Archiv der Kategorie: Datenschutz

Privacy by Design: Vom Recht zum Code

In dieser Serie ging ich 2016 der Frage nach, wie sich das europäische Konzept des „Datenschutzes durch Technikgestaltung“ seit 1995 entwickelte, welche Rolle es in der Datenschutzgrundverordnung spielt und welche rechtlichen Mittel es gibt, seine Umsetzung zu erwirken. 

Die Idee, die Entwicklung aus der Perspektive verschiedener Protagonisten zu erzählen, stammt von Georg Dahm, der diese Geschichte 2015 für sein leider eingestelltes „Substanz-Magazin“  bestellt hatte.  Schon damals gingen in den Text nie veröffentlichte Interviews aus den Jahren 2001 und 2002 ein. Sebastian Kraska unterstützte dann in Datenschutzbeauftragter-online.de die Fortführung der Recherche, die mit der Adaption des Standarddatenschutzmodells im November 2016 ihren vorläufigen Abschluss fand. 

  • Die Hand im Bienenstock – John Borking, Ann Cavoukian und Helmut Bäumler: Die Idee der PETs wird auf der Konferenz in Kopenhagen 1995 vorgestellt – und verfängt.
  • Brückenbauer zwischen Informatik und Recht – John Borking und Marit Hansen: PETs werden in diversen Projekten konkret.
  • Entwicklungswege – Kai Rannenberg, Andreas Pfitzmann, Hannes Federrath, David Chaum und Ross Anderson: Wie Informatiker und Kryptografen mit sehr unterschiedlichem Erfolg an der Standardisierung schraubten und grundlegende Konzepten und Ideen erarbeiteten.
  • Wege in die Gestaltung – Helmut Bäumler, Alexander Roßnagel und Ann Cavoukian: Das „Modell Schleswig-Holstein“ scheitert in Berlin, wird aber in Brüssel weitergeführt; eine sehr frühe Kooperation mit Ann Cavoukians Team scheitert nicht nur am ungünstigen Timing (9/11), sondern, wie sich später zeigt, an konzeptuellen Unterschieden.
  • Die Zurückeroberung der Nutzersouveränität – Rigo Wenning, John Borking, Marco Casassa Mont, Lorrie Cranor, Michael Waidner, Giles Hogben und Christopher Soghoian: Frühe Projekte des W3C wie P3P kommen nicht voran, aber die Grundidee hinter P3P, rechtliche Vorgaben in Softwarecode zu verwandeln, wird in diversen Projekten weiter verfolgt.
  • Die Operationalisierung des Datenschutzrechts – Achim Klabunde, Andreas Pfitzmann, Marit Hansen, Martin Rost und Kirsten Bock: Mit der Entwicklung komplementärer Schutzziele entsteht das praktikable Prüfkonzept bzw. das Standarddatenschutzmodell (SDM).
  • Herausforderungen erkennen und gestalten – John Borking und Alexander Roßnagel: Die Datenschutzfolgeabschätzung greift bereits in der Konzeptphase, steht konzeptuell aber noch am Anfang

Zurück in die Steinzeit

Bitte Kiper durch „Notz“ und Trittin durch „Habeck“ ersetzen und dann auf „Reset“:

Die Bündnisgrünen verabschieden sich von der Internet-Politik. Vergangene Woche kippten die niedersächsischen Grünen ihren wichtigsten Internet-Politiker aus dem nächsten Bundestag.

Aus: Spiegel Online – 21/1998, 18. Mai 1998

Von CHRISTIANE SCHULZKI-HADDOUTI.

Für politische Beobachter kein ungewöhnlicher Vorgang: Neue Bundestagsabgeordnete kommen, arbeiten brav in den Ausschüssen mit, halten – mit Glück – ein, zwei Reden, geben Interviews in regionalen Tageszeitungen und einigen Fachblättern, und nach einer Legislaturperiode sind sie auch schon wieder verschwunden. Wen stört das schon? – In diesem Fall offensichtlich niemanden: Vorstandssprecher Jürgen Trittin sicherte sich einen guten Listenplatz und verdrängte damit den einzigen grünen Internetpolitiker im Bundestag, Manuel Kiper, auf eine praktisch aussichtslose Position. Höchstwahrscheinlich ist Kiper also im nächsten Bundestag nicht mehr vertreten. Dabei war und ist Kiper der einzige halbwegs prominente Grüne, der sich um die Belange des Internet kümmert. Er zeigt im Telekommunikationsausschuß und in der Enquête- Kommission „Zukunft der Medien“ Flagge, wenn es um die Kryptofrage, um Bürgerrechte von Netizens oder um das wirtschaftliche Überleben kleiner und mittlerer Diensteanbieter geht.

Kiper war es, der als erster Bundestagsabgeordneter in einer großen Anfrage das Bundesamt für Sicherheit in der Informationstechnik (BSI) durchleuchten ließ. Während die SPD noch darüber beriet, ob die Frage der Schlüsselhinterlegung nicht doch gesetzlich geregelt werden sollte, hatte der forschungspolitische Fraktionssprecher der Bündnisgrünen schon längst gegen Key Escrow eine eindeutige Position bezogen. Nicht zuletzt seinem Einsatz ist es zu verdanken, daß im Informations- und Kommunikationsdienste-Gesetz (IuKDG) auf die Forderung verzichtet wurde, Provider müßten die persönlichen Daten ihrer Nutzer bei Verdachtsmomenten an die Strafbehörden weiterleiten. Er war es, der bei der Verabschiedung des Begleitgesetzes zum Telekommunikationsgesetz die Abgeordneten darauf hinwies, daß nun per Gesetz sogar jede Wohngemeinschaft, die am Monatsende ihr Telefon abrechnet, „geschäftsmäßig Telekommunikationsdienste erbringt“ und somit zu Überwachungsdiensten verpflichtet werden kann. Er zeigte auf, daß Abhörbefugnisse seit 1995 systematisch erweitert wurden und nicht, wie die Bundesregierung behauptet, lediglich an den liberalisierten Telekommunikationsmarkt angepaßt. Kiper forderte als einziger nach dem spektakulären T-Online- Hack eine gesetzliche Nachbesserung, damit Online- Dienste für beim Kunden durch unsichere Software verursachte Schäden haften müssen.

Vor einer Woche verteilten die niedersächsischen Grünen die Listenplätze. Kiper landete auf dem nahezu aussichtslosen 6. Platz. Inhaltliche Fragen spielten bei der Entscheidung keine Rolle, viel wichtiger war den Parteimitgliedern die klassische Links-Rechts- Konfrontation: Einem fundamentalistischen Protagonisten, dem Parteisprecher Jürgen Trittin, auf dem zweiten Platz wurde ein rechter Realo, Helmut Lippelt, auf dem vierten Platz gegenübergestellt. Den Rest besetzten Frauen. Entscheidend war nicht die Frage der Sachkompetenz und der richtigen Themenbesetzung im Bundestag, sondern parteitaktisches Kalkül: Funktionär Trittin gilt als „ministrabler Kandidat“. Als prominentes Vorstandsmitglied spielte er bei der Listenbesetzung eine derart unumstrittene Rolle, daß er „baff“ war, als Kiper seine weitere Kandidatur anmeldete. Kiper repräsentiert hingegen eher eine pragmatische Schiene, vertritt Unternehmensgrüne. Seine Position im Rechts-Links-Grabenkampf ist damit zu schwach, bei der Listenplatzverteilung wurde er als Top-Kandidat nicht einmal in Erwägung gezogen.

In der Innenwahrnehmung der Partei spielen Kipers Themen, Informations- und Kommunikationstechnologie (IuK) sowie Gentechnik, keine Rolle. In diesen Bereichen existierte bei den Grünen bis vor kurzem allein die klassische Reaktion: Totalverweigerung. 1996 sorgte Kiper dafür, daß der vorgesehene IuK-Beschluß – Motto „Boykott und Ausstieg“ – gekippt und durch ein gestaltendes IuK- Programm ersetzt wurde. 1998 erreichte er in Magdeburg den Gentechnikbeschluß, der eine realistische Risikoabschätzung vorsieht und von dem sattsam bekannten Generalveto abrückt. Eigentlich schöne Erfolge – doch in der bündnisgrünen Realität weiß man sie nicht zu würdigen. Deutliches Indiz für die wahre Bewertung von „Internet“ und „Gentechnik“ ist das Wahlprogramm: Eine halbe Seite durfte das Bundestagsbüro von Kiper liefern – lediglich ein Satz überlebte.

Das Thema „Internet“ hat für die Bündnisgrünen schlicht keine Bedeutung. Joschka Fischer stöhnt zwar darüber, daß es bei den Grünen unerkannt viele „technikversessene Internet-Benutzer“ gäbe, doch es wird nichts unternommen, um grüne High-Tech-Positionen der Öffentlichkeit zu vermitteln. Nichts wird getan, um einen Dialog zwischen Basis, Abgeordneten und Parteispitze via Internet zu organisieren. Es gibt nicht einmal eine eigene Newsgroup. Allein ein Blick auf die Homepage der Bündnisgrünen offenbart, was sie vom Medium begriffen haben: herzlich wenig. Ein Wust von Presseerklärungen, Bundesdrucksachen und anderen Texten wurde hier fein säuberlich archiviert – von multimedialer Interaktion wenig Spur. Die Konsequenz ist fatal: Beim Wähler steht Grün für Umweltschutz, höheren Benzinpreis und Müllrecycling. Doch auch das wird in der Listenaufstellung nicht mit einer Konzentration von grünen Kernkompetenzen quittiert: Im Gegenteil: Gleich drei bündnisgrüne Abgeordnete wollen sich im nächsten Bundestag in Sachen Außenpolitik profilieren: Fischer, Lippelt und Trittin. Nach dem Abgang von Elisabeth Altmann, die sich um die Hochschulen kümmerte und ebenfalls auf einem nahezu aussichtslosen Listenplatz landete, wird Forschungspolitik künftig wahrscheinlich nur noch von Simone Probst vertreten. Ihre Schwerpunkte: Atomtechnologie, Weltraumtechnologie und Umwelttechnik. Unwahrscheinlich, daß sie sich bei dieser Themenfülle auch noch für Gentechnologie und Internet engagiert.

Kaum einer weiß, daß die Bündnisgrünen im Bundestag IuK-Politik betreiben. Zu dumm, daß nicht einmal die Parteimitglieder dies zur Kenntnis genommen haben. Politische Gegner und Freunde hingegen wissen Kipers Arbeit zu schätzen: In der Enquête-Kommission „Zukunft der Medien“ hält die CSU die Bündnisgrünen für „kompetent und engagiert“. Die SPD, in Sachen Internet vertreten vor allem durch das Büro des Bundestagsabgeordneten Jörg Tauss, arbeitet regelmäßig mit den Bündisgrünen zusammen – Teile des grünen Thesenpapiers fanden sogar fast wortgleich Eingang in entsprechende SPD-Positionen. Fraktionsübergreifend wurden Themen hochgezogen, Berichte geschrieben, Gesetzesentwürfe der Bundesregierung durchleuchtet und kommentiert. Das Tandem Tauss/Kiper funktionierte erfolgreich: Politische Trends konnten gesetzt werden, da sie aus zwei Lagern lanciert wurden.

Wenn demnächst die IuK-Politik von den Grünen nicht mehr besetzt sein wird, werden es auch die „Internetfreunde“ innerhalb der SPD schwer haben, sich gegen Rechts durchzusetzen. Gibt es keinen massiven Widerstand gegen ein Kryptogesetz mehr, wird sich Jörg Tauss innerhalb der SPD kaum gegen die eigenen Innenpolitiker durchsetzen können. Hinzu kommt das sattsam bekannte Kommunikations- und Akzeptanzproblem: Kryptographie ist für die meisten Abgeordneten ein zu technisches Thema – „Innere Sicherheit“ hingegen läßt sich auch gegenüber dem Wähler wesentlich einfacher vermitteln. Ob die nur schwach organisierte Lobby der Informations- und Kommunikationsbranche dann noch die Abgeordneten eines Besseren belehren kann?

Die Grünen, die einst mit dem hehren Anspruch in der politischen Arena angetreten waren, Politfilz und Seilschaften zu bekämpfen, scheinen sich allmählich von ihren ethischen Grundsätzen zu verabschieden. Einst sorgte das Rotationsprinzip dafür, daß sich die Bundestagsabgeordneten nicht allzuweit von der Basis entfernten. Doch erkannte man damals schnell, daß das eine erfolgreiche Arbeit in den Ausschüssen und Anhörungen eher behinderte. Heute ersticken Polit-Funktionäre jede lebendige Auseinandersetzung und gieren nach Bonner Ministerämtern. Trittin verhinderte, daß das Grundsatzprogramm rechtzeitig genug erstellt wurde, um noch eine vernünftige Diskussion zu ermöglichen. Strategische Ziele wurden erst ungeschickt propagiert und dann ebenso unbeholfen wieder dem wahltaktischen Kalkül geopfert: Stichwort „Benzinpreis“.

8,5 Prozent der Wähler müßten im Herbst für die Bündnisgrünen stimmen, damit Kiper wieder in den Bundestag käme. Doch das wäre zum jetzigen Zeitpunkt ein Traumergebnis. Selbst zu ihrer besten Zeit im Jahre 1987 erreichten die Grünen nur 8,3 Prozent, bei den letzten Bundestagswahlen waren es 7,3 Prozent. In der Wählergunst befindet sich die Partei seit den Magdeburger Beschlüssen im freien Fall. Falls die Grünen überhaupt wieder in den Bundestag einziehen, werden die Netizens aller Wahrscheinlichkeit nach noch weniger politischen Beistand haben als bisher.

Kleiner Provider-Vergleich in Sachen Datenschutz

Für die VDI-Nachrichten bin ich der Frage nachgegangen, wie gut bekannte Cloud- und Hosting-Anbieter in Sachen Datenschutz sind. Das Kürzel ADV steht für Auftragsdatenverarbeitung, also ob ein Anbieter willens ist, mit dem Kunden einen Vertrag darüber abzuschließen. Noch im August bot nur die Hälfte der hier gezeigten Provider einen Vertrag an. Das hat sich inzwischen stark verändert. Hier der erläuternde Begleittext – und hier die  Übersicht:

Cloud- und Hosting-Anbieter Dienste ADV Standort Verschlüsselung Zertifizierung
1&1 Internet AG Cloud-Server keine Angaben EU/USA Backups werden verschlüsselt, Zugriff per VPN/SSL/TLS möglich keine Angaben
Deutsche Telekom AG Business Marketplace: Software as Services aus der Cloud, z.B. Exchange Online, Office 365, Speicher von Strato, Abrechnungssoftware von Fastbill und Sage Ja DE für Portal, verschiedene Orte für verschiedene Anwendungen SSL-Verschlüsselung für Kommunikation mit Online-Anwendungen; die Telekom hat alle ihrem „Privacy and Security Assessment“ unterzogen TÜV-Rheinland-Siegel „Certified Cloud Service“, diverse Zertifizierungen der Anwendungen, z.B. ISO/IEC 27001 für Microsoft Office 365
domainfactory GmbH (Host Europe Groupe) JiffyBox Cloud-Server Ja DE bis 2. Q. 2016, danach F SSL für Server-Anwender-Kommunikation, PGP für E-Mail keine Zertifizierung
Hornetsecurity Verschlüsselte Cloud-Speicher, verschlüsselte E-Mail, Webfilter Ja DE TLS, S/MIME, PGP; AES-256 und SSL für Ende-Zu-Ende-verschlüsselten Cloud-Speicher ISO/IEC 27001 für IT-Sicherheit, TSI 3.1, „Trusted App“ von TÜVIT, „E-Mail made in Germany“-Provider von TÜV Rheinland i-sec GmbH
Host Europe GmbH (Host Europe Groupe) Virtuelle Server, Rootserver, Cloud Server, Private Cloud Server Ja DE/F SSL für Server-Anwender-Kommunikation, PGP für E-Mail ISO/IEC 27001 für IT-Sicherheit für deutsches Rechenzentrum
Spacenet Exchange Server in der Cloud, Managed Hosting, individuelle Cloud-Lösungen Ja DE SSL, AES 256 sowie eine Vielzahl von physikalischen und virtuellen Firewall Setups ISO/IEC 27001 für IT-Sicherheit, Vorbereitung auf ISO/IEC 20000; Nachhaltigkeitszertifikat von ClimatePartner
Strato AG verschlüsselte E-Mail, Homepage-Baukasten, Hosting, Webshops, Online-Speicher, Server Ja DE Perfect Forward Secrecy (PFS) für Mail, SSL mit PFS für Homepages in Vorbereitung, SSL mit PFS für Domain, TLS/SSL für OnlineSpeicher, alle gängigen Verschlüsselungen für Server ISO/IEC 27001 für IT-Sicherheit, ISO 9001 für Qualitätsmanagement
united hoster GmbH Diverse Cloud-Dienste Ja DE Kunde kann nach seinen Bedürfnissen Verschlüsselungsarten einstezen, Cloudspeicher ab Werk verschlüsselt ISO/IEC 27001 für IT-Sicherheit, eine nicht näher bezeichnete TÜV-Zertifizierung
QualityHosting AG Hosted Exchange, Hosted SharePoint, Hosted Lync, CloudServer, Dedizierte Server-Lösungen Ja DE Hosted Exchange: TLS Policies, S/MIME, PGP, QualityHosting regify® ISO/IEC 27001 für IT-Sicherheit

Geht doch: Datenschutzlösungen für Kommentarproblem

Es bleibt nichts, wie es ist: Nach meinem Beschluss, aus Datenschutzgründen auf Kommentare zu verzichten, haben sich zwei praktische Lösungswege aufgetan: Lutz Donnerhacke bietet mir an, mich auf IKS zu hosten und mit mir einen ordentlichen ADV-Vertrag abzuschließen.

Jetzt muss ich mir nur Gedanken darüber machen, was ein solcher Vertrag für ein Blog bedeutet. Über Weiteres werde ich nach einer Reflexion dieser kleinen Orientierungshilfe aus dem Hause von Thomas Kranig berichten. Ich hoffe sehr, dass mir der eine oder die andere hier ein paar Tipps geben kann.

Kranig hatte übrigens im August ein fünfstelliges Bußgeld gegen ein Unternehmen verhängt, das keine adäquaten ADV-Verträge abgeschlossen hatte. Interessant ist, dass man demnach mit Standard-Verträgen sehr vorsichtig sein muss, weil der Vertrag natürlich immer die IST-Datenverarbeitung abbilden muss. Auch mein Vertrag wird daher keine Blaupause für alle Blog-ADV-Verträge sein können.

Außerdem hat sich über Twitter der Dresdner-Web-Designer Frank Stachowitz gemeldet. Auf Anregung der Rechtsanwältin Astrid Christofori arbeitet er jetzt daran, das Cookie-Plugin, das mit einer informierten Einwilligung arbeitet, für die Kommentare umzuarbeiten. Dann haben alle WordPress-Nutzer etwas von meiner kleinen Aktion. Mehr, wenn es so weit ist. Er selbst hat auch schon einen Blog-Beitrag darüber angekündigt.

Kommentare hierzu gerne wieder über Twitter oder Mail. Über weitere Zwischenergebnisse berichte ich hier.

Aus Datenschutzgründen vorerst keine Kommentare mehr möglich

Das ist wirklich nicht der Sinn eines Blogs – aber ja: Im Moment sehe ich keine Möglichkeit, diesen Blog rechtskonform zu betreiben. Aus Datenschutzgründen. Und leider ist das keine faule Ausrede. Denn mein Provider verweigert einen Vertrag zur Auftragsdatenverarbeitung, den ich nach § 11 BDSG brauche, wenn Besucher kommentieren und möglicherweise personenbezogene Daten hinterlassen. Angeblich stellt er die Möglichkeit zur Verfügung (laut Pressestelle), aber auf meine Anfrage wurde mir das seitens der Hotline und des Datenschutzbeauftragten verwehrt – im Sinne von „nicht nötig“.

Die Alternative besteht darin, dass jeder Kommentierende einwilligt, dass seine Daten zu meinem Provider übertragen werden. WordPress stellt aber keine solche Einwilligung in Form eines Kästchens bereit und ich habe jetzt nicht die Zeit dafür, so ein Plugin zu schreiben.

Und leider, leider erlaubt auch der so lockere Paragraf 29 BDSG, der eine Interessensabwägung erlaubt, ausgerechnet für Blogs keine Ausnahme. Liegt wohl an der fehlenden Lobby.

Die Datenschutz-Aufsichtsbehörden bestehen auf einer sauberen Lösung, musste ich heute leider erfahren. Und ja, obwohl die Rechtslage eindeutig ist, geben sie zu, dass eine Umsetzung in der Praxis schwierig ist. Der Markt müsse das regeln, was er aber mangels Druck der Aufsichtsbehörden nicht tut.

Da ich jetzt nicht auf eine Abmahnung einer Aufsichtsbehörde warten möchte, gibt es vorerst leider keine Möglichkeit mehr für Kommentare. Was in der Praxis nicht soo dramatisch ist, da die letzten Beiträge ja nicht mehr kommentiert wurden. Und ich ja weiterhin per Mail oder Twitter erreichbar bin, falls einem Leser eine schlaue Lösung einfällt.

In eigener Sache: Neuer RSS-Feed

Liebe Leser und Leserinnen,

auf Grund des Safe-Harbor-Urteils des Europäischen Gerichtshofs kann ich leider nicht mehr den bequemen Feedburner-Feed anbieten. Falls Sie weiterhin meine Beitrage regelmäßig lesen wollen, können Sie unter den Original-Feeds folgende Formate selbst auswählen und in ihren Reader einspielen: