Die Vorratsdatenspeicherung – was nun? Ein Lösungsansatz

Bekanntlich tritt das Gesetz zur neuen Vorratsdatenspeicherung ja nun am 18.12.2015 in Kraft. Das heißt, jede Bewegung des Handys, jedes Telefonat, jede Mail und noch einiges anderes wird pauschal registriert. In Bayern soll sogar das Landesamt für Verfassungsschutz (Ja, genau diese ehrlose Bande der kein vernunftbegabtes Wesen mehr traut), Zugriff auf die derart erhobenen Daten erhalten. Vorbei sind die Zeiten, dass diese Daten nur bei Schwerstkriminalität angefasst werden.

Kann man auch etwas gegen den gläsernen Bürger mittels Vorratsdatenspeicherung tun? Ich denke ja, zumindest wenn man ein paar Resourcen „über“ und einen Freundes/Bekanntenkreis, der sich wehren möchte, hat.

Gegeben sei eine Telefonanlage, auf der erst einmal alle eingehenden Anrufe der Teilnehmer auf einer zu definierenden Festnetznummer terminiert und auf das jeweilige Mobiltelefon weitergeleitet werden. Da die Weiterleitung mittels einer hinterlegten Tabelle realisiert wird, kann man diese Weiterleitungen jederzeit ändern. Im Kleinen kann ich z.B. mit meiner Frau und meiner Tochter einen Ringtausch anstoßen. Wir wechseln einfach zufällig die Telefone und ändern stets die Weiterleitung. Nun werden die Ermittlungsbehörden natürlich wissen, dass ich mich tagsüber an meinem Arbeitsplatz aufhalte, also wird das sich dort eingebuchte Telefon ein Hinweis sein, dass ich es bin der sich dort aufhält. Aber wer von uns ist Abends im Pub, wer im Kino und wer treibt sich auf dem Kiez rum? Mit drei Menschen ist die Verwässerung noch recht überschaubar. Ich kann mir aber vorstellen, dass eine erklecklich grössere Menge von Menschen hier genügend „Unruhe“ in die erfassten Daten bringen können, dass eine Beweisführung mittels „Sie haben sich um $Uhrzeit an $Ort aufgehalten“ schlicht ins Leere geht.

Datenschutz und personenbezogene Daten bei der AOK in Heidelberg

Hach, es gibt so Tage und Gelegenheiten, da wird mir klar, wie wenig das Bundesdatenschutzgesetz (BDSG) in Deutschland Beachtung findet. Das aktuelle Beispiel liefert uns die AOK -Baden-Württemberg, speziell das KundenCenter Heidelberg in der Kurfürsten-Anlage 34-36.

Die beste Ehefrau von allen kündigt (jaja, endlich..) bei der AOK, um sich bei einer anderen Krankenkasse zu versichern. In ihrer Kündigung inkludiert Sie den Satz „Von Rückwerbeversuchen bitte ich abzusehen“. Eine klare Willensäusserung, was mit ihren personenbezogenen Daten eben NICHT zu geschehen hat: Sie zu kontaktieren um sie zurück zu werben.

Und wer ruft bei uns an um sich zu erkunden, warum gekündigt wird und versucht die Kündigung noch rückgängig zu machen? Genau: Das KundenCenter Heidelberg der AOK -Baden-Württemberg. Besonders interessant ist dies, da eine Krankenkasse typischerweise nicht nur Adressdaten, sondern eben auch besonders zu schützende (Gesundheits)Daten be- und verarbeitet. Und wer im Kleinen schon so wenig sorgsam mit personenbezogenen Daten umgeht, dem traue ich nicht so weit wie ich ihn werfen könnte. Besonders possierlich ist in diesem Zusammenhang folgendes Zitat der Webseite der AOK:

Die AOK legt besonderen Wert darauf, dass bei der Nutzung der Internetangebote stets Ihre Privatsphäre gewahrt bleibt.

Deshalb ist das Einhalten der gesetzlichen Bestimmungen zum Datenschutz für uns selbstverständlich.

Genau! Die Einhaltung des gesetzlichen Bestimmungen ist der AOK wichtig… Wissen das auch die Mitarbeiter? Bilden die internen Prozesse dies auch ab? Ich wage dies deutlich anzuzweifeln.

Am Wochenende wird wohl ein Schreiben an den zuständigen Landesdatenschutzbeauftragten aufgesetzt werden müssen.

Anmerkung: Und das mir, der ausgerechnet allein diese Woche zwei ganztägige Weiterbildungsveranstaltungen in Sachen BDSG und Datenschutz besucht hat.

Warum die Deutsche Regierung nicht offen über PRISM sprechen KANN!

Mal angenommen, dass was sich derzeit an Informationen verdichtet, nämlich das bundesdeutsche Behörden seit vielen Jahren nicht nur mit der NSA zusammen arbeiten, sondern auch Daten austauschen, würde der Wahrheit entsprechen. Welche Möglichkeiten hätte die Deutsche Regierung zu reagieren und was könnte es für Deutschland (vor allem die Wirtschaft) bedeuten?

Wenn es tatsächlich der Wahrheit entspricht, dass bundesdeutsche Dienste seit Jahren eng mit der NSA zusammen arbeiten, muss sich daraus die Erkenntnis ableiten, dass die deutschen Behörden seit Jahren zumindest eine Ahnung haben, was die NSA für technische Möglichkeiten nutzt. Nun gibt es genau zwei Möglichkeiten:

  1. Die Dienste haben prima mit den US-Amerikanern Informationen getauscht, ihre Vorteile genutzt aber die Regierung hat davon nichts mitbekommen. Dies würde bedeuten, dass das parlamentarische Kontrollgremium eine Farce – ein Muster ohne Wert ist. In diesem Falle gehören umgehend die unkontrollierbaren Dienste abgeschafft. Es ist schlichtweg nicht in der Verfassung vorgesehen, dass es unkontrollierte/unkontrollierbare Institutionen gibt. Zudem ist jedweder involvierte Mitarbeiter ist wegen schwerem Vertrauensbruch aus dem Staatsdienst zu entlassen, inklusive des lebenslangen Berufsverbot in jedweder Behörde.
  2. Die zweite Möglichkeit ist ungleich folgenschwerer: Die Kontrollgremien haben all die Jahre funktioniert und einzelne Politiker von CDU als auch von SPD, FDP und Grüne (die alle irgendwann einmal an der Regierung beteiligt waren!) haben all die Jahre mit diesem Status Quo leben gelernt. Dies würde bedeuten, dass unsere Regierung über viele Jahre hinweg nicht durch die Verfassung gedeckte Aktionen der US-amerikanischen Dienste geduldet haben.

Welcher Möglichkeit klingt plausibler? Ich mag dies nicht entscheiden. Was aber, wenn die Information des „Wir hören all eure Bürger ab, aber es geht nur um Terrorismus“ seit Jahren in Regierungskreisen bekannt war? Eine Revolution wird schon nicht stattfinden. Der normale Bundesbürger versteht nicht worum es geht, außerdem ist das Betreten des Rasens ohnehin verboten. Viel gefährlicher ist die Folge dieses ungelösten Rätsels für Wirtschaftsunternehmen. Diese können agieren und sind äußerst sensibel. Es gibt nichts auf der Welt, dass so sehr gehegt und gepflegt wird, wie der Shareholdervalue. Sollte es sich herausstellen, dass der Wirtschaftsstandort Deutschland durch das Vorgehen der Bundesregierung geschwächt wurde/wird, dann könnte es merkbare Folgen haben. Ich weiß nicht, ob es diesbezügliche Gespräche bereits zwischen Wirtschaft und Regierung gab. Ich kann es mir aber sehr gut vorstellen. Wie könnte es an der Stelle weiter gehen? Wird das Vertrauen in den Wirtschaftsstandort Deutschland durch „wirtschaftliches Entgegenkommen“ stabilisiert?

Verdammt, es stinkt so sehr!

Eine Mail an den BND

Ein Artikel bei Netzpolitik brachte mich darauf, dass ich mich doch mal um den Datenschutz meiner höchstpersönlichen Daten kümmern sollte. Ich glaube ja nicht, dass da schnell etwas passieren wird, aber ich habe das verdammt Recht auf meiner Seite. Und ich bin nicht geneigt mir Unrecht gefallen zu lassen.

To:  zentrale@bundesnachrichtendienst.de
CC: poststelle@bfdi.bund.de, clemens.binninger@bundestag.de
Subject: Überwachung meine Internetverkehrs

Sehr geehrte Damen und Herren,

den Medien musste ich entnehmen, dass Sie als Merkmal für „nicht zu überwachenden Internetverkehr deutscher Staatsbürger“ allein die Verwendung der Topleveldomain „.de“ definieren. Dies nutzt mir, als in Deutschland lebender Bundesdeutscher Staatsbürger und Nutzer einer „.net“-Topleveldomain, leider nichts. Aufgrund ihres definierten Aufgabenbereich (Auslandsaufklärung) gehört die Überwachung deutscher Staatsbürger (also auch mir) NICHT zu ihrem Aufgabenbereich.

Als Besitzer der Domain „$DOMAIN.net“ (von Ihnen über das Tool „whois“ prüfbar), möchte ich Sie also auffordern, den von und zu meiner privat betriebenen Domain laufenden Internetverkehr aus ihren Überwachungsmaßnahmen auszuklammern.

Außerdem möchte ich Sie auffordern, die von mir genutzten Mailadressen h$Username@$DOMAIN.net(meine Firmenmailadresse bei einem in Deutschland ansässigen, deutschen Unternehmen, der $FIRMA GmbH) sowie $USERNAME@gmail.com (eine weitere, von mir genutzte Mailadresse) ebenfalls aus ihren Überwachungsmaßnahmen auszuklammern.

Ich bitte Sie
1) den Eingang dieser Aufforderung sowie
2) die Umsetzung der Maßnahmen
schriftlich zu bestätigen

Mit freundlichen Grüßen

$Name
$Anschrift

CC: – Die Bundesdatenschutzbeauftragte
CC: – Clemens Binninger, Vorsitzender des Parlamentarischen Kontrollgremiums

 

Sichere Cloud-Anbieter in Deutschland

Keine Bange, hier kommt nun keine Werbung, nur eine Warnung. Jüngst stolperte ich wieder über einen Artikel – diesmal in der Channelpartner – in dem die wunderbaren Dienstleistungen von „Cloud“-Anbietern aus den USA gepriesen werden. Auch geht hier zum Beispiel Amazon voll auf einen Aspekt in Sachen Datensicherheit ein:

Amazon weiß indes ganz genau, dass der Erfolg im B2B-Geschäft mit der Sicherheit der Daten steht und fällt. AWS-Chef-Vordenker Werner Vogels betonte in seiner Eröffnungsrede mehrfach und ausführlich, wie wichtig es der Company ist, dass Kundendaten vor fremden Zugriffen geschützt sind. Dazu hat der Betreiber in den AWS-Diensten mehrere Security-Schranken etwa zur Verschlüsselung eingebaut. Die Betonung der Datensicherheit zielte eindeutig auf die Befindlichkeiten der deutschen Anwender, die durch die Snowden-Enthüllungen in ihrer Skepsis bestätigt wurde. „Wir waren nie Teil von PRISM“, versuchte Vogels das deutsche Publikum zu beruhigen.

Problematisch ist nur: Selbst ohne NSA und Prism, sind deutsche Daten bei Amazon & Co nicht sicher. Schon vor 3 Jahren konnte man auf ZDNET lesen, dass nicht nur die NSA – ohne richterlichen Beschluss – Zugriff auf jegliche Daten erlangen kann:

At the Office 365 launch, Microsoft U.K.’s managing director Gordon Frazer, gave the first admission that cloud data, regardless of where it is in the world, is not protected against the Patriot Act Act.

Für deutsche Unternehmen heißt dies: Finger weg von Datenservices von US-Unternehmen. Es ist egal, ob der Server in Deutschland, Irland oder Kalifornien steht. US-Behörden haben über die US-Mutter immer Zugriff auf die Daten. Dabei muss man nicht einmal an das Bundesdatenschutzgesetz denken. Noch bedenklich sollte für Unternehmen die Möglichkeit der Wirtschaftsspionage sein. Denn gerade im Bereich Mittelstand gibt es sicher viele schützenswerte kleine Schmankerl der Ingenieurkunst. Aber auch auf internationalem Märkten agierende Firmen sollten sich in Acht nehmen, denn nur zu schnell ist nach einem kurzen Blick auf das Angebot eine etwas günstigeres Wettbewerbsangebot eines US-Unternehmens vorgelegt..

Interessant ist die Frage, wie es um deutsche Unternehmen steht, die eine US-Niederlassung haben. Ich würde z.B. zu gern erfahren, wie die T-Mobile USA sich verhält, wenn dort US-Behörden versuchen Zugang zu Daten auf deutschen Servern zu erzwingen. Sind Daten auf deutschen Telekom-Servern dann wirklich noch vor dem Zugriff sicher?

Was also sollte man beachten, wenn man Daten wirklich vor dem Zugriff vor US-Behörden verarbeiten möchte?

  1. Keine Daten bei US-Unternehmen hosten (auch wenn der Server in Wuppertal steht)
  2. Sicherheitshalber auch sehr genau überdenken, ob man seine Daten bei deutschen Firmen mit US-Töchtern verarbeiten lässt.

Immer dran denken: Wenn die Daten erstmal draußen sind, bekommt man sie nie wieder rein. Und auf die deutsche Politik kann man sich leider nicht verlassen.