BMI-Netzpolitik: Unterschied zwischen den Versionen
K |
(Änderung 104096 von Wir speichern nicht! (Diskussion) wurde rückgängig gemacht.) |
||
Zeile 1: | Zeile 1: | ||
+ | Das Bundesinnenministerium und die Beauftragte der Bundesregierung für Informationstechnik bieten vier Dialogveranstaltungen unter dem Titel "Perspektiven Deutscher Netzpolitik" an: | ||
+ | #Datenschutz und Datensicherheit im Internet (18.01.2010) | ||
+ | #Das Internet als Mehrwert erhalten (24.03.2010) | ||
+ | #Staatliche Angebote im Internet | ||
+ | #Schutz der Bürger vor Identitätsdiebstahl und sonstiger Kriminalität im Internet (01.06.2010) | ||
+ | ==1. Dialog "Datenschutz und Datensicherheit im Internet" (18.01.2010)== | ||
− | = | + | Siehe [http://www.vorratsdatenspeicherung.de/content/view/348/55/lang,de/ Bericht] |
+ | |||
+ | ==2. Dialog "Das Internet als Mehrwert erhalten" (24.03.2010)== | ||
+ | |||
+ | Siehe [http://www.vorratsdatenspeicherung.de/content/view/361/55/lang,de/ Bericht] | ||
+ | |||
+ | ==3. Dialog "Staatliche Angebote im Internet"== | ||
+ | |||
+ | (keine Einladung) | ||
+ | |||
+ | ==4. Dialog "Schutz der Bürger vor Identitätsdiebstahl und sonstiger Kriminalität im Internet" (01.06.2010)== | ||
+ | |||
+ | Ein Mitglied des AK Vorrat ist wieder zu dem vierten Termin am 1. Juni eingeladen. Die [http://www.vorratsdatenspeicherung.de/images/Einladung_BMI-Netzpolitik_2010-06-01.pdf Einladung und Tagesordnung] findet sich hier. | ||
+ | |||
+ | Auf dieser Seite sammeln wir unsere Positionen, die in den Gesprächen ggf. angesprochen werden können. | ||
+ | |||
+ | Bitte tragt eure Ideen zu den Fragen des Innenministers hier ein: | ||
+ | |||
+ | ===I. Schwerpunkt Identitätsdiebstahl=== | ||
+ | |||
+ | ====1. Was verstehen wir eigentlich unter einer digitalen Identität und ihrem „Diebstahl“?==== | ||
+ | |||
+ | ====2. Müssen wir die Anbieter digitaler Identitäten („Identitätsprovider“) – branchenspezifisch abgestuft – verpflichten, einen besseren Schutz der eingerichteten Identitäten sicherzustellen (z.B. SSL-Verschlüsselung bei Erstellung der Identität, sichere Passwörter)? Auferlegen die Entscheidungen des Bundesverfassungsgerichts (insbesondere zur Online-Durchsuchung und Vorratsdatenspeicherung) dem Staat hier Handlungspflichten?==== | ||
+ | |||
+ | pab: Unternehmen und Behörden brauchen kein staatlich reglementiertes Verfahren zur Authentifizierung via Internet. Bei kostenpflichtigen Leistungen muss ohnehin nur die Zahlung sicher gestellt werden, nicht auch die Identität des Nutzers. Die Zahlung kann anonym über Vorkasse oder anonyme Online-Bezahldienste (z.B. Paysafecard, Ukash) erfolgen. Bei nachträglicher Zahlung kann mit Einwilligung des Kunden eine Bonitätsauskunft eingeholt werden. | ||
+ | |||
+ | Kommt es tatsächlich auf die Identität des Nutzers an, kann dieser auf verschiedene Weise authentifiziert werden: Durch Anforderung einer Unterschrift per Post oder Fax, durch Erhebung einer Bank- oder Kreditkartenverbindung, durch das PostIdent-Verfahren oder durch eine persönliche Registrierung unter Vorzeigen eines Ausweisdokuments. Die vorhandenen Verfahren haben sich im Wirtschaftsleben bewährt. | ||
+ | |||
+ | Die Entscheidungen des Bundesverfassungsgerichts haben mit Identitätsprovidern nichts zu tun. Der Staat muss die Bürger besser vor Datenmissbrauch schützen, indem er sie besser vor der Ansammlung personenbezogener Daten schützt. Nur gelöschte oder anonyme Daten sind sichere Daten. Aus unserem Papier zum ersten Dialog: | ||
+ | |||
+ | I. Nicht-legislative Instrumente | ||
+ | |||
+ | Die folgenden nicht-legislativen Instrumente können den Datenschutz im Internet und den Selbstdatenschutz verbessern: | ||
+ | |||
+ | 1. Information | ||
+ | *positiv: Information über die Bedeutung des Datenschutzes und über Möglichkeiten, ihn zu verbessern (z.B. in Schulen, durch Freiheitsredner1) | ||
+ | *positiv: Auszeichnung datensparsamer und datensicherer Angebote (Gütesiegel) | ||
+ | *positiv/negativ: vergleichende Bewertung des Datenschutzniveaus („Stiftung Datentest“) | ||
+ | |||
+ | 2. Finanzielle Anreize | ||
+ | *positiv: Subventionen und Steuervorteile für datensparsame und datensichere Produkte und Dienstleistungen | ||
+ | *positiv: Finanzielle Förderung der Forschung und Entwicklung datensparsamer und datensicherer Technologien (privacy-enhanced technologies) | ||
+ | *positiv: Finanzielle Förderung privater Initiativen zur Information über die Bedeutung des Datenschutzes und über Möglichkeiten seiner Umsetzung (z.B. Freiheitsredner) | ||
+ | *positiv: Der Bund beschafft für den Eigengebrauch nur noch datensparsame und datensichere IT-Produkte. | ||
+ | *positiv: Verpflichtet der Staat Private zur Datensammlung, muss er sie vollständig entschädigen, damit die Finanzierung der erforderlichen Datensicherheitsvorkehrungen auch bei kleinen Unternehmen gewährleistet ist. | ||
+ | *negativ: Risiken von Datenschutzverstößen durch verbesserte Ausstattung und wirkliche Unabhängigkeit der Aufsichtsbehörden erhöhen | ||
+ | |||
+ | 3. Vorbildrolle des Staates | ||
+ | |||
+ | Der Staat muss die eigene Ansammlung von Informationen und Verpflichtungen Privater zur Datensammlung (z.B. Vorratsdatenspeicherung) abbauen und selbst ein hohes Datenschutzniveau gewährleisten. | ||
+ | |||
+ | II. Erhöhung des gesetzlichen Schutzniveaus | ||
+ | |||
+ | Der Gesetzgeber hat weitere Möglichkeiten, Datenschutz und Datensicherheit im Internet zu verbessern. Möglich ist erstens eine Verbesserung des gesetzlichen, materiellen Schutzniveaus. Den besten und einzig wirksamen Schutz vor Datendiebstahl und Datenmissbrauch im Internet stellt es dar, wenn von vornherein möglichst wenige persönliche Daten erhoben und gespeichert werden. Internetnutzer erwarten daher, dass sie im virtuellen Leben ebenso anonym und überwachungsfrei handeln können wie es im wirklichen Leben weitgehend noch der Fall ist. Unter anderem sind dazu die folgenden Gesetzesänderungen erforderlich: | ||
+ | |||
+ | #Keine Wiedereinführung der Vorratsdatenspeicherung, um weiterhin eine anonyme Internetnutzung ohne das Risiko von Nachteilen infolge von Datenmissbrauch, Falschverdächtigung oder Datenpannen zu ermöglichen | ||
+ | #Erstreckung des Fernmeldegeheimnisses auf die Nutzung von Internetangeboten (Internetnutzungsgeheimnis) | ||
+ | #Weitergabe von Informationen über die Internetnutzung an Behörden nur unter den Voraussetzungen, die für das Abhören von Telefonen gelten | ||
+ | #Schaffung von Rechtssicherheit durch die Klarstellung, dass der gesetzliche Datenschutz auch für Internet-Protocol-Adressen gilt | ||
+ | #Verbot der Erstellung von Nutzerprofilen ohne Einwilligung des Nutzers durch Änderung des Telemediengesetzes | ||
+ | #Stärkung des Rechts auf anonyme Internetnutzung durch ein wirksames Koppelungsverbot im Telemediengesetz | ||
+ | #Schutz der Internetnutzer vor unangemessenen Datenverarbeitungs-Einwilligungsklauseln, indem klargestellt wird, dass derartige Klauseln der gerichtlichen Kontrolle unterliegen | ||
+ | #Keine Surfprotokollierung: Ablehnung des Vorschlags im Regierungsentwurf eines „Gesetzes zur Stärkung der Sicherheit in der Informationstechnik des Bundes“, Internetanbietern die präventive, flächendeckende Aufzeichnung des Surfverhaltens zur „Störungserkennung“ zu gestatten; Aufhebung des § 5 BSI-Gesetz | ||
+ | #Maßnahmen zur Gewährleistung der Datensicherheit (§ 9 BDSG) müssen dem Stand der Technik entsprechen: In den letzten Monaten sind immer wieder schwerwiegende Datenpannen mit Millionen von Betroffenen bekannt geworden, die hätten vermieden werden können, wenn die Verarbeitungssysteme auf dem Stand der Technik gewesen wären (z.B. durch Anwendung von Updates) | ||
+ | Für den Bereich des Telemedienrechts liegt bereits ein ausführliches Forderungspapier samt Vormulierungsvorschlägen vor, das unter anderem vom Chaos Computer Club, der Deutschen Vereinigung für Datenschutz, dem FoeBuD, dem FifF, der Humanistischen Union, dem Netzwerk Neue Medien, dem netzwerk recherche und dem Verbraucherzentrale Bundesverband unterstützt wird.4 | ||
+ | |||
+ | III. Verbesserte Durchsetzung des bestehenden Schutzniveaus | ||
+ | |||
+ | Noch wichtiger als eine Erhöhung des gesetzlichen Datenschutzniveaus erscheint eine effektivere Durchsetzung des bestehenden Datenschutzrechts. Der Gesetzgeber kann die Durchsetzung des bestehenden Rechts wie folgt verbessern: | ||
+ | |||
+ | #Klarstellung, dass Datenschutzbestimmungen auch dem Schutz eines fairen Wettbewerbs dienen. Die Einhaltung des Datenschutzrechts ist wettbewerbsrelevant, weil sich hiergegen verstoßende Unternehmen im Wettbewerb mit datenschutzkonform arbeitenden Konkurrenten einen unlauteren Vorteil durch Rechtsbruch verschaffen. Bisher sind die Gerichte in Deutschland der Meinung, dass Datenschutzvorschriften nicht wettbewerbsschützend seien. Das Wettbewerbsrecht ist aber ein effizientes, unbürokratisches und erfolgreiches Rechtsdurchsetzungsinstrument, das auf den Bereich des Datenschutzes erstreckt werden sollte. | ||
+ | #Klagebefugnis für Verbraucher- und Datenschutzverbände einführen. Die Gerichte in Deutschland haben entschieden, dass Datenschutzvorschriften nicht verbraucherschützend seien und Verbraucherverbände den Schutz von Verbraucherdaten nicht einklagen können. Die Verbandsklagebefugnis der Verbraucherverbände ist aber ein effizientes, unbürokratisches und erfolgreiches Rechtsdurchsetzungsinstrument, das durch Erweiterung des Unterlassungsklagengesetzes auf den Bereich des Datenschutzes erstreckt und auch Datenschutzverbänden an die Hand gegeben werden sollte. Bei von Einzelnen angestrengten Prozessen wegen datenschutzwidriger Praktiken gibt es immer wieder Finanzierungsschwierigkeiten; außerdem wird das Urteil von der Gegenseite oftmals nur für den jeweiligen Kläger umgesetzt und nicht für alle Kunden. | ||
+ | #Einführung einer Haftung kommerzieller Hersteller und Importeure für den Fall, dass unsichere informationstechnische Produkte zu Datenschutzverletzungen führen (Produkthaftung). Im Softwarebereich wäre es sinnvoll, die Produkthaftung kommerzieller Hersteller informationstechnischer Produkte auf Vermögensschäden zu erstrecken, die dadurch entstehen, dass ein Produkt nicht wirksam (auf dem Stand der Technik) vor Computerattacken oder Datenverlust geschützt ist. Dann würden Softwarehersteller für die Folgen ihrer Sicherheitslücken („Bugs“) haften, die schon oft für Verluste persönlicher Daten und von Betriebsgeheimnissen gesorgt haben. Das Haftungsrecht ist ein sehr effektives Rechtsdurchsetzungsinstrument, wie sich etwa im Bereich der Arbeitssicherheit gezeigt hat. Es sollte auch für den Datenschutz nutzbar gemacht werden. Kommerziellen Herstellern ist die Haftung zumutbar, weil sie sich - wie in anderen Bereichen üblich - gegen das Haftungsrisiko versichern können. Die Versicherer werden über die Prämienhöhe Anreize für mehr Produktsicherheit in der Branche setzen. | ||
+ | #Verschuldensunabhängige Haftung für Datenschutzverletzungen mit pauschaler Entschädigungssumme. Die Datenverarbeiter sollten den von Datenpannen Betroffenen auch für immaterielle Schäden haften (z.B. Sorge um einen möglichen Missbrauch ihrer Daten infolge einer Datenpanne), und zwar verschuldensunabhängig. Ein Regelwert für den immateriellen Schaden sollte festgelegt werden (z.B. 200 Euro pro Person). Entschädigungszahlungen wegen Datenpannen könnte der für die Verarbeitung Verantwortliche vom Hersteller ersetzt verlangen (siehe oben), wenn ein unsicheres Produkt für den Schaden verantwortlich ist. Durch die Einführung einer Haftung für Datenpannen samt pauschaler Entschädigungssummen wären große Datenverarbeiter gezwungen, sich gegen Datenschutzverletzungen zu versichern. Durch die Versicherungsprämie hätten sie ein eigenes finanzielles Interesse daran, die Schadenswahrscheinlichkeit zu senken. Auf dem Gebiet der Unfallversicherung hat ein solches System bereits zu einem drastischen Rückgang der Zahl der Arbeitsunfälle geführt. | ||
+ | #Privacy by design: Kommerzielle informationstechnische Produkte und Dienste dürfen nicht so voreingestellt sein, dass der Verwender gegen deutsches Datenschutzrecht verstößt. Kommerzielle Computerprodukte (z.B. Software) und Dienste (z.B. Tracker, Werbung) müssen mit einer sicheren und datensparsamen Grundeinstellung angeboten werden. Dies ist derzeit leider bei den vorherrschenden amerikanischen Produkten nicht der Fall, weil es in den USA bekanntlich im privaten Bereich keinerlei Datenschutzgarantien gibt. Kommerziellen Anbietern informationstechnischer Produkte und Dienste ist es zumutbar, Produkte und Dienste für den europäischen Markt mit datenschutzkonformen Voreinstellungen anzubieten. Es ist auch gesamtwirtschaftlich sinnvoller, wenn der Hersteller sein Produkt rechtskonform gestaltet als wenn sämtliche Abnehmer das Produkt erst rechtskonform einstellen oder sogar umprogrammieren müssen. Die Datenschutzbeauftragten sollten das Recht erhalten, Anforderungen an eine datenschutzkonforme Produktgestaltung zu definieren. | ||
+ | #Information der Nutzer auch über die typische Dauer der Aufbewahrung ihrer Daten (§ 4 Abs. 3 BDSG). Auf der Grundlage dieser Information können die Nutzer sich für datensparsame Anbieter entscheiden und das Risiko reduzieren, Opfer von Datenpannen und Datenmissbrauch zu werden. | ||
+ | #Auskunftsanspruch über Datensicherheit: Den Kunden eines Unternehmens könnte ein Auskunftsanspruch bezüglich der vorhandenen Sicherheitsmechanismen zum Schutz ihrer Daten eingeräumt werden. Stellen fachlich versierte Kunden auf diese Weise Sicherheitsmängel fest, können sie die Aufsichtsbehörden darauf aufmerksam machen. | ||
+ | #Whistleblowing: Mitarbeiter von Unternehmen und Behörden sind eine wichtige Informationsquelle, die sich nutzen lässt, indem man eine Möglichkeit zur anonymen Erteilung von Hinweisen auf Sicherheitslücken bereit stellt und die Betroffenen gesetzlich vor Nachteilen schützt. | ||
+ | #Benachteiligungsverbot bei Gebrauchmachen von Datenschutzrechten: In der Praxis werden unabdingbare Regelungen des Datenschutzrechts immer wieder dadurch unterlaufen, dass Unternehmen mit einer ordentlichen Kündigung reagieren, wenn Betroffene von ihren gesetzlich garantierten Rechten Gebrauch machen. Zu diesen unabdingbaren Betroffenenrechten zählt insbesondere das Recht, Auskunft über die zur eigenen Person gespeicherten Daten verlangen zu dürfen sowie die Rechte auf Berichtigung, Löschung und Sperrung personenbezogener Daten. Es muss verboten werden, Menschen zu benachteiligen, nur weil sie von ihren gesetzlichen Datenschutzrechten Gebrauch machen. | ||
+ | #Zertifizierungspflicht: Im Bereich wichtiger Informationssysteme oder anlassbezogen nach dem Auftreten von Datenschutzverstößen ist eine Zertifizierungspflicht denkbar, um sicherzustellen, dass die betroffenen Systeme nach dem Stand der Technik geschützt sind. Eine Zertifizierung könnte turnusmäßig wie im Bereich der Kfz-Überwachung (Hauptuntersuchung) gefordert werden. | ||
+ | |||
+ | ====3. Könnte zu diesen Schutzmaßnahmen die Verpflichtung der „Identitätsprovider“ gehören, Nutzer ggf. über den Verlust ihrer Identitätsdaten zu informieren und die entsprechenden Accounts zu sperren?==== | ||
+ | |||
+ | pab: Eine (unzureichende) Informationspflicht über Datenverluste gibt es schon im Bundesdatenschutzgesetz. Ein Anspruch, seine Daten jederzeit löschen zu lassen, ist dort auch geregelt. | ||
+ | |||
+ | ====4. Sollten wir Provider verpflichten, Sicherheitstechniken wie Anti-Viren- oder Spamfilter ohne Aufpreis anzubieten?==== | ||
+ | |||
+ | pab: Die folgenden Angebote könnten Provider und Diensteanbieter ihren Kunden unterbreiten: | ||
+ | #Datenschutzfreundliche Voreinstellungen für Dienste und Software | ||
+ | #Datenschutzfreundliche Zusatzfunktionalitäten (Plugins) für Standardsoftware | ||
+ | #Datenschutzfreundliche Bundlingangebote, z.B.: | ||
+ | **E-Mail-Anbieter könnten ein Verschlüsselungspaket für Standard-E-Mail-Software bereit stellen | ||
+ | **Internet-Zugangsanbieter könnten eine Anonymisierungsoption anbieten, bei welcher der gesamte Datenverkehr verschlüsselt über einen nicht auf Vorrat speichernden Anonymisierungsdienst geleitet wird | ||
+ | |||
+ | Wichtig ist der Netzgemeinde, dass der Nutzer stets über die Aktivierung von Schutzverfahren selbst entscheiden kann (opt-in oder wenigstens opt-out) und ihm nichts aufgezwungen wird. Fortgeschrittene Internetnutzer können z.B. anstelle des vom Anbieter angebotenen Spam- oder Virenfilters andere Produkte auf ihrem eigenen Rechner einsetzen wollen. Die Verantwortung für den Schutz der eigenen Daten und IT ist bei dem Betroffenen am besten aufgehoben; es müssen allerdings die richtigen Anreize gesetzt werden. Das Fernmeldegeheimnis ist in jedem Fall zu wahren, so dass sich Kommunikationsmittler nicht in Kommunikationsprozesse einschalten dürfen, auch nicht zum vermeintlichen Schutz der Nutzer. | ||
+ | |||
+ | Damit der Nutzer die Kontrolle behält, sollte Anti-Viren-Software oder Spamfilter auf seinem eigenen Rechner laufen. Dafür sind die Provider kaum zuständig. Sinnvoller wäre es, Computer- oder Softwarehersteller zum standardmäßigen Angebot entsprechender Komponenten zu bewegen. | ||
+ | |||
+ | ====5. Bei der Eröffnung bspw. eines Online-Girokontos ist das sog. PostIdent-Verfahren zur Verifikation zwingend vorgeschrieben. Benötigen wir auch beim Anlegen bestimmter digitaler Identitäten eine – ggf. branchenspezifisch abgestuft – vergleichbare Lösung (z.B. mittels neuem Personalausweis oder PostIdent)?==== | ||
+ | |||
+ | pab: Auf keinen Fall. Die Identifizierungspflicht gegenüber Banken ist im Rechtsverkehr einmalig und mit der Begründung der Geldwäschebekämpfung eingeführt worden. Internetdienste sind damit überhaupt nicht vergleichbar. Hier ordnet das Telemediengesetz umgekehrt an, dass Angebote soweit wie möglich anonym zu erfolgen haben. Dieses Koppelungsverbot muss gestärkt werden. | ||
+ | |||
+ | Eine Identifizierungspflicht leistet Datenmissbrauch und illegalem Datenhandel geradezu Vorschub. Die Kontrolle der Nutzer über ihre Daten und die Möglichkeit, sich gegen die Erhebung unnötiger Daten durch Falschangaben zu wehren, wird durch eine Identifizierungspflicht verhindert. Unter die Räder kommt dabei, dass es durchaus legitime Gründe geben kann, einem Versandhaus nicht seinen wirklichen Namen anzuvertrauen, etwa wenn die bestellte Ware eigene Krankheiten oder auch sexuelle Aktivitäten betrifft. | ||
+ | |||
+ | Wie sich im Fall von Bank- und Kreditkarten zeigt, ist es nur eine Frage der Zeit, bis elektronische Personalausweise von Straftätern kopiert werden (Identitätsdiebstahl), um im Namen des Opfers im Internet Unheil anzurichten. In den USA führt derartiges regelmäßig zu falschen Verdächtigungen und Festnahmen. Die vermeintliche Sicherheit des Identifikationsverfahrens ist nicht gegeben, wie schon die verbreitete Weitergabe von ec-Karten-PINs zeigt. | ||
+ | |||
+ | Einen wirksamen Selbstdatenschutz im Internet bieten etwa die folgenden Maßnahmen: Das Internet sollte man ausschließlich unter Verwendung von Anonymisierungsdiensten, die nicht auf Vorrat speichern, nutzen. Man sollte sich im Internet nur unter Fantasienamen bewegen. Überflüssige Fragen im Internet sollten nicht oder nicht richtig beantwortet werden. Wenn eine E-Mail-Adresse angegeben werden muss, sollte eine anonyme Wegwerfadresse verwendet werden. Angebote von US-amerikanischen Firmen und aus anderen Staaten ohne Datenschutz sollten vermieden werden. E-Mail-Konten sollten nur bei Anbietern unterhalten werden, die auf die Erhebung (korrekter) Personendaten des Nutzers verzichten und die E-Mail-Nutzung nicht auf Vorrat speichern. | ||
+ | |||
+ | ====6. Wie können wir die Internetnutzer besser mit Aufklärungsangeboten erreichen? Macht es Sinn, die zahlreichen Angebote von Staat und Wirtschaft zusammenzuführen?==== | ||
+ | |||
+ | pab: Eine Stiftung Datentest, die den Datenschutz bei verschiedenen Internetangeboten einer Art vergleicht, Noten vergibt und die Tests kostenfrei veröffentlicht, wäre zur Aufklärung hilfreich. Denkbar ist auch, kurze Verhaltensempfehlungen als "Beipackzettel" Computern beizulegen ([http://www.ftc.gov/bcp/edu/pubs/consumer/idtheft/idt01.pdf Beispiel]). Der Staat könnte bestehende Aufklärungsinitiativen unterstützen (beispielsweise ist eine [https://www.weisser-ring.de/uploads/tx_publication/surfen_04.pdf Broschüre] "Surfen? – Mit Sicherheit!" des Weißen Rings seit längerem vergriffen). | ||
+ | |||
+ | ====7. Stichwort Kryptografie: Sollte der Einsatz kryptografischer Verfahren bei der Übermittlung von sensiblen Daten vorgeschrieben werden?==== | ||
+ | |||
+ | pab: Ja. Es muss vorgeschrieben werden, dass die Sicherheit personenbezogener Daten auf dem neuesten Stand der Technik zu gewährleisten ist. | ||
+ | |||
+ | ===II. Kriminalitätsbekämpfung allgemein=== | ||
+ | |||
+ | ====8. Brauchen wir andere (internetspezifische) Befugnisse für die Strafverfolgungsbehörden?==== | ||
+ | |||
+ | pab: Nein, schon die vorhandenen Befugnisse gehen zu weit und müssen auf die Verfolgung schwerer Straftaten mit richterlicher Anordnung beschränkt werden (kein präventiver oder Geheimdienstzugriff). | ||
+ | |||
+ | ====Inwieweit kann die Rechtsprechung des Bundesverfassungsgerichts hier als Leitfaden des rechtlich erforderlichen und rechtlich möglichen sein?==== | ||
+ | |||
+ | pab: Die Verfassung und die dazu ergangenen Urteile bilden nur die äußerste Grenze des rechtlich Möglichen. Sie sagen nichts darüber aus, ob staatliche Kontrolle sinnvoll und zweckmäßig ist. Die Urteile sind letzte Leitplanken vor dem Abgrund des Überwachungsstaats, keine Leitfaden. | ||
+ | |||
+ | ====9. Sollte die (technische und personelle) Ausstattung der Strafverfolgungsbehörden besser an das Internet angepasst werden?==== | ||
+ | |||
+ | pab: Ja. Auch ohne Vorratsdatenspeicherung müssen die Strafverfolgungsbehörden in der Lage sein, schnell genug zu reagieren, um einen Verdächtigen noch während der bestehenden Verbindung zu identifizieren. | ||
+ | |||
+ | '''Infos zur Austattung der Polizei'''<br> | ||
+ | * [http://www.youtube.com/watch?v=yOpTmmfmISA&sns=em Beitrag aus Extra3] zur Ausstattung von Schleswig Holsteiner KriminalbeamtInnen | ||
+ | |||
+ | ====Wäre beispielsweise die Einrichtung von Scherpunktstaatsanwaltschaften sinnvoll?==== | ||
+ | |||
+ | ====10. Thema Vorratsdatenspeicherung: Welche Folgen hat die Entscheidung des Bundesverfassungsgerichts für die Arbeit der Sicherheitsbehörden?==== | ||
+ | |||
+ | pab: Das Ende der Vorratsdatenspeicherung reduziert die Zahl der aufgeklärten Straftaten nicht und führt auch nicht zu einer Zunahme von Straftaten. Das zeigt der innerdeutsche Vergleich und auch der Vergleich mit Staaten ohne Vorratsdatenspeicherung. Die Sicherheitsbehörden müssen sich aber an die neue Situation anpassen. Auch ohne Vorratsdatenspeicherung müssen die Strafverfolgungsbehörden in der Lage sein, schnell genug zu reagieren, um einen Verdächtigen noch während der bestehenden Verbindung zu identifizieren. | ||
+ | |||
+ | ====Wie können wir nach dem Urteil des Bundesverfassungsgerichts die entsprechende EU-Richtlinie verfassungskonform umsetzen?==== | ||
+ | |||
+ | pab: Das ist nicht möglich. Die Richtlinie verstößt selbst gegen die EU-Grundrechtecharta und die Europäische Menschenrechtskonvention. Dementsprechend kann sie nicht rechtmäßig und wirksam umgesetzt werden. | ||
+ | |||
+ | ====Für welche Zwecke speichern die TK-Unternehmen auch nach der Entscheidung noch Verkehrsdaten?==== | ||
+ | |||
+ | pab: Zur Herstellung der Verbindung, danach zu Abrechnungszwecken und leider illegal auch auf Vorrat zur "Missbrauchsprävention" (§ 100 TKG). | ||
+ | |||
+ | ====11. Falls die Richtlinie wieder aufgehoben werden sollte: Wäre ein völliger Verzicht auf die Speicherung und Beauskunftung von Verbindungsdaten wiederum mit der Rechtsprechung des Europäischen Gerichtshof für Menschenrechte (EGMR) vereinbar, der den Staat in der Pflicht sieht, auch entsprechende Regeln vorzusehen, die die Identifikation von Straftätern im Internet ermöglichen?==== | ||
+ | |||
+ | pab: Der [http://cmiskp.echr.coe.int/tkp197/view.asp?action=html&documentId=843777&portal=hbkm&source=externalbydocnumber&table=F69A27FD8FB86142BF01C1166DEA398649 Entscheidung] lag der Fall zugrunde, dass jemand eine sexuelle Kontaktanzeige im Namen eines Minderjährigen mit dessen Foto in das Internet eingestellt hatte. Der Gerichtshof entschied, dass Finnland kein Gesetz verabschieden durfte, welches die Identifizierung des Anschlussinhabers durch dessen Zugangsanbieter '''verbot'''. Diese Entscheidung verlangt aber keine Vorratsdatenspeicherung, sondern lediglich die Herausgabe ohnehin vorhandener Daten zur Ermittlung wegen schwerer Straftaten. In dem entschiedenen Fall verfügte der finnische Internetanbieter ohnehin über die Daten, die eine Identifizierung des mutmaßlichen Täters ermöglicht hätten; das finnische Recht erlaubte nur die Herausgabe dieser Daten nicht. Der Gerichtshof hat mit seiner Entscheidung beanstandet, dass das finnische Recht einen Zugriff auf ohnehin vorhandene Daten selbst zur Aufklärung einer vom Gerichtshof als schwer angesehenen Straftat (sexuelle Verleumdung eines Kindes in der Öffentlichkeit, welche das Kind der Gefahr sexueller Übergriffe aussetzte) nicht zuließ. Dass der Staat zur Aufklärung schwerer Straftaten auf ohnehin zu betrieblichen Zwecken gespeicherte Daten zugreifen darf, stellen wir nicht in Frage. Der Gerichtshof hat in der genannten Entscheidung demgegenüber nicht gefordert oder zugelassen, zur Aufklärung möglicher zukünftiger Straftaten rein vorsorglich das Kommunikations- und Bewegungsverhalten der gesamten Bevölkerung erfassen zu lassen. Gegen diese Annahme spricht auch die Anmerkung des Gerichtshofs, wonach Finnland das „Defizit“ in seinem Prozessrecht in einem späteren „Gesetz über die Ausübung der Meinungsfreiheit in Massenmedien“ angegangen sei. Dieses Gesetz sah eine Befugnis zur Identifizierung von Kommunikationsteilnehmern auf richterliche Anordnung vor, nicht jedoch eine anlasslose und flächendeckende Vorratsdatenspeicherung. | ||
+ | |||
+ | ====Welche Alternativen wären denkbar?==== | ||
+ | |||
+ | pab: Es wäre aus meiner Sicht sinnvoll, wenn die Polizei während einer bestehenden Internetverbindung „auf Zuruf“ die Erfassung und vorläufige Aufbewahrung („preservation“) der aktuellen Zuordnung einer dynamischen IP-Adresse durch einen Internet-Zugangsanbieter erreichen könnte. Die Zeit, die bis zu einer solchen Erfassung verstreicht, sollte minimiert werden, sowohl auf Seiten der Polizei wie auch auf Seiten der Provider, um auch ohne Vorratsdatenspeicherung eine angemessene, also mindestens durchschnittliche (55%) Aufklärungsquote bei Internetdelikten zu gewährleisten. | ||
+ | |||
+ | ===Ein internationales Netz braucht international gültige Vereinbarungen. Wer/was setzt sie um? Brauchen wir neue Instrumente?=== | ||
+ | |||
+ | ===Warum ist Deutschland hinter den USA Spitzenreiter bzgl. der Anzahl an Servern mit kinderpornographischen Inhalten (199 laut Dän. Polizei)?=== | ||
+ | |||
+ | ===Abmahnung - Unterbinden der direkten Kostenforderung bei Erstanschreiben. Warum hat der Gesetzgeber sich dieses Themas noch nicht angenommen?=== | ||
+ | |||
+ | ===Welche Maßnahmen sind zur Eindämmung der Internetkriminalität (z.B. auch "Abo-Fallen") möglich und angedacht? (z.B. Strafverschärfung)?=== | ||
+ | |||
+ | ===Weitere Punkte zum Schutz vor Kriminalität im Internet=== | ||
+ | |||
+ | Was wollen wir De Maizière sonst noch empfehlen? | ||
+ | |||
+ | ====Fußnoten==== | ||
+ | |||
+ | <references/> | ||
+ | |||
+ | ==Siehe auch== | ||
+ | |||
+ | *[http://www.e-konsultation.de/netzpolitik http://www.e-konsultation.de/netzpolitik] | ||
+ | *[http://www.vorratsdatenspeicherung.de/images/Stellungnahme_Datenschutz_und_Datensicherheit_im_Internet.pdf vorratsdatenspeicherung.de: Stellungnahme zur Ersten Dialogveranstaltung (15.01.2010)] |
Version vom 1. Oktober 2010, 08:25 Uhr
Das Bundesinnenministerium und die Beauftragte der Bundesregierung für Informationstechnik bieten vier Dialogveranstaltungen unter dem Titel "Perspektiven Deutscher Netzpolitik" an:
- Datenschutz und Datensicherheit im Internet (18.01.2010)
- Das Internet als Mehrwert erhalten (24.03.2010)
- Staatliche Angebote im Internet
- Schutz der Bürger vor Identitätsdiebstahl und sonstiger Kriminalität im Internet (01.06.2010)
1. Dialog "Datenschutz und Datensicherheit im Internet" (18.01.2010)
Siehe Bericht
2. Dialog "Das Internet als Mehrwert erhalten" (24.03.2010)
Siehe Bericht
3. Dialog "Staatliche Angebote im Internet"
(keine Einladung)
4. Dialog "Schutz der Bürger vor Identitätsdiebstahl und sonstiger Kriminalität im Internet" (01.06.2010)
Ein Mitglied des AK Vorrat ist wieder zu dem vierten Termin am 1. Juni eingeladen. Die Einladung und Tagesordnung findet sich hier.
Auf dieser Seite sammeln wir unsere Positionen, die in den Gesprächen ggf. angesprochen werden können.
Bitte tragt eure Ideen zu den Fragen des Innenministers hier ein:
I. Schwerpunkt Identitätsdiebstahl
1. Was verstehen wir eigentlich unter einer digitalen Identität und ihrem „Diebstahl“?
2. Müssen wir die Anbieter digitaler Identitäten („Identitätsprovider“) – branchenspezifisch abgestuft – verpflichten, einen besseren Schutz der eingerichteten Identitäten sicherzustellen (z.B. SSL-Verschlüsselung bei Erstellung der Identität, sichere Passwörter)? Auferlegen die Entscheidungen des Bundesverfassungsgerichts (insbesondere zur Online-Durchsuchung und Vorratsdatenspeicherung) dem Staat hier Handlungspflichten?
pab: Unternehmen und Behörden brauchen kein staatlich reglementiertes Verfahren zur Authentifizierung via Internet. Bei kostenpflichtigen Leistungen muss ohnehin nur die Zahlung sicher gestellt werden, nicht auch die Identität des Nutzers. Die Zahlung kann anonym über Vorkasse oder anonyme Online-Bezahldienste (z.B. Paysafecard, Ukash) erfolgen. Bei nachträglicher Zahlung kann mit Einwilligung des Kunden eine Bonitätsauskunft eingeholt werden.
Kommt es tatsächlich auf die Identität des Nutzers an, kann dieser auf verschiedene Weise authentifiziert werden: Durch Anforderung einer Unterschrift per Post oder Fax, durch Erhebung einer Bank- oder Kreditkartenverbindung, durch das PostIdent-Verfahren oder durch eine persönliche Registrierung unter Vorzeigen eines Ausweisdokuments. Die vorhandenen Verfahren haben sich im Wirtschaftsleben bewährt.
Die Entscheidungen des Bundesverfassungsgerichts haben mit Identitätsprovidern nichts zu tun. Der Staat muss die Bürger besser vor Datenmissbrauch schützen, indem er sie besser vor der Ansammlung personenbezogener Daten schützt. Nur gelöschte oder anonyme Daten sind sichere Daten. Aus unserem Papier zum ersten Dialog:
I. Nicht-legislative Instrumente
Die folgenden nicht-legislativen Instrumente können den Datenschutz im Internet und den Selbstdatenschutz verbessern:
1. Information
- positiv: Information über die Bedeutung des Datenschutzes und über Möglichkeiten, ihn zu verbessern (z.B. in Schulen, durch Freiheitsredner1)
- positiv: Auszeichnung datensparsamer und datensicherer Angebote (Gütesiegel)
- positiv/negativ: vergleichende Bewertung des Datenschutzniveaus („Stiftung Datentest“)
2. Finanzielle Anreize
- positiv: Subventionen und Steuervorteile für datensparsame und datensichere Produkte und Dienstleistungen
- positiv: Finanzielle Förderung der Forschung und Entwicklung datensparsamer und datensicherer Technologien (privacy-enhanced technologies)
- positiv: Finanzielle Förderung privater Initiativen zur Information über die Bedeutung des Datenschutzes und über Möglichkeiten seiner Umsetzung (z.B. Freiheitsredner)
- positiv: Der Bund beschafft für den Eigengebrauch nur noch datensparsame und datensichere IT-Produkte.
- positiv: Verpflichtet der Staat Private zur Datensammlung, muss er sie vollständig entschädigen, damit die Finanzierung der erforderlichen Datensicherheitsvorkehrungen auch bei kleinen Unternehmen gewährleistet ist.
- negativ: Risiken von Datenschutzverstößen durch verbesserte Ausstattung und wirkliche Unabhängigkeit der Aufsichtsbehörden erhöhen
3. Vorbildrolle des Staates
Der Staat muss die eigene Ansammlung von Informationen und Verpflichtungen Privater zur Datensammlung (z.B. Vorratsdatenspeicherung) abbauen und selbst ein hohes Datenschutzniveau gewährleisten.
II. Erhöhung des gesetzlichen Schutzniveaus
Der Gesetzgeber hat weitere Möglichkeiten, Datenschutz und Datensicherheit im Internet zu verbessern. Möglich ist erstens eine Verbesserung des gesetzlichen, materiellen Schutzniveaus. Den besten und einzig wirksamen Schutz vor Datendiebstahl und Datenmissbrauch im Internet stellt es dar, wenn von vornherein möglichst wenige persönliche Daten erhoben und gespeichert werden. Internetnutzer erwarten daher, dass sie im virtuellen Leben ebenso anonym und überwachungsfrei handeln können wie es im wirklichen Leben weitgehend noch der Fall ist. Unter anderem sind dazu die folgenden Gesetzesänderungen erforderlich:
- Keine Wiedereinführung der Vorratsdatenspeicherung, um weiterhin eine anonyme Internetnutzung ohne das Risiko von Nachteilen infolge von Datenmissbrauch, Falschverdächtigung oder Datenpannen zu ermöglichen
- Erstreckung des Fernmeldegeheimnisses auf die Nutzung von Internetangeboten (Internetnutzungsgeheimnis)
- Weitergabe von Informationen über die Internetnutzung an Behörden nur unter den Voraussetzungen, die für das Abhören von Telefonen gelten
- Schaffung von Rechtssicherheit durch die Klarstellung, dass der gesetzliche Datenschutz auch für Internet-Protocol-Adressen gilt
- Verbot der Erstellung von Nutzerprofilen ohne Einwilligung des Nutzers durch Änderung des Telemediengesetzes
- Stärkung des Rechts auf anonyme Internetnutzung durch ein wirksames Koppelungsverbot im Telemediengesetz
- Schutz der Internetnutzer vor unangemessenen Datenverarbeitungs-Einwilligungsklauseln, indem klargestellt wird, dass derartige Klauseln der gerichtlichen Kontrolle unterliegen
- Keine Surfprotokollierung: Ablehnung des Vorschlags im Regierungsentwurf eines „Gesetzes zur Stärkung der Sicherheit in der Informationstechnik des Bundes“, Internetanbietern die präventive, flächendeckende Aufzeichnung des Surfverhaltens zur „Störungserkennung“ zu gestatten; Aufhebung des § 5 BSI-Gesetz
- Maßnahmen zur Gewährleistung der Datensicherheit (§ 9 BDSG) müssen dem Stand der Technik entsprechen: In den letzten Monaten sind immer wieder schwerwiegende Datenpannen mit Millionen von Betroffenen bekannt geworden, die hätten vermieden werden können, wenn die Verarbeitungssysteme auf dem Stand der Technik gewesen wären (z.B. durch Anwendung von Updates)
Für den Bereich des Telemedienrechts liegt bereits ein ausführliches Forderungspapier samt Vormulierungsvorschlägen vor, das unter anderem vom Chaos Computer Club, der Deutschen Vereinigung für Datenschutz, dem FoeBuD, dem FifF, der Humanistischen Union, dem Netzwerk Neue Medien, dem netzwerk recherche und dem Verbraucherzentrale Bundesverband unterstützt wird.4
III. Verbesserte Durchsetzung des bestehenden Schutzniveaus
Noch wichtiger als eine Erhöhung des gesetzlichen Datenschutzniveaus erscheint eine effektivere Durchsetzung des bestehenden Datenschutzrechts. Der Gesetzgeber kann die Durchsetzung des bestehenden Rechts wie folgt verbessern:
- Klarstellung, dass Datenschutzbestimmungen auch dem Schutz eines fairen Wettbewerbs dienen. Die Einhaltung des Datenschutzrechts ist wettbewerbsrelevant, weil sich hiergegen verstoßende Unternehmen im Wettbewerb mit datenschutzkonform arbeitenden Konkurrenten einen unlauteren Vorteil durch Rechtsbruch verschaffen. Bisher sind die Gerichte in Deutschland der Meinung, dass Datenschutzvorschriften nicht wettbewerbsschützend seien. Das Wettbewerbsrecht ist aber ein effizientes, unbürokratisches und erfolgreiches Rechtsdurchsetzungsinstrument, das auf den Bereich des Datenschutzes erstreckt werden sollte.
- Klagebefugnis für Verbraucher- und Datenschutzverbände einführen. Die Gerichte in Deutschland haben entschieden, dass Datenschutzvorschriften nicht verbraucherschützend seien und Verbraucherverbände den Schutz von Verbraucherdaten nicht einklagen können. Die Verbandsklagebefugnis der Verbraucherverbände ist aber ein effizientes, unbürokratisches und erfolgreiches Rechtsdurchsetzungsinstrument, das durch Erweiterung des Unterlassungsklagengesetzes auf den Bereich des Datenschutzes erstreckt und auch Datenschutzverbänden an die Hand gegeben werden sollte. Bei von Einzelnen angestrengten Prozessen wegen datenschutzwidriger Praktiken gibt es immer wieder Finanzierungsschwierigkeiten; außerdem wird das Urteil von der Gegenseite oftmals nur für den jeweiligen Kläger umgesetzt und nicht für alle Kunden.
- Einführung einer Haftung kommerzieller Hersteller und Importeure für den Fall, dass unsichere informationstechnische Produkte zu Datenschutzverletzungen führen (Produkthaftung). Im Softwarebereich wäre es sinnvoll, die Produkthaftung kommerzieller Hersteller informationstechnischer Produkte auf Vermögensschäden zu erstrecken, die dadurch entstehen, dass ein Produkt nicht wirksam (auf dem Stand der Technik) vor Computerattacken oder Datenverlust geschützt ist. Dann würden Softwarehersteller für die Folgen ihrer Sicherheitslücken („Bugs“) haften, die schon oft für Verluste persönlicher Daten und von Betriebsgeheimnissen gesorgt haben. Das Haftungsrecht ist ein sehr effektives Rechtsdurchsetzungsinstrument, wie sich etwa im Bereich der Arbeitssicherheit gezeigt hat. Es sollte auch für den Datenschutz nutzbar gemacht werden. Kommerziellen Herstellern ist die Haftung zumutbar, weil sie sich - wie in anderen Bereichen üblich - gegen das Haftungsrisiko versichern können. Die Versicherer werden über die Prämienhöhe Anreize für mehr Produktsicherheit in der Branche setzen.
- Verschuldensunabhängige Haftung für Datenschutzverletzungen mit pauschaler Entschädigungssumme. Die Datenverarbeiter sollten den von Datenpannen Betroffenen auch für immaterielle Schäden haften (z.B. Sorge um einen möglichen Missbrauch ihrer Daten infolge einer Datenpanne), und zwar verschuldensunabhängig. Ein Regelwert für den immateriellen Schaden sollte festgelegt werden (z.B. 200 Euro pro Person). Entschädigungszahlungen wegen Datenpannen könnte der für die Verarbeitung Verantwortliche vom Hersteller ersetzt verlangen (siehe oben), wenn ein unsicheres Produkt für den Schaden verantwortlich ist. Durch die Einführung einer Haftung für Datenpannen samt pauschaler Entschädigungssummen wären große Datenverarbeiter gezwungen, sich gegen Datenschutzverletzungen zu versichern. Durch die Versicherungsprämie hätten sie ein eigenes finanzielles Interesse daran, die Schadenswahrscheinlichkeit zu senken. Auf dem Gebiet der Unfallversicherung hat ein solches System bereits zu einem drastischen Rückgang der Zahl der Arbeitsunfälle geführt.
- Privacy by design: Kommerzielle informationstechnische Produkte und Dienste dürfen nicht so voreingestellt sein, dass der Verwender gegen deutsches Datenschutzrecht verstößt. Kommerzielle Computerprodukte (z.B. Software) und Dienste (z.B. Tracker, Werbung) müssen mit einer sicheren und datensparsamen Grundeinstellung angeboten werden. Dies ist derzeit leider bei den vorherrschenden amerikanischen Produkten nicht der Fall, weil es in den USA bekanntlich im privaten Bereich keinerlei Datenschutzgarantien gibt. Kommerziellen Anbietern informationstechnischer Produkte und Dienste ist es zumutbar, Produkte und Dienste für den europäischen Markt mit datenschutzkonformen Voreinstellungen anzubieten. Es ist auch gesamtwirtschaftlich sinnvoller, wenn der Hersteller sein Produkt rechtskonform gestaltet als wenn sämtliche Abnehmer das Produkt erst rechtskonform einstellen oder sogar umprogrammieren müssen. Die Datenschutzbeauftragten sollten das Recht erhalten, Anforderungen an eine datenschutzkonforme Produktgestaltung zu definieren.
- Information der Nutzer auch über die typische Dauer der Aufbewahrung ihrer Daten (§ 4 Abs. 3 BDSG). Auf der Grundlage dieser Information können die Nutzer sich für datensparsame Anbieter entscheiden und das Risiko reduzieren, Opfer von Datenpannen und Datenmissbrauch zu werden.
- Auskunftsanspruch über Datensicherheit: Den Kunden eines Unternehmens könnte ein Auskunftsanspruch bezüglich der vorhandenen Sicherheitsmechanismen zum Schutz ihrer Daten eingeräumt werden. Stellen fachlich versierte Kunden auf diese Weise Sicherheitsmängel fest, können sie die Aufsichtsbehörden darauf aufmerksam machen.
- Whistleblowing: Mitarbeiter von Unternehmen und Behörden sind eine wichtige Informationsquelle, die sich nutzen lässt, indem man eine Möglichkeit zur anonymen Erteilung von Hinweisen auf Sicherheitslücken bereit stellt und die Betroffenen gesetzlich vor Nachteilen schützt.
- Benachteiligungsverbot bei Gebrauchmachen von Datenschutzrechten: In der Praxis werden unabdingbare Regelungen des Datenschutzrechts immer wieder dadurch unterlaufen, dass Unternehmen mit einer ordentlichen Kündigung reagieren, wenn Betroffene von ihren gesetzlich garantierten Rechten Gebrauch machen. Zu diesen unabdingbaren Betroffenenrechten zählt insbesondere das Recht, Auskunft über die zur eigenen Person gespeicherten Daten verlangen zu dürfen sowie die Rechte auf Berichtigung, Löschung und Sperrung personenbezogener Daten. Es muss verboten werden, Menschen zu benachteiligen, nur weil sie von ihren gesetzlichen Datenschutzrechten Gebrauch machen.
- Zertifizierungspflicht: Im Bereich wichtiger Informationssysteme oder anlassbezogen nach dem Auftreten von Datenschutzverstößen ist eine Zertifizierungspflicht denkbar, um sicherzustellen, dass die betroffenen Systeme nach dem Stand der Technik geschützt sind. Eine Zertifizierung könnte turnusmäßig wie im Bereich der Kfz-Überwachung (Hauptuntersuchung) gefordert werden.
3. Könnte zu diesen Schutzmaßnahmen die Verpflichtung der „Identitätsprovider“ gehören, Nutzer ggf. über den Verlust ihrer Identitätsdaten zu informieren und die entsprechenden Accounts zu sperren?
pab: Eine (unzureichende) Informationspflicht über Datenverluste gibt es schon im Bundesdatenschutzgesetz. Ein Anspruch, seine Daten jederzeit löschen zu lassen, ist dort auch geregelt.
4. Sollten wir Provider verpflichten, Sicherheitstechniken wie Anti-Viren- oder Spamfilter ohne Aufpreis anzubieten?
pab: Die folgenden Angebote könnten Provider und Diensteanbieter ihren Kunden unterbreiten:
- Datenschutzfreundliche Voreinstellungen für Dienste und Software
- Datenschutzfreundliche Zusatzfunktionalitäten (Plugins) für Standardsoftware
- Datenschutzfreundliche Bundlingangebote, z.B.:
- E-Mail-Anbieter könnten ein Verschlüsselungspaket für Standard-E-Mail-Software bereit stellen
- Internet-Zugangsanbieter könnten eine Anonymisierungsoption anbieten, bei welcher der gesamte Datenverkehr verschlüsselt über einen nicht auf Vorrat speichernden Anonymisierungsdienst geleitet wird
Wichtig ist der Netzgemeinde, dass der Nutzer stets über die Aktivierung von Schutzverfahren selbst entscheiden kann (opt-in oder wenigstens opt-out) und ihm nichts aufgezwungen wird. Fortgeschrittene Internetnutzer können z.B. anstelle des vom Anbieter angebotenen Spam- oder Virenfilters andere Produkte auf ihrem eigenen Rechner einsetzen wollen. Die Verantwortung für den Schutz der eigenen Daten und IT ist bei dem Betroffenen am besten aufgehoben; es müssen allerdings die richtigen Anreize gesetzt werden. Das Fernmeldegeheimnis ist in jedem Fall zu wahren, so dass sich Kommunikationsmittler nicht in Kommunikationsprozesse einschalten dürfen, auch nicht zum vermeintlichen Schutz der Nutzer.
Damit der Nutzer die Kontrolle behält, sollte Anti-Viren-Software oder Spamfilter auf seinem eigenen Rechner laufen. Dafür sind die Provider kaum zuständig. Sinnvoller wäre es, Computer- oder Softwarehersteller zum standardmäßigen Angebot entsprechender Komponenten zu bewegen.
5. Bei der Eröffnung bspw. eines Online-Girokontos ist das sog. PostIdent-Verfahren zur Verifikation zwingend vorgeschrieben. Benötigen wir auch beim Anlegen bestimmter digitaler Identitäten eine – ggf. branchenspezifisch abgestuft – vergleichbare Lösung (z.B. mittels neuem Personalausweis oder PostIdent)?
pab: Auf keinen Fall. Die Identifizierungspflicht gegenüber Banken ist im Rechtsverkehr einmalig und mit der Begründung der Geldwäschebekämpfung eingeführt worden. Internetdienste sind damit überhaupt nicht vergleichbar. Hier ordnet das Telemediengesetz umgekehrt an, dass Angebote soweit wie möglich anonym zu erfolgen haben. Dieses Koppelungsverbot muss gestärkt werden.
Eine Identifizierungspflicht leistet Datenmissbrauch und illegalem Datenhandel geradezu Vorschub. Die Kontrolle der Nutzer über ihre Daten und die Möglichkeit, sich gegen die Erhebung unnötiger Daten durch Falschangaben zu wehren, wird durch eine Identifizierungspflicht verhindert. Unter die Räder kommt dabei, dass es durchaus legitime Gründe geben kann, einem Versandhaus nicht seinen wirklichen Namen anzuvertrauen, etwa wenn die bestellte Ware eigene Krankheiten oder auch sexuelle Aktivitäten betrifft.
Wie sich im Fall von Bank- und Kreditkarten zeigt, ist es nur eine Frage der Zeit, bis elektronische Personalausweise von Straftätern kopiert werden (Identitätsdiebstahl), um im Namen des Opfers im Internet Unheil anzurichten. In den USA führt derartiges regelmäßig zu falschen Verdächtigungen und Festnahmen. Die vermeintliche Sicherheit des Identifikationsverfahrens ist nicht gegeben, wie schon die verbreitete Weitergabe von ec-Karten-PINs zeigt.
Einen wirksamen Selbstdatenschutz im Internet bieten etwa die folgenden Maßnahmen: Das Internet sollte man ausschließlich unter Verwendung von Anonymisierungsdiensten, die nicht auf Vorrat speichern, nutzen. Man sollte sich im Internet nur unter Fantasienamen bewegen. Überflüssige Fragen im Internet sollten nicht oder nicht richtig beantwortet werden. Wenn eine E-Mail-Adresse angegeben werden muss, sollte eine anonyme Wegwerfadresse verwendet werden. Angebote von US-amerikanischen Firmen und aus anderen Staaten ohne Datenschutz sollten vermieden werden. E-Mail-Konten sollten nur bei Anbietern unterhalten werden, die auf die Erhebung (korrekter) Personendaten des Nutzers verzichten und die E-Mail-Nutzung nicht auf Vorrat speichern.
6. Wie können wir die Internetnutzer besser mit Aufklärungsangeboten erreichen? Macht es Sinn, die zahlreichen Angebote von Staat und Wirtschaft zusammenzuführen?
pab: Eine Stiftung Datentest, die den Datenschutz bei verschiedenen Internetangeboten einer Art vergleicht, Noten vergibt und die Tests kostenfrei veröffentlicht, wäre zur Aufklärung hilfreich. Denkbar ist auch, kurze Verhaltensempfehlungen als "Beipackzettel" Computern beizulegen (Beispiel). Der Staat könnte bestehende Aufklärungsinitiativen unterstützen (beispielsweise ist eine Broschüre "Surfen? – Mit Sicherheit!" des Weißen Rings seit längerem vergriffen).
7. Stichwort Kryptografie: Sollte der Einsatz kryptografischer Verfahren bei der Übermittlung von sensiblen Daten vorgeschrieben werden?
pab: Ja. Es muss vorgeschrieben werden, dass die Sicherheit personenbezogener Daten auf dem neuesten Stand der Technik zu gewährleisten ist.
II. Kriminalitätsbekämpfung allgemein
8. Brauchen wir andere (internetspezifische) Befugnisse für die Strafverfolgungsbehörden?
pab: Nein, schon die vorhandenen Befugnisse gehen zu weit und müssen auf die Verfolgung schwerer Straftaten mit richterlicher Anordnung beschränkt werden (kein präventiver oder Geheimdienstzugriff).
Inwieweit kann die Rechtsprechung des Bundesverfassungsgerichts hier als Leitfaden des rechtlich erforderlichen und rechtlich möglichen sein?
pab: Die Verfassung und die dazu ergangenen Urteile bilden nur die äußerste Grenze des rechtlich Möglichen. Sie sagen nichts darüber aus, ob staatliche Kontrolle sinnvoll und zweckmäßig ist. Die Urteile sind letzte Leitplanken vor dem Abgrund des Überwachungsstaats, keine Leitfaden.
9. Sollte die (technische und personelle) Ausstattung der Strafverfolgungsbehörden besser an das Internet angepasst werden?
pab: Ja. Auch ohne Vorratsdatenspeicherung müssen die Strafverfolgungsbehörden in der Lage sein, schnell genug zu reagieren, um einen Verdächtigen noch während der bestehenden Verbindung zu identifizieren.
Infos zur Austattung der Polizei
- Beitrag aus Extra3 zur Ausstattung von Schleswig Holsteiner KriminalbeamtInnen
Wäre beispielsweise die Einrichtung von Scherpunktstaatsanwaltschaften sinnvoll?
10. Thema Vorratsdatenspeicherung: Welche Folgen hat die Entscheidung des Bundesverfassungsgerichts für die Arbeit der Sicherheitsbehörden?
pab: Das Ende der Vorratsdatenspeicherung reduziert die Zahl der aufgeklärten Straftaten nicht und führt auch nicht zu einer Zunahme von Straftaten. Das zeigt der innerdeutsche Vergleich und auch der Vergleich mit Staaten ohne Vorratsdatenspeicherung. Die Sicherheitsbehörden müssen sich aber an die neue Situation anpassen. Auch ohne Vorratsdatenspeicherung müssen die Strafverfolgungsbehörden in der Lage sein, schnell genug zu reagieren, um einen Verdächtigen noch während der bestehenden Verbindung zu identifizieren.
Wie können wir nach dem Urteil des Bundesverfassungsgerichts die entsprechende EU-Richtlinie verfassungskonform umsetzen?
pab: Das ist nicht möglich. Die Richtlinie verstößt selbst gegen die EU-Grundrechtecharta und die Europäische Menschenrechtskonvention. Dementsprechend kann sie nicht rechtmäßig und wirksam umgesetzt werden.
Für welche Zwecke speichern die TK-Unternehmen auch nach der Entscheidung noch Verkehrsdaten?
pab: Zur Herstellung der Verbindung, danach zu Abrechnungszwecken und leider illegal auch auf Vorrat zur "Missbrauchsprävention" (§ 100 TKG).
11. Falls die Richtlinie wieder aufgehoben werden sollte: Wäre ein völliger Verzicht auf die Speicherung und Beauskunftung von Verbindungsdaten wiederum mit der Rechtsprechung des Europäischen Gerichtshof für Menschenrechte (EGMR) vereinbar, der den Staat in der Pflicht sieht, auch entsprechende Regeln vorzusehen, die die Identifikation von Straftätern im Internet ermöglichen?
pab: Der Entscheidung lag der Fall zugrunde, dass jemand eine sexuelle Kontaktanzeige im Namen eines Minderjährigen mit dessen Foto in das Internet eingestellt hatte. Der Gerichtshof entschied, dass Finnland kein Gesetz verabschieden durfte, welches die Identifizierung des Anschlussinhabers durch dessen Zugangsanbieter verbot. Diese Entscheidung verlangt aber keine Vorratsdatenspeicherung, sondern lediglich die Herausgabe ohnehin vorhandener Daten zur Ermittlung wegen schwerer Straftaten. In dem entschiedenen Fall verfügte der finnische Internetanbieter ohnehin über die Daten, die eine Identifizierung des mutmaßlichen Täters ermöglicht hätten; das finnische Recht erlaubte nur die Herausgabe dieser Daten nicht. Der Gerichtshof hat mit seiner Entscheidung beanstandet, dass das finnische Recht einen Zugriff auf ohnehin vorhandene Daten selbst zur Aufklärung einer vom Gerichtshof als schwer angesehenen Straftat (sexuelle Verleumdung eines Kindes in der Öffentlichkeit, welche das Kind der Gefahr sexueller Übergriffe aussetzte) nicht zuließ. Dass der Staat zur Aufklärung schwerer Straftaten auf ohnehin zu betrieblichen Zwecken gespeicherte Daten zugreifen darf, stellen wir nicht in Frage. Der Gerichtshof hat in der genannten Entscheidung demgegenüber nicht gefordert oder zugelassen, zur Aufklärung möglicher zukünftiger Straftaten rein vorsorglich das Kommunikations- und Bewegungsverhalten der gesamten Bevölkerung erfassen zu lassen. Gegen diese Annahme spricht auch die Anmerkung des Gerichtshofs, wonach Finnland das „Defizit“ in seinem Prozessrecht in einem späteren „Gesetz über die Ausübung der Meinungsfreiheit in Massenmedien“ angegangen sei. Dieses Gesetz sah eine Befugnis zur Identifizierung von Kommunikationsteilnehmern auf richterliche Anordnung vor, nicht jedoch eine anlasslose und flächendeckende Vorratsdatenspeicherung.
Welche Alternativen wären denkbar?
pab: Es wäre aus meiner Sicht sinnvoll, wenn die Polizei während einer bestehenden Internetverbindung „auf Zuruf“ die Erfassung und vorläufige Aufbewahrung („preservation“) der aktuellen Zuordnung einer dynamischen IP-Adresse durch einen Internet-Zugangsanbieter erreichen könnte. Die Zeit, die bis zu einer solchen Erfassung verstreicht, sollte minimiert werden, sowohl auf Seiten der Polizei wie auch auf Seiten der Provider, um auch ohne Vorratsdatenspeicherung eine angemessene, also mindestens durchschnittliche (55%) Aufklärungsquote bei Internetdelikten zu gewährleisten.
Ein internationales Netz braucht international gültige Vereinbarungen. Wer/was setzt sie um? Brauchen wir neue Instrumente?
Warum ist Deutschland hinter den USA Spitzenreiter bzgl. der Anzahl an Servern mit kinderpornographischen Inhalten (199 laut Dän. Polizei)?
Abmahnung - Unterbinden der direkten Kostenforderung bei Erstanschreiben. Warum hat der Gesetzgeber sich dieses Themas noch nicht angenommen?
Welche Maßnahmen sind zur Eindämmung der Internetkriminalität (z.B. auch "Abo-Fallen") möglich und angedacht? (z.B. Strafverschärfung)?
Weitere Punkte zum Schutz vor Kriminalität im Internet
Was wollen wir De Maizière sonst noch empfehlen?
Fußnoten