„Wir bieten eine möglichst datensichere Beratung an“
Seit 2005 gibt es eine gemeinsame Online-Beratung der deutschen Aidshilfen. Diese webbasierte Beratung wurde eingeführt, weil die Kommunikation per E-Mail eine große Sicherheitslücke darstellt. Corinna Gekeler ist seit Beginn zuständig für die Qualitätsentwicklung und damit auch für den Bereich Datenschutz bei www.aidshilfe-beratung.de.
Frau Gekeler, die Online-Beratung der Aidshilfen wirbt mit dem Spruch „Vertraulich. Verlässlich. Kompetent“. Wie stellen Sie sicher, dass die Beratung wirklich in einem geschützten Rahmen stattfindet und dass keine Daten abgegriffen werden?
Da sind zunächst einige technische Punkte zu nennen. Eine ganz wichtige Grundlage ist, dass wir webbasiert beraten. Das heißt, alle Beratungsvorgänge finden nicht auf einem PC statt, sondern es wird auf einen Server zugegriffen, auf dem die Daten gespeichert werden. Der Server wird von einer Agentur bereitgestellt, die auf Beratungssoftware spezialisiert ist. Praktisch läuft es so ab, dass der_die Ratsuchende einen Benutzernamen und Passwort anlegt und sich damit in das Beratungsnetz einloggt. Beim Ausloggen aus der Beratung sind dann keine Daten auf dem eigenen PC gespeichert.
Kommunikation über einen Datentunnel
Die Kommunikation, die dann in der Online-Beratung läuft, findet über eine SSL-Verschlüsselung statt. Das ist eine Art Datentunnel, durch den die Fragen und Antworten direkt an den Server geschickt werden.
Außerdem speichern wir keine IP-Adressen der Nutzer_innen, die ja eine Identifizierung ihrer PCs ermöglichen könnten. Alle Vorgänge, die bei uns eingehen, werden vollständig anonymisiert und zu rein statistischen Zwecken gespeichert. Wir können also niemals einen Personenbezug herstellen. Auch wenn ein Nutzer die Möglichkeit wählt, per E-Mail über den Beratungsstand informiert zu werden, wird die angegebene E-Mail-Adresse separat vom Nutzernamen gespeichert. Für die_den Berater_in erscheint nur der Benutzername, die Mail-Adresse ist nicht erkennbar.
Neben dieser technischen Infrastruktur geben wir Hinweise an die User_innen, wie sie selbst den Schutz ihrer persönlichen Daten erhöhen können. Zum Beispiel raten wir, einen Nickname statt dem Klarnamen als Benutzernamen zu wählen und sorgsam mit dem Passwort umzugehen. Und auf dem eigenen PC sollten eine Firewall und ein Virenschutz installiert sein.
Gibt es überhaupt so etwas wie Sicherheit für die Beratung im Netz, was ja gerade für so ein sensibles Thema wie HIV sehr wichtig ist?
Bei dem, was heutzutage technisch an Überwachung möglich ist, kann von vollkommener Sicherheit eigentlich nicht gesprochen werden. Unsere Formulierung lautet daher, eine „möglichst datensichere“ Beratung zu gewährleisten.
aidshilfe-beratung.de hat hohe Datenschutzstandards
Jeder Anbieter, der mit personenbezogenen Daten umgeht, sollte Standards im Datenschutz haben. Gerade bei Daten, die die Gesundheit betreffen, ist ein besonders sensibler Umgang elementar. Daher haben wir für die Online-Beratung Datenschutzstandards eingeführt, die wir immer wieder prüfen und aktualisieren und die eben eine höchstmögliche Datensicherheit gewährleisten.
Wenn sich aber die NSA oder der BND für Daten interessieren sollte, wäre es eine Illusion zu denken, die könnte man ganz raushalten. Denen machen wir es mit unseren Sicherheitsstandards höchstens etwas schwerer.
Was uns gefreut hat, war ein Lob von hoher Datenschutzstelle. Unser Koordinationskreis hatte kürzlich ein Treffen mit dem Datenschutzbeauftragten des Landes Schleswig-Holstein. Der lobte unsere technische Infrastruktur und insbesondere die Transparenz unserer Leitlinien für den Datenschutz. Wir verlassen uns bei der Entwicklung unserer Datenschutzstandards also nicht nur auf das eigene Know-how, sondern lassen sie auch extern prüfen.
Werden die Berater_innen zum Thema Datensicherheit geschult? Was wird ihnen beigebracht?
Unsere Standards für den Datenschutz haben wir gemeinsam im Beraterteam entwickelt, weil das Thema allen Berater_innen ein wichtiges Anliegen ist. Es identifizieren sich also alle sehr damit, weshalb auch die Umsetzung gut läuft. Auch die Auflagen, die die Berater_innen betreffen, haben wir gemeinsam entwickelt.
Dazu gehört, dass es für die Online-Beratung einen geschützten Raum geben muss. Also einen passwortgeschützten Rechner bzw. einen eigenen passwortgeschützten Bereich auf dem PC für die Beratung. Und diese Rechner müssen in Zimmern stehen, die abgeschlossen werden können und von einem eingegrenzten Personenkreis genutzt werden.
Die Berater_innen identifzieren sich mit dem Datenschutz
Natürlich dürfen keine Beratungsvorgänge auf den PC kopiert werden. Alles bleibt auf dem Server.
Wegen der Gefahr von Diebstahl oder Verlust dürfen für die Beratung keine mobilen Endgeräte genutzt werden. Also auch wenn ehrenamtliche Berater_innen von zu Hause aus arbeiten, dürfen sie das nicht per Laptop im Park machen.
Und alle Berater_innen müssen für die Online-Beratung eine gesonderte Schweigepflichterklärung unterzeichnen, in der all diese Verpflichtungen festgehalten sind.
Wie sieht es denn auf der Seite der Nutzer_innen aus? Gibt es hier häufig Fragen nach der Sicherheit ihrer persönlichen Daten?
Hier gibt es tatsächlich wenig erkennbares Interesse an dem Thema. Fragen, die den Schutz ihrer persönlichen Daten betreffen, kommen von Nutzer_innen selten. Es passiert eher andersherum. Zum Beispiel werden ab und zu doch Fragen per E-Mail gestellt oder es wird darum gebeten, eine Anfrage per E-Mail beantwortet zu bekommen. Was ja bei uns eben aus Datenschutzgründen gar nicht möglich ist! Hier informieren wir dann zum Thema.
Am Samstag demonstrieren in Berlin wieder viele Menschen unter dem Motto „Freiheit statt Angst“ gegen Überwachung. Wie lautet Ihre Forderung zu diesem Anlass?
Erst einmal bin ich sehr froh, dass – auch dank dieser Initiative – die Vorratsdatenspeicherung endlich vom Tisch ist. Das war für uns ein ganz wichtiges Thema, das wir von der Online-Beratung in die Aidshilfen eingebracht haben, die sich dann dazu engagiert haben.
Augen auf im Netz!
Aktuell würde ich mir wünschen, dass Deutschland die Datenschutzgesetze in der EU nicht weiter blockiert. Wir brauchen einfach gute Gesetze für den Schutz der User_innen. Zum Beispiel eine klare Regelung, wem die Daten gehören und wer darauf Zugriff hat. Hier könnte die deutsche Politik konstruktiver vorgehen.
Gleichzeitig sollten aber auch die User_innen auf Qualität achten, wenn sie im Netz unterwegs sind. Augen auf! heißt die Devise. Es gibt ja zum Beispiel Kontaktbörsen, wo man angeben kann, ob man HIV-positiv ist. Wie die Anbieter mit den Daten verfahren, ist höchst zweifelhaft. Hier sollte man sich also keine Naivität erlauben.
Die Fragen stellten Lisa Fedler und Holger Sweers.
Links:
Die Datenschutzbestimmungen der Online-Beratung können in den Nutzungsbedingungen nachgelesen werden (auch ohne Einloggen möglich): http://aidshilfe-beratung.de/
Tipps und Informationen zum Thema Datenschutz für User_innen bietet die Webseite „Surfer haben Rechte“ vom Verbraucherzentrale Bundesverband : https://www.surfer-haben-rechte.de
Diesen Beitrag teilen
6 Kommentare
transparenz? 29. August 2014 14:09
das weichgespülte fakeinterview lässt mehr fragen offen als es beantwortet: was macht denn http://www.beranet.info/piwik/ als trackingswanze auf der seite? was wird alles geloggt und warum? ist das serverlog vollständig abgeschaltet? warum läuft alles über den drittanbieter zone35 GmbH & Co. KG? wer garatiert, daß zone35 die daten nicht für sich auswertet, immerhin ist es ein gewinnorientiertes unternehmen?
„Beim Ausloggen aus der Beratung sind dann keine Daten auf dem eigenen PC gespeichert.“
ha, ha, ich sage nur browsercache!
transparenz? 1. September 2014 15:42
wo bleibt denn nun die transparenz der aidshilfe? einige konkrete fragen wurden gestellt. wo sind antworten?
und warum werden kommentare moderiert? davon steht im formularumfeld nichts.
tragisch... 2. September 2014 13:12
…wozu ist das Kommentarformular eigentlich da, wenn hier keine Kommunikation seitens der Aidshilfe stattfindet?
Hallo? Jemand da?
Wo ist überhaupt die Impressumsangabe und Datenschutzerklärung fürs Blog? Da sollte mal jemand abmahnen!
Holger Sweers 2. September 2014 15:00
Hallo „geheim/tragisch“, vielen Dank für deine Anmerkungen – dass die Antwort ein bisschen Zeit brauchte, liegt daran, dass ich zunächst die Einschätzung unserer externen und unabhängigen Expertin Corinna Gekeler einholen wollte.
„Weichgespült“ ist deine Wertung, ein Fake war das Interview jedenfalls nicht – ich habe mit Corinna Gekeler gesprochen, weil ich ein Laie beim Thema Datenschutz bin.
Piwik wird auf http://www.aidshilfe-beratung.de nicht eingesetzt. Auf aidshilfe.de setzten wir Piwik ein, weil wir wissen wollen, wie viele Menschen unsere Seite besuchen. IP-Adressen werden dabei, anders als z.Bsp. von Google Analytics, nicht isoliert verarbeitet und gespeichert. Und wer das alles gar nicht will, kann unter http://aidshilfe.de/de/datenschutz der Nutzung von Piwik widersprechen. Weiteres zu Piwik siehe hier: https://www.datenschutzzentrum.de/tracking/piwik/20110315-webanalyse-piwik.pdf.
Zone 35 ist ein spezialisierter und erfahrener Dienstleister für Beratungs-Software mit den besten Standards, die wir kennen. Er hat zahlreiche Kunden aus dem Bereich Prävention und Gesundheit.
Im Browsercache können in der Tat zum Beispiel (nutzerseitig) Seiten-Besuche gespeichert werden, aber keine Beratungsvorgänge, eben weil diese webbasiert stattfinden.
Danke auch für den Hinweis aufs fehlende Impressum und den fehlenden Datenschutzhinweis – die sind offenbar letzte Woche beim Übertragen der Inhalte aus dem alten Blog vergessen worden. Wir sind gerade dabei, die Seiten anzulegen.
Ähnliches gilt auch für die Moderation der Beiträge. Da ist bei der Umstellung eine Einstellung nicht geändert worden – ich bin gerade dabei, das ändern zu lassen.
Beste Grüße!
stimmt nicht 3. September 2014 8:27
„Piwik wird auf http://www.aidshilfe-beratung.de nicht eingesetzt.“
das ist doch gelogen!
aidshilfe-beratung.de leitet auf aidshilfe.beranet.info um, wer sich den quelltext anschaut, findet dort:
var _paq = _paq || [];
_paq.push([„setDocumentTitle“, document.domain + „/“ + document.title]);
_paq.push([‚trackPageView‘]);
_paq.push([‚enableLinkTracking‘]);
(function() {
var u=((„https:“ == document.location.protocol) ? „https“ : „http“) + „://www.beranet.info/piwik/“;
_paq.push([’setTrackerUrl‘, u+’piwik.php‘]);
_paq.push([’setSiteId‘, 7]);
var d=document, g=d.createElement(’script‘), s=d.getElementsByTagName(’script‘)[0]; g.type=’text/javascript‘;
g.defer=true; g.async=true; g.src=u+’piwik.js‘; s.parentNode.insertBefore(g,s);
})();
was auf aidshilfe.de steht ist rechtlich völlig irrelevant, da dies eine andere domain ist und man auf der beratungsseite dem piwiktracking nicht widersprechen kann, zumindest sehe ich keinen hinweis unter https://aidshilfe.beranet.info/?id=978&type=24350108.
dafür findet sich ein hinweis im impressum, hinter „Widerspruch:“ erscheint dort aber nichts mehr. LOOOOOL!
wie ist das mit „Suizidankündigung durch Ratsuchende im Rahmen der Online-Beratung“
welche daten werden in so einem fall an die behörden weitergegeben? doch die ip um den suizidalen über den anbieter zu identifizieren?
Holger Sweers 3. September 2014 14:06
Hallo „geheim/tragisch/stimmt nicht“,
noch einmal vielen Dank für deine Anmerkungen. Du hast in der Tat Recht: Auf aidshilfe-beratung.de wird Piwik verwendet. Ich habe die Informationen von Corinna Gekeler so interpretiert, dass Piwik auf unserer Beratungsseite nicht eingesetzt werde. Der Hinweis auf unsere Piwik-Verwendung stand bisher nämlich im Impressum unter https://aidshilfe.beranet.info/impressum.html und nicht unter „Datenschutz“. Ich entschuldige mich für diese ungewollte Falschinformation, die aber keine Lüge ist. Auch Corinna Gekeler dankt dir für deinen Hinweis und veranlasst, dass der Piwik-Hinweis demnächst unter Datenschutz zu finden ist (die „Auslagerung“ ist wohl im Zuge der Umstellung aufs Responsive Design entstanden). Ungeachtet dessen kann man auch unter aidshilfe-beratung.de dem Einsatz von Piwik widersprechen.
Was deine Frage zum Umgang mit Suizidankündigungen durch Ratsuchende im Rahmen der Online-Beratung angeht: Wir sind verpflichtet, solche Fälle der Polizei zu melden, und darauf weisen wir hin. Was die Polizei dann mit dieser Information macht, ist ihre Sache. Dank unserer Datenschutzbestimmungen kann sie jedenfalls keine IP-Daten von uns bekommen.
Beste Grüße!