Anna Biselli
Foto: Darja Preuss
-
: Verhandlungen um EU-Datenschutzgrundverordnung gehen in die letzte Runde
<a href="https://creativecommons.org/licenses/by/2.0/">CC BY 2.0</a> via flickr/<a href="https://www.flickr.com/photos/hyku/368912557">hyku</a> : Verhandlungen um EU-Datenschutzgrundverordnung gehen in die letzte Runde Heute laufen die finalen Verhandlungen zwischen den EU-Mitgliedsstaaten in Sachen EU-Datenschutzgrundverordnung. Die 28 EU-Innenminister treffen sich in Brüssel, um eine gemeinsame Position zu finden. Die Datenschutzreform soll den Datenschutz auf europäischer Ebene regeln, sodass in allem EU-Mitgliedsstaaten die gleichen Bedingungen gelten. Obwohl es noch zahlreiche Abstimmungen zu tätigen gilt, wird davon ausgegangen, dass der heutige Tag der letzte der Ministerratsverhandlungen sein wird. Ulrich Weinbrenner, der zuständige Referatsleiter im Innenministerium, sagte golem.de:
Nach 40-monatigen Beratungen im Rat besteht nunmehr die nötige Einigungsbereitschaft auf allen Seiten. Alle haben verstanden, dass eine Weiterführung der Verhandlungen nicht zwingend die bessere Umsetzung ihrer jeweiligen Forderungen zur Folge hätte.
Doch das stellt noch nicht das Ende des langwierigen Verhandlungsprozesses dar, der bereits 2012 angestoßen wurde. Es folgen die Trilogverhandlungen zwischen Rat, Parlament und Kommission, in denen letzte Details und Positionen ausverhandelt werden. Und mit den Trilogverhandlungen geht auch der Lobbykrieg in die letzte Runde. Die EU-Datenschutzreform hat eine Menge Aufmerksamkeit von datenverarbeitenden Konzernen und Wirtschaftsverbänden auf sich gezogen, die sich dafür einsetzen, Datenschutzregelungen möglichst stark zu verwässern. Am erfolgreichsten scheinen sie damit im Rat gewesen zu sein, dessen Position im Vergleich zu Parlament und Kommission am nachteiligsten für die Interessen der Bürger ausfallen wird – das ist bereits vor den heutigen Abschlussverhandlungen abzusehen.
Einer der wichtigsten Streitpunkte ist die Zweckbindung von Daten. Denn Datenverarbeiter sind daran interessiert, Daten auch zu anderen als ursprünglich bei der Erhebung angegebenen Zwecken zu nutzen. Der Nutzer bzw. Kunde verliert damit die Selbstbestimmung über die Verwendung seiner Daten. Ebenso gibt es gegensätzliche Meinungen in der Frage, ob Daten aus mehreren Quellen benutzt werden dürfen, um Profile über Personen zu erstellen.
Den mächtigen Wirtschaftslobbyisten stehen einige NGOs gegenüber, die sich bemühen, für einen besseren Schutz persönlicher Daten und Privatsphäre einzutreten. Bis wann sich der Trilog hinziehen wird, ist noch nicht abzusehen. Schätzungen, dass es noch dieses Jahr zu einer Verabschiedung der Verordnung kommen könnte, sind aber als sehr ambitioniert einzuschätzen, denn schon öfter wurden die Verhandlungen zur Datenschutzreform gebremst, auch von Deutschland.
-
: Fragwürdige Behauptungen, China und Russland hätten die Snowden-Dokumente entschlüsselt
Hat Snowden wirklich zur möglichen Identifizierung britischer Spione geführt? <a href="https://creativecommons.org/licenses/by/2.0/">CC BY 2.0</a> via flickr/<a href="https://www.flickr.com/photos/tonythemisfit/4673429271/in/photolist-87YxGK-ckpHpL-9ouqHE-eMiv4R-eT3FQ3-CzVvt-4oxsW4-mzL4fV-3YdccA-eaFN5z-4LiWxM-4xzEjn-j7sb6K-eRrBAr-6dTW5H-brnwPM-3L5k3-MThbR-2BGc7k-4Zpkzh-aFPboK-DyKbC-5T5m8p-kQ7rMc-gZHzFQ-btcVBx-DK7A3-9GTURh-8phsKc-5ZCbXo-hCpb6L-54mb11-nztFja-54maHs-6GHXaj-hHtCts-nhaTLa-nTAZXN-nynA6V-2dFwk-9iYaeD-9BScwS-5AWg5B-dQv22L-4tHFkq-5WTxtd-8FTzCG-gFg7E-8X7pFx-5sHWNx">tonythemisfit</a> : Fragwürdige Behauptungen, China und Russland hätten die Snowden-Dokumente entschlüsselt Laut Berichten von BBC und der Sunday Times soll es China und Russland gelungen sein, die Dateien der Snowden-Dokumente zu entschlüsseln. Das habe laut „höheren Geheimdienstkreisen“ dazu geführt, dass Agenten der britischen Geheimdienste aus Aufgaben abgezogen worden seien, da die Gefahr einer Identifizierung bestanden habe.
Doch wie soll das passiert sein, wenn man Edward Snowden Glauben schenkt, der stets beteuerte, es sei unmöglich, dass Dritte Zugang zu den Dokumenten bekommen hätten? Auf den ersten Blick wirkt die Nachricht mehr wie eine Stimmungskampagne, vor allem wenn aus dem britischen Innenministerium in der Folge wieder einmal Anschuldigungen kommen, Snowden habe „Blut an seinen Händen.“ Eine Rhetorik, die wir aus dem Wikileaks-Fall der Afghan War Logs kennen.
Noch dazu passt die Behauptung in die Zeit kurz nach der Veröffentlichung eines von dem britischen Premierminister David Cameron in Autrag gegebenen Berichtes von David Anderson, der Vorschläge für eine bessere Kontrolle der Geheimdienste enthält. Je mehr Snowden als verantwortungslos handelnde Bedrohung für die gern beschworene nationale Sicherheit dasteht, desto leichter lässt sich rechtfertigen, den eigenen Diensten ihre Befugnisse zu lassen oder sie sogar zu erweitern. Bisher mangelt es an faktischen Belegen dafür, dass Snowdens Enthüllungen jemals reale Konsequenzen für die Sicherheitslage gehabt hätten.
Eric King von Privacy International bemerkt außerdem:
Looking at the Sunday Times, it asks more questions than it answers […] Given Snowden is facing espionage charges in the US, you would have thought the British government would have provided them with this information.
Auch Shami Chakrabarti, der Vorsitzenden der Bügerrechtsorganisation Liberty, kommt die Sache komisch vor:
Last week, David Anderson’s thoughtful report called for urgent reform of snooping laws. That would not have been possible without Snowden’s revelations. Days later, an ‚unnamed Home Office source’ is accusing him of having blood on his hands. The timing of this exclusive story from the securocrats seems extremely convenient.
-
: Ein Nachrichtendienstbeauftragter soll es richten – Große Koalition hat Reformpläne
Kann ein Nachrichtendienstbeauftragter es schaffen, auf unkontrollierbare Dienste aufzupassen? - <a href="https://creativecommons.org/licenses/by/2.0/">CC BY 2.0</a> via flickr/<a href="https://www.flickr.com/photos/92682792@N00/3463127887/in/photolist-6h2rgv-7EHmvD-rNRmVi-mn2x3M-6DgtNr-rPzwg1-6frxrT-7msVXY-asWjWY-kdqaDb-eYw1oK-mUY5v-exkX2n-8qrdZg-6XQjZ9-54brdB-dUKmq-57gKk7-9eYJbQ-hnYrp-96vr9t-fLxaQ6-sa8bLc-nQkUM8-mE8KPW-dz5xiw-arXBcx-9raCy3-94ZRGr-953UQJ-niMito-8BZ9eV-pkbcDd-5BFhUe-dXokxX-hgqt6-ajsL8q-prXJxX-bYCAEY-9B3sTS-9B3quf-5NSoty-aMKMJX-7vHqzT-97dKap-5i32B7-4LzWtT-aUp39v-a8Kvy2-5NSjoG">gravitat-OFF</a> : Ein Nachrichtendienstbeauftragter soll es richten – Große Koalition hat Reformpläne RBB berichtet unter Berufung auf ein Reformkonzept der Großen Koalition davon, dass geplant sei, einen Nachrichtendienstbeauftragten für den Bundestag einzuführen, der den Mitgliedern des Parlamentarischen Kontrollgremiums (PKGr) helfen soll, die Geheimdienste zu kontrollieren.
Hintergrund der Reformpläne ist die Überforderung des Parlamentarischen Kontrollgremiums. Es ist dafür verantwortlich, alle Nachrichtendienste Deutschlands zu kontrollieren. Dafür sollen die Dienste dem Gremium Bericht erstatten. Neben dem PKGr soll auch die G‑10-Kommission, die Eingriffe ins Brief‑, Post- und Fernmeldegeheimnis Deutscher genehmigen muss, Geheimdienstkontrolle leisten. Das Problem: Das PKGr weiß nur, was es berichtet bekommt – es sei denn es bestellt einen Sachverständigen zur Untersuchung von Vorgängen.
Die Mitglieder des Gremiums haben keine realistische Möglichkeit, Sachverhalte derartig vollständig zu erfassen. Denn es besteht lediglich aus 9 Mitgliedern, die alle gleichzeitig auch Bundestagsabgeordnete sind. Wie viel Zeit da bleibt, sich mit der Kontrolle einer ausgeuferten Geheimdienstmaschine zu beschäftigen, die sich als nicht kontrollierbar erwiesen hat, kann man sich vorstellen.
Der stellvertretende PKGr-Vorsitzende Clemens Binninger sagte RBB, man brauche jemanden, „der ganzjährig dauerhaft diese Aufgabe macht und die nötige fachliche Autorität mitbringt.“ Die Person soll nicht aus dem Bundestag kommen, sondern womöglich ein externer Bundesrichter oder ‑anwalt sein und dem PKGr zuarbeiten. Ein Nachrichtendienstbeauftragter könnte dann auch dafür sorgen, dass sich die übrigen Kontrollgremien besser vernetzen können. Fraglich ist, ob eine Person allein zu einer merklich besseren Kontrolle führen kann. Das wird auch davon abhängen, welche Einsichtsrechte die Person in die Tätigkeiten der Dienste bekommt.
Kombiniert werden soll die Schaffung der Stelle mit einer generellen Reform der Geheimdienste. Dazu liege bereits ein Eckpunktepapier der SPD vor, das der RBB referenziert. Man muss skeptisch bleiben, denn bisher hat die Erfahrung leider gezeigt, dass dazu tendiert wird, die illegalen Praktiken der Dienste nicht zu beschränken, sondern für die Zukunft per Gesetz zu legitimieren.
Und dann ist da noch die Frage, ob ein Dienst, der per Definition geheim arbeitet, überhaupt kontrolliert werden kann.
-
: Schufa-Scoring: Regierung stellt Geschäftsinteressen über Datenschutz
: Schufa-Scoring: Regierung stellt Geschäftsinteressen über Datenschutz 
Wie überprüft die Bundesregierung, wie Schufa und Co. mit unseren Daten umgehen und ob das alles rechtens ist? Das wollte der linke Abgeordnete Klaus Ernst in einer Kleinen Anfrage wissen, die wir hier schonmal veröffentlichen, bis sie auch im Dokumentationssystem des Bundestages verfügbar ist.
Mieter sehen sich oftmals vor das Problem gestellt, dass sie eine Schufa-Auskunft vorweisen müssen, um eine Wohnung anmieten zu können. Mittlerweile verlangen beinahe alle Vermieter eine solche Selbstauskunft. Weigert sich der Mieter in spe, wird er die Wohnung nicht bekommen. Sagt die Auskunft etwas Negatives über ihn, auch. Dabei ist es unklar, wie genau der Scoring-Wert entsteht und welche Parameter wie in dessen Berechnung mit welcher Wertung einfließen. Berechnungen aufgrund falscher Annahmen zu korrigieren – unter diesen Umständen unmöglich.
Die Bundesregierung interessiert das augenscheinlich nicht besonders, denn:
Dem schutzwürdigen Interesse von Mietinteressenten, über die Preisgabe ihrer wirtschaftlichen und persönlichen Daten frei zu entscheiden, steht das berechtigte Interesse des Vermieters an der Bonität des künftigen Mieters gegenüber.
Außerdem sei ja eine freiwillige Einwilligung des Mieters erforderlich und damit die Datennutzung erlaubt. Dass von freiwilliger Einwilligung keine Rede sein kann, wenn ein Mieter nunmal eine Wohnung benötigt und es beinahe keine Vermieter gibt, die keine Schufa-Auskunft wollen, ignoriert man. Man müsse im Einzelfall ermitteln, welche Daten „für die Begründung des Mietverhältnisses“ erforderlich seien. Und auch hier wieder maximale Realitätsignoranz: Niemand wird einen Rechtsstreit mit seinem zukünftigen Vermieter beginnen, wenn er der Meinung ist, dass dieser zu viele Daten einsehen will. Noch einmal: Freiwilligkeit ist das nicht.
Für die Bundesregierung steht die Wirtschaft im Vordergrund:
Die Vertragsfreiheit ist wichtiger Bestandteil der sozialen Marktwirtschaft und wird durch Artikel 2 Absatz 1 des Grundgesetzes (GG) garantiert. Dazu gehört das Recht, eigenverantwortlich zu entscheiden, ob und mit wem man eine Vertragsbeziehung eingehen möchte.
Dem gegenüber kennt das Grundgesetz kein eigenständiges Grundrecht auf eine Wohnung.
Wer sich die Wohnung nicht leisten kann – oder besser: bei wem der Computer sagt, er könne sie sich nicht leisten – für den müssten dann eben Wohngeld und soziale Wohnraumförderung ran.
Immer wieder zieht man sich auf das berechtigte Interesse des Vermieters zurück, der wissen will, welches „Risiko“ er sich ins Haus holt. Aber gibt es wirklich ein derartiges Problem mit Mietprellern, dass ein a‑priori-Profiling gerechtfertigt ist? Das kann die Regierung nicht beantworten und auch dazu, dass die Scoring-Parameter nicht transparent sind, schweigt sie sich aus. Sie duldet damit die Praxis, das Geschäftsgeheimnis der Auskunfteien höher zu halten als das Recht auf informationelle Selbstbestimmung, das kommentiert auch der Fragesteller Klaus Ernst gegenüber netzpolitik.org:
Laut Regierung werden personenbezogene Daten zum Geschäftsgeheimnis von Firmen. Die Regierung erteilt der Wirtschaft eindeutig ein Vorranginteresse gegenüber den Interessen der Personen, mit deren Daten gedealt wird. Das ist schon recht skandalös. Dabei sollte sie sich mit aller Kraft dafür einsetzen, dass auf europäischer Ebene der Personaldatenschutz gestärkt wird.
Leider ruht sich die Regierung im Gegenteil eher auf der „europäischen Ebene“ aus. Sie will keine Schritte zur datenschutzkonformen Regelung der Schufa-Praxis unternehmen, sondern dabei auf die EU-Datenschutzgrundverordnung warten. Dort setze sie sich nach Eigendarstellung für allerlei Datenschutzfreundliches ein, aber ob das dann auch im endgültigen Text landet, „ist derzeit noch unklar.“ Wenn die Verantwortung nicht nach Brüssel geschoben wird, geht sie an die Länder, denn „[b]ereits nach geltendem Recht unterliegt das gesamte Scoring-Verfahren der Kontrolle der zuständigen Datenschutzaufsichtsbehörden der Länder.“
Dabei sagte der ehemalige Bundesdatenschutzbeauftragte Peter Schaar bereits:
Insbesondere halte ich es für dringend erforderlich, die Transparenz der Datenverarbeitung beim Scoring durch Kreditauskunfteien wie die Schufa zu verbessern und die immer weiter um sich greifende Profilbildung zu begrenzen. Der Gesetzgeber hat es in der Hand, dafür zu sorgen, dass derartige Verfahren nicht mehr als Betriebs- und Geschäftsgeheimnisse behandelt werden.
Bei einer derartigen Ignoranz kommt diesbezüglich leider keine große Hoffnung auf.
Volltext der Kleinen Anfrage aus dem PDF befreit
Kleine Anfrage des Abgeordneten Klaus Ernst u. a. und der Fraktion DIE LINKE.
Datenerhebung durch die Schutzvereinigung für allgemeine Kreditsicherung und andere Wirtschaftsauskunftsdateien
BT-Drucksache 18/5019
Auf die Kleine Anfrage übersende ich namens der Bundesregierung die beigefügte Antwort in 4‑facher Ausfertigung.
Mit freundlichen Grüßen
in VertretungDr. Günter Krings
[pagebreak]
Kleine Anfrage des Abgeordneten Klaus Ernst u. a. und der Fraktion DIE LINKE.Datenerhebung durch die SCHUFA und andere Wirtschaftsauskunfteien
BT-Drucksache 18/5019
Vorbemerkung der Fragesteller:
Vor allem in Ballungsräumen verlangen Vermieter von Wohnungsbewerbern häufig bereits vor der konkreten Vertragsanbahnung die Vorlage einer Bonitätsauskunft der Schutzvereinigung für allgemeine Kreditsicherung (SCHUFA) und setzen damit hohe Hürden für die Anmietung einer Wohnung auf ohnehin sehr engen Wohnungsmärkten. Die vermeintliche Vertragsfreiheit beider Vertragsparteien führt in der Regel lediglich dazu, dass Wohnungssuchende, die sich weigern, schon vor einer eventuellen Besichtigung einer Wohnung eine Bonitätsauskunft vorzulegen, keine Gelegenheit bekommen, die Wohnung zu besichtigen oder sogar zu mieten.
Dabei sind die Auskünfte der SCHUFA und anderer Wirtschaftsauskunfteien häufig fehlerhaft, während Verbraucher keinerlei Möglichkeit haben, die Berechnungsmethoden und Parameter für das Scoring zu überprüfen, da diese Daten nach gängiger Rechtsprechung (Bundesgerichtshof, Aktenzeichen IV ZR 156/13) dem Betriebsgeheimnis unterliegt. Der Schutz des Betriebsgeheimnisses wird damit höher eingestuft als das Recht auf informationelle Selbstbestimmung, obwohl die Informationen der Auskunfteien weit reichende Auswirkungen auf die Lebensumstände der Betroffenen haben können, etwa bei der Kreditvergabe oder der Wohnungssuche.
Die Nutzung so genannter Geodaten für die Erstellung von Kredit-Scorings ist weitgehend unreguliert, das Bundesdatenschutzgesetz schreibt lediglich vor, dass nicht ausschließlich Geodaten für die Erstellung von Scorings eingesetzt werden dürfen. Dem Bericht „Scoring nach der Datenschutznovelle 2009 und neuere Entwicklungen“ des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein und der Forschungsgruppe des Instituts für Grundlagen- und Programmforschung (GP) zufolge nutzt zwar der Marktführer SCHUFA Geodaten nur sehr eingeschränkt, andere große Wirtschaftsauskunfteien machten aber regelmäßig Gebrauch von Geodaten bei der Erstellung von Kredit-Scorings. Daten aus sozialen Netzwerken und anderen Quellen würden von den betrachteten Auskunfteien nicht genutzt.
[pagebreak]
Allerdings zeichnet sich ein Betätigungsfeld im Bereich der Kreditvermittlung ab, bei dem alle erreichbaren Daten über den Antrag stellenden Kreditnehmer gesammelt und ausgeweitet werden (vgl. etwa „Garantiert indiskret“, WELT am SONNTAG, 12. April 2015), um ein Kredit-Scoring zu erstellen, darunter der Verlauf des Internetbrowsers, die Einstellungen des Computers, von dem die Anfrage gesendet wird, umfassende Geodaten und Informationen aus sozialen Netzwerken – dabei werden aber offenbar diese Methoden nur für Anfragen aus dem Ausland genutzt.
ln jüngster Zeit sind Auskunfteien dazu über gegangen, zusätzlich Datenbanken aufzubauen, in denen sie Informationen zu Betrugsversuchen, Schwarzgeld oder Terrorismusfinanzierung zusammenzufassen; die Informationen dazu stammen dem Tätigkeitsbericht des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD S‑H) in der Regel von beteiligten Banken (Tätigkeitsbericht 2015 des ULD S‑H, S. 82 f.).
1. Ist der Bundesregierung bekannt, dass vor allem in Ballungsräumen mit angespanntem Mietmarkt Vermieter häufig von Wohnungsbewerbern Bonitätsnachweise und „Mietschuldenfreiheitsbescheinigungen“ verlangen, häufig schon vor einer konkreten Vertragsanbahnung?
Zu 1.
Die Bundesregierung beobachtet die Entwicklungen auf dem Wohnungsmarkt, insbesondere im Zusammenhang mit der Anbahnung von Vertragsverhältnissen, und wertet die dabei gewonnen Erkenntnisse aus.
2. Wie beurteilt die Bundesregierung diese Praxis aus datenschutzrechtlicher Perspektive und vor dem Hintergrund, dass Bewerbern, die eine solche Bonitätsauskunft nicht nachweisen können oder wollen, der Zugang zu Mietwohnungen häufig verwehrt wird?
Zu 2.
Dem schutzwürdigen Interesse von Mietinteressenten, über die Preisgabe ihrer wirtschaftlichen und persönlichen Daten frei zu entscheiden, steht das berechtigte Interesse des Vermieters an der Bonität des künftigen Mieters gegenüber.
[pagebreak]
Der Vermieter, der vor der Entscheidung steht, seine Wohnung an eine ihm unbekannte Person zu vermieten, darf die für seine Entscheidung wesentlichen Informationen vom Mietinteressenten erfragen. Hierzu gehören in der vorvertraglichen Phase auch Fragen nach der wirtschaftlichen Leistungsfähigkeit.
Aus datenschutzrechtlicher Sicht ist die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten nur zulässig, soweit eine gesetzliche Erlaubnis vorliegt oder der Betroffene eingewilligt hat. Sofern eine Einwilligung nicht freiwillig im Sinne von § 4a des Bundesdatenschutzgesetzes (BDSG) erfolgt, ist sie unwirksam. Hierüber kann nur im Einzelfall entschieden werden. Neben der Einwilligung kommt als Rechtsgrundlage für derartige Auskunftsverlangen § 28 Absatz 1 Satz 1 Nummer 1 BDSG in Betracht, wonach die Datenerhebung als Mittel für die Erfüllung eigener Geschäftszwecke zulässig ist, wenn sie für die Begründung eines Schuldverhältnisses mit dem Betroffenen erforderlich ist. Hier ist wertend und im Einzelfall zu ermitteln, welche Daten für die Begründung des Mietverhältnisses erforderlich sind. In Betracht käme grundsätzlich auch § 28 Absatz 1 Satz 1 Nummer 2 BDSG, der die zur Wahrung berechtigter Interessen der verantwortlichen Stelle erforderliche Datenerhebung zulässt, wenn kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen überwiegt.
Im Übrigen wird auf die Antworten zu den Fragen 1 und 5 verwiesen.
3. Wie bewertet die Bundesregierung die hier im Konflikt stehenden Grundsätze der Vertragsfreiheit einerseits und des Rechtes auf eine Wohnung andererseits, die Vermietern auf engen Wohnungsmärkten eine stärkere Verhandlungsposition verleihen und Wohnungssuchenden das Finden einer angemessenen Wohnung erschweren?
Zu 3.
Die Vertragsfreiheit ist wichtiger Bestandteil der sozialen Marktwirtschaft und wird durch Artikel 2 Absatz 1 des Grundgesetzes (GG) garantiert. Dazu gehört das Recht, eigenverantwortlich zu entscheiden, ob und mit wem man eine Vertragsbeziehung eingehen möchte.
Dem gegenüber kennt das Grundgesetz kein eigenständiges Grundrecht auf eine Wohnung. Es gewährleistet aber einen Grundrechtsschutz für Personen, die nicht in der Lage sind, für eine Unterkunft selbst aufzukommen.
[pagebreak]
Das Bundesverfassungsgericht leitet aus Artikel 1 Absatz 1 in Verbindung mit Artikel 20 Absatz 1 GG das Grundrecht auf Gewährleistung eines menschenwürdigen Existenzminimums ab. Dieser grundrechtliche Anspruch garantiert die Mittel, die zur Aufrechterhaltung eines menschenwürdigen Daseins unbedingt erforderlich sind. Das grundrechtlich gewährleistete Existenzminimum umfasst auch eine Unterkunft. Es ist Aufgabe des Gesetzgebers, diesen grundrechtlichen Anspruch zu konkretisieren, wobei ihm ein Gestaltungsspielraum zukommt (BVerfGE 125, S. 175 [S. 222 ff.]). Dieser Aufgabe ist der Gesetzgeber nachgekommen, vgl. etwa die Regelungen zu Unterkunft und Heizung in § 22 Sozialgesetzbuch Zweites Buch, zum Wohngeld im Wohngeldgesetz und die Regelungen der Länder zur sozialen Wohnraumförderung.
lm Übrigen wird auf die Antwort zu Frage 2 verwiesen.
4. Ist nach Kenntnis der Bundesregierung durch die in Frage 1 und 2 beschriebene Praxis eine zunehmende Segregation in Ballungsräumen zu beobachten? Falls ja, wie äußert sie sich?
Zu 4.
Der Bundesregierung liegen hierfür keine Anhaltspunkte vor.
5. Inwieweit sieht die Bundesregierung durch diese Praxis die Vorschriften aus § 4a des Bundesdatenschutzgesetzes tangiert, denen zufolge eine Einwilligung zur Nutzung personenbezogener Daten aus freien Stücken gegeben worden sein muss, um wirksam zu sein?
Zu 5.
Nach § 4a Absatz 1 Satz 1 BDSG ist die Einwilligung in die Erhebung, Verarbeitung und Nutzung personenbezogener Daten nur wirksam, wenn sie auf der freien Entscheidung des Betroffenen beruht. An der Freiwilligkeit fehlt es, wenn eine Einwilligung unter Ausnutzung einer wirtschaftlichen Machtposition erlangt wurde. Ob dies gegeben ist, kann nur im Einzelfall entschieden werden. Zu berücksichtigen ist unter anderem, dass der Vermieter grundsätzlich ein berechtigtes Interesse daran haben wird, die Bonität des künftigen Mieters einschätzen zu können, die Einwilligung folglich dem eigentlichen Geschäft dient.
[pagebreak]
Wenn keine wirksame Einwilligung vorliegt, richtet sich die Zulässigkeit der Weitergabe von Bonitätsauskünften durch Auskunfteien nach § 29 Absatz 2 BDSG, wonach die Übermittlung im Rahmen der Zwecke nach Absatz 1 zulässig ist, wenn der Empfänger der Daten ein berechtigtes Interesse an ihrer Kenntnis glaubhaft dargelegt hat und kein Grund zu der Annahme besteht, dass der Betroffene ein schutzwürdiges Interesse an dem Ausschluss der Übermittlung hat.
6. Welche Schritte wird die Bundesregierung wann einleiten, um dieser Praxis entgegen zu wirken?
Zu 6.
Die Bundesregierung plant keine entsprechenden Schritte. Auf die Antwort zu Frage 2 wird verwiesen.
7. Wie hoch ist nach Kenntnis der Bundesregierung die Zahl von Schädigungen durch so genannte Mietnomaden im Jahr (absolut und im Verhältnis zu den gesamten Wohnungsmietverhältnissen), und welcher materieller Schaden wird durch „Mietnomaden“ verursacht (beide Datenreihen bitte nach Fällen mit gerechtfertigter Mietminderung wegen Wohnungsmängeln einerseits und Fällen ohne derlei Minderungen andererseits differenzieren)?
Zu 7.
Der Bundesregierung liegen hierzu keine konkreten Daten vor. Einen Anhaltspunkt kann aber die Studie „Mieterschutz und Investitionsbereitschaft im Wohnungsbau – Mietausfälle durch sog. Mietnomaden“ geben, die das damalige Bundesministerium für Verkehr, Bau und Stadtentwicklung gemeinsam mit dem damaligen Bundesministerium der Justiz in der letzten Legislaturperiode beim Institut für Immobilienrecht der Universität Bielefeld in Auftrag gegeben hatte. In dieser Studie, die allerdings nicht repräsentativ war, wurden die freiwilligen Teilnehmer zu von Mietnomaden verursachten Schäden befragt. Rund 45 Prozent der betroffenen Vermieter gaben an, dass die Schäden unter 5.000 Euro lagen, bei 30 Prozent der betroffenen Vermieter lagen sie zwischen 5.000 und 10.000 Euro. Die Studie ist im Internet abrufbar unter http://www.jura.uni-bielefeld.de/forschung/institute/fir/FIR_Gutachten_Mietnomaden.pdf.
[pagebreak]
8. Inwieweit teilt die Bundesregierung die Sichtweise des Bundesgerichtshofs, der mit seinem Urteil vom 28. Januar 2014 (Aktenzeichen IV ZR 156/13) nach Lesart des im Auftrag des Bundesministeriums für Ernährung, Landwirtschaft und Verbraucherschutz sowie des Bundesministeriums der Justiz und für Verbraucherschutz erstellten Berichts „Scoring nach der Datenschutznovelle 2009 und neue Entwicklungen“ (GP-Forschungsgruppe, ULD S‑H 2014, S. 47 ff.) die Wahrung eines Betriebsgeheimnisses offenbar höher schätzt als das konkurrierende Recht der Klägerin auf informationelle Selbstbestimmung, indem der Klägerin kein Zugriff gewährt wird auf Vergleichsgruppen und die Gewichtung der Scoring-Merkmale bei der Ermittlung des – in diesem Fall falschen – Kredit-Scorings?
Zu 8.
Mit Blick auf das im Grundgesetz verankerte Prinzip der Gewaltenteilung und eine beim Bundesverfassungsgericht anhängige Verfassungsbeschwerde gegen das genannte Urteil des Bundesgerichtshofs wird die Bundesregierung dieses nicht bewerten.
9. Wie gedenkt die Bundesregierung auf die Forderung des ULD S‑H und der GP-Forschungsgruppe zu reagieren, die in ihrem Bericht „Scoring nach der Datenschutznovelle 2009“ eine rechtliche Klarstellung verlangen, der zufolge eine Auskunft zu den Elementen eines Scoring-Verfahrens und zu Vergleichsgruppen und Gewichtungen nicht dem Schutz des Geschäftsgeheimnisses unterliegt?
Zu 9.
Mit Rücksicht auf das laufende Verfahren beim Bundesverfassungsgericht wird die Bundesregierung die Forderung der Studie erst bewerten, wenn das Verfahren beendet ist.
10. Welche Schlussfolgerungen und Konsequenzen zieht die Bundesregierung aus der vergleichsweise neuen Entwicklung, bei der Kredit vergebende oder vermittelnde Unternehmen die Kreditwürdigkeit von Antragstellern mit Hilfe automatisierter Algorithmen errechnen, die zahlreiche personenbezogene Daten nutzen, darunter umfassende Geodaten, Browserverlauf, Einstellungen und installierte Programme des zur Kreditanfrage genutzten Computers, Aktivitäten und eingestellte Inhalte in sozialen Netzwerken (vgl. etwa „Garantiert indiskret“, WELT am SONNTAG, 12. April 2015 und „Geld in 15 Minuten“, CICERO, 26. März 2015)?
[pagebreak]
Zu 10.
Grundsätzlich liegt es in der Verantwortung der betreffenden Unternehmen, sich an geltendes Recht zu halten. Institute, die den Anforderungen des Kreditwesengesetzes unterliegen, dürfen nach § 10 Absatz 2 Kreditwesengesetz (KWG) für die Zwecke der Ermittlung der Eigenmittelanforderungen von Personen, mit denen sie Vertragsverhandlungen über Adressenausfallrisiken begründende Geschäfte aufnehmen, sowie von Personen, die für die Erfüllung eines Adressenausfallrisikos einstehen sollen, personenbezogene Daten erheben und verwenden, soweit diese unter Zugrundelegung eines wissenschaftlich anerkannten mathematisch-statistischen Verfahrens nachweisbar für die Bestimmung und Berücksichtigung von Adressenausfallrisiken erheblich sind oder zum Aufbau und Betrieb einschließlich der Entwicklung und Weiterentwicklung von internen Ratingsystemen für die Schätzung von Risikoparametern des Adressenausfallrisikos erheblich sein können. Dabei müssen diese Informationen aktuell sein, dem Institut eine Prognose der künftigen Entwicklung der Risikoposition ermöglichen und einen signifikanten Beitrag zur Prognose der künftigen Entwicklung der betreffenden Risikoposition leisten können. Dabei darf das Institut aber die nach dem KWG gesetzten Grenzen nicht überschreiten. So ist die Verwendung von Angaben zur Staatsangehörigkeit oder von besonderen Arten personenbezogener Daten nach § 3 Absatz 9 BDSG nach § 10 Absatz 2 Nummer 3 KWG ausdrücklich ausgeschlossen.
11. Sind der Bundesregierung Unternehmen bekannt, die derlei automatisierte und selbst für den Betreiber nicht mehr bis ins letzte rekonstruierbare Algorithmen beim Kredit-Scoring auch für Inländer nutzen?
Falls ja, welche?
Zu 11.
Der Bundesregierung liegen hierzu keine Erkenntnisse vor.
12. Sind Verfahren, wie in Frage 10 skizziert, nach Ansicht der Bundesregierung nach deutschem Recht zulässig?
Zu 12.
Datenschutzrechtlich ist in § 28b BDSG detailliert geregelt, unter welchen Voraussetzungen die Vorhersage eines zukünftigen Verhaltens einer Person mittels eines Scoringverfahrens durchgeführt werden darf.
[pagebreak]
Es dürfen nur Daten verwendet werden, die für die Berechnung der Wahrscheinlichkeit des bestimmten Verhaltens nachweisbar erheblich sind. Zudem müssen – sofern es sich nicht um eine Auskunftei handelt – die Voraussetzungen einer zulässigen Nutzung der Daten nach § 28 BDSG vorliegen. Sofern neben anderen Daten auch Anschriftendaten genutzt werden, ist der Betroffene zuvor zu unterrichten. Die konkrete datenschutzrechtliche Überprüfung obliegt den zuständigen unabhängigen Datenschutzaufsichtsbehörden der Länder.
Im Übrigen wird auf die Antwort zu Frage 10 verwiesen.
13. Welche Schritte wird die Bundesregierung einleiten, um die Verwendung personenbezogener Daten zur Erstellung von Scorings verschiedenster Art einer expliziten Zustimmungspflicht der Betroffenen zu unterwerfen?
Zu 13.
Transparenz ist bei der Anwendung von Scoring-Verfahren von elementarer Bedeutung. Eine Einwilligung ist grundsätzlich ein geeignetes Mittel, um diese Transparenz herzustellen und ist Ausdruck des Rechts auf informationelle Selbstbestimmung. Daneben wird Transparenz aber auch durch gesetzliche Informations- und Auskunftsansprüche gewährleistet.
In bestimmten Fällen muss die Verwendung personenbezogener Daten für das Scoring auch ohne Einwilligung des Betroffenen möglich bleiben. Ohne diese seriöse Möglichkeit der Bonitätseinschätzung wäre eine Willensbildung von Unternehmen sehr schwierig, was letztlich zu Lasten der Verbraucher als Gesamtheit gehen würde. Ob Regelungsmöglichkeiten und ‑bedarfe im nationalen Recht bestehen, wird die Bundesregierung nach Inkrafttreten der europäischen Datenschutz-Grundverordnung, die nach dem politischen Willen aller Beteiligten noch in diesem Jahr verabschiedet werden soll, prüfen.
14. Welche Schritte wird die Bundesregierung einleiten, um die Nutzung von Daten, aufgrund derer eine Diskriminierung nach ethnischen, religiösen, geschlechtlichen, politischen, sprachlichen Gesichtspunkten, nach Behinderung oder sexueller Orientierung möglich ist, zu verbieten?
[pagebreak]
Zu 14.
Die aktuelle Ratsfassung der europäischen Datenschutz-Grundverordnung (Stand: 27. Mai 2015) sieht in Artikel 20 Absatz 3 vor, dass automatisierte Einzelentscheidungen (einschließlich Profiling) nicht auf die besonderen Kategorien von Daten nach Artikel 9 Absatz 1 der Datenschutz-Grundverordnung gestützt werden dürfen: rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, genetische Daten, Gesundheit, Geschlechtsleben. Darüber hinaus hat sich die Bundesregierung in den Ratsverhandlungen für ein ausdrückliches Diskriminierungsverbot in dieser Vorschrift eingesetzt. Ob dieses auch in der endgültigen Fassung der Verordnung enthalten sein wird, ist derzeit noch unklar.
15. Welche Schlussfolgerungen und Konsequenzen zieht die Bundesregierung aus dem Aufbau von Datenbeständen bei einigen Wirtschaftsauskunfteien, die Daten zu Betrug, Geldwäsche, Terrorismusfinanzierung und anderen strafbaren Handlungen verzeichnen, vor allem vor dem Hintergrund, dass § 25h des Kreditwesengesetzes Kreditinstituten nur in Einzelfällen gestattet, Daten zu derlei Sachverhalten auszutauschen (vgl. Tätigkeitsbericht ULD S‑H 2015, S. 82 f.)?
Zu 15.
Der durch § 25h Absatz 3 Satz 4 und 5 KWG intendierte Informationsaustausch zwischen Instituten über Dienstleister, die hierfür eine Datenplattform bereitstellen, verwirklicht den Willen des Gesetzgebers, „einen Informationsaustausch und eine Informationszusammenführung bewerkstelligen (zu) können, um durch das Zusammentragen von Informationen mehrerer pflichtiger Institute ein Verdachtsmoment rechtzeitig erkennen zu können“ (Gesetzesbegründung zu § 25h Absatz 3 KWG – BT-Drs. 17/3023 S. 61). Nach Ansicht der Bundesregierung ist ein solcher Informationsaustausch für ein wirksames internes Sicherungssystem der Institute gegen Geldwäsche unverzichtbar. Ein Übermitteln von Informationen erfordert nicht, dass eine Information zu einem auffälligen Sachverhalt nur an ein einziges Institut übermittelt werden darf. Alle Informationen, die die berechtigten Institute unter Beachtung der Tatbestandsvoraussetzung des § 25h Absatz 3 KWG untereinander über eine Datenplattform austauschen, stellen einen Austausch „im Einzelfall“ dar.
Im Übrigen wird auf die Antwort zu Frage 16 verwiesen.
[pagebreak]
16. Hat die Bundesregierung Kenntnis darüber, welche Daten unter welchen Umständen von beteiligten Kreditinstituten für die in Frage 15 genannten Datenbestände gemeldet, und wie diese Bestände von den Auskunfteien bzw. den beteiligten Instituten genutzt werden?
Zu 16.
Nach den der Bundesregierung vorliegenden Informationen wird der Datenaustausch in der Praxis noch nicht genutzt, weil die Datenschutzbeauftragten des Bundes und der Länder sowie die diversen Gremien der Datenschutzbeauftragten der Länder bei den mit einer „Datenbanklösung“ im Einzelfall verbundenen datenschutzrechtlichen Fragen sich bisher nicht auf eine einheitliche Rechtsauffassung verständigen konnten.
17. Sieht die Bundesregierung Handlungsbedarf bei der Regulierung der skizzierten, privatwirtschaftlich verantworteten Sammlung von Daten zu strafbaren Handlungen?
Zu 17.
Bezüglich § 25h Absatz 3 KWG und der damit verbundenen Frage der Zulässigkeit von Datenbanken zum Zwecke der Geldwäsche- und Betrugsprävention im Bankensektor besteht kein gesetzlicher Handlungsbedarf.
Auch im allgemeinen Datenschutzrecht wird davon abgesehen, gesetzgeberisch tätig zu werden. Aufgrund der laufenden Verhandlungen zur europäischen Datenschutz-Grundverordnung sind nationale Änderungen im Datenschutzrecht derzeit nicht angezeigt. Erst nach Inkrafttreten der Datenschutz-Grundverordnung kann abgeschätzt werden, ob und ggf. welcher Regelungsbedarf im nationalen Datenschutzrecht besteht.
18. Welche Wirtschaftsauskunfteien nutzen nach Kenntnis der Bundesregierung welche personenbezogenen Daten zur Erstellung von Scorings, wie werden diese Daten bei der Erstellung der Scorings gewichtet, und welche Rechenmethoden werden eingesetzt?
[pagebreak]
Zu 18.
Der Bundesregierung liegen dazu keine Erkenntnisse vor, die über die veröffentlichten Studien „Scoring nach der Datenschutz-Novelle 2009 und neue Entwicklungen“ (GP-Forschungsgruppe und ULD Schleswig-Holstein, Kiel und München 2014) und „Scoring im Fokus: Ökonomische Bedeutung und rechtliche Rahmenbedingungen im internationalen Vergleich“ (Schröder/Taeger, Oldenburg 2014) sowie die Tätigkeitsberichte der unabhängigen Datenschutzaufsichtsbehörden der Länder hinausgehen. Sie verweist daher auf diese öffentlich verfügbaren Informationen. Die Studien sind im Internet unter http://www.bmiv.de/SharedDocs/Downloads/DE/pdfs/Scoring-Studie.pdf?_blob=publicationFile und https://www.uni-oldenburg.de/fileadmin/user_upload/wire/fachgebiete/privatrecht/DW-Studie.pdf abrufbar.
19. Welche Schritte leitet die Bundesregierung ein, um die Berechnungsmethoden, Vergleichsdaten und Gewichtung der einzelnen Parameter und des gesamten Scorings von Wirtschaftsauskunfteien einer nachvollziehbaren Prüfung durch unabhängige Stellen und von Betroffenen Beauftragte zu unterziehen?
Zu 19.
Bereits nach geltendem Recht unterliegt das gesamte Scoringverfahren der Kontrolle der zuständigen Datenschutzaufsichtsbehörden der Länder. Weitere nationale Schritte sind vor dem Hintergrund der laufenden Verhandlungen zur europäischen Datenschutz-Grundverordnung, die kurz vor dem Abschluss stehen, aktuell nicht angezeigt. Die Datenschutz-Grundverordnung behält die Kontrollbefugnisse der unabhängigen Aufsichtsbehörden bei. Darüber hinaus hat sich die Bundesregierung für die Aufnahme von Regelungen eingesetzt, wonach der für die Verarbeitung Verantwortliche verpflichtet ist, gegenüber dem Betroffenen angemessene mathematische oder statistische Verfahren zu verwenden sowie technische und organisatorische Maßnahmen einzusetzen, die sicherstellen, dass Ungenauigkeiten korrigiert und Fehler minimiert werden. Ob diese Regelungen auch in der endgültigen Fassung der Verordnung enthalten sein werden, ist derzeit noch unklar.
20. Sieht die Bundesregierung die Notwendigkeit, die in Deutschland tätigen Wirtschaftsauskunfteien einer Registrierungspflicht zu unterwerfen und die von Auskunfteien genutzten Scoring-Methoden einer Prüfung zu unterziehen?
[pagebreak]
Falls aus Sicht der Bundesregierung eine solche Notwendigkeit gesehen wird, bis wann ist mit einer Umsetzung zu rechnen, und wie soll die Registrierungspflicht ausgestaltet werden?
Falls die Bundesregierung die Notwendigkeit nicht sieht, warum nicht?
Zu 20.
Der Koalitionsvertrag der regierungsbildenden Parteien sieht vor, dass Unternehmen, die Scoringverfahren anwenden, verpflichtet werden sollen, dies der zuständigen Behörde anzuzeigen. Vor dem Hintergrund der laufenden Verhandlungen zur europäischen Datenschutz-Grundverordnung, die kurz vor dem Abschluss stehen, wurde eine Prüfung der Umsetzung zunächst zurückgestellt. Zur Kontrolle des Scoringverfahrens wird auf die Antwort zu Frage 19 verwiesen. Darüber hinaus sieht der aktuelle Ratsentwurf der Datenschutz-Grundverordnung in bestimmten Fällen besonders riskanter Datenverarbeitungen eine Vorabkonsultation der Datenschutzaufsichtsbehörden vor.
21. Wie viele Fälle sind der Bundesregierung aus den letzten 24 Monaten bekannt, in denen von privaten Wirtschaftsauskunfteien genutzte personenbezogene Daten missbräuchlich abgerufen oder eingesetzt wurden (bitte nach der Art des unberechtigten Datenzugriffs, internen bzw. externen Zugriffen aufgrund bekannter Sicherheitslücken aufschlüsseln) ?
22. Die Daten wie vieler Betroffener wurden dabei abgerufen bzw. missbräuchlich genutzt, und um welche Daten handelte es sich dabei?
Zu 21. und 22.
Der Bundesregierung liegen hierüber keine Erkenntnisse vor. Im Übrigen obliegt die datenschutzrechtliche Kontrolle von Auskunfteien den zuständigen unabhängigen Datenschutzaufsichtsbehörden der Länder.
23. Welche Schritte unternimmt die Bundesregierung, um den unbefugten Zugriff auf von Wirtschaftsauskunfteien gesammelte Daten weiter zu erschweren und eine sichere Verwahrung der sensiblen Daten zu gewährleisten?
[pagebreak]
Zu 23.
§ 9 BDSG verpflichtet die Wirtschaftsauskunfteien als verantwortliche Stellen, technische und organisatorische Maßnahmen zu treffen, die zur Gewährleistung der Ausführung der Vorschriften des BDSG erforderlich sind. Insbesondere sind die in der Anlage zu § 9 BDSG genannten Anforderungen zu gewährleisten.
Die Bundesregierung setzt sich ferner im Rahmen der zurzeit laufenden Verhandlungen für eine europäische Datenschutz-Grundverordnung auch für die Festlegung eines hohen Niveaus an Datensicherheit ein. Die drei derzeit vorliegenden Entwürfe der Europäischen Kommission, des Europäischen Parlaments und des Rates enthalten jeweils in Artikel 30 konkrete Anforderungen an die Datensicherheit, die der für die Verarbeitung Verantwortliche erfüllen muss.
-
: Generalbundesanwalt Range stellt Ermittlungen im Fall Merkel-Handy ein: „Nicht gerichtsfest beweisbar“
Merkel mit Telefon (Symbolbild) : Generalbundesanwalt Range stellt Ermittlungen im Fall Merkel-Handy ein: „Nicht gerichtsfest beweisbar“ Es lasse sich nicht gerichtsfest beweisen, dass das Handy der Kanzlerin von US-amerikanischen Nachrichtendiensten abgehört worden sei. Das ließ heute die Bundesanwaltschaft vermelden. Generalbundesanwalt Harald Range stellt daher die Ermittlungen in der Sache ein. Das Verfahren war im Sommer 2014 eingeleitet worden, nachdem bekannt geworden war, dass Angela Merkels Mobiltelefon von der NSA abgehört worden war, was auf ein Dokument aus dem Snowden-Fundus zurückging.
Range gelang es wohl nicht, dieses Papier im Original zu beschaffen. Es sei außerdem kein authentischer Abhörauftrag der NSA, sondern die Abschrift eines NSA-Dokuments. Also: kein Original-Beweis für das Abhören, keine Ermittlungen. Andere Ideen, an Beweise zu kommen, scheint Range nicht zu haben und auch nicht besonders engagiert zu sein, danach zu suchen. Außerdem:
Auch der Inhalt des Dokuments beweist nicht, dass das Mobiltelefon der Bundeskanzlerin möglicherweise seit dem Jahr 2002 abgehört worden ist. Festzustellen war, dass die darin aufgeführte Telefonnummer einem von der Bundeskanzlerin genutzten Mobiltelefon zuzuordnen ist. Ansonsten lassen die Angaben auf dem Dokument verschiedene Interpretationen zu. Keine von ihnen lässt sich mit dem Beginn der ersten Amtszeit der Bundeskanzlerin am 22. November 2005 sowie mit der als Anschlussinhaberin des Mobiltelefons ermittelten CDU-Bundesgeschäftsstelle in Einklang bringen. Dass es sich bei den in dem Dokument genannten Daten um die technischen Zielparameter für die Überwachung des von der Bundeskanzlerin genutzten Mobiltelefons handelt, muss daher eine Vermutung bleiben.
Eine Ermittlung aufgrund der Überwachung der gesamten Bevölkerung wurde immer noch nicht offiziell eingeleitet, darauf verweist auch die aktuelle Meldung des Generalbundesanwalts:
Die mögliche massenhafte Erhebung von Telekommunikationsdaten der Bevölkerung in Deutschland durch britische und US-amerikanische Nachrichtendienste bleibt weiter unter Beobachtung. Die Prüfung, ob sich aus den Ergebnissen der bisherigen und der noch laufenden Abklärungen Hinweise auf eine konkret verfolgbare Straftat ergeben, ist noch nicht abgeschlossen.
-
: Live-Blog zur Verabschiedung des IT-Sicherheitsgesetzes: „Versprechen im Titel wird nicht gehalten“
Geplante Cybersicherheitsstrategie für Deutschland - noch will sich die Regierung nicht äußern. : Live-Blog zur Verabschiedung des IT-Sicherheitsgesetzes: „Versprechen im Titel wird nicht gehalten“ Um 9 Uhr beginnen die zweite und dritte Beratung des „Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme”, des IT-Sicherheitsgesetzes (ITSG). Wir schreiben live mit und haben das Wichtigste zusammengefasst.
Zusammenfassung
Die Debatte verlief erwartbar. Mitglieder von Grünen und Linke wiesen auf Kritikpunkte im Gesetz hin, die wir bereits heute Morgen im Wesentlichen zusammengefasst haben. Mitglieder der CDU lobten sich insbesondere für den „kooperativen Ansatz”, bei dem Wirtschaft und BSI zusammenarbeiten sollen, um Sicherheitsvorfälle zu melden und zu analysieren.
Was an der Debatte auffiel: In beinahe jedem Redebeitrag wurde ein Bogen zum aktuellen Angriff auf die IT des Bundestags geschlagen. Der zeigt nämlich zum einen die Dringlichkeit einer Verbesserung, zum anderen auch die aktuelle Handlungsunfähigkeit und Überforderung von Verwaltung und BSI, den Vorfall unter Kontrolle zu bringen.
Die Opposition referenzierte häufig auch auf die Debatte zur Vorratsdatenspeicherung und mahnte an, dass ein Gesetz zur Erhöhung der IT-Sicherheit und eine anlasslose, massenhafte Speicherung von Kommunikationsdaten im Widerspruch zueinander stünden. Einigkeit herrschte weitgehend in dem Punkt, das BSI müsse unabhängig(er) vom Innenministerium werden. Ein Punkt, der außerhalb des ITSG geregelt werden muss.
Wie abzusehen war, wurde das Gesetz mit der Mehrheit der Regierungsfraktion angenommen. Unser Fazit fällt kurz aus und Petra Sitte hat es in ihrem Redebeitrag lobenderweise vorweggenommen:
Besser als die Blogger von netzpolitik.org kann man es nicht auf den Punkt bringen: Es wird ein IT-Sicherheitsimulationsgesetz verabschiedet werden.
De Maizière – Innenminister, CDU/CSU (09:02 Uhr)
IT-Sicherheit, Cyberwar, Cyberdefense, Marketing-Wörter. Es gibt kein Big Bang, keine einzige Maßnahme. Lösungen Schritt für Schritt angehen. ITSG ist wichtiger Schritt Richtung IT-Sicherheit.
Cybersicherheit ist IT-Sicherheit. Härtung und Schutz der System. Verhinderung und Verfolgung von Cyberkriminalität. Demokratischer Rechtsstaat hat im Internet nicht mehr und nicht weniger Rechte als außerhalb.
Unternehmen schützen, Wirtschaftsstandort Deutschland ist gefährdet. Cybersicherheit dient Schutz von Bürgern, Innovation, Staat.
Kritische Infrastrukturen schützen. „Die bei denen, wenn sie ausfallen, es für uns kritisch wird.”
Wir wissen, Melden ist peinlich, deshalb soll nicht alles öffentlich gemeldet werden.
Es gibt ein physisches deutsches Netz, das soll das ITSG schützen. Es gibt eine europäische Richtlinie, NIS, die ist dem ITSG nachgebildet. Das ist IT-Sicherheit made in Germany.
Wir haben keine Zeit zu verlieren.
Ist auch wichtig für Industrie 4.0 und Digitalisierung. Wird nicht ohne IT-Sicherheit funktionieren. Beispiel: Selbstfahrende Autos…
Bundestag wird heute das Gesetz verändern, äh verbessern. Hard- und Softwarehersteller werden einbezogen, BSI gestärkt, wird Sanktionen geben. Es bleibt beim „kooperativen Ansatz”. ITSG will kooperatives Verhältnis von Staat und Wirtschaft bei Entwicklung, Aufklärung, Meldung.
Thema Angriffe auf den Bundestag: Bundesregierung und Bundesverwaltung haben physisch getrenntes Netz. Lösung von bestimmtem ausländischen Betreiber nicht mehr akzeptiert. IT-Konsolidierung. Das Schutzschild, das BReg und BVerw gezogen haben, funktioniert ziemlich gut und das BSI hilft uns dabei. Bei Bundestagsangriff ist es gut, dass das BfV seine Hilfe auch anbietet.
ITSG ist EIN wichtiger Rechtsrahmen, ein nächster wird folgen. Nächste Woche evtl. Beginn Trilog zur EU-Datenschutzgrundverordnung, die auch für mehr Sicherheit in der IT sorgt.
Digitale Verwundbarkeit hat auch mit digitaler Sorglosigkeit zu tun. Noch so gute Gesetze ohne „Sicheres Fahren” im Netz gehen nicht. Anschnallgurt-Vergleich. Wenn man unsicher fährt, kommt es trotzdem zu Unfällen. Eigenverantwortung der Bürger.
Zwischenruf: Auch die sichern, die sich ordentlich verhalten!
Absolut!
Halte viel davon, dass wir uns Versicherungslösungen anschauen.
Petra Pau – Linke (09:17 Uhr)
ITSG ist längst überfällig. Linke will gute IT-Sicherheit, aber es liegt ein Schatten über dem Gesetz: NSA-Affäre. Bisher größter Angriff auf Bürgerrechte und Rechtsstaat in der BRD. Weniger IT-Sicherheit ist kaum denkbar. Bundesregierung entschied sich für null IT-Sicherheit.
Seltsamkeiten im Gesetzesentwurf. Zwei Gewinner: BND und BfV. Wettlauf der Geheimdienste schafft nicht mehr IT-Sicherheit, sondern weniger. Deshalb sagen wir nein. Es ist pure Selbstverständlichkeit, dass Informationen dem BfV übermittelt werden müssen und der Bundestag diese auch übermittelt. Auch selbstverständlich, dass BfV bei Bundestagsangriff hilft. Verstehe nicht die Pappkameraden, die gefordert haben, der Bundestag solle kooperieren.
IT-Sicherheit ist mehr als Innenpolitik. Für Linke hätten zwei Strukturveränderungen Vorrang: BSI aus Innenministerium lösen, zur ressortübergreifenden Bundesbehörde machen. Klare Qualitätsansprüche, finanzielle und personelle Mittel. BfDI weiter aufwerten. Bis hin zu einem Vetorecht.
Haben erlebt: Bei Anhörung zu VS-Gesetz wurde BfDI schlicht ignoriert. B90/Grüne haben Veränderungsantrag vorgelegt, Ablehnung Regierungsentwurf. Linke schließt sich an. Ein schlechtes Gesetz schafft nicht mehr Sicherheit im digitalen Zeitalter.
Gerold Reichenbach – SPD (09:23)
Heute wissen nur noch Computer, in welchem Regal sich Waren befinden. Störung hätte zur Folge, dass niemand mehr zugreifen kann. Waren wären noch da, niemand würde sie finden. Störungen können sich über Stunden und Tage hinwegziehen. Schutz kritischer Infrastrukturen ist elementar für Aufrechterhaltung des Staatswesens. Verbindliche Mindestanforderungen setzen. Unternehmen sollen sich und andere nicht schädigen.
Vorwurf, es handele sich um Meldegesetz. Stimmt nicht. Verstärkt die Pflichten der Telkos, stärkt BSI. Mehr Aufklärung in Bevölkerung soll helfen, BKA bekommt mehr Kompetenzen bei Cyber-Kriminalität. Experten-Anhörung, GroKo hat wichtige Anregungen aufgenommen. In EU wird gerade NIS beraten. Änderungsanträge: Bußgelder bei Verstößen, sonst wie Parkverbot ohne Bußgeld. Entspricht dem kooperativen Ansatz des Gesetzes.
BSI kann das nicht alleine lösen, braucht Kooperationen mit den Unternehmen. Fehlende Mitwirkungspflicht von Zulieferern kritisiert. Ist aber erstmal vertraglich zu regeln, klappt aber bei Monopolen und Streitigkeiten nicht. Deshalb hat BSI nun Anforderungsbefugnis, Unternehmen muss bei Beseitigung von Sicherheitslücken mithelfen.
Zweckbindung klarer gefasst: Abwehr von Gefahren der IT-Sicherheit des Bundes, Wartung und Warnung, Aufgaben BSI nach BSI-Gesetz – nichts mehr.
Wenn man aber in Verschwörungstheorie annimmt, dass die Gesetze nicht eingehalten werden, brauchen wir gar keine Gesetze mehr machen.
Standards, die für Wirtschaft gelten, gelten auch für alle Bundesbehörden. Auch Bundesverwaltung.
Stärkere Unabhängigkeit des BSI wäre notwendig, hätte aber die Komplexität des Gesetzes zu hoch gemacht. Änderungsantrag der Grünen ist wie Wunschzettel für alles Digitale. Rasante Entwicklungen in IT-Branche, deshalb soll Gesetz nach vier Jahren wissenschaftlich evaluiert werden. Erster Schritt, werden uns mit weiteren Themen beschäftigen müssen. Finde Versicherungslösungen sympathisch, brauchen aber klare Haftungsregelungen. Debatte geht weiter.
Überzeugt, dass wir mit ITSG einen richtigen und wichtigen Schritt getan haben. Linke ist immer noch ein bisschen in der Vergangenheit, denn in der digitalen Welt ist die Null von der Information gleichwertig der Eins.
Dieter Janecek – Grüne (09:37 Uhr)
Bundestagsangriff zeigt, man schafft es nicht, IT-Sicherheit hinzukriegen. MdBs haben Informationsbedürfnis, das wurde nicht befriedigt.
Im Änderungsantrag wurden Fehler nicht beseitigt. Außerdem VDS: Justizminister legt verfassungswidriges Gesetz vor. Wenn bei ITSG dasselbe, man kann nicht einfach ein Gesetz mit Hacker-Meldezentrale etablieren. Schutz der BürgerInnen ist überhaupt nicht vorgesehen, Aufklärung fehlt. Dialog mit Wirtschaft und Behörden fehlt, deswegen sind wir heute so anfällig. Interessant, dass sich Wirtschaft und Banken dazu geäußert haben, man solle die vom Gesetz Betroffenen erweitern.
Auch lobende Dinge: Änderungsantrag bringt Bewegungen in die richtige Richtung. Zum Beispiel Bußgelder. Aber nur bei tatsächlichem Schaden. Kein Meldeanreiz.
Rolle des BSI: Wir haben auf die SPD gesetzt in Punkto Unabhängigkeit. Wenig geblieben.
In Zeiten von NSA und Snowden bringt das kein Vertrauen, wir haben Vorschläge gemacht, die in die richtige Richtung gehen. Penetrationstest, dynamisches Prüfen.
Wir lehnen das Gesetz ab, da kein präventiver Ansatz, Titel hält Versprechen nicht.
Stephan Mayer – CDU/CSU (09:43)
Leben nicht mehr denkbar ohne funktionierende IT-Infrastruktur. Aber auch Abhängigkeit steigt. Richtig und wichtig, dass ITSG so stringent vorangetrieben wurde. BSI geht davon aus, dass bundesweit mehr als 1 Mio. Rechner Teil eines Botnetzes sind. Angeblich jeden Tag 300.000 neue Varianten von Schadprogrammen.
Geht um Bereiche der Daseinsvorsorge. Mindeststandards schaffen für Betreiber von KRITIS. Kooperativer Ansatz ist herausragend. Betreiber werden intensiv mit eingebunden vom zukünftigen Meldezentrum des BSI. Nicht jede Störung muss mit Klarnamen gemeldet werden, wegen Prangerwirkung. Nur die, die erheblich sind und zu Ausfall bzw. Funktionsbeeinträchtigung führen.
Telkos werden verpflichtet, dass Kunden informiert werden, wenn die Infrastruktur eines Kunden schadhaft ist. Darüber hinaus Erlaubnis für BSI, IT-Produkte auf Sicherheit überprüfen zu können.
Nicht einfach gemacht. Sachverständigenanhörung, Gespräche mit Betroffenen und anderen Vertretern der Community. Änderungsantrag mit Verbesserungen. BSI gestärkt. Nicht nur für Ressortbereich des BMI zuständig, sondern auch für alle anderen Bundesbehörden. Mitwirkungspflicht für Hersteller von Software und Hardware.
Umstritten sind Sanktionsmöglichkeiten. Nicht dazu da, die Wirtschaft zu gängeln. Gesetz darf aber kein zahnloser Tiger sein, Störungen müssen wirklich gemeldet werden. Sanktionen auch in EU-NIS-Richtlinie vorgesehen.
Fassungslos wie rasant die Entwicklung ist, deshalb Evaluierung nach vier Jahren. Klare Vorgaben, welches Unternehmen zu KRITIS gehört und welches nicht. Deshalb branchenspezifische Schwellenwerte. Gesetz ist ein wichtiger Schritt nach vorne, Etappenerfolg, sicher nicht das Ende.
Deutschland ist mit ITSG Schrittmacher auf europäischer Ebene. IT-Sicherheit kann nie an den Grenzen enden.
Petra Sitte – Linke (09:52)
Gesetz definiert KRITIS nicht, das soll eine Verordnung regeln. Das bedarf einer Überarbeitung. Angenommen, Bundestag ist auch KRITIS. Parlament ohne sicheres Datennetz ist ziemlich aufgeschmissen. Trotz aller Bemühungen hat es einen Angriff gegeben, Daten sind abgeflossen, Netz ist kompromittiert.
Nach ITSG: Der Fall müsste gemeldet werden. Anbieter müssen an Prävention, Aufklärung und Beseitigung arbeiten. IuK-Kommission bemüht sich, Abgeordnete wollen Wiederherstellung der Arbeitsfähigkeit. Angriffe wie in den letzten Tagen gegen die IuK-Kommission gehen vollkommen an der Sache vorbei. Keine Belege für Zweifel an der Vorsitzenden der IuK-Kommission.
Zu Aufklärung gehört vor allem Transparenz. Bereits im Prozess. Wird wohl noch Monate dauern. IT-Angelegenheiten dürfen keine Black Box sein. Brauchen offene Software, offene Prozesse und offene Kommunikation. Hilft besser als Geheimniskrämerei.
Kompetenzerweiterung BfV und BND: Geheimdienste wirken bei IT-Unsicherheit mit, sind eher ein Sicherheitsrisiko. Tiefe Vertrauenskrise, daher kein Wunder, dass eine Firma nicht ihre Datenlecks mit den Geheimdiensten teilen will, die anderen bei Wirtschaftsspionage helfen.
Vorgelegtes ITSG ist eher Geheimdienst-Aufbaugesetz. Besser als die Blogger von netzpolitik.org kann man es nicht auf den Punkt bringen: Es wird ein IT-Sicherheitsimulationsgesetz verabschiedet werden. [Danke für die Blumen!]
Metin Hakverdi – SPD (09:58)
ITSG ist wichtig für Industrie 4.0., Risiko für Industrie steigt. Digitalisierung unserer Industrie darf nicht zur Achillesferse werden. Für Sicherheit sorgt nicht die Technik allein.
Anbieter dürfen Daten sammeln. Balance zwischen Freiheit und Sicherheit ist ständiger Abwägungsprozess. Muss man sorgfältig sein. Unterschiedliche Speicherdauern können nicht gerechtfertigt werden. „In der Kürze liegt die Würze”, besonders bei Datenspeicherung. Lege Telkos den Grundsatz der Datensparsamkeit ans Herz.
Kompetenzzuwachs bei BSI ist heikel. Nicht sicher, ob Anbindung BSI ans BMI berechtigt ist, da es von anderen Protokolldaten einsehen kann. Kommt darauf an, wie das BMI die Anwendung legt. BSI zur unabhängigen Behörde ausbauen.
IT-Sicherheit ist eine Daueraufgabe, muss auch bei rechtlichem Rahmen auf der Höhe der Zeit sein.
Renate Künast – Grüne (10:05 Uhr)
Selten war eine Debatte so tagesaktuell. Zitat: „Das BSI sei zu Ergebnis gekommen, dass Netz des BT nicht mehr verteidigt werden könne und aufgegeben werden müsse.”
Wir haben eine Schlacht verloren gegen eine Cyberattacke. Aber wie reagieren wir? Wir wissen nicht mal, gegen wen wir die Schlacht verloren haben. Wir wissen nicht, warum, haben aber eine Ahnung, dass der Bundestag nicht ordentlich aufgestellt war. Gesetz ist dem Problem nicht angemessen.
ITSG ist selbst mit Änderungen nicht angemessen, geht von altem IT-Verständnis aus. Als ob es hilft, dass jemand 10.000 Euro zahlen muss, wenn er seiner Meldepflicht nicht nachgekommen ist.
Finde, altes IT-Verständnis ist so ein bisschen Mittelalter und aus Snowden wurde nichts gelernt. Wir sind ja nicht mal in der Lage zu wissen, was Nullen und Einsen materiell bedeuten.
Wie muss Infrastruktur aussehen, wie können wir uns schützen? Meldepflicht bringt da nichts. Wir müssen uns mit Thema des Prozesses auseinandersetzen. Reicht nicht, den neuesten Stand der Technik zu „berücksichtigen”. Man muss zwingen, Standards einzuhalten. Szenarien zur Gefahrenlage herstellen, stündlich und täglich neu.
In USA: Nicht durch Sanktionen getrieben, Unternehmen stellen Teams auf, bei denen die einen ständig angreifen und andere verteidigen. Dafür haben sie in ihrem technokratischen Gesetz [ITSG] null Angebot. Keine Erwähnung des Grundrechtes des Schutzes auf Vertraulichkeit und Integrität von IT-Systemen.
Bei Thema VDS schon wieder Massen an Daten speichern. Beide Gesetze zueinanderdenken. Erst Meldepflicht, dann zentrale Speicherung der Kommunikationsdaten aller Bürger. Gesetz hat kein Angebot für Sicherheit.
Mein Vorschlag: Legen sie beide Gesetze weg. Open Source nutzen, Sicherheitslücken nicht verstecken. Fangen sie endlich an, mit kreativer Analyse und Durchspielen von Gefahren Sicherheit zu schaffen.
Clemens Binninger – CDU/CSU (10:13 Uhr)
De Maizière hat gesagt: Netz des Bundes hat stabiles Schutzschild durch BSI. Verhindert Angriffe wie im Bundestag. Jeden Monat 90.000 Zugriffe auf infizierte Server. Jede Woche 15–20 hochkomplexe Angriffe, jeden Tag mind. einer mit ND-Hintergrund.
Muss Eindruck haben, dass Opposition bei Bundestagshack seine eigene Suppe kochen will. Beschreibt das Problem: Kein Lagebild über Bedrohung in der Industrie. Müssen Mindeststandards vorgeben.
Wer fällt unter ITSG? Große Stadtwerke. Bundesregierung, Ressortprinzip wird aufgehoben, BSI gibt Standards vor, einheitliche Sicherheitsmechanismen. Wichtiger Beitrag zu IT-Sicherheit des Bundes.
Meldepflicht und Bußgelder verhindern zahnlosen Tiger, bringen kooperative Mitarbeit. Meldepflicht für Bundesverwaltung gibt es seit 2010 für jeden IT-kritischen Angriff.
Wir lassen Unternehmen zwei Jahre Zeit zur Umsetzung. Konkretes wird in Verordnung geregelt. Gemeinsam mit BSI, Unternehmen, Verbänden. Sehr gutes, kluges Vorgehen. Großer, wichtiger Beitrag zur IT-Sicherheit. Beginn bei besonders heiklen Bereichen.
Christina Kampmann – SPD (10:20)
Sicherheit spielt in Rhetorik eine große Rolle. In IT wurde das lange vernachlässigt. Gut, dass wir das geändert haben.
Gesetz dürfte noch weiter gehen, aber ist ein guter Anfang. Änderungsantrag der Grünen hat nicht mehr viel mit IT-Sicherheit zu tun.
Industrie 4.0, selbstfahrende Autos, Cloud,…
Digitalisierung funktioniert nicht, wenn nicht Maximum an Sicherheit. Gibt staatlichen Handlungsauftrag.
Ohne Meldepflichten unklare Gefährdungslage, so kann man Gefahr nicht begegnen. Brauchen Unternehmen, die in ihre IT-Sicherheit investieren. Jeder einzelne Cent lohnt sich, sonst wird es am Ende noch teurer. Gesetz muss mehr sein als Vorgabe für KRITIS – Anstoß für gesamtgesellschaftliche Debatte zu IT-Sicherheit, die ist längst überfällig.
Hat Änderungen gegeben. Manche aber außen vor geblieben: Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität von IT-Systemen, technikgestützter Datenschutz, größere Unabhängigkeit des BSI.
Angriffe werden immer zahlreicher und komplexer. Deshalb gut, dass Bund und Hersteller mit in die Pflicht genommen werden. Wichtig, über kooperativen Ansatz hinauszugehen.
Erhebliche Verbesserungen, wir meinen es ernst, haben heute einen entscheidenden Schritt getan. Wir von der Koalition.
Hätte mir auch Verpflichtung zur Verschlüsselung vorstellen können. $Fußballvergleich.
Wir sind in der sicherheitspolitischen Champions League angekommen.
Hansjörg Durz – CDU/CSU (10:31)
Aktuelle Vorgänge zeigen, IT-Sicherheit ist verwundbar. Letzter BSI-Bericht hat gezeigt, dass dynamische Gefährdungslage entsteht, wir werden immer anfälliger.
Hier setzt ITSG an. Erforderlich, IT-Sicherheitsniveau zu erhöhen. Gibt freiwillige Initiativen. Freiwilligkeit allein hilft, besonders bei KRITIS, nicht aus. Bewusstsein wird oft erst geweckt, wenn Schaden eingetreten ist.
Widerstandsfähigkeit KRITIS muss erhöht werden, Deutschland hat Vorreiterrolle in IT-Sicherheit.
Kluge Philosophie des kooperativen Ansatzes: Beteiligung von Unternehmen und Sanktionsmechanismus mit Kontrolle.
Mehr an Sicherheit ist automatisch mehr an Sicherheit für die Wirtschaft. Meldesystem ist alles andere als Einbahnstraße. Unternehmen bekommen auch Rückmeldung über andere Vorfälle. „Privilegiertes Meldesystem”.
Weiterer Mehrwert für Unternehmen sind IT-Mindeststandards. Bietet Orientierung und Rechtssicherheit.
Weitere Verbesserung: Einbindung der Softwarehersteller.
Kritik aus Wirtschaft, schwer den Kreis der Betroffenen festzulegen. Zunächst Sektoren und Branchen definiert. Reicht nicht, ist kompliziert.
Kollaborativer Ansatz ist wegen Dynamik genau richtig. Parlamentarier sollten in die Verordnung miteinbezogen werden. Sicherheit ist ein dynamischer Prozess. Koalition macht einen klugen und großen Schritt für Stabilisierung der IT-Sicherheit.
Marian Wendt – CDU/CSU (10:39)
John Wayne sagte beim Sieg über Cyberterroristen: „Jippie-ja-yeah!”
In Realität weniger Action, aber die Auswirkungen sind genauso gefährlich wie im Film dargestellt. Stille Fachleute, sitzen oft in Kellern, hochgesicherten Anlagen, Bunkern. Lob und Anerkennung für diese Menschen.
Erfolgreiche Angriffe: Regin, Stuxnet, andere Angriffe. Anzahl der Angriffe schwer abschätzbar.
Nutzer sind durch Verhalten mitverantwortlich bei IT-Sicherheit. Haben sie schon mal auf einen Link auf einer Schmuddelseite angeklickt, PIN auf die Bankkarte geschrieben? Schon steht man vor den Scherben einer Sicherheitspolitik. Man würde den Kampf gegen Cybercrime verlieren.
Problem ist, dass Nachlässigkeit Einzelner andere gefährdet.
Parallele zum Impfen in der IT-Sicherheit, brauchen weitere Debatte und Aufklärung. Initiative Deutschland sicher im Netz. ITSG ist ein entscheidender Schritt. Klare Rolle des BSI ist großer Erfolg. Aber trotzdem: ITSG nur ein Mosaikstein in der Bekämpfung von Cybercrime.
Ich möchte fast sagen: „Jippie-ja-yeah!”
Abstimmung Gesetzentwurf
Gesetz mit Mehrheit der GroKo angenommen.
Abstimmung Entschließungsantrag der Grünen
Entschließungsantrag abgelehnt.
-
: Heute im Bundestag Verabschiedung des IT-Sicherheitsgesetzes – ein Überblick
Geplante Cybersicherheitsstrategie für Deutschland - noch will sich die Regierung nicht äußern. : Heute im Bundestag Verabschiedung des IT-Sicherheitsgesetzes – ein Überblick Ab 9 Uhr wird es heute eine Debatte über das IT-Sicherheitsgesetz im Bundestag geben, danach geht es in die Abstimmung. Gleichzeitig zur Abstimmung steht auch ein Entschließungsantrag der Grünen, die fordern, dass das IT-Sicherheitsgesetz in seiner jetzigen Form zurückgezogen und verbessert werden soll. Wir haben den Gesetzgebungsprozess intensiv begleitet und fassen vor der Entscheidung, deren Ausgang wenig Raum für Überraschungen lässt, die Kritikpunkte an der aktuellen Gesetzesfassung zusammen.
Das Gesetz sieht eine anonyme Meldepflicht für IT-Sicherheitsvorfälle in Kritischen Infrastrukturen vor. Ob das genügt, um Unternehmen zur Investition in IT-Sicherheit zu bewegen, ist fraglich, da kein öffentlicher Druck entsteht. Namentlich muss nur gemeldet werden, „wenn sowieso das Licht ausgeht“, es also zu sehr schweren Beeinträchtigungen oder dem Ausfall von kritischen Systemen kommt. Ob eine vorgesehene nachträgliche Meldepflicht ausreichend ist, wenn Angreifer sich normalerweise nicht darauf beschränken, Infrastrukturen nacheinander anzugreifen, sondern dies in der Regel parallel erfolgt, wird ebenso angezweifelt. Damit verbunden wird auch befürchtet, dass die Information der Öffentlichkeit mangelhaft bleibt, wenn das BSI nur in Form von Lagebildern und nicht in Form von standardmäßiger Benachrichtigung Betroffener über die Sicherheitsvorfälle aufklärt.
Ein weiterer, viel bemängelter Punkt sind die unklaren Begriffsdefinitionen, die unter anderem dazu führen, dass Unternehmen nicht wissen würden, ob sie selbst zur betroffenen kritischen Infrastruktur gehören. Auch die Festlegung auf einen „Stand der Technik“ gibt keine klaren Leitlinien, eine Konkretisierung des Begriffes ist jedoch im Rahmen eines Gesetzes schwer umzusetzen. Laut Bundesregierung sind kritische Infrastrukturen jene, die für das Gemeinwohl unerlässlich sind. Das sind zum Beispiel Wasser, Energie, Telekommunikation. Es wird geschätzt, dass etwa 2.000 Unternehmen unter „kritisch“ fallen. Aber woran festgemacht wird, ob ein Stadtwerk groß genug ist, um als solches zu gelten, bleibt im Dunkeln.
Die Begrenzung des Gesetzes auf kritische Infrastrukturen ist dabei ein Kritikpunkt an sich. Denn eigentlich, sollte man meinen, ist IT-Sicherheit für alle ein maßgeblicher Faktor. Denn wenn eine Vielzahl an Unternehmen, die vielleicht für sich genommen nicht kritisch wären, von einem Angriff betroffen ist, kann das in der Masse einen ebenso kritischen Vorfall darstellen wie beispielsweise ein Angriff auf einen einzelnen großen Energieversorger. Ganz abgesehen von öffentlicher Verwaltung und anderen Bundes- und Ländereinrichtungen.
Ebenso wichtig für die IT-Sicherheit sind diejenigen, die Komponenten für IT-Systeme liefern, auf deren Basis die Betreiber arbeiten müssen. Existieren beispielsweise Sicherheitslücken in verwendeter Hard- oder Software, hat ein Betreiber eines Unternehmens wenig Handhabe, das ITSG hilft ihm dabei nicht. Ein Änderungsantrag der Großen Koalition hat diesen Punkt jedoch aufgegriffen und will auch die Hersteller und Zulieferer mit in die Verantwortung nehmen.
Ein anderes, viel angesprochenes Thema sind die Speicherbefugnisse für Telemedien- und Telekommunikationsanbieter bezüglich Verkehrsdaten nach §100 TKG, die zur Angriffserkennung gewährt werden sollen, ebenso wie die Möglichkeiten der Bestandsdatenabfrage zur Störungserkennung. Hier wird Tür und Tor für eine Verkehrsdatenspeicherung geöffnet. Momentan steht uns die durch Vorratsdatenspeicherung zwar sowieso bevor, aber kein Grund, Verfassungswidrigkeiten noch mit anderen Gesetzen zu untermauern.
Was die Wirksamkeit des Gesetzes darüberhinaus behindern könnte, sind die mangelnden Sanktionierungsbefugnisse. Denn gibt es keinen wirtschaftlichen Anreiz, Sanktionen zu vermeiden, da schlichtweg keine vorgesehen sind, ist es fraglich, ob Unternehmen mitunter intensive Investitionen in IT-Sicherheit tätigen werden. Deshalb sieht der letzte Änderungsantrag der Regierungskoalition nun doch – nachdem man immer wieder betonte, die Sanktionierung den Branchen überlassen zu wollen – Bußgelder in Höhe von maximal 50.000 bzw. 100.000 Euro vor, wenn es zu Verstößen kommt.
Mit dem IT-Sicherheitsgesetz soll die Rolle des BSI gestärkt werden, und es soll mehr Befugnisse bekommen. Ob das eine gute Idee ist, ist umstritten. Der Chaos Computer Club zweifelt in seiner Stellungnahme dessen Eignung an:
Spätestens seit bekanntwurde, daß das BSI seit Jahren an entscheidender Position staatliche Schadsoftware mitentwickelt, genießt das Amt kein Vertrauen mehr. Der CCC erneuert daher seine Forderung, das BSI endlich zu einer vom Innenministerium unabhängigen Bundesbehörde mit klarem Sicherheitsauftrag zu machen, die bei Staatstrojaner-Plänen oder anderen Maßnahmen, die zur Senkung der IT-Sicherheit beitragen, nicht mehr zuarbeiten darf.
Was noch dazu fehlt, ist eine hiebfeste Einschränkung der Zweckbindung in Bezug auf persönliche Daten, die vom BSI verarbeitet und weitergegeben werden.
Neben dem BSI sollen auch das Bundeskriminalamt, das Bundesamt für Verfassungsschutz, der Bundesnachrichtendienst und andere gestärkt werden. Mehr Stellen, mehr Budget, Zuständigkeiten für „Cyberkriminalität“ machen den Bock zum Gärtner.
Ob eine Verabschiedung des IT-Sicherheitsgesetzes zum aktuellen Zeitpunkt überhaupt sinnvoll ist, wurde aufgrund der aktuell debattierten NIS-Richtlinie an mehreren Stellen angezweifelt. Die NIS-Richtlinie stellt quasi das europäische Äquivalent des ITSG und damit Mindeststandards dar. Bei Widersprüchen müsste das ITSG nachgeregelt werden, manche sehen das ITSG jedoch als mögliche Vorlage für die europäische Regelung.
Und nun? Dass das IT-Sicherheitsgesetz kommt, ist mehr als wahrscheinlich. IT-Sicherheit wird dadurch nicht erhöht, sondern simuliert. Die Grünen haben in ihrem Entschließungsantrag Forderungen aufgestellt, um das Gesetz zu verbessern. Neben der Berücksichtigung der oben genannten Kritik wäre das beispielsweise auch die Förderung von Open-Source-Produkten und Verschlüsselung, gründliche Auditierung von Software, hohe Datenschutzstandards sowie Schutz von Whistleblowern, die auf Sicherheitsprobleme aufmerksam machen. Bis es in der Regierung zu solch einer Einsicht kommt, werden wohl aber noch ein paar „Cyberattacken“ auf öffentliche und sicherheitskritische Stellen ins Land gehen.
-
: Verfassungsgericht in Belgien: Vorratsdatenspeicherung ist illegal
Vorratsdatenspeicherung ist illegal - nicht nur in Belgien : Verfassungsgericht in Belgien: Vorratsdatenspeicherung ist illegal In Belgien wurde heute die nationale Umsetzung der Vorratsdatenspeicherung in einem Urteil des Verfassungsgerichtes für ungültig und illegal erklärt. Belgien hatte 2013 die EU-Vorratsdatenspeicherungsspeicherungsrichtlinie, die im April 2014 für ungültig erklärt wurde, noch während des EuGH-Verfahrens als einer der letzten EU-Staaten in nationales Recht umgesetzt.
Das Urteil des belgischen Verfassungsgerichtes ist das Ergebnis zweier Klagen, einmal der französischsprachigen und deutschsprachigen Rechtsanwaltschaften und zum anderen der Bürgerrechtsorganisationen NURPA, datapanik.org, the Liga voor Mensenrechten and the League of Human Rights.
André Loconte von NURPA kommentiert:
Die Entscheidung des Verfassungsgerichtes bringt eine frische Brise in eine stinkende Umgebung, in der möderische Akte einiger weniger Terroristen ausreichen, um die fundamentalen Rechtsprinzipien und Freiheiten unserer Demokratien zu zerstören. Das sollte jeden daran erinnern, dass Rechte und Freiheiten ein ewig währender Kampf sind, auch wenn der Trend in Europa ist, Sicherheitsmaßnahmen aufzustocken, wie es der französische Fall [die Anti-Terrorgesetze] auf traurige Art und Weise demonstriert haben.
Schade, dass unsere deutschen Politiker diesem Trend brav folgen.
-
: Juristen des Bundestags: Gesetzentwurf zur Vorratsdatenspeicherung hat verfassungsrechtliche Lücken
Wird jetzt ein bisschen transparenter: Bundestag : Juristen des Bundestags: Gesetzentwurf zur Vorratsdatenspeicherung hat verfassungsrechtliche Lücken Das Gesetz zur Vorratsdatenspeicherung, das morgen in erster Lesung durchs Parlament gehen soll, ist verfassungsrechtlich nicht tragbar. Das sagen wir und andere seit Beginn des wahnwitzigen Turbogesetzgebungsprozesses, doch nun gelangen auch Juristen des Bundestags zu einem ähnlichen Urteil. In zwei Gutachten des Wissenschaftlichen Dienstes, die wir einsehen konnten, führen sie aus, wo der Gesetzentwurf Vorgaben des Bundesverfassungsgerichtes bzw. des Europäischen Gerichtshofes nicht erfüllt.
Hauptkritikpunkte sind: Regelungen zur Datenverwendung, ‑löschung oder ‑weitergabe erfüllen nicht die Vorgaben des Bundesverfassungsgerichts, sie seien nicht „normenklar“ genug. Unklarheiten fänden sich auch an vielen weiteren Stellen des Textes, beispielsweise bei der „Regelung zur Weitergabe der Vorratsdaten an andere Behörden für andere Zwecke.“
Die Benachrichtigungspflicht sei nicht hinreichend umgesetzt. Denn eigentlich sei gefordert, dass ein Betroffener vor vor der Datenerhebung zu benachrichtigen ist. Dass das bei einer Pauschalerhebung der Daten aller nicht passieren kann, ist ein inhärenter Widerspruch. Auch der Schutz von Berufsgeheimnisträgern, der im Gesetzesentwurf dadurch vorgesehen ist, dass die Daten zwar gespeichert, aber nicht verwendet werden dürfen, fällt durch.
Ebenso fehlt den Gutachtern die von Berufgeheimnisträgern abgesehene Beschränkung des Personenkreises, der zum Gegenstand der Maßnahme wird sowie eine Beschränkung auf schwerste Straftaten:
Der [Referentenentwurf] trägt daher dem vom Gerichtshof in seiner Entscheidung vom 8. April 2014 gegen die Richtlinie 2006/24 erhobenen Einwand, keine Differenzierung, Einschränkung oder Ausnahme anhand des Ziels der Bekämpfung schwerer Straftaten hinsichtlich der Speicherung von Vorratsdaten vorzusehen, nicht hinreichend Rechnung.
Etwas unklar ist auf europarechtlicher Seite, ob die Europarechtswidrigkeit einzelner Regelungen zur generellen Rechtswidrigkeit führt, da das Gesetz in seiner Gesamtheit betrachtet werden müsse.
Besonders verwundern wird das Ergebnis der Gutachter niemanden. Vor allem mit Blick darauf, in welcher Geschwindigkeit das Gesetz aus dem Hut gezaubert wurde. Erst Mitte April wurden überraschend Leitlinien für das Gesetz vorgestellt, morgen passiert es die erste Lesung und eigentlich sollte es noch vor der Sommerpause durchs Parlament, was nun aber doch nicht passieren wird. Aber egal ob die finale Abstimmung nun vor oder nach der Sommerpause ist: Einen hieb- und stichfesten Gesetzesentwurf in so kurzer Zeit zu generieren ist unmöglich. Und wenn es um einen verfassungskonformen Gesetzesentwurf zur Vorratsdatenspeicherung geht allemal.
-
: Kooperationen von Privatunternehmen mit BND, Verfassungsschutz und BSI – Informationen gefährden das Staatwohl
<a href="https://creativecommons.org/licenses/by-sa/2.0/">CC BY-SA 2.0</a> via flickr/<a href="https://www.flickr.com/photos/117693452@N04/13052440533">uberoff202 ff</a> : Kooperationen von Privatunternehmen mit BND, Verfassungsschutz und BSI – Informationen gefährden das Staatwohl Welche Kooperationen gibt es von Bundesnachrichtendienst (BND), Bundesamt für Verfassungsschutz (BfV) und dem Bundesamt für Sicherheit in der Informationstechnik mit Privatfirmen? Das wollten Petra Pau und andere Fragesteller der Linken in Bundestag von der Regierung wissen. Die Antworten, wir ahnen es schon, fielen spärlich aus, beziehungsweise:
Teile der Antwort der Kleinen Anfrage sind VS-GEHEIM bzw. VS-NUR FÜR DEN DIENSTGEBRAUCH eingestuft.
Heißt, die potentiell interessanten und brisanten Antwortteile sind der Öffentlichkeit nicht zugänglich. Den Rest veröffentlichen wir hier, bis er auch im Bundestagsdokumenten-System angekommen ist.
Der Grundtenor in dem, was beantwortet wurde, heißt: Das BSI und das BfV beschäftigen keine Unternehmen „im Sinne der Fragestellung“. Bezüglich des BND darf man nichts sagen – weil Staatswohl und Co. Genauso sieht es bei der der Auftragsvergabe an „staatliche oder private Universitäten im In- oder Ausland, an Institute oder an sogenannte Denkfabriken“ sowie an „private ausländische Militärdienstleister“ aus. In welchem Umfang der BND Aufträge und Kooperationen einging – „geheimhaltungsbedürftig.“
Aber dass BfV und BSI nicht mit privaten Firmen zusammenarbeiten, die mit „geheim- bzw. nachrichtendienstlichen Techniken und Methoden Informationsgewinnung“ betreiben, glauben wir nicht. Wie sieht es beispielsweise mit den BSI-VUPEN-Verträgen aus? Vermutlich liegt das Problem darin, dass sich die Bundesregierung den Terminus „nachrichtendienstliche“ Techniken so weit dehnt bzw. verengt, dass keine der Kooperationen mehr darunter fällt.
Ein interessanter Punkt kommt auf, wenn es um die Exportkontrolle von Überwachungstechnik aus Deutschland geht. Es wird gefragt, welches parlamentarische Gremium über Firmen und Aufträge informiert wurde, bei denen der Export betrachtet werden muss. Die Frage wird nicht öffentlich beantwortet, aber dann doch ein bisschen, denn: Die nächste Frage und Antwort lauten:
6. Wie viele Aufträge an welche Firmen wurden aufgrund einer Ablehnung durch ein parlamentarisches Gremium mit welcher Begründung im Zeitraum von 1998 bis heute
a) nicht erteilt oder
b) trotzdem vergeben?Keine.
Das heißt, entweder es gibt kein parlamentarisches Gremium oder: das Gremium hat niemals einen Auftrag abgelehnt – im Endeffekt das gleiche: Parlamentarische Kontrolle ist effektiv nicht vorhanden.
Auch im weiteren Verlauf wird das deutlich. Die Bundesregierung postuliert, dass Abgeordnete kein Recht hätten, in Verträge der Ämter mit Privatfirmen Einblick zu nehmen. Die Systematik, den BND und andere Behörden jenseits von jeder demokratischen Kontrolle agieren zu lassen, setzt sich fort.
Aus dem PDF befreite Antwort
BETREFF Kleine Anfrage der Abgeordneten Petra Pau u. a. und der Fraktion DIE LINKE.
Der Bundesnachrichtendienst, das Bundesamt für Verfassungsschutz, das Bundesamt für Sicherheit in der Informationstechnologie und die Kooperation mit der Privatwirtschaft
BT-Drucksache 18/4926
Auf die Kleine Anfrage übersende ich namens der Bundesregierung die beigefügte
Antwort in 4‑facher Ausfertigung.Hinweis:
Teile der Antwort der Kleinen Anfrage sind VS-GEHEIM bzw. VS-NUR FÜR DEN DIENSTGEBRAUCH eingestuft.Mit freundlichen Grüßen
in VertretungDr. Günter Krings
[pagebreak]
Kleine Anfrage der Abgeordneten Petra Pau u. a. und der Fraktion der DIE LINKE.
Der BND, das BfV, das BSI und die Kooperation mit der Privatwirtschaft
BT-Drucksache 18/4926
Vorbemerkung der Fragesteller:
Im Jahr 2006 beschäftigte die National Security Agency (NSA) über 5400 Privatfirmen. Diese Firmen führen Staatsaufträge durch, sind aber auch auf dem privaten Markt stark etabliert. Erwähnt werden international agierende Firmen, wie z.B. CACI International, Narus, Halliburton, Corporate Science Corporation (CSC), u.v.m. (vgl. Stephan Blancke, „Private Intelligence: Geheimdienstliche Aktivitäten nicht-staatlicher Akteure“, Wiesbaden, 2011)
Am 31. 0ktober 2013 berichtete der „Stern“ unter dem Titel „Das unterwanderte Land“, dass die Vereinigten Staaten von Amerika auch in Deutschland ein Netz von mindestens 90 US-Firmen, welche die USA mit Dienstleistungen unterstützen, unterhalten. Jene Dienstleistungen sind teilweise nur den staatlichen Geheim-bzw. Nachrichtendiensten bekannt. Deren Mitarbeiter müssen sich zwar mit dem sogenannten Tesa-Verfahren in der Bundesrepublik Deutschland anmelden, eine ausreichende Übersicht bzw. Kontrolle der Aufgaben und Tätigkeiten dieser Privatunternehmen ist allerdings weder bekannt noch nachvollziehbar angestrebt.
Des Weiteren sind „solche Tarnstrukturen im Zusammenhang mit dem Bundesnachrichtendienst (BND) sowie dem Bundesamt für Verfassungsschutz bekannt geworden“ (s. Blancke, 8.: Private Intelligence: Geheimdienstliche Aktivitäten nicht-staatlicher Akteure, S. 11). Genannt werden in diesem Zusammenhang das Saarbrücker Institut für Wirtschaftsrecherchen (IWR), die Consultingfirma Padec GmbH und die Firma Team Base Research.
Dem Fernsehbericht „US-Geheimdienste sind gute Kunden von SAP”, ausgestrahlt am 10.03.2015 in dem MDR-Magazin „Fakt“, ist Folgendes zu entnehmen:
„Sehr viel, was wir anhand der Datenbanken machen, ist die Zielauswahl. Dank Gott, dass sie uns dazu in die Lage versetzen, trug der frühere NSA- und CIA-Chef Michael Hayden auf einer Tagung der amerikanischen SAP-Tochterfirma vor. Mit der Zielauswahl bezog er sich auf die gezielte Tötung von Menschen, die aufgrund von Metadaten möglich sei. Seit einigen Jahren kauft die deutsche Firma SAP SE Firmen auf, z.B. den amerikanischen Suchtechnikentwickler Inxight und den amerikanischen Datenbankhersteller Sybase.
[pagebreak]
Einer der besten Regierungskunden von Sybase ist die NSA. Kurzum: Durch die Ankäufe besagter Firmen, ist es SAP möglich, seinen Kunden eine Komplettlösung anzubieten: das schnellste Datenbank-System, das Massendaten schnell verarbeiten kann, und eine gleichfalls schnell arbeitende Durchsuchungstechnik. “
Vor kurzem enthüllten Nachforschungen von „ZEIT ONLINE“, dass auch der deutsche Auslandsnachrichtendienst BND die Software HANA von SAP erwerben soll, um eine größtmögliche Speicherung und schnellstmögliche Durchsuchung von eben diesen Datenmengen zu gewährleisten (www.zeit.de vom 15. März 2015 „SAP arbeitet für die NSA“).
Die Vergabe und der Umfang staatlicher Aufträge im Bereich geheimdienstlicher Tätigkeiten an privatwirtschaftliche Unternehmen und deren Kooperationen, sind ein bisher kaum thematisiertes Phänomen. Die Auslagerung von Forschungsaufträgen und Arbeitstechniken zur Analyse von Informationen an private Firmen entwickelt sich in einem dramatischen Maße in einer Grauzone. Dadurch wird ein Verlust von staatlichen Hoheitsrechten vorangetrieben, ohne dass hierüber eine politische und transparente Debatte erfolgt. Eine rechtliche Grundlage für diesen Prozess ist nicht erkennbar, eine parlamentarische Kontrolle findet faktisch nicht statt.
1. Wie viele deutsche und ausländische Privatfirmen (einschließlich möglicher Tochterunternehmen und Ausgründungen), welche mit geheim- bzw. nachrichtendienstlichen Techniken und Methoden Informationsgewinnung betreiben und betrieben haben, wurden seit dem Jahr 2000 von dem und für den BND, dem Bundesamt für Verfassungsschutz (BfV) oder dem Bundesamt für Sicherheit in der Informationstechnologie (BSI) mit Staatsaufträgen beschäftigt (bitte um genaue Angabe der Anzahl der Firmen pro Jahr und die Nennung der jeweiligen Auftrag gebenden Behörde bzw. Regierungsstelle)?
2. Welche Privatfirmen, die mit geheim- bzw. nachrichtendienstlichen Techniken und Methoden Informationsgewinnung betreiben oder betrieben haben, wurden seit dem Jahr 2005 BND, BfV oder BSI beschäftigt (bitte um Angabe der Firmen und Jahr, in denen die Staatsaufträge vergeben wurden)?
3. Welche dieser Unternehmen und Unternehmenseinheiten exportierten ihre hier angesprochenen Produkte nach Kenntnis der Bundesregierung in Länder außerhalb der Europäischen Union?
[pagebreak]
Zu 1. bis 3.
Das Bundesamt für Verfassungsschutz (BfV) und das Bundesamt für Sicherheit in der Informationstechnik (BSI) haben keine Unternehmen im Sinne der Fragestellung beschäftigt.
Die Bundesregierung ist hinsichtlich des Bundesnachrichtendienstes (BND) nach sorgfältiger Abwägung zu der Auffassung gelangt, dass eine Beantwortung der Frage in offener Form nicht erfolgen kann. Die erbetenen Auskünfte sind geheimhaltungsbedürftig, weil sie Informationen enthalten, die im Zusammenhang mit der Arbeitsweise und Methodik des BND und insbesondere seinen Aufklärungsaktivitäten stehen. Der Schutz von Einzelheiten betreffend die Arbeitsweise und Aufklärungsaktivitäten des BND stellt für die Aufgabenerfüllung des BND einen überragend wichtigen Grundsatz dar. Er dient der Aufrechterhaltung der Effektivität nachrichtendienstlicher Informationsbeschaffung durch den Einsatz spezifischer Fähigkeiten und damit dem Staatswohl. Folge einer offenen Bekanntgabe solcher Informationen wäre eine wesentliche Schwächung des dem BND zur Verfügung stehenden Aktionsradius. Dies kann für die Interessen der Bundesrepublik Deutschland schädlich sein. Insbesondere könnte die Offenlegung solcher Informationen die Sicherheit der Bundesrepublik Deutschland gefährden oder ihren Interessen schweren Schaden zufügen. Deshalb sind die entsprechenden Informationen als Verschlusssache gemäß der Allgemeinen Verwaltungsvorschrift des Bundesministeriums des Innern zum materiellen und organisatorischen Schutz von Verschlusssachen (VS-Anweisung — VSA) mit dem Grad „GEHEIM“ eingestuft.
4. Welche dieser Unternehmen und Unternehmenseinheiten mit welchen aktuellen Produkten hat der Bundesminister für Wirtschaft und Energie aus welchen konkreten Anlässen seit dem Jahr 2005 im Auge, wenn er die Exportrichtlinien und die Exportpraxis im Bereich der Sicherheitstechnologien strenger regeln bzw. solche Verschärfungen begründen will (www.ndr.de vom 19. Mai 2014 „Gabriel will Stopp für Spähtechnologie-Export“)?
[pagebreak]
Zu 4.
Der Bundesminister für Wirtschaft und Energie setzt sich aktiv für eine kontinuierliche Weiterentwicklung bestehender Exportkontrollen von Überwachungstechnik ein. Bei der Weiterentwicklung der Kontrolllisten misst er dem Umstand besondere Bedeutung bei, ob eine Technologie für Missbrauch geeignet ist. Ist dies der Fall, setzt er sich durch Vorschläge für die Listung besonders menschenrechtsverachtender Technologien aktiv ein. Dabei wird insbesondere die in der Bundesregierung oder ihrer nachgeordneten Behörden vorhandene technische Expertise eingebracht.
Ziel einer systematischen Weiterentwicklung von Exportkontrollen sind abstrakt-generelle Regelungen, die unabhängig von bestimmten Unternehmen oder Unternehmenseinheiten, deren aktuellen Produkten oder von Einzelanlässen gelten. Auf Basis solcher abstrakt-genereller Regelungen erfolgt eine Prüfung in jedem Einzelfall, bezogen auf die konkret zur Ausfuhr beantragte Ware sowie ihren Empfänger und Endverwender; dabei wird unter Einbeziehung der Gesamtumstände das kritische Potential der Endverwendung bewertet. Das gilt auch für Überwachungs- und Sicherheitstechnik.
Im Übrigen wird auf die Antwort der Bundesregierung zur Kleinen Anfrage der Fraktion BÜNDNIS 90/ DIE GRÜNEN „Haltung der Bundesregierung bezüglich der Effektivierung von Exportkontrollen für doppelverwendungsfähige Überwachungstechnologie und Zensursoftware“, Bundestags-Drucksache 18/2374 (neu) vom 18. August 2014 verwiesen, insbesondere auf die Antworten zu den Fragen 1 (Definition von Überwachungstechnik), 1a, 1e und 5c.
5. Welches parlamentarische Gremium wurde in diesem Zeitraum über die Firmen und die jeweiligen Aufträge informiert, und wurden dabei die jeweiligen nachrichtendienstlichen Hintergründe der Firmen und Aufträge konkret benannt?
Wenn nein, warum wurde auf diese Unterrichtung verzichtet?
Zu 5.
Die Bundesregierung ist nach sorgfältiger Abwägung zu der Auffassung gelangt, dass eine Beantwortung der Frage in offener Form nicht erfolgen kann. Zur Begründung wird auf die Antwort zu den Fragen 1 bis 3 verwiesen.
[pagebreak]
6. Wie viele Aufträge an welche Firmen wurden aufgrund einer Ablehnung durch ein parlamentarisches Gremium mit welcher Begründung im Zeitraum von 1998 bis heute
a) nicht erteilt oder
b) trotzdem vergeben?Zu 6.
Keine.
7. Beabsichtigt die Bundesregierung, den Abgeordneten des Deutschen Bundestages die mit den Privatfirmen abgeschlossenen Verträge — gegebenenfalls in der Geheimschutzstelle — zugänglich zu machen?
8. Welche rechtlichen Regelungen sprechen aus Sicht der Bundesregierung gegen eine solche Unterrichtung des Parlaments?
Zu 7. und 8.
Das verfassungsrechtlich verankerte Frage- und Informationsrecht des Deutschen Bundestages sowie seiner Abgeordneten und Fraktionen umfasst nicht das Recht, Einsichtnahmen in Unterlagen und damit auch in Verträge im Sinne der Fragestellung zu nehmen. Ein solches Recht besteht nur dort, wo es spezialgesetzlich geregelt ist.
9. Wurden seit dem Jahr 2005 vom BND, BfV oder BSI bzw. von den verantwortlichen Ministerien und dem Bundeskanzleramt Aufträge an staatliche oder private Universitäten im In- oder Ausland, an Institute oder an sogenannte Denkfabriken (think tanks) vergeben, mit dem Ziel der Entwicklung oder Verbesserung von Techniken, Methoden und/oder Programmen, mit der neu eine geheim- bzw. nachrichtendienstliche Informationsgewinnung – auch in Bezug auf Personendaten – möglich ist?
Zu 9.
Ja, für den BND.
[pagebreak]
10. Wurden seit dem Jahr 2005 BND, BfV oder BSI bzw. den verantwortlichen Ministerien und dem Bundeskanzleramt Aufträge an die staatlichen oder staatlich finanzierten Forschungseinrichtungen Max-Planck—Gesellschaft, Helmholtz-Gemeinschaft Deutscher Forschungszentren, Leibnitz-Gemeinschaft, Fraunhofer-Gesellschaft und Bundesinstitute mit Forschungsaufgaben (Ressortforschung) vergeben, mit dem Ziel der Entwicklung oder Verbesserung von Techniken, Methoden und/oder Programmen, mit der neu eine geheim- bzw. nachrichtendienstliche Informationsgewinnung – auch in Bezug auf Personendaten – möglich ist?
Zu 10.
Nein.
11. Wenn die Fragen 9 oder 10 mit ja beantwortet werden, an welche, in welchem finanziellen Rahmen und in welchem Jahr (bitte tabellarisch angeben) wurden Aufträge vergeben, und welche parlamentarischen Gremien wurden über diese Aufträge konkret informiert?
Zu 11.
Die Beantwortung der Frage für den BND kann aus Gründen des Staatswohls nicht in offener Form erfolgen. Die erbetenen Auskünfte sind geheimhaltungsbedürftig, weil sie Informationen enthalten, die im Zusammenhang mit der Arbeitsweise und Methodik des BND und insbesondere seinen technischen Aufklärungs- und Analysemethoden stehen. Bereits durch die Bekanntgabe von Verwaltungsvereinbarungen mit spezialisierten Universitäten und Instituten könnten sowohl staatliche als auch nichtstaatliche Akteure Rückschlüsse auf die Arbeitsweise, Methodik und schutzwürdige Fähigkeiten des BND ziehen. Der Schutz vor allem der technischen Aufklärungsfähigkeiten stellt für die Aufgabenerfüllung des BND i. S. v. § 1 Absatz 2 des Bundesnachrichtendienstgesetzes einen überragend wichtigen Grundsatz dar. Er dient der Aufrechterhaltung der Effektivität nachrichtendienstlicher Informationsbeschaffung durch den Einsatz spezifischer Fähigkeiten und damit dem Staatswohl. Eine Veröffentlichung von Einzelheiten betreffend solche Fähigkeiten würde zu einer wesentlichen Schwächung der den Nachrichtendiensten zur Verfügung stehenden Möglichkeiten zur Informationsgewinnung führen. Dies kann für die wirksame Erfüllung der gesetzlichen Aufgaben der Nachrichtendienste und damit für die Interessen der Bundesrepublik Deutschland nachteilig sind.
[pagebreak]
Diese Informationen werden daher als Verschlusssache gemäß der Allgemeinen Verwaltungsvorschrift des Bundesministeriums des Innern zum materiellen und organisatorischen Schutz von Verschlusssachen (VS-Anweisung — VSA) mit dem VS-Grad „VS-NUR FÜR DEN DIENSTGEBRAUCH“ eingestuft.
12. Wurden dafür auch Fördergelder der Deutschen Forschungsgesellschaft verwendet (bitte tabellarisch angeben)?
Zu 12.
Hierfür wurden keine Fördergelder der Deutschen Forschungsgemeinschaft verwendet.
13. Wurden seit dem Jahr 2005 Aufträge von BND, BfV oder BSI bzw. den verantwortlichen Ministerien und dem Bundeskanzleramt an das Saarbrücker Institut für Wirtschaftsrecherchen (lWR), an die Consultingfirma Padec GmbH oder an die Firma Team Base Research vergeben?
Zu 13.
Nein.
14. Wenn ja, wie viele, in welchem finanziellen Umfang, welchem Inhalt und wann (bitte genaue Angaben pro Jahr)?
Zu 14.
Auf die Antwort zu Frage 13 wird verwiesen.
15. Haben der BND, das BfV und das BSI bzw. die verantwortlichen Ministerien und das Bundeskanzleramt seit dem Jahr 2005 Aufträge an private ausländische Militärdienstleister vergeben und wenn ja, an welche, in welchem finanziellen Rahmen, mit welchem Inhalt und in welchem Jahr (bitte tabellarisch angeben)?
Zu 15.
Die Frage ist für das BfV und das BSI zu verneinen.[pagebreak]
Für den BND kann die Beantwortung der Frage aus Gründen des Staatswohls nicht in offener Form erfolgen. Die unbefugte Kenntnisnahme von Details der Auftragsvergabe des BND könnte sich nachteilig für die Interessen der Bundesrepublik Deutschland auswirken. Aus ihrem Bekanntwerden können Rückschlüsse auf die Arbeits- und Vorgehensweise des BND gezogen werden. Hierdurch würde die Funktionsfähigkeit des BND beeinträchtigt, was wiederum die Sicherheit der Bundesrepublik Deutschland gefährdet. Diese Informationen werden daher als Verschlusssache gemäß der Allgemeinen Verwaltungsvorschrift des Bundesministeriums des Innern zum materiellen und organisatorischen Schutz von Verschlusssachen (VS-Anweisung — VSA) mit dem VS-Grad „VS-NUR FÜR DEN DIENSTGEBRAUCH“ eingestuft.
16. Wie schätzen der BND, das BfV und das BSI und die verantwortlichen Ministerien sowie das Bundeskanzleramt allgemein die Gefahr des Geheimnisverrates und der Datenverstöße durch die von ihnen beauftragten Privatfirmen ein, die Aufgaben in sicherheitssensitiven Bereichen übernommen haben?
Zu 16.
Es besteht keine Veranlassung, das erprobte Verfahren der Geheimschutzbetreuung des Bundesministeriums für Wirtschaft und Energie in Frage zu stellen.
Die weitergehende Beantwortung kann aus Gründen des Staatswohls nicht in offener Form erfolgen. Die unbefugte Kenntnisnahme von Details der Gefahrenanalyse in Bezug auf beauftragte Privatfirmen könnte sich nachteilig für die Interessen der Bundesrepublik Deutschland auswirken. Aus ihrem Bekanntwerden können Rückschlüsse auf die geheimdienstliche Arbeits- und Vorgehensweise hinsichtlich der Überprüfungs- und Eigensicherungsmechanismen gezogen werden. Hierdurch würde die Funktionsfähigkeit beeinträchtigt, was wiederum die Sicherheit der Bundesrepublik Deutschland gefährdet. Diese Informationen werden daher als Verschlusssache gemäß der Allgemeinen Verwaltungsvorschrift des Bundesministeriums des Innern zum materiellen und organisatorischen Schutz von Verschlusssachen (VS-Anweisung — VSA) mit dem VS-Grad „VS-NUR FÜR DEN DIENSTGEBRAUCH“ eingestuft.
17. Wie und nach welchen Standards werden die Sicherheitsüberprüfungen der Be-
schäftigten in den beauftragten Firmen durchgeführt?[pagebreak]
Zu 17.
Die Durchführung der Sicherheitsüberprüfungen erfolgt nach dem Verfahren, das im Gesetz über die Voraussetzungen und das Verfahren von Sicherheitsüberprüfungen des Bundes (Sicherheitsüberprüfungsgesetz – SÜG) in Verbindung mit der Allgemeinen Verwaltungsvorschrift des Bundesministeriums des Innern zur Ausführung des Gesetzes über die Voraussetzungen und das Verfahren von Sicherheitsüberprüfungen des Bundes sowie in Verbindung mit der Allgemeinen Verwaltungsvorschrift des Bundesministeriums für Wirtschaft und Energie zur Ausführung des Fünften Abschnitts (§§ 24 bis 31) des SÜG und in dem Handbuch für den Geheimschutz in der Wirtschaft festgelegt ist unter Beachtung der Bestimmungen des Bundesdatenschutzgesetzes Im Übrigen wird auf die Antwort zu Frage 16 verwiesen.
18. Ist der Bundesregierung bekannt, wie viele Geheimnisträger (Stand 2013) welcher Stufe es in den beauftragten Privatfirmen jeweils gibt (bitte nach Jahren, Firmen und Anzahl der Geheimnisträger auflisten)?
Zu 18.
Nein.
Es wird auf die Antwort zu den Fragen 1 bis 3 verwiesen.[pagebreak]
-
: Es geht los: Ticketregistrierung für „Das ist Netzpolitik!“-Konferenz eröffnet
Impressionen unserer ersten Konferenz - <a href="https://creativecommons.org/licenses/by-sa/2.0/">CC BY-SA 2.0</a> von <a href="https://www.flickr.com/photos/netzpolitik/15405848679/">Melanie Twele</a> : Es geht los: Ticketregistrierung für „Das ist Netzpolitik!“-Konferenz eröffnet Vergangenes Jahr haben wir im Oktober zum ersten Mal die „Das ist Netzpolitik!“-Konferenz veranstaltet und gleichzeitig unseren zehnten Geburtstag gefeiert. Da uns die Veranstaltung und die vielen Gäste gefallen haben, wiederholen wir beides dieses Jahr einfach wieder. Also Konferenz und Geburtstag, auch wenn letzteres dieses Mal kein runder ist. Aber es ergibt einfach Sinn, einen eigenen Ort zum Treffen für alle zu haben, die sich für Netzpolitik interessieren.
Stattfinden wird die Konferenz am 4. September 2015 wieder im Kesselhaus der Kulturbrauerei in Berlin. Wie im vergangenen Jahr rechnen wir mit rund 300–400 Besuchern. Nach und nach werden wir euch auch über das Programm auf dem Laufenden halten. Wie auch im vergangenen Jahr wollen wir durch Kooperationen und Sponsoren die Eintrittspreise für alle möglichst niedrig und sozial zu halten. Tickets gibt es für 50, 15 und 10 Euro, je nach Kategorie. Zum vergünstigten Preis von 10 Euro kommen Aktive rein, die sich ehrenamtlich für Grundrechte einsetzen. Wenn ihr dazugehört, dann schickt uns eine Mail an konferenz@netzpolitik.org und stellt euch kurz vor. Wenn wir euch kennen oder nachvollziehen können, wie ihr euch engagiert, senden wir euch einen Gutscheincode zu.
Potentielle Sponsoren oder Kooperationspartner können uns deswegen unter werbung@netzpolitik.org gerne schon kontaktieren.
Videos und Bilder vom letzten Mal gibt es hier. Und auf der (alten) Konferenz-Webseite.
Wir freuen uns, wenn ihr vorbeikommt!
-
: Bundesdatenschutzbeauftragte: Vorratsdatenspeicherung ist verfassungswidrig und widerspricht Urteilen von BVerfG und EuGH
"Europarechtswidrig und auch in der Sache falsch" findet die Bundesdatenschutzbeauftragte Andrea Voßhoff, dass ihr Haus keine effektive Durchsetzungsbefugnisse gegenüber öffentlichen Stellen haben soll. : Bundesdatenschutzbeauftragte: Vorratsdatenspeicherung ist verfassungswidrig und widerspricht Urteilen von BVerfG und EuGH Die Datenschutzbeauftragte der Bundesrepublik, Andrea Voßhoff, hat eine Stellungnahme zur geplanten Vorratsdatenspeicherung formuliert, die wir hier veröffentlichen und in der sie Bedenken an der Verfassungskonformität der Maßnahme äußert. Sie hat bereits vorher Missfallen geäußert, ihre Stellungnahme macht das ganze „amtlich.“ Das ist erfreulich, denn ein weiteres Mal, nach ihrer Kritik am neuen Verfassungsschutz-Gesetz, wird Voßhoff, die anfangs durch Nichtpräsenz auffiel, deutlich. Vor allem scheint sie verstanden zu haben, dass Vorratsdatenspeicherung nicht verfassungskonform ist. Anders als zu Beginn ihrer Amtszeit, da sagte sie noch, „dass eine datenschutzkonforme Vorratsdatenspeicherung ein wirksames Instrument der Kriminalitätsbekämpfung sein kann.“
Wir fassen die wichtigsten Punkte zusammen.
Entwurf ist verfassungswidrig
Der Entwurf gibt zwar vor, die Aspekte, die beim Bundesverfassungsgericht (BVerfG) und beim Europäischen Gerichtshof (EuGH) als verfassungswidrig befunden wurden, zu berücksichtigen, tatsächlich entspricht das nicht den Fakten. Sie benennt klar die Verfassungswidrigkeit des Entwurfs. Weder die Eignung, noch die Verhältnismäßigkeit und schon gar nicht die Notwendigkeit des Gesetz seien bewiesen.
Insbesondere entspricht er nicht vollumfänglich dem, was das Bundesverfassungsgericht und der Europäische Gerichtshof in ihren Urteilen für die verfassungskonforme Ausgestaltung einer solchen Maßnahme gefordert haben.
Funkzellenabfragen können zu „doppelter Vorratsdatenspeicherung“ führen
Voßhoff spricht sich außerdem gegen die durch den Gesetzesentwurf legalisierten massenhaften Funkzellenabfragen und Standortdatenerhebung aus. Wir haben erklärt, warum sich mit Vorratsdaten ausführliche Bewegungsprofile von Menschen erstellt werden können, auch wenn dies offiziell nicht möglich sein soll. Diese Ansicht teilt Voßhoff und spricht von „engmaschige[n] Bewegungsprofile[n]“. Die Maßnahme erfasst neben den gesuchten Tätern immer auch, wenn nicht ausschließlich, Unschuldige, die auch erstmal gespeichert werden [Hervorhebungen wie im Originaltext].
In solchen Fällen wird aus der Vorratsdatenspeicherung dann gewissermaßen eine „doppelte Vorratsdatenspeicherung“. Gegen eine solche Praxis sieht der Entwurf keine ausreichenden Sperren vor.
Die von uns veröffentlichte Nebenabrede, die zeigt, dass auch ohne richterliche Genehmigung Bestandsdatenauskünfte zu den Kommunikationsteilnehmern eingeholt werden können, verschlimmert die Lage noch zusätzlich.
Schutz von Berufsgeheimnisträgern nicht umsetzbar, Gefahr für Whistleblower und Journalisten
Der angebliche „Schutz von Berufsgeheimnisträgern“ überzeugt ebensowenig. Denn diese müssten sich erst einmal als berechtigte Geheimnisträger zu erkennen geben. Bei investigativen Journalisten ist das in einigen Anliegen gelinde gesagt kontraproduktiv und das Gesetz geht somit am Ziel der Sache vorbei. Durch die Einführung des Straftatbestandes der Datenhehlerei wird deren Situation sogar noch weiter verschärft. Datenhehlerei findet dem Gesetzesentwurf nach dann statt, wenn jemand Daten, die „nicht allgemein zugänglich sind und die ein anderer durch eine rechtswidrige Tat erlangt hat, sich oder einem anderen verschafft, einem anderen überlässt, verbreitet oder sonst zugänglich macht.“ Dadurch könnten laut Voßhoff „Journalisten, Blogger, Whistleblower etc., die auf Missstände hinweisen, indem sie sich auf nicht frei zugängliches Material berufen, in den Fokus strafrechtlicher Ermittlungen geraten.“
Jede Menge andere Punkte…
Genauso zweifelt sie die praktische Relevanz der Benachrichtigung von Betroffenen der Abfrage von Vorratsdaten an. Denn in der Realität würden ständig Gründe vorgeschoben, weshalb eine Benachrichtigung die Ermittlungen beeinträchtige.
Auch wird der Prozess der Gesetzgebung kritisiert, denn die Vorratsdatenspeicherung wird mit unerwarteter Geschwindigkeit durchs Parlament gepeitscht. Voßhoff gibt an, selbst nur „weniger als 30 Stunden“ für eine erste Stellungnahme gehabt zu haben – eine qualifizierte Analyse und Meinungsbildung in so kurzer Zeit: Schlicht unmöglich. Generell findet sie es inakzeptabel, dass ein derart grundrechtssensitives Thema „faktisch ohne meine Beteiligung durchgeführt wird.“ Immerhin haben wir heute erfahren, dass es mit der endgültigen Verabschiedung doch noch bis September dauern soll. Etwas mehr Zeit, um zu protestieren und sich an seinen SPD-Abgeordneten zu wenden.
Zum Ende gibt Voßhoffs Behörde sogar noch Aufklärungsmaterial dazu: Ein Glossar und eine Graphik zu den grundlegenden Verkehrsdatenverarbeitungsprozessen, sowie einen Leitfaden zur datenschutzgerechten Speicherung von Vorratsdaten mit Stand 2012. Leider ist letzterer nicht ganz so geeignet, denn er enthält selbst viel zu lange erlaubte Speicherzeiträume, die wir bereits bei ihrer Erstellung kritisiert haben.
Leider haben wir die Hoffnung aufgegeben, dass die Bundesregierung noch auf rationale Argumente reagiert. Denn sie zeigt sich zunehmend lernresistent und bereit, schamlos zu lügen. Daher – Voßhoffs Stellungnahme wird wohl wenig beeinflussen können, doch ist sie wichtig für ihre Rolle als Datenschutzbeauftragte. Eine der wichtigsten Aussagen in der Stellungnahme:
die Konsequenz einer grundrechtswidrigen Maßnahme [darf] nicht sein, dass mittels kosmetischer Eingriffe die Grundrechtswidrigkeit zwar etwas „verschleiert“ wird, im Ergebnis aber nach wie vor bestehen bleibt. In einem solchen Fall, in dem die einzigen umsetzbaren „Verbesserungsmöglichkeiten“ letztlich doch nicht dazu führen können, das Problem der Maßnahme zu beseitigen, muss schlichtweg auf die Maßnahme in Gänze verzichtet werden.
Das können wir nur unterschreiben.
Wir haben auch die Obleute im zuständigen Rechtsausschuss nach ihrer Einschätzung gefragt.
Katja Keul, Obfrau der Grünen im Rechtsausschuss: „Neuauflage der Vorratsdatenspeicherung hat denselben Konstruktionsfehler wie seine Vorgänger“
Die große Koalition verschließt bis heute ihre Augen vor den massiven verfassungsrechtlichen Problemen, die ihr Gesetzentwurf zur Vorratsdatenspeicherung mit sich bringt. Spätestens seit dem Kabinettbeschluss ist klar: die Neuauflage der Vorratsdatenspeicherung hat denselben Konstruktionsfehler wie seine Vorgänger, denn er verpflichtet zur anlasslosen Speicherung der Kommunikationsdaten aller Bürgerinnen und Bürger. Wir von der Grünen Bundestagsfraktionen haben daher schwerwiegende verfassungsrechtliche Bedenken. Die rechtlichen Vorgaben des Bundesverfassungsgerichts sowie des Europäischen Gerichtshofs, die die Vorratsdatenspeicherung bereits schon einmal gekippt haben, sind nicht eingehalten. Die Bundesdatenschutzbeauftrage teilt diese Auffassung. Möglicherweise kann diese Stellungnahme der Koalition jetzt endlich die Augen öffnen.
Außerdem ist die Bundesdatenschutzbeauftrage unserer Meinung, wenn es um das Hau-Ruck-Verfahren geht, mit dem das Gesetz noch vor der Sommerpause durchgebracht werden soll. Offensichtlich sind nicht nur die Verbände um die Gelegenheit zur Stellungnahme gebracht worden, sondern auch die von der Koalition selbst gewählte Bundesbeauftragte für Datenschutz. Im parlamentarischen Verfahren werden wir Grüne weiterhin alles daran setzen, die anlasslose Vorratsdatenspeicherung zu stoppen.
Konstantin von Notz, netzpolitischer Sprecher der Grünen: „Auf europa- und verfassungsrechtlich dünnem Eis“
Die Bundesdatenschutzbeauftragte bestätigt noch einmal unsere Befürchtungen: Der von den Ministern de Maiziere und Maas vorgelegte Entwurf nimmt die hohen rechtlichen Hürden, die sowohl das Bundesverfassungsgericht, vor allem aber auch der Europäische Gerichtshof, festgelegt haben, absehbar nicht. Diese Einschätzung wurde mittlerweile von ganz verschiedener Seite vorgebracht. Die große Koalition hat das bisher nicht gestört. Gebetsmühlenartig betonten die Minister, dass sämtliche Vorgaben eingehalten werden würden. Nun hat man es plötzlich doch nicht mehr so eilig und legt den Entwurf nach der ersten Lesung doch noch der Europäischen Union zur Prüfung vor. Offensichtlich wächst auch auf Seiten der Großen Koalition mittlerweile die Erkenntnis, auf welch europa- und verfassungsrechtlich dünnem Eis man sich bewegt.
Harald Petzold, Obmann der Linken im Rechtsausschuss: „Stellungnahme der Bundesdatenschutzbeauftragten ist eine schallende Ohrfeige für den Bundesjustizminister“
Die Stellungnahme der Bundesdatenschutzbeauftragten ist eine schallende Ohrfeige für den Bundesjustizminister. Dass der vorgelegte Gesetzentwurf gerichtsfest sei und den Vorgaben aus Karlsruhe oder Luxemburg gerecht werde, glaubt ohnehin nur die Große Koalition.
Die Bedenken der Bundesdatenschutzbeauftragten hinsichtlich der Geeignetheit, der Erforderlichkeit und vor allem gegenüber der Verhältnismäßigkeit der Maßnahme bestärken meine Fraktion in unserer grundlegenden Kritik und Ablehnung der Vorratsdatenspeicherung.
Klar ist, dass die Vorratsdatenspeicherung auch in der vorgeschlagenen Form ein massiver Eingriff in die informationelle Selbstbestimmung ist, die alle Bürgerinnen und Bürger einem Generalverdacht unterstellt. DIE LINKE fordert deshalb in einem eigenen Antrag, auf alle Pläne zur Einführung einer Vorratsdatenspeicherung endgültig zu verzichten.
Nach wie vor fehlt jeglicher Beleg dafür, dass die Vorratsdatenspeicherung auch nur irgendetwas für die Bekämpfung schwerer Straftaten bringt. Weder im Verfahren vor dem EuGH noch danach konnten die Regierungen oder Polizeien der 28 Mitgliedsstaaten auch nur den geringsten Beleg für einen Nutzen liefern. Und Frau Voßhoff weist zu Recht darauf hin, dass sich mit diesem Gesetzentwurf daran überhaupt nichts ändern wird.
Auf Stellungnahme der Obleute von CDU und SPD warten wir noch. Ersterer Obmann hat bislang leider überhaupt nicht auf unsere Anfrage reagiert.
-
: IT-Sicherheitsgesetz wird bald verabschiedet – Große Koalition hat noch Änderungswünsche
Geplante Cybersicherheitsstrategie für Deutschland - noch will sich die Regierung nicht äußern. : IT-Sicherheitsgesetz wird bald verabschiedet – Große Koalition hat noch Änderungswünsche Fast parallel zur Vorratsdatenspeicherung geht das IT-Sicherheitsgesetz seinen Weg durchs Parlament. Und das mit wesentlich weniger Medienaufmerksamkeit. Schon am Freitag, dem 12.6., soll es in zweiter und dritter Lesung den Bundestag passieren.
Im Vergleich zur letzten uns bekannten Version gab es noch einige Änderungen, wie heise.de mit Verweis auf einen Änderungsantrag der Großen Koalition berichtete. Der Änderungsantrag liegt uns vor, weshalb wir ihn hier veröffentlichen. Es folgen die wichtigsten Änderungen im Überblick.
Das Bundesamt für Informationssicherheit (BSI) soll Zugriff auf Protokolldaten in Bundesbehörden bekommen, ein „Einvernehmen“ für diesen Vorgang muss es nur bei Bundesgerichten geben. Aus der Begründung:
Derzeit erfüllt das BSI sein bestehendes Mandat zur zentralen Abwehr und Detektion von Angriffen durch ein zentrales Monitoring der behördenübergreifenden Regierungsnetze. Um neue Bedrohungen zuverlässig detektieren und abwehren zu können, muss dieses Monitoring ausgebaut werden. Hierfür benötigt das BSI auch Protokolldaten aus der internen IT der Behörden.
Das liest sich wie eine Reaktion auf den jüngst in den Medien präsenten Bundestagshack. Es ist unklar, wie lange diese Daten protokolliert werden sollen.
Eine positive Änderung ist die Einführung von Bußgeldern für den Fall, dass ein Betreiber einer „Kritischen Infrastruktur“ vorgeschriebene Sicherheitsvorkehrungen „nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig trifft.“ Handelt man einer Anweisung zuwider, werden Bußgelder in Höhe von bis zu 100.000 Euro fällig. In den übrigen Fällen kann sich die Strafzahlung auf bis zu 50.000 Euro belaufen. Was jedoch ausgenommen wird:
[D]er Verstoß des Betreibers einer Kritischen Infrastruktur gegen die Pflicht zur Meldung erheblicher Störungen im Sinne von § 8a Absatz 4 des BSI-Gesetzes [ist] dabei nur dann bußgeldbewehrt, wenn die betreffende Störung tatsächlich zu einem Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit der Kritischen Infrastruktur geführt hat.
Das öffnet den Betreibern Tür und Tor, Sicherheitspannen weiterhin zu verschweigen, wenn nicht sowieso das Licht ausgeht und jeder von dem Problem erfährt.
An anderer Stelle wird die bindende Wirkung von Mindeststandards des BSI gestärkt, was in diesem Zusammenhang sicher sinnvoll ist. Sie sollen zu „allgemeinen Verwaltungsvorschriften“ gemacht werden können, wenn sich das Innenministerium und der IT-Rat darauf verständigen. Hier wird aber auch ein ganz anderer Punkt deutlich. Das BSI als Bundesbehörde ist immer noch direkt vom Innenministerium abhängig und auf dessen Kooperation angewiesen.
Weiterhin wurde die Kritik einiger Sachverständiger in der letzten Experten-Anhörung zum IT-Sicherheitsgesetz aufgegriffen. Es wurde vermehrt angesprochen, dass die Betreiber der Kritischen Infrastruktur Sicherheitslücken nicht selbstständig beheben können, wenn die eigentlichen Hard- und Softwareanbieter untätig bleiben. Daher kann das BSI nun „vom Hersteller der betroffenen informationstechnischen Produkte und Systeme die Mitwirkung an der Beseitigung oder Vermeidung einer Störung nach Absatz 4 verlangen.“
Einige Kritik wurde leider weiter ignoriert. Das Melden von Sicherheitsvorfällen kann immer noch anonym geschehen, insofern kein Ausfall oder eine Beeinträchtigung der Funktionsfähigkeit eingetreten ist. Außerdem sind die oftmals schwammigen Formulierungen erhalten geblieben, wie „Stand der Technik“ und „erheblicher Vorfall.“
Unangetastet sind auch die Speicherbefugnisse für Telemedien- und Telekommunikationsanbieter bezüglich Verkehrsdaten nach §100 TKG, die zur Angriffserkennung gewährt werden sollen. Hier wäre eine Konkretisierung und Beschränkung der Befugnisse dringend erforderlich, um nicht eine Vorratsdatenspeicherung für Telemedien- und Telekommunikationsanbieter durch die Hintertür einzuführen. Naja, es scheint, als hätte man bald sowieso eine Vorratsdatenspeicherung durch die Vordertür, die es loszuwerden gilt.
Was noch interessant ist: Es wurde eingefügt, dass das Gesetz vier Jahre nach Inkrafttreten „unter Einbeziehung eines wissenschaftlichen Sachverständigen, der im Einvernehmen mit dem Deutschen Bundestag bestellt wird“ zu evaluieren. Wir sind gespannt, was dabei rauskommt. Wir tippen ja darauf, dass sich die IT-Sicherheit durch das Gesetz nicht erhöhen wird, auch mit den Änderungen.
-
: Umfrage zeigt: Features des elektronischen Personalausweises werden kaum genutzt
: Umfrage zeigt: Features des elektronischen Personalausweises werden kaum genutzt Die Welt hat eine Umfrage durchführen lassen, aus der hervorgeht, dass der elektronische Personalausweis kaum für die Identifikation im Internet verwendet wird.
Obwohl es den ePerso seit über fünf Jahren gibt und ein Drittel der Bevölkerung mittlerweile einen hat, werden seine angepriesenen Features kaum genutzt.
Dem zufolge haben 9,3 Prozent der Besitzer des neuen Ausweises die Chipkarte in den vergangenen zwölf Monaten für digitale Behördengänge genutzt, und nur 7,9 Prozent verwendeten ihn für kommerzielle Anwendungen im Netz.
Der Grund? Sicherheitsbedenken, mangelnde Benutzerfreundlichkeit und Unterstützung. Ähnliches haben wir auch bei De-Mail beobachtet, dem Projekt für „sichere“ Mails der Bundesregierung.
-
: Analysiert die NSA all unsere Sprachkommunikation? Wir wissen es nicht.
: Analysiert die NSA all unsere Sprachkommunikation? Wir wissen es nicht. The Intercept hat wiederholt davon berichtet, welche Fähigkeiten die NSA in Sachen Sprachanalyse von Telefonaten hat. Insbesondere darin, Sprachkommunikation automatisch in durchsuchbaren Text transkribieren zu können. Wir wissen: Die Technik ist weit fortgeschritten. Wir wissen nicht: In welchem Maßstab wird sie eingesetzt, wird jedes Gespräch analysiert oder doch nur die von „Verdächtigen“?
A clear-cut answer is elusive because documents in the Snowden archive describe the capability to turn speech into text, but not the extent of its use — and the U.S. intelligence community refuses to answer even the most basic questions on the topic.
Wir haben Grund zur Annahme, dass es nur von den Rechenkapazitäten – und nicht vom Wollen oder Brauchen – abhängt, ob jedes Gespräch transkribiert, gespeichert und gerastert wird. Und wir sehen eines: Edward Snowden hat den Anfang für die Enthüllung der ausufernden Massenüberwachung gemacht. Aber es braucht noch mehr mutige Whistleblower wie ihn, damit wir die fehlenden Puzzlestücke ergänzen und die Gesamtheit verstehen können.
-
: Zwei Jahre Snowden-Enthüllungen: Special zur digitalen Selbstverteidigung
: Zwei Jahre Snowden-Enthüllungen: Special zur digitalen Selbstverteidigung Morgen ist der 2. Jahrestag des Beginns der Snowdenenthüllungen. Seitdem haben wir viel über die illegale Überwachung durch amerikanische, aber auch viele andere, Geheimdienste erfahren. Ganz besonders über unseren deutschen Auslandsgeheimdienst BND, der freundlich mit der NSA zusammenarbeitet.
Wirksame politische Folgen lassen auf sich warten und so ist es heute notwendiger denn je, nicht auf politische Wunder zu hoffen, sondern sich genauso um seine „Digitale Selbstverteidigung“ zu kümmern – was es natürlich nicht weniger notwendig macht, politisch trotzdem am Ball zu bleiben.
Wir haben ein 2‑Jahre-Snowden-Special erstellt und die wichtigsten Tools und Links zum Nachschauen zusammengefasst. An Material mangelt es nicht, aber es beinahe unmöglich, einen Überblick zu behalten. Daher: Wenn ihr denkt, dass wir etwas Wichtiges vergessen haben oder einen Aspekt übersehen, ab in die Kommentare!
Kategorie I: Nachrichten schützen
Wenn es um E‑Mail-Verschlüsselung geht, ist der erste Anlaufpunkt GnuPG bzw. GPG4Win. GnuPG ist eine freie Implementierung des OpenPGP-Standards und ermöglicht die Verschlüsselung und Signierung von Daten mithilfe öffentlicher und privater Schlüssel. Das Prinzip beruht darauf, dass bei der Kommunikation zwischen unseren Kryptofreunden Alice und Bob ein Teilnehmer eine Nachricht mit dem öffentlichen Schlüssel des Empfängers verschlüsselt und dieser dann mithilfe seines privaten Schlüssels diese entschlüsseln kann. Will Bob Alice demonstrieren, dass er wirklich Bob ist, kann er eine Nachricht mit seinem privaten Schlüssel signieren und Alice kann mit seinem öffentlichen Schlüssel testen, ob das Ergebnis stimmt.
Um GnuPG im Mailclient der Wahl zu benutzen, gibt es verschiedene Plugins. Das bekannteste für Thunderbird und Co. ist Enigmail, dessen Konfiguration bei der EFF für Linux und Windows ausführlich und Schritt für Schritt erläutert wird. Mac-Nutzer können für AppleMail GPG for Mail mit der GPG Suite benutzen.
Zusätzliche Infos zu Mailverschlüsselung gibt es auch bei der Free Software Foundation, Best Practices sind bei riseup.net zu finden.
Will man verschlüsselt per Instant Messeger kommunizieren, beispielsweise über das XMPP-Protokoll, ist die bekannteste Lösung OTR (Off the Record). OTR sorgt neben Verschlüsselung und Authentifizierung der Nachrichten auch dafür, dass Dritte die Urheberschaft einer Nachricht im Nachhinein nicht beweisen können und vormals verschlüsselte Nachrichten auch dann nicht entschlüsselt werden können, wenn der private Schlüssel des Nutzers in die falschen Hände gerät – anders als bei verschlüsseltem Mailverkehr, bei dem immer derselbe private Schlüssel genutzt wird.
Um OTR auf Windows und Linux zu nutzen, ist der Client Pidgin mit OTR-Plugin geeignet, Mac-Nutzer greifen oft auf den Messenger Adium zurück. Gute Anleitungen für Mac und Windows gibt es wieder bei der EFF. Die Pidgin-Alternative Jitsi wird von Security-in-a-Box empfohlen, da sie auch verschlüsselte Voice-over-IP-Kommunikation ermöglicht.
Kategorie II: Daten verschlüsseln
Für das Verschlüsseln von Daten auf Festplatten u.ä. gab es im letzten Jahr eine Vertrauenskrise. Die Software Truecrypt war für die Festplattenverschlüsselung weit verbreitet, stand aber schon seit jeher in Kritik für seine Lizenz, da es keine freie Softwarelizenz nutzt, sondern seine eigene, einzigartige „TrueCrypt License“. Dazu kam, dass die Entwickler Ende Mai 2014 das Ende der Entwicklung von Truecrypt bekanntgaben und zu verstehen gaben, dass Truecrypt besser nicht weiterentwickelt werden sollte, Backdoors waren der vermutete Grund.
Alternativen sind zahlreich und Wikipedia gibt eine detaillierte Übersicht über bekannte Software. Für Windows wird oftmals DiskCryptor empfohlen, bei vielen Linux-Distributionen kann bereits im Installationsprozess eine volle Festplattenverschlüsselung gewählt werden, Mac-Nutzer stoßen oft zuerst auf FileVault 2. Eine Übersicht mit Hintergrundinfos, die fast keine Fragen offen lässt, hat Micah Flee von The Intercept verfasst.
Ähnlich wichtig, wie die Daten während ihrer Lebensdauer zu verschlüsseln ist es auch, sie sicher zu löschen – eine Auflistung über mögliche Programme findet sich bei Security in a Box.
Kategorie III: Anonym im Netz
Auch abgesehen von Mail- und Nachrichteninhalten hinterlassen wir Metadaten im Netz. Um zu verbergen, welche IP-Adresse auf eine Seite zugreift, gibt es Anonymisierungssoftware, Tor zum Beispiel. Das hilft auch, Zensur zu umgehen, beispielsweise wenn ein Land den Besuch von bestimmten Webseiten blockieren will. Tor gibt es sowohl für Linux, Mac, Windows und Android und der Installationsprozess besteht im Wesentlichen aus dem Entpacken eines Archivs, der Browser ist also auch via externes Speichermedium transportabel.
Ein kurzer Animationsfilm der Tor-Macher erklärt die wesentlichen Eigenschaften für neue Nutzer. Aber auch Tor kann einen nicht vor eigenen Nutzungsfehlern bewahren. Plugins wie Flash bringen Identifizierbarkeit mit sich und wenn kein HTTPS verwendet wird, gehen Daten immer noch im Klartext vom letzten Knoten zum Empfänger. Einen Überblick, welche Daten wann sichtbar sind, hat die EFF angefertigt, Sicherheitshinweise gibt das Tor Project.
Ein ähnliches Ziel wie Tor verfolgt I2P, im Gegensatz zu Tor wird hier jedoch nicht mit einem Verzeichnis an Servern gearbeitet, sondern mit einem dezentralen, selbstorganisierenden Netz. I2P ist weniger verbreitet, aber auch für eine Vielzahl an Betriebssystemen verfügbar.
Kategorie IV: Browser-Plugins
Wenn wir uns mit einem „normalen“ Browser im Netz bewegen, hinterlassen wir jede Menge Datenspuren, aber simple Browser-Plugins können helfen, ein wenig Kontrolle zurück zu erlangen. HTTPS Everywhere, das es für Firefox, Chrome und Opera gibt, sorgt dafür, dass ausschließlich HTTPS-Verbindungen aufgebaut werden, wo immer es möglich ist, damit eine Ende-zu-Ende-Verschlüsselung zwischen Sender und Empfänger zustande kommt.
NoScript deaktiviert JavaScript auf Webseiten, es sei denn der Nutzer erlaubt dies explizit. Es verhindert damit, dass Sicherheitslücken ausgenutzt werden, etwa durch Cross-Site-Scripting.
Gegen Cookies, Trackingpixel und Co., die unser Browsing-Verhalten über verschiedene Webseiten hinweg tracken können, gibt es beispielsweise die Browsererweiterung Ghostery, die jedoch wegen Datenverkäufen in der Kritik war. Eine Alternative wäre beispielsweise disconnect.me.
Wenn man sich ansehen möchte, welche Seiten welche Cookies nutzen und welche Cookies davon einen über mehrere Seiten verfolgen, kann man das Firefox-Plugin Lightbeam nutzen, das Zusammenhänge über mehrere Seiten hinweg visualisiert. PrivacyBadger, wieder ein Projekt der EFF, will mehrere Funktionen in sich vereinen. Das Plugin unterbindet den Verbindungsaufbau zu Sendern, die bereits auf einer vorigen Seite in Erscheinung getreten sind und damit in Verdacht stehen, den Nutzer über mehrere Seiten zu verfolgen.
Eine Hauptquelle von Tracking-Cookies sind Werbeanzeigen, die noch dazu nervig sind. Das Blocken ist leicht, beispielsweise mit uBlock. Wir empfehlen das Plugin als bessere Alternative zu AdblockPlus, wo uns das Geschäftsmodell nicht gefällt.
Kategorie V: Harden your Smartphone
Wenn es um Smartphone-Sicherheit geht, wird es kompliziert. Denn es gibt eine Menge schöner Apps, die unsere Privatsphäre und Daten schützen sollen, aber Smartphones haben das inhärente Problem, dem Nutzer wenig Einblick und Kontrolle darüber zu geben, was hinter den Kulissen passiert. Einen guten Einblick in das Problem und was man tun muss, um sich bestmöglich abzusichern, gibt ein Artikel auf dem Blog des Tor Project mit dem bezeichnenden Titel: Mission Impossible: Hardening Android for Security and Privacy.
Davon abgesehen ist es immer sinnvoll, sich mit Open-Source-Alternativen zu üblichen proprietären Apps auseinanderzusetzen. Ein guter Anlaufpunkt, zumindest für Android-Geräte, ist F‑Droid, ein Verzeichnis für freie und offene Android-Apps. Um verschlüsselte Telefongespräche und SMS zu nutzen, kann man RedPhone beziehungsweise TextSecure nutzen. Um OTR-verschlüsselte Instant Messages per Smartphone versenden zu können, lässt sich ChatSecure verwenden. Orbot mit Orweb bietet eine Tor-Variante für Mobilgeräte.
Kategorie VI: Freie und offene Software wählen
Proprietäre Systeme sind ihrem Wesen nach intransparent. Nur wenn es möglich ist, den Code einzusehen, können Backdoors erkannt werden – eine notwendige, wenn auch keine hinreichende Bedingung. Davon abgesehen ist bekannt, dass Apple und Microsoft Teil des PRISM-Programms der NSA sind. Daher ist es elementar, dass das Betriebssystem, auf dem ein Programm läuft, auf offener und freier Software basiert. Für neue Nutzer ist eine Linux-Distribution vermutlich am praktikabelsten. Ubuntu hat den Ruf, recht nutzerfreundlich zu sein und den Einstieg in die Linux-Welt leicht zu machen.
Tails, The Amnesic Incognito Live System, ist eine spezielle Debian-Variante, die extra mit dem Ziel des größtmöglichen Schutzes von Privatsphäre und Anonymität entwickelt wird. Eine Menge Programme, die wir oben aufgezählt haben, sind darin bereits enthalten. Es benutzt automatisch den Tor-Browser und OTR-Nachrichten. Eine weitere Besonderheit an Tails ist seine Live-System-Eigenschaft, das heißt bei jedem Neustart erscheint das System wieder so, wie es ursprünglich war. Nutzerspezifische Einstellungen und Eigenschaften gehen so – geplanterweise – verloren.
In Punkto allgemeine Software stößt man auf prism-break.org auf eine ausführliche Sammlung zu freien und offenen Alternativen proprietärer Programme, ähnlich beim Electronic Privacy Information Center.
Natürlich ist ein freies und offenes System kein hinreichender Garant dafür, dass es keine Sicherheitslücken oder Backdoors gibt und es soll hier keine Illusion aufgebaut werden, man sei per se sicher, wenn man mit einer beliebigen Linuxdistribution und nicht mit einem Windows-PC arbeitet. Aber Freie und Offene Software ist eine notwendige Bedingung für Vertrauen. Denn nur so kann Code nachvollziehbar und transparent auditiert werden, auch wenn das in der heutigen Praxis zweifelsohne noch nicht in ausreichendem Maß geschieht.
Kategorie VII: Alternative, dezentrale Strukturen nutzen
Ein großes Problem in der Datenlandschaft des Internets in die Zentralisierung von Anwendungen und Dienste auf Internetriesen wie Facebook, Google und Co. Durch die immense Menge an Daten, die dort anfallen, entsteht ein großes Missbrauchspotential. Abhilfe verschaffen Alternativen, die weniger Daten sammeln und keine Marktgiganten sind. Als Alternativsuchmaschinen zu Google gibt es unter anderem DuckDuckGo, ixquick und searx.me. Ein soziales Netzwerk abseits von Facebook ist Diaspora.
Kategorie VIII: Best Practices
Die beste Software hilft nichts, wenn man nicht ein paar Best Practices beachtet. Dass „123“ kein sicheres Passwort ist, dürfte mittlerweile jedem klar sein. Wichtig ist aber auch der gute Umgang mit Passwörtern. Das heißt, keine identischen Passwörter für mehrere Accounts benutzen, Passwortmanager wie Keepass verwenden und fleißig Backups machen. Wer mehr über Passwörter und ihre Verwendung wissen will, kann sich auch die entsprechende Folge Chaosradio anhören. Wie man gute Passwörter auswählt, erfährt man zum Beispiel bei The Intercept.
Sinnvoll ist auch, sich die Privatsphäre-Einstellungen und ‑Eigenschaften von Diensten und Produkten anzusehen, die man benutzen will. Meist muss man im Nachhinein einstellen, wenn man der Verwendung von Daten widersprechen will, wie etwa bei Facebook oder Google. Ob man den Anbietern vertrauen will, dass sie diese Einstellungen berücksichtigen, oder ob man einen Dienst wirklich benötigt, muss selbst entschieden werden.
Genauso selbst entscheiden sollte man, ob man eine App installieren will, wenn sie weitreichende Berechtigungen haben will, die nicht plausibel erscheinen – Stichwort Taschenlampen-App mit Standortdaten-Sammlung. Oft gibt es datensparsamere und freie Alternativen.
So much more…
Diese Aufzählung hat in keiner Weise den Anspruch auf Vollständigkeit. Auch sind die Empfehlungen, die wir geben, nicht absolut, sondern lediglich erste Anhalts- und Anlaufpunkte. Also: Informiert euch am besten selbst weiter! Ressourcen fürs Weiterlesen sind:
- Security in a Box und Me and My Shadow von Tactical Tech
- Surveillance Self-Defense der EFF
- Prism Break für Alternativen zu proprietären Programmen
- Eine ausführliche Auseinandersetzung mit verschiedenen Sicherheitsaspekten von riseup.net
- Privacy Handbuch, eine deutschsprachige Ressource
Um sich gemeinsam mit anderen mit dem Thema zu beschäftigen und Hilfe zu finden, gibt es mittlerweile jede Menge CryptoParties, vermutlich auch in eurer Nähe.
Und wie gesagt: Wenn euch noch etwas ein- oder auffällt – Kommentare erwünscht!
-
: Letzte Fassung des Ratsvorschlages zur EU-Datenschutzgrundverordnung veröffentlicht
: Letzte Fassung des Ratsvorschlages zur EU-Datenschutzgrundverordnung veröffentlicht Statewatch.org hat die letzte Fassung des Vorschlags für eine EU-Datenschutzgrundverordnung des Rates der EU veröffentlicht. In dem Dokument mit Stand 1. Juni befinden sich noch zahlreiche Fußnoten, die einiges über die Positionen der einzelnen Länder verraten. In den letzten Monaten ist immer mehr zu Tage getreten, dass einige Mitgliedsstaaten – ganz vorn dabei Deutschland – unter Lobbyeinfluss versuchen, den Text der Verordnung zu verwässern, so dass „wirtschaftsfreundlich“ schwächerer Datenschutz die Folge sein könnte.
Am 15./16. Juni wird es eine Abstimmung des Rates über das Dokument geben. Nach der Einigung im Rat beginnt die Trilog-Phase, in der sich Parlament, Rat und Kommission nochmals einigen müssen.
-
: Interview mit PGP-Erfinder Phil Zimmermann bei futurezone
: Interview mit PGP-Erfinder Phil Zimmermann bei futurezone Auf futurezone.at ist ein Interview mit PGP-Erfinder Phil Zimmermann erschienen. Er spricht darüber, warum er mit seiner Firma in die Schweiz gezogen ist, über die sich wiederholenden Bemühungen der Regierungen, Verschlüsselungssoftware zu kompromittieren, die Schwierigkeiten von Mailverschlüsselung und darüber, dass Zimmermann PGP nicht mehr nutzt, „weil ich iPhones und iPads nutze. PGP funktioniert darauf nicht.“
Gute Laune macht das Interview nicht, vor allem am Ende, als Zimmermann über die von seiner Firma entwickelten Blackphones – Krypto-Smartphones – redet:
Wenn die NSA hinter Ihnen her ist, wird Sie auch das Blackphone nicht schützen. Sie finden immer einen Weg. Die NSA kommt überall rein.
-
: Britischer Bericht schlägt Vertrag mit Verpflichtung zu Datenweitergabe durch US-Firmen vor
Wenn Überwachung nicht rechtmäßig ist, werden sie einfach legalisiert - <a href="https://creativecommons.org/licenses/by-sa/2.0/deed.en">CC BY-SA 2.0</a> via wikimedia/<a href="https://commons.wikimedia.org/wiki/File:CMS_(data_transfer_device).jpg">Thomas Guignard</a> : Britischer Bericht schlägt Vertrag mit Verpflichtung zu Datenweitergabe durch US-Firmen vor Ein Vertrag sei in Diskussion, der große US-Internet-Firmen dazu zwingen soll, die persönlichen Daten ihrer Kunden nach Großbritannien auszuhändigen. Das berichtet der Guardian unter Berufung auf einen streng geheimen Bericht für den britischen Premierminister David Cameron. Es wird vermutet, dass man mit diesem Zug diverse andere Probleme in punkto Überwachungslegitimierung umgehen will. Durch einen solchen Vertrag wäre es überflüssig, dass britische Telekommunikationsfirmen die Daten von US-Firmen aushändigen, die über ihre Leitungen laufen. Auch die rechtlichen Beschränkungen, die bisher nach US-Recht für die Weitergabe der Daten gelten, würden durch einen solchen Vertrag ausgehebelt.
Immer wieder wurden in Großbritannien neue Geheimdienst- und Überwachungsregelungen getroffen. Leider haben die es meist schlimmer gemacht, so wie der Data Retention and Investigatory Powers Bill, der vor etwa einem Jahr als „Notstandsgesetz“ und Vorratsdatenspeicherungsersatz die Überwachungsbefugnisse Großbritanniens erweiterte. Zu dessen Einführung wurde auch der nun beschriebene Bericht in Auftrag gegeben, da der Bill selbst nur bis Ende 2016 gültig sein wird.
NGOs verlangen, dass der Report öffentlich zugänglich gemacht wird, zur Not geschwärzt. Das wird jedoch mit dem Argument abgewehrt, dass er Informationen über interne Operationsmechanismen der Firmen enthalte. Von Regierungsseite gibt es kein Entgegenkommen. Eric King von Privacy International sagte dem Guardian:
This is not how complex reforms should be conducted. Must the same mistakes continue to be made, time and time again? Or will this government allow public and parliament the space for an honest debate about surveillance that it so sorely needs?