Re: [MS Piraten] Zwangspersonalisierung von Mensakarten bei Beschäftigten der WWU

[Thomas Walter <tw AT b-a-l-u.de>]

Am 11/10/15 um 19:44 schrieb Philipp:
> > Sie konnten Deine Karte identifizieren, aber nicht Dich.
>
> Der Unterschied spielt keine Rolle, so lange ich im Vorbeigehen die
> Seriennummer deiner Karte auslesen kann.

Meine Seriennummer kann nicht mal das Lesegerät der Mensa auslesen, wenn 
ich die Karte nicht in einem bestimmten Winkel mit leichtem Druck 
gebogen drauflege. ;).

> Außerdem geht ich mit meiner Karte schon seit 2003 in der Mensa essen.
> Ich glaube schon, dass mein Profil groß genug wäre, mich zu
> reidentifizieren. "Big Data" lässt grüßen.

Dazu müsste man wissen, wann und wo Du in die Mensa gehst und was Du 
dort isst. Wenn Du nicht gerade von jedem Mensaessen ein Foto bei 
Facebook hochlädst, dürfte das schwierig sein. Wenn Du z.B. Deinen 
Standortverlauf bei Google aktiv hast, brauchen wir auch nicht mehr über 
die Mensakarte zu diskutieren...

> Übrigens: Die Definition von "pseudonym" gibt keine Aussage darüber, wie
> schwer es sein muss, die Daten auf eine Person zurück zu verfolgen. Wenn
> es theoretisch möglich ist, sind die gespeicherten Daten nicht mehr
> anonym, sondern pseudonym.

Es gibt beim Datenschutz zwei Definitionen, den objektiven und den 
relativen Personenbezug. Beim objektiven Personenbezug reicht die 
theoretische Möglichkeit, der relative Personenbezug bezieht sich auf 
die jeweilig verarbeitende Stelle.

Eine IP-Adresse kann von einem Webserver-Admin nicht direkt einer Person 
zugeordnet werden (relativ). Theoretisch hat er die Möglichkeit, beim 
Provider nachzufragen, wem die IP-Adresse zugeordnet wurde (objektiv).

Welche der beiden Sichtweisen für den Datenschutz nun die richtige ist, 
darüber streiten Gerichte seit Jahren.

> Anonym wäre es nur, wenn diese Logs eben nicht die Seriennummer der
> Karte speichern würde.
>
> Übrigens: Bei deinem Auto gibt es auch keine feste Zuordnung zu einem
> Fahrer. Du darfst es auch verleihen. Trotzdem ist die massenhafte
> Erfassung von Kennzeichen datenschutzrechtlich bedenklich.

Beim Auto gibt es eine feste Zuordnung zu einem Halter. Dieser Halter 
ist für sein Fahrzeug verantwortlich. Parkt zum Beispiel jemand anders 
mit Deinem Auto im Halteverbot und lässt sich dieser andere nicht 
feststellen, erhältst Du den Kostenbescheid.

Eine ähnliche Zuordnung gibt es bei der Mensakarte nicht.

Kommen wir zurück zur ursprünglichen Mail von Jens. Er hatte Bedenken, 
dass seine Personendaten direkt seiner Karte zugeordnet werden sollen. 
Das ist meines Wissens nicht der Fall. Es wird nur bei der Ausgabe die 
Legitimierung geprüft, ob er eine Mitarbeiterkarte haben darf.

Dementsprechend können wir weiter über generelle Datenschutz- und 
Sicherheitsbedenken bei der Mensakarte diskutieren, aber die Ankündigung 
vom Studentenwerk ändert nichts an dem seit x0 Jahren verwendeten 
System. Es ist der falsche Aufhänger für die Diskussion.

     Balu