Datenschutzrechtliches

Da immer mal wieder die Frage aufkommt, wie man Datenschutzrechtlich
korrekt seine Ahnen auf die Homepage bringt, habe ich mal den
Datenschutzbeauftragten gefragt. Hier seine Antwort:

"Eine Lagerung von Daten auf dem Server eines Providers ist solange noch
keine Weitergabe oder Veröffentlichung wie die Daten ausreichend
geschützt sind. Im Hinblick auf den Schutz und die Sicherung von
personenbezogenen Daten vor unbefugten Zugriff, haben Sie die
technischen und organisatorischen Maßnahmen nach § 9 BDSG zu
erfüllen. Passwort und unverschlüsselte Speicherung sind sicherlich
nur ein schwacher Schutz.
Ich empfehle Ihnen, das Konzept Ihres Projektes allen Verwandten
vorzustellen und deren schriftliche Einverständnisse einzuholen Vorher
sollten Sie auf eine Speicherung der Daten auf dem Server eines
Providers verzichten."

Meine Ansicht, die Übertragung der Daten auf den Server sei eine
"Weitergabe an Dritte" sehe ich bestätigt. Auch der Admin, der
unbefugt Zugriff nehemn kann, darf das nicht können. Somit kommt nur
eine verschlüsselte Lagerung und Übertragung der Daten in Frage.

Kennt jemand ein Programm, das so vorgeht?

MfG, Metti.

Genealogieprogramme im GenWiki:
http://wiki-de.genealogy.net/wiki/Kategorie:Genealogiesoftware

Stefan Mettenbrink:

Meine Ansicht, die Übertragung der Daten auf den Server sei eine
"Weitergabe an Dritte" sehe ich bestätigt. Auch der Admin, der
unbefugt Zugriff nehemn kann, darf das nicht können.

Das wird von manchen Juristen anders gesehen. Für die Speicherung auf einem
Server gelten die selben Anforderungen wie auch für die Erhebung der Daten.
Wenn man nun eine Datei (ausreichend gegen öffentlichen Zugang gesichert,
z.B. durch ein gutes Paßwort) auf einem Server speichert, nimmt man
üblicherweise nur selbst darauf Zugriff, wie auch bei einer Datei in den
eigenen vier Wänden. Der Admin oder derjenige, bei dem der Server steht, ist
im Normalfall nicht berechtigt auf die Inhalte zuzugreifen. Daher ist es
datenschutzrechtlich nicht gesondert zu betrachten.

Was ist eigentlich mit dem Einbrecher, der die Daten aus der Wohnung stiehlt?
Der wird sicherlich keine Datenschutzerklärung unterschreiben.

Gruß
Jesper

- --
Jesper Zedlitz E-Mail : jesper@zedlitz.de
                  Homepage : http://www.zedlitz.de
                  ICQ# : 23890711

Genealogieprogramme im GenWiki:
http://wiki-de.genealogy.net/wiki/Kategorie:Genealogiesoftware

Jesper Zedlitz wrote:

Der Admin oder derjenige, bei dem der Server steht, ist
im Normalfall nicht berechtigt auf die Inhalte zuzugreifen.

Der Datenschutzbeauftragte spricht hier von einem "unbefugten Zugriff"
auf Daten die dagegen nicht ausreichend geschützt sind.

Was ist eigentlich mit dem Einbrecher, der die Daten aus der Wohnung stiehlt?

Ich nehme an, Du hast Deine Wohnung ausreichend gegen den "unbefugten
Zugriff" geschützt

Wie auch immer das der Einzelne für sich auslegt, ist unerheblich.
Wenn es aber zu einem Zugriff durch den Admin gekommen ist und der
Richter fragt, "wie haben Sie die Daten gegen den Zugriff geschützt?",
sollte man einen gute Antwort haben.
Generell ist gegen eine Verschlüsselung der Daten doch wohl nichts
einzuwenden, oder?
Warum es dann nicht so machen?
Nur weil es das Programm der Wahl nicht bietet? Dann muss man mit dem
Hersteller sprechen!

MfG, Metti.

Genealogieprogramme im GenWiki:
http://wiki-de.genealogy.net/wiki/Kategorie:Genealogiesoftware

> Der Admin oder derjenige, bei dem der Server steht, ist
> im Normalfall nicht berechtigt auf die Inhalte zuzugreifen.

Der Datenschutzbeauftragte spricht hier von einem "unbefugten Zugriff"
auf Daten die dagegen nicht ausreichend geschützt sind.

Ein Admin ist nicht berechtigt, die auf dem Server gespeicherten Daten
einzusehen. Es sei den er wird von dem "Mieter" beauftragt, die Daten
einzusehen. Wenn der Zugang zu dem Speicherplatz geschützt ist und der
Server nicht "grob fahrlässig" errichtet ist (ohne Firewall,
Sicherheitsmechanismen) kann ich mir nicht vorstellen, dass dadurch gegen
den Datenschutz verstossen wird. Falls dem so sein sollte, dann müssen sich
alle, die einen Rechner z. B. über Ratenkauf bezahlen auch fragen, ob sie
gegen Datenschutz verstossen, da der Rechner nicht in ihrem Eigentum. Oder?
Was ist eigentlich mit EMails, die in einem Postfach auf einem Server
liegen? Das kann man sicherlich auf die Spitze treiben: Wie sieht es mit
Dokumenten aus, die auf dem Schreibtisch in einer Mietwohnung liegen? Dort
kann der Vermieter auch Einsicht nehmen. Ein Bankschließfach kann ebenfalls
von jemandem mit Generalschlüssel geöffnet werden....

Wenn es aber zu einem Zugriff durch den Admin gekommen ist und der
Richter fragt, "wie haben Sie die Daten gegen den Zugriff geschützt?",
sollte man einen gute Antwort haben.

Dann muss zunächst einmal derjenige, dessen Daten mißbraucht wurden, den
Admin anzeigen. Der Admin muss dann preisgeben, woher er die Daten bezogen
hat, bekommt dann noch mehr Schwierigkeiten, da er die Daten unbefugt auf
dem Server eingesehen und verwendet hat und bekommt dann auch noch eine
Anzeige von demjenigen, der die Daten auf dem Server abgelegt hat.

Den Admin sollte man bei so einer Betrachtung mal aussen vor lassen. Wer
sonst kommt leicht an Daten auf den Servern heran? In der heutigen Zeit von
Flatrate, DSL usw. ist jeder private Rechner auch über das Internet
erreichbar, also mit einem Server vergleichbar. Dann dürfte ich zu
schützende Daten auch nur auf einem Rechner ohne Internetzugang, mit
kennwortgeschütztem Zugang und verschlüsselter Festplatte speichern.

Bitte mich nicht falsch versthen, Datenschutz ist wichtig, aber es kann auch
übertrieben werden. In den Niederlanden z. B. können Daten zwei Jahre nach
dem Tod von jedem eingesehen und eine Kopie einer "persoonskaart", auf der
neben Geburts- Heirats-, und Sterbedaten auch die Eltern, und Daten der
Ehen, Kinder vermerkt sind, angefordert werden.

Gruß,
Thomas

Genealogieprogramme im GenWiki:
http://wiki-de.genealogy.net/wiki/Kategorie:Genealogiesoftware

Thomas Wildeboer wrote:

Der Datenschutzbeauftragte spricht hier von einem "unbefugten Zugriff"
auf Daten die dagegen nicht ausreichend geschützt sind.

Ein Admin ist nicht berechtigt, die auf dem Server gespeicherten Daten
einzusehen.

Sagte ich doch. Es ist ein unbefugter Zugriff. Davor musst Du die Daten
schützen.

Falls dem so sein sollte, dann müssen sich
alle, die einen Rechner z. B. über Ratenkauf bezahlen auch fragen, ob sie
gegen Datenschutz verstossen, da der Rechner nicht in ihrem Eigentum. Oder?

Nein. Der Rechner befindet sich in Deiner Obhut und Du schützt ihn
gegen den Zugriff Unbefugter. Wenn jemand den Rechner abholt, wirst Du
die Daten darauf ja wohl löschen.

Was ist eigentlich mit EMails, die in einem Postfach auf einem Server
liegen?

Der, der sie Dir schickt, kann sie verschlüsseln. Du bist nicht
verantwortlich für das Tun anderer.

Das kann man sicherlich auf die Spitze treiben: Wie sieht es mit
Dokumenten aus, die auf dem Schreibtisch in einer Mietwohnung liegen? Dort
kann der Vermieter auch Einsicht nehmen. Ein Bankschließfach kann ebenfalls
von jemandem mit Generalschlüssel geöffnet werden....

Frag doch mal den Datenschutzbeauftragten.

Dann muss zunächst einmal derjenige, dessen Daten mißbraucht wurden, den
Admin anzeigen. Der Admin muss dann preisgeben, woher er die Daten bezogen
hat, bekommt dann noch mehr Schwierigkeiten, da er die Daten unbefugt auf
dem Server eingesehen und verwendet hat und bekommt dann auch noch eine
Anzeige von demjenigen, der die Daten auf dem Server abgelegt hat.

Das entbindet Dich nicht von Deine Pflichten.

Den Admin sollte man bei so einer Betrachtung mal aussen vor lassen. Wer
sonst kommt leicht an Daten auf den Servern heran? In der heutigen Zeit von
Flatrate, DSL usw. ist jeder private Rechner auch über das Internet
erreichbar, also mit einem Server vergleichbar. Dann dürfte ich zu
schützende Daten auch nur auf einem Rechner ohne Internetzugang, mit
kennwortgeschütztem Zugang und verschlüsselter Festplatte speichern.

Mein Rechner ist fast duchgängig an. Versuch doch meine Daten
einzusehen. Deine Aussage ist wenig glaubwürdig.

In den Niederlanden z. B.

... gilt nicht das deutsche Datenschutzgesetz.

Warum nur sperrt ihr euch so gegen eine verschlüsselte Lagerung auf
dem Server?
Wenn das Programm mit einem einfachen Häkchen "verschlüsselt
Übertragen und sichern" das einschaltet, ist das doch kein
Mehraufwand. Ich befürchte nur, dass es kein Programm so macht. Dabei
ist das doch aus Progammierersicht keine große Kunst. Man muss ja
nicht AES verschlüsseln. Es würde reichen, wenn es kein Klartext
mehr ist.
Ob das aus Datenschutzrechtlicher Sicht nun erforderlich ist oder nicht,
man wäre so auf alle Fälle auf der sicheren Seite.

Oder anders gefragt: Wenn Du Deine Dataen anderen mitteilst und er Dir
sagt, die Daten würde er auf seinen Server legen. Könntest Du
zwischen verschlüsselter und unverschlüsselter Lagerung wählen,
wäre Dir verschlüsselt nicht lieber?

Ihr Anwender müsst den Hersteller eurer Programme nur darauf
aufmerksam machen, dass ihr das haben möchtet. Der Hersteller kann mit
solchen Funktionen doch sicher gut werben.

Sollte ich in mein Programm jemals eine Funktion einbauen, die Daten an
einen Server überträgt, wird das auf alle Fälle verschlüsselt
sein und das nicht optional sondern zwingend. Ich sehe keinen Grund, das
anders zu handhaben (außer Faulheit oder Bequemlichkeit).

MfG, Metti.

Genealogieprogramme im GenWiki:
http://wiki-de.genealogy.net/wiki/Kategorie:Genealogiesoftware

Hallo Metti,
was machst Du, wenn Du einen Brief schreibst?
Nur mit Geheimtinte?
Oder wie schützt Du deine Briee gegen "unberechtgten Zugriff"?

Und wieso sind deine Mails an die Liste nicht verschlüsselt?
Immerhin stehen da die Mailadressen drin, in Klartext!
Ich kann mich erinnern, das Du vor kurzer Zeit noch einen Listenteilnehmer
darauf hingewiesen hast, das auch Mail-Adressen unter Datenschutz fallen.

Mit freundlichen Grüssen

Gisbert (Berwe)

> Falls dem so sein sollte, dann müssen sich
> alle, die einen Rechner z. B. über Ratenkauf bezahlen auch fragen, ob
sie
> gegen Datenschutz verstossen, da der Rechner nicht in ihrem Eigentum.
Oder?

Nein. Der Rechner befindet sich in Deiner Obhut und Du schützt ihn
gegen den Zugriff Unbefugter. Wenn jemand den Rechner abholt, wirst Du
die Daten darauf ja wohl löschen.

> Was ist eigentlich mit EMails, die in einem Postfach auf einem Server
> liegen?

Der, der sie Dir schickt, kann sie verschlüsseln. Du bist nicht
verantwortlich für das Tun anderer.

Aber wenn ich Daten auf einem geschützten Server ablege, bin ich verantwortlich für den Zugriff des Admins?

Mein Rechner ist fast duchgängig an. Versuch doch meine Daten
einzusehen. Deine Aussage ist wenig glaubwürdig.

Genau das meinte ich. Versuch doch mal auf die Daten eines geschützten Servers zuzugreifen.

Warum nur sperrt ihr euch so gegen eine verschlüsselte Lagerung auf
dem Server?

Ich sperre mich nicht dagegen. Ich frage mich nur, ob das wirklich notwendig ist. Eine Verschlüsselung verhindert sicherlich auch einige Funktionen. Wenn z. B. mehrere User auf einem Serverdatenbestand arbeiten, müssen alle auch den Zugriff auf die Daten haben d. h. der Schlüssel für Ver- und Entschlüsselung muss bei allen gleich sein.

Ihr Anwender müsst den Hersteller eurer Programme nur darauf
aufmerksam machen, dass ihr das haben möchtet. Der Hersteller kann mit
solchen Funktionen doch sicher gut werben.

Das ist richtig und werde ich auch machen. Wie schütze ich dann den Hersteller vor dem Zugriff auf die Daten, wenn er das Programm auf seinem Server betreibt und für jeden Kunden einen geschützten Bereich einrichtet???

Gruß,
Thomas

Genealogieprogramme im GenWiki:
http://wiki-de.genealogy.net/wiki/Kategorie:Genealogiesoftware

Thomas Wildeboer wrote:

Der, der sie Dir schickt, kann sie verschlüsseln. Du bist nicht
verantwortlich für das Tun anderer.

Aber wenn ich Daten auf einem geschützten Server ablege, bin ich verantwortlich für den Zugriff des Admins?

Nein. Du bist verantwortlich für die Daten, die Du dort hinterlegst.
Du must auch dafür sorgen, dass ein unberechtigter Zugriff nicht
erfolgen kann. Da Du das physikalisch kaum bewerkstelligen kannst,
bleibt Dir nur die Verschlüsselung.

Mein Rechner ist fast duchgängig an. Versuch doch meine Daten
einzusehen. Deine Aussage ist wenig glaubwürdig.

Genau das meinte ich. Versuch doch mal auf die Daten eines geschützten Servers zuzugreifen.

Der Admin wird das können.

Warum nur sperrt ihr euch so gegen eine verschlüsselte Lagerung auf
dem Server?

Ich sperre mich nicht dagegen. Ich frage mich nur, ob das wirklich notwendig ist.

Schließt Du Deine Kellertür zu? Ist das wirklich norwendig? Es ist
einfach. Du solltest es tun.

Eine Verschlüsselung verhindert sicherlich auch einige Funktionen. Wenn z. B. mehrere User auf einem Serverdatenbestand arbeiten, müssen alle auch den Zugriff auf die Daten haben d. h. der Schlüssel für Ver- und Entschlüsselung muss bei allen gleich sein.

Das ist Sache des Programms. Der Anwender sollte davon nichts merken.

Wie schütze ich dann den Hersteller vor dem Zugriff auf die Daten, wenn er das Programm auf seinem Server betreibt und für jeden Kunden einen geschützten Bereich einrichtet???

Genauso, wie Du die Daten vor dem Admin eines beliebigen
Serviceproviders schützt. Eine Verschlüsselungssoftware soll ja die
Daten so sichern, dass auch der Hersteller der Software nicht an die
Daten kommt.
Wenn Der Hersteller der von Dir genutzten Software von seinem Produkt
behauptet, es sichere Deine Daten gegen unbefugten Zugriff, so
schließt das sicher ihn selbst mit ein.

MfG, Metti.

Genealogieprogramme im GenWiki:
http://wiki-de.genealogy.net/wiki/Kategorie:Genealogiesoftware

Stefan Mettenbrink schrieb:

Da immer mal wieder die Frage aufkommt, wie man Datenschutzrechtlich
korrekt seine Ahnen auf die Homepage bringt, habe ich mal den
Datenschutzbeauftragten gefragt. Hier seine Antwort:

"Eine Lagerung von Daten auf dem Server eines Providers ist solange noch
keine Weitergabe oder Veröffentlichung wie die Daten ausreichend
geschützt sind. Im Hinblick auf den Schutz und die Sicherung von
personenbezogenen Daten vor unbefugten Zugriff, haben Sie die
technischen und organisatorischen Maßnahmen nach § 9 BDSG zu
erfüllen. Passwort und unverschlüsselte Speicherung sind sicherlich
nur ein schwacher Schutz.
Ich empfehle Ihnen, das Konzept Ihres Projektes allen Verwandten
vorzustellen und deren schriftliche Einverständnisse einzuholen Vorher
sollten Sie auf eine Speicherung der Daten auf dem Server eines
Providers verzichten."

Meine Ansicht, die Übertragung der Daten auf den Server sei eine
"Weitergabe an Dritte" sehe ich bestätigt. Auch der Admin, der
unbefugt Zugriff nehemn kann, darf das nicht können. Somit kommt nur
eine verschlüsselte Lagerung und Übertragung der Daten in Frage.

Kennt jemand ein Programm, das so vorgeht?

MfG, Metti.

Moin,

ich verfolge den Thread sehr aufmerksam, da auch ich meine Daten im
Internet mit phpgedview anbiete. Dieses Programm beinhaltet bereits
sehr sinnvolle Datenschutzrichtlinien, die durch den Admin der Seite
angepaßt werden kann. Der Datenschutz ist ein wichtige Sache, da in
meinem Webspace in einer Datenbank vertrauliche Informationen
hinterlegt sind.

Meine Anmerkungen zu diesem Thema will ich auch noch los werden.

Seit mehr als 20 Jahren bin ich im IT-Bereich tätig und habe schon so
manche mehr oder weniger akademische Diskussion zum Thema DS angehört
und auch geführt. Es sind zwei Methoden wichtig, um den Schutz der
Daten zu gewährleisten:

1. Technisch durch Zugangskontrollen, die ein Programm bieten muß
2. Organisatorisch durch Erlaubnisse und Verbote.

Zu 1.:
Hier bieten die gängigen Programme bereits alles, was der Site-Admin
braucht, nicht nur, was Genealogie-Programme betrifft. Zugangsprofile
sorgen dafür, daß jeder Besucher nur das zu sehen bekommt, was er auch
sehen darf. So weit, so gut. Ergänzend dazu kann der Server so
konfiguriert werden, daß die Datenübertragung zwischen Server und
Client nur per SSL-Verschlüsselung stattfindet. Das reicht, um ein
"Abhören" der Datenverbindung zu erschweren. Das halte ich auch für
ausreichend, wenn es um unsere genealogischen Daten geht.

Eine SSL-gesicherte Übertragung "abzuhören" ist ein erheblicher
technischer Aufwand nötig. Weiterhin gehört dazu ein Maß an
krimineller Energie durch den Lauscher.

Kein vernünftiger Richter wird einen Admin wg. eines
Datenschutzvergehens verurteilen, wenn die SSL-Verschlüsselung zum
Zeitpunkt des Datendiebstahls aktiv war.

Zu 2.:
Organisatorisch verpflichtet sich ein Provider sowieso dazu, daß
keiner seiner Admins auf die Daten eines Kunden zugreifen darf, um
dort zu spionieren. Falls ein Provider keine solche
Selbstverpflichtung in seinen AGB hat, ist er kein seriöser Partner.
Der Provider hat auch entsprechende Verschwiegenheitsklauseln in den
Arbeitsverträgen. Wenn es ein Admin doch tut, wird dieser ggf.
bestraft, sei es durch Abmahnung und Kündigung seitens seines
Arbeitgebers, oder strafrechtlich durch eine gerichtliche Bestrafung.

Diese selbstverständlichen Maßnahmen sind für einen Betreiber einer
genealogischen Site ausreichend. Damit ist den Anforderungen des
Datenschutzes Genüge getan.

Die Forderung, eine Erlaubnis zur Speicherung von persönlichen Daten
von betreffenden lebenden Personen einzuholen, halte ich für
weltfremd. Diese Daten werden ja in dem Sinne nicht frei im Internet
zur Verfügung gestellt, sondern geschützt in einer Datenbank gelagert,
wo nur ein begrenzter Datenzugriff stattfinden kann, sofern der
Betreiber der Datenbank die Datenschutzeinstellungen anwendet, wovon
doch wohl ausgegangen werden muß, denn den Betreiber trifft ja der
Bannstrahl des Datenschutzgesetzes.

Zusammengefaßt:

Der normale Besucher einer Website kann nicht zugreifen, der Admin des
Providers darf nicht zugreifen. Ausnahme für den Admin: Wenn er vom
Datenbankbetreiber den Auftrag erhalten hat, irgendetwas zu reparieren
und ohne Zugriff und Ansicht von Daten diesen Auftrag nicht erfüllen kann.

Beispiel:
Auch die Bankdaten sind nicht anders geschützt als durch
Zugangskontrollen und organisatorische Maßnahmen. Der verschlüsselte
Datenverkehr findet meines Wissens auch durch SSL-Verschlüsselung statt.

Gruß

Harald Tobias

Genealogieprogramme im GenWiki:
http://wiki-de.genealogy.net/wiki/Kategorie:Genealogiesoftware

Moin,

noch ein Beitrag zum Mißbrauch der Daten.
Bei meinen Familienforschungen, die besonders die lebende Generation
betrifft, bekam ich aus den USA folgende E-Mail (der Originaltext war auch
rot geschrieben):

... Unsere Kinder haben die Befuerchtung, dass zu viele Daten in die
Oeffentlichkeit gelangen, welche dann (im Internet) dazu benutzt werden
koennen, um die Identitaet einer Person zu stehlen.
Insbesondere in den USA ist es ueblich, dass Geldinstitute den Geburtsnamen
der Mutter als Passwort zu einem Bankkonto, einer Kreditkarte,
einem Aktiendepot etc. verwenden, oder auch nur dazu, ein vergessenes
Passwort wieder an die anfragende Person zurueckzugeben.
Unsere Soehne haben uns gebeten, zu respektieren, dass sie ihre Kinder
dieser Gefahr nicht aussetzen wollen. Wir bitten dich deshalb, diesen Wunsch
auch zu respektieren, und Geburtsdaten unserer Enkel sowie die Familiennamen
unsere Schwiegertoechter bei ihrer Geburt nicht zu verwenden.

Wenn man berücksichtigt, dass es Kriminelle gibt, die sich Zutritt zu den
ganz ³sicheren und geheimen² Datenbanken verschaffen, dann finde ich das
Verhalten meiner USA-Verwandtschaft durchaus verständlich.

So wird es also immer schwerer an die Daten für unsere Genealogie zu kommen.

Besten Gruß

Andreas

Moin,

ich verfolge den Thread sehr aufmerksam, da auch ich meine Daten im
Internet mit phpgedview anbiete. Dieses Programm beinhaltet bereits
sehr sinnvolle Datenschutzrichtlinien, die durch den Admin der Seite
angepaßt werden kann. Der Datenschutz ist ein wichtige Sache, da in
meinem Webspace in einer Datenbank vertrauliche Informationen
hinterlegt sind.

Meine Anmerkungen zu diesem Thema will ich auch noch los werden.

Seit mehr als 20 Jahren bin ich im IT-Bereich tätig und habe schon so
manche mehr oder weniger akademische Diskussion zum Thema DS angehört
und auch geführt. Es sind zwei Methoden wichtig, um den Schutz der
Daten zu gewährleisten:

1. Technisch durch Zugangskontrollen, die ein Programm bieten muß
2. Organisatorisch durch Erlaubnisse und Verbote.

Zu 1.:
Hier bieten die gängigen Programme bereits alles, was der Site-Admin
braucht, nicht nur, was Genealogie-Programme betrifft. Zugangsprofile
sorgen dafür, daß jeder Besucher nur das zu sehen bekommt, was er auch
sehen darf. So weit, so gut. Ergänzend dazu kann der Server so
konfiguriert werden, daß die Datenübertragung zwischen Server und
Client nur per SSL-Verschlüsselung stattfindet. Das reicht, um ein
"Abhören" der Datenverbindung zu erschweren. Das halte ich auch für
ausreichend, wenn es um unsere genealogischen Daten geht.

Eine SSL-gesicherte Übertragung "abzuhören" ist ein erheblicher
technischer Aufwand nötig. Weiterhin gehört dazu ein Maß an
krimineller Energie durch den Lauscher.

Kein vernünftiger Richter wird einen Admin wg. eines
Datenschutzvergehens verurteilen, wenn die SSL-Verschlüsselung zum
Zeitpunkt des Datendiebstahls aktiv war.

Zu 2.:
Organisatorisch verpflichtet sich ein Provider sowieso dazu, daß
keiner seiner Admins auf die Daten eines Kunden zugreifen darf, um
dort zu spionieren. Falls ein Provider keine solche
Selbstverpflichtung in seinen AGB hat, ist er kein seriöser Partner.
Der Provider hat auch entsprechende Verschwiegenheitsklauseln in den
Arbeitsverträgen. Wenn es ein Admin doch tut, wird dieser ggf.
bestraft, sei es durch Abmahnung und Kündigung seitens seines
Arbeitgebers, oder strafrechtlich durch eine gerichtliche Bestrafung.

Diese selbstverständlichen Maßnahmen sind für einen Betreiber einer
genealogischen Site ausreichend. Damit ist den Anforderungen des
Datenschutzes Genüge getan.

Die Forderung, eine Erlaubnis zur Speicherung von persönlichen Daten
von betreffenden lebenden Personen einzuholen, halte ich für
weltfremd. Diese Daten werden ja in dem Sinne nicht frei im Internet
zur Verfügung gestellt, sondern geschützt in einer Datenbank gelagert,
wo nur ein begrenzter Datenzugriff stattfinden kann, sofern der
Betreiber der Datenbank die Datenschutzeinstellungen anwendet, wovon
doch wohl ausgegangen werden muß, denn den Betreiber trifft ja der
Bannstrahl des Datenschutzgesetzes.

Zusammengefaßt:

Der normale Besucher einer Website kann nicht zugreifen, der Admin des
Providers darf nicht zugreifen. Ausnahme für den Admin: Wenn er vom
Datenbankbetreiber den Auftrag erhalten hat, irgendetwas zu reparieren
und ohne Zugriff und Ansicht von Daten diesen Auftrag nicht erfüllen kann.

Beispiel:
Auch die Bankdaten sind nicht anders geschützt als durch
Zugangskontrollen und organisatorische Maßnahmen. Der verschlüsselte
Datenverkehr findet meines Wissens auch durch SSL-Verschlüsselung statt.

Gruß

Harald Tobias

Genealogieprogramme im GenWiki:
http://wiki-de.genealogy.net/wiki/Kategorie:Genealogiesoftware

Hallo Andreas,

die Sorge der Verwandten kann ich nur zum Teil verstehen, nur wenn man
die Situation betrachtet stellt sich doch sicher die Frage WO das
Sicherheitsloch besteht - meiner Meinung nach nicht in der Tatsache dass
die Daten veröffentlicht werden (die man, wenn man möchte, auch anderes
herausfinden kann als über eine Ahnendatenbank/Tafel) sondern darin dass
Banken so triviale Sicherheitsfragen stellen um verlorengegangene
Passwörter zu resetten. Eine ähnliche Sicherheitsabfrage die leicht
umgangen werden kann ist auch die Frage 'Wo sind Sie geboren'

Hier wären die Banken am Zuge ihre Sicherheitsmechanismen zu ändern und
nicht etwa Ahnenforscher die die Daten verstecken oder löschen müssen
oder nicht veröffentlichen dürfen nur weil Banken (oder deren Kunden -
sorry) zu doof sind die Sicherheitsmaßnahmen zu erhöhen.

Gruß
Werner

Andreas Abel schrieb:

Moin,

noch ein Beitrag zum Mißbrauch der Daten.
Bei meinen Familienforschungen, die besonders die lebende Generation
betrifft, bekam ich aus den USA folgende E-Mail (der Originaltext war auch
rot geschrieben):

... Unsere Kinder haben die Befuerchtung, dass zu viele Daten in die
Oeffentlichkeit gelangen, welche dann (im Internet) dazu benutzt werden
koennen, um die Identitaet einer Person zu stehlen.
Insbesondere in den USA ist es ueblich, dass Geldinstitute den Geburtsnamen
der Mutter als Passwort zu einem Bankkonto, einer Kreditkarte,
einem Aktiendepot etc. verwenden, oder auch nur dazu, ein vergessenes
Passwort wieder an die anfragende Person zurueckzugeben.
Unsere Soehne haben uns gebeten, zu respektieren, dass sie ihre Kinder
dieser Gefahr nicht aussetzen wollen. Wir bitten dich deshalb, diesen Wunsch
auch zu respektieren, und Geburtsdaten unserer Enkel sowie die Familiennamen
unsere Schwiegertoechter bei ihrer Geburt nicht zu verwenden.

Wenn man berücksichtigt, dass es Kriminelle gibt, die sich Zutritt zu den
ganz ³sicheren und geheimen² Datenbanken verschaffen, dann finde ich das
Verhalten meiner USA-Verwandtschaft durchaus verständlich.

So wird es also immer schwerer an die Daten für unsere Genealogie zu kommen.

Besten Gruß

Andreas

Moin,

ich verfolge den Thread sehr aufmerksam, da auch ich meine Daten im
Internet mit phpgedview anbiete. Dieses Programm beinhaltet bereits
sehr sinnvolle Datenschutzrichtlinien, die durch den Admin der Seite
angepaßt werden kann. Der Datenschutz ist ein wichtige Sache, da in
meinem Webspace in einer Datenbank vertrauliche Informationen
hinterlegt sind.

Meine Anmerkungen zu diesem Thema will ich auch noch los werden.

Seit mehr als 20 Jahren bin ich im IT-Bereich tätig und habe schon so
manche mehr oder weniger akademische Diskussion zum Thema DS angehört
und auch geführt. Es sind zwei Methoden wichtig, um den Schutz der
Daten zu gewährleisten:

1. Technisch durch Zugangskontrollen, die ein Programm bieten muß
2. Organisatorisch durch Erlaubnisse und Verbote.

Zu 1.:
Hier bieten die gängigen Programme bereits alles, was der Site-Admin
braucht, nicht nur, was Genealogie-Programme betrifft. Zugangsprofile
sorgen dafür, daß jeder Besucher nur das zu sehen bekommt, was er auch
sehen darf. So weit, so gut. Ergänzend dazu kann der Server so
konfiguriert werden, daß die Datenübertragung zwischen Server und
Client nur per SSL-Verschlüsselung stattfindet. Das reicht, um ein
"Abhören" der Datenverbindung zu erschweren. Das halte ich auch für
ausreichend, wenn es um unsere genealogischen Daten geht.

Eine SSL-gesicherte Übertragung "abzuhören" ist ein erheblicher
technischer Aufwand nötig. Weiterhin gehört dazu ein Maß an
krimineller Energie durch den Lauscher.

Kein vernünftiger Richter wird einen Admin wg. eines
Datenschutzvergehens verurteilen, wenn die SSL-Verschlüsselung zum
Zeitpunkt des Datendiebstahls aktiv war.

Zu 2.:
Organisatorisch verpflichtet sich ein Provider sowieso dazu, daß
keiner seiner Admins auf die Daten eines Kunden zugreifen darf, um
dort zu spionieren. Falls ein Provider keine solche
Selbstverpflichtung in seinen AGB hat, ist er kein seriöser Partner.
Der Provider hat auch entsprechende Verschwiegenheitsklauseln in den
Arbeitsverträgen. Wenn es ein Admin doch tut, wird dieser ggf.
bestraft, sei es durch Abmahnung und Kündigung seitens seines
Arbeitgebers, oder strafrechtlich durch eine gerichtliche Bestrafung.

Diese selbstverständlichen Maßnahmen sind für einen Betreiber einer
genealogischen Site ausreichend. Damit ist den Anforderungen des
Datenschutzes Genüge getan.

Die Forderung, eine Erlaubnis zur Speicherung von persönlichen Daten
von betreffenden lebenden Personen einzuholen, halte ich für
weltfremd. Diese Daten werden ja in dem Sinne nicht frei im Internet
zur Verfügung gestellt, sondern geschützt in einer Datenbank gelagert,
wo nur ein begrenzter Datenzugriff stattfinden kann, sofern der
Betreiber der Datenbank die Datenschutzeinstellungen anwendet, wovon
doch wohl ausgegangen werden muß, denn den Betreiber trifft ja der
Bannstrahl des Datenschutzgesetzes.

Zusammengefaßt:

Der normale Besucher einer Website kann nicht zugreifen, der Admin des
Providers darf nicht zugreifen. Ausnahme für den Admin: Wenn er vom
Datenbankbetreiber den Auftrag erhalten hat, irgendetwas zu reparieren
und ohne Zugriff und Ansicht von Daten diesen Auftrag nicht erfüllen kann.

Beispiel:
Auch die Bankdaten sind nicht anders geschützt als durch
Zugangskontrollen und organisatorische Maßnahmen. Der verschlüsselte
Datenverkehr findet meines Wissens auch durch SSL-Verschlüsselung statt.

Gruß

Harald Tobias

Genealogieprogramme im GenWiki:
http://wiki-de.genealogy.net/wiki/Kategorie:Genealogiesoftware
_____________________________________________
An-, Abmelden bzw. persoenliche Einstellungen aendern
http://list.genealogy.net/mailman/listinfo/genealogie-programme

Genealogieprogramme im GenWiki:
http://wiki-de.genealogy.net/wiki/Kategorie:Genealogiesoftware

werner wrote:

die Sorge der Verwandten kann ich nur zum Teil verstehen, nur wenn man
die Situation betrachtet stellt sich doch sicher die Frage WO das
Sicherheitsloch besteht

Deine Meinung vertrete ich durchaus. Leider ändert das nichts an der
derzeitigen Situation

MfG, Metti.

Genealogieprogramme im GenWiki:
http://wiki-de.genealogy.net/wiki/Kategorie:Genealogiesoftware

Hallo Werner,

ich stimme Dir vollkommen zu.
Vielleicht wachen dort die verantwortlichen auch einmal auf, wenn genug Geld
in die falschen Taschen geflossen ist.
Aber erst wenn die Schadensschmerzgrenze überschritten ist, wird sich etwas
ändern.
Und dann bekomme ich vielleicht auch die restlichen Daten aus der Familie.

Gruß
Andreas

Hallo Andreas,

die Sorge der Verwandten kann ich nur zum Teil verstehen, nur wenn man
die Situation betrachtet stellt sich doch sicher die Frage WO das
Sicherheitsloch besteht - meiner Meinung nach nicht in der Tatsache dass
die Daten veröffentlicht werden (die man, wenn man möchte, auch anderes
herausfinden kann als über eine Ahnendatenbank/Tafel) sondern darin dass
Banken so triviale Sicherheitsfragen stellen um verlorengegangene
Passwörter zu resetten. Eine ähnliche Sicherheitsabfrage die leicht
umgangen werden kann ist auch die Frage 'Wo sind Sie geboren'

Hier wären die Banken am Zuge ihre Sicherheitsmechanismen zu ändern und
nicht etwa Ahnenforscher die die Daten verstecken oder löschen müssen
oder nicht veröffentlichen dürfen nur weil Banken (oder deren Kunden -
sorry) zu doof sind die Sicherheitsmaßnahmen zu erhöhen.

Gruß
Werner

Genealogieprogramme im GenWiki:
http://wiki-de.genealogy.net/wiki/Kategorie:Genealogiesoftware

Hallo,

Ihr erinnert Euch vielleicht an mein Tool, das ich vor ca. einem halben
Jahr hier vorstellte. Es handelte sich um ein Tool, mit dem man aus
beliebigen Listen mit Personendaten GedCom-Dateien erzeugen
konnte. Wer noch mal schauen mag, hier der Link zum Download:

www.suhrsoft.de/downloads/List2GedCom.zip

Nun entstand auch der Wunsch, auch aus GedCom-Dateien Listen
zu erstellen, die dann in Excel oder ähnlichen Programmen eingesehen
und bearbeitet werden können. Und dies ist ab heute auch möglich!

Das neue Programm kann unter folgendem Link heruntergeladen
werden:

www.suhrsoft.de/downloads/GedCom2List.zip

Beide Programme sind natürlich kostenfrei und das herunterladen ist
unverbindlich!!! Über nette Worte und evt. Anregungen freue ich mich
natürlich. :o)

Schönen Gruß

Michael Suhr

Genealogieprogramme im GenWiki:
http://wiki-de.genealogy.net/wiki/Kategorie:Genealogiesoftware

Hallo Herr Suhr, ihr Tool ist schon bemerkenswert und einfach super. So
etwas habe ich eigentlich schon lange gesucht. Ich sehe neue Wege um zwei
Datensätze zu vergleichen usw. Leider habe ich Probleme beim Export, z. B.
nach Excel.
Ich arbeite mit Office Excel 2007. Nach dem Einfügen der exporten Daten
wird alles in einer Spalte angezeigt.
Mit freundlichen Grüßen
Klaus Finken

Hallo Herr Klaus Finken,

ihr Tool ist schon bemerkenswert und einfach super.

Vielen Dank, das schmeichelt der Programmiererseele! :o)

Nach dem Einfügen der exporten Daten wird alles in einer Spalte
angezeigt.

Bitte wählen Sie, wenn Sie die Daten über die Zwischenablage kopieren,
einen anderen Separator, also am Besten "Tabulator - #9". Das
Semikolon "; - CSV" ist nur für den Export via Datei gedacht und zudem
noch fehleranfällig, weil ja im Text so ein Semikolon auch ganz normal
gebraucht werden kann.

Schönen Gruß

Michael Suhr

www.suhrsoft.de

Genealogieprogramme im GenWiki:
http://wiki-de.genealogy.net/wiki/Kategorie:Genealogiesoftware

Michael Suhr wrote:

Über nette Worte und evt. Anregungen freue ich mich
natürlich. :o)

Entwickelst Du nicht mit Dephi? Ich meine gelesen zu haben, dass die
jetzt Unicode unterstützen. Hast Du schon umgestellt?

MfG, Metti.

Genealogieprogramme im GenWiki:
http://wiki-de.genealogy.net/wiki/Kategorie:Genealogiesoftware

Michael Suhr wrote:

Bitte wählen Sie, wenn Sie die Daten über die Zwischenablage kopieren,
einen anderen Separator, also am Besten "Tabulator - #9". Das
Semikolon "; - CSV" ist nur für den Export via Datei gedacht und zudem
noch fehleranfällig, weil ja im Text so ein Semikolon auch ganz normal
gebraucht werden kann.

Soweit in mich entsinne, kann man das umgehen, indem man den Text in
Zollzeichen (") setzt und diese Textfelder durch Komma trennt. Etwa so:

"Text1","2. Spalte, mit Komma im Text","Noch ne Spalte","etc."

Dann stimmt auch wieder Comma Separated Value

MfG, Metti.

Genealogieprogramme im GenWiki:
http://wiki-de.genealogy.net/wiki/Kategorie:Genealogiesoftware

Hallo Michael,

ich habe das Programm gedcom2list mal mit meinen Daten getestet und
einige Ungereimtheiten festgestellt. Mehrere Inhalte des Feldes
"Heiratsbemerkungen" werden vielfach in Datensätze kopiert, wo es
nicht hineingehört. In allen Datensätzen befindet sich in den Feldern
"Heiratsbemerkung" und "Bemerkungen" mehrfach die Zeichenfolge
<#13><#10> (ist glaube ich CR LF). An den Stellen, wo das so ist, ist
das CR LF durchaus gewollt.

Es handelt sich dort um Texte, die ich per copy and paste in meinem
Programm dort eingefügt habe. Diese sind bis zu 2 kB groß. Der
Gedcom-Standard läßt das zu, die Programme, mit denen ich arbeite,
haben keinerlei Probleme damit.

Meine Konfiguration:

Kubuntu 8.04
phpGedView auf einem Server mit MySQL-DB
lokal das Genealogie-Porgramm Gramps
OpenOffice
gedcom2list in Wine
Gedcom-Datei mit knapp 1.000 Datensätzen

Die von gedcom2list erzeugte Textdatei habe ich in OpenOffice Calc
importiert und dabei sind mir die Phänomene aufgefallen. Wie es mit
OpenOffice unter Windows aussieht kann ich nicht sagen, denn mein
Haushalt ist absolut Microsoft-frei.

Die <#13><#10> sind ja noch tolerabel, weil Du möglicherweise nur mit
MS-Excel gearbeitet und getestet hast. Das "wilde" Vervielfältigen von
Feldinhalten in fremde Datensätze ist aber bereits in der erzeugten
Testdatei zu beobachten.

In dieser Form kann ich damit leider leider leider nichts damit
anfangen. Echt schade.

Ich finde es toll, daß Du ein Programm entwickelt hast und es der
Allgemeinheit kostenfrei zur Verfügung stellst.

Wirklich Klasse!

Nimm meine Bemerkungen bitte als das, was sie sind, nämlich als
Beta-Testbericht. Ich hoffe, Du ordnest meine Bemerkungen nicht in die
Kategorie "Klugscheißerei" ein, sondern verstehst sie als kontruktive
Kritik.

Was hältst Du denn von der Idee, die beiden Programme als
Open-Source-Projekte bei Sourceforge zu veröffentlichen? Falls Du
keine zu Microsoft-spezifische Programmiersprache benutzt, kann jemand
vielleicht aus dem Quellcode auch Linux-Binaries basteln, falls Du
nicht die Möglichkeit oder keine Lust dazu hast.

Gruß aus Hannover

Harald Tobias

Genealogieprogramme im GenWiki:
http://wiki-de.genealogy.net/wiki/Kategorie:Genealogiesoftware

Harald Tobias wrote:

In allen Datensätzen befindet sich in den Feldern
"Heiratsbemerkung" und "Bemerkungen" mehrfach die Zeichenfolge
<#13><#10> (ist glaube ich CR LF). An den Stellen, wo das so ist, ist
das CR LF durchaus gewollt.

Böse Falle!
In CSV-Dateien führen Zeilenumbrüche in Bemerkungen zu den
seltsamsten Fehlern. Das importierende Programm könnte beim Auftreten
eines Zeilenumbruchs (innerhalb einer Bemerkung) die nächste Zeile
vermuten un somit unvollständige Datensätze importieren.
Hier hat Michael möglicherweise aus diesem Grund den Zeilenumbruch in
die erwähnten Zeichen umgewandelt. Nicht ganz dumm! Nun musst Du in
den Bemerkungsfeldern diese Zeichen wieder in einen Zeilenumbruch
umwandeln. Sollte über Suchen/ersetzen funktionieren.

MfG, Metti.

Genealogieprogramme im GenWiki:
http://wiki-de.genealogy.net/wiki/Kategorie:Genealogiesoftware