Schutz der Privatsphäre im Internet - 11 konkrete Gesetzesänderungen

Klaus Peukert » 09 November 2011 » in Piraten » 3 Kommentare

Zum Bundesparteitag der Piraten gibt es einen Antrag "Schutz der Privatsphäre im Internet - 11 konkrete Gesetzesänderungen". Dieser besteht im wesentlichen aus der 1:1-Übernahme eines Papers des AK Vorrat aus dem Frühjar 2011. Daran habe ich einige Kritik, die ich einfach mal aufschreibe.

1. Durch Änderung des § 100 TKG muss eine aus Providersicht freiwillige, anlassunabhängige Vorratsspeicherung von Verkehrsdaten klar ausgeschlossen  werden.  Die heute nach § 100 TKG gesammelte Datenhalde geht sowohl hinsichtlich der protokollierten Informationen als auch bezüglich der Datenverwendung (z.B. millionenfache Datennutzung zur Auskunfterteilung an Private nach § 101 UrhG) viel zu weit. Daneben muss auch das vor Einführung der Vorratsdatenspeicherung bestehende Recht, die unverzügliche Löschung von Abrechnungsdaten zu verlangen (§ 97 TKG  a.F.), wieder eingeführt werden.
"Keine VDS" klingt erstmal voll prima. Leider werden hier zunächst gleich zwei Sachen vermengt, der zivile Auskunftsanspruch hat schonmal mit VDS nur sehr am Rande was zu tun (sieht man, wenn man merkt, wie geschickt vom TKG ohne Übergang zum UrhG gesprungen wird). Die geforderte Änderung des TKG ändert den zivilen Aspruch aus dem UrhG jedenfalls nicht, das wird hier schlicht unterschlagen.
Eine Forderung zur Änderung des § 101 UrhG findet sich im Antrag leider auch nicht. Der Wunsch "Keine VDS" ist nachvollziehbar und auch sehr sinnvoll. Die Implementierung des obigen Vorschlags ist aber schlicht schlecht und suggeriert u.a. eine Änderung am zivilen Auskunftssnapruch, die die vorgeschlagene Änderung am § 100 TKG gar nicht leisten kann. Das ist unsauber und nicht zustimmungsfähig. Und was ist mit dem viel wichtigeren Punkt, der Herausgabe der Daten an Bedarfsträger?
2. Die Identität des Nutzers einer IP-Adresse oder Telefonnummer darf künftig nur noch mit richterlichem Beschluss, nur zur Verfolgung schwerer Straftaten oder zur Abwehr schwerer Gefahren offen gelegt werden
Das verbietet im Grunde mal eben Telefonbücher und Dienste wie Whois. Ich habe mir sagen lassen, das das zwar eigentlich nicht gewollt ist, aber letztlich ist das die logische Konsequenz aus Obigem. Auch Ansprechpartner im "Abusemanagement" (bei IP-Adressblöcken/-Netzbereichen) sind so nicht mehr ermittelbar. "Nutzer" schließt juristische Personen nicht aus, d.h. auch ein Impressum einer Webseite auf einem Webserver mit statischer IP wäre wohl dann verboten, da man darüber ja aus der IP die Identität des Nutzers ermitteln kann. Ein Dienst wie XING müsste sofort "vergessen", von welcher IP aus sich ein (ihm gegenüber) namentlich bekannter Nutzer angemeldet hat. Klingt gut, funktioniert so definitiv nicht ohne das Netz kaputt zu regulieren.
3. Behörden dürfen Auskünfte über Nutzer von Internetdiensten  und ihre Internetnutzung künftig nur noch unter den Voraussetzungen  verlangen, die für Auskünfte über Nutzer von Telekommunikationsdiensten  und deren Verbindungen gelten
Ist das die oben geforderte Ergänzung zu Punkt 1 und regelt die Herausgabe von u.U. gespeicherten/vorhandenen Daten? Höhere Hürden für Bedarfsträger, bin ich immer dabei, geht in Ordnung. Das darf dann den Bedarfsträger auch ruhig ordentlich Geld kosten. Wobei beim Vorhandensein des "Lauschangriffs" die Hürden nicht sonderlich hoch und vermutlich nicht hoch genug gelegt werden dürften.
4. [Bei QuickFreeze] muss die Speicherung zukünftiger Verkehrsdaten außer Kraft treten, wenn  sie nicht binnen drei Werktagen gemäß § 100g StPO richterlich bestätigt  wird. [...]
Mit einer strengen Umsetzung von Punkt 1. und 3.sind ja gar keine einzufrierenden Daten mehr vorhanden. Jegliches "QuickFreeze" müsste also zunächst die technischen Vorraussetzungen für die Erfassung, Speicherung, Übermittlung und Herausgabe der davon betroffenen Daten (das dürften dann weit mehr als "abrechnungsrelevante" Dinge sein, u.a. vermutlich auch tatsächlich Kommunikationsinhalte) schaffen. 
Und dann läßt man einen Richter (was der Richtervorbehalt in der Praxis wert ist wissen wir) halt einmal die Woche immer wieder auf den Knopf drücken und die Aufzeichnung mitlaufen, da helfen auch die (hier nicht zitierten) Fristen nicht. Eine Vorstellung die mir um Längen schlimmer erscheint als alles bisherige. Dann doch lieber bspw. eine kurzfristige "Halterspeicherung" von IPs als Ermittlungsansatz, aber auch nichts darüber hinaus ("Wer mit wem").
5. Das Fernmeldegeheimnis muss auf die Nutzung von Internetdiensten erstreckt werden („Telemedien-Nutzungsgeheimnis“). 
Es bleibt unklar, worauf diese Forderung konkret abzielt. Bspw. E-Mails unterliegen auch jetzt schon dem Fernmeldegeheimnis.
6. Für rechtswidrig erteilte Auskünfte über Nutzer von Internetdiensten muss ein Verwertungsverbot eingeführt  werden. 
Verwertungsverbote gibts in engen Grenzen im deutschen Recht, aber nicht in der weitgehend(er)en Form wie etwa in den USA. Gibt es in eingeschränkter Form auch im deutschen Recht. In der geforderten Allgemeinheit bedeutet das letztlich die Forderung nach einer Umsetzung vom in den USA gebräuchlichen "fruit of the poisoneous"-tree." für das deutsche Rechtssystem. Eine derart große Umwälzung des Rechtssystems wird man kaum im TMG/TKG regeln können. Schafft man nur einen weiteren Speziallfall erreicht man kaum die gewünschte Wirkung.
7. Anbietern von Internetdiensten muss die Erstellung von Nutzerprofilen ohne Einwilligung des Nutzers verboten werden; das bisherige Widerspruchsrecht reicht nicht aus (§ 15 TMG ändern). 
Das riecht nach einer "Lex Facebook" und ist leider dermaßen unkonkret, das ich dem schon allein deswegen nicht zustimmen kann. Um mehrere parsec zu ungenau. Schöne Worte, leider keinerlei Substanz. Wieder die richtigen Schlüsselreize gekitzelt, aber "konkret" ist hier gar nichts. "Keine Nutzerprofile", klingt geil, aber was ein Profil im Sinne der Regelung ist und was dann alles mit kaputt geht.
8. Die Ermächtigung des Bundesamts für Sicherheit in der Informationstechnik zur Aufzeichnung von Surfprotokollen muss aufgehoben werden (§ 5 BSIG). 
Hab ich keine Ahnung von und jetzt auch keine Lust mich ins BSIG einzulesen. "Klingt nicht falsch, wird schon passen" (ja, genau das Problem haben die 10 anderne Punkte wo ich bisserl mehr weiß und so mögliche Fehler sehen kann auch). Aber: Meinetwegen.
9. Behörden dürfen Passwörter zu E-Mail-Konten und SIM-PINs nur unter den Voraussetzungen der dadurch ermöglichten Telekommunikationsüberwachung verlangen.
Gibt es tatsächlich noch Provider, die eine Liste von Klartextpasswörtern ihrer Kunden haben? Meint man eventuell statt "Passwort" eher "Zugriff auf das E-Mail-Konto"? Dito SIM-PINs, soweit ich weiß liegen die auch nicht im Klartext vor, wenn man mal PUK2 vergißt muss der Provider das auch zurücksetzen und schreibt nen Brief mit den neuen PINs/PUKs. Zu ungenau, möglicherweise schlicht falsch. Das hätte bei einer breiteren Diskussion in der Partei sicher gefixt werden können.
10. Internet-Zugangsanbieter sollen verpflichtet werden, auf  Wunsch die dynamische Zuteilung einer neuen IP-Adresse bei jedem  Einwahlvorgang anzubieten

Das fördert die vollkommen falsche Idee, dynamische IP-Nummern würden vor irgendetwas schützen, wenn es darauf  ankäme: Inhaber einer dynamischen IP-Nummern zu einem gegebenen Zeitpunkt sind aufdeckbar und identifizierbar, die benutzten Werkzeuge  sind auch ohne IP-Nummer trackbar, und Personentracking funktioniert oft  mit mehreren Signalen, etwa Browserstrings, Cookies und Flash-Cookies. IP-Nummern zu wechseln hat keine Schutzwirkung. (Begründung bei Isotopp geklaut)

11. Es muss gesetzlich festgelegt werden, dass die Bereitstellung  von Diensten nicht von der Angabe einer DeMail-Adresse oder von der  Nutzung des elektronischen Personalausweises abhängig gemacht werden darf. 

Keine Einschränkung auf Behörden und staatliche/kommunale Einrichtungen? Das halt ich möglicherweise für einen zu großen Eingriff in unternehmerische Freiheiten. Finden wir an anderen Stellen ja auch doof. Davon abgesehen ermöglicht der nPA (theoretisch) pseudonyme Geschäfte, etwa einen Alternachweis. Klingt wieder toll ("Keine Pflicht zu DeMail"), wieder nur gut gemeint, wieder nicht gut gemacht.
Am Ende ist dieses Paper voll gut klingender Ideen, es bedient die richtigen Schlüsselwörter und kaum ein regelmßiger FsA-Besucher und Pirat (mich eingeschlossen) dürfte nach erstem groben Überfliegen da was dran zu kritteln haben. Leider gibt es doch was dran zu kritteln und das nicht zu knapp. Allein das die 11 Punkte unter der Überschrift "konkrete Änderungen" stehen und dann maximal ein § genannt wird, verwirrt mich. Das ist keine "konkrete Änderung", das ist ein Pointer auf ne Baustelle, die man aufmachen will.

Was mich aber verärgert ist der Punkt, das die Punkte bereits im Frühjahr auf einer bayerischen Piraten-ML vorgestellt wurde (das Originalpaper ist ja auch aus der Zeit) und obige Kritik bereits damals aufkam (insb. das mit dem Telefonbuchverbot) aber nichts davon reflektiert, aufgegriffen oder der Antrag konkretisiert wurde. Ein AK-Mitglied erkannte wenigstens jetzt die Implikation von 2. und versprach, da nochmal nachzudenken (was auf den an den BPT gestellten Antrag wohl keine Auswirkung haben wird).

Es ist auch ärgerlich, das der Antrag, 1:1 per Copy & Paste aus einem NGO-Dokument "kurz vor ultimo" aus der Versenkung auftaucht, statt über einen längeren Zeitraum innerparteilich vorgestellt, beworben und debattiert worden zu sein. Bei allen hehren Wünschen wie "Keine VDS", die da drin stecken, wenn man mir ohne Debatte so ne politische Tütensuppe vor den Latz knallt fühl ich mich verarscht. Für eine Runde durchs Bundesliquid hätte die Zeit locker gereicht. Andere Antragsteller geben sich deutlich mehr Mühe für ihre Position zu werben.

tl;dr: Der Antrag bedient "gut klingende Schlüsselreize" des klassischen Netzaktivisten, ist leider nur gut gemeint, aber nicht gut gemacht, wurde innerparteilich nicht diskutiert, vorgestellt oder beworben, hat grobe Mängel und (unbeabsichtigt) gefährliche Implikationen und sollte daher abgelehnt werden.

Trackback-URL für diesen Eintrag

3 Kommentare zu "Schutz der Privatsphäre im Internet - 11 konkrete Gesetzesänderungen"

Ansicht der Kommentare: (Linear | Verschachtelt)
  1. Name
    11/11/2011 um 02:37 Permalink
    Ein paar Anmerkungen:

    Zu 2., die Formulierung "offen gelegt werden" kann man eigentlich nur so interpretieren, dass damit vor allem Aktivitäten des Staates, von Interessenverbänden oder Abmahnanwälten gemeint sind. Selbstverständlich darf der Einzelne seine Daten rausgeben bzw. dem zustimmen.

    Zu 4., im Antrag steht "Sollte ein in die Zukunft gerichtetes „Quick-Freeze“-Verfahren eingeführt werden". Damit gemeint wären also die laufend anfallenden Daten nach Beginn eines solchen Quick-Freeze. Jetzt kann man höchstens noch darüber streiten, ob es überhaupt Sinn macht, diesen Fall gedanklich durchzuspielen. Ich sehe darin aber keine Befürwortung von Quick-Freeze.

    Zu 5., das dürfte die gleiche Forderung sein wie die der Piraten nach einem "generellen Kommunikationsgeheimnis" (http://wiki.piratenpartei.de/Parteiprogramm#Privatsph.C3.A4re).

    Zu 4. und 6., das dort geforderte Beiweisemittelverwertungsverbot bezieht sich laut Text auf "rechtswidrig erteilte Auskünfte über Nutzer von Internetdiensten". Natürlich wäre eine generelle Aussage zu dem Thema besser, würde aber den Fokus dieses Antrages sprengen und irgendwo muss man die Grenze setzen. Eine Umsetzung in allgemeinen Gesetzes bzw. auf breiter Front wird dadurch nicht abgelehnt.
    Im übrigen ergänzt dieses Verwertungsverbot den unter 4. geforderte - und zurecht als praktisch ziemlich wertlos kritisierter - Richtervorbehalt. Denn wenn bei der Überwachung gegen eine der Forderungen des Antrags verstoßen wird, dürfte der Staat die Beweise nicht mehr verwenden.

    Zu 9., ja, "Zugang" wäre der bessere Begriff gewesen. Im übrigen muss der Zugang einer überwachenden Stelle zu "E-Mail-Konten *und* SIM-PINs" nicht der selbe sein wie der des Überwachten (z. B. anderes Passwort).

    Zu 10., Ja, eine dynamische IP hat für sich alleine keine Schutzwirkung. Aber wenn man hier informationelle Selbstbestimmung gewährleisten (heißt nicht: garantieren) will, muss man an verschiedenen Stellen ansetzen. Cookies&Co. sind z. B. für den User kontrollierbar. Wenn man aber nur noch eine statische IP bekommt, sind Anonymität/Pseudonymität schon alleine deswegen nur noch mit hohem Aufwand (z. B. TOR) möglich. Zudem steht dort "auf Wunsch", also kann es auch statische IPs geben. Oder natürlich beides.

    Zu 11., ich gehe davon aus, dass die Piratenpartei den Datenschutz in dem Fall über unternehmerische Freiheiten stellt.

    Antwort

  2. tarzun
    11/11/2011 um 08:57 Permalink
    Zu 2.: Ich weiß bzw. kann mir sehr gut vorstellen, das das durchaus so gemeint ist, das diese strengen Regeln nur für Bedarfsträger gelten sollen. Allein: Das steht da eben nicht. Und weil diese Einschränkung da nicht steht, verbietet man mit dem Wortlaut von 2. eben doch Telefonbücher. Ungewollt, klar. Trotzdem. Darüber hinaus: Selbst wenn man das noch "gelten lassen" könnte: Dann bedeutet das immer noch, das man sich dafür ausspricht, "kleine" Straftaten wie Beleidigung, Mobbing, Stalking oder den Enkeltrick am Telefon nicht mehr verfolgen zu wollen bzw. den Aufwand dafür derart nach oben zu treiben das es de facto halt nicht mehr geht. Wie in der Ergänzung geschrieben: Die Forderung kann man ja aufmachen (mir geht sie zu weit), aber man muss dann schon glasklar dazu sagen, das sowas dann eben nicht mehr verfolgt werden kann.

    Zu 4.: Wie geschrieben: Entweder die Provider erfassen eh nichts (wegen 1.), dann greift ein QuickFreeze ins Leere, oder man muss die Infrastruktur schaffen, eben "alles" erfassen, speichern, einfrieren und herausgeben zu können. Eine solche Infrastruktur erscheint mir persönlich für *weitaus* erschreckender und so toll QuickFreeze auf den ersten Blick klingt, so fatal sind die Implikationen dessen. Ja, "nie was speichern, außer auf Anordnung usw." ist aufm Papier ne super Sache, hat aber in der Folge weitreichendere Auswirkungen als selbst die vom BVerfG gekippte alte VDS, weil es eine Überwachungsinfrastruktur schafft, neben der alles bisherige harmlos wirkt.

    Zu 5.: Ja, das mag sein. Hier greift aber meine generelle Kritik an dem Paper, nämlich, das es im Gegensatz zur Einleitung *keine* "konkreten" Gesetzesänderungen vorschlägt, sondern nur aufzeigt, an welchen Ecken man anfassen will. Kann man auch machen, ist völlig OK. Aber dann sollte das Paper nicht von "konkreten Änderungen" sprechen. Eine weitere handwerkliche Schwäche, die bei einem parteiinternen Review sicher locker behoben hätte werden können.

    Zu 4. und 6.: Auch hier ist die Forderung wieder alles andere als konkret. Und sorry: Bei "irgendwo muss man ja Grenzen machen" als Begründung für unsaubere und unklare Formulierungen fühl ich mich halt veralbert. Der Antragsteller will was von mir, meine Stimme. Und da erwarte ich tatsächlich, das man sich ein wenig mehr Mühe gibt als eine hingeworfene, Sclüsselreize bedienende Formulierung, die nicht zu Ende gedacht ist und auf Nachfrage halt mit "Das würde den Rahmen sprengen" begrünet werden muss. So funktioniert das nicht.

    Zu 9.: Eben. Und jetzt nehmen wir das PP an und die Bedarfsträger/Provider lachen uns ins Gesicht, weil wir eine sinnlose Forderung aufstellen, da mangels Klartextspeicherung halt technisch gar keine Passwörter herausgegeben *können*. Und von einem "Zugriff aufs Mailkonto" steht da halt nix, also fällt der nicht unter unsere strenge Forderung. Dasi st eben auch Mist und wenn man das paper nicht kurz vor knapp aus der Kiste geholt, sondern vorher mal der Partei vorgestellt hätte, wäre das völlig easy heilbar gewesen. So fordert man nun bestenfalls was wirkungsloses.

    Zu 10. Dynamische IPs sind (vgl. den jüngsten Donnerhacke-Artikel) eben *kein* Mittel zur Durchsetzung der "informationellen Selbstbestimmung". Aber diese Debatte müssen wir hier gar nicht führen, denn auch hier ist der Antrag handwerklich schlecht: Bei Annahme und Umsetzung erlaubt er bspw. Providern diese Option halt irgendwo in nem Sternchentext zu vergraben oder für teuer Geld anzubieten (Richtig: Da steht nix davon, das das kostenlos sein muss!). Das ist, auch weil der AK Vorrat mit Sicherheit "DynIP als Default" haben will" wieder handwerklicher Murks, den man, ich wiederhole mich, bei einem parteiinternen Review locker hätte fixen können.

    Zu 11. Nun, dann kontere ich mit "der nPA kann den Datenschutz aber doch erhöhen, etwa bei Diensten, welche eine Altersverifikation benötigen, das geht dann nämlich pseudonym statt per Angabe der kompletten Daten, oder dem Nackigmachen bei Drittanbietern". Von E-Government fang ich mal gar nicht an, aber es gibt ne Menge Dinge für die man heut Papier bedrucken oder ne Nummer in der Behörde ziehen muss, die man mit ner geeigneten Verfikation online machen kann. Und nun? Wessen "Datenschutz" gewinnt jetzt? Und "Datenschutz über unternehmerische Freiheiten" ist wieder so ne typische Wischiwaschi-Begründung ohne ne tatsächliche Abwägung der Rechtsgüter und ohne Überlegung der Implikationen. Ganz davon abgesehen, das hier (wieder) für zwei komplexe Themenfelder (DeMail/nPA) Einfachstlösungen angeboten werden, die lediglich, ich wiederhole mich erneut, die Schlüsselreize des Standard-Netzaktivisten triggern ohnr tatsächlich eine Lösung anzubieten. Is ja auch nahvollziehbar, "DeMail = Böse", "nPA = Böse", "Kein Zwang = gut", einmal umrühren, fertig ist die angenommene Forderung.

    Ich möchte nicht, das wir Piraten auf Basis solcher argumentativen Duplo-Bausteine Politik machen, sondern mal länger als von 12 bis Mittag drüber nachdenken, welche Probleme wir erkennen, wie wir sie lösen wollen, ob die gewählten Mittel dafür geeignet sind und die daraus folgenden Implikationen uns die Mittel wert sind.

    Am Ende bleibt neben den inhaltlichen Dingen die grundsätzliche Kritik, das der BPT hier nur "Friß oder stirb" gesagt bekommt (und dann wor der Wahl steht sich "Piraten lehnen Beschluß gegen VDS ab" anhören zu müssen...) und selbst einfachst zu behebende handwerkliche Fehler da jetzt halt drin stehen, weil man das Paper *nicht* innerhalb der Partei ausreichend debattiert hat.

    Schade drum.

    Antwort

  3. Validom
    13/11/2011 um 02:15 Permalink
    Meine Antwort:

    http://validom.net/blog/2011/11/13/schutz-der-privatsphare-im-internet-11-konkrete-gesetzesanderungen/

    Antwort

1 Trackback zu "Schutz der Privatsphäre im Internet - 11 konkrete Gesetzesänderungen"

  1. validom.net 13/11/2011 um 01:23

Kommentar schreiben

Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.

Um maschinelle und automatische Übertragung von Spamkommentaren zu verhindern, bitte die Zeichenfolge im dargestellten Bild in der Eingabemaske eintragen. Nur wenn die Zeichenfolge richtig eingegeben wurde, kann der Kommentar angenommen werden. Bitte beachten Sie, dass Ihr Browser Cookies unterstützen muss, um dieses Verfahren anzuwenden.
CAPTCHA