« Physische Sicherheit | Blog | Spionage »

Bundesrats-Ausschüsse wollen Datenschutz abschaffen [Update]

Samstag 13 Oktober 2018   Kategorien: Datenschutz, Politik   von Rainer W. Gerling

Der federführende Ausschuss für Innere Angelegenheiten und der Wirtschaftsausschuss des Bundesrates haben den Plenum des Bundesrates empfohlen die Regeln für die Bestellpflicht eines betrieblichen Datenschutzbeauftragten zu streichen. Damit würde eine seit vielen Jahren bestehende bewährte Regelung gekippt.

Die offensichtliche Unkenntnis über die Regelungen der DS-GVO hat ja bekannterweise ziemliche Blüten getrieben. Aber auch organisationen die es besser wissen sollten, versuchen sich an einer Schwächung des Datenschutzes. Der Branchenverband bitcom hat schon im Juli 2018 in einer Stellungnahme gefordert, die Grenze für die Bestellpflicht eines Datenschutzbeauftragten von zehn Beschäftigte auf 250 Beschäftigte anzuheben. Diese Zahl 250 stammt übrigens aus einer EU-Definition für KMUs. Nach diese Definition sind über 99% aller Unternehmen in Deutschland KMUs.

Die wirtschaftspolitischen Vereinigungen, die der CDU, CSU, SPD und FDP nahestehen fordern sogar die völlige Abschaffung deutscher Regelungen zur Bestellpflicht eines Datenschutzbeaufttagten.

Die Bundesratsdrucksache ist nicht lesefreundlich, deshalb hier eine Synopse der vier unterschiedlich prioriiserten Ausschussvorschläge zur Änderung des § 38 Abs. 1 BDSG. Dabei hat Vorschlag 1 die höchste Priorität.

Die Abschaffung der Regelungen für die Bestellpflicht des Datenschutzbeauftragten ist der falsche Weg. Die (offensichtliche falsche) Wahrnehnung bei den Unternehmen war schon immer: wer keinen Datenschutzbeauftragten bestellen muss, für den gelten die Vorschriften der Datenschutzgesetze auch nicht. In Unternehmemn, die keinen Datenschutzbeauftargten haben, kümmert sich dann auch niemand mehr um den Datenschutz. Hier darf die Politik kein falsches Signal setzen.

Am 19. Oktober 2018 steht der "Entwurf des Zweiten Datenschutz-Anpassungs- und Umsetzungsgesetz EU - 2. DSAnpUG-EU)" als TOP 29 auf der Tagesordnung des Bundesrates.

Update: 1:0 für den Datenschutzbeauftragten; der Bundesrat ist in seiner Sitzung am 19.10.2018 dem Vorschlag der Ausschüsse nicht gefolgt und hat § 38 BDSG unverändert gelassen (Seite 377). Jetzt folgt die Behandlung des Gesetzes im Bundestag.

Sicherheitsrisiko freies WLAN

Samstag 11 August 2018   Kategorien: Physische Sicherheit, Politik   von Rainer W. Gerling

Bisher war die herrschende Meinung, dass freies WLAN wegen der Störerhaftung für den Betreiber ein Risiko darstellt. Jetzt hat die Regierung von Oberbayern klargemacht, dass freies WLAN an bestimmten Orten eine Gefahr für Leib und Leben der Bürger ist, und deshalb nicht genehmigungsfähig ist. Durch einen Antrag der Münchener Stadtratsfraktion Die Grünen - Rosa Liste und die jetzt veröffentlichte Antwort darauf brachte es ans Licht.

Insbesondere würde die Bereitstellung von WLAN in Sperrengeschossen mit einem Anwachsen von Personenzahlen einhergehen, da hier ein Wetterschutz und im Winter ein gewisser Schutz vor Kälte gegeben ist. In Abhängigkeit von der Anlage und Ausdehnung des Sperrengeschosses der jeweiligen U-Bahn-Haltestelle sei es möglich, dass zusätzlich anwesende Personenansammlungen zu den maximal zu erwartenden Fahrgastströmen im Gefahrfall negative Auswirkungen auf die Sicherheit der in der Haltestelle anwesenden Personen haben und somit ein erhöhtes Gefährdungspotential für alle darstellen.

Grünen-Fraktionschef Dr. Florian Roth reagierte auf die Mitteilung mit scharfer Kritik: „Die Unterstellung, es könne durch ein WLAN-Angebot auf den Bahnsteigen zu ‚Personenansammlungen‘ kommen, da dort ein ‚Wetterschutz‘ gegeben sei, ist an den Haaren herbeigezogen. Wie wäre vor diesem Hintergrund das Betreiben von Verkaufsständen für Backwaren und Getränken etc. in Sperrengeschossen und sogar auf Bahnsteigen zu rechtfertigen? WLAN im Öffentlichen Nahverkehr wird auch im Masterplan zur Luftreinhaltung als Anreiz zum Umsteigen auf den ÖV genannt. Laut Regierung von Oberbayern ist das aber offenkundig unerwünscht. Die CSU-Staatsregierung brüstet sich gern damit, bei der Digitalisierung an der Spitze des Forstschritts zu marschieren – in der Praxis wird behindert und blockiert.

Vor diesem Hintergrund sollten alle Betreiber von Verkehrsmitteln mit unterirdischen Bahnsteigen und darüberliegenden Sperrengeschossen eine Neubewertung der Sicherheit vornehmen. Führt neben dem freien WLAN möglicherweise auch der Verkauf von Backwaren, Getränken, Zeitschriften und anderen Dingen an diesen Orten zu einer erhöhten Nutzung der Infrastruktur von „Personen, die nicht an der Nutzung der … Bahnen interessiert sind“?

DS-GVO Placebo

Freitag 10 August 2018   Kategorien: Datenschutz, Politik   von Rainer W. Gerling

Am 31. Juli 2018 erschien im Allgemeinen Ministerialblatt der Bayerischen Staatsregierung eine Veröffentlichung gemäß Ministerratsbeschluss vom 5. Juni 2018 "Datenschutz-Grundverordnung (DSGVO): Der Bayerische Weg zu einer bürgernahen und mittelstandsfreundlichen Anwendung.

Der Ministerrat beschließt nachfolgenden Bayerischen Weg zu einer bürgernahen und mittelstandsfreundlichen Anwendung des Datenschutzrechts, die die Ziele der Datenschutz-Grundverordnung sachgerecht und mit Augenmaß verfolgt und damit auch ihre Akzeptanz in der Bevölkerung fördert:

  • Kein Amateursportverein, keine Musikkapelle oder sonstige vor allem durch ehrenamtliches Engagement getragene Vereine müssen einen Datenschutzbeauftragten bestellen.
  • Bei einem Erstverstoß im Dickicht der Datenschutzregeln drohen keine Bußgelder; Hinweise und Beratung haben Vorrang vor Sanktionen.
  • Wir werden eine Praxis von Abmahnanwälten, die glauben bei Unternehmen formelle Datenschutzverstöße rechtsmissbräuchlich abmahnen und abkassieren zu können, nicht hinnehmen.
  • Wir werden mit den Betroffenen weitere Bestimmungen im Datenschutzrecht identifzieren, bei deren Anwendung im Besonderen darauf hinzuwirken ist, dass die Ziele der Datenschutz-Grundverordnung sachgerecht und mit Augenmaß verfolgt werden.
  • Hierzu werden wir weitere Gespräche mit Vereinen und Mittelständlern anbieten."

Sehr viel mehr als ein Datenschutz-Placebo ist das allerding nicht. Auch wenn Heise schreibt: "Damit gilt in Bayern die ausdrücklich die Vorgabe etwa an die für den Datenschutz zuständigen Landesbehörden, die Ziele der DSGVO 'sachgerecht und mit Augenmaß' zu verfolgen." [Link], so ist dem nicht so, denn nach Art. 52 Abs. 1 DS-GVO handeln die Aufsichtsbehörden "bei der Erfüllung ihrer Aufgaben und bei der Ausübung ihrer Befugnisse gemäß dieser Verordnung völlig unabhängig." Eine Weisung durch den Ministerrat ist also europarechtswidrig, da nicht mit der Unabhängigkeit der Aufischtsbehörden vereinbar. Wer als Amateursportverein, Musikkapelle oder sonstiger vor allem durch ehrenamtliches Engagement getragene Verein nach § 38 Abs. 1 Satz 1 BDSG eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten bestellen muss, da er in "der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt", sollte das tun. Die meisten angesprochen Vereinen dürften aber so klein oder so wenig IT-durchdrungens ein, dass die Vorschriften zur Betsellung einer oder eines DSB soweiso nicht greifen.

Also letztendlich ein Placebo, da nichts geregelt wird.

Wir wollen starke Bürger, die in Freiheit sicher leben.

Montag 28 März 2016   Kategorien: Datenschutz, IT-Sicherheit, Politik   von Rainer W. Gerling

Bundesinnenminister Thomas de Maizière äußert sich durchaus widersprüchlich, wenn es um den Konflikt von Grundrechten und Sicherheit (gerade auch vor dem Hintergrund Terrorismus) geht. Die Europäische Menschrechtskonvention sagt in Art. 5 Abs. 1 Satz 1 "Jede Person hat das Recht auf Freiheit und Sicherheit." Freiheit und Sicherheit sind Grundrecht die gelichberechtigt nebeneinander stehen. Zitate unseres Inneministers wie "Datenschutz ist schön, aber Sicherheit hat Vorrang" (genau hat er in den Tagesthemen vom 22.3.1026 gesagt: "Datenschutz ist schön, aber in Krisenzeiten wie diesen hat Sicherheit Vorrang.") legen nahe, dass Datenschutz ein Grundrecht zweiter Ordnung und die Sicherheit ein Grundrecht erster Ordnung ist. Bei einem Konflikt von Grundrecht gewinnt dann automatisch das Grundrecht erster Ordnung.

Unsere Rechtsordnung kennt nur Grundrechte und keine Rangfolge der Grudnrechte. Alle Grundrechte stehen gleichberechtigt neben einander! Natürlich kommt es immer wieder zu Konflikten zwischen Grundrechten. Diese müssen dann im Einzelfall gegeneinader abgewogen werden. Dabei kommen unterschiedliche gesellschaftliche Gruppierungen durchaus auch zu unterschiedlichen Bewertungen. Diese unterschiedlichen Bewertungen müssen ausdiskutiert werden.

Die finale Messlatte sind das Grundgesetz, die Europäische Menschrechtskonvention und Die Allgemeine Erklärung der Menschenrechte der Vereinten Nationen. Die Messlatte wird ultimativ angelegt von den dafür zuständigen Gerichten, also in Deutschland dem Bundesverfassungsgericht und auf europäischer Ebene dem Europäischen Gerichtshof. Und diese Urteile gelten final. Es steht einer Regierung nicht frei, die Urteille des jeweiligen Verfassugsgerichts zu ignorieren, da sie ihr nicht passen. Eine Regierung (so geschehen in Europa), die dies versucht hat die Grundidee von Demokratie und Gewaltentrennung nicht verstanden.

Einer der Gründerväter der Vereinigten Staaten, Benjamin Franklin, formulierte bereits 1775 eine noch heute gültige Maxime: "Wer wesentliche Freiheit aufgeben kann um eine geringfügige bloß jeweilige Sicherheit zu bewirken, verdient weder Freiheit, noch Sicherheit." (Zitiert nach Dr. Benjamin Franklin's nachgelassene Schriften und Correspondenz, nebst seinem Leben. Band 3. Franklin's Leben ersten Theil enthaltend. Weimar 1818).

(Abbildung: Screenshot der Homepage des BMI; abgerufen am 28.3.2016)

Vorratsdatenspeicherung: was kommt da auf uns zu?

Samstag 16 Mai 2015   Kategorien: Politik   von Rainer W. Gerling

Am 15. April 2015 hatte das Bundesministerium für Justiz und Verbraucherschutz Leitlinien zur Einführung einer Speicherpflicht und Höchstspeicherfrist für Verkehrsdaten vorgestellt. Die Leitlinie sollte den Rahmen abstecken, in dem ein neuer Versuch (Referentenentwurf) eine Vorratsdatenspeicherung einzuführen, bleiben muss, um nicht wieder für ungültig erklärt zu werden.

Das Bundesverfassungsgericht hatte mit Urteil vom 2. März 2010 (BVerfGE 125, 260) die Regelungen der §§ 113a und 113b TKG und auch § 100g Absatz 1 Satz 1 StPO, soweit danach Verkehrsdaten nach § 113a TKG erhoben werden durften, wegen Verstoßes gegen Artikel 10 Absatz 1 des Grundgesetzes (GG) für nichtig erklärt.

Der Gerichtshof der Europäischen Union hat am 8. April 2014 die Richtlinie 2006/24/EG (ABl. L 105 vom 13.4.2006, S. 54) für ungültig erklärt (verbundene Rechtssachen C-293/12 und C-594/12, EuZW 2014, 459), weil sie die Grundrechte aus den Artikeln 7 und 8 der Grundrechtecharta der Europäischen Union in unverhältnismäßigem Umfang einschränkte.

Nun wurde ein erster Referentenentwurf (Stand 15.5.2015) eines "Gesetzes zur Einführung einer Speicherpflicht und einer Höchstspeicherfrist für Verkehrsdaten" bekannt und auf netzpolitik.org veröffentlicht.

Laut Heise Newsticker soll ein Zugriff auch erlaubt sein, um beim Verdacht auf "mittels Telekommunikation begangene" Straftaten tätig werden zu können. Dies ist so nicht korrekt. Das Bundesverfassungsgericht hatte mit seinem Urteil zur Vorratsdatenspeicherung den § 100g Absatz 1 Satz 1 StPO, soweit danach Verkehrsdaten nach § 113a TKG erhoben werden dürfen, wegen Verstoßes gegen Artikel 10 Absatz 1 GG für nichtig erklärt.

Der Entwurf des § 100g Absatz 1 Satz 1 StPO sieht eine Verwendnung von Verkehrsdaten, die nach §113a bzw. § 113b TKG gespeichert wurden nicht mehr vor:

"(1) Begründen bestimmte Tatsachen den Verdacht, dass jemand als Täter oder Teilnehmer ...

2. eine Straftat mittels Telekommunikation begangen hat,

so dürfen Verkehrsdaten (§ 96 Absatz 1 des Telekommunikationsgesetzes) erhoben werden, soweit dies für die Erforschung des Sachverhalts erforderlich ist und die Erhebung der Daten in einem angemessenen Verhältnis zur Bedeutung der Sache steht. Im Fall des Satzes 1 Nummer 2 ist die Maßnahme nur zulässig, wenn die Erforschung des Sachverhalts auf andere Weise aussichtslos wäre. ..."

Dies ist also keine Ermächtigung für die Nutzung von Vorratsdaten. Dies ist in §109 Abs. 2 StPO geregelt. Über die dort aufgelisteten schweren Straftaten kann man sicherlich diskutieren. Aber die von Polizeivertretern immer wieder kolportierte "Beleidigung per E-Mail" ist jedenfalls nicht dabei.

Jedenfalls sind damit konkretere Vorstellungen der Bundesregierung zur erneuten Gestaltung der Vorratsdatenspeicherung "auf dem Markt". Nun kann die Diskussion über die Inhalte ernsthaft beginnen.

Das Kommunikationsgeheimnis ist (un)verletzlich

Freitag 20 Februar 2015   Kategorien: Awareness, IT-Sicherheit, Politik   von Rainer W. Gerling

In den Verfassungen aller demokratischer Staaten ist die Unverletzlichkeit des Kommunikationsgeheimnisses festgeschrieben (in Deutschland z.B. konkret als Brief-, Post und Fernmeldegeheimnis). Es werden dann noch Feinheiten unterschieden, ob das Kommunikationsgeheimnis für alle Menschen (z.B. in Deutschland) oder nur für die eigenen Bürger (z.B. in den USA) gilt.

In der „guten alten Zeit“ waren dies organisatorische Regeln. Der Staat garantierte das Kommunikationsgeheimnis durch Gesetze, konnte es aber selber jederzeit durchbrechen. Als die Post in Deutschland noch als staatliches Unternehmen die komplette Kommunikation abwickelte, war das unproblematisch: der Beamte der Sicherheitsbehörde ging zu dem Beamten des Kommunikationsunternehmens und gut war's. Die Kommunikationsüberwachung fand innerhalb von oder zwischen Behörden statt.

Mit dem Aufkommen von guter Verschlüsselung (z.B. Pretty Good Privacy, Encryption for the Masses) konnte endlich ein Bürger seine Kommunikation mit eigenen technischen Mittel schützen und er war nicht mehr auf die organisatorischen Regeln des Staates angewiesen. Und plötzlich waren sich Regierungen dieser Welt einig, so was das aber nicht gemeint mit dem Kommunikationsgeheimnis. Die Krypto-Debatte war geboren. Unter Innenminister Kanther war die erste große Runde in Deutschland. David Cameron hat im Januar 2014 die derzeit letzte Runde in Europa eröffnet.

Die heute verfügbaren Krypto-Algorithmen sind so gut, dass auch potente Dienste wie die NSA diese nicht ohne weiteres brechen können. Deshalb müssen die Dienste ausweichen. Wenn die Schlüssel bekannt sind, muss man die Algorithmen nicht knacken. Wie kommt man an den Schlüssel? Man „bittet“ jemanden, der ihn hat, ihn herauszugeben. Man sorgt dafür, dass nur Schlüssel generiert werden, die man kennt (d.h. man beeinflusst die Generierung der Zufallszahlen, aus denen die Schlüssel erzeugt werden). Man nimmt sich die Schlüssel einfach bei jemanden, der sie hat.

Gerade auch letzteres wird, wie wir heute wieder lernen mussten, intensiv gemacht. Ob eine Firma wie RSA, die geheimen Schlüssel aller Einmal-Passwort-Token (SecureID) speichert (Warum eigentlich?) oder ob man bei Chip(karten)-Herstellern einbricht, um sich die Schlüssel zu nehmen, wird letztendlich dann glücklicherweise doch bekannt.

Wir brauchen deutlich mehr asymmetrische Verschlüsselung mit dezentraler Erzeugung der Schlüsselpaare, so dass man die geheimen Schlüssel nicht gesammelt an einer Stelle abgreifen kann. Insofern ist der neue Personalausweis (nPA) ein guter Schritt. Er wird ohne Schlüsselpaar ausgeliefert und das Schlüsselpaar wird erst bei mir erstellt. Aber die Zertifizierer zieren sich noch das Verfahren zu unterstützen. Nur die Bundesdruckerei macht einen vorsichtigen Pilot-Test (sign-me).