Re: [Talk-de] Datenschutz bei OSM - Schweiz
Die von Frederik angestossene Diskussion bezog sich den Schutz von OSM Beitragenden, dass hat zwar auch mit Geodaten zu tun, aber es ging nicht primär um die Datenschutzproblematik der von uns gesammelten Daten für Dritte was eher interessant wäre für den Datenschutz. Letzteres ist, wie Stefan schon darauf hingewiesen hat, eher ein Frustthema für die Datenschutzbeauftragten da sie seit Jahren im wesentlichen ignoriert werden, und zwar von allen Markteilnehmern, inklusive den jeweiligen Staaten. Stichworte: hochauflösende Luftbilder (d.h. besser als 2m/pixel), Katasterinformationen, Adressen etc.. SImon signature.asc Description: OpenPGP digital signature ___ Talk-de mailing list Talk-de@openstreetmap.org https://lists.openstreetmap.org/listinfo/talk-de
Re: [Talk-de] Datenschutz bei OSM - Schweiz
Am 13. Juni 2017 um 11:11 schrieb Stephan Knauss: > Das was wir erfassen sind reine Geodaten ohne Personenbezug. Somit nicht > zutreffend. > > Bleiben die Metadaten. Die sind aber nicht an eine Person gekoppelt, > sondern an ein Pseudonym. Du hast weder eine technische, noch eine > rechtliche Möglichkeit herauszufinden welcher Person ein Pseudonym > zuzuordnen ist. > Ich würde auch so argumentieren, allerdings gibt es ein allerdings. Der Personenbezug kann dadurch entstehen, dass Du durch Dein individuelles Mapping-muster (Aktivitätszeit und Ort, Art der Edits (z.B. welche tags, welche Art von Objekten, welche Art changesets zu machen, Sprache bei freien Texten wie description, note, changeset comments, etc.)) vermutlich erkennbar bzw. "klassifizierbar" bist, vor allem, wenn Du "mittel" oder mehr aktiv bist oder eine besondere Vorliebe / Interessengebiet hast (mittel deshalb, weil bei geringer Aktivität die Daten nicht ausreichen dürften). Damit kann in vielen Fällen (vermutlich mehr in dünn besiedelten Gebieten als in konzentrierten Räumen) wahrscheinlich eine individuelle Zuordnung zu einer realen Person erfolgen, allerdings nur, wenn man schon zuvor (aus anderer Quelle) viel weiss über diese Person, und wenn derjenige nicht versucht, seine Identität zu verschleiern. Eine rechtliche Möglichkeit gibt es sicherlich (für die Behörden), über Email-adresse, login und IP Vorratsdaten in fast allen Fällen an echte Personendaten zu kommen. Für den einfachen Mapper empfiehlt sich "social engineering" ;-) Ich denke aber nicht, dass Datenschutz für uns ein Problem werden wird, zumindest kein größeres, als wir jetzt schon haben (Leute, die aus Furcht nicht mitmachen wollen). Da wird schon die Industrie dafür sorgen, dass Datenreichtum auch in Zukunft möglich sein wird. Vielleicht muss man den Text bei der Anmeldung noch expliziter machen, oder die CT ergänzen, so dass es jedem klar wird, dass jeder sehen kann, welches Pseudonym wann was gemacht hat. Alternativ fände ich auch eine technische Lösung spannend: user sind kryptographisch geschützt, es gibt "Gruppen" (oder "Stämme", etc.), denen man sich anschließen kann, und die nach Themen, Interessen oder räumlich oder beides organisiert sein könnten (z.B. Fahrradfahrer in Karlsruhe, Eisenbahnfans in Deutschland), Mehrfache Mitgliedschaft wäre ggf. üblich. Bei Gruppen an denen man teilnimmt kann man sehen, welches Pseudonym was gemacht hat (bzw. aus welcher "Untergruppe" der user kommt, falls es sehr große Gruppen sind), wer nicht der Gruppe angehört kann als Bearbeiter nur den Gruppennamen sehen (und Kontakt mit der gesamten Gruppe bzw. einem Moderator aus der Gruppe aufnehmen). Vielleicht könnte man das sogar (technisch/kryptographisch) so machen, dass man die einzelnen User entweder sehen kann, wenn man räumlich in der Nähe verortet ist, oder wenn man in dem Themengebiet "Renommé" hat. Die Gruppen könnte jeder gründen, sie können auch ganz klein sein, und sie können auch Leute rauswerfen, die unangenehm aufgefallen sind. So was würde die DWG entlasten, das System würde viel besser skalieren, weil es sich anpasst und "Macht" (über die eigene Gruppe) an die lokalen Communities gehen würde. Es könnte Gruppen mit erfahrenen Members geben, ggf. bräuchte man eine Einladung von einem Gruppenmember um beizutreten, etc. Gruß, Martin ___ Talk-de mailing list Talk-de@openstreetmap.org https://lists.openstreetmap.org/listinfo/talk-de
Re: [Talk-de] Datenschutz bei OSM - Schweiz
Hallo Markus, das von dir zitierte Dokument scheint auf OSM nur sehr begrenzt zuzutreffen. Es bezieht sich ja ausdrücklich auf GIS die personenbezogenen Daten sichtbar machen sollen. Als Beispiel ist eine Anwendung aufgeführt, die Alter und Einkommen der Bewohner eines Quartiers auswertet. Also so etwas wie das Geoscoring, das der Schufa nachgesagt wurde. Das was wir erfassen sind reine Geodaten ohne Personenbezug. Somit nicht zutreffend. Bleiben die Metadaten. Die sind aber nicht an eine Person gekoppelt, sondern an ein Pseudonym. Du hast weder eine technische, noch eine rechtliche Möglichkeit herauszufinden welcher Person ein Pseudonym zuzuordnen ist. Dass es Ausnahmen gibt in denen eine Person freiwillig eine Beziehung zu ihrem Pseudonym herstellt ist bei der großen Masse die Ausnahme und somit auch nicht relevant. Was sicher nützlich ist wäre ein deutlicher Hinweis bei der Anmeldung dass die Metadaten essentiell für das Funktionieren der Community sind und einsehbar sind. OSM ist aber bei weitem unkritischer als Internet Foren, bei denen ja auch das Datum und Uhrzeit angezeigt wird. Oder noch schlimmer Facebook, bei dem durch Einbeziehung der Freunde eine Person in der Regel identifizierbar ist. Stephan On June 13, 2017 6:20:22 AM GMT+02:00, Markuswrote: >Hallo Frederik, > >> Fürsorgepflicht gegenüber unseren Mappern >> vor möglichem Datenmissbrauch schützen > >Zufällig stosse ich auf ein Gutachten des Eidgenössischen Datenschutz >und Öffentlichkeitsbeauftagten der Schweiz. >https://www.edoeb.admin.ch/datenschutz/00628/00665/00681/index.html?lang=de > >Ich vermute, das hat tiefgreifende Auswirkungen auf unsere Arbeit... > >Der entscheidende Punkt: >*die Verknüpfung mit Personendaten begrenzen oder verunmöglichen* > >"begrenzen" meint: >"Frederik arbeitet mit" oder >"Frederik hat 2016 ##-tausend Punkte eingetragen" ist möglicherweise >ok, >"Frederik hat folgende Daten eingetragen" ist ohne seine explizite >Zustimmung nicht ok. > >> Jeder, der unser Planetfile runterlädt und verarbeitet, wird >> unwillkürlich zum Verarbeiter persönlicher Daten > >Ja, das Planetfile darf m.E. nur anonymisiert verbreitet werden. > >> * Wer sich drum kümmert, kann heute schon seine Daten in OSM >schützen, >> und die, denen das wichtig ist, die wissen meist auch, was sie machen >> müssen. > >Das ist nicht ausreichend. > >Erforderlich ist ein Opt-In-Verfahren, also eine ausdrückliche >qualifizierte Zustimmung zur nicht anonymisierten Datenerfassung, >bzw. der automatischen Ablehnung einer Nicht-Anonymisierung, wenn nicht >explizit zugestimmt wird. > >Ich vermute, eine solche Zustimmung würden nur wenige erteilen. >Es ist aus datenschutzrechtlicher Sicht sinnvoll, die Daten >grundsätzlich zu anonymisieren. > >Ein Zugriff auf die Verknüpfungstabelle wäre dann ausschliesslich der >DWG gestattet. Die Möglichkeit für Dritte muss technisch ausgeschlossen >sein. > >> * Egal, was wir tun oder nicht tun, wir sollten eventuell dafür >sorgen, >> dass neue Benutzer ganz genau wissen, was sie tun und was über sie >> später ermittelbar ist. > >Das ist sowohl für Daten in DE als auch in CH zwingend. > >> im deutschen Recht, der Datenschutz stärker als das Urherber- >> oder Datenbankschutzrecht oder irgendwelche Lizenztexte. > >Gilt auch für CH. > >Mit herzlichem Gruss, >Markus > >___ >Talk-de mailing list >Talk-de@openstreetmap.org >https://lists.openstreetmap.org/listinfo/talk-de ___ Talk-de mailing list Talk-de@openstreetmap.org https://lists.openstreetmap.org/listinfo/talk-de
Re: [Talk-de] Datenschutz bei OSM - Schweiz
Sehe ich ähnlich wie Christoph. Einige Schweizer Datenschutzbeauftragte behaupteten damals gar, dass sämtliche räumlichen Datensätze (z.B. Froschlaichplätze) unter Personendatenschutz(!) fallen, denn sie lassen sich räumlich mit den Grundstückseigentümern verknüpfen... Nach 2004 kam dann das sog. Geo-Informationsgesetz des Bundes (2008) und bis heute sind die Kantone dran. Und das alles betrifft v.a. die Behörden-Daten! :Stefan Am 13. Juni 2017 um 09:50 schrieb Christoph Hormann: > On Tuesday 13 June 2017, Markus wrote: >> >> Zufällig stosse ich auf ein Gutachten des Eidgenössischen Datenschutz >> und Öffentlichkeitsbeauftagten der Schweiz. >> https://www.edoeb.admin.ch/datenschutz/00628/00665/00681/index.html?l >>ang=de >> >> [...] > > Bevor jetzt wieder irgendjemand Panik schiebt - der verlinkte Text > zitiert keinerlei Rechtsgrundlagen und kann wohl im Wesentlichen als > Wunschliste des Datenschutzbeauftragten von vor 13 Jahren verstanden > werden, wie die Dinge damals seiner Meinung nach zu seien hatten. > > Also bevor Leute jetzt irgendeine Laien-Interpretation so eines Textes > als Quasi-Gesetz bringen und darauf aufbauend behaupten, was bei OSM > wie sein muss bitte erst einmal auf die Gesetzeslage und die > Rechtsprechung schauen. Auch in der Schweiz muss jede Vorschrift eine > Rechtsgrundlage haben und daneben kommt es meist auch stark auf die > etablierte Interpretation der Begriffe an. > > -- > Christoph Hormann > http://www.imagico.de/ > > ___ > Talk-de mailing list > Talk-de@openstreetmap.org > https://lists.openstreetmap.org/listinfo/talk-de ___ Talk-de mailing list Talk-de@openstreetmap.org https://lists.openstreetmap.org/listinfo/talk-de
Re: [Talk-de] Datenschutz bei OSM - Schweiz
On Tuesday 13 June 2017, Markus wrote: > > Zufällig stosse ich auf ein Gutachten des Eidgenössischen Datenschutz > und Öffentlichkeitsbeauftagten der Schweiz. > https://www.edoeb.admin.ch/datenschutz/00628/00665/00681/index.html?l >ang=de > > [...] Bevor jetzt wieder irgendjemand Panik schiebt - der verlinkte Text zitiert keinerlei Rechtsgrundlagen und kann wohl im Wesentlichen als Wunschliste des Datenschutzbeauftragten von vor 13 Jahren verstanden werden, wie die Dinge damals seiner Meinung nach zu seien hatten. Also bevor Leute jetzt irgendeine Laien-Interpretation so eines Textes als Quasi-Gesetz bringen und darauf aufbauend behaupten, was bei OSM wie sein muss bitte erst einmal auf die Gesetzeslage und die Rechtsprechung schauen. Auch in der Schweiz muss jede Vorschrift eine Rechtsgrundlage haben und daneben kommt es meist auch stark auf die etablierte Interpretation der Begriffe an. -- Christoph Hormann http://www.imagico.de/ ___ Talk-de mailing list Talk-de@openstreetmap.org https://lists.openstreetmap.org/listinfo/talk-de
Re: [Talk-de] Datenschutz bei OSM - Schweiz
Hallo Frederik, > Fürsorgepflicht gegenüber unseren Mappern > vor möglichem Datenmissbrauch schützen Zufällig stosse ich auf ein Gutachten des Eidgenössischen Datenschutz und Öffentlichkeitsbeauftagten der Schweiz. https://www.edoeb.admin.ch/datenschutz/00628/00665/00681/index.html?lang=de Ich vermute, das hat tiefgreifende Auswirkungen auf unsere Arbeit... Der entscheidende Punkt: *die Verknüpfung mit Personendaten begrenzen oder verunmöglichen* "begrenzen" meint: "Frederik arbeitet mit" oder "Frederik hat 2016 ##-tausend Punkte eingetragen" ist möglicherweise ok, "Frederik hat folgende Daten eingetragen" ist ohne seine explizite Zustimmung nicht ok. > Jeder, der unser Planetfile runterlädt und verarbeitet, wird > unwillkürlich zum Verarbeiter persönlicher Daten Ja, das Planetfile darf m.E. nur anonymisiert verbreitet werden. > * Wer sich drum kümmert, kann heute schon seine Daten in OSM schützen, > und die, denen das wichtig ist, die wissen meist auch, was sie machen > müssen. Das ist nicht ausreichend. Erforderlich ist ein Opt-In-Verfahren, also eine ausdrückliche qualifizierte Zustimmung zur nicht anonymisierten Datenerfassung, bzw. der automatischen Ablehnung einer Nicht-Anonymisierung, wenn nicht explizit zugestimmt wird. Ich vermute, eine solche Zustimmung würden nur wenige erteilen. Es ist aus datenschutzrechtlicher Sicht sinnvoll, die Daten grundsätzlich zu anonymisieren. Ein Zugriff auf die Verknüpfungstabelle wäre dann ausschliesslich der DWG gestattet. Die Möglichkeit für Dritte muss technisch ausgeschlossen sein. > * Egal, was wir tun oder nicht tun, wir sollten eventuell dafür sorgen, > dass neue Benutzer ganz genau wissen, was sie tun und was über sie > später ermittelbar ist. Das ist sowohl für Daten in DE als auch in CH zwingend. > im deutschen Recht, der Datenschutz stärker als das Urherber- > oder Datenbankschutzrecht oder irgendwelche Lizenztexte. Gilt auch für CH. Mit herzlichem Gruss, Markus ___ Talk-de mailing list Talk-de@openstreetmap.org https://lists.openstreetmap.org/listinfo/talk-de