BMI-Netzpolitik

Aus Freiheit statt Angst!

(Unterschied zwischen Versionen)

Version vom 16:58, 21. Mai 2010

Das Bundesinnenministerium und die Beauftragte der Bundesregierung für Informationstechnik bieten vier Dialogveranstaltungen unter dem Titel "Perspektiven Deutscher Netzpolitik" an:

Datenschutz und Datensicherheit im Internet (18.01.2010)
Das Internet als Mehrwert erhalten (24.03.2010)
Staatliche Angebote im Internet
Schutz der Bürger vor Identitätsdiebstahl und sonstiger Kriminalität im Internet

Inhaltsverzeichnis

1 1. Dialog "Datenschutz und Datensicherheit im Internet" (18.01.2010)
2 2. Dialog "Das Internet als Mehrwert erhalten" (24.03.2010)
3 3. Dialog "Staatliche Angebote im Internet"
4 4. Dialog "Schutz der Bürger vor Identitätsdiebstahl und sonstiger Kriminalität im Internet" (01.06.2010)
5 Siehe auch

1. Dialog "Datenschutz und Datensicherheit im Internet" (18.01.2010)

Siehe Bericht

2. Dialog "Das Internet als Mehrwert erhalten" (24.03.2010)

Siehe Bericht

3. Dialog "Staatliche Angebote im Internet"

(keine Einladung)

4. Dialog "Schutz der Bürger vor Identitätsdiebstahl und sonstiger Kriminalität im Internet" (01.06.2010)

Ein Mitglied des AK Vorrat ist wieder zu dem vierten Termin am 1. Juni eingeladen.

Auf dieser Seite sammeln wir unsere Positionen, die in den Gesprächen ggf. angesprochen werden können.

Bitte tragt eure Ideen zu den Fragen des Innenministers hier ein:

I. Schwerpunkt Identitätsdiebstahl

1. Was verstehen wir eigentlich unter einer digitalen Identität und ihrem „Diebstahl“?

2. Müssen wir die Anbieter digitaler Identitäten („Identitätsprovider“) – branchenspezifisch abgestuft – verpflichten, einen besseren Schutz der eingerichteten Identitäten sicherzustellen (z.B. SSL-Verschlüsselung bei Erstellung der Identität, sichere Passwörter)? Auferlegen die Entscheidungen des Bundesverfassungsgerichts (insbesondere zur Online-Durchsuchung und Vorratsdatenspeicherung) dem Staat hier Handlungspflichten?

pab: Unternehmen und Behörden brauchen kein staatlich reglementiertes Verfahren zur Authentifizierung via Internet. Bei kostenpflichtigen Leistungen muss ohnehin nur die Zahlung sicher gestellt werden, nicht auch die Identität des Nutzers. Die Zahlung kann anonym über Vorkasse oder anonyme Online-Bezahldienste (z.B. Paysafecard, Ukash) erfolgen. Bei nachträglicher Zahlung kann mit Einwilligung des Kunden eine Bonitätsauskunft eingeholt werden.

Kommt es tatsächlich auf die Identität des Nutzers an, kann dieser auf verschiedene Weise authentifiziert werden: Durch Anforderung einer Unterschrift per Post oder Fax, durch Erhebung einer Bank- oder Kreditkartenverbindung, durch das PostIdent-Verfahren oder durch eine persönliche Registrierung unter Vorzeigen eines Ausweisdokuments. Die vorhandenen Verfahren haben sich im Wirtschaftsleben bewährt.

Die Entscheidungen des Bundesverfassungsgerichts haben mit Identitätsprovidern nichts zu tun. Der Staat muss die Bürger besser vor Datenmissbrauch schützen, indem er sie besser vor der Ansammlung personenbezogener Daten schützt. Nur gelöschte oder anonyme Daten sind sichere Daten. Aus unserem Papier zum ersten Dialog:

I. Nicht-legislative Instrumente

Die folgenden nicht-legislativen Instrumente können den Datenschutz im Internet und den Selbstdatenschutz verbessern:

1. Information

positiv: Information über die Bedeutung des Datenschutzes und über Möglichkeiten, ihn zu verbessern (z.B. in Schulen, durch Freiheitsredner1)
positiv: Auszeichnung datensparsamer und datensicherer Angebote (Gütesiegel)
positiv/negativ: vergleichende Bewertung des Datenschutzniveaus („Stiftung Datentest“)

2. Finanzielle Anreize

positiv: Subventionen und Steuervorteile für datensparsame und datensichere Produkte und Dienstleistungen
positiv: Finanzielle Förderung der Forschung und Entwicklung datensparsamer und datensicherer Technologien (privacy-enhanced technologies)
positiv: Finanzielle Förderung privater Initiativen zur Information über die Bedeutung des Datenschutzes und über Möglichkeiten seiner Umsetzung (z.B. Freiheitsredner)
positiv: Der Bund beschafft für den Eigengebrauch nur noch datensparsame und datensichere IT-Produkte.
positiv: Verpflichtet der Staat Private zur Datensammlung, muss er sie vollständig entschädigen, damit die Finanzierung der erforderlichen Datensicherheitsvorkehrungen auch bei kleinen Unternehmen gewährleistet ist.
negativ: Risiken von Datenschutzverstößen durch verbesserte Ausstattung und wirkliche Unabhängigkeit der Aufsichtsbehörden erhöhen

3. Vorbildrolle des Staates

Der Staat muss die eigene Ansammlung von Informationen und Verpflichtungen Privater zur Datensammlung (z.B. Vorratsdatenspeicherung) abbauen und selbst ein hohes Datenschutzniveau gewährleisten.

II. Erhöhung des gesetzlichen Schutzniveaus

Der Gesetzgeber hat weitere Möglichkeiten, Datenschutz und Datensicherheit im Internet zu verbessern. Möglich ist erstens eine Verbesserung des gesetzlichen, materiellen Schutzniveaus. Den besten und einzig wirksamen Schutz vor Datendiebstahl und Datenmissbrauch im Internet stellt es dar, wenn von vornherein möglichst wenige persönliche Daten erhoben und gespeichert werden. Internetnutzer erwarten daher, dass sie im virtuellen Leben ebenso anonym und überwachungsfrei handeln können wie es im wirklichen Leben weitgehend noch der Fall ist. Unter anderem sind dazu die folgenden Gesetzesänderungen erforderlich:

Keine Wiedereinführung der Vorratsdatenspeicherung, um weiterhin eine anonyme Internetnutzung ohne das Risiko von Nachteilen infolge von Datenmissbrauch, Falschverdächtigung oder Datenpannen zu ermöglichen
Erstreckung des Fernmeldegeheimnisses auf die Nutzung von Internetangeboten (Internetnutzungsgeheimnis)
Weitergabe von Informationen über die Internetnutzung an Behörden nur unter den Voraussetzungen, die für das Abhören von Telefonen gelten
Schaffung von Rechtssicherheit durch die Klarstellung, dass der gesetzliche Datenschutz auch für Internet-Protocol-Adressen gilt
Verbot der Erstellung von Nutzerprofilen ohne Einwilligung des Nutzers durch Änderung des Telemediengesetzes
Stärkung des Rechts auf anonyme Internetnutzung durch ein wirksames Koppelungsverbot im Telemediengesetz
Schutz der Internetnutzer vor unangemessenen Datenverarbeitungs-Einwilligungsklauseln, indem klargestellt wird, dass derartige Klauseln der gerichtlichen Kontrolle unterliegen
Keine Surfprotokollierung: Ablehnung des Vorschlags im Regierungsentwurf eines „Gesetzes zur Stärkung der Sicherheit in der Informationstechnik des Bundes“, Internetanbietern die präventive, flächendeckende Aufzeichnung des Surfverhaltens zur „Störungserkennung“ zu gestatten; Aufhebung des § 5 BSI-Gesetz
Maßnahmen zur Gewährleistung der Datensicherheit (§ 9 BDSG) müssen dem Stand der Technik entsprechen: In den letzten Monaten sind immer wieder schwerwiegende Datenpannen mit Millionen von Betroffenen bekannt geworden, die hätten vermieden werden können, wenn die Verarbeitungssysteme auf dem Stand der Technik gewesen wären (z.B. durch Anwendung von Updates)

Für den Bereich des Telemedienrechts liegt bereits ein ausführliches Forderungspapier samt Vormulierungsvorschlägen vor, das unter anderem vom Chaos Computer Club, der Deutschen Vereinigung für Datenschutz, dem FoeBuD, dem FifF, der Humanistischen Union, dem Netzwerk Neue Medien, dem netzwerk recherche und dem Verbraucherzentrale Bundesverband unterstützt wird.4

III. Verbesserte Durchsetzung des bestehenden Schutzniveaus

Noch wichtiger als eine Erhöhung des gesetzlichen Datenschutzniveaus erscheint eine effektivere Durchsetzung des bestehenden Datenschutzrechts. Der Gesetzgeber kann die Durchsetzung des bestehenden Rechts wie folgt verbessern:

Klarstellung, dass Datenschutzbestimmungen auch dem Schutz eines fairen Wettbewerbs dienen. Die Einhaltung des Datenschutzrechts ist wettbewerbsrelevant, weil sich hiergegen verstoßende Unternehmen im Wettbewerb mit datenschutzkonform arbeitenden Konkurrenten einen unlauteren Vorteil durch Rechtsbruch verschaffen. Bisher sind die Gerichte in Deutschland der Meinung, dass Datenschutzvorschriften nicht wettbewerbsschützend seien. Das Wettbewerbsrecht ist aber ein effizientes, unbürokratisches und erfolgreiches Rechtsdurchsetzungsinstrument, das auf den Bereich des Datenschutzes erstreckt werden sollte.
Klagebefugnis für Verbraucher- und Datenschutzverbände einführen. Die Gerichte in Deutschland haben entschieden, dass Datenschutzvorschriften nicht verbraucherschützend seien und Verbraucherverbände den Schutz von Verbraucherdaten nicht einklagen können. Die Verbandsklagebefugnis der Verbraucherverbände ist aber ein effizientes, unbürokratisches und erfolgreiches Rechtsdurchsetzungsinstrument, das durch Erweiterung des Unterlassungsklagengesetzes auf den Bereich des Datenschutzes erstreckt und auch Datenschutzverbänden an die Hand gegeben werden sollte. Bei von Einzelnen angestrengten Prozessen wegen datenschutzwidriger Praktiken gibt es immer wieder Finanzierungsschwierigkeiten; außerdem wird das Urteil von der Gegenseite oftmals nur für den jeweiligen Kläger umgesetzt und nicht für alle Kunden.
Einführung einer Haftung kommerzieller Hersteller und Importeure für den Fall, dass unsichere informationstechnische Produkte zu Datenschutzverletzungen führen (Produkthaftung). Im Softwarebereich wäre es sinnvoll, die Produkthaftung kommerzieller Hersteller informationstechnischer Produkte auf Vermögensschäden zu erstrecken, die dadurch entstehen, dass ein Produkt nicht wirksam (auf dem Stand der Technik) vor Computerattacken oder Datenverlust geschützt ist. Dann würden Softwarehersteller für die Folgen ihrer Sicherheitslücken („Bugs“) haften, die schon oft für Verluste persönlicher Daten und von Betriebsgeheimnissen gesorgt haben. Das Haftungsrecht ist ein sehr effektives Rechtsdurchsetzungsinstrument, wie sich etwa im Bereich der Arbeitssicherheit gezeigt hat. Es sollte auch für den Datenschutz nutzbar gemacht werden. Kommerziellen Herstellern ist die Haftung zumutbar, weil sie sich - wie in anderen Bereichen üblich - gegen das Haftungsrisiko versichern können. Die Versicherer werden über die Prämienhöhe Anreize für mehr Produktsicherheit in der Branche setzen.
Verschuldensunabhängige Haftung für Datenschutzverletzungen mit pauschaler Entschädigungssumme. Die Datenverarbeiter sollten den von Datenpannen Betroffenen auch für immaterielle Schäden haften (z.B. Sorge um einen möglichen Missbrauch ihrer Daten infolge einer Datenpanne), und zwar verschuldensunabhängig. Ein Regelwert für den immateriellen Schaden sollte festgelegt werden (z.B. 200 Euro pro Person). Entschädigungszahlungen wegen Datenpannen könnte der für die Verarbeitung Verantwortliche vom Hersteller ersetzt verlangen (siehe oben), wenn ein unsicheres Produkt für den Schaden verantwortlich ist. Durch die Einführung einer Haftung für Datenpannen samt pauschaler Entschädigungssummen wären große Datenverarbeiter gezwungen, sich gegen Datenschutzverletzungen zu versichern. Durch die Versicherungsprämie hätten sie ein eigenes finanzielles Interesse daran, die Schadenswahrscheinlichkeit zu senken. Auf dem Gebiet der Unfallversicherung hat ein solches System bereits zu einem drastischen Rückgang der Zahl der Arbeitsunfälle geführt.
Privacy by design: Kommerzielle informationstechnische Produkte und Dienste dürfen nicht so voreingestellt sein, dass der Verwender gegen deutsches Datenschutzrecht verstößt. Kommerzielle Computerprodukte (z.B. Software) und Dienste (z.B. Tracker, Werbung) müssen mit einer sicheren und datensparsamen Grundeinstellung angeboten werden. Dies ist derzeit leider bei den vorherrschenden amerikanischen Produkten nicht der Fall, weil es in den USA bekanntlich im privaten Bereich keinerlei Datenschutzgarantien gibt. Kommerziellen Anbietern informationstechnischer Produkte und Dienste ist es zumutbar, Produkte und Dienste für den europäischen Markt mit datenschutzkonformen Voreinstellungen anzubieten. Es ist auch gesamtwirtschaftlich sinnvoller, wenn der Hersteller sein Produkt rechtskonform gestaltet als wenn sämtliche Abnehmer das Produkt erst rechtskonform einstellen oder sogar umprogrammieren müssen. Die Datenschutzbeauftragten sollten das Recht erhalten, Anforderungen an eine datenschutzkonforme Produktgestaltung zu definieren.
Information der Nutzer auch über die typische Dauer der Aufbewahrung ihrer Daten (§ 4 Abs. 3 BDSG). Auf der Grundlage dieser Information können die Nutzer sich für datensparsame Anbieter entscheiden und das Risiko reduzieren, Opfer von Datenpannen und Datenmissbrauch zu werden.
Auskunftsanspruch über Datensicherheit: Den Kunden eines Unternehmens könnte ein Auskunftsanspruch bezüglich der vorhandenen Sicherheitsmechanismen zum Schutz ihrer Daten eingeräumt werden. Stellen fachlich versierte Kunden auf diese Weise Sicherheitsmängel fest, können sie die Aufsichtsbehörden darauf aufmerksam machen.
Whistleblowing: Mitarbeiter von Unternehmen und Behörden sind eine wichtige Informationsquelle, die sich nutzen lässt, indem man eine Möglichkeit zur anonymen Erteilung von Hinweisen auf Sicherheitslücken bereit stellt und die Betroffenen gesetzlich vor Nachteilen schützt.
Benachteiligungsverbot bei Gebrauchmachen von Datenschutzrechten: In der Praxis werden unabdingbare Regelungen des Datenschutzrechts immer wieder dadurch unterlaufen, dass Unternehmen mit einer ordentlichen Kündigung reagieren, wenn Betroffene von ihren gesetzlich garantierten Rechten Gebrauch machen. Zu diesen unabdingbaren Betroffenenrechten zählt insbesondere das Recht, Auskunft über die zur eigenen Person gespeicherten Daten verlangen zu dürfen sowie die Rechte auf Berichtigung, Löschung und Sperrung personenbezogener Daten. Es muss verboten werden, Menschen zu benachteiligen, nur weil sie von ihren gesetzlichen Datenschutzrechten Gebrauch machen.
Zertifizierungspflicht: Im Bereich wichtiger Informationssysteme oder anlassbezogen nach dem Auftreten von Datenschutzverstößen ist eine Zertifizierungspflicht denkbar, um sicherzustellen, dass die betroffenen Systeme nach dem Stand der Technik geschützt sind. Eine Zertifizierung könnte turnusmäßig wie im Bereich der Kfz-Überwachung (Hauptuntersuchung) gefordert werden.

3. Könnte zu diesen Schutzmaßnahmen die Verpflichtung der „Identitätsprovider“ gehören, Nutzer ggf. über den Verlust ihrer Identitätsdaten zu informieren und die entsprechenden Accounts zu sperren?

pab: Eine (unzureichende) Informationspflicht über Datenverluste gibt es schon im Bundesdatenschutzgesetz. Ein Anspruch, seine Daten jederzeit löschen zu lassen, ist dort auch geregelt.

4. Sollten wir Provider verpflichten, Sicherheitstechniken wie Anti-Viren- oder Spamfilter ohne Aufpreis anzubieten?

pab: Die folgenden Angebote könnten Provider und Diensteanbieter ihren Kunden unterbreiten:

Datenschutzfreundliche Voreinstellungen für Dienste und Software
Datenschutzfreundliche Zusatzfunktionalitäten (Plugins) für Standardsoftware
Datenschutzfreundliche Bundlingangebote, z.B.:

- E-Mail-Anbieter könnten ein Verschlüsselungspaket für Standard-E-Mail-Software bereit stellen
- Internet-Zugangsanbieter könnten eine Anonymisierungsoption anbieten, bei welcher der gesamte Datenverkehr verschlüsselt über einen nicht auf Vorrat speichernden Anonymisierungsdienst geleitet wird

Wichtig ist der Netzgemeinde, dass der Nutzer stets über die Aktivierung von Schutzverfahren selbst entscheiden kann (opt-in oder wenigstens opt-out) und ihm nichts aufgezwungen wird. Fortgeschrittene Internetnutzer können z.B. anstelle des vom Anbieter angebotenen Spam- oder Virenfilters andere Produkte auf ihrem eigenen Rechner einsetzen wollen. Die Verantwortung für den Schutz der eigenen Daten und IT ist bei dem Betroffenen am besten aufgehoben; es müssen allerdings die richtigen Anreize gesetzt werden. Das Fernmeldegeheimnis ist in jedem Fall zu wahren, so dass sich Kommunikationsmittler nicht in Kommunikationsprozesse einschalten dürfen, auch nicht zum vermeintlichen Schutz der Nutzer.

Damit der Nutzer die Kontrolle behält, sollte Anti-Viren-Software oder Spamfilter auf seinem eigenen Rechner laufen. Dafür sind die Provider kaum zuständig. Sinnvoller wäre es, Computer- oder Softwarehersteller zum standardmäßigen Angebot entsprechender Komponenten zu bewegen.

5. Bei der Eröffnung bspw. eines Online-Girokontos ist das sog. PostIdent-Verfahren zur Verifikation zwingend vorgeschrieben. Benötigen wir auch beim Anlegen bestimmter digitaler Identitäten eine – ggf. branchenspezifisch abgestuft – vergleichbare Lösung (z.B. mittels neuem Personalausweis oder PostIdent)?

pab: Auf keinen Fall. Die Identifizierungspflicht gegenüber Banken ist im Rechtsverkehr einmalig und mit der Begründung der Geldwäschebekämpfung eingeführt worden. Internetdienste sind damit überhaupt nicht vergleichbar. Hier ordnet das Telemediengesetz umgekehrt an, dass Angebote soweit wie möglich anonym zu erfolgen haben. Dieses Koppelungsverbot muss gestärkt werden.

Eine Identifizierungspflicht leistet Datenmissbrauch und illegalem Datenhandel geradezu Vorschub. Die Kontrolle der Nutzer über ihre Daten und die Möglichkeit, sich gegen die Erhebung unnötiger Daten durch Falschangaben zu wehren, wird durch eine Identifizierungspflicht verhindert. Unter die Räder kommt dabei, dass es durchaus legitime Gründe geben kann, einem Versandhaus nicht seinen wirklichen Namen anzuvertrauen, etwa wenn die bestellte Ware eigene Krankheiten oder auch sexuelle Aktivitäten betrifft.

Wie sich im Fall von Bank- und Kreditkarten zeigt, ist es nur eine Frage der Zeit, bis elektronische Personalausweise von Straftätern kopiert werden (Identitätsdiebstahl), um im Namen des Opfers im Internet Unheil anzurichten. In den USA führt derartiges regelmäßig zu falschen Verdächtigungen und Festnahmen. Die vermeintliche Sicherheit des Identifikationsverfahrens ist nicht gegeben, wie schon die verbreitete Weitergabe von ec-Karten-PINs zeigt.

Einen wirksamen Selbstdatenschutz im Internet bieten etwa die folgenden Maßnahmen: Das Internet sollte man ausschließlich unter Verwendung von Anonymisierungsdiensten, die nicht auf Vorrat speichern, nutzen. Man sollte sich im Internet nur unter Fantasienamen bewegen. Überflüssige Fragen im Internet sollten nicht oder nicht richtig beantwortet werden. Wenn eine E-Mail-Adresse angegeben werden muss, sollte eine anonyme Wegwerfadresse verwendet werden. Angebote von US-amerikanischen Firmen und aus anderen Staaten ohne Datenschutz sollten vermieden werden. E-Mail-Konten sollten nur bei Anbietern unterhalten werden, die auf die Erhebung (korrekter) Personendaten des Nutzers verzichten und die E-Mail-Nutzung nicht auf Vorrat speichern.

6. Wie können wir die Internetnutzer besser mit Aufklärungsangeboten erreichen? Macht es Sinn, die zahlreichen Angebote von Staat und Wirtschaft zusammenzuführen?

pab: Eine Stiftung Datentest, die den Datenschutz bei verschiedenen Internetangeboten einer Art vergleicht, Noten vergibt und die Tests kostenfrei veröffentlicht, wäre zur Aufklärung hilfreich. Denkbar ist auch, kurze Verhaltensempfehlungen als "Beipackzettel" Computern beizulegen (Beispiel).

7. Stichwort Kryptografie: Sollte der Einsatz kryptografischer Verfahren bei der Übermittlung von sensiblen Daten vorgeschrieben werden?

pab: Ja. Es muss vorgeschrieben werden, dass die Sicherheit personenbezogener Daten auf dem neuesten Stand der Technik zu gewährleisten ist.

II. Kriminalitätsbekämpfung allgemein

8. Brauchen wir andere (internetspezifische) Befugnisse für die Strafverfolgungsbehörden?

pab: Nein, schon die vorhandenen Befugnisse gehen zu weit und müssen auf die Verfolgung schwerer Straftaten mit richterlicher Anordnung beschränkt werden (kein präventiver oder Geheimdienstzugriff).

Inwieweit kann die Rechtsprechung des Bundesverfassungsgerichts hier als Leitfaden des rechtlich erforderlichen und rechtlich möglichen sein?

pab: Die Verfassung und die dazu ergangenen Urteile bilden nur die äußerste Grenze des rechtlich Möglichen. Sie sagen nichts darüber aus, ob staatliche Kontrolle sinnvoll und zweckmäßig ist. Die Urteile sind letzte Leitplanken vor dem Abgrund des Überwachungsstaats, keine Leitfaden.

9. Sollte die (technische und personelle) Ausstattung der Strafverfolgungsbehörden besser an das Internet angepasst werden?

pab: Ja. Auch ohne Vorratsdatenspeicherung müssen die Strafverfolgungsbehörden in der Lage sein, schnell genug zu reagieren, um einen Verdächtigen noch während der bestehenden Verbindung zu identifizieren.

Wäre beispielsweise die Einrichtung von Scherpunktstaatsanwaltschaften sinnvoll?

10. Thema Vorratsdatenspeicherung: Welche Folgen hat die Entscheidung des Bundesverfassungsgerichts für die Arbeit der Sicherheitsbehörden?

pab: Das Ende der Vorratsdatenspeicherung reduziert die Zahl der aufgeklärten Straftaten nicht und führt auch nicht zu einer Zunahme von Straftaten. Das zeigt der innerdeutsche Vergleich und auch der Vergleich mit Staaten ohne Vorratsdatenspeicherung. Die Sicherheitsbehörden müssen sich aber an die neue Situation anpassen. Auch ohne Vorratsdatenspeicherung müssen die Strafverfolgungsbehörden in der Lage sein, schnell genug zu reagieren, um einen Verdächtigen noch während der bestehenden Verbindung zu identifizieren.

Wie können wir nach dem Urteil des Bundesverfassungsgerichts die entsprechende EU-Richtlinie verfassungskonform umsetzen?

pab: Das ist nicht möglich. Die Richtlinie verstößt selbst gegen die EU-Grundrechtecharta und die Europäische Menschenrechtskonvention. Dementsprechend kann sie nicht rechtmäßig und wirksam umgesetzt werden.

Für welche Zwecke speichern die TK-Unternehmen auch nach der Entscheidung noch Verkehrsdaten?

pab: Zur Herstellung der Verbindung, danach zu Abrechnungszwecken und leider illegal auch auf Vorrat zur "Missbrauchsprävention" (§ 100 TKG).

11. Falls die Richtlinie wieder aufgehoben werden sollte: Wäre ein völliger Verzicht auf die Speicherung und Beauskunftung von Verbindungsdaten wiederum mit der Rechtsprechung des Europäischen Gerichtshof für Menschenrechte (EGMR) vereinbar, der den Staat in der Pflicht sieht, auch entsprechende Regeln vorzusehen, die die Identifikation von Straftätern im Internet ermöglichen?

pab: Der Entscheidung lag der Fall zugrunde, dass jemand eine sexuelle Kontaktanzeige im Namen eines Minderjährigen mit dessen Foto in das Internet eingestellt hatte. Der Gerichtshof entschied, dass Finnland kein Gesetz verabschieden durfte, welches die Identifizierung des Anschlussinhabers durch dessen Zugangsanbieter verbot. Diese Entscheidung verlangt aber keine Vorratsdatenspeicherung, sondern lediglich die Herausgabe ohnehin vorhandener Daten zur Ermittlung wegen schwerer Straftaten. In dem entschiedenen Fall verfügte der finnische Internetanbieter ohnehin über die Daten, die eine Identifizierung des mutmaßlichen Täters ermöglicht hätten; das finnische Recht erlaubte nur die Herausgabe dieser Daten nicht. Der Gerichtshof hat mit seiner Entscheidung beanstandet, dass das finnische Recht einen Zugriff auf ohnehin vorhandene Daten selbst zur Aufklärung einer vom Gerichtshof als schwer angesehenen Straftat (sexuelle Verleumdung eines Kindes in der Öffentlichkeit, welche das Kind der Gefahr sexueller Übergriffe aussetzte) nicht zuließ. Dass der Staat zur Aufklärung schwerer Straftaten auf ohnehin zu betrieblichen Zwecken gespeicherte Daten zugreifen darf, stellen wir nicht in Frage. Der Gerichtshof hat in der genannten Entscheidung demgegenüber nicht gefordert oder zugelassen, zur Aufklärung möglicher zukünftiger Straftaten rein vorsorglich das Kommunikations- und Bewegungsverhalten der gesamten Bevölkerung erfassen zu lassen. Gegen diese Annahme spricht auch die Anmerkung des Gerichtshofs, wonach Finnland das „Defizit“ in seinem Prozessrecht in einem späteren „Gesetz über die Ausübung der Meinungsfreiheit in Massenmedien“ angegangen sei. Dieses Gesetz sah eine Befugnis zur Identifizierung von Kommunikationsteilnehmern auf richterliche Anordnung vor, nicht jedoch eine anlasslose und flächendeckende Vorratsdatenspeicherung.

Welche Alternativen wären denkbar?

pab: Es wäre aus meiner Sicht sinnvoll, wenn die Polizei während einer bestehenden Internetverbindung „auf Zuruf“ die Erfassung und vorläufige Aufbewahrung („preservation“) der aktuellen Zuordnung einer dynamischen IP-Adresse durch einen Internet-Zugangsanbieter erreichen könnte. Die Zeit, die bis zu einer solchen Erfassung verstreicht, sollte minimiert werden, sowohl auf Seiten der Polizei wie auch auf Seiten der Provider, um auch ohne Vorratsdatenspeicherung eine angemessene, also mindestens durchschnittliche (55%) Aufklärungsquote bei Internetdelikten zu gewährleisten.

@@ Zeile 12: / Zeile 12: @@
 ==2. Dialog "Das Internet als Mehrwert erhalten" (24.03.2010)==
-Ein Mitglied des AK Vorrat ist auch zu dem zweiten Termin 24. März 2010 eingeladen. [http://www.vorratsdatenspeicherung.de/images/Einladung_BMI-Netzpolitik_2010-02-25.pdf Einladung], [http://www.vorratsdatenspeicherung.de/images/Flyer_BMI-Netzpolitik_2010-02-25.pdf Tagesordnung und Teilnehmerliste] finden sich hier.
+Siehe [http://www.vorratsdatenspeicherung.de/content/view/361/55/lang,de/ Bericht]
-Auf dieser Seite sammeln wir Positionen, die in den Gesprächen ggf. angesprochen werden können, und entwerfen eine schriftliche Stellungnahme.
+==3. Dialog "Staatliche Angebote im Internet"==
-Bitte tragt eure Ideen zu den [http://www.vorratsdatenspeicherung.de/images/Flyer_BMI-Netzpolitik_2010-02-25.pdf Fragen] des Innenministers hier ein:
+(keine Einladung)
-===Illegale Inhalte===
+==4. Dialog "Schutz der Bürger vor Identitätsdiebstahl und sonstiger Kriminalität im Internet" (01.06.2010)==
-====Wie gehen wir mit Konflikten zwischen der Freiheit des Informationszugangs und der Bekämpfung rechtswidriger Inhalte im Internet um?====
+Ein Mitglied des AK Vorrat ist wieder zu dem vierten Termin am 1. Juni eingeladen.
-pab:
+Auf dieser Seite sammeln wir unsere Positionen, die in den Gesprächen ggf. angesprochen werden können.
-*Eine '''Gefährdung von Leib, Leben oder Freiheit durch illegale Inhalte''' im Internet ist in aller Regel ausgeschlossen.
-*Es ist nicht nachgewiesen, dass es durch die '''leichtere Verfügbarkeit''' illegaler Inhalte mehr Anhänger von Kinderpornografie, Rassismus usw. gäbe. In Dänemark gab es bis 1967 steigende Zahlen für die Herstellung und den Absatz verbotener pornographischer Literatur. Schon zwei Jahre nach der Aufhebung diesbezüglicher Verbotsbestimmungen gingen diese Zahlen rapide zurück. Dementsprechend lässt sich auch in anderen Bereichen nicht von vornherein behaupten, dass die Zugänglichkeit illegaler Inhalte über das Internet sozial schädlich sei.
-*Rechtswidrige Inhalte im Internet sind '''schon nach derzeitiger Rechtslage''' zu löschen.
-*Die Annahme präventiver Verhinderungspflichten durch die Rechtsprechung ("'''Störerhaftung'''") ist mit den Grundrechten der Anbieter und Nutzer nicht vereinbar. Berufsfreiheit und Meinungsfreiheit im Internet sind wieder herzustellen, indem klarzustellen ist, dass Informationsanbieter keine privatpolizeilichen Präventivpflichten treffen. Der Ausschluss privatpolizeilicher Präventivpflichten sichert sowohl die Grundlagen einer freien Informationsgesellschaft wie auch die Voraussetzungen einer erfolgreichen Informationswirtschaft als Zukunftstechnologie in Deutschland.
-*'''Nur bereits vorhandene''', rechtsverletzende Inhalte müssen entfernt oder gesperrt werden, nicht etwa mögliche zukünftige rechtsverletzende Inhalte, von denen der Anbieter keine Kenntnis hat. Anbieter sind danach zur zukünftigen Unterlassung – eigentlich Verhinderung – von Rechtsverletzungen erst ab Kenntnis von dem konkreten Verstoß zu verpflichten.
-*Diensteanbieter dürfen zur Entfernung oder Sperrung von Informationen nur verpflichtet werden, wenn der Anspruchsteller eine entsprechende, '''vollstreckbare Gerichtsentscheidung''' vorlegt. Für Inhalteanbieter hat diese Regelung den Vorteil, dass die Gefahr einer voreiligen Sperrung von Angeboten ohne gerichtliche Prüfung eingedämmt wird. Auch „Abmahnwellen“ gegen Hoster werden auf diese Weise unterbunden. Diensteanbieter sind von den Kosten der erstinstanzlichen gerichtlichen Prüfung freizuhalten. Diese Regelung stärkt die Meinungsfreiheit in der Informationsgesellschaft und beseitigt die für Internet-Informationsmittler bisher bestehende Rechtsunsicherheit.
-====Wie können rechtliche Instrumente ausgestaltet werden, um illegale Inhalte zu bekämpfen, ohne die Freiheitsrechte der Beteiligten mehr als notwendig einzuschränken?====
+Bitte tragt eure Ideen zu den Fragen des Innenministers hier ein:
-====Welche Verantwortung haben Internet-Dienstleister bei der Bekämpfung illegaler Inhalte?====
+===I. Schwerpunkt Identitätsdiebstahl===
-Thomas Lambeck:
-* Auf Gefahren hinweisen, wenn Diensteanbieter "in Pakete schauen" können?
-** Gedanken aus [http://www.netzpolitik.org/wp-upload/netzneutralit%C3%A4t.pdf Artikel auf Netzpolitik.org] (Vortrag vom 26C3):
-*** Netzbetreiber verletzten die Netzneutralität, um unerwünschte Inhalte auszuschließen und eigene Gewinne zu steigern, indem sie Anwendungen ausschließen oder blocken.
-*** "Skype wird in vielen Mobilnetzen geblockt, weil man selber Geld mit Telefonaten macht."
-*** "Comcast hat in den USA Bittorrent geblockt, weil das Protokoll das Potential hat, sich zu einer Distributionsplattform zu entwickeln, die mit Comcasts Video on Demand Service konkurriert."
-*** "Der kanadische Netzbetreiber Telus befand sich mit der Gewerkschaft im Arbeitskampf, auf einer Webseite diskutierten Gewerkschaftler über ihre Strategien im Arbeitskampf. Telus blockte Webseite eines Gewerkschaftsangehörigen."
-*** "Der deutsche Netzbetreiber Freenet AG hatte 2004 für zahlreiche Kunden den Zugang zu zwei Webseiten gesperrt, die Kritik an dem Geschäftsgebaren des Providers übten."
-*** "... Zensurinfrastruktur ..., um Kinderpornographie im Netz blocken zu können. In vielen anderen Ländern wird eine solche Zensurinfrastruktur genutzt, um Meinungsfreiheit zu unterbinden."
-***Apple USA zensiert in seinem Online-Medienshop deutsche Zeitungen, weil darin halb nackte Frauen zu sehen sind. (pab)
-Bitte unterscheiden zwischen Inhalteanbietern, Zugangsvermittlern, usw. Wir wollen nicht Neckermann und die Deutsche Post mit gleichem Mass messen. (AL)
+====1. Was verstehen wir eigentlich unter einer digitalen Identität und ihrem „Diebstahl“?====
-====Sind Netzsperren als Ultima ratio denkbar? Wenn ja, unter welchen Voraussetzungen (rechtlich/technisch)?====
+====2. Müssen wir die Anbieter digitaler Identitäten („Identitätsprovider“) – branchenspezifisch abgestuft – verpflichten, einen besseren Schutz der eingerichteten Identitäten sicherzustellen (z.B. SSL-Verschlüsselung bei Erstellung der Identität, sichere Passwörter)? Auferlegen die Entscheidungen des Bundesverfassungsgerichts (insbesondere zur Online-Durchsuchung und Vorratsdatenspeicherung) dem Staat hier Handlungspflichten?====
-pab: Netzsperren sind abzulehnen, weil sie Einfallstor für immer weitere Beschränkungen des freien Informationszugangs sind. Löschungen müssen an der Quelle erfolgen.
+pab: Unternehmen und Behörden brauchen kein staatlich reglementiertes Verfahren zur Authentifizierung via Internet. Bei kostenpflichtigen Leistungen muss ohnehin nur die Zahlung sicher gestellt werden, nicht auch die Identität des Nutzers. Die Zahlung kann anonym über Vorkasse oder anonyme Online-Bezahldienste (z.B. Paysafecard, Ukash) erfolgen. Bei nachträglicher Zahlung kann mit Einwilligung des Kunden eine Bonitätsauskunft eingeholt werden.
-====Wie können wir den Grundsatz „Löschen vor Sperren“ international umsetzen? Was tun wir, wenn die internationale Kooperation an Grenzen stößt?====
+Kommt es tatsächlich auf die Identität des Nutzers an, kann dieser auf verschiedene Weise authentifiziert werden: Durch Anforderung einer Unterschrift per Post oder Fax, durch Erhebung einer Bank- oder Kreditkartenverbindung, durch das PostIdent-Verfahren oder durch eine persönliche Registrierung unter Vorzeigen eines Ausweisdokuments. Die vorhandenen Verfahren haben sich im Wirtschaftsleben bewährt.
-pab:
+Die Entscheidungen des Bundesverfassungsgerichts haben mit Identitätsprovidern nichts zu tun. Der Staat muss die Bürger besser vor Datenmissbrauch schützen, indem er sie besser vor der Ansammlung personenbezogener Daten schützt. Nur gelöschte oder anonyme Daten sind sichere Daten. Aus unserem Papier zum ersten Dialog:
-*Es ist richtig, dass deutsches Recht nur auf Angebote auf deutschen Servern Anwendung findet. Es gilt das '''Herkunftslandprinzip'''. Ausländische, in ihrem Herkunftsland rechtmäßige Inhalte müssen auch in Deutschland abrufbar sein.
-*Stattdessen sollte eine '''internationale Einigung''' darüber herbei geführt werden, welche Inhalte so schädlich sind, dass sie gelöscht werden müssen.
-: "...dass sie <i>gesperrt</i> werden müssen"? Bitte präzisieren! Vielleicht so: "...welche Inhalte so schädlich sind, dass sie global als rechtswidrig erkannt und ggf. neu in die jeweils nationalen Rechtsordnungen übernommen werden"? (AL)
+I. Nicht-legislative Instrumente
-::Danke für den Hinweis, jetzt: "gelöscht"
+Die folgenden nicht-legislativen Instrumente können den Datenschutz im Internet und den Selbstdatenschutz verbessern:
-====Welche Ausstattung benötigen Polizei und Staatsanwaltschaften, um besser gegen illegale Inhalte vorgehen zu können?====
+. Information
+*positiv: Information über die Bedeutung des Datenschutzes und über Möglichkeiten, ihn zu verbessern (z.B. in Schulen, durch Freiheitsredner1)
+*positiv: Auszeichnung datensparsamer und datensicherer Angebote (Gütesiegel)
+*positiv/negativ: vergleichende Bewertung des Datenschutzniveaus („Stiftung Datentest“)
-===Geistiges Eigentum===
+. Finanzielle Anreize
+*positiv: Subventionen und Steuervorteile für datensparsame und datensichere Produkte und Dienstleistungen
+*positiv: Finanzielle Förderung der Forschung und Entwicklung datensparsamer und datensicherer Technologien (privacy-enhanced technologies)
+*positiv: Finanzielle Förderung privater Initiativen zur Information über die Bedeutung des Datenschutzes und über Möglichkeiten seiner Umsetzung (z.B. Freiheitsredner)
+*positiv: Der Bund beschafft für den Eigengebrauch nur noch datensparsame und datensichere IT-Produkte.
+*positiv: Verpflichtet der Staat Private zur Datensammlung, muss er sie vollständig entschädigen, damit die Finanzierung der erforderlichen Datensicherheitsvorkehrungen auch bei kleinen Unternehmen gewährleistet ist.
+*negativ: Risiken von Datenschutzverstößen durch verbesserte Ausstattung und wirkliche Unabhängigkeit der Aufsichtsbehörden erhöhen
-====Wie können Medien zum Herunterladen im Internet nutzerfreundlicher angeboten werden?====
+. Vorbildrolle des Staates
-Thomas Lambeck: Ist diese Frage ernst gemeint?
-* Kein DRM!
-** Wer weiß, ob die Server für die Prüfung, ob ich jetzt ein Lied hören darf, nächstes Jahr(zehnt) noch laufen.
-*** [http://www.heise.de/newsticker/meldung/Wal-Mart-will-DRM-Server-herunterfahren-208617.html Heise-Meldung: Wal-Mart will DRM-Server herunterfahren]
-* Für Musik speziell?:
-** Freie Auswahl von Codec/Bitrate?
-*** War IMHO einer der wichtigsten Gründe, die für AllOfMp3.com sprachen.
-** Preis?
-*** Wenn heruntergeladene Musik, die ich selbst brennen muss (und womöglich nur wenige Male brennen kann), so teuer ist wie eine gepresste CD mit Booklet, wird das nichts.
-====Wie gehen wir mit massenhaften Bagatellverstöße gegen das Urheberrecht um?====
+Der Staat muss die eigene Ansammlung von Informationen und Verpflichtungen Privater zur Datensammlung (z.B. Vorratsdatenspeicherung) abbauen und selbst ein hohes Datenschutzniveau gewährleisten.
-Thomas Lambeck: Sagt das nicht der Begriff "Bagatellverstöße" schon? Und was ist mit massenhaft gemeint? (Jeder 1x?, jeder 1000x?)
-====Wie kann ein gerechter Ausgleich zwischen den Interessen der Künstler und Verwerter einerseits und der Nutzer von Internetangeboten andererseits aussehen? Brauchen wir alternative, pauschale Vergütungslösungen („Kultur-Flatrate“)?====
+II. Erhöhung des gesetzlichen Schutzniveaus
-pab:
+Der Gesetzgeber hat weitere Möglichkeiten, Datenschutz und Datensicherheit im Internet zu verbessern. Möglich ist erstens eine Verbesserung des gesetzlichen, materiellen Schutzniveaus. Den besten und einzig wirksamen Schutz vor Datendiebstahl und Datenmissbrauch im Internet stellt es dar, wenn von vornherein möglichst wenige persönliche Daten erhoben und gespeichert werden. Internetnutzer erwarten daher, dass sie im virtuellen Leben ebenso anonym und überwachungsfrei handeln können wie es im wirklichen Leben weitgehend noch der Fall ist. Unter anderem sind dazu die folgenden Gesetzesänderungen erforderlich:
-*Nach der Markteinführung privater Tonbandgeräte hat der BGH erkannt, dass ein Verbot des anonymen Angebots solcher Technologien den Beteiligten unzumutbar wäre; er hat die Rechteinhaber stattdessen darauf verwiesen, ein „angemessenes Pauschalentgelt“ zu liquidieren (BGH NJW 1964, 2157). Erst infolge dieses Urteils hat es der Deutsche Bundestag vermocht, gegen die Interessen der Rechteinhaber die private Vervielfältigung von Werken zu legalisieren und für eine angemessene Pauschalvergütung zu sorgen (§§ 53, 54 UrhG). Nachfolgend hat auch das BVerfG die Forderung nach einer unmittelbaren Inanspruchnahme der Verbraucher verworfen, „besonders weil eine solche Verpflichtung ohne Eingriffe in die private Sphäre nicht durchsetzbar“ wäre und die dazu erforderlichen „Kontrollmaßnahmen im persönlichen Bereich des Besitzers“ grundrechtswidrig wären (BVerfGE 31, 255, 267 f.).
-*Heute steht der Gesetzgeber vor der vergleichbaren Aufgabe, Rechteinhaber auf Vergütungsansprüche gegen diejenigen zu verweisen, die gewerblich von dem rechteeingreifenden Informationsaustausch zu privaten Zwecken profitieren und diesen mit dem Pauschalentgelt abzugelten. Nur so ist ein angemessener Ausgleich zwischen dem Freiheits- und Datenschutzinteresse der überwältigenden Mehrheit rechtstreuer Internetnutzer, der Berufsfreiheit der technischen Dienstleister und dem Eigentumsinteresse der Rechteinhaber herzustellen.
-===Weitere Themen===
+#Keine Wiedereinführung der Vorratsdatenspeicherung, um weiterhin eine anonyme Internetnutzung ohne das Risiko von Nachteilen infolge von Datenmissbrauch, Falschverdächtigung oder Datenpannen zu ermöglichen
+#Erstreckung des Fernmeldegeheimnisses auf die Nutzung von Internetangeboten (Internetnutzungsgeheimnis)
+#Weitergabe von Informationen über die Internetnutzung an Behörden nur unter den Voraussetzungen, die für das Abhören von Telefonen gelten
+#Schaffung von Rechtssicherheit durch die Klarstellung, dass der gesetzliche Datenschutz auch für Internet-Protocol-Adressen gilt
+#Verbot der Erstellung von Nutzerprofilen ohne Einwilligung des Nutzers durch Änderung des Telemediengesetzes
+#Stärkung des Rechts auf anonyme Internetnutzung durch ein wirksames Koppelungsverbot im Telemediengesetz
+#Schutz der Internetnutzer vor unangemessenen Datenverarbeitungs-Einwilligungsklauseln, indem klargestellt wird, dass derartige Klauseln der gerichtlichen Kontrolle unterliegen
+#Keine Surfprotokollierung: Ablehnung des Vorschlags im Regierungsentwurf eines „Gesetzes zur Stärkung der Sicherheit in der Informationstechnik des Bundes“, Internetanbietern die präventive, flächendeckende Aufzeichnung des Surfverhaltens zur „Störungserkennung“ zu gestatten; Aufhebung des § 5 BSI-Gesetz
+#Maßnahmen zur Gewährleistung der Datensicherheit (§ 9 BDSG) müssen dem Stand der Technik entsprechen: In den letzten Monaten sind immer wieder schwerwiegende Datenpannen mit Millionen von Betroffenen bekannt geworden, die hätten vermieden werden können, wenn die Verarbeitungssysteme auf dem Stand der Technik gewesen wären (z.B. durch Anwendung von Updates)
+Für den Bereich des Telemedienrechts liegt bereits ein ausführliches Forderungspapier samt Vormulierungsvorschlägen vor, das unter anderem vom Chaos Computer Club, der Deutschen Vereinigung für Datenschutz, dem FoeBuD, dem FifF, der Humanistischen Union, dem Netzwerk Neue Medien, dem netzwerk recherche und dem Verbraucherzentrale Bundesverband unterstützt wird.4
-pab: Gemessen am Titel der Veranstaltung "Das Internet als Mehrwert erhalten" scheint mit der Innenminister die falschen Themen anzusprechen. Was sind denn unsere Forderungen, um das "Internet als Mehrwert zu erhalten"?
+III. Verbesserte Durchsetzung des bestehenden Schutzniveaus
-# Abschaffung der EU-Richtlinie zur flächendeckenden Protokollierung der Kommunikation und unserer Standorte (Vorratsdatenspeicherung),
+Noch wichtiger als eine Erhöhung des gesetzlichen Datenschutzniveaus erscheint eine effektivere Durchsetzung des bestehenden Datenschutzrechts. Der Gesetzgeber kann die Durchsetzung des bestehenden Rechts wie folgt verbessern:
-# Erstreckung des Fernmeldegeheimnisses auf die Nutzung von Internetangeboten,
-# Weitergabe von Informationen über Internetnutzer an Behörden nur unter den Voraussetzungen, die für das Abhören von Telefonen gelten,
-# Schaffung von Rechtssicherheit durch Klarstellung, dass der gesetzliche Datenschutz auch für Internet-Protocol-Adressen gilt,
-# Verbot der Erstellung von Nutzerprofilen ohne Einwilligung des Nutzers,
-# Stärkung des Rechts auf anonyme Internetnutzung durch ein wirksames Koppelungsverbot,
-# Schutz der Verbraucher vor unangemessenen Einwilligungsklauseln, indem klargestellt wird, dass derartige Klauseln der gerichtlichen Kontrolle unterliegen,
-# Stopp der Ermächtigung des BSI zur verdachtslosen, flächendeckenden Aufzeichnung des Surfverhaltens zur „Störungserkennung“ usw.
-#SIM-Karten-Registrierungspflicht aufheben, damit das Internet unterwegs anonym genutzt werden kann.
-RalfB: Hier noch das Stichwort '''Netzneutralität''' ausführen. Das muss bei diesem Themenbereich genannt und als wichtiger Pflock eingeschlagen werden!
+#Klarstellung, dass Datenschutzbestimmungen auch dem Schutz eines fairen Wettbewerbs dienen. Die Einhaltung des Datenschutzrechts ist wettbewerbsrelevant, weil sich hiergegen verstoßende Unternehmen im Wettbewerb mit datenschutzkonform arbeitenden Konkurrenten einen unlauteren Vorteil durch Rechtsbruch verschaffen. Bisher sind die Gerichte in Deutschland der Meinung, dass Datenschutzvorschriften nicht wettbewerbsschützend seien. Das Wettbewerbsrecht ist aber ein effizientes, unbürokratisches und erfolgreiches Rechtsdurchsetzungsinstrument, das auf den Bereich des Datenschutzes erstreckt werden sollte.
+#Klagebefugnis für Verbraucher- und Datenschutzverbände einführen. Die Gerichte in Deutschland haben entschieden, dass Datenschutzvorschriften nicht verbraucherschützend seien und Verbraucherverbände den Schutz von Verbraucherdaten nicht einklagen können. Die Verbandsklagebefugnis der Verbraucherverbände ist aber ein effizientes, unbürokratisches und erfolgreiches Rechtsdurchsetzungsinstrument, das durch Erweiterung des Unterlassungsklagengesetzes auf den Bereich des Datenschutzes erstreckt und auch Datenschutzverbänden an die Hand gegeben werden sollte. Bei von Einzelnen angestrengten Prozessen wegen datenschutzwidriger Praktiken gibt es immer wieder Finanzierungsschwierigkeiten; außerdem wird das Urteil von der Gegenseite oftmals nur für den jeweiligen Kläger umgesetzt und nicht für alle Kunden.
+#Einführung einer Haftung kommerzieller Hersteller und Importeure für den Fall, dass unsichere informationstechnische Produkte zu Datenschutzverletzungen führen (Produkthaftung). Im Softwarebereich wäre es sinnvoll, die Produkthaftung kommerzieller Hersteller informationstechnischer Produkte auf Vermögensschäden zu erstrecken, die dadurch entstehen, dass ein Produkt nicht wirksam (auf dem Stand der Technik) vor Computerattacken oder Datenverlust geschützt ist. Dann würden Softwarehersteller für die Folgen ihrer Sicherheitslücken („Bugs“) haften, die schon oft für Verluste persönlicher Daten und von Betriebsgeheimnissen gesorgt haben. Das Haftungsrecht ist ein sehr effektives Rechtsdurchsetzungsinstrument, wie sich etwa im Bereich der Arbeitssicherheit gezeigt hat. Es sollte auch für den Datenschutz nutzbar gemacht werden. Kommerziellen Herstellern ist die Haftung zumutbar, weil sie sich - wie in anderen Bereichen üblich - gegen das Haftungsrisiko versichern können. Die Versicherer werden über die Prämienhöhe Anreize für mehr Produktsicherheit in der Branche setzen.
+#Verschuldensunabhängige Haftung für Datenschutzverletzungen mit pauschaler Entschädigungssumme. Die Datenverarbeiter sollten den von Datenpannen Betroffenen auch für immaterielle Schäden haften (z.B. Sorge um einen möglichen Missbrauch ihrer Daten infolge einer Datenpanne), und zwar verschuldensunabhängig. Ein Regelwert für den immateriellen Schaden sollte festgelegt werden (z.B. 200 Euro pro Person). Entschädigungszahlungen wegen Datenpannen könnte der für die Verarbeitung Verantwortliche vom Hersteller ersetzt verlangen (siehe oben), wenn ein unsicheres Produkt für den Schaden verantwortlich ist. Durch die Einführung einer Haftung für Datenpannen samt pauschaler Entschädigungssummen wären große Datenverarbeiter gezwungen, sich gegen Datenschutzverletzungen zu versichern. Durch die Versicherungsprämie hätten sie ein eigenes finanzielles Interesse daran, die Schadenswahrscheinlichkeit zu senken. Auf dem Gebiet der Unfallversicherung hat ein solches System bereits zu einem drastischen Rückgang der Zahl der Arbeitsunfälle geführt.
+#Privacy by design: Kommerzielle informationstechnische Produkte und Dienste dürfen nicht so voreingestellt sein, dass der Verwender gegen deutsches Datenschutzrecht verstößt. Kommerzielle Computerprodukte (z.B. Software) und Dienste (z.B. Tracker, Werbung) müssen mit einer sicheren und datensparsamen Grundeinstellung angeboten werden. Dies ist derzeit leider bei den vorherrschenden amerikanischen Produkten nicht der Fall, weil es in den USA bekanntlich im privaten Bereich keinerlei Datenschutzgarantien gibt. Kommerziellen Anbietern informationstechnischer Produkte und Dienste ist es zumutbar, Produkte und Dienste für den europäischen Markt mit datenschutzkonformen Voreinstellungen anzubieten. Es ist auch gesamtwirtschaftlich sinnvoller, wenn der Hersteller sein Produkt rechtskonform gestaltet als wenn sämtliche Abnehmer das Produkt erst rechtskonform einstellen oder sogar umprogrammieren müssen. Die Datenschutzbeauftragten sollten das Recht erhalten, Anforderungen an eine datenschutzkonforme Produktgestaltung zu definieren.
+#Information der Nutzer auch über die typische Dauer der Aufbewahrung ihrer Daten (§ 4 Abs. 3 BDSG). Auf der Grundlage dieser Information können die Nutzer sich für datensparsame Anbieter entscheiden und das Risiko reduzieren, Opfer von Datenpannen und Datenmissbrauch zu werden.
+#Auskunftsanspruch über Datensicherheit: Den Kunden eines Unternehmens könnte ein Auskunftsanspruch bezüglich der vorhandenen Sicherheitsmechanismen zum Schutz ihrer Daten eingeräumt werden. Stellen fachlich versierte Kunden auf diese Weise Sicherheitsmängel fest, können sie die Aufsichtsbehörden darauf aufmerksam machen.
+#Whistleblowing: Mitarbeiter von Unternehmen und Behörden sind eine wichtige Informationsquelle, die sich nutzen lässt, indem man eine Möglichkeit zur anonymen Erteilung von Hinweisen auf Sicherheitslücken bereit stellt und die Betroffenen gesetzlich vor Nachteilen schützt.
+#Benachteiligungsverbot bei Gebrauchmachen von Datenschutzrechten: In der Praxis werden unabdingbare Regelungen des Datenschutzrechts immer wieder dadurch unterlaufen, dass Unternehmen mit einer ordentlichen Kündigung reagieren, wenn Betroffene von ihren gesetzlich garantierten Rechten Gebrauch machen. Zu diesen unabdingbaren Betroffenenrechten zählt insbesondere das Recht, Auskunft über die zur eigenen Person gespeicherten Daten verlangen zu dürfen sowie die Rechte auf Berichtigung, Löschung und Sperrung personenbezogener Daten. Es muss verboten werden, Menschen zu benachteiligen, nur weil sie von ihren gesetzlichen Datenschutzrechten Gebrauch machen.
+#Zertifizierungspflicht: Im Bereich wichtiger Informationssysteme oder anlassbezogen nach dem Auftreten von Datenschutzverstößen ist eine Zertifizierungspflicht denkbar, um sicherzustellen, dass die betroffenen Systeme nach dem Stand der Technik geschützt sind. Eine Zertifizierung könnte turnusmäßig wie im Bereich der Kfz-Überwachung (Hauptuntersuchung) gefordert werden.
-Thomas Lambeck: Ist "Internet als Mehrwert" nicht typisches Bullshit-Geschwafel von Lobbygruppen? Wichtig ist doch vor allem auch, dass das Internet ein Kommunikationsmedium ist und kein gottgegebenes Recht auf blühende Geschäfte beinhaltet. Geschäfte im Internet machen ist ja OK. Aber sollten die Regeln, die hier gelten, sich nicht statt an Gewinnerwartungen von Privatfirmen eher an der Förderung der Meinungsfreiheit orientieren?
+====3. Könnte zu diesen Schutzmaßnahmen die Verpflichtung der „Identitätsprovider“ gehören, Nutzer ggf. über den Verlust ihrer Identitätsdaten zu informieren und die entsprechenden Accounts zu sperren?====
-====Fußnoten====
+pab: Eine (unzureichende) Informationspflicht über Datenverluste gibt es schon im Bundesdatenschutzgesetz. Ein Anspruch, seine Daten jederzeit löschen zu lassen, ist dort auch geregelt.
-<references/>
+====4. Sollten wir Provider verpflichten, Sicherheitstechniken wie Anti-Viren- oder Spamfilter ohne Aufpreis anzubieten?====
-==3. Dialog "Staatliche Angebote im Internet"==
+pab: Die folgenden Angebote könnten Provider und Diensteanbieter ihren Kunden unterbreiten:
+#Datenschutzfreundliche Voreinstellungen für Dienste und Software
+#Datenschutzfreundliche Zusatzfunktionalitäten (Plugins) für Standardsoftware
+#Datenschutzfreundliche Bundlingangebote, z.B.:
+**E-Mail-Anbieter könnten ein Verschlüsselungspaket für Standard-E-Mail-Software bereit stellen
+**Internet-Zugangsanbieter könnten eine Anonymisierungsoption anbieten, bei welcher der gesamte Datenverkehr verschlüsselt über einen nicht auf Vorrat speichernden Anonymisierungsdienst geleitet wird
-(noch keine Einladung)
+Wichtig ist der Netzgemeinde, dass der Nutzer stets über die Aktivierung von Schutzverfahren selbst entscheiden kann (opt-in oder wenigstens opt-out) und ihm nichts aufgezwungen wird. Fortgeschrittene Internetnutzer können z.B. anstelle des vom Anbieter angebotenen Spam- oder Virenfilters andere Produkte auf ihrem eigenen Rechner einsetzen wollen. Die Verantwortung für den Schutz der eigenen Daten und IT ist bei dem Betroffenen am besten aufgehoben; es müssen allerdings die richtigen Anreize gesetzt werden. Das Fernmeldegeheimnis ist in jedem Fall zu wahren, so dass sich Kommunikationsmittler nicht in Kommunikationsprozesse einschalten dürfen, auch nicht zum vermeintlichen Schutz der Nutzer.
-* hier geht es nicht nur um Webseiten der staatlichen Institutionen, sondern die Frage ist, wo wirtschaftliche Unternehmen ein Monopol haben, das der Staat ausgleichen muss. Siehe Beispiel Suchmaschine Google im Beeich Suchen und Scannen von Büchern. Hier müssen die staatlichen bibliotheken elektronische Bücher archivieren und der Staat muss auch was für eine Suche der Internetseiten tun, wie es Quaero getan hat, z.B. könnte jede Buildungsinstiution bzw. jede staatliche Webseite per Gesetz verpflichtet werden, am yacy suchnetz teilzunehmen.
-==4. Dialog "Schutz der Bürger vor Identitätsdiebstahl und sonstiger Kriminalität im Internet"==
+Damit der Nutzer die Kontrolle behält, sollte Anti-Viren-Software oder Spamfilter auf seinem eigenen Rechner laufen. Dafür sind die Provider kaum zuständig. Sinnvoller wäre es, Computer- oder Softwarehersteller zum standardmäßigen Angebot entsprechender Komponenten zu bewegen.
-(noch keine Einladung)
+====5. Bei der Eröffnung bspw. eines Online-Girokontos ist das sog. PostIdent-Verfahren zur Verifikation zwingend vorgeschrieben. Benötigen wir auch beim Anlegen bestimmter digitaler Identitäten eine – ggf. branchenspezifisch abgestuft – vergleichbare Lösung (z.B. mittels neuem Personalausweis oder PostIdent)?====
+pab: Auf keinen Fall. Die Identifizierungspflicht gegenüber Banken ist im Rechtsverkehr einmalig und mit der Begründung der Geldwäschebekämpfung eingeführt worden. Internetdienste sind damit überhaupt nicht vergleichbar. Hier ordnet das Telemediengesetz umgekehrt an, dass Angebote soweit wie möglich anonym zu erfolgen haben. Dieses Koppelungsverbot muss gestärkt werden.
+Eine Identifizierungspflicht leistet Datenmissbrauch und illegalem Datenhandel geradezu Vorschub. Die Kontrolle der Nutzer über ihre Daten und die Möglichkeit, sich gegen die Erhebung unnötiger Daten durch Falschangaben zu wehren, wird durch eine Identifizierungspflicht verhindert. Unter die Räder kommt dabei, dass es durchaus legitime Gründe geben kann, einem Versandhaus nicht seinen wirklichen Namen anzuvertrauen, etwa wenn die bestellte Ware eigene Krankheiten oder auch sexuelle Aktivitäten betrifft.
+Wie sich im Fall von Bank- und Kreditkarten zeigt, ist es nur eine Frage der Zeit, bis elektronische Personalausweise von Straftätern kopiert werden (Identitätsdiebstahl), um im Namen des Opfers im Internet Unheil anzurichten. In den USA führt derartiges regelmäßig zu falschen Verdächtigungen und Festnahmen. Die vermeintliche Sicherheit des Identifikationsverfahrens ist nicht gegeben, wie schon die verbreitete Weitergabe von ec-Karten-PINs zeigt.
+Einen wirksamen Selbstdatenschutz im Internet bieten etwa die folgenden Maßnahmen: Das Internet sollte man ausschließlich unter Verwendung von Anonymisierungsdiensten, die nicht auf Vorrat speichern, nutzen. Man sollte sich im Internet nur unter Fantasienamen bewegen. Überflüssige Fragen im Internet sollten nicht oder nicht richtig beantwortet werden. Wenn eine E-Mail-Adresse angegeben werden muss, sollte eine anonyme Wegwerfadresse verwendet werden. Angebote von US-amerikanischen Firmen und aus anderen Staaten ohne Datenschutz sollten vermieden werden. E-Mail-Konten sollten nur bei Anbietern unterhalten werden, die auf die Erhebung (korrekter) Personendaten des Nutzers verzichten und die E-Mail-Nutzung nicht auf Vorrat speichern.
+====6. Wie können wir die Internetnutzer besser mit Aufklärungsangeboten erreichen? Macht es Sinn, die zahlreichen Angebote von Staat und Wirtschaft zusammenzuführen?====
+pab: Eine Stiftung Datentest, die den Datenschutz bei verschiedenen Internetangeboten einer Art vergleicht, Noten vergibt und die Tests kostenfrei veröffentlicht, wäre zur Aufklärung hilfreich. Denkbar ist auch, kurze Verhaltensempfehlungen als "Beipackzettel" Computern beizulegen ([http://www.ftc.gov/bcp/edu/pubs/consumer/idtheft/idt01.pdf Beispiel]).
+====7. Stichwort Kryptografie: Sollte der Einsatz kryptografischer Verfahren bei der Übermittlung von sensiblen Daten vorgeschrieben werden?====
+pab: Ja. Es muss vorgeschrieben werden, dass die Sicherheit personenbezogener Daten auf dem neuesten Stand der Technik zu gewährleisten ist.
+===II. Kriminalitätsbekämpfung allgemein===
+====8. Brauchen wir andere (internetspezifische) Befugnisse für die Strafverfolgungsbehörden?====
+pab: Nein, schon die vorhandenen Befugnisse gehen zu weit und müssen auf die Verfolgung schwerer Straftaten mit richterlicher Anordnung beschränkt werden (kein präventiver oder Geheimdienstzugriff).
+====Inwieweit kann die Rechtsprechung des Bundesverfassungsgerichts hier als Leitfaden des rechtlich erforderlichen und rechtlich möglichen sein?====
+pab: Die Verfassung und die dazu ergangenen Urteile bilden nur die äußerste Grenze des rechtlich Möglichen. Sie sagen nichts darüber aus, ob staatliche Kontrolle sinnvoll und zweckmäßig ist. Die Urteile sind letzte Leitplanken vor dem Abgrund des Überwachungsstaats, keine Leitfaden.
+====9. Sollte die (technische und personelle) Ausstattung der Strafverfolgungsbehörden besser an das Internet angepasst werden?====
+pab: Ja. Auch ohne Vorratsdatenspeicherung müssen die Strafverfolgungsbehörden in der Lage sein, schnell genug zu reagieren, um einen Verdächtigen noch während der bestehenden Verbindung zu identifizieren.
+====Wäre beispielsweise die Einrichtung von Scherpunktstaatsanwaltschaften sinnvoll?====
+====10. Thema Vorratsdatenspeicherung: Welche Folgen hat die Entscheidung des Bundesverfassungsgerichts für die Arbeit der Sicherheitsbehörden?====
+pab: Das Ende der Vorratsdatenspeicherung reduziert die Zahl der aufgeklärten Straftaten nicht und führt auch nicht zu einer Zunahme von Straftaten. Das zeigt der innerdeutsche Vergleich und auch der Vergleich mit Staaten ohne Vorratsdatenspeicherung. Die Sicherheitsbehörden müssen sich aber an die neue Situation anpassen. Auch ohne Vorratsdatenspeicherung müssen die Strafverfolgungsbehörden in der Lage sein, schnell genug zu reagieren, um einen Verdächtigen noch während der bestehenden Verbindung zu identifizieren.
+====Wie können wir nach dem Urteil des Bundesverfassungsgerichts die entsprechende EU-Richtlinie verfassungskonform umsetzen?====
+pab: Das ist nicht möglich. Die Richtlinie verstößt selbst gegen die EU-Grundrechtecharta und die Europäische Menschenrechtskonvention. Dementsprechend kann sie nicht rechtmäßig und wirksam umgesetzt werden.
+====Für welche Zwecke speichern die TK-Unternehmen auch nach der Entscheidung noch Verkehrsdaten?====
+pab: Zur Herstellung der Verbindung, danach zu Abrechnungszwecken und leider illegal auch auf Vorrat zur "Missbrauchsprävention" (§ 100 TKG).
+====11. Falls die Richtlinie wieder aufgehoben werden sollte: Wäre ein völliger Verzicht auf die Speicherung und Beauskunftung von Verbindungsdaten wiederum mit der Rechtsprechung des Europäischen Gerichtshof für Menschenrechte (EGMR) vereinbar, der den Staat in der Pflicht sieht, auch entsprechende Regeln vorzusehen, die die Identifikation von Straftätern im Internet ermöglichen?====
+pab: Der [http://cmiskp.echr.coe.int/tkp197/view.asp?action=html&documentId=843777&portal=hbkm&source=externalbydocnumber&table=F69A27FD8FB86142BF01C1166DEA398649 Entscheidung] lag der Fall zugrunde, dass jemand eine sexuelle Kontaktanzeige im Namen eines Minderjährigen mit dessen Foto in das Internet eingestellt hatte. Der Gerichtshof entschied, dass Finnland kein Gesetz verabschieden durfte, welches die Identifizierung des Anschlussinhabers durch dessen Zugangsanbieter '''verbot'''. Diese Entscheidung verlangt aber keine Vorratsdatenspeicherung, sondern lediglich die Herausgabe ohnehin vorhandener Daten zur Ermittlung wegen schwerer Straftaten. In dem entschiedenen Fall verfügte der finnische Internetanbieter ohnehin über die Daten, die eine Identifizierung des mutmaßlichen Täters ermöglicht hätten; das finnische Recht erlaubte nur die Herausgabe dieser Daten nicht. Der Gerichtshof hat mit seiner Entscheidung beanstandet, dass das finnische Recht einen Zugriff auf ohnehin vorhandene Daten selbst zur Aufklärung einer vom Gerichtshof als schwer angesehenen Straftat (sexuelle Verleumdung eines Kindes in der Öffentlichkeit, welche das Kind der Gefahr sexueller Übergriffe aussetzte) nicht zuließ. Dass der Staat zur Aufklärung schwerer Straftaten auf ohnehin zu betrieblichen Zwecken gespeicherte Daten zugreifen darf, stellen wir nicht in Frage. Der Gerichtshof hat in der genannten Entscheidung demgegenüber nicht gefordert oder zugelassen, zur Aufklärung möglicher zukünftiger Straftaten rein vorsorglich das Kommunikations- und Bewegungsverhalten der gesamten Bevölkerung erfassen zu lassen. Gegen diese Annahme spricht auch die Anmerkung des Gerichtshofs, wonach Finnland das „Defizit“ in seinem Prozessrecht in einem späteren „Gesetz über die Ausübung der Meinungsfreiheit in Massenmedien“ angegangen sei. Dieses Gesetz sah eine Befugnis zur Identifizierung von Kommunikationsteilnehmern auf richterliche Anordnung vor, nicht jedoch eine anlasslose und flächendeckende Vorratsdatenspeicherung.
+====Welche Alternativen wären denkbar?====
+pab: Es wäre aus meiner Sicht sinnvoll, wenn die Polizei während einer bestehenden Internetverbindung „auf Zuruf“ die Erfassung und vorläufige Aufbewahrung („preservation“) der aktuellen Zuordnung einer dynamischen IP-Adresse durch einen Internet-Zugangsanbieter erreichen könnte. Die Zeit, die bis zu einer solchen Erfassung verstreicht, sollte minimiert werden, sowohl auf Seiten der Polizei wie auch auf Seiten der Provider, um auch ohne Vorratsdatenspeicherung eine angemessene, also mindestens durchschnittliche (55%) Aufklärungsquote bei Internetdelikten zu gewährleisten.
+===Weitere Punkte zum Schutz vor Kriminalität im Internet===
+Was wollen wir De Maizière sonst noch empfehlen?
+====Fußnoten====
+<references/>
 ==Siehe auch==