Spackos und Aluhüte, Datenschutz und Transparenz, Öffentlich und Privat. Wie muss sich unsere Gesellschaft verändern, um im Informationszeitalter zu bestehen? Und was müssen wir dabei lernen? Ein Manifest – und ein Diskussionsanstoß.

PROLOG

Die Welt ist im Umbruch, verursacht durch die aufkommende Informationsgesellschaft. Menschen tauschen Informationen mit Anderen aus – und es werden stetig mehr.
Während die Vernetzung die aufkommenden Demokratiebewegungen in aller Welt massiv unterstützt hat – was einhellig begrüßt wurde – gibt es auf der anderen Seite auch Bedenken gegenüber derselben Vernetzung, wenn es um das Verbreiten persönlicher Informationen geht.
Wie nahezu jede Sache kann Vernetzung positiv als auch negativ genutzt werden. Die negativen Auswüchse bringen immer schnell Rufe nach einem stärkeren Datenschutz hervor, häufig verbunden mit teils sehr unrealistischen Forderungen.
Viele dieser Reaktionen berücksichtigen nicht, dass sich die Welt mittlerweile geändert hat. Wir erzeugen nicht nur immer mehr Daten – auch immer mehr Menschen sind im Besitz dieser Daten. Sie führen umfangreiche Adressbücher, erstellen Videos und Fotos und stellen diese anderen zur Verfügung. Oft genug geschieht dies, ohne sich ausreichend Gedanken über mögliche Folgen gemacht zu haben.
Die große Anzahl von Datenverarbeitern macht es unmöglich, den Fluss von Daten alleine durch Gesetze regulieren zu wollen.
Gesetze sind ein wichtiges Mittel, wenn es um Datenverarbeitung durch gewerbliche Verarbeiter geht. Auf Privatmenschen jedoch sind sie kaum anwendbar. Die Hand des Gesetzes erreicht nicht die Computer Privater und im Hinblick auf Freiheit und Überwachung ist auch ein Staat nicht erstrebenswert, der im Namen des Datenschutzes seinen Bürgern bei der Datenverarbeitung über die Schulter schaut.
Die Pioniere des Informationszeitalters, die Hacker, standen schon früh vor ähnlichen Fragen. Ihre Antwort war ein Verhaltenskodex: die Hackerethik.
Dieser Kodex hat das Selbstverständnis der Hackerkultur bis heute entscheidend geprägt. Nicht, weil eine staatliche oder technische Autorität diese Regeln erzwungen hat, sondern weil sich die Mehrheit aus eigener Überzeugung an diese Regeln hält und Übertretungen missbilligt werden.
Es ist nun an der Zeit, einen Kodex für die ganze Informationsgesellschaft zu finden. Es ist Zeit für eine Datenethik.

ERSTES DATENETHISCHES MANIFEST

Du bestimmst über deine Daten.

Deine Freiheit, über die Verwendung deiner Daten selbst zu bestimmen, ist der zentrale Grundsatz. Es liegt an dir, ob du viel, wenig oder gar nichts über dich veröffentlichen möchtest. Es ist dein Recht darüber zu bestimmen und deine Pflicht andere darüber zu informieren, damit sie deinen Wunsch respektieren können.

Privatsphäre beginnt dort, wo dein Gegenüber seine Grenze zieht, nicht aber dort, wo du sie ziehen würdest.

Menschen sind unterschiedlich. Was du ohne mit der Wimper zu zucken veröffentlichen würdest, kann für einen anderen ein intimes Detail sein und umgekehrt. Du musst daher keine Daten von Personen schützen, die dies nicht wünschen – andererseits aber auf Wunsch persönliche Informationen auch dann vertraulich behandeln, wenn du es selbst nicht nachvollziehen kannst. Respektiere das Selbstbestimmungsrecht des einzelnen Individuums und setze nicht deine persönliche Sicht der Dinge an seine Stelle, denn auch deine Privatsphäre hängt von der Rücksichtnahme Anderer ab.

Veröffentliche keine Daten Anderer ohne Erlaubnis, wenn nicht ausnahmsweise die Öffentlichkeit ein berechtigtes Interesse daran hat.

Spiegelbildlich zum Selbstbestimmungsrecht über deine eigenen Daten bist du in der Pflicht, das Selbstbestimmungsrecht Anderer zu respektieren. Eine Ausnahme gilt für den Fall, dass das öffentliche Interesse an einer Veröffentlichung gegenüber dem Interesse des Individuums deutlich überwiegt, beispielsweise, wenn du Straftaten, Korruption oder andere Missstände aufdecken willst. Doch auch hier solltest du abwägen, wie detailliert eine Veröffentlichung im Einzelfall sein muss, um die beabsichtigte Wirkung zu erzielen.

Menschen haben ein Recht auf Anonymität und Pseudonymität.

Akzeptiere, wenn jemand seine wahre Identität nicht preisgeben möchte. Versuche nicht, seine wahre Identität zu recherchieren. Solltest Du wissen, wer sich tatsächlich hinter einem Pseudonym verbirgt, respektiere den Wunsch, pseudonym zu bleiben. Behalte dein Wissen für Dich, falls nicht ausnahmsweise die Öffentlichkeit ein berechtigtes Interesse daran hat.

Veröffentliche keine Daten, die nicht öffentlich sein sollen.

Mache dir bewusst, was Öffentlichkeit bedeutet. Sei dir immer im Klaren, was mit Daten geschehen kann, die du verbreitest. Selbst wenn sie nur für eine kleine Gruppe gedacht waren, rechne damit, dass sie sich weiter verbreiten könnten. Gehe immer davon aus, dass die verbreiteten Daten eine erheblich größere Zielgruppe erreichen könnten als du ursprünglich beabsichtigt hast. Deswegen überlege stets, ob du sie wirklich – und wenn ja – ob du sie in dieser Form verbreiten möchtest.

Öffentliche Daten sind öffentlich, du kannst sie nicht zurückholen.

Was einmal öffentlich ist, kann nur schwer bis gar nicht aus der Öffentlichkeit wieder vollständig entfernt werden. Daten sind frei kopierbar, und dies wird auch immer wieder nach Belieben und Beliebtheit der Daten geschehen. Führe dir das immer vor Augen, bevor du etwas veröffentlichst. Rechne daher damit, dass jede Veröffentlichung endgültig ist.

Auch wenn private Daten bereits öffentlich sind, verbreite sie nicht dem ausdrücklichen Wunsch des Betroffenen zuwider weiter, es sei denn, es besteht ein berechtigtes Interesse daran.

Sollten private Daten gegen den Wunsch eines Betroffenen oder aus Versehen veröffentlicht worden sein, respektiere die Bitte des Betroffenen, sie nicht weiter zu verbreiten. Eine Ausnahme ist auch hier im Einzelfall das berechtigte Interesse der Öffentlichkeit.

Jeder Mensch hat das Recht, öffentliche Daten zu nutzen und zu verarbeiten.

Öffentliche Daten dürfen von jedem genutzt werden. Sie sind eine unendliche, und jedem zur Verfügung stehende Ressource, eine Quelle für Wissen und Erkenntnis. Durch das Vernetzen verschiedener Datenquellen lassen sich viele neue Dinge erschaffen, die der Allgemeinheit nutzen können.

Deine Daten können Gutes schaffen. Entziehe sie nicht der Allgemeinheit, wenn sie deine Privatsphäre nicht bedrohen.

Du hast zwar die Freiheit über deine Daten zu bestimmen, aber bedenke dabei die damit einhergehende Verantwortung, sie wenn möglich zum Wohle der Allgemeinheit zur Verfügung zu stellen. Enthalte daher deine Daten der Öffentlichkeit nicht nur aus Prinzip vor, sondern nur, wenn der Schutz deiner Privatsphäre es erfordert.
Nimm als Beispiel die Diskussion um Google StreetView: Zeigt dich ein aufgenommenes Bild in einer peinlichen Pose oder könnte es dich in eine missliche Situation bringen, so hast du ein berechtigtes Interesse daran, dass dieses Bild gelöscht wird. Aber überlege dir, ob es wirklich deine Privatsphäre gefährdet, wenn ein Foto der Außenwand deiner Wohnung veröffentlicht wird, die ohnehin jeder anschauen kann. Ist nicht vielleicht der Nutzen für die Allgemeinheit ungleich größer, auf diese Daten zugreifen zu können?

Fordere nichts Unmögliches.

Auch wenn du grundsätzlich frei über deine Daten entscheiden darfst, mache dir klar, dass es technische und soziale Grenzen bei der Umsetzung deiner Entscheidung gibt. Beachte dies und stelle dich darauf ein.

Verzeihe, wo du nicht vergessen kannst.

Auch das Netz kann vergessen, aber es vergisst wenig. In diesem Rahmen muss eine Gesellschaft mehr verzeihen um den sozialen Frieden zu wahren und eine Rehabilitation zu ermöglichen. Jeder Mensch macht Fehler – je offener wir mit unseren eigenen Fehlern und Fehlern anderer umgehen können, desto besser können wir alle aus ihnen lernen.

UNTERZEICHNER

• Benjamin Siggel
• Michael Vogel

Du möchtest dich der Idee der Datenethik anschließen? Dann verbreite die Idee und handele nach ihr. Du bist eingeladen, diesen Text nach Belieben zu kopieren und mit anderen zu teilen.

Der rheinland-pfälzische Landtag hat am 07. Dezember das Informationsfreiheitsgesetz des Landes geändert und dem Landesbeauftragten für den Datenschutz, Edgar Wagner, zusätzlich das Amt des Beauftragten für die Informationsfreiheit übertragen. Ich begrüße diese Entscheidung sehr, da viele Bürger noch nicht hinreichend über die Rechte, die ihnen das noch junge Informationsfreiheitsgesetz einräumt, informiert sind. Gleichzeitig können die Behörden Unterstützung und Beratung bei der praktischen Umsetzung durchaus gebrauchen.

Datenschutz und Informationsfreiheit in einer Hand machen ebenfalls Sinn. Wagner stellt zutreffend fest:

“Die rheinland-pfälzische Landesverfassung kennt bereits das Grundrecht auf Datenschutz. Das Informationsfreiheitsrecht ist nur die andere Seite derselben Medaille, nämlich der Freiheit in der Informationsgesellschaft.”

Besonders erfreulich finde ich, dass Wagner sich auch für Open Data einsetzen möchte:

Dabei müsse auch sichergestellt werden, dass der Zugang zu Behördeninformationen nicht nur auf Antrag gewährt wird. [...] Wie in den USA und in Großbritannien sollten auch im Bund und in den Ländern übergreifende Portale eingerichtet werden, die den Zugang zu staatlichen Informationen eröffnen.

So sehr ich diesen Schritt begrüße, frage ich mich jedoch auch, wie die Behörde mit der aktuellen Personalsituation ihrer wichtigen Aufgabe nachkommen kann. Seit Oktober 2008 ist die Behörde neben dem öffentlichen auch für den nicht-öffentlichen Bereich zuständig (d.h. Unternehmen / Privatwirtschaft). Nun kommt mit der Informationsfreiheit ein weiterer, großer Aufgabenbereich hinzu.

Im derzeit aktuellen 22. Tätigkeitsbericht (PDF) beklagt die Behörde die dünne Personaldecke von lediglich 15 Mitarbeitern (davon 4 Teilzeit!). Aus den beschriebenen Tätigkeiten geht zudem deutlich hervor, dass wichtigen Aufgaben nicht oder nur unzureichend nachgekommen werden konnte. Seitdem hat sich an der Personalsituation meines Wissens kaum etwas geändert.

Für den Aufgabenbereich Informationsfreiheit sollen nun lediglich zwei (2!) neue Stellen geschaffen werden. Unklar ist mir noch, ob die Gebiete strikt getrennt sind, oder sich die Kapazitäten auf beide Themen aufteilen. Im ersten Fall frage ich mich, wie mit nur zwei Mitarbeitern der Informationsfreiheit in diesem Land Rechnung getragen werden kann? In letzterem Fall würden weitere Kapazitäten von der ohnehin überlasteten Datenschutzaufsicht abgezogen.

Ich erwarte daher gespannt den nächsten Tätigkeitsbericht, der Ende des Jahres fällig wird. Der letzte Bericht verzögerte sich aufgrund des knappen Personals um mehr als 2 Monate. Mal sehen, wann wir den 23. Tätigkeitsbericht in den Händen halten dürfen.

1) Die Kommunikationsvorgänge sind abhängig von der Infrastruktur des Anbieters

Zentrale Dienste funktionieren nur, wenn der Anbieter des Dienstes Infrastruktur für diese bereitstellt. Die Kommunikationsvorgänge sind somit abhängig von der Infrastruktur dieses Anbieters. Die Infrastruktur kann gestört werden, oder ganz ausfallen. Ein Anbieter könnte auch insgesamt aufhören zu exisitieren oder sich entscheiden seinen Dienst einzustellen. Dann ist keine Kommunikation zwischen den Nutzern des Dienstes mehr möglich.

Beispiel aus der Praxis: Wenn twitter.com ausfällt, ist die Nutzung von Twitter nicht mehr möglich.

2) Der Anbieter hat Einsicht in alle Kommunikationsvorgänge

Ein zentraler Anbieter kann sowohl die Umstände der Kommunikation als auch deren Inhalt einsehen, speichern und auswerten. Da der Anbieter die Kommunikationsverbindung herstellt, weiß er mindestens, wer, wann mit wem in Kontakt steht. Die Einsicht in die Inhalte könnte man theoretisch durch Verschlüsselung unterbinden. Da der Anbieter jedoch auch die Regeln der Kommunikation bestimmt (siehe Punkt 3), ist es von dessen Willkür abhängig, ob Verschlüsselung möglich ist oder nicht. In der Praxis hat ein zentraler Anbieter daher auch immer Einsicht in die Kommunikationsinhalte, wenn er dies wünscht.

Beispiel aus der Praxis: Facebook-Nachrichten landen unverschlüsselt auf deren Servern und können prinzipiell mitgelesen werden (Wird vielleicht sogar gemacht, um passende Werbung einzublenden, weiß ich aber nicht sicher). Ver- und Entschlüsselung müsste außerhalb von Facebook vorgenommen werden, was natürlich kein Mensch macht.

3) Der Anbieter bestimmt die Regeln der Kommunikation

Bei zentralen Diensten bestimmt der Anbieter die Regeln, unter denen eine Kommunikationsverbindung zustanden kommen kann. Er legt fest, wer mit wem, wann und von wo in Verbindung treten kann. Er bestimmt auch, welche Kommunikationsmittel (Software, Geräte, …) dazu verwendet werden können. Darüber hinaus bestimmt er auch die Inhalte der Kommunikation. So könnten zum Beispiel Nachrichten die bestimmte Begriffe enthalten blockiert, und Verschlüsselung unterbunden werden.

Beispiel aus der Praxis: Die Nutzung von Voice-over-IP wird häufig von Mobilfunkanbietern unterbunden.

4) Der Anbieter kontrolliert die Kommunikation

Der Anbieter bestimmt jedoch nicht nur die Regeln der Kommunikation, sondern kontrolliert letztendlich den kompletten Kommunikationsvorgang. Er hat die Möglichkeit, Kommunikationsinhalte zu manipulieren, er kann Identitäten und sogar komplette Kommunikationsvorgänge fälschen.

Beispiel aus der Praxis: Das mittlerweile 10 Jahre alte, aber top-aktuelle Experiment “insert_coin” von Alvar Freude und Dragan Espenschied, bei dem sie über einen zentralen Proxyserver Webseiteninhalte und E-Mail-Kommunikation manipulieren.

Zusammenfassung

Nachteile und Gefahren zentraler Kommunikationsdienste:

1. Die Kommunikationsvorgänge sind abhängig von der Infrastruktur des Anbieters
1. Technische Abhängigkeit von fremder Infrastruktur (kann ausfallen)
2. Abschalten der Infrastruktur durch den Staat
3. Der Anbieter kann insgesamt aufhören zu existieren
2. Der Anbieter hat Einsicht in alle Kommunikationsvorgänge
1. Den Inhalt der Kommunikation
2. Die Umstände der Kommunikation
3. Der Anbieter bestimmt die Regeln der Kommunikation
1. Der Anbieter regelt das Zustandekommen der Kommunikation
1. Wer mit wem
2. Wann
3. Wo
4. Welches Kommunikationsmittel (z.B. Ausschluss fremder Clients, VoIP über Mobilfunk)
2. Der Anbieter regelt den Inhalt der Kommunikation
1. Filterung
2. Verbot von Verschlüsselung
4. Der Anbieter kontrolliert die gesamte Kommunikation
1. Manipulation des Inhalts
2. Fälschen von Identitäten
3. Fälschen von Kommunikationsvorgängen

Fazit

Habe ich noch etwas übersehen? Ich freue mich über Feedback und Ergänzungen in den Kommentaren. Ich denke aber es sind jetzt schon mehr als genug Gründe, warum zentrale Dienste abzulehnen sind und über kurz oder lang dezentralisiert werden müssen. Auch wenn Anbieter heute vorgeben “nicht böse zu sein”, kann sich dies jederzeit ändern. Große Macht bring große Verantwortung heißt es – aber große Macht verleitet auch dazu, sie zu missbrauchen. Ich jedenfalls möchte nicht darauf vertrauen, dass zentrale Anbieter verantwortungsvoll mit ihrer Macht umgehen. Dafür gibt es schon jetzt zu viele Gegenbeispiele.

Kleiner Rückblick: Als schwarz-gelb an die Regierung kam wurde über einen verfassungsrechtlich höchst fragwürdigen “Nichtanwendungserlass” das Sperrgesetz für ein Jahr ausgesetzt. Die Frist ist nun abgelaufen und das Gesetz würde somit in Kraft treten. Nach dem 11. September 2001 hat die damalige rot-grüne Regierung zahlreiche sogenannte “Anti-Terror-Befugnisse” verabschiedet, wie Fluggastdaten- und Kontenabfrage, Mobilfunkortung und weitere Befugnisse für BKA und Geheimdienste (Mit ein Grund, warum die Grünen für mich unwählbar sind). Diese Grundrechtseinschränkungen wurden 2007 bereits einmal für fünf Jahre verlängert. 2012 würde nun auch diese Frist ablaufen und die Union schreit abermals nach einer Verlängerung.

Die Vorratsdatenspeicherung wurde letztes Jahr vom Bundesverfassungsgericht gekippt. Schmerzlich für die CDU, die nicht Müde wird die “dringende Notwendigkeit” einer Neuauflage zu betonen, ohne je einen Nachweis zu erbringen. Ich werde derweil nicht Müde zu betonen, dass für jegliche Grundrechtseingriffe der Nachweis der Verhältnismäßigkeit, Erforderlichkeit und Geeignetheit erbracht werden muss.

Trotzdem pokert die Union jetzt: “Wenn wir schon das Sperrgesetz kippen, dann wollen wir wenigstens bei der Vorratsdatenspeicherung und den Anti-Terror-Gesetzen unsere Position durchsetzen”, heißt es sinngemäß. Das Grundgesetz darf jedoch keine Verhandlungsmasse sein! Keine faulen Kompromisse zu Lasten der Grundrechte! Der Fall des Sperrgesetzes ist ohnehin kein Verlust für die Union, die schließlich schon damals zugab, dass es ihr um Stimmungsmache im Wahlkampf ging. Mit der vermeintlichen Opferung des Sperrgesetzes versucht die Union nun echte Beute zu machen: VDS und Geheimdienstbefugnisse! Die Sperren gibts ggf. über den Umweg EU sogar noch oben drauf – hat ja bei der VDS damals auch funktioniert.

Dass die VDS nicht einmal bei der Aufklärung von Straftaten hilft, hat derweil selbst der wissenschaftliche Dienst des Bundestags erkannt. Auch die von Innenminister Friedrich gewünschte Umbenennung in Mindestspeicherfrist (Neusprech lässt grüßen!) wird daran nichts ändern.

Von Seite der EU-Kommission wird derweil erfreulicher Druck auf Deutschland ausgeübt: Die Datenschutzbeauftragten müssten endlich vollständig unabhängig werden, wie es das Urteil des Europäischen Gerichtshofs (EuGH) vorsieht. Die Datenschutzbeauftragten stehen hier meist unter staatlicher Kontrolle, sind z.B. dem Innenministerium untergeordnet. Allein Schleswig-Holstein geht mit den unabhängigen Landeszentrum für Datenschutz den richtigen Weg.

Netzsperren, Vorratsdatenspeicherung, Überwachungsbefugnisse, Datenschutz – Die nächsten Wochen und Monate werden wieder sehr spannend, um es positiv auszudrücken.

Nun wundert ein Umkippen der FDP sicher niemanden mehr. Trotzdem dürfen wir es nicht tatenlos hinnehmen. Der AK Vorrat bittet daher darum, sich 5 Minuten Zeit zu nehmen und mindestens einen FDP-Bundestagsabgeordneten anzurufen:

Vor diesem Hintergrund sollen heute zahlreiche Telefonanrufe die FDP-Bundestagsabgeordneten an ihre Zusage erinnern, jede „anlassunabhängige Speicherung personenbezogener Daten auf Vorrat“ abzulehnen. Im AK Vorrat-Wiki gibt es dazu eine Liste der Telefonnummern der Abgeordeten der FDP-Fraktion und eine Handreichung für das Gespräch mit den Abgeordneten. Wenn nur 21 der 93 FDP-Abgeordneten überzeugt werden, Wort zu halten, ist jeder Kompromiss blockiert, weil laut Koalitionsvertrag „wechselnde Mehrheiten ausgeschlossen“ sind. Jeder kann an dieser Aktion teilnehmen und mithelfen!

Die Probleme, die eine anlass- und verdachtsunabhänige Vorratsspeicherung von IP-Adressen mit sich bringt, hat der AK Vorrat nochmal ausführlich in einem offenen Brief an die Justizministerin dargelegt.

• Überwachung und Aufzeichnung von Telekommunikation
• Identifizierung & Lokalisierung von Mobiltelefonen
• Datenabfrage bei Providern
• Online-Durchsuchungen
• Unterbrechung und Verhinderung von Kommunikationsverbindungen
• Funkzellenabfrage

Ich lehne nicht alle dieser Maßnahmen generell ab. Zum Beispiel halte ich es im Einzellfall für duchaus gerechtfertig die Telekommunikation eines Verdächtigen zu überwachen. Allerdings schlägt das POG deutlich in Richtung Präventivstaat aus und setzt den Fokus auf eine abstrakte Gefahrenabwehr. Die Maßnahmen richten sich dabei nicht nur gegen Verdächtige einer Straftat, sondern auch gegen “potentielle Gefährder”, Begleit- und Kontaktpersonen sowie “Nachrichtenmittler”.

Hier einige immer wiederkehrende Formulierungen aus der POG-Novelle, bei denen sich mir die Haare sträuben:

• “Die Maßnahme darf auch durchgeführt werden, wenn Dritte unvermeidbar betroffen sind”
• “Personen, bei denen bestimmte Tatsachen die Annahme rechtfertigen, dass …”
• “zur Abwehr einer dringenden Gefahr, oder zur vorbeugenden Bekämpfung von Straftaten von erheblicher Bedeutung”

Es geht fast überhaupt nicht mehr um die Aufklärung von Straftaten und die Ermittlung von Tätern, sondern die Erkennung und Verhinderung von Straftaten im Vorfeld. Minority Report lässt grüßen. Eine wissenschaftlich fundierte Begründung für die Ausweitung der Befugnisse kann ich nicht finden, lediglich den immer wiederkehrenden Verweis auf die Notwendigkeit Gefahren abzuwehren. Und wir wissen ja schließlich alle, dass Gefahr und Terror allgegenwärtig sind…

Die Novelle in der aktuellen Form muss weg. Stattdessen müssen die bisher im POG definierten Polizeibefugnisse wissenschaftlich evaluiert werden. Nur Maßnahmen die sich als notwendig, zweckmäßig und verhältnismäßig herausgestellt haben, dürfen beibehalten werden. Neue Befugnisse sind nach den gleichen Maßstäben zu beurteilen.

Ich werde dort an der Podiumsdiskussion “Spannung zwischen Privatssphäre und Öffentlichkeit” teilnehmen. Wo hört Privatsphäre auf und wo fängt Transparenz und öffentliches Auftreten an? Dieses Spannungsfeld wird derzeit auch in der Piratenpartei rund um das Tool Liquid Feedback vehement diskutiert.

Transparenz und Datenschutz sind für mich kein Widerspruch. Seit jeher fordert die Piratenpartei einen transparenten Staat, statt gläserne Bürger. Ebenso fordere ich eine transparente Partei, statt gläserne Piraten. Die politische Meinung eines jeden Bürgers bedarf eines besonderen Schutzes. Dieser Schutz ist wesentliche Voraussetzung für die freie und ungezwungene Meinungsäußerung ohne Überwachungsdruck.

Mit mir diskutieren Werner Hülsmann, Datenschutzaktivist und externer Datenschutzbeauftragter der Piratenpartei, der Post-Privacy Aktivist Christian Heller aka plomlompom und Bastian Greshake von den Piraten NRW. Ich freue mich auf eine zielgerichtete, konstruktive und bereichernde Debatte.

Im neuen Perso werden das biometrisch erfasste Gesichtsbild (Pflicht) und zwei Fingerabdrücke (freiwillig) gespeichert. Euer alter Ausweis behält bis zum Ablaufdatum seine Gültigkeit, d.h. wenn ihr spätestens im Oktober noch einen neuen (alten) Perso beantragt, schöpft ihr die maximale Laufzeit aus.

Die Verwendung eines Funkchips ist total unsinnig. Einerseits wird damit die Möglichkeit eröffnet den Chip aus der Ferne auszulesen, gleichzeitig soll durch abstruse Maßnahmen genau das wieder verhindert werden. Dann hätte man auch gleich einen sichereren kontaktbasierten Chip nehmen können. Die RFID-Industrie wirds freuen, ebenso die Politiker die von ihr bezahlt werden und uns den Kram eingebrockt haben. Dass überhaupt ein Chip notwendig ist, darf bezweifelt werden.

[Update: Bei Heise flattert gerade die Meldung rein, dass der CCC in Zusammenarbeit mit Plusminus Sicherheitsdefizite in den Lesegeräten entdeckt habe:

Wie es in der Vorabmeldung zur Fernsehsendung heißt, habe man Mängel festgestellt, die die Sicherheit des Ausweises untergraben. "In Zusammenarbeit mit dem Chaos Computerclub e.V. hat die Plusminus-Redaktion Testversionen der Basis-Lesegeräte geprüft. Für Betrüger ist es demnach problemlos möglich, sensible Daten abzufangen – inklusive der geheimen PIN-Nummer. Die Lesegeräte sind nötig, um den neuen Personalausweis am heimischen Computer zu nutzen und sich somit für die Abwicklung von Internet-Geschäften zu identifizieren."

Die Sendung läuft heute Abend (24.08) um 21:50 Uhr in der ARD.

]

Auch die Freiwilligkeit der Fingerabdrücke sollte kritisch hinterfragt werden. Ich befürchte, dass viele Bürger nicht hinreichend aufgeklärt werden. Weigert euch auf jeden Fall, Fingerabdrücke abzugeben – ihr habt ein Recht darauf!

Aber wie gesagt: Wenn ihr jetzt noch einen Perso beantragt, bleibt euch der neue Ausweis mitsamt der biometrischen Erfassung erstmal erspart.

Infos zum neuen Personalausweis:

• im Wiki des AK Vorrat
• Wikipedia – Kritik an der Verwendung kontaktloser Chips
• beim Bundesministerium des Innern

Heute ist es vergleichsweise ruhig, und das obwohl nächstes Jahr die erste europaweite Volkszählung stattfindet und die Kritik von damals alles andere als überholt ist. Kaum jemand scheint über die Vollerfassung der Bürger informiert zu sein. Selbst ich habe dem Thema in der letzten Zeit viel weniger Beachtung geschenkt, als nötig wäre. Es ist also höchste Zeit, wenigestens mal darüber zu bloggen.

Die wesentlichen Infos sind zum Glück schon an anderer Stelle zusammengefasst, sodass ich nur darauf verweisen muss. Größter Kritikpunkt ist die massenhafte Zusammenführung und Zweckentfremdung von Daten. Die Datensammlungen der Meldeämter und der Argentur für Arbeit werden vereinigt und unter einer verfassungswidrigen Personenkennziffer gespeichert.

Der Bundesdatenschutzbeauftragte hat eine lesenswerte FAQ online gestellt. Kritische Hintergrundinformationen bietet die Kampagnenseite des AK Vorrat. Auch die ausführliche Stellungnahme der Piratenpartei Trier ist einen Blick wert.

Es ist wichtig, dass wir an dem Thema dran bleiben! Im Gegensatz zu diversen Säuen die immer mal wieder gerne durchs Dorf getrieben werden, ist die Vollerfassung der Bevölkerung ein real existierendes Problem auf das wir gerade volle Kanne zusteuern. Informiert euch, bloggt, sprecht Bekannte darauf an, kommt zur Demo am 11.09.

Gestern wurde die Vorratsdatenspeicherung vom Bundesverfassungsgericht für verfassungswidrig und nichtig erklärt. Alle Daten, die noch nicht an Ermittlungsbehörden weitergegeben wurden, müssen umgehend gelöscht werden. Der Provider 1&1 hat nach eigenen Angaben schon damit angefangen.

Eine Speicherung von Telekommunikationsverbindungsdaten auf Vorrat gibt es damit in Deutschland nicht mehr. Viele Jahre haben wir dafür gekämpft. Dass das Gesetz komplett gekippt wird, habe ich zwar für möglich, aber nicht für sehr wahrscheinlich gehalten.

Die Vorratsdatenspeicherung ist ein schwerwiegender Eingriff in die Grundrechte, da sie geeignet ist “ein diffus bedrohliches Gefühl des Beobachtetseins hervorzurufen, das eine unbefangene Wahrnehmung der Grundrechte in vielen Bereichen beeinträchtigen kann”, begründet das Verfassungsgericht. Die Umstände der Kommunikation seien ebenso schutzbedürftig wie deren Inhalt. Allerdings sei eine anlasslose Speicherung “nicht schlechthin” mit dem Grundgesetz unvereinbar. Daher greifen die Richter die zugrunde liegende EU-Richtlinie nicht an und verweisen auch nicht an den europäischen Gerichtshof. Laut den Verfassungsrichtern sei eine verfassungskonforme Umsetzung der EU-Richtlinie möglich.

Hohe Anforderungen

An die Ausgestaltung dieser Umsetzung stellen die Richter jedoch sehr hohe Anforderungen: Um die Verhältnismäßigkeit zu wahren muss die Normenklarheit in Bezug auf Datensicherheit, Datenverwendung, Transparenz und Rechtsschutz gegeben sein. Datensicherheit betrifft dabei sowohl die Aufbewahrung als auch die Übermittlung und Löschung der Daten. Sicherheitsstandards müssen sich am aktuellen Stand der Technik orientieren, die Daten müssen asymmetrisch verschlüsselt werden, die Rechner vom Internet getrennt sein und ein 4-Augen-Prinzip sichergestellt werden. Der Zugriff auf und die Löschung der Daten müssen revisionssicher Protokolliert werden. Um die Transparenz zu wahren muss es zudem Informationspflichten bei Datenschutzverletzungen geben. Der Betroffene muss beim Abruf der Daten informiert werden, falls kein anders lautender richterlicher Beschluss vorliegt. Um einen sicheren Rechtsschutz zu gewährleisten hat der Zugriff zudem unter einem Richtervorbehalt zu stehen und den Betroffenen muss ein Rechtsschutzverfahren möglich sein. Verletzungen des Datenschutzes und der Datensicherheit müssen wirksam sanktioniert werden.

Eine neue Vorratsdatenspeicherung?

Da das derzeitige Gesetz zur Vorratsdatenspeicherung komplett für nichtig erklärt wurde, geht der Gesetzgebungsprozess nun komplett von neuem los, wenn die Regierung denn überhaupt noch eine Umsetzung wünscht. Die selbsternannte Bürgerrechtspartei FDP hätte nun Gelegenheit sich als solche zu beweisen und sich dafür einzusetzen, dass die EU-Richtlinie komplett zurück genommen wird. Wir sind in Europa nicht allein: Schweden weigert sich die Vorratsdatenspeicherung umzusetzen, Österreich befindet sich immer noch im Gesetzgebungsprozess und hat sich deshalb schon ein Vertragsverletzungsverfahren eingehandelt, Rumänien hatte die Vorratsdatenspeicherung bereits letztes Jahr für verfassungswidrig erklärt.

Es ist jetzt an der Zeit, die Vorratsdatenspeicherung auf europäischer Ebene zu Fall zu bringen! Leider hat es die CDU immer noch nicht verstanden und behauptet dreist, die Speicherung sei nötig “um die Bürgerinnen und Bürger wirksam vor schweren und schwersten Straftaten schützen zu können”. Ich bin es langsam leid auf solche unsinnigen Behauptungen einzugehen… Muss ich auch nicht, steht ja alles hier.

Ich hoffe doch sehr, dass die CDU mit ihren Bestrebungen die Vorratsdatenspeicherung neu aufzusetzen alleine dasteht. Nicht alles was verfassungsrechtlich machbar ist muss auch umgesetzt werden. Zudem halte ich es für enorm schwierig die umfangreichen Rahmenbedingungen des Bundesverfassungsgerichts wirksam einzuhalten. Allein die Formulierung eines entsprechenden Gesetzes dürfte eine große Hürde darstellen. Die effektive Umsetzung der Datensicherheits- und Transparenzanforderungen in der Praxis halte ich für Utopie.

Die FDP und die Lobbyisten

Es bleibt zu hoffen, dass die FDP dem Druck der CDU standhält. Mehr Sorgen als der Einfluss der CDU, macht mir jedoch die Musikindustrie, die sich über eine Hintertür des Urteils gerade besonders freut: Für die Identifkation von Nutzern hinter einer IP-Adresse hat das Gericht nämlich deutlich geringere Hürden gesetzt. Begründet wird dies damit, dass bei einer Identifikation ja keine Vorratsdaten herausgegeben würden. Der Anbieter ermittle mittels der Vorratsdaten lediglich intern die zugehörigen Bestandsdaten. Herausgegeben würden nur Bestandsdaten, d.h. Name und Adresse des Kunden. Zudem sei für diese Anfragen weder ein Richterbeschluss nötig, noch beschränke sich der Zugriff auf schwere Straftaten. Die Abfrage von Bestandsdaten zu einer IP-Adresse sei auch bei gewichtigen Ordnungswidrigkeiten erlaubt. In der Urteilsbegründung wird sogar ausdrücklich die Verfolgung von Urheberrechtsverletzungen genannt.

Die FDP ist nicht gerade für eine liberale Urheberrechtspolitik bekannt. Ich bin gespannt ob sie der Verlockung widersteht eine Vorratsdatenspeicherung zur Verfolgung von Urheberrechtsverletzungen einzuführen. Ich fürchte spätestens bei diesem Stichwort wird die Partei einknicken. Vielleicht wird Frau Leutheusser-Schnarrenberger dann abermals so stark sein, von ihrem Amt zurückzutreten – nützen wird uns dies jedoch wenig.

Durchatmen und weiterkämpfen

Zunächst einmal haben wir uns jedoch Luft geschaffen. Die Vorratsdatenspeicherung ist vom Tisch und diejenigen sind im Zugzwang, die sie wieder einführen möchten. Ich habe es gestern genossen erstmals wieder vorratsdatenfrei zu kommunizieren (auch wenn das vermutlich ein Trugschluss war, da es sicher noch ein paar Tage dauern wird, bis alles abgeschaltet und gelöscht ist). Das Gesetz ist in Deutschland erstmal vom Tisch. Der AK Vorrat kündigt bereits an, nun auf europäischer Ebene weiter vorzugehen. Wir haben einen wichtigen Etappensieg errungen, den wir weiter ausbauen können. Zudem gibt es noch weitere wichtige Baustellen denen wir uns widmen müssen: Spontan fallen mir ELENA, JMStV und ACTA ein. Auch das Zugangserschwerungsgesetz ist nach der Unterschrift Köhlers wieder auf der politischen Tagesordnung. Es gibt also viel zu tun. Packen wirs an!

Weiterführende Links

• Pressemitteilung des Bundesverfassungsgerichts
• Vollständiges Urteil des Bundesverfassungsgerichts
• Pressemitteilung des Arbeitskreis Vorratsdatenspeicherung
• Analyse von Bettina Winsemann aka Twister
• Kommentar von Markus Beckedahl