BMI-Netzpolitik

Aus Freiheit statt Angst!

Wechseln zu: Navigation, Suche

Das Bundesinnenministerium und der Beauftragte der Bundesregierung für Informationstechnik bieten vier Dialogveranstaltungen unter dem Titel "Perspektiven Deutscher Netzpolitik" an:

  1. Datenschutz und Datensicherheit im Internet (18.01.2010)
  2. Das Internet als Mehrwert erhalten
  3. Staatliche Angebote im Internet
  4. Schutz der Bürger vor Identitätsdiebstahl und sonstiger Kriminalität im Internet

Ein Mitglied des AK Vorrat ist zu dem ersten, bereits feststehenden Termin eingeladen. Einladung, Tagesordnung und Teilnehmerliste finden sich hier.

Auf dieser Seite sammeln wir Positionen, die in den Gesprächen ggf. angesprochen werden können.

Inhaltsverzeichnis

1. Dialog "Datenschutz und Datensicherheit im Internet" (18.01.2010)

Das Gespräch ist in zwei Diskussionsrunden mit den folgenden "Leitfragen" gegliedert:

  1. Herausforderungen der Informationsgesellschaft hinsichtlich Datenschutz und Datensicherheit im Internet
    1. Welche Anreize können Gesellschaft/Politik/Gesetzgeber setzen, um den Datenschutz im Internet und den Selbstdatenschutz zu verbessern?
      1. "Der Staat kann mit gutem Beispiel vorangehen statt ständig an der Umgehung und Aufweichung von Datenschutz zu arbeiten. Die Verabschiedung eines Arbeitnehmerdatenschutzgesetztes könnte so ein Signal sein.Letztendlich wird die Trennung zwischen Internet und Nicht-Internet immer geringer." --Vinci 15:59, 1. Jan. 2010 (CET)
    2. Welche Mittel können Provider und Diensteanbieter den Bürgern an die Hand geben, um ihre Daten und ihre IT besser zu schützen (Spamfilter, Virenschutz...)?
    3. Wie können Datensicherheit, Datensparsamkeit, Zweckbindung und Transparenz beim Umgang mit personenbezogenen Daten technisch unterstützt werden?
    4. Wie können Datenschutz und Datensicherheit von gehosteten Angeboten (Cloud-Computing) sichergestellt werden?
    5. Wie kann eine faire Aufgabenverteilung zwischen Staat, Anbietern und Bürgern bei der Datensicherheit aussehen?
  2. Handlungsoptionen der Politik
    1. Wie kann durch die Anpassung des Datenschutzrechts der Datenschutz im Internet gefördert werden?
    2. Welche Rollen können einer Stiftung Datenschutz zukommen?
    3. Wie können De-Mail und elektronischer Personalausweis als Angebote für besseren Selbstdatenschutz eingesetzt werden?
    4. Welche Rolle kann das BSI übernehmen, um die Datensicherheit im öffentlichen und nicht-öffentlichen Bereich zu fördern?

Bitte tragt eure Ideen zu diesen Fragen hier ein:

1. Herausforderungen der Informationsgesellschaft hinsichtlich Datenschutz und Datensicherheit im Internet

In seiner Einladung spricht der Bundesinnenminister die folgenden Punkte an:

  • Zahlreiche Datenskandale in der Wirtschaft zeigten, dass die Datensicherheit defizitär sei, weil Unternehmen und Bürger zu sorglos mit persönlichen Daten umgingen

-> Der Sachverhalt muss konkret benannt werden: Der Umgang mit Daten wird immer schlampig sein, wichtig ist daher, erstens nicht viele Daten zu erheben (Datensparsamkeit!) und zweitens qualitätsgeprüfte Berechtigungskonzepte zu haben. Beispiel: Es ist ein Unding, dass jeder Arbeitsamt-Beschäftigte bundesweit auf jeden Schauspieler, der Hartz-4 Empfänger ist, zugreifen kann. Jeder im Arbeitsamt hatte Mark Medlock aufgerufen als er DSDS gewann. -> Viel wichtiger als die Zugriffskontrolle ist die Frage was überhaupt gespeichert werden darf und für wie lange! Im Moment werden überall viel zu viele Daten wahllos gespeichert. Der Zugriff auf die Daten ist immer erst der zweite Schritt! Wie kann es sein, dass so etwas wie die Paybackkarte in Deutschland überhaupt erlaubt ist!? Insgesamt muss das Erfassen von Daten viel stärker limitiert werden, denn offensichtlich ist der Bürger damit teilweise überfordert und benötigt den Schutz durch den Staat. Warum darf ein Unternehmen "Kundendaten" über einen längeren Zeitraum speichern u.s.w.

    • Desshalb meine Forderung wie oben schon erwähnt, professionell ausgebildete hauptamtliche Datenschützer in die Unternehmen und Behörden.--Sailer 18:21, 1. Jan. 2010 (CET)
  • Die Bürger seien mit dem Schutz ihrer IT und ihrer Kommunikation überfordert. Sie seien auf die Hilfe von Staat oder Providern angewiesen. De-Mail und elektronischer Personalausweis könnten eine sichere Kommunikation gewährleisten.

-> Der Schutz liegt nicht im Identifizieren bei Benutzung der Datenautobahn, sondern genau umgekeht, in der weiterhin anonymen Nutzung der Autobahn. Erst das Identifizieren ermöglicht das Tracken und damit die Preisgabe von Daten.

Die Behauptung:"Die Bürger seien mit dem Schutz ihrer IT und ihrer Kommunikation überfordert. Sie seien auf die Hilfe von Staat oder Providern angewiesen. De-Mail und elektronischer Personalausweis könnten eine sichere Kommunikation gewährleisten." Ist vollkommen falsch. Warum wird hier vorher richtig beschrieben.--Sailer 18:26, 1. Jan. 2010 (CET)

1.1. Welche Anreize können Gesellschaft/Politik/Gesetzgeber setzen, um den Datenschutz im Internet und den Selbstdatenschutz zu verbessern?

pab:

  • finanzielle Anreize
    • positiv: finanzielle Förderung datenschutzfreundlicher Mechanismen (Staat)
    • negativ: Abmahn- und Haftungsrisiken von Datenschutzverstößen erhöhen (Staat)
  • Information
    • positiv: Information über die Bedeutung des Datenschutzes und über Möglichkeiten, ihn zu verbessern (z.B. Schulen, Freiheitsredner)
    • negativ: vergleichende Bewertung des Datenschutzniveaus ("Stiftung Datentest")
  • Vorbildfunktion: Der Staat muss die eigene Ansammlung von Informationen und Verpflichtungen Privater zur Datensammlung (z.B. Vorratsdatenspeicherung) abbauen (näher hier und hier) und selbst ein hohes Datenschutzniveau gewährleisten. Verpflichtet der Staat Private zur Datensammlung, muss er sie vollständig entschädigen, damit auch die Finanzierung der erforderlichen Datensicherheitsvorkehrungen sichergestellt ist.

Erstmal: In Frage stellen, ob der Staat das überhaupt kann: Der Staat ist ggf auch nicht in der Lage, Siehe Datenspeicherung Google: Hier sollte es Quaero mit den Franzosen geben. Wurde nicht möglich und dann umbeannt in Thesus, mit 15 Millionen gefördert, aber immer noch keine alternative Suchmaschine. Zweitens: Die angesprochenen Datenlecks beziehen sich auf Arbeitnehmerdaten und Kundendaten. Bei Kundendaten hat das Unternehmen ggf einen Imageschaden, was bei Lidl oder Kick aber keinen Effekt hatte. Daher: IT-Manager persönlich haften lassen. Bei Arbeitnehmerdaten die Geschäftsführung persönlich haftend machen.

metux: Der Staat sollte mit gutem Beispiel vorangehen und erstmal den Datenschutz in der eigenen Verwaltung durchsetzen. Beispielsweise:

  • ein klares Verbot der Weitergabe von Meldedaten ohne explizite Einwilligung.
  • Abschaffung der biometrischen Pässe (incl.Löschung aller biometrischen Daten)
  • Verpflichtung zur Unaufgeforderten Information über alle gespeicherte persönlichen Daten aller Staatsorgane (Ausnahme: in strafrechtlichen Ermittlungsverfahren, wo ein Strafrichter entscheidet, daß diese Information die Ermittlungen zunichte machen würde)
  • Demontage aller Spionage-Einrichtungen (Echelon, etc)
  • Aufspüren, Veröffentlichen und Ausweisung aller ausländischer Spione (CIA, MI5, etc)

-- Benutzer:metux 2010-01-02 05:02 CET

Dooorie: Grundsatz der Datensparsamkeit in der Gesetzgebung. Revision aller bestehenden Gesetze nach der Maßgabe der Datensparsamkeit, analog zum Projekt Bürokratieabbau. Jede durch ein Gesetz des Bundes oder eines Bundeslandes vorgeschriebene Datensammlung, deren Unverzichtbarkeit oder überragender Nutzen nicht nachgewiesen werden kann, wird eingestellt. Jede Erlaubnis zur Erhebung von Daten durch staatliche und privaten Stellen wird auf Notwendigkeit und Angemessenheit überprüft.

1.2. Welche Mittel können Provider und Diensteanbieter den Bürgern an die Hand geben, um ihre Daten und ihre IT besser zu schützen (Spamfilter, Virenschutz...)?

pab:

  • Datenschutzfreundliche Voreinstellungen für Dienste und Software.
  • Datenschutzfreundliche Zusatzfunktionalitäten (Plugins) für Standardsoftware.
  • Bundling, z.B.:
    • E-Mail-Anbieter könnten ein Verschlüsselungspaket für Standard-E-Mail-Software bereit stellen
    • Internet-Zugangsanbieter könnten eine Anonymisierungsoption anbieten, bei welcher der gesamte Datenverkehr verschlüsselt über einen nicht auf Vorrat speichernden Anonymisierungsdienst geleitet wird

Wichtig ist der Netzgemeinde, dass der Nutzer stets selbst über die Aktivierung von Schutzverfahren entscheiden kann (opt-in oder wenigstens opt-out) und ihm nichts aufgezwungen wird. Fortgeschrittene Internetnutzer möchten z.B. anstelle des vom Anbieter angebotenen Spam- oder Virenfilters, den sie ablehnen, andere Produkte auf ihrem eigenen Rechner einsetzen. Die Verantwortung für den Schutz der eigenen Daten und IT ist bei dem Betroffenen am besten aufgehoben; es müssen allerdings die richtigen Anreize gesetzt werden (s.u.). Das Fernmeldegeheimnis ist in jedem Fall zu wahren, so dass sich Kommunikationsmittler nicht in Kommunikationsprozesse einschalten dürfen, auch nicht zum vermeintlichen Schutz der Nutzer.


  1. Weder die Provider noch der Staat haben das Recht dem Bürger vorzuschreiben welche Filter- oder Vierensoftware benutzt werden muss.
  2. Bei diesem Ansinnen handelt es sich um den Versuch der Legalisierung einer Kontrolle der IT des Bürgers unter dem Vorwand des seines eigenen Schutzes. Ähnlich wie DRM und genau so wirkungslos.--Sailer 18:15, 1. Jan. 2010 (CET)

Verwendung von quellenoffener Software fördern (gegen Spyware, ...) --Vinci 16:03, 1. Jan. 2010 (CET)

-> Das Problem des Providers ist, dass er jede meiner Seiten oder Emails speichert, was ich wann wo gelesen habe. das Vordringlichste Problem ist die Vorratsdatenspeicherung. Sie muss weg. Wenn ich ein Zeitung durchblättere, sind meine Augen geschützt, niemand sieht, welchen Artikel ich lese oder welche Anzeige ich ansehen. Beim Internet Provider kann der Admin alles sehen und auswerten, auch nach Marketingoptionen, die z.B. bei einigen Providern (z.B: envacom.de) sogar in den AGB stehen.

name: der Schutz der IT fällt in den Bereich des (Betriebs-)systemanbieters. Auch hier während Schadensersatzpflichten für Schäden durch ungeschlossene Löcher oder nicht dem Stand der Technik entsprechenden Sicherheitstechniken zumindest eine Erwägung wert. Praktisch allerdings sehr problematisch aus verschiedensten Gründen: Nachweisbarkeit der Kausalität, Feststellung des Standes der Technik, kompatiblitätsprobleme bei Änderungen im Sicherheitskonzept etc etc.

Janine: Gar keine. Ich will von meinem Provider nur eine Leitung ins Internet. Von den ganzen Komplettlösungen halt ich nichts. Ich brauche keinen rudimentären Schutz, den ich dann noch mal durch eine richtiges System ausbauen muss. Erstens verliert man dadurch nur Geschwindigkeit und zweitens muss das ja auch alles bezahlt werden auch wenn ich es gar nicht mehr brauche.

1.3. Wie können Datensicherheit, Datensparsamkeit, Zweckbindung und Transparenz beim Umgang mit personenbezogenen Daten technisch unterstützt werden?

pab:

  • Privacy by design: Kommerzielle informationstechnische Produkte (z.B. Software) dürfen nicht so voreingestellt sein, dass der Verwender gegen deutsches Datenschutzrecht verstößt. Vielmehr muss die Software die Anforderungen des Datenschutzrechts an Datensparsamkeit und Datensicherheit auf dem Stand der Technik erfüllen. Zur Umsetzung dieser Vorgabe sind geeignete Verfahren erforderlich (siehe Vorschläge zur besseren Durchsetzung des Datenschutzrechts unten)
  • Datensicherheit und Transparenz: Förderung und Erforschung datenschutzfreundlicher und transparenzwahrender Techniken (privacy-enhanced technologies)

Verschlüsselungsfanatiker:

  • Datensicherheit und Transparenz: Förderung und Erforschung datenschutzfreundlicher und transparenzwahrender Techniken (privacy-enhanced technologies), z.B. PIR (private information retrieval) der Abfrage von gespeicherten Daten, kryptographische Techniken zur Verteilung von Daten auf unterschiedliche Zugriffssphären --Verschlüsselungsfanatiker 12:52, 2. Jan. 2010 (CET)

Sailer:

  1. Datenschutz und Transparenz sind wie Feuer und Wasser. Deshalb ist Transparenz im Umgang mit Daten nicht zu unterstützen.--Sailer 18:15, 1. Jan. 2010 (CET)
  2. Datensicherheit und Datensparsamkeit sind zu unterstützen sowie deren Zweckbindung.--Sailer 18:17, 1. Jan. 2010 (CET)
  • Es geht auch hier über den wichtigen Weg der Datensparsamkeit. Und wenn Daten erhoben werden, muss dem Kunden eine baldige Löschung mit DATUM mitgeteilt werden.

Dooorie: Open Source fördern

name: verpflichtende Unterstützung von verschlüsselten Datenträgern in Betriebssystemen

1.4. Wie können Datenschutz und Datensicherheit von gehosteten Angeboten (Cloud-Computing) sichergestellt werden?

Dieses geht nicht und wenn Nutzer meinen Googlemail zu nutzen, dann stellen Sie ihre Daten in das Archive der Serverfarm ein. Auch das ist eine Cloud. Es gibt zentrale und dezentrale Clouds. Es geht nicht nur um SETI, verteiltes Rechnen für die Krebsforschung, sondern um die Serverfarm google.

  1. Das ist, wie ich meine, Aufgabe der Anbieter und sollte von professionellen Datenschützern überprüft werden müssen.--Sailer 18:17, 1. Jan. 2010 (CET)

Dooorie: Anbieter dürfen nicht gezwungen werden, technische Risiken einzubauen etwa um Zugriffsmöglichkeiten für die Strafverfolgungsbehörden zu schaffen.

name: Gar nicht. Sensitive Daten dürfen nicht aus der Hand gegeben werden.

1.5. Wie kann eine faire Aufgabenverteilung zwischen Staat, Anbietern und Bürgern bei der Datensicherheit aussehen?

pab:

  • Steuervorteile: Der Staat könnte die Durchführung von Datenschutz-Audits durch Gewährung von Steuervorteilen fördern. Mittelfristig kann sich dies für den Staat lohnen, weil ein verstärkter Selbstschutz auf Seiten der Wirtschaft die Eingriffsbehörden entlastet.
  • Pflichtversicherungssystem: Die Einführung einer Pflichtversicherung für gewerblich betriebene, an das Internet angeschlossene Informationssysteme kommt in Betracht, zumal sich die Auswirkungen von Netzkriminalität oft auf Vermögensschäden beschränken. Im Bereich der Arbeitsunfälle hat das deutsche Pflichtversicherungssystem zu einer enormen Steigerung des Sicherheitsbewusstseins geführt, was für die Effektivität einer möglichen Pflichtversicherung auch auf dem Gebiet der Telekommunikationsnetze spricht. Gegen Wirtschaftskriminalität waren 2003 erst etwa ein Drittel der deutschen Unternehmen versichert[1].
  • Genehmigungspflicht national wichtiger Informationssysteme: Im Bereich national wichtiger Informationssysteme ist die Einführung einer klassischen verwaltungsrechtlichen Genehmigungspflicht mit anschließender Überwachung der Computersysteme denkbar, um sicherzustellen, dass die Systeme nach dem Stand der Technik geschützt sind. Die Überwachung ließe sich turnusmäßig wie im Bereich der Kfz-Überwachung oder stichprobenartig wie bei der Lebensmittelüberwachung gestalten.
  • Whistleblower-Systeme: Weiterhin sind Mitarbeiter von Unternehmen und Behörden eine wichtige Informationsquelle, die sich nutzen lässt, indem man eine Möglichkeit zur anonymen Erteilung von Hinweisen auf Sicherheitslücken bereit stellt. Eine starke Einbindung der Beschäftigten ist auch angesichts der Tatsache sinnvoll, dass ein Großteil der Schäden durch Computerkriminalität auf Mitarbeiter des geschädigten Unternehmens zurückzuführen ist[2]. Gerade Missbräuche innerhalb des eigenen Unternehmens lassen sich durch interne Maßnahmen relativ leicht feststellen und unterbinden[3].
  • Anonyme Zahlungsmittel: Die Anzahl der Fälle von Kreditkartenmissbrauch ließe sich durch die Förderung günstiger, sicherer und einfacher anonymer, bargeldloser Zahlungssysteme im Internet erheblich reduzieren.


  • Audit reicht nicht, alle Fälle sind durch die Medien an das Tageslicht gekommen, es muss eine strafrechtliche Verfolgung der Datenmissbräuche mit persönlicher haftung in hoher Geldsumme und Gefängnis der Geschäftsführer und IT-Administratoren her. Hierzu muss der Staat ein Strafgesetz schaffen.
  1. Der Staat müsste aufhören die Bürger gläsern zu gestalten. Das heißt Den neuen Persoalausweis nicht einführen, die Steuer-ID wieder abschaffen. Anbieter und Bürger könnten dann selbst entscheiden welche Form der sicheren Identifizierung sie wählen um online Geschäfte zu machen. Dem Staat ist es bisher auch ohne Steuer-ID, RFID und Online-Verifizierung gelungen seine staatlichen Pflichten zu erfüllen.
  2. Einsparungen können an anderer Stelle vorgenommen werden (z.B. Bankversagen nicht gleich Staatsschulden) . --Sailer 17:56, 1. Jan. 2010 (CET)
  3. Der Staat könnte ein Gesetz erlassen, das die Firmen und Behörden zur Einstellung eines oder mehrerer hauptamtlicher professionell ausgebildeter Datenschützer verpflichtet. Diese haben Missstände aufzudecken und Gegenmaßnahmen zu ergreifen. Sie sind dem Bürger gegenüber Auskunftspflichtig, haben aber dem Staat und der Konkurrenz gegenüber keine Betriebsinterna heraus zu geben. Vorfälle die sie selbst nicht abschalten können melden sie weiter an die Datenschutz-Stiftung, die dann über weitere Maßnahmen berät.--Sailer 19:03, 1. Jan. 2010 (CET)

rahe5001: Bitte nicht wieder mit dem Strafrecht. Das löst überhaupt nicht das Vollzugs- und Kontrollproblem im Datenschutz, die eigentliche Ursache dafür, dass der Datenschutz von (einigen) Unternehmen belächelt wird. Gegen angemessene Geldbuße analog zum Wettbewerbs- und Kartellrecht ist nichts einzuwenden. Außerdem kann der Staat "whisteblower"-Regelungen einführen und die Einhaltung von Selbstverpflichtungen ("compliance") auszeichnen.

@rahe5001: ich denke Strafrecht ist zumindest in schweren Fällen durchaus angemessen. Da hier bislang alle anderen Methoden versagt haben und es um den Schutz wichtiger Güter von vielen geht, scheint es mir angemessen, zur ultima ratio zu greifen. Allerdings sollte nur in vorsätzlichen Fällen strafrechtlich geahndet werden, bei fahrlässigen Datenlecks etc. ist OWi IMO ausreichend.

@pab bitte präzisieren: Was soll denn die Ursache dafür sein dass "bislang alle anderen Methoden versagt" haben? Wir haben die oben beschriebene Strafbarkeit von Handelnden und Geschäftsführung doch längst (§ 44 BDSG iVm. § 9 OWiG bzw. § 14 StGB).

pab: Wieso richtest du die Frage an mich? Von mir stammt die o.g. Forderung nach einem schärferen Strafrecht ("@rahe5001") nicht.

Dooorie: Der Staat steht in der Pflicht, Risiken für die informationelle Selbstbestimmung und für die Vertraulichkeit und Integrität informationstechnischer Systeme zu vermeiden. Das heißt, er darf sie durch eigenes Handeln nicht fördern (unsichere IT in Verwaltungsbehörden, nicht einbruchsichere Landratsämter, Fernzugriffe auf sensible Datenbanken...) bzw. durch Gesetzgebung nicht neu schaffen (Vorratsdatenspeicherung, Fingerabdrücke in Pass und Personalausweis, ELENA, ...), sondern muss sie vermindern. Sofern er Datenspeicherung zu allein staatlichen Zwecken neu einführt (Vorratsdatenspeicherung) muss er die Kosten erstatten, weil nur dies eine sichere Aufbewahrung der Daten ermöglicht sowie die Einstellung von qualifiziertem Fachpersonal bei den Unternehmen für den Umgang damit erlaubt.


  1. PricewaterhouseCoopers, Wirtschaftskriminalität 2003 (I).
  2. Symantec, Symantec Internet Security Threat Report (I), 5 und Seiten 168-169.
  3. Symantec, Symantec Internet Security Threat Report (I), 5.

2. Handlungsoptionen der Politik

  • Datenschutz durch Datensparsamkeit.--Sailer 17:56, 1. Jan. 2010 (CET)

2.1. Wie kann durch die Anpassung des Datenschutzrechts der Datenschutz im Internet gefördert werden?

pab:

  1. Den besten und einzig wirksamen Schutz vor Datendiebstahl und Datenmissbrauch im Internet stellt es dar, wenn von vornherein möglichst wenige persönliche Daten erhoben und gespeichert werden. Internetnutzer erwarten daher, dass sie im virtuellen Leben ebenso anonym und überwachungsfrei handeln können wie es im wirklichen Leben weitgehend noch der Fall ist. Unter anderem sind dazu die folgenden Gesetzesänderungen erforderlich (näher das gemeinsame Forderungspapier u.a. von CCC, DVD, FoeBuD, FifF, Humanistische Union, Netzwerk Neue Medien, netzwerk recherche und Verbraucherzentrale Bundesverband):
    1. Erstreckung des Fernmeldegeheimnisses auf die Nutzung von Internetangeboten
    2. Weitergabe von Informationen über Internetnutzer an Behörden nur unter den Voraussetzungen, die für das Abhören von Telefonen gelten
    3. Schaffung von Rechtssicherheit durch Klarstellung, dass der gesetzliche Datenschutz auch für Internet-Protocol-Adressen gilt
    4. Verbot der Erstellung von Nutzerprofilen ohne Einwilligung des Nutzers durch Änderung des Telemediengesetzes
    5. Information der Nutzer über die Dauer der Aufbewahrung ihrer Daten
    6. Stärkung des Rechts auf anonyme Internetnutzung durch ein wirksames Koppelungsverbot im Telemediengesetz
    7. Schutz der Nutzer vor unangemessenen Datenverarbeitungs-Einwilligungsklauseln, indem klargestellt wird, dass derartige Klauseln der gerichtlichen Kontrolle unterliegen
    8. Keine Surfprotokollierung: Ablehnung des Vorschlags im Regierungsentwurf eines „Gesetzes zur Stärkung der Sicherheit in der Informationstechnik des Bundes“, Internetanbietern die präventive, flächendeckende Aufzeichnung des Surfverhaltens zur „Störungserkennung“ zu gestatten.
  2. Darüber hinaus gibt es die folgenden Vorschläge:
    1. Klarstellung, dass Datenschutzbestimmungen auch dem Schutz eines fairen Wettbewerbs dienen. Die Einhaltung des Datenschutzrechts ist wettbewerbsrelevant, weil sich hiergegen verstoßende Unternehmen im Wettbewerb mit datenschutzkonform arbeitenden Konkurrenten einen unlauteren Vorteil durch Rechtsbruch verschaffen. Bisher sind die Gerichte in Deutschland der Meinung, dass Datenschutzvorschriften nicht wettbewerbsschützend seien. Das Wettbewerbsrecht ist aber ein effizientes, unbürokratisches und erfolgreiches Rechtsdurchsetzungsinstrument, das auf den Bereich des Datenschutzes erstreckt werden sollte.
    2. Einführung einer Haftung kommerzieller Hersteller und Importeure für den Fall, dass unsichere informationstechnische Produkte zu Datenschutzverletzungen führen (Produkthaftung). Im Softwarebereich wäre es sinnvoll, die Produkthaftung von Herstellern informationstechnischer Produkte auf Vermögensschäden zu erstrecken, die dadurch entstehen, dass ein Produkt nicht wirksam (Stand der Technik) vor Computerattacken oder Datenverlust geschützt ist. Dann würden Softwarehersteller für die Folgen ihrer Sicherheitslücken („Bugs“) haften, die schon oft für Verluste persönlicher Daten und von Betriebsgeheimnissen gesorgt haben. Das Haftungsrecht ist ein sehr effizientes Rechtsdurchsetzungsinstrument, wie sich etwa im Bereich der Arbeitssicherheit gezeigt hat. Es sollte auch für den Datenschutz nutzbar gemacht werden. Kommerziellen Herstellern ist die Haftung zumutbar, weil sie sich - wie in anderen Bereichen üblich - gegen das Haftungsrisiko versichern können. Die Versicherer werden über die Prämienhöhe Anreize für mehr Produktsicherheit in der Branche setzen.
    3. Verschuldensunabhängige Haftung für Datenschutzverletzungen mit pauschaler Entschädigungssumme. Die Datenverarbeiter sollten den von Datenpannen Betroffenen auch für immaterielle Schäden haften (z.B. Sorge um einen möglichen Missbrauch ihrer Daten infolge einer Datenpanne), und zwar verschuldensunabhängig. Ein Regelwert für den immateriellen Schaden sollte festgelegt werden (z.B. 200 Euro pro Person). Entschädigungszahlungen wegen Datenpannen könnte der für die Verarbeitung Verantwortliche dann vom Hersteller ersetzt verlangen (siehe oben), wenn ein unsicheres Produkt für den Schaden verantwortlich ist. Begründung: Durch die Einführung einer Haftung für Datenpannen samt pauschaler Entschädigungssummen wären große Datenverarbeiter gezwungen, sich gegen Datenschutzverletzungen zu versichern. Durch die Versicherungsprämie hätten sie ein eigenes finanzielles Interesse daran, die Schadenswahrscheinlichkeit zu senken. Auf dem Gebiet der Unfallversicherung hat ein solches System bereits zu einem drastischen Rückgang der Zahl der Arbeitsunfälle geführt.
    4. Privacy by design: Kommerzielle informationstechnische Produkte dürfen nicht so voreingestellt sein, dass der Verwender gegen deutsches Datenschutzrecht verstößt. Begründung: Computerprodukte müssen mit einer sicheren und datensparsamen Grundeinstellung ausgeliefert werden. Dies ist derzeit leider bei den – vorherrschenden – amerikanischen Produkten nicht der Fall, weil es in den USA bekanntlich im privaten Bereich keinerlei Datenschutzgarantien gibt. Kommerziellen Anbietern informationstechnischer Produkte ist es jedoch zumutbar, Produkte für den europäischen Markt mit datenschutzkonformen Voreinstellungen auszuliefern. Es ist auch gesamtwirtschaftlich sinnvoller, wenn der Hersteller sein Produkt rechtskonform gestaltet als wenn sämtliche Abnehmer das Produkt erst rechtskonform umgestalten müssen.
    5. Maßnahmen zur Gewährleistung der Datensicherheit müssen dem Stand der Technik entsprechen. Begründung: In den letzten Monaten sind immer wieder schwerwiegende Datenpannen mit Millionen von Betroffenen bekannt geworden, die hätten vermieden werden können, wenn die Verarbeitungssysteme auf dem Stand der Technik gewesen wären (z.B. durch Anwendung von Updates).
    6. Den Kunden eines Unternehmens könnte ein Auskunftsanspruch bezüglich der vorhandenen Sicherheitsmechanismen zum Schutz ihrer Daten eingeräumt werden.
    7. Mehr Personal und wirkliche Unabhängigkeit der Datenschutz-Aufsichtsbehörden von der Regierung.


    1. Aufweichungen des Datenschutzrechtes im Internet dürfen hier nicht zugelassen werden. --Sailer 17:59, 1. Jan. 2010 (CET)
    2. Das Datenschutzrecht könnte derart erweitert werden, das professionell ausgebildete Datenschützer im öffentlichen und nicht -öffentlichen Bereich hauptberuflich eingestellt werden müssen, weil Datenschutzbeauftragte, die ihrem eigentlich Beruf nachgehen müssen und keine besondere Befugnis sowie Kenntnis besitzen, eine zu stumpfe Waffe im Kampf gegen Datenkriminalität darstellen. Z.B. könnte gesetzlich gefordert werden, ab einer Betriebs- bzw. Organisationsgröße von x Mitarbeitern und y Kundenkontakten ist ein fester professionell ausgebildeter Datenschützer einzustellen.
      1. Bei kleineren Organisationen ist ein professionell ausgebildeter Datenschützer Stundenweise zu beschäftigen, die Dauer ist abhängig von der Organisationsgröße und deren Kundenkontakten.

name: @pab: Haftung für Fehler bei Softwareerstellung ist in der Praxis sehr problematisch. Abgesehen von potentiellen Abwanderungseffekten (solange nicht auch die Händler haften), würde dies Beispielsweise die freie Entwicklung von Open Source Software empfindlich stören, da hier die potentiellen Risiken nicht über den Verkaufspreis ausgeglichen werden können. Auch hat bekanntermaßen jede Software kritische Fehler, selbst den besten und aufmerksamsten Entwicklern passieren diese Fehler gelegentlich. In Bereichen wie der Kryptographie kann ein Produkt heute dem Stand der Technik entsprechen und als sicher eingeschätzt werden, 5 Jahre später mag die Situation völlig anders aussehen - wann endet die Haftung? Und kommt ein Betriebssystem wie Windows für wenige hundert Euro tatsächlich mit dem Versprechen, kritische Daten mit einem vielfachen seines Werts zu schützen? Ich bin der Ansicht, dass für kritische Daten verlangt werden kann, diese durch ein vielschichtiges Sicherheitsmodell zu schützen - wer haftet dann bei Totalversagen?

pab: Evtl. könnte die Haftung auf kommerzielle Hersteller und Importeure beschränkt werden. Diesen ist die Haftung zumutbar, weil sie sich versichern können.

name: Tatsächliche Durchsetzbarkeit der bestehenden Regelungen wäre ein guter Anfang. Bei Firmen, welche mit sensitiven Daten umgehen regelmäßige Audits, öfter als die aktuellen alle ~40000 Jahre. Vorraussetzung: *wesentlich mehr* in den entsprechenden Behörden beschäftigte Mitarbeiter.

3-strikes:

  • persönliche Haftung der Geschäftsleitung
  • einfache Auskunftsverfahren für Individuen gegenüber Unternehmen und Behörden bzgl. der gespeicherten Daten und deren Herkunft
  • Nachweispflicht für Datenherkunft: persönliche Daten, deren legale Herkunft nicht nachgewiesen werden kann, müssen als illegal gewertet und mit Strafen belegt werden
  • deutlich höhere Strafen

Janine: Der Nutzer muss immer wissen, wann, welche Daten wie erhoben werden und was damit gemacht wird. Man bekommt doch heute im Internet gar nicht mehr mit, wenn Daten gesammelt werden und weiss auch nicht wie diese ausgewertet oder wohin sie weiterverkauft werden.

rahe5001: Datenschutz primär-verfassungsrechtlich im Grundgesetz absichern, datenschutzrechtliche Ansprüche auch in das BGB aufnehmen ("Hamburger Modell"), neben all den notwendigen gesetzlichen Änderungen haben wir zur Zeit mangels Personals vor allem ein massives Vollzugsproblem in Bund und Ländern (Anm: bin gespannt, was der Vertreter aus Bayern dazu zu sagen hat).

name: Informations- und Schadensersatzpflichten bei Datenlecks, nach unten begrenzt durch eine Pauschale, bei der kein Nachweis der Schadenshöhe notwendig ist. Bei vorsätzlichem Mißbrauch empfindliche Geldbußen oder auch strafrechtliche Konsequenzen.

Zu Datenschutz: höhere Strafen für Mißbrauch von Daten durch kommerzielle Anbieter (BDSG ist ein zahnloser Papiertiger), Informations- und Schadenserstatzpflichten bei Datenlecks, nach unten durch eine Pauschale begrenzt, für die kein Nachweis eines entstandenen Schadens notwendig ist.

2.2. Welche Rollen können einer Stiftung Datenschutz zukommen?

pab:

  1. Als Vorbedingung muss die Stiftung finanziell und organisatorisch unabhängig von Unternehmen und Staat sein. Die Satzung der Stiftung Warentest kann nur bedingt als Vorbild verwendet werden, weil diese Stiftung - anders als die Stiftung Datenschutz - keine staatlichen Angebote testet. Die Stiftung sollte vom Deutschen Bundestag errichtet werden und nicht von der Exekutive. Die Stiftung Warentest verfügt derzeit über ein Stiftungskapital von 22 Mio. Euro; dies sollte auch für eine Stiftung Datentest machbar sein.
  2. Hauptaufgabe der Stiftung soll der "Datentest" (analog "Warentest") sein. Die Stiftung sollte verschiedene Anbieter einer Leistung vergleichen im Hinblick auf die Menge der erhobenen Daten, die Datenverwendung und -weitergabe (etwa ins Ausland oder zu Werbezwecken), die Löschungsfristen und die Datensicherheit. Man sollte auch den öffentlichen Bereich nicht ausnehmen. Beispielsweise könnten die Datenschutzvorkehrungen bei verschiedenen Arbeitsagenturen verglichen werden. Verbraucher können heutzutage realistischerweise nicht überblicken, was einzelne Anbieter mit ihren Daten machen. Wenn es eine „Stiftung Datentest“ gäbe, könnten Verbraucher sich ausgehend von deren Urteil ("gut" oder "unbefriedigend") leicht für ein datenschutzfreundliches Produkt entscheiden. Hersteller würden schon präventiv für mehr Datenschutz sorgen, um eine Empfehlung zu erzielen und schlechte Publicity zu vermeiden.
  3. Die Stiftung könnte daneben die Aufgabe erhalten, zivilgesellschaftliche Aktionen zur Verbesserung des Datenschutzes und auch die wissenschaftliche Überwachungsforschung finanziell zu unterstützen (z.B. Aufklärungsaktionen wie die 'Freiheitsredner'). Mittel hierfür gibt es bisher kaum.
  4. Nach dem Vorbild des Verbraucherzentrale-Bundesverbands könnte der Stiftung ferner die Aufgabe übertragen werden, gegen Datenschutzverletzungen zu klagen. Dies würde eine Verbandsklagebefugnis im Bereich von Verletzungen des Rechts auf informationelle Selbstbestimmung bedingen, die daneben auch Verbraucher- und Datenschutzvereinen verliehen werden sollte.


  1. Sie könnte professionelle, geprüfte, hauptamtliche Datenschützer ausbilden. Die dann per Gesetz in Unternehmen und Behörden vorgeschrieben werden.--Sailer 18:02, 1. Jan. 2010 (CET)

-> Wichtig ist, dass diese Stiftung nicht eine einzelne neue Institution ist, sonst kann man sie schnell wieder abschaffen, daher idealerweise integrieren in stiftung warentest oder: den verein CCC e.v. mit einer Stiftung versehen. Hier sind die richtigen Leute.

rahe5001: bitte Doppelstrukturen vermeiden, zur Zeit tummeln sich in dem Bereich Stiftung Warentest (Achtung: Stiftungszweck müßte erweitert werden), Verbraucherzentralen, Datenschutzbeauftragte bzw. Behörden und TÜV.

Dooorie: Ergänzung: Die Stiftung könnte eine Revision sämtlicher Gesetze über Datensammlung und sämtlicher Erlaubnisse zur Erhebung von Daten vornehmen mit dem Ziel der Einsparung von Datensammlungen. Jede Datensammlung, die nicht erwiesen angemessen und notwendig ist, hat zu unterbleiben.

2.3. Wie können De-Mail und elektronischer Personalausweis als Angebote für besseren Selbstdatenschutz eingesetzt werden?

pab:

  • De-Mail
    • Von der Benutzung kann nur abgeraten werden.
      • Aufgrund der Architektur von De-Mail fließen alle Daten und Kontakte auf die Person rückführbar an einer zentralen Stelle zusammen; die Verwendung mehrerer, nicht in Verbindung zu bringender Identitäten ist nicht möglich. Ein übergreifendes Konto für sämtliche Kontakte ermöglicht eine Verknüpfung ganz unterschiedlicher Dateien. Wo viele Informationen zusammenlaufen, droht viel Missbrauch, geschehen viele Pannen und kann viel überwacht werden.
      • Der nicht rückverfolgbare Versand von Nachrichten ohne Absenderangabe, wie ihn die Post ermöglicht, steht hier nicht zur Verfügung.
      • Stattdessen wird jeder Kontakt über die De-Mail-Adresse und jeder Zugriff auf das Postfach aufgezeichnet und sechs Monate lang auf Vorrat gespeichert (§ 113a TKG).
      • Die hinterlegten persönlichen Daten des Nutzers sind für eine Vielzahl von Sicherheitsbehörden und Geheimdiensten unter nichtigen Voraussetzungen anforderbar (§ 113 TKG), die Identität hinter einer De-Mail-Adresse ist für über 1.000 Personen und Stellen in einem Onlineverfahren abrufbar (§ 112 TKG).
      • Schließlich wird De-Mail zurzeit wohl von der Deutschen Telekom AG betreut, die Daten ihrer Kunden zweckentfremdet und verloren hat wie wohl kein anderes deutsches TK-Unternehmen.
      • De-Mail ist insgesamt das Gegenteil von sicherer und vertraulicher Kommunikation.
      • Besonders falsch ist die Zielsetzung des Projekts, "die nicht-anonyme und sichere elektronische Kommunikation zum Normalfall" zu machen. Nur anonyme Kommunikation ist sicher vor missbräuchlicher Aufdeckung des Kontakts.
  • Elektronischer Personalausweis
    • Von der Benutzung kann nur abgeraten werden.
      • Es braucht wenig Fantasie, um vorherzusehen, dass die zunächst freiwilligen Identifizierungsverfahren nach und nach obligatorisch werden werden und die anonyme Nutzung von Angeboten unmöglich werden wird, sei es der Abruf von Verwaltungsinformationen oder der Einkauf im Internet. Im Internet wird eine Identifizierung mit Personalausweis viel öfters gefordert werden als im „wirklichen“ Leben; auf diese Weise verändert sich unsere Gesellschaft. Unter die Räder kommt dabei, dass es durchaus legitime Gründe geben kann, einem Versandhaus nicht seinen wirklichen Namen anzuvertrauen, etwa wenn die bestellte Ware eigene Krankheiten oder auch sexuelle Aktivitäten betrifft.
      • Wenn kostenlose Dienste zur Anmeldung unnötig Namen und Adresse abfragen, konnte man sich bisher dagegen schützen, indem man falsche Angaben machte. Künftig wird dies nicht mehr möglich sein.
      • Bislang genügte es vollauf, seine Daten bei der Behörde in ein Formular einzutragen und vielleicht seinen Ausweis vorzuzeigen. Es ist nicht erforderlich, die Daten direkt, zeichengenau und womöglich noch mit der Ausweisnummer in den Behördencomputer einzulesen. Genau dies wird künftig der Fall sein und einen übergreifenden Datenabgleich ungleich leichter machen.
      • Wie sich im Fall von Bank- und Kreditkarten zeigt, ist es zudem nur eine Frage der Zeit, bis elektronische Personalausweise von Straftätern kopiert werden (Identitätsdiebstahl), um im Namen des Opfers im Internet Unheil anzurichten. In den USA führt derartiges regelmäßig zu falschen Verdächtigungen und Festnahmen. Die vermeintliche Sicherheit der Identifikation ist keine, wie schon die verbreitete Weitergabe von ec-Karten-PINs zeigt.
      • Der Plan wird wohl bereits daran scheitern, dass zur Verwendung dieser Funktionen Lesegeräte für jeden PC erforderlich wären. Ähnliche Versuche beim Online-Banking und im „elektronischen Rechtsverkehr“ sind weitgehend gescheitert. Auch ein elektronischer Personalausweis wird hoffentlich schlichtweg nicht genutzt werden. In anderen Ländern sind vergleichbare Dokumente unbekannt und auch nicht erforderlich.
  • So sieht ein echter Selbstdatenschutz aus:
    • Überflüssige Fragen im Internet nicht oder nicht richtig beantworten.
    • Wenn eine E-Mail-Adresse angegeben werden muss, anonyme Wegwerfadressen verwenden.
    • Angebote von US-amerikanischen Firmen und aus anderen Staaten ohne Datenschutz vermeiden.
  • Deswegen brauchen Unternehmen und Behörden kein staatliches Verfahren zur Authentifizierung via Internet:
    • Bei kostenpflichtigen Leistungen muss nur die Zahlung sicher gestellt werden, nicht auch die Identität. Die Zahlung kann anonym über Vorkasse oder anonyme Online-Bezahldienste (z.B. Paysafecard) anonym erfolgen. Bei nachträglicher Zahlung kann mit Einwilligung des Kunden eine Bonitätsauskunft eingeholt werden.
    • Kommt es auf die Identität des Nutzers an, kann dieser auf verschiedene Weise authentifiziert werden:
      • durch Anforderung einer Unterschrift per Post oder Fax
      • durch Erhebung einer Bank- oder Kreditkartenverbindung
      • durch das PostIdent-Verfahren
      • durch eine persönliche Registrierung unter Vorzeigen eines Ausweisdokuments
      1. Überhaupt nicht. Das widerspricht sich gegenseitig.
      2. De-Mail ist a. nicht duchsetzbar. b. hat keine Vorteile zum Selbstdatenschuz. c. macht den Bürger gläsern und wiederspricht somit dem Datenschutz.
      3. Der elektronische Perso macht Menschen eindeutig identifizierbar. Es können eindeutige Bewegungs- und Verhaltensprofile angelegt werden (von staatlicher und nicht-staatlicher Seite) gegen solche Maßnahmen ist der Bürger nach Einführung des neuen Perso machtlos, er kann es nicht verhindern. Er kann sich nicht selbst davor schützen. Es ist also im Zusammenhang mit den elektronischen Peronalausweis ein Selbstdatenschuz nicht möglich. Daher gehört er abgeschafft bzw. nicht eingeführt.--Sailer 18:02, 1. Jan. 2010 (CET)

rahe5001: Volle Zustimmung @pab: De-Mail ist nicht nur überflüssig, sondern gefährlich. Für den e-perso sehe ich genauso wenig Bedarf.

name: Zusätzliche Punkte gegen De-Mail: keine End-to-End Verschlüsselung (per Default), welche das einzige zuverlässige Mittel gegen unbefugte Kenntnisnahme auf dem Übertragungsweg ist. Offene Standard für sichere Kommunikation existieren und sind weltweit in Benutzung, es besteht kein Bedarf an einer Insellösung.

De-Mail ist ein trauriger Witz. End-to-end Verschlüsselung, Authentifizierung und Signierung auf Basis bestehender Standards ist das absolute Minimum um dieses lächerliche Projekt aus der Stasi-2.0-Ecke zu ziehen. Personalausweis sollte elektronische Zertifikate beinhalten, Schlüssel *muss* austauschbar sein um Vertrauen zu gewinnen.

2.4. Welche Rolle kann das BSI übernehmen, um die Datensicherheit im öffentlichen und nicht-öffentlichen Bereich zu fördern?

pab:

  • Zuallererst sollte es von der verfassungswidrigen Befugnis zur Surfprotokollierung nach § 5 BSIG keinen Gebrauch machen.
  • Sinnvoll ist Information und Beratung in grundsätzlichen und aktuellen Fragen der Datensicherheit. Ob das BSI neben Datenschutzbeauftragten und Stiftung Datentest hiermit beauftragt werden sollte, bedarf näherer Prüfung.
  • Eingriffsbefugnisse des BSI für die Abwehr von IT-Gefahren sind abzulehnen. Die Zuständigkeit der Länder für die Gefahrenabwehr hat sich bewährt. Eine Zentralisierung erhöht den Schaden von Machtmissbrauch und Pannen auf ein inakzeptables Maß, weil das Fehlverhalten einer Person oder Behörden Auswirkungen auf die gesamte Bundesrepublik hätte. Gegebenenfalls können die Länder spezialisierte Stellen für die Abwehr informationstechnischer Gefahren einrichten. Für den Fall länderübergreifender Gefahren müssen die Länder eine praktikable Zuständigkeitsregelung finden. Das BSI darf allenfalls auf Anforderung der zuständigen Polizeibehörde beratend tätig werden.
  • das BSI hat auch gewarnt gegen Google Chrome und seien Tracking ID. Dieses Warnfunktion und das Testen von Internetangeboten oder Empfehlungen dazu zu geben wäre sinnvoll. Beratungsfunktion erhöhen indem mehr Pressemitteilungenzu ausgewählten Internetprodukten und deren Sicherheit gegeben wird.
  1. Das BSI könnte fordern und es für notwendig erkennen, professionell ausgebildete Datenschützer im öffentlichen und nicht -öffentlichen Bereich einzusetzen, weil Datenschutzbeauftragte, die ihrem eigentlich Beruf nachgehen müssen und keine besondere Befugnis sowie Kenntnis besitzen, eine zu stumpfe Waffe im Kampf gegen Datenkriminalität darstellen. Z.B. könnte gesetzlich gefordert werden, ab einer Betriebs- bzw. Organisationsgröße von x Mitarbeitern und y Kundenkontakten ist ein fester professionell ausgebildeter Datenschützer einzustellen.
  2. Bei kleineren Organisationen ist ein professionell ausgebildeter Datenschützer Stundenweise zu beschäftigen, die Dauer ist abhängig von der Organisationsgröße und deren Kundenkontakten. --Sailer 18:02, 1. Jan. 2010 (CET)

name: Open-Source-Projekte (die sowieso sämtliche kritische Infrastruktur im Internet steuern und schützen) fördern, im Gegenzug keine Gelder mehr für von Microsoft, Telekom, Siemens und anderen Dinasauriern regelmäßig an die Wand gefahrene Projekte.

2. Dialog "Das Internet als Mehrwert erhalten"

(noch keine Einladung)

3. Dialog "Staatliche Angebote im Internet"

(noch keine Einladung)

  • hier geht es nicht nur um Webseiten der staatlichen Institutionen, sondern die Frage ist, wo wirtschaftliche Unternehmen ein Monopol haben, das der Staat ausgleichen muss. Siehe Beispiel Suchmaschine Google im Beeich Suchen und Scannen von Büchern. Hier müssen die staatlichen bibliotheken elektronische Bücher archivieren und der Staat muss auch was für eine Suche der Internetseiten tun, wie es Quaero getan hat, z.B. könnte jede Buildungsinstiution bzw. jede staatliche Webseite per Gesetz verpflichtet werden, am yacy suchnetz teilzunehmen.

4. Dialog "Schutz der Bürger vor Identitätsdiebstahl und sonstiger Kriminalität im Internet"

(noch keine Einladung)

Siehe auch

Netzpolitik.org: BMI lädt zu Datenschutz-Dialog ein

Persönliche Werkzeuge
Werkzeuge