UNAUTHENTIFIZIERT, UNGESICHERT — KINDERDATEN AUF DEM SILBERTABLETT
Die Drähte summen. Wieder hat jemand eine Hintertür offengelassen, diesmal für die Daten unserer Kinder. Kein ausgeklügelter Einbruch — eine offene Tür, ein Backend ohne Authentifizierung, Login-Verfahren, die jedermann einlassen. Grundlegende Sicherheitsmängel, wie es im Amtsdeutsch heißt. Grundlegende Nachlässigkeit, sage ich.
COPPA drüben, DSGVO hier — beide schreiben klar vor, dass Minderjährige besonderen Schutz genießen. Dass ihre Daten nicht einfach so abgegriffen werden dürfen. Dass Plattformen eine spezifische und klare Einwilligung brauchen, gerade wenn es um Gesundheitsdaten geht. Der Europäische Gerichtshof hat den Begriff inzwischen weit gezogen: schon die Bestellung eines Medikaments zählt als Gesundheitsdatum. Wer das nicht beachtet, baut sich seinen Schaden selbst.
Doch Schadensersatz nach DSGVO ist ein mühseliges Geschäft. Rein kompensatorisch, verschuldensabhängig, die Beweislast liegt beim Verantwortlichen — beim Plattformbetreiber, beim Backend-Bauer. Die Sozialstaatskommission schiebt derweil Papiere hin und her: eine zentrale Regelung für Sozialdatenschutz wird gefordert, der Ersterhebungsgrundsatz soll mit dem Once-Only-Prinzip vereinbart werden. Schutz in Aktenform, solange die Tür offen steht.
Das Bundesverwaltungsgericht hat den hohen Anspruch für sensible Gesundheitsdaten unterstrichen — Einwilligung der Versicherten, Pflicht.