Datenschutzbeauftrager in RLP übernimmt Informationsfreiheit

Der Datenschutzbeauftragte von Rheinland-Pfalz ist nun auch für die Informationsfreiheit zuständig. Ein Schritt in die richtige Richtung! Fraglich bleibt jedoch, ob die Behörde über genügend Personal verfügt, um ihren Aufgaben nachzukommen.

Der rheinland-pfälzische Landtag hat am 07. Dezember das Informationsfreiheitsgesetz des Landes geändert und dem Landesbeauftragten für den Datenschutz, Edgar Wagner, zusätzlich das Amt des Beauftragten für die Informationsfreiheit übertragen. Ich begrüße diese Entscheidung sehr, da viele Bürger noch nicht hinreichend über die Rechte, die ihnen das noch junge Informationsfreiheitsgesetz einräumt, informiert sind. Gleichzeitig können die Behörden Unterstützung und Beratung bei der praktischen Umsetzung durchaus gebrauchen.

Datenschutz und Informationsfreiheit in einer Hand machen ebenfalls Sinn. Wagner stellt zutreffend fest:

„Die rheinland-pfälzische Landesverfassung kennt bereits das Grundrecht auf Datenschutz. Das Informationsfreiheitsrecht ist nur die andere Seite derselben Medaille, nämlich der Freiheit in der Informationsgesellschaft.“

Besonders erfreulich finde ich, dass Wagner sich auch für Open Data einsetzen möchte:

Dabei müsse auch sichergestellt werden, dass der Zugang zu Behördeninformationen nicht nur auf Antrag gewährt wird. […] Wie in den USA und in Großbritannien sollten auch im Bund und in den Ländern übergreifende Portale eingerichtet werden, die den Zugang zu staatlichen Informationen eröffnen.

So sehr ich diesen Schritt begrüße, frage ich mich jedoch auch, wie die Behörde mit der aktuellen Personalsituation ihrer wichtigen Aufgabe nachkommen kann. Seit Oktober 2008 ist die Behörde neben dem öffentlichen auch für den nicht-öffentlichen Bereich zuständig (d.h. Unternehmen / Privatwirtschaft). Nun kommt mit der Informationsfreiheit ein weiterer, großer Aufgabenbereich hinzu.

Im derzeit aktuellen 22. Tätigkeitsbericht (PDF) beklagt die Behörde die dünne Personaldecke von lediglich 15 Mitarbeitern (davon 4 Teilzeit!). Aus den beschriebenen Tätigkeiten geht zudem deutlich hervor, dass wichtigen Aufgaben nicht oder nur unzureichend nachgekommen werden konnte. Seitdem hat sich an der Personalsituation meines Wissens kaum etwas geändert.

Für den Aufgabenbereich Informationsfreiheit sollen nun lediglich zwei (2!) neue Stellen geschaffen werden. Unklar ist mir noch, ob die Gebiete strikt getrennt sind, oder sich die Kapazitäten auf beide Themen aufteilen. Im ersten Fall frage ich mich, wie mit nur zwei Mitarbeitern der Informationsfreiheit in diesem Land Rechnung getragen werden kann? In letzterem Fall würden weitere Kapazitäten von der ohnehin überlasteten Datenschutzaufsicht abgezogen.

Ich erwarte daher gespannt den nächsten Tätigkeitsbericht, der Ende des Jahres fällig wird. Der letzte Bericht verzögerte sich aufgrund des knappen Personals um mehr als 2 Monate. Mal sehen, wann wir den 23. Tätigkeitsbericht in den Händen halten dürfen.

 

Der Rechtsstaat bin ich!

051003 storting crown prince's crown
Image by xjyxjy via Flickr

Unser Staat geht davon aus, dass er selbst ein Rechtsstaat ist und dass deshalb seine Organe auch stets rechtmäßig handeln. So hat es mir mein Anwalt heute erklärt, wenn ich ihn richtig verstanden habe. Aufgrund dieser Grundannahme hat unser Staat offenbar keine Probleme damit sich selbst Vollstreckungstitel auszustellen. âEUR?Ich bin ja ein RechtsstaatâEURoe, denkt er sich, âEUR?und somit sind meine Forderungen selbstverständlich auch rechtmäßigâEURoe. Auch wenn mein Anwalt ein wenig Licht ins Dunkel bringen konnte: Vollends nachvollziehen kann ich die Forderung, die die Landesjustizkasse Mainz mir gegenüber erhebt noch nicht. Man hält es auch nicht für nötig mir die Forderung transparent zu machen. Warum auch? Denn im Gegensatz zu Unternehmen und jedem Bürger dieses Staates, kann der Staat selbst auf ein ordentliches Mahnverfahren verzichten. Zahle ich nicht, droht Zwangsvollstreckung, Ordnungshaft und ein Eintrag ins Schuldnerverzeichnis. Möglich macht das laut meiner eigenen Recherche das Verwaltungs-Vollstreckungsgesetz bzw. dessen Pendant auf Landesebene, diese oder andere Rechtsgrundlagen wurden aber nicht aufgeführt. Also denn, dann zahle ich mal als treuer Diener des Staates. Ich will auch gar nicht abstreiten, dass die Forderung berechtigt ist âEUR“ nur die Art und Weise wie sie intransparent und hoheitlich erhoben wird ist eines Rechtsstaats meiner Meinung nach nicht würdig.

Reblog this post [with Zemanta]

Vertrauliche E-Mail-Kommunikation?

Die E-Mail ist im doppelten Sinne nicht vertraulich: Erstens ist es ungewiss ob der Kommunikationspartner tatsächlich derjenige ist der er vorgibt zu sein, zweitens sind E-Mails unverschlüsselt und können damit potentiell von Dritten mitgelesen werden.

Damit disqualifiziert sich die E-Mail grundsätzlich als rechtsverbindliches Kommunikationsmittel. Diesen Missstand will die Bundesregierung mit dem Projekt „Bürgerportale“ beseitigen. Der Dienst „DE-Mail“ soll E-Mail so „zuverlässig, sicher und vertraulich wie Papierpost“ machen.

Klingt doch richtig gut, oder? Leider bekomme ich seit der LKW-Maut und dem Desaster bei der Einführung der ALG II Software regelmäßig Bauchschmerzen, wenn der Bund ein größeres IT-Projekt angeht. Aber das ist nicht der einzige Grund für mich, die „DE-Mail“ genauer unter die Lupe zu nehmen.

Zunächt einmal drängt sich die Frage auf, warum denn nicht einfach PGP genutzt wird? Nicht nur mir, wie es scheint, denn das Informationsportal gibt bereits eine Antwort:

Die Technologien (z.B. bei Ende-zu-Ende-Verschlüsselung und/oder Signaturen) setzen vielfach voraus, dass der Nutzer selbst die entsprechenden Software-Komponenten installiert, zugehörige Zertifikate für seine Kommunikationspartner verwaltet und geeignet mit den privaten Schlüsseln umgeht. Hier haben die Erfahrungen der vergangenen Jahre gezeigt, dass eine flächendeckende Verbreitung solcher Lösungen nur sehr schwer zu erreichen ist. Bei De-Mail werden genau diese Aufgaben, für die der Nutzer bisher selbst verantwortlich war, von vertrauenswürdigen Anbietern durchgeführt.

PGP soll also deshalb nicht verwendet werden, weil der Nutzer mit der Installation der Software und der Verwaltung der Schlüssel überfordert sein könnte? Zugegeben: Verschlüsselung ist unter „Ottonormal-Benutzern“ nicht sonderlich weit verbreitet. Aber ist das Grund genug dem Nutzer die Verantwortung zu entziehen und stattdessen auf „vertrauenswürdige Anbieter“ zu setzen? Reden wir Klartext: Das bedeutet, dass der private(!) Schlüssel des Benutzers beim Anbieter liegen wird! Dieser kann also jederzeit auf die angeblich vertraulichen Dokumente zugreifen, genau wie anfragende Staatsorgane. Das bestätigt auch Dr. Heike Stach, Leiterin des Projekts Bürgerportale im Bundesinnenministerium, im Chat mit Politik-Digital (Hervorhebungen durch mich):

De-Mail unterliegt den gesetzlichen Rahmenbedingungen der elektronischen Kommunikation. Das heißt, das Mitlesen von Inhalten ist grundsätzlich nur nach entsprechender richterlicher Anordnung möglich, wie es auch bei Papierpost der Fall ist.

Zu gesetzlichen Rahmenbedingungen zählen Vorratsdatenspeicherung, Online-Durchsuchung und alles was sich Herr Schäuble in Zukunft sonst noch so ausdenkt. Der Schutz vor mitlesenden Staatsorganen ist genauso wenig gegeben wie bei herkömmlicher E-Mail.

Hinzu kommt das Missbrauchspotential durch den DE-Mail-Anbieter, der schließlich im Besitz des privaten Schlüssels ist. Über Schlüssel die in die Hände von Kriminellen gelangen und am Schwarzmarkt gehandelt werden möchte ich angesichts der Datenskandale der letzten Monate gar nicht erst nachdenken. Also: Wie werden neugierige Blicke von Mitarbeiter des DE-Mail-Anbieters verhindert? Heike Stach dazu:

Die Provider werden zertifiziert und müssen dabei nachweisen, dass der Zugriff auf die von ihnen verwendeten Schlüssel nur in berechtigten Fällen erfolgen kann.

Es werden also mal wieder Zertifikate verteilt. Das ist immer ein tolles Argument. Leider konnte ich bisher noch nicht in Erfahrung bringen, welche Anforderungen genau gestellt werden und wie diese dauerhaft sichergestellt werden. Das entscheidet letztendlich, wie vertrauenswürdig die Anbieter tatsächlich sind. Bemerkenswert finde ich auch hier wieder, den Zugriff „in berechtigten Fällen“.

Der Fairness halber muss ich aber noch betonen, dass Ende-zu-Ende Verschlüsselung natürlich weiterhin möglich ist. Im Informationsportal heißt es:

Reicht einem Nutzer diese dadurch erreichte Sicherheit nicht aus, so kann er die Nachrichten wie bisher verschlüsseln und/oder signieren. Welche Lösungen (z.B. S/MIME, OpenPGP, GnuPG) und welche Verschlüsselungs-Schlüssel er dafür benutzt, ist dem Nutzer freigestellt.

Allerdings ist kaum zu erwarten, dass Behörden zukünftig diese Verfahren unterstützen werden. Das ist schon heute kaum der Fall und wird sich mit Einführung der DE-Mail wohl kaum ändern. Als positive Außnahme sind mir bisher nur Datenschutzbehörden aufgefallen.

Ich finde es schade, dass hier schon wieder viel Geld in ein schon in den Ansätzen fragwürdiges Projekt gepumpt wird. Ich halte es für sinnvoller bestehende Maßnahmen wie PGP, GnuPG zu fördern und die Öffentlichkeit für die Themen Verschlüsseln und Signieren zu sensibilisieren, anstatt den Bürgern die Verantwortung in diesem Bereich abzunehmen. Ein demokratisches Informationszeitalter braucht mündige, selbstbewusste IT-Benutzer.

Ich möchte das Projekt aber nicht gleich totreden, sondern hoffe, dass es durch eine rechtzeitige öffentliche Debatte in vernünftige Bahnen gelenkt wird. Denn grundsätzlich ist eine vertrauliche, rechtsverbindliche Kommunikation zwischen Bürgern, Behörden und der Wirtschaft ein erstrebenswertes Ziel.