 Ich hoffe, man kann uns gut hören und ihr seid alle sehr gespannt, uns heute zuzuhören, denn wir wollen heute über Datenschutz und warum Datenschutz besonders für Jugendliche wichtig ist und DSGVO, also die Datenschutzgrundverordnung, das sind ja legalere Teil davon, reden. Und wir dachten, wir stellen es erst mal vor. Ich bin Liv und ich bin seit, ich glaube erst anderthalb Jahren bei Jugendhack dabei. Genau und ich beschäftige mich selber mit Datenschutz und werde euch auch ein bisschen was von meinem kleinen Projekt vorstellen. Genau, ich benutze Sie Ihr Pronomen und gehe noch zur Schule, was auch was in meinem Projekt zu tun hat. Hallo, ich bin Paul, ich bin zehn Jahre alt und studiere jetzt Informatik und bin jetzt auch schon seit ein paar Jahren bei Jugendhack interessiere mich auch mit Datenschutz und werde mich auch ein paar Sachen erzählen, was ich für lustige Sachen mit Datenschutz gemacht habe und so. Moin, ich bin Börn mit dem Zopf, ich beschäftige mich auch total gerne mit Datenschutz, gerade auch in Bezug auf Softwareentwicklungen. Und wir dachten, wir fangen jetzt schon mit so einem kleinen Icebreaker an und zwar, was ist euer Lieblingsdatenschutz von Faggot. Genau, ich brauche noch ein bisschen Zeit, um mir was zu überlegen. Aber Paul, willst du vielleicht anfangen? Ja, ich habe tatsächlich was. Und zwar, es kennt ja eigentlich wahrscheinlich ziemlich viele Leute, diese Datenschutzerklärung, so hell langen Texte, die sich so gut wie immer durchliest. Und ich habe dann mal angeguckt in der DSGVO, was da drin steht und dazu entsteht tatsächlich ein Prinzip drin, das sie mit Emojis gemacht werden können. Also, das steht nicht ganz drin, aber ich kann ja mal kurz zeigen, was da drin steht. So, jetzt muss der, ja, die DSGVO steht nämlich in Artikel 12 drin, die Informationen können in Kombination mit standardisierten Bildsymbolen bereitgestellt werden und wenn sie elektronischer Form dargestellt werden, müssen sie Maschinelesper sein. Und ja, was sind standardisierte Bildmohle? Die Maschinelesper sind als Emojis. Es ist ganz witzig, weil es würde natürlich Datenschutzerklärungen aufwenden würden, wahrscheinlich viel mehr Leute sich die auch angucken. Ja, total. Mit dem Zapf hast du irgendwas. Ja, dein Funfact finde ich richtig gut, auch im Positiven richtig gut. Mein Funfact geht leider nicht ganz so ins Positive. Ich habe mir mal die Datenschutzerklärung von Microsoft runtergeladen und als PDF gespeichert und jetzt kann man sich einmal überlegen, wie viele Seiten sind das wohl in A4? Es sind 1200. Und es ist ganz clever gelöst. Es ist eigentlich nur so eine Seite auf dem Bildschirm, aber es sind ganz viele Unterpunkte und wenn alle expandiert sind, dann sind es 1200 Seiten PDF auf A4. Das finde ich schockierend, aber trotzdem lustig. Und Liv, hast du da irgendwie was, was du lustig findest? Fühlt sich, ich habe nicht so richtig so ein Funfact, aber eher so ein Nachdenkfakt. Ich finde nichts mehr, als wäre es recht auch vergessen werden in der DSGVO-Pretalspand und so was es irgendwie ethisch so bedeutet und so was macht das Internet mit uns und wie lange bleibt man da und so was. Es ist nicht so ein Funfact, aber so ein Nachdenkfakt. Dann sage ich auch noch sagen heute, wir sind alle keine Anwälte. Alles was wir sagen könnte theoretisch falsch sein, wir versuchen natürlich unser Bestes zu geben. Aber falls ihr irgendwelche richtigen Fragen habt, die wirklich das Gesetz betreffen oder da die Probleme habt, solltet ihr am besten mit einem richtigen Anwalt darüber sprechen. Wunderbar. Dann erst mal so warum ist Datenschutz wichtig? Warum geht es bei Datenschutz? Mit dem Zopf willst du da mal was sozusagen? Ja, genau. Es gibt beim Datenschutz so unabhängig jetzt von Recht und Datenschutz Grundverordnung und unabhängig davon, wo wir uns gerade sind, es gibt so Grundsätze des Datenschutzes. Es sind eher so philosophisch ethische Grundsätze. Da geht es darum, was ist Datenschutz überhaupt und weshalb sind personenbezogene Daten überhaupt wertzuschützen. Und für die meisten, die das ja angucken werden, haben das schon so eine Idee, aber trotzdem können sie ja nochmal durchgehen. Da geht es den ersten Punkt, das ist ein ganz abstrakter Punkt. Das ist der Grundsatz von Treu und Glauben. Das hört sich total kryptisch an, aber da geht es erst mal darum, dass Datenschutz Verhältnis, dass Verhältnismäßig verarbeitet werden soll. Das heißt, dass ich nicht einfach irgendwelchen Crutch mit Dat machen kann, dass ich vertrauenswürdig umgehen muss mit allem, was personenbezogene Daten sind. Der nächste Punkt ist der Grundsatz der Verhältnismäßigkeit. Das heißt, ich darf nicht für irgendwie eine Bestellung von einer Pizza einen kompletten Lebenslauf und die Schuhgröße aller Verwandten verlangen. Das hat nichts damit zu tun und steht in keinem Verhältnis. In anderen Ländern kenne ich das leider, aber in Indien ist das leider so, dass man alles möglich überangeben muss. Aber eigentlich entspricht das nicht den Prinzipien des Datenschutzes. Der nächste Punkt ist die Zweckbindung. Das heißt, ich darf nicht sagen ... Ich wollte davor mal fragen, was sind denn diese personenbezogene Daten, die das im Griff jetzt schon immer verwendet, aber vielleicht weiß jetzt jeder, was das jetzt bedeutet oder sowas. Vielleicht willst du es uns erklären? Kann ich kurz machen, personenbezogene Daten sind alles, was mich identifizierbar macht. Das könnte mein Name sein, meine Adresse, mein Wohnort, mein Alter oder eine Kombination vor allem häufig aus dem. Aber im Digitalen auch so Dinge wie eine IP-Adresse, damit kann ich identifiziert werden. Personenbezogene Daten sind alles, die bezogen auf mich sind. Womit ich sagen kann, das ist ziemlich sicher diese Person. Okay, genau. Also personenbezogene Daten, glaube ich, das ist so was, dass man ganz oft hört. Da geht es aber sozusagen auch noch unter Kategorien. Also zum Beispiel meine Gesundheitsdaten sind total wertvoll oder sowas, dass ich besser schützen sollte, als vielleicht meine Schwung größer. Obwohl man natürlich irgendwie alle Daten schützen sollte, aber zum Beispiel mit meinen Gesundheitsdaten kann man ganz viel Sachen über mich herausfinden über mein persönliches Leben und mich vielleicht auch irgendwie mehr beeinflussen. Und das sind Sachen, die ich privat halten möchte. Wogegen zum Beispiel meine Schulgröße, obwohl sie natürlich auch irgendwie zu mir gehört, vielleicht nicht ganz so sensitive Daten sind. Also da muss man auch nochmal, es gibt personenbezogene Daten und die selber haben auch noch mal unter Kategorien sozusagen, wie gefährlich ist sich das richtige Wort. Aber wie schützend wird sie denn? Genau, da muss man ja auch beachten. Also zum Beispiel man kann ja mit Daten, hoffe ich Leute, sage ich mal, erpressenden Anführungszeichen. Also mit bei Gesundheitsdaten kann es ja zum Beispiel sein, dass man nicht möchte, dass andere die erfinden, weil die dann Druck auf einen ausüben können. Jetzt nicht zum Beispiel so viel Jugendliche, aber zum Beispiel Arbeitsleben oder sowas ist natürlich relevanter. Teilweise darum sind die besonders schützenswert, aber generell ist es ja eben immer der Punkt auch, einer dem sowieso wir Datenschutz brauchen, weil Datenschutz ja eben ist ermöglicht auf Leute Einfluss auszuüben. Jetzt auch noch kann das Beispiel war jetzt mit Brexit. Ja, US war 2016, wo ja sehr viele extrem personalisierten An-, personalisierten Werbung gearbeitet wurde, was dazu geführt hat, dass das Ergebnis schon nach Ansicht vieler Leute beeinflusst wurde. Also das ist ein wichtiger Punkt, dass das eben das Daten geschützt werden müssen, damit man nicht beeinflussbar ist über diese. Genau, das geht finde ich in eine ganz interessante Richtung. Also in Datenschutz geht es eigentlich immer darum, dass klar sein muss, weshalb irgendetwas so ist. Das ist so ein ganz wichtiger Grundsatz vom Datenschutz und wenn ich jetzt irgendwelche personalisierte Werbung zugesteckt bekomme, von mir aus Wahlwerbung für irgendeine Partei, dann sollte ganz klar sein, dass das personalisierte Werbung für mich ist. Das ist ein ganz wichtiger Grundsatz und das wird leider in vielen Ländern der Welt mit Füßen getreten, dass das so sein muss. Das finde ich ganz schockierend. Das stimmt und ich glaube, dass so, wir haben es ein bisschen gerade abgeschlossen, so warum Privatsphäre und generell Datenschutz auch richtig ist. Also in der Webseite, der ist WhyPrivacyMatters.org, das ist auch auf GitHub, könnte ich auch ein paar Requesten machen. Und genau, da ist einfach nochmals aufgelistet so, dass man vielleicht auch Daten besitzt, die an den Leuten gehören, die man nicht teilen sollte und vielleicht auch an Institutionen, dass es Daten gibt, die sollte man nicht an anderen Daten gefüllt, die man nicht an anderen Institutionen weitergeben sollte und was wir nicht so trennen, damit vielleicht Informationen nicht mehr ausgesucht werden können, dass sie irgendwie schlecht aussehen, obwohl man eigentlich gar keine schlechte Person ist. Also genau, ich glaube, dort ist gerade noch was zu generell den Prinzipien von Datjus gesagt. Willst du dazu noch mal weiter sagen? Ja, ich kann es versuchen, kurz zu fassen. Also es gibt noch den Grundsatz der Verhältnismäßigkeit, das hatten wir ja. Es gibt die Grundsatz der Zweckbindung, das heißt, ich darf nicht, wenn ich sage, ich sammle Daten, um irgendwie eine Volkszählung zu machen oder Beispiel hier Corona, ich darf nicht für die, wenn ich sage, dass ich Daten zur Kontaktverfolgung sammle, darf ich die nicht plötzlich für Kriminalverfolgung sind. Das ist ein anderer Zweck und die müsste ich dann, das müsste ich vorher gesagt haben. Ich muss es transparent machen, ich muss, genau, es geht auch in die Richtung Zweckbindung. Ich muss sagen, wofür, warum, wie lange, was genau. Ich muss einfach sagen, wie mit den Daten umgegangen wird, wer kriegt noch Zuhilfe darauf und so weiter. Und danach zwei ganz wichtige Punkte, nämlich die Datensicherheit, dass die irgendwie nicht ungesiert herumliegen, das nicht vor meiner Tür eine Kiste liegt mit all meinen Kontaktdaten und Datenrichtigkeit. Das heißt, ich habe ein, oder es sollte, ich sollte ein Recht haben, alle Daten über mich, die falsch sind, korrigieren lassen zu können, dass Leute verpflichtet sind, falsche Daten von mir zu korrigieren und so weiter. Und dann, dass jetzt speziell Europa von der DSGVO her, habe ich ein Recht auf rechtmäßige Datenverarbeitung. Genau das ist der Grund, weshalb es die Datenschutzgrundverordnung in der Europäischen Union gibt. Und die umfasst nämlich all dieser Grundsätze des Datenschutzes. Ich möchte schon die ganze Zeit auf das Wort DSGVO um uns geschmissen. Ich will mal einige von euch sagen, was überhaupt die DSGVO ist. Also genau, Paul, willst du das einfach mal machen? Ja, gerne. Also die DSGVO ist ein, ja, es heißt nicht Gesetz, sondern Verordnung, aber ist im Prinzip ein Gesetz, das auf europäischer Ebene 2016 beschlossen wurde. Und da wird festgelegt, dass die ganzen Regeln, wie Daten verarbeitet werden dürfen, wie die weitergegeben werden dürfen, vor allem auch in Länder außerhalb der EU, welche Rechte, die betroffene Personen sind, die Leute über die die Daten, auf die sich die Daten beziehen, also welche Rechte die haben und also was es soll vereinheitlich werden. Weil davor gab es so eher so ein Flickenteppich, da hatte jedes Land seine eigenen Regelungen. Und die DSGVO hat das Ziel, dass eben die Regeln möglichst einheitlich sind, damit eben auch die Daten in der EU weiter transportiert werden können, weil die überall gleich geschützt sind. Und die wurde wie gesagt 2016 verabschiedet und ist dann 2018 am 25. Mai in Kraft getreten. Man hat dann erst am 2018 so richtig davon gehört, eigentlich, weil dann plötzlich in allen Zeitungen stand und ja, es ist halt ein Gesetz, das das eben alles vereinheitlichen soll. Genau, und ich glaube, so eine ganz wichtige Sache ist, dass die DSGVO mehr Rechte an sozusagen die Einzelpersonen gibt. Also das sind zum Beispiel dieses bekannte Bekannteartikel 15, dass man zum Beispiel fragen kann, was Institutionen oder Firmen für Daten überein haben oder halt das Recht, dass man es berichtigen kann und sowas. Genau, also Einzelpersonen kriegen mehr Rechte und Institutionen und Firmen, kriegen mehr Pflichten. Also, dass es da so einen irgendwie so einen Wechsel gibt und müssen viel mehr darauf aufpassen. Und genau, also nach dem 15. Mai 2018 zum 15. Mai sind dann auch so diese ganzen Cookie-Bernner oder sowas viel mehr geworden, dass man immer bestätigen muss. Oder es gibt auch manche Seiten, also vor allem amerikanische Seiten, die man halt in der EU jetzt nicht mehr aufrufen kann, weil die halt gesagt haben, dass sie das nicht umsetzen, weil man das umsetzen muss, wenn man europäische Bürger bedient. Genau, hat vielleicht jetzt noch jemand was? Ja, ich könnte noch etwas sagen, und zwar, welche Ansätze die DSGVO verfolgt, weil es ist ganz interessant, die verfolgt so im Prinzip gibt es drei Säulen. Als erstes sagt die DSGVO, dass die Leute die Daten verarbeiten, personenbezogene Daten, dass die selber erstmal für die Sicherheit und für den Datenschutz sorgen müssen. Da gibt es auf englisches so eine Schlagwort Privacy by default und Privacy by design, also Datenschutz als Standard-Einstellung und Datenschutz aber eben auch durch die Technikgestaltung. Also ich muss halt eben, wenn ich jetzt neue Software entwickle, dafür sorgen, dass die möglichst datenschutzfreundlich ist. Und da müssen dann halt auch meine eigenen Interessen zurückstehen. Das Zweite sind eben die eben schon erwähnten betroffenen Rechte, die sorgen halt dafür, dass ich als Betroffener man Datenschutz selber in die Hand nehmen kann und dafür sorgen kann, dass eben der Datenschutz durchgesetzt wird. Und ich sehe jetzt hier schon eine Frage, dass Leute gefragt haben, wie man das als Entwickler einfacher macht, Datenschutz-Gesetze einzuhalten. Ich habe dazu wollen wir nachher noch was sagen, aber grundsätzlich ist es so, dass man halt auch eben als Benutzer auf einer Webseite oder als Benutzerin dafür sorgen kann, indem man halt eben seine Datenschutzrechte, also Auskunft und Löschung, Berichtigung und sowas nutzen kann. Und das Dritte ist, dass eben es auch Haftung und Geldbußen und sowas gibt. Das sind immer diese befürchteten Millionen-Bus-Geller, die die Aufsichtsbehörden verhängen können, was eben dazu sorgt, dass die DSGVO-Nutfalls auch, ich sage mal, Datenschutz mit der Brechstange durchgesetzt werden können. Ah, sorry. Genau, kleine Anmerkungen. Danach reden jetzt ja immer die ganze Zeit über Digitales und Datenschutz. Das ist im Digitalen ja auch total wichtig und total weit verbreitet. Aber Datenschutz ist genauso die DSGVO-Fahrt und gilt genauso in der Analogenwelt. Das heißt, die gilt genauso, wenn ich irgendwo ein Formular vor Ort ausfalle. Und das ist immer auch total wichtig zu beachten, dass es eben Datenschutz auch so eine total wichtige Schnittstelle zwischen der Analogen und der digitalen Welt ist. Genau, Luap hat das gerade ganz gut formuliert, die ist technikneutral. Das heißt, es ist völlig egal, ob ich da jetzt was Digitales, was Analoges, ob ich da eine Diskette oder WLAN verwendet ist. Datenschutz gilt immer, weil es einfach eine Grundverordnung ist, die überall gilt und was total wichtige Grundsätze vermittelt. Das stimmt. Das ist, finde ich, ein total wichtiger Punkt, wo wir vielleicht auch schon, also wir dachten, wir reden ein bisschen über das zwei große Team. Das eine ist irgendwie so, also wir dachten ja, es ist für Jugendliche vor allem. Und dann so was beschäftigt uns, irgendwie Schule und Programmieren. Und deshalb wollten wir einfach so auf den schulischen Aspekt eingehen. Genau, und wie Datenschutz in der Schule unserer Meinung nach umgesetzt wird und so den ganzen Aspekt. Und dann einmal so ich als programmierende Person sitze bei Jugend Tech und möchte irgendwas machen, worauf muss ich achten? Und was habe ich da für eine Verantwortung? Genau. Ich glaube, Liftort ist doch jetzt auch ein paar Sachen mit Schule. Willst du da mal anfangen? Kann ich gerne machen. Genau, weil ich wollte meine Schule, weil ich dachte, dass eine Schule ja noch vieles Analog passiert. Und zum Beispiel, glaube ich, könnte man auch Auskunft über seine ganzen Arbeiten, die müssen ja auch aufgehoben werden. Ich weiß gar nicht, wie lange, relativ lange. Und auf jeden Fall, ich glaube, dass man die theoretisch könnte man sich auch so sagen, erfragen, ist viel zu großer Aufwand. Deshalb können die einfach nein sagen, beziehungsweise genau. Aber da ist ja auch noch eine Sache, wo es dann halt analog ist. Und man auch sich fragen kann, ob das alles so Datenschutz konform ist, wenn es dann irgendwo in nem Keller liegt. Aber genau, dann fange ich mal an. Ich habe eine, ich hätte noch eine kleine kreative Attacke von der Stunde und habe was versucht zu zeichnen. Genau, das können wir doch mal anbinden. Das ist nicht besonders hübsch geworden. Aber hier, was ihr sehen könnt, ist so ein kleines Kuchendiagramm, was zeigt, wie viele der DSGVO Anfragen, die ich an verschiedene Schulen und Bildungseinrichten gestellt haben, erfolgreich war. Ich hatte leider jetzt irgendwie kein Geodreik oder so. Zem Grün soll ein Fünffel sein. Ich habe fünf gestellt. Eine davon hat wirklich funktioniert. Das soll das Grüne darstellen. Das Rote soll das Darstchen des nicht so gut funktioniert hat. Genau, wie ich das gemacht habe, es gibt ein DSDatenanfragen. Da kann man sich so einen tollen Text copypasten und kann den dahin schicken, können das uns personalisieren, was man möchte. Und genau, das habe ich einfach mal gemacht. Das habe ich an eine Uni und an drei Schulen an, zu denen ich gehe gemacht. Genau, und ich habe sozusagen eine, meine richtige Schule besucht dann noch Kurs an zwei anderen Schulen. Wir haben natürlich auch irgendwie Daten damit schweichern. Und dann habe ich es noch an das Kultusministerium von meinem Bundesland geschickt. Genau. Und wir fangen jetzt mit dem positiven Beispiel an. Also, genau, es ist wunderhübsch geworden. Ich hoffe, ihr seid mir nicht zu bieten, dass es jetzt nicht so hübsch geworden ist. Aber genau, also es ist jetzt sehr vereinfacht, der Prozess. Genau, an der Uni, was man ja macht, ist sozusagen man schreibt eine E-Mail, schreibt ja rein so ein bisschen kondensiert. Hallo, welche Daten haben Sie über mich? Und dann ist das Richtige, was Sie machen sollen, ist, dass Sie nachgucken, ob das auch wirklich ich bin, der es gestellt hat. Sonst könnt ihr einfach jede Person sagen, hallo, ich bin Liv. Ich hätte mal Gelivs Daten, das wäre ja ein Resuppoptimal. Also bei der Uni hat das perfekt geklappt. Ich habe meinen Personalausweis geschwärts dahin geschickt. Die haben mir meine Daten zurückgeschickt, genauso wie es sollte. Also 10 out of 10, das funktionierte gut. Das war leider auch das einzige Volkserlebnis. Genau, wir müssen erst mal weitergehen. Genau, die Schule 1. Schule 1 hat auch, würde ich sagen, von den Schulen am besten abgeschnitten noch. Ich habe auch hingeschrieben, hallo, welche Daten haben Sie über mich? Das ist übrigens nicht meine Hauptschule, nämlich Hauptschule, aber nicht meine erste Schule. Genau, die wollten einen Personalausweis, da haben gesagt, ich sei mal in der Pause und mein Person vorbeikommen. Das ist okay, das verstehe ich. Genau, und was sie mir dann gegeben haben, waren so Zettel auf dem Durstand, was für Arten von Daten sie von mir haben, aber nicht welche Daten sie wirklich haben. Also sie haben geschrieben, wir haben deinen Vornamen, deine Adresse und deine Noten. Aber ich meine, der Sinn von DSGVO ist ja auch, dass ich weiß, was genau sie haben, damit ich es korrigieren kann. So habe ich ja keine Ahnung, was die da wirklich gespeichert haben und kann es ja nicht korrigieren. Aber ich dachte, dass es noch ist ein bisschen am Ziel vorbei, aber es ist okay. Deshalb so, vielleicht 8 out of 10. Aber oh, schön, es gibt Luft für die Zeichnung. Dankeschön. Dann gibt es Schule 2. Schule 2 ist auch nicht meine richtige Schule. Und Schule 2 habe ich auch genau die gleiche E-Mail geschickt. Wollte wissen, was sie für Daten über mich haben. Zurück kam, bekenn dich nicht. Und selbst wenn, du weißt ja wohl selber, welche Daten du ja angeben hast. Du musstest ja wahrscheinlich ein Formular ausführen. Daraufhin habe ich dann geantwortet, dass ich dort den und den Kurs besuche, bei dem und dem Lehrer. Und dann kam zurück. Ja, gut, aber du weißt ja selber, wo du wohnst. Auch nicht ganz der Sinn von DSGVO. Ja, ich würde sagen, das ist, fand ich, so ein bisschen merkwürdig. Weil alle, also allen Schulen, die ich geschrieben habe, haben einen beauftragten Person für Datenschutz. Ich dachte, die würden sich vielleicht damit ein bisschen besser auskennen. Also genau, danach war ich irgendwie sehr verwirrt. Aber, genau, es gab hier noch Schule 3. Kann ich dazu eine Frage stellen? Kann ich das mal stellen? Und zwar, hast du dann irgendwas nachgemacht, als du so eine Antwort bekommen hast? Oder hast du gesagt, ich lass es jetzt, ich schwarme mir die Mühe oder? Soll ich es, ich beantworte das mal gleich, nachdem ich noch Schule 3 vorgestellt habe. Und das danach, weil dann habe ich auch ganz wieder nachgedacht. Genau, das ist dann meine richtige Schule. Da wollte ich dann einfach mal so fragen, was sie für Daten über mich haben. Und mein Lehrer, also mein Informateterer, ist dort Datenschutzbeauftragter und der hat gesagt, dass er leider momentan keine Zeit hat. Genau, warum ich nicht weitergemacht habe, erzähle ich euch immer auch gleich. Aber das war so ein Leid, also das traurigste. So, da ist gar nichts rausgekommen. Genau, und dann gibt es noch mein fünfter Versuch, das ist dann beim Kultusministerium, weil ich da persönlich mal aktiv war. Und genau, genau, die gleiche E-Mail geschickt und hab dann einfach meinen Daten so bekommen, ohne Identifikation. Was ich persönlich ein bisschen merkwürdig fand, also das PDF war passwortgeschützt mit dem Datum, an dem ich es bekommen habe. Aber ich meine, es hätte ja jeder schreiben können, hallo ich beliff, ich hätte gerne meine Daten und hätte dann meine komplette Anschrift, mein Geschlecht, meine Handynummer, mein vollständigen Namen und eigentlich auch die Herkunft der Daten bekommen. Also, da hatte ich ein bisschen Bauchschmerzen, als ich die Antwort bekommen habe. Und genau, ich wollte jetzt nicht so gerne sagen, welches Bundesland das ist, weil es da eine Person gibt, die dafür zuständig ist. Und ich glaube, da komme ich auch schon so, warum ich da nicht mehr gemacht habe. An der Schule finde ich es einfach schwierig, weil ich sozusagen, mein Note hängt ja von den Lehrern ab und würde ich da so sehr, wenn ich könnte, dagegen ja irgendwie vorgehen. Das ist ja nicht recht, es ist nicht rechtmäßig, was die gemacht haben. Aber die Frage ist, dass ich dort irgendwie Abitur machen möchte und schon mir das jetzt nicht so kaputt machen möchte. Genau, und beim Kultusministerium habe ich auch darüber nachgedacht. Aber ich finde es schwierig, weil es eine Person ist und ich nicht weiß, wie genau, also ich möchte nicht, dass die Person jetzt nie einen Job verliert oder so was, es ist ja irgendwie ein blöder Fehler. Aber ich finde, es ist eigentlich schon nicht unwichtig. Genau, deshalb habe ich halt eigentlich nicht weitergemacht, falls aber jemand Ideen hat, wie man das sozusagen weitermachen könnte oder irgendwie so. Genau, ich habe den jetzt auch nicht so auf Konfrontation aus. Es war für mich wirklich eher so ein kleines Projekt, dass ich mal gucke, so wie funktioniert das überhaupt. Und ich will auch keine Schule, der jetzt irgendwie schlecht darstellt oder so was. Und es war für mich eher wirklich so ein privates Projekt, so ein kleines. Aber. Genau, also ich finde, es zeigt einfach, dass es vielleicht ein strukturelles Problem ist, dass die Schulen das auch einfach alleine nicht hinkriegen. Und es ist nicht die Schuld von den Lehrerinnen ist. Aber das ist einfach, glaube ich, vom Land sehr viel mehr getan werden muss, dass irgendwie die Schulen da Unterstützung kriegen, weil es ja anscheinend nicht funktioniert und auch beim Land selber nicht. Aber. Genau, das ist so ein bisschen das, was ich gemacht habe. Ja, ein total cooles Projekt, finde ich. Und ich finde, es gibt uns auch schon ziemlich viel Erkenntnis darüber, wie Datenschutz in den Alltag tatsächlich funktioniert. Und in Schulen, ich meine, da sind wir alle von Betroffenen, alle jüngeren Leute, wahrscheinlich das meiste Publikum dieses Talks hier. Und was noch weiter so schief läuft, gerade in Bezug auf Bilder und auf Videoüberwachung, was ja total sensible Daten sind. Ich meine, damit kann man schon total einfach Leute identifizieren. Da hat Paul auch ein total interessantes Projekt mit Bahn, mit der Bahn gemacht, was da so schief läuft. Vielleicht kannst du das einmal vorstellen, Paul? Ja, gerne. Und zwar ein leidiges Thema, das auch jedes Jahr auf diesem Kongress Gegenstand ist, von entweder Vortring oder Schild. Okay, dieses Jahr mit den Schildern ist es nicht so super, aber so zetteln an der Wand. Das Problem ist immer, es wird viel mehr Video überwacht. Alles Mögliche soll Video überwacht werden. Und die Frage ist dann auch immer, ob es immer notwendig ist. Ich meine, an Bahnhöfen wird Video überwacht. Und ich sehe dann immer so ein Zettel, kennt diese Person und das Bild ist in total niedriger Pixel Qualität, weil ich nicht weiß, was es dann bringt, ob das was bringt. Aber es wird immer ziemlich bezweifelt. Aber jedenfalls das Problem mit viel Videoüberwachung ist, dass die die ganzen Daten bekommen. Und wir aber eigentlich die nur angeschränkt überprüfen können, weil man kann in der DSGVO immer Datenverarbeitung damit begründen. Man hat ein berechtigtes Interesse daran. Das heißt, es liegt da irgendwas daran. Und das ist auch schon irgendwie ein bisschen wichtiger als das Interesse, dass die Daten nicht verarbeitet werden. Und damit kann man sich mal ganz gut bei dem Thema Überwachung begründen. Und das kann man halt nicht so gut überprüfen. Und da hatte ich dann neulich, als ich mit der S-Bahn gefahren bin in Berlin, da stand plötzlich in einem der Züge so ein Zettel. Ja, das wird Video überwacht. Dann habe ich mir die Zugnummer aufgeschrieben und so ein paar seltsame Gs gemacht, so gezeigt, so da hier auf das Zettel mal überwenkt und gewunken. Und habe ich dann irgendwie zwei Stunden später eine E-Mail geschrieben. Ja, schick mir doch mal bitte mal die Daten. Ihr könnt mich daran identifizieren, dass ich das und das gemacht habe. Ich habe so eine Maske getragen. Also eigentlich ein bisschen um mich zu identifizieren, weil es auch eher unwahrscheinlich ist, dass eine andere Person genau die gleichen Sachen macht. Und dann ist es so, dass erstand auch noch dabei, dass es innerhalb von 48 Stunden gelöscht wird automatisch. Und da habe ich gesagt, ja, man kann so verlangen, dass das eben, das heißt, Verarbeitung einschränken. Also man kann sagen, ja, verschließt es mal, sorgt dafür, dass es nicht gelöscht wird. Und diese sind überhaupt keine personenbezogenen Daten. Und außerdem geht es nicht Sicherheitsinteressen, bla, bla, andere Interessen. Und dann, das ging tatsächlich sehr schnell, muss ich sagen. Es fand ich gut, dass die da innerhalb von irgendwie ein paar Stunden geantwortet hatten. Das Problem war dann nur, ich habe dann zurückgemeldet und gesagt, na ja, es sind immer schon Personen bezogen mit Daten, weil man kann mich damit identifizieren, wenn man zum Beispiel weiß, dass ich so eine Maske trage und so, so, so. Und dann außerdem müsst ihr mir das dann rausgeben und Sicherheitsinteresse stimmt auch nicht so ganz. Weil erstens, wir wissen ja alle, oder ziemlich viele, wir wissen ja eigentlich, dass Security bei Obscurity nicht so richtig was bringt. Und zum anderen ist es auch so, dass... Ganz kurz. Dazu vielleicht kannst du auch noch einmal noch mal erklären, was Security bei Obscurity ist. Das wissen vielleicht nicht alle unserer Zuhörer, Ihnen? Genau, gerne. Also Security bei Obscurity heißt, im Prinzip, wenn ich was verschlüsselte oder geheimhalten will, dann soll ich nicht geheimhalten, wie das funktioniert. Also das Verschlüsselungsverfahren, sondern nur den Schlüssel. Also im Prinzip könnte man sich bei einer Haustür vorstellen, ich soll mein Haus nicht dadurch verstecken, dass ich mein Haus geheimhalte, sondern dass ich einen Schlüssel habe, mit dem niemand anderes hat. Und das funktioniert halt eben, es ist halt so ein relativ grundlegender Grundsatz von Sicherheitstechnologie. Und außerdem ist es so, dass in vielen Supermärkten ja immer man teilweise noch sieht, Livestream der Videoüberwachung. Das heißt, es kann auch nicht so das Problem sein. Und da habe ich es jetzt geschrieben. Und das ist jetzt aber, haben die dann irgendwie ein paar Wochen später darauf geantwortet. Und ich habe mich inzwischen mich bei der Landesbeauftragten für Datenschutz beschwert. Das kann man nämlich machen, wenn man der Meinung ist, die Daten werden unrechtmäßig verarbeitet oder so ein Betroffenenrecht wird verletzt, dann kann man sich beschweren und dann ermitteln die. Und es kann dann auch Geldbußen geben. Und wenn man will, kann man danach auch klagen oder so was. Aber ja, aber das ist jetzt erst mal noch nichts weiter. Aber dann noch mal erst mal zurück zum Thema Schule. Jetzt gerade ist es ja so, dass man viel online lernen und sowas hat über verschiedene Technologien. Ja, der ganze Rest ist ja online. Und die viele Schulen verwenden ja Software, die nicht ganz so datenschutzkonform ist oder die Probleme bereitet und nicht open source ist. Und Tvei, du hattest ja dich mit Zoom beschäftigt. Willst du dazu was erzählen? Ja, genau. Also Zoom ist ja total populär geworden seit Anfang des ersten Lockdowns. Gerade in Schulen und Unternehmen wird es total viel zu Videokonferenzen verwendet, genauso wie andere Software, die mindestens genauso fragwürdig ist. Und wir hatten mal in der Jugend-Tag-Community online darüber diskutiert, wie der Datenschutz bei Zoom ist. Und daraus habe ich dann mal einfach den Entschluss gefasst. Ich frag da mal an. Ich bin von der Schule aus verpflichtet, Zoom zu verwenden. Ich frag mal an, was die über mich haben. Die Reaktion war gar nichts. Sie haben erst mal nichts gemacht. Ich habe die mehrfach daran erinnert. Ich glaube, zwei Tage vor dem Achtelauf der 30 Tagesfrist auf die Antwort nach Artikel 15 haben sie mir geantwortet und ein Kopie der Datenschutzerklärung geschickt. Das ist natürlich überhaupt keine valide Anfrage. Ich habe nämlich nach sehr speziellen Punkten gefragt. Ich habe gefragt, ob Daten von mir dauerhaft gespeichert werden, wenn ich an einem Meeting teilnehme auf Zoom, ob die zu Entverschlüsselung, also ich wusste, sie nicht existent ist, obwohl es genannt wird, ob die existiert. Daraus sind sie nicht eingegangen. Und ich hatte gefragt, ob die Daten, die sie speichern von mir eventuell wie Logging-Daten von Clarifying Lawful Overseas Act, vom sogenannten US Cloud Act, getroffen sind. Auf keinen der Fragen haben sie geantwortet. Hätte ich auch nicht erwartet. Ich habe ihnen dann noch geschrieben, dass sie bitte die letzten zwei Tage, die sie noch Zeit haben, das bitte beantworten sollen, haben sie nicht gemacht. Danach habe ich das an den zuständigen Landessatenschutzbeauftragten gegeben, der hat das nach, ich glaube, dreimal nachhaken, hat das angefangen zu bearbeiten. Und ich habe irgendwann eine Antwort bekommen von Zoom und die war, sie können nichts dazu sagen, weil sie von mir keine Daten haben. Ich könne nur eine Anfrage stellen, wenn ich ein Zoom-Account hätte. Das ist erst mal per sie falsch, weil Daten auch ohne Account von mir verarbeitet werden. Das ist natürlich ein Skandal. Da habe ich zurück an Landessatenschutzbeauftragten geschrieben, der meinte, ja, sie geben das gerne mal weiter und werden sich persönlich da nochmal erkundigen. Eine Woche später habe ich eine Antwort von denen nochmal bekommen, also vom Landessatenschutzbeauftragten. Ja, also sie können das jetzt erst mal nicht weiter bearbeiten. Sie wissen einfach nicht, wer in der Europäischen Union für die Beantwortung der Anfrage zuständig ist. Sie wussten nicht, ob sie das jetzt, also sie sind auf jeden Fall nicht zuständig, konnten sie mir sagen, aber sie waren sich jetzt nicht sicher, es ging darum, ob die französische oder die niederländische Niederlassung zuständig für meine Anfrage ist. Und sie konnten sich einfach nicht entscheiden, ob die niederländische oder die französische Niederlassung von Zoom und dementsprechend die französischen oder niederländischen Behörden für meine Anfrage zuständig sind und haben dementsprechend erst mal nichts gemacht. Währenddessen habe ich mich noch weiter beschwert bei Zoom. Und dann haben sie mir irgendwann auf meine erste Frage, ob das nämlich alles verschlüsselt ist. Da steht ja End-to-End-Verschlüsselung obendrin. Das habe ich im März, habe ich das in der Anfrage formuliert. Da haben sie mir gesagt, ja, seit August wäre der End-to-End-Verschlüsselung verwendet. Und dementsprechend, ja, alle meine Daten sind verschlüsselt worden. Das klingt ja ganz toll. Nur leider haben sie mir im August geschrieben, dass seit August Verschlüsselung ist. Und meine Frage aus dem März, ob das verschlüsselt ist, haben sie mit Ja beantwortet, obwohl sie da gerade gesagt haben, nee, meine Daten von damals wurden gar nicht verschlüsselt. Und das ist ein Skandal, das mir so geantwortet wird. Ja, das ist jetzt beim Bundesdatenschutzbeauftragten die landet, da war die Antwort nicht zuständig. Und jetzt warte ich, bis ich mal Zeit habe. Und ich habe vor, das auf jeden Fall vor Gericht zu bringen, weil ich finde so ein Verhalten, das ist so in mehreren Punkten klare Verstöße gegen Artikel 32 bis 34 gegen Artikel 15. Ja, und das ist ein absolutes No-Go. Du hast es ja gerade auch schon nochmal angesprochen. Also ich meine, das ist ja schon ziemlich erstreckend, dass du das in der Schulter, wo du benutzen musst. Jetzt nicht mehr. Und das aber diese Lücken auch. Ja, hat was gebracht. Ich bin sehr glücklich. Ja, von Anfang an waren wir uns beglebt und es ist besser. Genau, und nochmal mit Schule. Da hat auch eine Person auf Twitter geschrieben, dass eine Sicherheitslücke irgendwo in einem System der Schule gefunden hat, wo man den Namen aller Schüler nachschauen konnte, die sitzen geblieben sind. Und dass dann die Person zu den Softwareherstellern gegangen ist. Und das Bekannte war und das war ein sonderwünsche Schultriggers war. Und das dann Datenschutzbau auf Tragische Schule meinten, das ist legal und richtig so. Ich finde, das zeigt ja auch nochmal, nicht für Arbeit noch in Schulen gemacht werden muss. Und total gut, aber das tut ich dafür dann so einsetzen. Ich meine, das ist ja auch nicht selbstverständlich. Also da gibt es ja dann auch viele Schülerinnen, die sozusagen einfach nur mitmachen müssen und halt nicht das richtige Know-how haben, sich vielleicht wirklich dagegen zu wehren, wie du es jetzt gemacht hast. Also ich finde, das ist sehr gut, dass du es gemacht hast. Genau, ich finde, das zeigt, das ist natürlich total schlimm, dass es diese ganze Problematik gerade in Schulen gibt, wo total sensitive Daten wie Leistungsdaten von Schülerinnen verarbeitet werden. Das ist ein Problem, das diese Problematik da gibt, natürlich. Aber ich finde, das ist ja genau, Pausa gerade Kinderdaten. Es ist ja nicht von irgendwem, sondern von Kindern, die ja eigentlich schützenswert sind. Aber es ist gar nicht das zugrundeliegende Problem. Ich persönlich sehe das zugrundeliegende Problem viel tiefer. Und zwar darin, dass die Informatik in Schulen völlig veraltet ist. Die LehrerInnen sind häufig gar nicht qualifiziert und der Datenschutz wird häufig an irgendwelche Lehrerinnen abgetragen, die keine Ahnung davon haben. Und das in Kombination mit sowieso schon schlecht qualifizierten Informatik-Lehrkräften, viele Orts in Deutschland, generell im geringen Stellenwert von der Informatik in Schulen, das ist ein Riesenproblem. Und vielleicht, da habe ich, ich habe auch die Hoffnung, dass sich das vielleicht irgendwie wann ändern wird und dass dann das eben der Datenschutzthemen mit einhergehen wird. Ja, jetzt zu dem konkreten Fall. Ich weiß gar nicht, ob man das jetzt aus Datenschutzgründen vorlesen darf. Nein, also da ging es darum, dass Lücken die Namen der Sitzenden in den Schüler verraten haben und dann wurde anderen auch bedroht. Das geht natürlich gar nicht. Das kann tatsächlich sogar teuer werden. Ich weiß jetzt nicht, ob das jetzt der Fall für die Person ist, gefragt hat, schon abgeschlossen ist, aber ich meine Tipp wäre, sich bei der oder dem Landesbeauftragten zu beschweren. Die müssen einem eigentlich auch innerhalb von drei Monaten antworten. Sonst kann man sich da auch noch mal, kann man dagegen auch noch mal vorgehen, weil sowas kann teuer werden, weil sich in der DSGVO drin personenbezogene Daten müssen geschützt werden und wenn die unbeabsichtigt weitergegeben werden, müssen auch die betroffenen Personen informiert werden. Also das sollte man, da kann man sich dann gut beschweren. Und genau, hier hat, wurde auch hingewiesen, man kann auch den CCC oder Jugendhack konsultieren. Ich denke, die können da auch vermitteln, was man da machen soll. Aber Beschwerde bei der Landesbeauftragten hilft sich ja und wenn die anderen blöd kommen mit, wir schmeißen nicht aus oder sowas, dann kriegen die nun mehr Ärger. Also das geht einfach nicht. Ich habe hier schon gesagt, ich war ein bisschen so Land-Schulbehörde aktiv und dort saß ich auch in so einem Ausschuss und was da dann war, ist das, das war, es muss 2018 gewesen sein, kurz nachdem die dann wirklich so in Kraft getreten ist und da wurde dann drüber diskutiert, was den personenbezogene Daten in der Schule sind und was davon besonders schützenswert ist. Das fand ich so überraschend, dass wir saßen da alle in einem Raum, da waren noch Vertreter von religiösen Gemeinden und so, also generell das war so ein großes Treffen, wo aber auch der Kultusminister anwesend war und das fand ich einfach sehr erschreckend, dass das irgendwie da diskutiert wurde und dass das noch gar nicht so sicher war. Also zum Beispiel Religionszugehörigkeit wird ja auch in der Schule gespeichert, damit man den passenden Religionsunterricht angeboten bekommen kann und dass sowas ist ja auch irgendwie personenbezogene Daten und auch sensitive Daten. Meine Religionszugehörigkeit kann mich ja für bestimmte Sachen vielleicht angreifbar machen und das fand ich total erschreckend, dass das so offen gelassen wurde. Genau und ich glaube, was wir gerade schon jetzt die ganze Zeit angesprochen haben, war dieses Konfrontationssachen. Ich glaube, das ist das, was wir jetzt damit umwenden, was falsch läuft. Ihr beiden darf vielleicht Ideen, weil ich bin ja selber in der Position, wo ich sage, ich weiß nicht, wie ich damit umgehe. Du bist ja sehr offensiv da, aber ich finde es schwierig, vor allem wenn man Jugendlich ist und vielleicht unter 18 und nicht richtig weiß, wie man sich beherren kann. Bei Schulen habe ich dann ganz schlechte Erfahrungen. Ich hatte auch schon in anderen Punkten um die Bildung herum auseinandersetzung mit Datenschutz. Das Konfrontation ist natürlich extrem schwierig, weil das am Ende die Leute sind, die dir deine Zeugnisnote geben. Und natürlich werden die nicht sagen, du hast eine Voranfrage über Datenschutz gestellt, du hast dich beschwert, wir geben dir eine schlechter Note, aber das ist natürlich so eine unverschwellige schlechte Stimmung da entsteht. Das heißt, ich würde eher empfehlen, immer freundlich zu reagieren und zu sagen, hey ihr Lieben, hier läuft irgendwas nicht ganz so richtig. Könnt ihr das nicht so und so machen? Es wäre irgendwie besser, damit seid ihr auf der sicheren Seite, also irgendwie eher Hilfe anbieten und zu sagen, so könnte man es verbessern, als zu sagen, hey das ist alles total falsch. Und wenn ihr es mit einer doofen Firma zu tun habt, würde ich da tatsächlich vorstangen, auf Konfrontation gehen. Die meisten Firmen spielen auf Zeit, aber wenn ihr den zeigt, ihr seid hartnäckig, dann tun sie meistens am Ende, was ihr wollt. Aber es kann natürlich Monate bei meiner Sache, zum Beispiel jetzt schon fast ein Jahr dauern und man kommt nicht unbedingt immer weiter. Vielleicht können wir damit zur nächsten Frage weitergehen. Irgendwann hatte doch in den Chat reingeworfen, ja, einfach die Fälle an allen Abmannanwalt. Was haltet ihr davon? Findet ihr das richtig? Findet ihr es falsch? Findet ihr es sollte man machen? Vielleicht Paul, hast du da so eine Meinung? Ja, Abmannanwälte, das war mal so ein bisschen so eine Frage, die alle hatten, als die DSGVO in Kraft tritt, jetzt gibt es gleich Tausende Abmannanwälte. Und das Problem war es auch immer, man kann gar nicht immer Abmannen, da muss man nämlich irgendwie, es gibt entweder Verbraucherschutzorganisationen, Verbraucherzentral und sowas, da lohnt es sich tatsächlich, weil die ja auch auf systematische Probleme besser hinweisen. Und das andere ist so klassische Abmannanwälte, die nach Fehlern suchen. Das finde ich tatsächlich problematisch, wie licht ich halte. Wofür mäht sich Abmannung? Nein, ins Hausblätter, nein. Aber generell muss man natürlich schon gucken. Es ist wahrscheinlich immer sinnvoll, sich bei dem Landesbeauftragten zu beschweren bzw. wenn er zuständig ist, beim Bundesbeauftragten, die sind dort sehr kompetent, haben auch die entsprechenden Mittel, um das durchzusetzen, Notfallzeit mit Bußgeldern, da ist man eigentlich immer auf der sicheren Seite. Das hat nicht wirklich den Einfluss, aber die können auch dafür sorgen, dass man eben, dass man eben das Notfall durchgesetzt wird. Da muss man eben nicht darauf vertrauen, dass die am Ende nachgeben. Und ansonsten, wenn man überlegt, wenn man sich das lohnt, kann man sich auch natürlich selber ein Anwalt holen und klagen, was da natürlich noch aufwendiger ist. Wobei man da zum Beispiel aber auch relativ gut Schadensersatz holen kann. Da gibt es auch inzwischen einige gute Entscheidungen dafür, auch wenn es noch nicht ganz klar ist, mit Schadensersatz. Ja, Lift wollte, glaube ich, noch was dazu sagen. Genau, ich finde, es ist irgendwie so ein ganz schwieriges Thema. Aber auf der einen Seite möchte man ja irgendwie, dass sich das ändert und das ist irgendwie, für alle Gutleute und vor allem, dass es nicht nur für die ganzen Techniker viele Leute irgendwie einfach ist. Aber gleichzeitig finde ich es schwierig, eine Person, also wenn ich hier zum Beispiel mal gemacht habe, und dann möchte ich auch nicht dafür verantwortlich sein, dass die Person dann irgendwie davon irgendwie so was Böses mitträgt. Also deshalb finde ich das irgendwie ganz schwierig. Und ich glaube, was ich eher machen würde, ist, dass ich vielleicht der Person selber schreiben würde. Genau, aber ich finde das, ich finde das ganz schwierig, weil ich finde, auf der einen Seite steht so dieses, es soll besser werden und es ist ein Gesetz und die haben da irgendwie eine Verpflichtung zu und auf der einen Seite ist so dieses ja auch nur Menschen. Aber wer auch eine Verpflichtung hat, sind ja Programmierende, vor allem auch bei JedenTact. Und ich glaube, damit kennt sich mit dem Zopf gut raus. Genau, da war ja so, kam auch im Chat die Frage, wie können wir selbst damit umgehen, wenn wir irgendwie als HackerInnen, als Nerds, irgendwie unsere kleinen Sachen entwickeln. Und da ist finde ich immer der erste Satz erstmal überlegen, was für Daten brauche ich überhaupt. Wenn ich irgendwie eine kleine App baue, wo ich mich anmelden kann, brauche ich eine E-Mail-Adresse oder reicht es, wenn ich mir einfach nur ein Benutzer in einen Namen gebe und ein Passwort. Dann habe ich gar keine personenbezogenen Daten, außer den Passwort. Und dann ist es sehr viel einfacher, das zu schützen und so weiter. Das heißt, was ich damit sagen will, Privacy by Default und Privacy by Design. Also erstmal die Anwendung so entwickeln, dass sie so wenig Daten wie möglich überhaupt braucht und gar nicht die Möglichkeit bietet, unnötige Daten anzunehmen. Zum Beispiel Geschlecht, Alternationalität, das sind Daten, die kann man eigentlich immer weglassen. Vielleicht bevorzugte Sprache, das kann sinnvoll sein. Aber selbst das braucht man häufig gar nicht. Vierwichtiger ist dann auch die Dinge, die zu verarbeiten oder mindestens genauso wichtig ist, dass die Dinge, die auf jeden Fall verarbeitet werden, müssen zu minimieren. Also zum Beispiel einfach mal nicht standardmäßig die IP-Adressen auf den Web-Servern von den Leuten, die es besuchen. Automatisch Posts zum Beispiel in einer Chat-App nach zwei Wochen löschen. Oder generell alle Logging-Daten löschen personenbezogene Daten verschlüsseln. Also in der Datenbank, wo Daten gespeichert werden, irgendwie alles mit einem Passwort verschlüsseln, was nicht für andere zugänglich sein muss. Somit habt ihr ganz eine minimale Angriffssäche und gewährleistet eben auch diese gefolte Datensicherheit. Das heißt einfach, würde ich sagen, immer minimieren, was wir machen müssen. Genau, da würde ich mich auch sagen, das Wichtigste ist eigentlich erstmal, dass man eben sagt, also Datenschutz ist grundsätzlich erstmal Datensicherheit. Also dass man Daten, die man hat sicher verarbeitet, das heißt eben verschlüsselt sichere Transportkanäle nutzt. Also vielleicht habt ihr es mitbekommen, es gab jetzt ja vor ein paar Wochen so ein Bußgeld, irgendwie 900.000 Euro gegen 1&1. Das lag nicht daran, dass die irgendwelche seltsamen Sachen gemacht haben, irgendwelche kryptischen Vorschriften gegen die, die verstoßen haben, sondern die haben einfach nur dafür sorgt, dass andere Leute, die dazu nicht befugt sind, auf die Daten zugreifen können. Und das heißt, das sind eben solche grundlegenden Sachen, dass man erstmal dafür sorgt, dass die Daten gesichert sind. Und das Zweite ist dann eben, dass man vermeidet, Personenbezungen Daten zu verarbeiten. Nur ist es notwendig und wenn ja, dann kann man sie verarbeiten und sind die Daten überhaupt geeignet. Also jetzt zum Beispiel hat jemand beschrieben, dass das mit dem Usernamen gute Ansatz ist, aber wenn man ohne Verifizierung Account erstellen kann, ist das auch nach Teilhaft. Genau, es ist halt eben so, es ist immer eine Abwägungssache. Man kann nicht pauschal sagen, die Daten sind gut, die sind schlecht, sondern man muss halt immer sagen, brauche ich diese Daten, weil zum Beispiel für jetzt eine Webseite, die nur privat oder so was ist, wo jetzt nichts ist, braucht man vielleicht keine Verifizierung. Andererseits gibt es Webseiten, wofür man eine Verifizierung braucht. Das heißt, es hängt immer komplett davon ab, was man jetzt gerade haben will. Und ja, das sind eben die wichtigen Sachen, dass man es minimiert. Und dann gibt es noch so ein paar Sätze, man muss so eine Datenschutzerklärung schreiben, da viel Aufwand ist, aber man muss im Prinzip nur schreiben, welche Daten man verarbeitet, wofür und welche Rechtsgrundlage das hat, da gibt es eigentlich im Wesentlichen nur ist für die Verarbeitung notwendig. Ich habe ein berechtigtes Interesse oder die Person hat explizit eingewilligt, wo Beeinwilligung auch wieder schwierig ist, sich nochmal kurz lesen, vielleicht könnt ihr dazu noch ein paar Fragen stellen, wenn ihr wollt. Aber jetzt wollte, glaube ich, noch jemand immer was sagen, einer von euch? Das ist gerade gemütet. Ja, genau, ich wollte noch eine Kleinigkeit sagen. Zwei Datenschutzerklärung, ganz wichtiger Punkt. Und da finde ich, kann man das Privacy bei Design ganz gut durchsetzen. Das war nicht Privacy bei Design, das englische Wort Design, sondern da können wir das deutsche Wort Design nehmen, also vom Aussehen her. Da möchte ich mal die Software von Google namens Kegel anführen. Google ist ja eigentlich datenschutzmäßig echt eine Katastrophe in vielen Punkten, das ist ein Framework für Online-Deep-Learning. Und da fand ich es ganz schön, wenn du dich da registrierst, da hast du die Datenschutzerklärung, alle Punkte, nicht rechtskräftig irgendwie so ideoristischer Sprache beantwortet, sondern mit ganz klaren Einsatzfragen antworten, ist da einmal die Datenschutzerklärung bei der Anmeldung aufgeschlossen. Das sind irgendwie nur, ich will sagen mal, 10 Zeilen, wo alle Punkte, die in der Datenschutzerklärung ganz klar aufgelistet sind. Und da gibt es natürlich nochmal die große Datenschutzerklärung, wo das Ganze in juristischem Englisch aufgeschlossen ist. Er war eben einfach nochmal bei der Anmeldung ganz klar die wichtigsten Punkte nennen und nicht nur sagen, ja, ich habe die Datenschutzerklärung gelesen und so weiter, sondern das übersichtlich gestalten. Das finde ich einen ganz tollen Ansatz und ich glaube, mehr Entwickler in diesen Ansatz verwenden, das finde ich ein sehr guten Punkt, was wir alle berücksichtigen können. Genau, ich glaube, eine Sache, die jetzt auch immer so eine kleine Runde ist, als wir jetzt darüber geredet haben, ist, dass es einfach wichtig ist, so dieses Mindset zu haben. Und ich glaube, hat auch vorhin eine Person gefragt, wie macht man das den entwickelnden Personen einfacher, sich daran zu halten. Und ich glaube, das ist wirklich dieses Mindset, das man schon wirklich, ich möchte da keine Daten erheben und nicht davon ausgeht, mit, okay, ich erhebe ganz viele Daten und benutze nur die, die ich wirklich brauche. Und ich glaube, das kann sowas sein, wo man vielleicht auch an sich selber arbeiten kann und dass man so denkt, okay, also vielleicht kann man auch im echten Leben mal durchgehen und gucken, sowas, was für Daten gebe ich über mich auch selber Preis. Und dass man sozusagen den Default ist, nichts preisgeben und immer nur das Preis geben, was man braucht. Das kann man auch ausmachen. Man hat ja auch Familie und Freunde, die vielleicht mehr über einen wissen können. Aber ich glaube, dass sich das auch ganz gut so auf Technologie übertragen lässt. Also, dass man sich da wirklich irgendwie drüber nachdenkt und da ein bisschen mehr Zeit rein auch verdeckt. Und ich glaube, das ist auch bei Jugendhektprojekten ja machbar ist. Also, da hatten wir ja oft einen Wochenende und ich glaube, dann findet man da mal drüber nachzudenken. Das ist ja auch ethisch interessant. Und wenn ja auch mit Code die Welt verbessern, ich glaube, dazu gehört auch, dass man die Welt verbessert in Hinsicht auf Datenschutz. Und es ist ja auch ein wichtiges Thema für Jugendliche. Warum glaubt ihr denn, wissen vielleicht so viele Jugendliche gar nicht so viel über Datenschutz? Oder ist es ihnen nicht so wichtig, nochmal so ein ganz anderes Thema, vielleicht fragwürdig gehandelt wird? Warum glaubt ihr, dass vor allem Jugendliche das so ignorieren? Ja, die Frage ist kann ich natürlich nicht beantworten. Ich weiß jetzt nicht genau, was andere Jugendliche denken, aber ich denke, ein Problem ist zum einen, dass Datenschutz immer so ein abstraktes Thema ist. Also, das liest man davon. Manchmal liest man noch irgendwelche Sachen in Zeitungen oder online Zeitungen wahrscheinlich eher, aber weiß auch nicht und zum anderen ist es auch so, Datenschutzentklärungen sind ja wie gesagt meistens in so einem Jurorsprech geschrieben, was eigentlich ganz interessant gar nicht notwendig ist, eigentlich ganz im Gegenteil, die soll ja, wie gesagt, gut lesbar sein, so dass möglichst jede Person, die versteht, dieses Microsoft-Beispiel von vorn ist da eher ein komplettes Gegenbeispiel, es ist eigentlich eher schädlich und man könnte argumentieren, es ist fast schon eher eigentlich schon wieder ein Verstoß gegen den Datenschutz und das, also das eben was das nicht gut formuliert ist und das andere ist, dass man sich auch mit der DSGVO gar nicht so beschäftigt hat. Ich kann tatsächlich allen Leuten empfehlen, sich die mal durchzulesen, die ist relativ gut formuliert, anders als manch andere Gesetze, die man kann sich da mal den Anfang durchlesen, alles was man nicht versteht überspringen, aber die meisten Sachen versteht man eigentlich relativ gut so, ohne dass man davor irgendwie erst ein Jurastudium oder so was benötigt und das finde ich eben vortehaft auch, das heißt man sollte sich damit mal beschäftigen und zum anderen müsste mehr Awareness dafür geschafft werden, ich hoffe natürlich, dass dieser Vortrag ein bisschen dazu auch beihilft, aber vielleicht sollte es auch irgendwie in der Schule oder so was angesprochen werden, es gibt ja immer mehr Informatik oder ITG-Unterricht, also was da könnte man halt auch sich vielleicht eine oder zwei Stunden damit beschäftigen, das würde denke ich schon sehr viel helfen. Genau und die Richtung auch, weshalb das gar nicht so häufig ankommt bei den Leuten ist glaube ich, weil sie gar nicht so das Verständnis dafür haben und gar nicht nahe gebracht bekommen, weshalb das wichtig ist. Darüber haben wir jetzt auch gar nicht gesprochen, es wäre noch mal was völlig anderes, aber dass viele Leute sich gar nicht dessen bewusst sind, was dafür ein Finanzierungs- und Ausbeutungsmodell hinterm Datensammeln steckt und wie viel und weshalb überhaupt eine App kostenlos sein kann. Ich glaube diese Reflexion fehlt bei vielen Leuten, das finde ich total schade, oder Liv? Genau, finde ich auch so. Ich glaube, Paul hat ja schon angesprochen, so sollte man das auch mehr in der Schule thematisieren, indem ich mich total zugehe, aber ich weiß nicht, ob sich alle Lehrer dem so gewappnet fühlen würden. Ich habe noch nicht eine Präsentation gehalten über Datenschutz für Jugendliche in der Schule und habe das auf der Webseite Have I Been Pound gezeigt, wo man so seine E-Mail-Dresse eingeben kann, dann kann man sehen wo es in den Leaks gab, wo die rausgekommen ist. Das ist ja auch was mit Datenschutz zu tun hat. Das war total cool und total interessant und da hat der DSGVO vorgestellt und das kannte praktisch keiner. Also ich finde, das ist ein guter Punkt, wo man ansetzen muss, aber ich glaube, das reicht nicht. Also ich glaube, da muss die Schule an sich selber mehr bruschen, weil man das nicht auf die Schule ablagern kann. Genau, falls ihr im Chat oder wo auch immer ihr gerade ne, man guckt nicht im Chat so, wo auch immer ihr gerade so guckt, falls ihr noch mit uns weiter diskutieren wollt und noch Fragen habt, gehen wir danach noch in ein Big Blue Button-Raum, der ein bisschen datenschutzfreundlich ist, also das müsst ihr euch da keine Sorgen machen und genau, wir würden uns freuen, wenn noch möglichst viele Leute dort mit uns weiterreden, da dieser Stream in 3 Minuten zu Ende ist. Aber genau, mir zu Teil viel Spaß gemacht mit euch zu diskutieren und ich finde, das ist ein total wichtiges Thema, wo man auch endlos weiter drüber reden könnte. Genau, und an der Stelle nochmal wir haben jetzt total viel Rückmeldung schon im Chat bekommen, dass euch den Talk vielleicht auch gefallen hat und es freut uns natürlich auch total, dass wir euch ja irgendwie ein bisschen Input geben können. Ja, war total nett mit euch als Publikum, auch wenn wir euch leider dieses Mal nicht vor Ort sehen. Aber es hat ja auch ein Vorteil für die Daten schutzrechtlich, dann egal, okay so funktioniert es nicht, aber gut. Nee, ja, hat mir auch Spaß gemacht auch Danke für die, die zugehört haben und ich freue mich auch gleich dann noch auf vielleicht falls auch Fragen sind im Big Blue Button vielleicht auch zu eigenen Projekten wenn ihr da was habt, könnt ihr auch fragen vielleicht können wir euch ja da irgendwie weiterhelfen oder so was. Aber dann tschüss und bis zum nächsten Community Talk. Tschüss, bis zum Big Blue Button.