Tumblelog by Soup.io
Newer posts are loading.
You are at the newest post.
Click here to check if anything new just came in.

February 24 2014

Überwachung am Arbeitsplatz: Datenberge ersetzen Menschenverstand

Die Financial Times hat vor kurzem in einem Bericht einige Beispiele zusammengefasst, wie in der US-Arbeitswelt Überwachungsmethoden zum Einsatz kommen. Das behauptete Prinzip ist dabei immer dasselbe: Überwachung -> mehr Produktivität.

“Wir finden jede Woche neue Dinge, die wir tracken”, sagt einer der Gründer eines Anbieters solcher Methoden, und verspricht bis zu 5% Produktivitätssteigerung in bis zu zwei Dritteln der Jobs. Weil die Technik so günstig ist, pflanzt ein Anbieter Sensoren in Büromöbel und Gebäude. Eine andere Firma bestückt Namensschildchen mit Sensoren, mit denen mitgeschnitten wird, wie sich Angestellte im Büro bewegen, mit wem sie sprechen und ob ihre Stimme dabei freundlich klingt oder nicht. Die “Bank of America” hat das wohl ausprobiert und herausgefunden, dass man Angestellten erlauben sollte, gemeinsam Pausen zu machen, weil das die Produktivität erhöht. Wie merkbefreit ein Management sein muss, dass für diese Erkenntnis die Dienstleistung eines Tracking-Anbieters benötigt, ist dann nochmal eine andere Frage… Aber gut, immerhin ist das Stresslevel in den Stimmen der Mitarbeiter jetzt 19% niedriger, auch das weiß man nun.

In Europa hatten wir die Debatte vor allem um das Jahr 2008, als windige Unternehmen wie die Supermarktkette Lidl Kameras auf das Personal richtete. Mittlerweile ist das alles fortschrittlicher, nennt sich dank besserer Auswertungsmöglichkeiten Quantification, und der Lifestyle- und Gewöhnungsgrad ist auch deutlich höher als bei den ollen Lidl-Kameras, weil die exakte Vermessung der Freizeit mittlerweile eine ziemliche Massenbewegung ist.

Der Kommissionsentwurf für die europäische Datenschutzgrundverordnung sah übrigens vor, dass Einwilligungen zur Datenverarbeitung im Falle eines “erheblichen Ungleichgewichts” zwischen der betroffenen Person und dem für die Verarbeituung Verwantwortlichen keine gültige Grundlage für die Verarbeitung sind (Art. 7, Absatz 4). Die Formulierung wurde u.a. auch mit Fällen begründet, in denen Arbeitnehmer den Überwachungsmätzchen sozial inkompetenter Führungskräfte zustimmen müssten, um ihren Job zu behalten. Im weiterverhandelten Parlamentstext steht an der Stelle jetzt:

Die Erfüllung eines Vertrages oder die Erbringung einer Dienstleistung darf nicht von der Einwilligung in eine Verarbeitung von Daten abhängig gemacht werden, die für die Erfüllung des Vertrages oder die Erbringung der Dienstleistung nicht im Sinne von Artikel 6 Absatz 1 Buchstabe b erforderlich ist.

Artikel 82 sieht jeweils die Möglichkeit einer nationalstaatlichen Regelung des Arbeitnehmerdatenschutzes gemäß der in der Verordnung verankerten Kriterien vor, was man in Deutschland schon seit längerem hätte haben können, wenn die bisherigen Regelungsversuche nicht weitgehend untauglich gewesen wären. Was weiter draus wird, werden wir sehen, falls sich die Mitgliedstaaten rund um Merkel-Deutschland irgendwann mal dazu durchringen, mit dem Thema weiterzumachen.

Wir wollen netzpolitik weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

UN-Workshop: The Right to Privacy in the Digital Age

Seit 9 Uhr läuft in Genf und im Stream ein eintätiger Workshop über “The Right to Privacy in the Digital Age“, der bei der UN u.a. von Deutschland im Rahmen des UN-Menschenrechtsrat ausgerichtet wird. Hier ist das Programm (PDF) und hier der Stream. (Möglicherweise braucht man dafür aus Deutschland heraus einen Proxy, weil Musik von der GEMA vermutet wird. Wer weiß, welche Lieder die bei der UN singen).

The rights people have offline must be equally protected online. The UN General Assembly has affirmed this for the first time at the universal level in December 2013 in a resolution initiated by Brazil and Germany. The resolution on “The Right to Privacy in the Digital Age” was adopted subsequently to a side event at the 24th session of the UN Human Rights Council.

Wir wollen netzpolitik weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

February 22 2014

Business first: Update zum Stand der EU-Datenschutzreform

Die Arbeiten am Großprojekt EU-Datenschutzreform gehen weiter. Nachdem das EU-Parlament sich im Oktober auf seine Position geeinigt hat, wartet Europa auf eine Einigung der Mitgliedstaaten im EU-Ministerrat (np.org berichtete). In dieser Woche gab es mal wieder ein paar Neuigkeiten zu dem Thema, um das es verhältnismäßig still geworden ist. Substantiell scheint sich die Tendenz des Ministerrates zur Wirtschaftsfreundlichkeit zu bestätigen. Den Verhandlungsverlauf betreffend, gab es von deutscher Seite gleich mehrere – mehr oder minder glaubwürdige – Prioritätsbekundungen.

Aktuelle Arbeitsdokumente der Ratspräsidentschaft: Reducing Burden for Business

Heise hat einen Blick auf Arbeitsdokumente der griechischen Ratspräsidentschaft geworfen, die Statewatch veröffentlicht hat. In solchen Arbeitsdokumenten fasst die jeweilige Ratspräsidentschaft die Diskussionen der Arbeitsgruppen im Rat zusammen und macht eigene Vorschläge in diesem Sinne, um die Verhandlungen weiter voranzubringen. Auch wenn diese Papiere vor allem die Position der Präsidentschaft wiedergeben, sind sie zumindest ein Indikator für die Stimmung Ministerrat. Eine seltene Möglichkeit, ist doch der Rat – noch stärker als das Parlament – eine intransparente Blackbox.

Aus den Dokumenten lässt sich eine – im Vergleich zur Parlamentsposition – eher wirtschaftsfreundliche Tendenz erkennen. So schlägt die Präsidentschaft vor, das von der EU-Kommission vorgeschlagene “Recht auf Datenportabilität” abzuschwächen (Arbeitsdokument 5879/14; PDF). Für Dienste, die ohne Einwilligung der Nutzer/innen, etwa auf Basis des sogenannten “berechtigten Interesses” benutzt werden, würde das Recht nicht mehr gelten. Damit wäre wohl der ganze Bereich der Onlinewerbung von diesen “Bürden” befreit. Wo das Recht greift, sollen die Vorschriften zum Datenformat “flexibel” gestaltet werden. Das Europäische Parlament hat sich dabei für ein “interoperables Format” (vgl. LIBE-Bericht Artikel 15) ausgesprochen und zugleich Datenportabilität (Daten mitnehmen zum anderen Anbieter, ähnlich einer Rufnummernmitnahme) mit einem Auskunftsanspruch gleichgesetzt (Daten werden dem Datensubjekt herausgegeben). Das hätte den Vorteil, dass neben der Datenmitnahme auch Werkzeuge zur Datenvisualisierung und -auswertung gefördert würden, die Nutzer/innen helfen, ihre digitalen Spuren zu verstehen.

Funfact: Während sich die Formulierung, dass Unternehmen von finanziellen und bürokratischen Bürden entlastet werden sollen, durch alle Arbeitspapiere zieht, schlägt die Ratspräsidentschaft vor, dass Auskunftsansprüche für Nutzer/innen gebührenpflichtig sein dürfen. Kostenfrei soll man von seinem Recht nur in “reasonable intervals” Gebrauch machen dürfen. Das klingt nach Zwei-Klassen-Datenschutz.

In den weiteren Papieren (5880/14; 5881/14; 5882/14) geht es um die Streitfrage der Zuständigkeitsverteilung von Datenschutzbehörden sowie Berichts- und Prüfpflichten von datenverarbeitenden Unternehmen. Kontrolle gegenüber datenverarbeitenden und – willkommen im Big Data-Zeitalter – im Auftrag datenverarbeitenden Unternehmen ist essentiell für eine Informationsgesellschaft. Die Präsidentschaft baut auf einen “risikobasiert Ansatz”, der Berichts- und Prüfpflichten mit dem Risiko der Datenverarbeitung variiert. So scheint allen Beteiligten klar zu sein, dass Profilbildung eine “risikoreiche Datenverarbeitung” darstellt. Danach scheiden sich allerdings die Geister. Sind nur Profilbildungen, die “rechtliche Konsequenzen” für die Nutzer/innen haben, risikoreiche Profilbildungen? Das Papier der Ratspräsidentschaft erweckt diesen Anschein (5880/14, S.2). Sind die umfangreichen Datensammlungen der digitalen Werbedienstleister dann nicht “risikoreich”, solange nicht daraus eine Ungleichbehandlung (z.B. durch das Anzeigen individueller Preise auf Webseiten entsteht)? Nicht umsonst mahnt der Europäische Datenschutzbeauftragte in seinem jüngsten Brief (PDF, S. 5) an die Präsidentschaft an, dass bei der Implementierung des “risikobasierten Ansatzes” auf Rechtssicherheit zu achten ist.

Absichtsbekundungen der Bundesregierung: Nichts Neues

Beim Deutsch-Französischen Ministerrat am 19. Februar 2014 haben sich Deutschland und Frankreich darauf verständigt, die EU-Datenschutzverordnung bis 2015 zu verabschieden. Dieser Zeitplan ist keine neue Nachricht. Interessanter dagegen war das Statement von Bundesinnenminister Thomas de Maizière beim europäischen Polizeikongress. Wie Heise berichtet, wurde er nach seiner sicherheitspolitischen Law-and-Order-Rede auch auf die EU-Datenschutzreform angesprochen. Hier wiederholte er das bekannte Narrativ, dass die Datenschutzreform nicht schneller vorangehe, da es noch so viel Arbeit gäbe.

“Deutschland sitzt nicht im Bremserhäuschen”, erklärte er [de Maizière; B.B.]. Vielmehr hätten Bundesrat und Bundestag in der vergangenen Legislaturperiode der Verhandlern so viele Aufgaben mit auf den Weg gegeben, dass diese unter der Masse der Forderungen ächzten.

Das Gefährliche an diesem Narrativ: Es funktioniert scheinbar kontextunabhängig immer wieder und hat das Potenzial den Zeitplan immer weiter aufzuschieben. Im Kontrast dazu stellt de Maizière die Vorratsdatenspeicherung als unkompliziertes und de facto konsensuales Projekt dar (Skript zur Rede):

Wir haben aber im Koalitionsvertrag vereinbart, die Richtlinie nunmehr zügig umzusetzen. Die Vorarbeiten hierzu haben begonnen.

In dieser Woche voller Datenschutzschlagzeilen (widerstreitende Rechtssprechung zum Geltungsbereich des deutschen Datenschutzrechts; Facebook-WhatsApp-Deal) ist die Notwendigkeit von Rechtsklarheit, Transparenz und mehr Kontrolle beim Datenschutz deutlich geworden. Die EU-Datenschutzverordnung kann dabei helfen. Gegen das Verzögerungs-Narrativ der Bundesregierung zur Datenschutzreform hilft nur ständiges Erinnern an die vereinbarten Zeitpläne. Die nächste Gelegenheit dazu bietet sich Anfang März beim Treffen der Innen- und Justizminister (PDF, S. 32).

Wir wollen netzpolitik weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

February 21 2014

#Edathy: Was speichert der Deutsche Bundestag und wie lange?

Im Zuge der Edathy-Affäre, möglichen Downloads über einen Bundestagsrechner und einem geklaut gemeldeten Notebook kamen Fragen auf, ob und wie der Bundestag eigentlich Daten der Abgeordneten und Mitarbeiter speichert. Wir haben der Pressestelle einen umfangreichen Fragenkatalog zum Thema geschickt und mussten ihnen knappe und wenig zufriedenstellende Antworten auf wenige Fragen regelrecht aus der Nase ziehen.

Nach Angaben von Mitarbeitern in Abgeordnetenbüros kann man sich aussuchen, ob die durch die Bundestags-IT administrierten Rechner ein zentrales Backup erhalten oder auch nicht. Anscheinend hat man auch noch die Wahlmöglichkeit einer eigenen gesicherten Partition auf der Festplatte, für die man dann selbst verantwortlich ist. Wir wollten wissen, wie das mit den Backups genau abläuft und wer darauf möglicherweise Zugriff haben kann. Das spielt ja gerade eine Rolle bei der Frage, ob man trotz geklaut gemeldetem Notebook noch auf die Daten zugreifen könnte.

Die Pressestelle erklärte uns dazu grob das Backup-Konzept:

Die IuK-Kommission des Ältestenrates hat das Datensicherungskonzept der IT-Technik bereits 1997 behandelt. Die Sicherung erfolgt nach dem im IT-Bereich üblichen Generationenprinzip über 3 Monate. In der Sitzung der IuK-Kommission vom 27. Oktober 2011 wurde den Mitgliedern das Datensicherungskonzept in einer aktualisierten Fassung erläutert. Das Konzept beinhaltet, dass täglich eine inkrementelle Datensicherung (nur veränderte Daten werden gesichert) durchgeführt wird. Einmal pro Woche wird eine Vollsicherung aller Daten vorgenommen. Die Vollsicherung wird vier Wochen aufbewahrt. Jede vierte Vollsicherung wird noch einmal vier Wochen aufbewahrt (Drei-Generationenprinzip). Hierdurch wird gewährleistet, dass den Mitgliedern des Deutschen Bundestages eine Rücksicherung der Daten bis zu drei Monate zur Verfügung gestellt werden kann.

Das klingt wie eine Standardroutine, beantwortet aber nicht wirklich die Frage, ob und wer jetzt möglicherweise auf ein Backup des geklaut gemeldeten Rechners von Sebastian Edathy zugreifen kann.

Und was ist mit der Haus-internen Vorratsdatenspeicherung?

Viel spannender fanden wir aber die Sache mit der Bundestags-internen Vorratsdatenspeicherung der Verkehrsdaten, über die Medien bereits berichtet haben. Diese ist wohl nicht allen Bundestagsabgeordneten bewusst:

Die Antwort auf diese Frage dauerte recht lange und ist leider etwas unbefriedigend:

Der Deutsche Bundestag protokolliert Verbindungsdaten, die sich bei der Nutzung des Internets – durch Rechner aus dem Intranet des Deutschen Bundestages -, ergeben. Diese Protokolldaten dienen dabei folgenden Zwecken:

- Analyse und Korrektur technischer Fehler
- Gewährleistung der System- und Betriebssicherheit
- Optimierung des Netzes

Die Protokolldaten werden für drei Monate gespeichert und regelmäßig gelöscht. Die Daten liegen für die betrieblich verantwortliche Stelle ohne Personenbezug vor. Eine automatische Personenzuordnung ist nicht möglich.

Da uns die Formulierung bekannt vorkam, haben sie einfach mal in eine Suchmaschine eingegeben. Heraus kam eine Standardformulierung aus einer Dienstvereinbarung. Eine Muster-Dienstvereinbarung beim Bundesdatenschutzbeauftragten liefert zugleich noch mehr Informationen, welche Verbindungsdaten konkret gespeichert werden könnten.

(2) Die Verkehrsdaten für den Internetzugang werden mit Angaben von

  • Datum / Uhrzeit,
  • Adressen von Absender und Empfänger (z.B. IP-Adressen)
  • Benutzeridentifikation (z.B. bei der Verwendung eines Proxy-Servers)
  • der aufgerufenen Webseiten und
  • übertragener Datenmenge

protokolliert.

Und jetzt die Preisfrage, auf die uns die Pressestelle leider keine genaue Antwort geben wollte: Werden im Rahmen der hauseigenen Vorratsdatenspeicherung tatsächlich von allen Abgeordneten und ihren Mitarbeitern irgendwo die aufgerufenen Webseiten gespeichert, wer könnte darauf Zugriff haben und ist das allen Bundestagsabgeordneten auch bewusst?

Wir wollen netzpolitik weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

Debatte im Bundestag: Aus Vorratsdatenspeicherung wird Private Vorsorgespeicherung

Gestern gab es einen kleinen Überblick, wie es um die aktuelle Debatte zur Vorratsdatenspeicherung steht. Heute wurde das Thema im Bundestag besprochen. Den Auftakt machte Konstantin von Notz von Bündnis90/Die Grünen und führte aus, dass die Vorratsdatenspeicherung “maßlos, weitestgehend nutzlos und unverhältnismäßig” sei – und damit abzulehnen. Es habe seitens der SPD nur einen kurzen “bürgerrechtlichern Sturm im Wasserglas” gegeben, aber mittlerweile sei  Justizminister Maas eingeknickt. Besonders stellte Notz heraus, dass die VDS im Angesicht des Überwachungsskandals indiskutabel ist und es sicher dazu kommen werde, dass eine etwaige Umsetzung vom Bundesgerichtshof wieder als verfassunswidrig deklariert werde:

Bon Voyage bei der Umsetzung einer deutschen  Vorratsdatenspeicherung beim Bundesverfassungsgericht, wo Richterinnen und Richter aus Angst vor Überwachung nur noch mit Stift und Papier in Besprechungen gehen.

Dem zu erwartenden Kinderpornoargument versuchte er vorsorglich entgegenzusetzen, dass es auch andere Maßnahmen als die VDS gebe und diese endlich umgesetzt werden müssten.

Volker Ullrich von CDU/CSU warf Grünen und Linken daraufhin vor, dass sie mit der Sprache und der Angst spielten und fälschlicherweise die VDS im Zusammenhang mit der NSA erwähnten. Es gehe darum, “Daten bei Providern, die sowieso da sind, zur Aufklärung von Straftaten gegen wichtigste Rechtsgüter zu nutzen” und den bestmöglichen Datenschutz für diese Daten zu gewährleisten, unter Berücksichtigung des Urteils des Bundesverfassungsgerichtes. Das erinnert stark an den Artikel von Thomas Heilmann, der Ende Januar bei der Zeit erschienen ist, und in dem versucht wurde, VDS als neuen Datenschutz darzustellen.Dann spielt Ullrich selbst mit der Sprache und will die VDS umbenennen in:

private Vorsorgespeicherung

Natürlich wurde auch von ihm der prominente Kinderporno-Bezug hergestellt, wie in den anderen Redebeiträgen der CDU/CSU-Fraktionsmitglieder auch. Die zeichneten sich außerdem durch ihre besondere Polemik aus. Patrick Sensburg überschritt deutlich die Grenzen des guten Geschmacks, indem er den VDS-Gegnern vorwarf:

“Ihnen ist nicht klar,  dass es nicht um das Grundrecht zum Ansehen kinderpornographischen Materials im Internet geht.”

Das rief logischerweise einige Empörung aus. Auch sonst ging es in Sensbergs Redebeitrag darum, Freiheit gegen Sicherheit auszuspielen, denn es könne “kein absolut geschütztes Recht auf die Sicherheit der eigenen Daten im Internet geben, dass diese nicht vom Staat abgerufen werden”. Außerdem stehe Deutschland auch im Vergleich zu seinen Nachbarn schlecht dar, wenn es um die Aufklärung von schweren Straftaten gehe. Da ärgert man sich wohl, dass man bei der Ermittlung nicht die gleichen invasiven Werkzeuge benutzen kann.

Unsachlich argumentierte auch Marian Wendt und warf der Linken vor, in der Debatte vollkommen unglaubwürdig dazustehen. Es befänden sich ehemalige Mitglieder der SED unter den Antragsstellern und DDR und SED seien Garanten für den totalitären Überwachungsstaat und den gläsernen Bürger gewesen. Die Mitglieder der Linken seien selbst aktiver Teil des Überwachungsstaates gewesen. Das impliziert, dass es sich seiner Meinung nach der gesamten Partei verbietet, Stellung zu bürgerrechtlichen und freiheitlich-demokratischen Themen zu beziehen.

Zwei Dinge scheint Wendt nicht sehen zu wollen: Menschen und Parteien können aus ihren Fehlern lernen und an der Aufarbeitung der eigenen Vergangenheit arbeiten. Und vielleicht sollte die CDU darüber nachdenken und sich mit ihrer eigenen DDR-Geschichte als Blockpartei befassen. Vollständig deplaziert und fern der sachlichen Debatte war dann noch sein Nachsatz:

Wenn sie das getan hätten [aus ihrer Geschichte gelernt], warum werden sie dann noch vom Verfassungsschutz kontrolliert?

Weniger polemisierend ging es bei den sprechenden SPD-Mitgliedern Christian Flisek und Christina Kampmann zu. Beide kritisierten die Anträge von Grünen und Linken primär förmlich, da sie so kurz vor dem erwarteten Urteil angebracht wurden und damit vielleicht schon bald unnötig würden. Flisek betonte, es sei nicht passend, in politischen Aktionismus zu verfallen und man solle daher abwarten – eine neue Debatte über die Europäische Richtlinie zur Vorratsdatenspeicherung ergäbe sich dann sowieso. Er positionierte sich aber selbst nicht explizit gegen die VDS. Vielmehr gehe es darum, “Standards für große Datenspeicherungen hinzubekommen” und den “Weg für ein weltweites Datenschutzrecht freizumachen”.

Kampmann machte indessen deutlich klar, dass sie die VDS für indiskutabel hält und verpackte ihre Kritik elegant, indem sie sich fragte, ob die Anträge vielleicht genauso anlasslos seien wie die VDS selbst. Sie scheint auf das Urteil des Europäischen Gerichtshofes zu vertrauen:

Eine verfassungskonforme Ausgestaltung der Vorratsdatenspeicherung kann es nicht geben, weil die Vorratsdatenspeicherung im Kern verfassungswidrig ist.

Auffällig an der Rhetorik der beiden SPD-Redner ist, dass sie versuchen, sich auf die bürgerrechtliche Seite zu stellen. Es schimmert eine Rechtfertigungshaltung durch, ein Ansatz schlechten Gewissens dafür, dass man im Wahlkampf noch behauptete, im Angesicht des Überwachungsskandals dürfe die VDS keinen Bestand mehr haben. An dieses Versprechen erinnerte auch der Abgeordnete der Linken, Jan Korte, und warf der SPD vor, innerhalb der Koalition mit der CDU das Gegenteil von dem zu tun, was sie vorher gesagt hätten.

Er findet im Hinblick darauf, dass man die erwartete EuGH-Entscheidung seitens der Regierungsfraktion vermutlich soweit rechtlich ausnutzen wolle wie möglich, ein passendes Analogon zur viel zitierten Aussage “Nicht alles, was technisch möglich ist, darf erlaubt sein“:

Nicht alles, was juristisch erlaubt ist, sollte auch politisch getan werden.

Die Debatte bringt insgesamt wenig neue Argumente, was nicht überrascht, denn sie wurde in der Vergangenheit bereits mehrmals geführt. Enttäuschend ist dennoch, dass auf Seiten der Regierung keinerlei Umdenken durch die NSA-Affäre geschehen ist. Und keine Einsicht darin, wie schnell Überwachungsmaßnahmen ausufern können. Stattdessen beruft man sich weiter auf notwendige Maßnahmen der Strafverfolgung, auch wenn Studien gezeigt haben, dass die VDS kein wirksames Instrument darstellt.

Und so stehen wieder einmal emotional aufgeladene Beispiele von Kinderpornos und einzelnen Ermittlungserfolgen bei Straftaten gegen die gesamtgesellschaftliche Zersetzung von Grundrechten, die Totalerfassung von Kommunikation und sozialen Verbindungen und die Gefährdung des freien Bürgers. Blicken wir auf die Mehrheiten im Bundestag, sieht es im Wortsinne schwarz aus. Umso mehr hängt von der anstehenden EuGH-Entscheidung ab. Denn nur wenn diese die Vorratsdatenspeicherung so umfassend wie möglich als verfassungswidrig ablehnt, kann eine Ausdehnung der Überwachungsmaßnahmen und damit die weitere, als rechtmäßig gestempelte Einengung unserer Grundfreiheiten verhindert werden.

Wir wollen netzpolitik weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

February 20 2014

Wir erklären den heutigen Tag zum “Deinstalliere WhatsApp Tag”! [Update]

Thema das Tages: Facebook kauft Whatsapp für 13 Milliarden Euro. Damit hat Facebook sich einen Konkurrenten mit 450 Millionen Nutzern vom Leibe geschafft und die eigene 1,2 Milliarden starke Nutzerschaft wieder verjüngt, nachdem das Durchschnittsalter in letzter Zeit gestiegen war. Facebook-Gründer Marc Zuckerberg hat versichert, für die Nutzer werde sich nichts ändern und WhatsApp bliebe als Marke bestehen, genau wie die vormals von Facebook gekaufte Foto-App Instagram. Aber das stimmt nicht, denn wenn sich auch an der Benutzung nichts ändern mag, im Hintergrund vereinen sich jetzt noch mehr Daten von noch mehr Nutzern an einer Stelle.

Spätestens in der derzeitigen Geheimdienst-Ära sollte klar sein, dass das keine gute Idee ist. Deshalb ist die Fusion der beiden Datengiganten ein guter Anlass, um mal über Alternativen nachzudenken.

  • Threema: Seit Bekanntwerden der WhatsApp-Übernahme ist Threema die am häufigsten empfohlene Alternative, wenn man sich #threema auf Twitter anschaut. Die App des Schweizer Startups verspricht Ende-zu-Ende-Verschlüsselung, sodass NSA und Co., aber auch sie selbst nicht mitlesen können. Für mehr Sicherheit gegen eine gefälschte Identität des Gegenüber lassen sich die öffentlichen Schlüssel nicht nur über einen Server austauschen, sondern auch direkt beim persönlichen Kontakt über einen QR-Code auf dem Smartphone scannen. Kostet 1,79 € (iTunes) oder 1,60 € (Google play). Finden wir gut, aber wie immer: Vollständiges Vertrauen ist schwierig, denn auch andere vermeintlich sichere Dienste hatten Sicherheitslücken, wie etwa cryptocat oder whistle.im. Und Threema ist leider nicht Open Source und es gab bereits Meldungen zu im Klartext lesbaren Backups auf iOS.
  • Chatsecure: Freie und offene Chat-Software, die früher nur für iOS verfügbar war. Mittlerweile gibt es auch eine Android-Version, die auf dem früheren GibberBot basiert. Was uns freut: Chatsecure benutzt für die Ende-zu-Ende-Verschlüsselung OTR und die Kommunikation läuft über das XMPP-Protokoll. OTR ermöglicht Verschlüsselung, Authentifizierung eures Gegenübers und plausible Abstreitbarkeit. Das heißt, niemand kann im Nachhinein nachweisen, dass wirklich ihr es wart, der eine Nachricht gesendet hat. Außerdem ist es bei OTR für zurückliegende Nachrichten nicht kritisch, wenn euer privater Schlüssel einem Dritten bekannt geworden ist. ChatSecure ermöglicht die sichere Kommunikation auch mit Nutzern anderer auf XMPP aufbauenden Plattformen: Jabber, GoogleChat, FacebookChat, …
  • TextSecure: Open-Source-Lösung für alle, die keine Instant Messages schreiben, sondern per SMS verschlüsselt kommunizieren wollen, aber leider nur für Android-Nutzer verfügbar.
  • surespot: Weitere Open Source Ende-zu-Ende-Verschlüsselungsvariante für Instant Messaging, auch für beide großen Plattformen. Bietet aber leider keine Authentifizierung und Abstreitbarkeit wie Dienste, die auf OTR aufbauen.
  • Heml.is: “hemlighet” bedeutet “Geheimnis” auf Schwedisch und ist ein neuer, noch nicht fertiger Messenger, der Abhörsicherheit bieten will. Er wird von einem der Mitgründer von Pirate Bay entwickelt und soll auf XMPP und PGP aufbauen, nicht wie viele andere auf OTR, um auch Offline-Nachrichten zu ermöglichen. Wir hoffen, dass man Heml.is bald testen kann!

Da XMPP schon ständig erwähnt wurde: Es gibt einen Haufen Clients, mit denen ihr XMPP benutzen könnt, sowohl auf euren Mobilgeräten als auch auf PC und Co. Viele davon unterstützen OTR sowieso schon, bei vielen anderen könnt ihr Plugins nachinstallieren. Also: Es gibt eigentlich keinen Grund mehr, nicht zu wechseln!

Und falls ihr noch mehr Alternativen kennt: In die Kommentare damit.

[Update] Eine schöne Auflistung mit Pro und Contra findet ihr auch hier.

Wir wollen netzpolitik weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

Vorratsdatenspeicherung am Freitag im Bundestag

46208791Am Freitag wird im Bundestag über die Vorratsdatenspeicherung debattiert. Der Tagesordnungspunkt 18 befasst sich mit den Anträgen der Grünen und Linken, daher hier nochmal einen kurzen Überblick, was in Sachen VDS in der jüngsten Vergangenheit passiert ist.

Die SPD hat seit Mitte letzten Jahres versucht, sich wahlkampfwirksam als Vorratsdatenspeicherungsgegner zu positionieren - durch Aussagen wie diese:

Nach Prism und Tempora darf auch die EU-Richtlinie über die Vorratsdatenspeicherung keinen Bestand mehr haben. Die Richtlinie muss grundsätzlich überarbeitet und neu bewertet werden.

Danach wurde aber klar, dass man doch lieber nur kosmetisch und rhetorisch ein bisschen dreht, aber die VDS auf jeden Fall einführen will, um dieses “vermisste Instrument der Strafverfolgung und Gefahrenabwehr wieder nutzbar zu machen“. Zur Frage, ob die Richtlinie zur Vorratsdatenspeicherung der EU überhaupt mit den Grundrechten vereinbar ist, steht aber noch eine Entscheidung des Europäischen Gerichtshofs aus, die bald erwartet wird. Justizminister Maas wollte daher mit der Einführung der Richtlinie bis zu dessen Entscheidung warten. Später ergab sich aber, dass mit der Arbeit vielleicht schonmal angefangen wird – denn wie Wolfgang Bosbach so schön sagte: An jedem Tag, an dem die Vorratsdatenspeicherung nicht eingeführt ist, können Straftaten nicht aufgeklärt werden. Die Interpretation auf dem Blog Halina Wawzyniack zu den Vorbereitungsarbeiten wurde jedoch von Gerold Reichenbach (SPD) dementiert.

Letzte Woche ging Maas im Rechtsausschuss aber noch einen Schritt weiter und kündigte an, die Vorratsdatenspeicherung auch einführen zu wollen, falls das EuGH-Urteil sie als menschenrechtswidrig befinden würde. Denn damit sei bloß die Umsetzung der Richtlinie gemeint. Und dann kann man immer noch eine Vorratsdatenspeicherung nach strengen deutschen Gesetzesregeln implementieren und dabei Vorbild für den Rest Europas sein. Am Tag zuvor – dem “Safer Internet Day” – hatte er übrigens noch in einer Rede betont, wie wichtig Privatsphäre für souveräne Menschen sei.

Was die SPD schon 2011 zur Vorratsdatenspeicherung beschloss…

Die Argumentationslinie, dass man nur ein wenig an der Umsetzung drehen müsse, um die Rechtmäßigkeit der VDS herzustellen, erinnert stark an das Verhalten, das die SPD bereits 2011 gezeigt hatte. Seit 2008 wurden Kommunikationsverbindungsdaten und Handy-Standortdaten entsprechend der europäischen Richtlinie sechs Monate lang gespeichert und standen für Strafverfolgung und Gefahrenabwehr bereit. Das Bundesverfassungsgericht hatte 2010 nach einer Massenklage die Unzulässigkeit dieser Maßnahme beschlossen, schloss jedoch die Speicherung der Daten sowie die Zulässigkeit der EU-Richtlinie nicht generell aus. Die Vorratsdatenspeicherung in ihrer ursprünglichen Form war damit aber zunächst gestorben und es gab in der schwarz-gelben Regierung keine endgültige Klärung, wie mit der EU-Richtlinie umzugehen sei. Ende 2011 stimmte die SPD auf ihrem Parteitag über einen Gesetzesentwurf ab. Pro VDS – aber mit Einschränkungen: Verkürzung von mindestens sechs auf drei Monate Speicherdauer, keine Standortdaten zur Erstellung von Bewegungsprofilen, Zugriff auf die Daten nur für schwere Straftaten – also nicht für Urheberrechtsverstöße und ähnliches.

Vergangenen Dienstag anlässlich des diesjährigen Europäischen Polizeikongresses gab Innenminister de Maizière sich in einer Rede optimistisch und sagte, er erwarte das EuGH-Urteil noch vor Ostern. Da emotionale Beispiele für die Rechtfertigung restriktiver Überwachungsmaßnahmen immer beliebt sind, bildet auch de Maizière keine Ausnahme:

Beispielhaft möchte ich hier den Fall eines antisemitischen Serienmörders erwähnen, [...] Den Kontakt zu seinem ersten Opfer hatte der Täter offenbar über eine Internet-Kleinanzeige hergestellt. Diese Kommunikation konnte dank der noch gespeicherten Verbindungsdaten [...] zurückverfolgt werden. Leider ist die Richtlinie aus bekannten Gründen in Deutschland bisher nicht umgesetzt. Bei einem Fall wie in Frankreich hätten wir auf keine Verbindungsdaten zurückgreifen können. Die Daten wären längst gelöscht gewesen.

Dabei hat sich im obigen Fall längst ergeben, dass nicht die Vorratsdaten, sondern die Aussage eines Motorradhändlers zur Ergreifung führten.

Was am Freitag passiert…

Grüne und Linke fordern in ihren Anträgen, die Vorratsdatenspeicherung zu verhindern. Die beiden Anträge sind inhaltlich sehr ähnlich und beinhalten folgende Punkte:

  • Aufhebung der EU-Richtlinie über die Vorratsdatenspeicherung
  • Verzicht auf Wiedereinführung einer Vorratsdatenspeicherung von Telekommunikationsdaten jeglicher Art auf europäischer Ebene
  • Verzicht auf die Einführung einer Vorratsdatenspeicherung von Telekommunikationsdaten jeglicher Art auf nationaler Ebene

Für die Bundestagsabgeordneten hat man die Vorratsdatenspeicherung immerhin schonmal umgesetzt und  speichert bis zu drei Monate lang den gesamten IT-Verkehr der Abgeordneten das berichtet die Leipziger Volkszeitung vom 19. Februar. Dieses “ Datensicherungskonzept” basiere auf einem Beschluss des Ältestenrates von 1997 und wurde am 27. Oktober 2011 aktualisiert. Wieder hervorgekommen ist das Thema durch den Fall Edathy, in dem die Staatsanwaltschaft prüft, ob man diese Daten zur Ermittlung heranziehen könne. Das könnte den Datensammlungsfreunden natürlich wieder einmal das in der öffentlichen Diskussion immer wieder gern benutzte Kinderporno-Argument in die Hände spielen.

Auch durch die Law-and-Order-Vertreter aus der Regierungsfraktion dürften die Anträge von Linken und Grünen im Bundestag keine besonders guten Aussichten auf Erfolg haben. Und es ist auch fraglich, ob die SPD immer noch bei ihren 2011 beschlossenen Einschränkungen bleibt oder sie zugunsten des Koalitionspartners auf die im Rahmen des Urteils weitmöglichste Kompetenz ausdehnt.

Was die Zivilgesellschaft noch tun kann, ist Druck auf die Politiker der Regierungsparteien aufzubauen und über die anstehende VDS und Beschneidung der Grundrechte zu reden. Dazu könnt ihr euch unter anderem auf Seiten der DigiGes informieren. Und wir hoffen entgegen der Vorzeichen, dass Rainer Wendt, der Vorsitzende der Deutschen Polizeigewerkschaft, nicht mit seiner Vorhersage von 2012 Recht behält, die VDS sei nach den Bundestagswahlen 2013 in einer Neuauflage der Großen Koalition mit den Sicherheitspolitikern der SPD rasch wieder beschlossene Sache.

Wir wollen netzpolitik weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

February 19 2014

Merkels Kabinett auf Dienstreise in Paris – Staatssekretär Fritsche soll deutsch-französische Geheimdienstzusammenarbeit stärken

Staatssekretär Fritsche forderte bei der letztjährigen Verkaufsmesse

Staatssekretär Fritsche forderte bei der letztjährigen Verkaufsmesse “Europäischer Polizeikongress” mehr Vorratsdatenspeicherung

Beinahe das gesamte Kabinett ist dann mal eben nach Paris zum Deutsch-Französischen Ministerrat gereist. Bundeskanzlerin Angela Merkel (CDU) hatte vorab durchsickern lassen, dass sie auch über eine europäische Abschottung des Internet sprechen will. In ihrem Podcast hatte sie vom Aufbau “europäischer Kommunikationsetzwerke” orakelt, damit “man nicht erst mit seinen E-Mails und anderem über den Atlantik muss”.

Nun steht die gemeinsame Erklärung der beiden Länder online. Ein Schengen-Netz taucht darin nicht auf, wohl aber andere Forderungen zur Regulierung des Internet:

Eine deutsch-französische Arbeitsgruppe wird die Möglichkeiten des Erlasses von Vorschriften und die Möglichkeiten, die Entwicklung der Schlüsseltechnologien Datenspeicherung und Datenverarbeitung (cloud computing, big data) unter anderem mit Hilfe von Technologiepartnerschaften zu begleiten, prüfen. [...] Es werden gemeinsame Vorschläge für eine europäische Regulierung der wichtigsten Internet-Plattformen vorgelegt, durch die Internetdiensten und Internetnutzern offener Zugang gewährt und Interoperabilität, Transparenz und Nichtdiskriminierung sichergestellt werden sollen.

Auch die Zusammenarbeit (“Stärkung”) der Geheimdienste war Thema. Der in der Eadthy-Affäre angeschlagene Staatssekretär Fritsche (nun zuständig für das Bundeskanzleramt und die Arbeit der Geheimdienste) soll sich hier profilieren:

Der französische Staatspräsident und die Bundeskanzlerin haben den französischen Nachrichtendienst-Koordinator, A. Zabulon, und den deutschen Staatssekretär für die Belange der Nachrichtendienste, K.-D. Fritsche, aufgefordert, Vorschläge für eine verstärkte Zusammenarbeit unserer Nachrichtendienste zu erarbeiten.

Zu Drohnen wurde ebenfalls eine engere Kooperation vereinbart. Dabei geht es um die sogenannte “MALE”-Klasse (“Medium Altitude Long Endurance”). Mehrere europäische Rüstungskonzerne buhlen um die Frage, welcher Konzern mit dem Bau einer “europäischen Drohne” beauftragt werden könnte. Keine Regierung konnte sich auf eine spätere Abnahmegarantie einigen, sodass auch keine Gelder für die Entwicklung zugesagt werden können.

Das könnte sich ändern. In der Erklärung heißt es, Paris und Berlin unterstützen “die Entwicklung einer neuen Generation von Überwachungsdrohnen bis 2020-2025″:

[...] wobei ein erster Schritt die Ermittlung des operationellen Bedarfs sein wird. Zu diesem Zweck wird die Einrichtung einer interdisziplinären Arbeitsgruppe erfolgen, die zügig Vorschläge erarbeiten soll, um in dieser Richtung voranzukommen;

Weitere Worthülsen drehten sich um die „verstärkte Kooperation“ insbesondere im „Kampf gegen Terrorismus, gegen die Verbreitung von Massenvernichtungswaffen, gegen organisierte Kriminalität sowie gegen Cyber-Angriffe“. Diese bilaterale Zusammenarbeit könne „die Grundlage für eine Zusammenarbeit mit weiteren europäischen Staaten sein“.

Gemeint ist, dass Deutschland und Frankreich ihre Vorstellungen auf EU-Ebene durchdrücken wollen. In der Vergangenheit hatten die beiden Regierungen vor allem im Bereich der Migration und der Aufhebung der Freizügigkeit im Schengen-Raum entsprechende Einschränkungen durchgesetzt. Nun können Grenzkontrollen nicht nur bei Gipfelprotesten, sondern auch bei zuviel unerwünschter Migration wieder eingeführt werden. Dabei soll es nicht bleiben:

Es werden insbesondere gemeinsame Vorschläge zur Stärkung und Anpassung der Politik für das integrierte Grenzmanagement des Schengen-Raums vorbereitet werden.

Auch die Sicherheitsforschung wird erwähnt, die Rede ist von “gemeinsamen Forschungsprojekten über technologische Systeme zur Bekämpfung von Verbrechen, einschließlich Cyberkriminalität”. Hier hat wohl der mächtige lobbyverband “European Round Table of Industrialists” seine Hand im Spiel, der die beiden Regierungen heute Abend zum Essen lädt.

Wir wollen netzpolitik weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

Bitkom streitet über Antworten zum NSA-Skandal

Der IT-Unternehmensverband Bitkom erlebt momentan laut einem Bericht der Wirtschaftswoche einen Richtungsstreit. Hintergrund ist eine Auseinandersetzung über die richtigen Maßnahmen als Antwort auf den NSA-Skandal. Dabei kam es wohl zu Auseinandersetzungen zwischen den US-Mitgliedsunternehmen wie Google und Microsoft, sowie deutschen Unternehmen, die auf IT-Sicherheit “Made in Germany” setzen wollen oder wie die Deutsche Telekom ein Schengenrouting bevorzugen.

Die Wirtschaftswoche zitiert aus internen Protokollen:

Aus geheimen, dem Magazin vorliegenden Protokollen geht hervor, dass sich die amerikanischen Mitglieder des Verbandes vehement gegen den Vorschlag deutscher IT-Unternehmen gewehrt haben, sichere Hard-, Soft- und Kommunikationsware „Made in Germany“ zu forcieren. Insbesondere die Forderung der Deutschen Telekom, dass Datenpakete von und nach Deutschland nicht mehr über die in Verruf geratenen ausländische Server in den USA und Großbritannien verschickt werden sollten, die von der NSA und dem britischen Geheimdienst GCHQ angezapft werden, wurde von den Amerikanern blockiert. Obwohl es solch ein nationales Routing in den USA gibt, lehnten vor allem Microsoft, Google, Oracle, Amazon und Ebay ein deutsches Routing ab und setzten einen weichen Prüfauftrag durch.

Wir freuen uns natürlich über Zusendungen der zitierten Protokolle.

Wir wollen netzpolitik weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

February 16 2014

Aus #Neuland wird #Schengenland: Merkel für Aufbau “europäischer Kommunikationsnetzwerke”

Die Antworten standen wohl schon vor den Fragen fest: Merkels inszenierter

Die Antworten standen wohl schon vor den Fragen fest: Merkels jüngster inszenierter “Podcast”

Angela Merkel (CDU) hat in einem neuen Vorstoß die Abschottung des Internet gefordert. In ihrem wöchentlichen Podcast orakelte die Bundeskanzlerin vom Aufbau “europäischer Kommunikationsetzwerke”. Begründet wird dies nicht mit vermeintlichen Hackerangriffen aus Asien, sondern ist direkt an die USA gerichtet: Das Ganze sei notwendig, damit “man nicht erst mit seinen E-Mails und anderem über den Atlantik muss”. Das Ganze firmiert als mehr Datenschutz, für den laut Merkel “hier auf europäischer Ebene mehr zu tun” sei. Dies gilt Facebook und Google. Die Unternehmen haben sich in Ländern mit niedrigen Datenschutz-Standards angesiedelt. “Wir wollen nicht, dass unser Datenschutz aufgeweicht wird”, meint Merkel dazu.

Die Antworten wurden ihr von einem Mitglied des deutsch-französischen Jugendwerks in den Mund gelegt. Hintergrund ist die Reise der Kanzlerin mit dem Bundeskabinett nach Paris. Am Mittwoch soll dort der “Deutsch-Französische Ministerrat” stattfinden. Auf der Agenda steht eine “gegenseitige Abstimmung auf allen Politikgebieten”. Neben dem Internet stehen auch die Außen-, Sicherheits- und Verteidigungspolitik sowie die Zusammenarbeit in den Bereichen Innen- und Justizpolitik auf dem Programm.

Großen Einfluß wird der “European Round Table of Industrialists” einnehmen. Der mächtige, EU-weite Lobbyverband hält Mittwoch Abend eine Tagung ab. Dort wollen Merkel, der französische Präsident, der Präsident der Europäischen Kommission und der Vorsitzende des Reden im Palais de l‘Elysée halten und die Ergebnisse der Gespräche verkünden

Ein Routing über europäische Netzwerke würde auch eine bessere Kontrolle durch europäische Geheimdienste bedeuten. Zuletzt hatte sich der neue Migrationsminister Großbritanniens für “Cybergrenzkontrollen” ausgesprochen. Dadurch sollen ähnlich dem bereits existierenden “familienfreundlichen” Pornofilter auch “extremistische Inhalte” geblockt werden. Die bisherigen Filter sind aber leicht zu umgehen. Es ist unklar, ob die neuen Sperren nicht auf anderer Technologie basieren sollen.

Im Bereich der Innenpolitik wird in Paris vermutlich nicht nur ein Schengen-Netz auf der Tagesordnung stehen. Letzte Woche fand in Krakau das G6-Treffen statt. Halbjährlich treffen sich die Innenminister der sechs einwöhnerstärksten EU-Mitgliedstaaten, um Einfluss auf die EU-Politik zu nehmen. Auf Initiative des früheren Innenministers Schäuble nehmen auch das US-Heimatschutzministerium und die US-Generalbundesanwaltschaft teil. Auf den beiden letzten Treffen hatten die Minister Friedrich (CSU) und de Maizière (CDU) einen alternativen Vorschlag zur neuen EU-Vorratsdatenspeicherung präsentiert. Die Kommission plant den Aufbau eines “Ein/Ausreisesystems”, um ausreisepflichtige MigrantInnen aufzuspüren. Deutschland fordert aber, das System auch für geheimdienstliche und polizeiliche Zwecke zu öffnen. Auch die USA wären daran interessiert.

Wir wollen netzpolitik weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

February 12 2014

Vom Versuch, verschlüsselt mit einem Abgeordneten zu kommunizieren

Habt ihr schonmal versucht, einem Abgeordneten oder einer Behörde eine verschlüsselte Mail zu senden? Wenn es sich nicht gerade um Bundes- oder Landesdatenschutzbeauftragte handelt, die glücklicherweise alle über einen PGP-Schlüssel verfügen, ist dieser Versuch oftmals zum Scheitern verurteilt.

Dass es um den Bundestag nicht allzu gut bestellt ist, wenn es darum geht, vertraulich mit Bürgern zu kommunizieren, war bekannt geworden als die FAZ im letzten August einen ausführlichen Bericht mit der Überschrift “Bundestag, wie hältst du’s mit der Verschlüsselung?” verfasst hatte. Dabei gab es bereits 2002 Anstrengungen von Werner Müller aus dem Bundeswirtschaftsministerium, das CDs mit der kostenlosen Software GnuPP verteilte. Neben GnuPG war auch Thunderbird enthalten und sollte zur Durchsetzung von verschlüsselter Mailkommunikation, nicht nur im Bundestag, beitragen. Seitdem scheint es jedoch nicht vorwärts gegangen zu sein, sondern sogar zurück. Denn bei der standardmäßigen Installation von Outlook im Parlament bleibt höchstens die Möglichkeit, auf  S/MIME-Zertifikate zurückzugreifen, die Einrichtung von PGP erfolgt nur auf gesonderten Wunsch – demnach meistens gar nicht. Mit S/MIME-Zertifikaten bildet sich für den normalen Bürger aber eine inakzeptable Hürde, denn diese müssen zuerst beantragt werden und sind in der Regel kostenpflichtig.

Unter solchen Umständen bleibt die im September von FDP-Politiker Jimmy Schulz organisierte Cryptoparty, von Wahlkampfzwecken abgesehen, auch nur ein nett gemeinter Versuch, vor allem, da letztlich nur sechs Abgeordnete teilgenommen haben.

Die Situation in den Landtagen

In den deutschen Landtage, bzw. Bürgerschaften oder Abgeordnetenhäusern, sieht die Sache ähnlich aus. Diesen und den dort vertretenen Fraktionen habe ich mehrere Fragen zu ihrer Mailkommunikation gestellt:

1) Ist eine offizielle Infrastruktur zum Verschlüsseln und Signieren von Mails vorhanden?

1a) Wenn ja, wie erfolgt die Schlüsselverwaltung? Welche Standards (S/MIME, OpenPGP, …) werden benutzt? Wie sieht die Zertifizierungskette der Schlüssel aus?

1b) Wenn nein, ist es den Mitarbeitern erlaubt, auf persönliche Verantwortung Verschlüsselungssoftware zu nutzen und eigene Schlüssel dazu zu verwenden?

2) Existieren Leitlinien, dass/wann Mailkommunikation verschlüsselt und signiert erfolgen soll? Wird zur verschlüsselten Kommunikation ermutigt?

3) Findet eine Schulung der Politiker und Mitarbeiter zur sicheren Nutzung der eventuell vorhandenen Systeme statt?

4) Liegen Ihnen Statistiken zur tatsächlichen Nutzung vertraulicher Kommunikationsmöglichkeiten vor?

Vielerorts nur Schweigen…

Von vielen kam darauf leider keine Antwort. Baden-Württemberg verwaltet seine Technik zentral, reagierte aber nicht auf dreimalige Nachfrage. Bayern speiste mich nach halbstündigem Telefonat mit der zentralen Poststelle, in der meine Mails “verlorengegangen” sind, damit ab, dass die Pressestelle befunden habe, man werde mir auf die Anfrage nicht antworten. Auch aus Brandenburg, Rheinland-Pfalz und Mecklenburg-Vorpommern gab es nur Schweigen.

Aber noch trauriger als Nicht-Antworten waren die, bei denen klar wurde, dass meine Frage nichteinmal verstanden wurde. “Wir geben über unsere technische Ausstattung keine Auskünfte” (CDU Berlin), “Zu Sicherheitsaspekten des Hessischen Landtages können wir leider grundsätzlich keine Auskünfte geben”, ”Wir geben grundsätzlich keinerlei Auskunft zu unserer elektronischen Kommunikation” (FDP Sachsen) und ähnlich lauteten Aussagen von besorgten Stellen, die wohl zu glauben schienen, sie gäben wertvolles Geheimwissen preis, wenn sie ihre öffentlichen Schlüssel ausplaudern… Aber man darf vermuten, dass die eigentliche Sicherheitsinfo diejenige ist, dass es überhaupt keine Sicherheit gibt.

Ein Großteil der anderen Antworten lässt sich leider, was aber auch zu erwarten gewesen war, mit “Nein.” zusammenfassen. In der Verwaltung des Abgeordnetenhauses Berlin, der Bürgerschaft Hamburg und den Landtagen Sachsen und Schleswig-Holstein kommt, zumindest in der Verwaltung, keine Verschlüsselungssoftware zum Einsatz. In vielen Fällen verwalten die Fraktionen jedoch auch ihre eigene Infrastruktur und sind für ihre Mailkommunikation selbst verantwortlich.

An einigen Stellen ist guter Wille vorhanden…

Wie im Fall Hamburgs, dort bleibt den Fraktionen und Abgeordneten die Möglichkeit, selbst Software und Infrastruktur zu installieren. Das gilt auch für den saarländischen Landtag, wo darüber hinaus empfohlen wird, OpenPGP und eine Schlüssellänge von mindestens 2048 bit zu nutzen. Es scheint also guter Wille vorhanden zu sein, doch etwas traurig klang der Zusatz, diese Möglichkeit werde zur Zeit von nur zwei Mitarbeitern genutzt – die jedoch hätten noch niemals eine verschlüsselte Mail bekommen. Ähnlich geht es auch dem Landesdatenschutzbeauftragten in Sachsen-Anhalt, der abgesehen von der Kommunikation mit einem Abgeordneten der Linksfraktion nur eine weitere verschlüsselte Mail erhielt.

Bei den Piraten in Berlin werden die Einrichtung von PGP-Verschlüsselung und Support von der fraktionseigenen IT-Abteilung angeboten, außerdem habe es eine gut besuchte CryptoParty gegeben. Auch bei der Fraktion der Grünen in Schleswig-Holstein hat man begonnen, sich mit sicherem Mailverkehr zu beschäftigen. Man stehe gemeinsam mit IT-Dienstleistungsunternehmen und dem IT-Referat des Landtages im Kontakt, um bald vertrauliche Kommunikation anbieten zu können. Die Piraten im selben Landtag sind schon einen Schritt weiter. Von dort erhielt ich die erste verschlüsselte Mail meiner Anfragehistorie. PGP wird dort als Verschlüsselungsstandard verwendet, ein gegenseitiges Keysigning sei geplant. Man signiere grundsätzlich und verschlüssele bei Bedarf, Support und Schulung geschähen, wenn sie individuell benötigt würden.

… an anderen Stellen unbenutzbare Lösungen

Sich selbst überlassen sind auch die Fraktionen der Bürgerschaft Bremen. Die Landtagsverwaltung verfügt jedoch über ein System namens Elektronisches Gerichts- und Verwaltungspostfach (EGVP) “für den Versand und den Empfang von verschlüsselten und/oder signierten Vorgängen oder Anfragen an die Bremische Verwaltung”. Dieses System wird auch an Gerichten in anderen Bundesländern eingesetzt. Doch wer glaubt, das ermögliche den einzelnen Mitarbeitern zumindest untereinander verschlüsselt oder signiert zu kommunizieren, liegt leider falsch. Die Geschäftsstelle der Bürgerschaftskanzlei ist mit einem einzigen speziellen Postfach an die EGVP-Infrastruktur des Landes Bremen angebunden.

Will man als Bürger Dokumente an die dortige Verwaltung senden, wird es noch abenteuerlicher. Jeder, der behauptet PGP sei zu kompliziert, sollte sich die EGVP-Seiten ansehen. Die Anwenderdokumentation hat übersichtliche 119 Seiten und zum Signieren werden eine Signaturkarte und ein Lesegerät benötigt. Es ist also kein Wunder, dass das unpraktikable System seit 2008 kaum genutzt wurde. Eine Dienstanweisung zur Nutzung von E-Mail-Postfächern aus dem Jahr 2002 soll demnächst überarbeitet werden soll, hoffentlich wird das Thema Verschlüsselung dann auch eine Rolle spielen.

Den Abgeordneten in Nordrhein-Westfalen bleibt die Nutzung eigener Verschlüsselungssoftware bisher leider verwehrt. Das Land bietet zwar DOI-CA Zertifikate an, die über IT.NRW an T-Systems/telesec beantragt werden können. Das Verschlüsseln personenbezogener Daten wird darüber hinaus sogar von der IT-Sicherheitsrichtlinie vorgeschrieben. Durch die Notwendigkeit, Zertifikate im Vorhinein zu beantragen ist dieser Weg aber für die Kommunikation mit Bürgern impraktikabel, wie bereits im Falle des Bundestages beschrieben. Die Fraktion der Grünen weist darauf hin, dass  eine eigenverantwortliche Lösung mit Verweis auf Sicherheitsbedenken seitens der Landtagsverwaltung abgelehnt werde. Seit Ende 2012 tage aber eine Arbeitsgruppe des Ältestenrats unter Beteiligung aller Fraktionen, in der insgesamt Fragen der IT- Ausstattung des Landtags diskutiert werden. Hier wurde das Thema “Verschlüsselung” mehrfach diskutiert, bisher allerdings noch nicht abgeschlossen.

Auch die Piraten in NRW arbeiten an mehr Kommunikationssicherheit im Land. Letzten Donnerstag gab es Anhörungen zu drei verschiedenen Anträgen der Fraktion zum Schutz von Bürgern vor Massenüberwachung, Whistleblowing und Wirtschaftsspionage. Diese beinhalteten unter anderem die Forderung nach “der sofortigen Bereitstellung einer Ende-zu-Ende-Verschlüsselung des E-Mail-Verkehrs”. Mit dem ersten Antrag war eine Anhörung und Stellungnahme von Tobias Morsches verbunden, der  beruflich als Penetrationtester arbeitet. Er betont, wie wichtig es ist, dass jeder Bürger vertraulich mit öffentlichen Stellen und Abgeordneten kommunizieren kann:

Gerade die Kommunikation mit öffentlichen Stellen enthält oft sehr sensible Daten. Daher ist der Verzicht auf eine Verschlüsselung als Grob-Fahrlässig anzusehen. Während die Stadt oder Kommune keinen direkten Einfluß auf die Verschlüsselung seitens der Bürger hat, so sollte Sie doch zumindest den Bürgern die Möglichkeiten bieten. Um keine Bürger auszugrenzen, sollten dabei alle gängigen Verfahren, so wie unabhängige Alternativ-Verfahren sofern möglich angeboten werden. Bei unverschlüsselter Kommunikation sollte immer auf einfache Möglichkeiten für eine gesicherte Kommunikation hingewiesen werden.

Neben viel Frustration und einigen aufkeimenden Anzeichen von gutem Willen gab es eine große positive Überraschung aus Thüringen. Die dortige Fraktion Die Linke scheint sich sehr ernsthaft mit dem Thema auseinandergesetzt zu haben, auch wenn es noch keine offizielle Landtagsinfrastruktur gibt. Es wird sowohl truecrypt als auch OpenPGP angewendet, manche nutzen sogar XMPP mit OTR.  Neben der Empfehlung, grundsätzlich verschlüsselt zu kommunizieren, finden Verschlüsselungsworkshops für alle Abgeordneten und Mitarbeiter des Landtags und interessierte Außenstehende statt. Die Liste reicht zurück bis ins Jahr 2010 mit dem Einstiegsworkshop “Meine Daten gehören mir” und behandelten seitdem Tracking, PGP, Truecrypt, Facebook-Nutzung und sogar die Einrichtung eines eigenen TOR-Servers. Und zum Nachlesen im Anschluss gibt es eine Zusammenstellung vieler Linkverweise - wir sind übrigens auch dabei.

Wie kann man die Situation verbessern?

Das Engagement einiger einzelner Fraktionen macht Hoffnung, dass sich irgendwann ein Bewusstseinswandel einstellen könnte. Aber an vielen anderen Stellen zeigt sich, dass es noch an Willen und Wissen fehlt. Verschlüsselung ist abstrakt, Bits kann man nicht sehen, also fällt die Vorstellung schwer, man könne sie abhören. Dagegen hilft nur Aufklärung und der hartnäckige Kampf gegen das Zeitalter des Internetausdruckens. Informationen können von vielen Stellen kommen. Notwendig und am effektivsten wären obligatorische Schulungen innerhalb der Landtagsstrukturen, aber auch selbst kann man Politiker zu Krypto-Workshops einladen oder Fraktionen anbieten, diese bei ihnen durchzuführen. Wobei noch vor den Grundlagen der sicheren Kommunikation generelles Verständnis für die Mechanismen im digitalen Neuland geweckt werden muss.

Eine andere Notwendigkeit ist, Druck auszuüben und klar zu machen, dass Verschlüsselung nichts Exotisches ist, sondern zum Alltag werden sollte. Das traurige Beispiel der zwei saarländischen Abgeordneten, die noch nie eine verschlüsselte Mail bekommen haben, zeigt auch, dass bisher nicht deutlich wird, dass Verschlüsselung verlangt wird. Denn wie sollte ein Abgeordneter von selbst auf die Idee kommen, dass er sich einen Schlüssel zulegen sollte? Ein Kommentar auf meine Fragen hat das schön auf den Punkt gebracht:

Es ist eben nicht einfach, einem landwirtschschafspolitischen Sprecher zu erklären, warum es nun so sehr notwendig ist, den Landesbauernverband zu überzeugen selbst einen PGP-Key anzubieten, damit erst einmal die Möglichkeit besteht, verschlüsselt zu mailen.

Es ist nicht viel Aufwand, seinen Abgeordneten per Mail aufzufordern, vertrauliche Kommunikationskanäle anzubieten. Und erst wenn diese Forderung von genügend Bürgern kommt, wird irgendwann auch die letzte Fraktion aufwachen und erkennen, dass Verschlüsselung keine Fantasie von Nerds und Verschwörungstheoretikern, sondern allgemein angebracht ist.

Und dann wird alles gut?

Leider wäre das Problem aber auch dann nicht gelöst, wenn plötzlich jeder Abgeordnete nur noch verschlüsselte E-Mails schreiben würde. In der oben erwähnten Stellungnahme für den Landtag NRW findet Morsches deutliche Worte dafür, wie es um die generelle IT-Sicherheit in deutschen Behörden bestellt ist:

[Wir erhielten] in fast allen Fällen, binnen kürzester Zeit (ca. 2-8 Stunden), ohne vorherige Kenntnisse der IT, vollen Zugriff auf alle Systeme der jeweiligen Kommunen oder Behörden.

Das Problem liegt also viel tiefer. Denn was bringt es, wenn zwar die Mail verschlüsselt über die Leitung läuft, der Angreifer aber nach dem Entschlüsseln vollen Zugriff auf den Computer des Abgeordneten und vielleicht sogar dessen private Schlüssel hat?

Wir wollen netzpolitik weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

February 11 2014

“Die freie Gesellschaft braucht Individualität, und souveräne Menschen brauchen Privatsphäre.”

Unser Justiz- und Verbraucherminister Heiko Maas (SPD) hat heute im Rahmen des Safer Internet Day seine Datenschutz-Einführungsrede gehalten. Medial wird vor allem über ein neues Verbandsklagerecht für Verbraucherschutzorganisationen berichtet, dessen Gesetzentwurf Maas für April angekündigt hat. Seine Redenschreiber haben Maas einige kluge Dinge zu Überwachung und Privatsphäre reingeschrieben, aber nur wenige konkrete Forderungen und Ankündigungen. Vor allem fehlte aber ein Punkt.

In der Analyse klingt das dann so:

All dies gefährdet die Privatsphäre in bisher nie gekannter Weise, und die Quellen dieser Gefahren sind vielfältig.

Wenn fremde Nachrichtendienste – ich nenne jetzt mal keine Namen – ohne rechtliche Grenzen millionenfach elektronische Daten abgreifen, um herauszufinden, wer mit wem kommuniziert und welche Internetseiten jemand besucht – dann ist die Privatsphäre in Gefahr.
Wenn Kriminelle | E-Mail-Adressen und Passwörter stehlen und fremde Identitäten missbrauchen – dann ist die Privatsphäre in Gefahr.
Wenn Unternehmer die Daten ihrer Nutzer ungefragt ausbeuten, wenn Vorlieben ermittelt und Verhalten vorhersehbar gemacht wird, wenn wir zum gläsernen Kunden und unsere Daten zur Ware werden und wenn der Chef eines Internetdienstes verlautbart, er will nicht nur wissen, wo wir sind und was wir machen, sondern er will wissen was wir denken – dann ist die Privatsphäre in Gefahr.

Big Data und Profiling, Tracking und das Internet der Dinge – all dies schafft enorme Gefahren für die Privatsphäre und deshalb war es richtig, dass wir deren Schutz heute zum Thema dieser Konferenz gemacht haben.

Aber wie man die Privatsphäre nun konkret von staatlicher Seite schützen kann, blieb etwas im Nebel hängen. Eine prominente Rolle spielte das angekündigte Gesetz über Unterlassungsklagen:

Auf nationaler Ebene werden wir das Gesetz über Unterlassungsklagen ändern. Künftig bekommen Verbraucherorganisationen das Recht, bei Verstößen gegen den Datenschutz, Klage zu erheben. Wenn ein Anbieter die Daten seiner Kunden missbraucht, wenn er sie unzulässig nutzt oder gar weiterverkauft, dann ist das für den einzelnen Verbraucher zwar ärgerlich, aber nur wenige nehmen bisher die Mühe und die Kosten auf sich, dagegen zu klagen. In solchen Situationen brauchen die Internetnutzer einen starken Anwalt ihrer Interessen und das sind die Verbraucherorganisationen. Sie sollen künftig das Recht haben, Klage zu erheben. Bis Ende April wird mein Ministerium dazu einen Referentenentwurf vorlegen. Diejenigen, die den Datenschutz und die Privatsphäre ihrer Kunden verletzen, können dann nicht länger darauf hoffen, einfach davonzukommen. Mit dem neuen Verbandsklagerecht stellen wir sicher, dass die Regeln des Datenschutzes nicht nur auf dem Papier stehen, sondern auch eingehalten werden.

Das ist sicherlich sinnvoll, aber letztendlich lassen wir uns mal überraschen, wie sich global agierende Unternehmen davon beeindruckt fühlen, die ihre EU-Niederlassung nicht in Deutschland haben. Aber das kann doch noch nicht alles sein!

Auf die Wunschliste von Maas kommen noch Forderungen im Rahmen der EU-Datenschutzreform, die möglicherweise auf die lange Bank geschoben wird und wo die Bundesregierung eine Mitschuld trägt. Aber das wollen wir mal nicht dem neuen Bundesjustiz- und Verbraucherministerium anhängen. Im Rahmen der Datenschutzreform wünscht sich Maas:

Wir brauchen klare rechtliche Grenzen für die Erstellung von Persönlichkeitsprofilen,
wir sollten die Anbieter von online-Diensten zu datenschutzfreundlichen Voreinstellungen verpflichten. Es ist nicht in Ordnung, dass in Sozialen Netzwerken die größtmögliche Verbreitung von Postings der Normalfall und der Datenschutz nur die Ausnahme ist. Dieses Verhältnis wollen wir umkehren.
Außerdem sollten Daten so früh wie möglich anonymisiert und pseudonymisiert werden. Hier bieten sich große Chancen für den Datenschutz, denn gegen Big Data mit anonymen Daten bestehen viel weniger Bedenken.

Müsste man mal. Wir wünschen viel Erfolg. Das wars dann leider auch mit konkreten Forderungen. Am Ende der Rede wünschte sich Maas nochmal “Ideen und die Kreativität von vielen”:

Die freie Gesellschaft braucht Individualität, und souveräne Menschen brauchen Privatsphäre. Das haben die Revoluzzer von ’68 erkannt, und das gilt auch für die digitale Revolution unserer Zeit. Heute ist es mit dem bloßen Einhängen der Türen nicht mehr getan, heute sind die Herausforderungen ungleich größer. Es geht darum, die Souveränität des Verbrauchers über seine persönlichen Daten im Netz zu sichern. Wie das gelingen kann, dafür brauchen wir die Ideen und die Kreativität von vielen.

Kann man so sagen. Am Ende einer solchen Rede fehlt allerdings eine konsequente Forderung: Weg mit der Vorratsdatenspeicherung, um die Privatsphäre und die Souveränität der Bürger zu schützen.

Wir wollen netzpolitik weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

February 06 2014

Schöne Worte von Martin Schulz in der FAZ. Aber sonst? (Update)

Martin Schulz, SPD-Politiker und Präsident des EU-Parlaments, hat einen Gastbeitrag für die FAZ zum Thema Digitalisierung der Welt verfasst, der nun endlich in voller Länge online einsehbar ist. Er ist für diesen Beitrag in der Netzwelt viel gelobt worden. Prinzipiell zurecht, wenn man zum ersten Mal drüberliest.

Er vergleicht die Digitalisierung der Gesellschaft mit der Industrialisierung der Welt im frühen 20. Jahrhundert. Wie bei jedem Wandel stehe man vor der Herausforderung, die neue Technik zum “Nutzen der vielen und nicht der wenigen” einzusetzen. Er stellt die sich vergrößernde Unabhängigkeit durch allgegenwärtige Kommunikationsmöglichkeiten den potentiellen Gefahren von Arbeitsentgrenzung, Trivialisierung komplexer Problemstellungen und Überwachung entgegen. Man könne sich leicht in Kontrollstrukturen begeben, die anfangs durch Vorteilsversprechen noch verlockend und freiwillig erschienen. Der Einzelne werde zum “Geschäftsmodell von Facebook und anderen” und entwickele sich durch Profiling und Verhaltensvorhersage zum “determinierten Menschen”.

Am Ende ruft er zum Handeln auf, um der gefährlichen Verbindung von neoliberaler und autoritärer Ideologie entgegenzuwirken und der “Verdinglichung des Menschen” entgegenzuwirken. Dazu braucht es seiner Meinung nach eine soziale Bewegung, die der unbegrenzten Datensammelei Einhalt gebietet und für das Grundrecht auf Privatheit kämpft.

So weit, so gut. Aber was steckt hinter den schönen Worten und kämpferischen Aufrufen? Wer ist diese soziale Bewegung, von der er spricht? Zu Anfang lesen sich seine Ausführungen wie das Update eines sozialdemokratischen Wertekatalogs in der digitalen Welt. Der Sprung von der Industrialisierung, die mit dem Entstehen der Arbeiterbewegung viel zu den Wurzeln der heutigen SPD beigetragen hat, zur Digitalisierung will die Bedeutung der SPD in der heutigen Zeit neu beschwören. Eine solche Positionierung erscheint auch im Vorfeld der Europawahlen im Mai, bei denen Schulz Spitzenkandidat der Sozialdemokraten sein und für das Amt des Kommissionspräsidenten kandidieren wird, als naheliegende Taktik.

Aber die jetzige SPD wird den Ansprüchen der von ihm beschwörten Bewegung nicht gerecht. Sie stolpert unterdessen über ihre eigenen Füße, arbeitet bereitwillig an der Vorbereitung der Vorratsdatenspeicherung mit und schafft es nicht, eine klare und wirksame Position zur Überwachung deutscher Bürger durch amerikanische Geheimdienste zu finden, geschweigedenn sich ernstzunehmend für eine Anhörung und Asyl für Edward Snowden einzusetzen.

Genausowenig passt das frühere Verhalten von Schulz selbst zu seinen Visionen. Bei vielen für die digitale Welt maßgeblichen Abstimmungen innerhalb des EU-Parlamentes hat sich Schulz nicht einmal beteiligt: ACTA-Abkommen, Europäisches Grenzüberwachungssystem (Eurosur)Aussetzung des SWIFT-Abkommens mit den USAFluggastdaten-Abkommen mit den USAInternetsperren (Telekom-Paket). Kattascha hat das in einem Blogpost gut zusammengefasst dargestellt. [Update] Ganz entgegen digitaler Menschenrecht hat er sogar bei der PNR-Abstimmung gehandelt:

Dass Schulz „die Verteidigung unserer Grundwerte im 21. Jahrhundert“ so wichtig seien, lässt sich an solchem Nicht-Verhalten nicht ablesen. 

Wir wollen netzpolitik weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

Die Haltung Deutschlands zum Datenaustausch mit Drittstaaten

Am 23. und 24. Januar 2014 haben sich die Justiz- und Innenminister der europäischen Länder zu einem informellen Rat in Athen getroffen. Auf der Tagesordnung standen die europäische Datenschutzgrundverordnung und angesichts der Entwicklungen mit den USA vor allem Regelungen zur Datenübermittlung in Drittstaaten, wie die Safe-Harbor-Vereinbarung.

Deutschland, das vom  Parlamentarischen Staatssekretär des Innenministeriums, Ole Schröder, vertreten wurde, brachte einem Nachbericht zu Folge erneut den zu Safe Harbor konträren Vorschlag ein, die kommende Datenschutzgrundverordnung um Artikel 42a zu ergänzen. Dieser wurde letztes Jahr schon einmal vom damaligen Innenminister Friedrich vorgebracht und beinhaltet, dass Datenübermittlungen an Drittstaaten den Datenschutzaufsichtsbehörden gemeldet und von diesen genehmigt werden müssen, wenn sie nicht als Rechts- oder Amtshilfe gelten. Die EU-Kommission sieht diesen Bedarf jedoch nicht und verteidigt das “Angemessenheits”-Prinzip.

Das bedeutet, wenn die Kommission für ein Drittland ein angemessenes Datenschutzniveau bestätigt, können Übermittlungen ohne weitere Hindernisse wie in europäische Länder vorgenommen werden. Das ist nicht identisch mit Safe Harbor, es besteht nämlich das Problem, dass die USA keine explizite, kodifizierte Datenschutzgesetzgebung für ihre Unternehmen haben, sondern auf Basis von Selbstverpflichtungserklärungen operieren. Angemessenheit kann also per Definition nicht für die USA gelten, daher dient Safe Harbor als “Workaround”, bei dem einzelne Firmen sich offiziell einem europäischen Schutzniveau verpflichten und dafür beim Handelsministerium der USA registriert werden.

Die EU-Kommission verharrt also weiterhin auf ihrem Standpunkt, Safe Harbor aufrechtzuerhalten. Und zwar zumindest so lange, bis im Sommer 2014 geprüft wird, ob die 13 Handlungsempfehlungen an die USA umgesetzt werden, die Ende November letzten Jahres gestellt wurden. Das EU-Parlament teilt diese Haltung nicht, das macht auch der Berichtsentwurf zu den Anhörungen aufgrund der Überwachungsaffäre klar und geht aus einem Debriefing zu einem EU-US-Datenschutzabkommen aus Anlass einer Referentensitzung am 30. Januar hervor. Dort wird auch darauf verwiesen, dass die Kommission auch auf die EU-US-Ministergespräche warten wolle, die Ende Februar und im März stattfinden werden, bevor man Vorschläge zu einer Ausgestaltung einer konkreten Regelung an die Mitgliedsstaaten gebe.

Interessant vor diesem Hintergrund im Zusammenhang mit der Haltung Deutschlands ist auch eine Kleine Anfrage mit dem Titel “Datenschutz bei der Zusammenarbeit deutscher Finanzdienstleister mit IT-Unternehmen insbesondere aus den USA vor dem Hintergrund
des NSA-Skandals“. Auf Frage 18, wie die Bundesregierung die Wahrscheinlichkeit beurteile, dass die NSA durch Kooperation mit von deutschen Finanzdienstleistungsunternehmen beauftragten US-amerikanischen IT-Dienstleistern – möglich durch Safe Harbor – Zugriff auf Daten deutscher Finanzdienstleistungsunternehmen erhalten könne und davon auch Gebrauch mache, lautet die Antwort:

Ein Zugriff der NSA in Kooperation mit entsprechenden IT- Dienstleistern auf Daten deutscher Finanzdienstleistungsunternehmen ist theoretisch nicht auszuschließen. Allerdings dürfte ein solcher Zugriff regelmäßig rechtswidrig sein.

Das bedeutet faktisch, dass Safe Harbor als “theoretisch” wirkungslos angesehen werden kann, denn offensichtlich sind die amerikanischen Dienstleister zwar unter Safe Harbor anerkannt, aber auf ein angemessenes Schutzniveau vertraut wird nicht, da dieses durch die Datenweitergabe an die NSA ausgehebelt werden kann. Noch interessanter ist die Antwort auf die zweite Teilfrage, die wissen will, ob deutsche Nachrichtendienste von der NSA Informationen über deutsche Finanzdienstleister erhalten hätten. Die Frage wird nicht beantwortet, mit dem Verweis darauf, dass die Auskunft “im Zusammenhang mit der Aufgabenerfüllung des Bundesnachrichtendienstes bestehende Informationen” betreffe. Das stößt sauer auf, denn die Kompetenz des Bundesnachrichtendienstes bezieht sich auf die Auslandsaufklärung. Und wenn gezielt Informationen über deutsche Finanzdienstleister bezogen würden, liegt es nahe, dass nicht nur diejenigen Finanztransaktionen berücksichtigt werden, die ausdrücklich zu Konten Nicht-Deutscher gehören.

Noch seltsamer wird es im weiteren Verlauf der “Antwort”:

[Eine Antwort] ließe negative Folgewirkungen für die Quantität und Qualität des Informationsaustausches befürchten: ein Rückgang von Informationen wäre wahrscheinlich.

Faktisch: Man stellt fest, ein Zugriff der NSA auf Daten der amerikanischen IT-Dienstleister, die deutsche Daten vorhalten, wäre rechtswidrig. Würde man jetzt aber ausplaudern, dass der BND diese, illegal ermittelten, Daten mit der NSA austauscht, hätte das negative Folgewirkungen. Außerdem:

[...] können Angaben zu Art und Umfang des Erkenntnisaustauschs mit ausländischen Nachrichtendiensten auch Rückschlüsse auf Aufklärungsaktivitäten und -schwerpunkte des BND zulassen.

Was ist hier wichtiger: Rechtmäßigkeit zum Schutz der eigenen Bürger oder ein flüssiger Datenaustausch für den BND? Und wie war das nochmal mit dem BND als modernem Dienstleister, der auf Transparenz setzt, um eine “breite Vertrauensbasis” in der Bevölkerung herzustellen? So zumindest kann das nicht funktionieren.

Und langsam sollte man darüber nachdenken den Fokus der medialen Aufmerksamkeit in Deutschland umzuschwenken. Die deutschen Nachrichtendienste sind bisher vergleichsweise unbehelligt geblieben, wenn man die Spähaffäre betrachtet, unbehelligter als wahrscheinlich angemessen. Diese Vermutung legt auch ein internes Begleitdokument zur oben bereits erwähnten Meldung der Kommission nahe, das die Position der Bundesregierung wiedergibt. Dort wird Deutschlands herausragendes Interesse an offiziellen Maßnahmen und Empfehlungen zum Datenaustausch erwähnt, das der “unmittelbaren Betroffenheit” Deutschlands geschuldet sei. In anderen Mitgliedsstaaten sei das nicht in gleichem Maße der Fall.

Dabei kann Deutschland noch so “interessiert” an Regelungen für den sicheren Datenaustausch mit Drittstaaten sein, an der Situation des Austauschs mit Geheimdiensten ändert das kaum etwas, auch wenn man das gerne so inszeniert, denn diese sind durch die geplante Datenschutzgrundverordnung nicht betroffen. Zwar wurde in Artikel 2 des Verordnungsentwurfs aus dem LIBE-Ausschuss gestrichen, dass Aktivitäten zu nationalen Sicherheit nicht unter die Regelungskompetenz der Verordnung fallen, öffentliche Stellen, die sich mit der Verhinderung, Ermittlung, Erkennung und Verfolgung von Straftaten befassen, sind immer noch unter Absatz 2e als Ausnahme aufgeführt.

Aber wir können uns sicher sein, dass wir in Zukunft mehr über das Verhältnis unserer Geheimdienste zur NSA und dem Ausmaß der ausgetauschten Daten erfahren werden, denn der Dokumentenfundus Edward Snowdens ist noch lange nicht aufgebraucht und die Andeutungen in seinem Interview sind deutlich. BND und NSA arbeiteten eng zusammen und gingen “miteinander ins Bett”. Sie teilten dafür nicht nur Informationen, sondern ebenso Instrumente und Infrastruktur und arbeiteten gegen gemeinsame Zielpersonen, sagt Snowden und sieht das als große Gefahr. Es lege die Vermutung nahe, dass der BND sich zumindest bewusst sei, dass Daten deutscher Bürger bei der NSA befänden. Snowden verweist darauf, dass er nicht sagen dürfe, ob diese auch explizit vom BND stammen, bevor Journalisten keine Veröffentlichungen dazu gemacht hätten. Der Umkehrschluss, ob Daten deutscher Bürger auch wieder zurück fließen, ist für uns jedoch genauso interessant.

Wir wollen netzpolitik weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

February 04 2014

HTTPS Everywhere jetzt auch auf Smartphones

https-everywhere-buttonWer ein Mobiltelefon mit Android nutzt, kann seine Internetnutzung jetzt auf relativ einfache Weise sicherer machen: Die Eletronic Frontier Foundation (EFF) bietet ihre Browser-Extension HTTPS Everywhere seit kurzem in einer Beta-Version für Mozilla Firefox auf Android an.

In Zeiten, in denen auch die Geheimdienste sich für das Nutzungsverhalten von Smartphone-Besitzern interessieren ist dies zumindest ein kleiner Schritt für mehr Privatsphäre. Was man da unter anderem alles erschwert, hat Linus vor einiger Zeit hier beschrieben. Hundertprozentige Sicherheit ist damit natürlich noch nicht hergestellt, unter anderem, weil HTTPS Everywhere logischerweise auch nur dort für HTTPS-Verbindungen sorgen kann, wo diese unterstützt werden.

Das Vorgehen ist recht simpel: Einfach die neuueste Version von Firefox installieren, und den Download von HTTPS Everywhere starten.

Wir wollen netzpolitik weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

February 03 2014

BSI-Fail bei geklauten Passwörtern wird immer größer

Hacker aus Osteuropa hatten mehrere Millionen Passwörter zu Nutzeraccounts in die Hände bekommen. Danach ist die Datenbank mit diesen Zugangsinformationen in die Hände des BSI gelangt. Und wahrscheinlich erinnert ihr euch noch an die Meldung vor zwei Wochen, in der wir darüber gelästert haben, dass die Webseite der Behörde zur Überprüfung ob man selbst zu den Betroffenen gehört vom Ansturm an Abfragen in die Knie gegangen war.

Schon damals hatte man sich an vielen Stellen gefragt, warum es so lange gedauert hatte, bis das BSI mit der Information über die geknackten Onlinekonten an die Öffentlichkeit gegangen war, immerhin hatten sie nach eigenen Angaben bereits seit Dezember über den Vorfall Bescheid gewusst. BSI-Präsident Michael Hange rechtfertigte die Verzögerung jedoch damit, es habe lange gedauert bis das Verfahren einer “großen Zahl von Anfragen gewachsen ist”.

Das klang damals schon ein bisschen fragwürdig. Mittlerweile hat sich herausgestellt, dass der Datenklau nicht erst seit Dezember bekannt war. Der Spiegel hat gestern bekannt gegeben, dass BKA und BSI bereits im August vor geknackten Konten gewarnt hatten. Aber nicht normale Bürger, sondern ausschließlich Mitglieder von Behörden, Ministerien und dem Deutschen Bundestag, denn man hatte herausgefunden, dass sich 600 E-Mail-Adressen aus diesem Umfeld in der Datenbank betroffener Adressen befanden. Warum man nicht zum gleichen Zeitpunkt auch die Bürger informiert hatte, versucht das BSI damit zu begründen, man habe “zunächst eine aufwendige Webseite programmieren und Datenschutzfragen klären müssen”. Verzeiht, wenn ich Bilder sprechen lasse, aber manchmal sagt ein solches mehr als 1000 Worte:

Original CC-BY-NC-SA 2.0 via Flickr/dkbschmidt

Original CC-BY-NC-SA 2.0 via Flickr/dkbschmidt

Konstantin von Notz sagte gestern dem Spiegel gegenüber, es stehe der Verdacht einer massiven Schutzpflichtverletzung im Raum, falls die Behörden wirklich seit August Bescheid gewusst hätten. Schutzpflichtverletzung ist ein sehr nüchterner Ausdruck für einen Vorfall, der illustriert, dass wir in Deutschland eine Zwei-Klassen-Gesellschaft haben, wenn es um Datenschutz und Privatsphäre geht. Ein wenig wie bei der Abhörung des Kanzlerinnenhandys, auch dort schien die massenhafte Abhörung der Bevölkerung im Verhältnis zu einem einzigen Mobiltelefon keine rechte Relevanz zu haben.

Man sollte sich daher auch an die eigene Nase fassen, wenn man den Amerikanern vorwirft, sie legten unterschiedliche Maßstäbe für die Privatsphäre der Menschen im Land und außerhalb an und man selbst nichteinmal den eigenen Bürgern untereinander das gleiche Schutzrecht zugesteht, ohne dass es einen ernstzunehmenden Grund dafür gibt. Das ist kein technischer Ausrutscher – das ist eine Missachtung demokratischer Werte und eine Manifestation asymmetrischer Grundrechtsverteilung.

Wir wollen netzpolitik weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

January 28 2014

Datenschutz: Offener Brief an den EU-Ministerrat von europäischen NGOs

Heute ist der europäische Datenschutztag, aber eines der zentralsten Projekte auf diesem Gebiet, die EU-Datenschutzgrundverordnung, wird aktiv durch den EU-Ministerrat blockiert. Auf diesem Grunde haben 18 europäische Bürgerrechtsorganisationen, darunter die Digitale Gesellschaft einen offenen Brief (pdf) an den EU-Ministerrat verfasst, in dem sie den verschleppten Prozess kritisieren:

[...] we, the undersigned non-profit organisations committed to defending the individuals’ rights in the online environment, take this opportunity to share with you our deep concerns about the lack of progress concerning data protection in Europe. In our age of fast technological changes, this amounts to retrogression.

Wir wollen netzpolitik weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

January 27 2014

Wo der Hammer hängt – Ein Kommentar zur Jauch-Sendung zum Interview mit Edward Snowden

Die Jauch-Sendung vom gestrigen Abend rund um das Interview mit Edward Snowden zeigte, wie Überwachungskritiker und Befürworter der Überwachungsprogramme aneinander vorbeireden. Hoffnung, dass die Geheimdienste in absehbarer Zeit in ihre Schranken verwiesen werden können, konnte man aus der Sendung nicht mitnehmen.

Die drei Teilnehmenden, die die Überwachungsprogramme kritisieren, machten keine gute Figur. Sie waren wenig in der Lage, die aus anderen Talkshows zu dem Thema sattsam bekannten Argumente des ehemaligen US-Botschafters in Deutschland und eines Angestellten der “Bild” aus dem Springerverlag kontern und entkräften zu können. Die beiden letztgenannten dagegen schienen eine Agenda zu haben, welche Argumente und welchen Spin sie in der Sendung loswerden wollten.

Es hätte wenigstens etwas spannend werden können, wäre wirklich über die Inhalte der Ausschnitte von dem Interview mit Snowden gesprochen worden. Aber wen kann es überraschen, dass Günther Jauch nicht in der Lage scheint, so ein Gespräch zu leiten? Seine Redaktion brachte obendrein auch noch Interviewausschnitte durcheinander und verwirrte das Gespräch damit noch mehr.

Doch wäre die mehr oder minder einzig wirklich neue Information aus dem gesamten Interview, die auch als Ausschnitt bei Jauch gesendet wurde, nicht eine wirkliche Diskussion wert gewesen? Snowden deutete eine weitere Enthüllung an, obwohl er betonte, dass Journalisten letztlich darüber entscheiden müssten (Transkript des Interviews, etwa nach der Hälfte):

Was ich sagen kann, ist, dass wir wissen, dass Angela Merkel von der National Security Agency überwacht wurde. Die Frage ist, wie logisch ist es anzunehmen, dass sie das einzige Regierungsmitglied ist, das überwacht wurde. Wie wahrscheinlich ist es, dass sie das einzige bekannte deutsche Gesicht ist, um das sich die National Security Agency gekümmert hat? Ich würde sagen, es ist nicht sehr wahrscheinlich, dass jemand, der sich um Absichten der deutschen Regierung sorgt, nur Merkel überwacht und nicht ihre Berater, keine anderen bekannten Regierungsmitglieder, keine Minister oder sogar Angehörige kommunaler Regierungen.

Die Schlussfolgerung klingt plausibel – ist hierzulande darauf noch niemand gekommen? Man kann jedenfalls gespannt sein, was in nächster Zeit dazu veröffentlicht werden wird.

Letztlich ging der Punktsieg bei Jauch klar an den Ex-US-Botschafter John Kornblum; der als erfahrener Diplomat seine rhetorische Klaviatur beherrscht, Register zu ziehen weiss und sich bei diversen Dingen immer 100-prozentig sicher ist. Er dürfte den höchsten Wortanteil gehabt haben und machte am Ende deutlich, wo der Hammer hängt (ab Minute 50):

Wie soll ein Land wie die Bundesrepublik mit dieser Technologie in der Zukunft umgehen, welche Partner hat man? Wenn sie die Vereinigten Staaten nicht als Partner haben, ja gut, dann brauchen sie es nicht; dann müssen sie sehen, wie sie selber mit der Technologie umgehen. … Das Argument ist: Die Technologie ist schon zu dem Punkt gekommen, das höchst wahrscheinlich die amerikanische Regierung das alles nicht kontrolliert hat … Wenn das der Fall ist, sind die Chancen, dass die Bundesregierung das kontrollieren kann oder die Italienische noch viel weniger … Es gibt tatsächlich das Bedürfnis nach neuen politischen Konzepten wie das funktioniert, aber einfach die praktische Wahrheit ist, dass das Zentrum für diese Konzepte wahrscheinlich ewig die Vereinigten Staaten sein werden. Damit müssen Sie leben.

Das dürfte in etwa Kern der Ansage sein, die die deutschen Regierung von den US-Regierung bekommen hat. Und dass die Bundesregierung sich dafür entschieden hat, damit zu leben, ist offensichtlich.

Wir wollen netzpolitik weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

Tags: Datenschutz

January 25 2014

Einigung über Datenschutzreform nicht vor den EU-Wahlen: Das Gute an der schlechten Nachricht

In dieser Woche hat EU-Justizkommissarin Viviane Reding beim informellen Rat der Justiz- und Innenminister in Athen offiziell gemacht, was schon länger klar war: Vor den EU-Wahlen schaffen es Kommission, Ministerrat und Parlament nicht, die EU-Datenschutzreform zu verabschieden. Grund dafür ist, dass sich die Mitgliedstaaten im Ministerrat nicht auf eine Position einigen können, mit der sie die entscheidenden Dreiecksverhandlungen (Trilog) mit Kommission und Parlament aufnehmen können, an deren Ende dann das fertige Reformpaket stehen könnte.

Erstmalig liegt ein Zeitplan vor

Überraschend ist das nicht, denn schon im vergangenen Oktober und Dezember gab es deutliche Signale, der Mitgliedsstaaten, dass sich das Reformvorhaben verzögert. Eine Reihe von Staaten, darunter auch Deutschland, hegen aus verschiedenen Gründen Bedenken gegen die Verordnung und verlängern damit die Lauffrist des geltenden internetuntauglichen Datenschutzregimes.

Was beim (berechtigten) Zetern über die Neuigkeit, die eigentlich keine ist, untergeht: Immerhin hat man sich erstmalig auf einen verbindlichen Zeitplan geeinigt. Im Juni wolle der Ministerrat ein Verhandlungsmandat erreichen und im Juli dann in die Dreiecksverhandlungen gehen. Ein Schritt weiter auf dem Weg dahin wollen die Justiz- und Innenminister im März sein, schreibt der EU-Observer. Solche Zeitpläne können natürlich gebrochen werden, was nicht unwahrscheinlich ist, wie der Tagesspiegel unter Berufung auf einen EU-Diplomaten schreibt. Aber Zeitpläne sind gleichzeitig Hebel, um Kontrolle und Druck auszuüben.

EU-Wahlen ändern erstmal nicht so viel

Im Zusammenhang mit den Berichten aus Athen wurde auch über die Rolle der EU-Wahlen, durch die sich die Zusammensetzung von Parlament und Kommission verändert, für die Datenschutzreform gesprochen. Der Einwand, neue Mehrheiten nach den EU-Wahlen könnten auch die Einigung des Parlaments, erreicht durch den Innenausschuss im Oktober 2013, scheitern lassen, erscheint relativ unbegründet, da das Europäische Parlament sein Verhandlungsmandat vor den EU-Wahlen durch eine erste Lesung formalisieren wird. Die Verhandlungsgrundlage steht also, zumal es, anders als im deutschen Bundestag, im europäischen Parlament kein Diskontinuitätsprinzip gibt. An laufenden Gesetzgebungsverfahren wird weitergearbeitet. Zudem ist es unwahrscheinlich, dass sich im neuen Europäischen Parlament Mehrheiten finden, die willens sind, die Büchse der Pandora Datenschutzverordnung noch einmal zu öffnen. Zur Erinnerung: In zähen Verhandlungen diskutierten die Abgeordneten über mehr als 3.000 Änderungsanträge. Und schließlich gilt es als wahrscheinlich, dass der zuständige Berichterstatter des Europäischen Parlaments für die Datenschutzverordnung, Jan Philipp Albrecht (Grüne), wiedergewählt wird.

Die zuständige EU-Kommissarin Viviane Reding bleibt offiziell noch bis zum 31. Oktober im Amt. Eine Neubesetzung könnte andere Akzente setzen. Ähnlich wie in Ministerien gilt aber auch bei der Kommission: Die zuständigen Beamtenstäbe arbeiten weiter. Auch hier erscheint es eher unwahrscheinlich, dass man getane Arbeit vollständig verwirft, zumal die Datenschutzreform als eines der wichtigsten Projekte der EU-Kommission gilt.

Politischer Wille gefragt

Der Ball liegt also beim Ministerrat bzw. den Mitgliedsstaaten, die politischen Willen zeigen und zu einer Entscheidung kommen müssen. Deutschland bzw. dem zuständigen Innenministerium wird hier eine besondere Rolle zukommen (vgl. dazu meine Analyse zum neuen Innenminister und der Datenschutzreform). Gut ist: Deutschlands zukünftiges Verhalten bei der Datenschutzreform lässt sich am Einhalten des vereinbarten Zeitplans messen.

Weitere aktuelle Hintergrundinformationen zum Stand der EU-Datenschutzreform:

Golem: Regierung wartet auf das nächste Google-Urteil

Monika Emert, Internet Policy Review: European ministers largely agree on international aspects of future data protection regulation, other issues unsolved

Carlo Piltz, de lege data: Datenschutzreform: aktueller Stand der Verhandlungen im Rat

Wir wollen netzpolitik weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

January 24 2014

Der Europäische Datenschutzbeauftragte: State of Play

edpsDass die Wahl eines neuen Datenschutzbeauftragten für die EU gerade in einer Krise steckt, hatten wir hier schon berichtet. Die Amtszeit von Peter Hustinx und Giovanni Buttarelli, seinem Stellvertreter, ist offiziell seit über einer Woche vorbei und am 14. Januar hat die Kommission ganz offiziell verkündet, dass keiner der fünf Kandidaten, die in die Endrunde für die Wahl eines Nachfolgers gekommen sind, geeignet sei.

Wie kam es zu der Situation?

Bereits am 31. Juli des letzten Jahres hat die EU-Kommission eine Ausschreibung für die freiwerdenden Stellen veröffentlicht. Als Voraussetzungen wurden in der Ausschreibung unter anderem genannt: “Erfahrung im Bereich des Datenschutzes, als Mitglied einer Datenschutzbehörde oder in einer großen privaten oder öffentlichen Organisation”, “Erfahrung in der Bewertung der Auswirkungen von EU-Datenschutzstrategien auf die Bürger, Unterneh­men und öffentlichen Verwaltungen in Europa” und “Gewährleistung der erforderlichen Unabhängigkeit”. Vor allem aber nichts, was nicht zu erwarten (und zu erfüllen) gewesen wäre.

Auf die Ausschreibung bewarben sich über 40 Kandidaten, viele davon langjährig erfahrene (Ex-)Datenschutzbeauftragte aus EU-Mitgliedsstaaten. Daraufhin wurde, wie es das offizielle Ernennungsverfahren vorsieht, ein Vorauswahlausschuss eingesetzt, der die Zulassungsvoraussetzungen und Qualifikationen der Bewerber geprüft und auf dieser Basis zehn Kandidaten als engere Wahl ernannt hat.

Nach einem von externen Stellen durchgeführten Assessment-Center blieben von diesen zehn noch fünf übrig – die Datenschutzbeauftragten von Polen und Finnland, ehemalige Datenschutzbeauftragte aus Ungarn und Österreich und der jetzige stellvertretende EDSB selbst. Diese wurden zu weiteren Gesprächen mit dem Vorauswahlausschuss und dem Beratenden Ausschuss für Ernennungen der Kommission eingeladen. Das Ergebnis kennen wir: Keiner der Kandidaten wurde für geeignet erklärt, eine weitere Begründung von Seiten der Kommission blieb bisher aus.

Was passiert jetzt?

Die Situation, dass es keinen EDSB gibt, wird nicht eintreten, denn Peter Hustinx und sein Stellvertreter müssen im Amt bleiben, bis ein Ersatz gefunden wurde. Also ist eine Neuausschreibung unvermeidlich? In der Praxis wird es höchstwahrscheinlich so kommen, aber was oftmals vergessen wird: Die Kommission, die beschlossen hat, dass keiner der Bewerber geeignet sei, hat gar nicht das letzte Wort in dieser Angelegenheit. Ihre Aufgabe besteht eigentlich “nur” darin, Parlament und Rat eine Vorauswahlliste vorzulegen. Die tatsächliche Entscheidung liegt dann bei diesen beiden Gremien. Und Parlament und Rat sind es auch, die nun der Neuausschreibung zustimmen müssen – das ist zwar anzunehmen, wirft aber ein etwas anderes Licht auf die Wirkungskompetenzen der Kommission und deren augenscheinlich eingetretenen Überschreitung dieser.

Geht man jetzt von einer Neuausschreibung der Stelle aus, kann man sich in etwa ausrechnen, wie lange Peter Hustinx noch auf seinen geplanten Ruhestand warten werden muss: Nicht nur wird die ganze Prozedur von Neuem aufgerollt, dazu kommen noch die EU-Wahlen Ende Mai. Die führen dazu, dass ein ganz anderes Parlament als das jetzige über den EDSB abstimmen wird – und das vermutlich nicht vor Ende der Sommerpause im September.

Was bedeutet das?

Abgesehen von der eintretenden Verzögerung sendet die Ablehnung der Kandidaten noch ganz andere Signale. Die Bewerber, hochrangige und erfahrene Datenschutzbeauftragte, wurden als ungeeignet gebrandmarkt. Wären sie nur nicht berufen und ein anderer als Topkandidat erkoren worden, hätte das lediglich impliziert, der andere Bewerber sei geeigneter gewesen. So aber ist ihre gesamte Kompetenz in Frage gestellt – was besonders im Falle der noch amtierenden Bewerber ein herber Schlag gegen ihre Autorität ist. Am direktesten fällt das im Falle des jetzigen Stellvertreters Hustinx auf: Diesen als ungeeignet darzustellen, diskreditiert seine gesamte Arbeit während der letzten fünf Jahre.

Eine ganz andere Frage ist, ob die EU-Kommission überhaupt die Kompetenz besitzt, zu entscheiden, wer als Kandidat geeignet ist. Die EU-Datenschutzbeauftragten sind unabhängig und der Einfluss, den die Kommission hier nimmt, schränkt diese Unabhängigkeit massiv ein, mehr noch als die endgültige Wahl durch Parlament und Rat – denn eigentlich geht es um die Vorauswahl der geeignetesten Kandidaten. Eine Blockierung des gesamten Prozesses widerspricht vollkommen dem Ziel dieses Bewerbungsschrittes.

Auf Peter Hustinx Kritik waren wir bereits eingegangen. Nun hat auch die ARTICLE 29 Data Protection Working Party ein heute erscheinendes Schreiben an López Aguilar, Vorsitzender des LIBE-Komitees, Maroš Šefčovič und Théodoros N. Sotiropoulos gerichtet, das die Handlungsweise der Kommission in Frage stellt und betont, welche Fähigkeiten für einen EDSB wirklich maßgeblich sind:

Für die Stelle eines EDSB oder seines Stellvertreters ist die Fähigkeit essentiell, sich sorgfältig, unabhängig und unparteiisch jeglicher Angelegenheit des Datenschutzes anzunehmen, sie zu bewerten und in der Folge Stellung dazu zu nehmen. Die Erwägungen in der Auswahl sollten sich daher nicht primär auf Managementfähigkeiten in einer EU-Verwaltung konzentrieren, sondern die speziellen Eigenschaften dieser Stellen berücksichtigen. Diese lassen sich eher mit der Position von Richtern vergleichen als mit der von hochrangigen Vertretern der Kommission.

Kann man so weiterarbeiten?

Die Situation erscheint desaströs und frustrierend, dennoch sieht der stellvertretende EDSB Giovanni Buttarelli nicht schwarz für die Zukunft des Datenschutzes in Europa. In einem Interview, dass ich im Rahmen der CPDP in Brüssel mit ihm führen durfte, sagte er: “Die EU-Datenschutzbehörde ist die kleinste und jüngste EU-Institution, aber dennoch sehr einflussreich durch ihre beratende Rolle”. Er verwendete das Bild von David und Goliath, um die Stellung des EDSB zu illustrieren. Die circa 50 Menschen, die in der Behörde beschäftigt sind, arbeiteten unermüdlich daran, den Datenschutz zu stärken und sähen dafür auch Erfolge. “Es interessieren sich immer mehr Menschen für den Datenschutz”, meint Buttarelli, “Im letzten Jahr haben sich die Besucherzahlen – sowohl direkt als auch auf den Webseiten des EDSB – um 63% erhöht”. Außerdem habe es eine signifikante Erhöhung des Budgets gegeben – die Relevanz von Datenschutz in der heutigen Zeit wird also durchaus verstanden und anerkannt.

Als Kernaufgaben es EDSB sieht Buttarelli nicht nur, Inspektionen zur Einhaltung von Datenschutzrichtlinien bei EU-Institutionen zu machen, sondern vielmehr auch, ein “verlässlicher und kenntnisreicher Ratgeber” zu sein. Ziel sei nicht, Verstöße aufzudecken, sondern dafür zu sorgen, dass sich die einzelnen Stellen selbst verantwortlich fühlten und proaktiv am eigenen Datenschutz und Transparenz in den Datenverarbeitungsprozessen arbeiteten anstatt “passiv auf die nächste Inspektion zu warten”.

Vor einem Jahr, am 22. Januar 2013, hat der EDSB eine 2-Jahres-Strategie “Für Exzellenz im Datenschutz” veröffentlicht. Dieses Dokument sollte auf der einen Seite die Ziele für die verbleibende Amtsperiode formulieren, sei aber auch als “Manifest für den Nachfolger” gedacht gewesen. Der Bericht ist das Ergebnis einer Überprüfung der eigenen Behörde, um neue Arbeitsprioritäten zu finden. Teil dieser Prüfung war neben internen Diskussionen auch die Einbeziehung von 500 Personen aus verschiedenen Interessensgruppen via einer Onlineumfrage und individuellen Konsultationen mit Politikern und anderen Datenschutzbeauftragten. Aus der Auswertung hat sich ergeben, dass der EDSB von vielen bereits als wichtiger Partner angesehen wird. Dennoch besteht immer noch Handlungsbedarf. Als wichtige Aufgabe für die Zukunft sieht Buttarelli die intensivere Vernetzung der Datenschutzbeauftragten aller europäischen Länder, um Kohärenz im europäischen Datenschutz voranzutreiben. Das Gebäude in der Rue Montoyer 30, das derzeit die EDSB beherbergt, “soll zum Europäischen Datenschutzhaus werden”.

Doch neben Vernetzung und Beratung gibt es natürlich auch die “klassischen” Aufsichtsaufgaben. Der EDSB kontrolliert die Durchsetzung von Datenschutzbestimmungen in EU-Institutionen. Das geht jedoch über die einzelnen Ämter und Büros hinaus. Auch wenn man nicht direkt daran denkt – dazu gehören auch eine Menge sensibler und zum Teil umstrittener Datenbanken und -sammelsysteme, zum Beispiel:

  • Eurodac: Fingerabdruckdatenbank, die verhindern soll, dass Asylbewerber in mehreren Ländern parallel oder nacheinander Asylanträge stellen
  • VIS: System zum Abgleich von Kurzzeit-Visa innerhalb der Schengen-Mitgliedsstaaten
  • SIS II: “Schengener Informationssystemm der zweiten Generation”, verbindet mehrere nichtöffentliche Datenbanken zur Personen- und Sachfahndung innerhalb der EU, enthält unter anderem auch biometrische Informationen über Fahndungsziele
  • IMI: Binnenmarkt-Informationssystem, das die Verwaltungszusammenarbeit im Europäischen Wirtschaftsraum vereinfachen soll, unter anderem durch bessere Auffindbarkeit von Ansprechpartnern
  • ZIS: Zollinformationssystem, das den Austausch von Informationen über Zollkriminalität, wie Drogenschmuggel, ermöglicht

Diese Reihe zeigt ganz deutlich, wie wichtig es ist, dass der EDSB sich seiner Verantwortung bewusst ist und die Reichweite und das Missbrauchsrisiko dieser massiven Datenmengen versteht. Auf die Frage hin, welche Eigenschaften man seiner Meinung nach als EDSB mitbringen solle, zählte Buttarelli viele auf, nicht nur reine Sachkundigkeit. Man müsse verlässlich sein, nicht-autoritär, inspiriert und motiviert, sich seine Unabhängigkeit und Integrität zu bewahren und bereit, seine Meinung sagen, auch wenn sie unpopulär ist. Außerdem sei es wichtig, Datenschutzprinzipien ganz konkret in funktionierende Lösungen umzusetzen und diese auch überzeugend zu kommunizieren. Dazu gehöre auch, eine Sprache zu finden, die präzise und für alle verständlich ist.

Trotz der aktuell schwierigen Umstände, beruhigt eines: Buttarelli versichert, dass der EDSB weiterhin motiviert ist, so lange wie nötig weiterzuarbeiten. Denn:

Daten sind das Erdöl der Zukunft. Und sie werden vielleicht mehr Einfluss haben als Atomwaffen.

Wir wollen netzpolitik weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

Older posts are this way If this message doesn't go away, click anywhere on the page to continue loading posts.
Could not load more posts
Maybe Soup is currently being updated? I'll try again automatically in a few seconds...
Just a second, loading more posts...
You've reached the end.

Don't be the product, buy the product!

Schweinderl