Datensicherheit und Peinlichkeit

Welche Daten kann man als sicher bezeichnen?

  • Daten die nicht mittels EDV verarbeitet werden

Am sichersten allerdings sind Daten welche nirgendwo niedergeschrieben und abgelegt sind.

Kopieren früher: Durch die alten Spionagefilme wurde der Hersteller Minox (Korrigiert – Dank an Klaus) bekannt – war er doch ein Synonym für winzige Kamera. Jeder gute Spion hatte seine Kleinkamera immer griffbereit, brach er in Bürohäuser und Behörden ein, um geheime Unterlagen zu fotografieren. Danach musste der Film dann schnell über die Grenze zum Hauptquartier gebracht werden, damit die Fotos ausgewertet werden können.  Die entwickelten Fotos wurden nummeriert entwickelt und in dicken, wiederum nummerierten, Akten mit deutlich erkennbarer Aufschrift „Streng Geheim“ abgeheftet.

Heute ist das alles ganz anders: Heute werden entweder gleich digitale Daten gestohlen oder die Bilder werden direkt digitalisiert an den Auftraggeber gesandt. Niemand kontrolliert wirklich auf wie vielen Rechner Kopien der Daten angefertigt werden. Sei es als Dokument oder Temporär-Datei auf der Festplatte, dem RAM oder dem Bildschirmspeicher. Es gibt viele Wege Daten zu kopieren oder Datenströme „abzugreifen“.

Und schon wird klar, wie Wikileaks an diese Mengen von Daten gelangen kann: EDV ist niemals gänzlich sicher. EDV ist vernetzt – weltweit im Zugriff, auch wenn manchmal Firewalls und getrennte Netze Hürden aufbauen sollen. Was nutzen 2 Rechner im Büro (einmal Behördennetz und einmal Internet) wenn der Mitarbeiter die Möglichkeit hat Daten von Rechner A auf Rechner B zu kopieren?

Menschen werden immer – aus verschiedensten Gründen – versuchen Zugriff auf Informationen zu erhalten und diese weiter zu verbreiten. Ob es der Verkauf ist um sich persönlich zu bereichern, oder das Veröffentlichen um sich zu profilieren oder nur um Missstände aufzuzeigen. Selbst in meinem Bekanntenkreis gibt es Menschen, die der Versuchung erlegen sind – und teilweise heute bereuen. Hey, es sind Menschen!

Ganz besonders gefährlich sind allerdings die Informationen, die nicht öffentlich, sondern hinter vorgehaltener Hand und für viel Geld weiter gegeben und genutzt werden. Dann nämlich kann der Betroffene sich nicht wehren, kann keine Abwehrmassnahmen ergreifen. Wenn ich weiss, dass jemand mein Mailaccount in der Firma gehackt hat, kann ich darauf reagieren. Gefährlich ist der stille Mitleser von dem ich nichts weiss.

Das Daten niemals sicher sind, ist eine Erkenntnis, die unsere Regierenden (weltweit) aus den Wikileaks-Vorfällen lernen sollten. Daten nicht erfassen, nicht aufnehmen, nicht verknüpfen. Und wenn man denn unbedingt Daten erfassen und verknüpfen möchte, sollte man seine Geschäftspartner nicht als Deppen bezeichnen – oder gar Material speichern, welche meine Geschäftspartner, Kunden, Auftraggeber oder gar Bürger in unangenehme Situationen bringt.

Für @Eckes, @Kju und andere #vds Diskutanten

Vorab: Ich möchte hier KEINEN Streit auslösen oder Bernd oder anderen unterstellen, sie wären paranoid oder sonstwas. Vielmehr möchte ich hier das Urteil des Bundesverfassungsgericht auswerten und diskutieren.  Quelle des Textes – ich übernehme das Urteil NICHT vollständig. Ich versuche ausschliesslich für die Diskussion und Meinungsfindung relevante Teile vollständig hier wieder zu geben. Sollte mir das nicht gelungen sein, so bitte ich um Hinweis – es liegt mir fern (an dieser Stelle hehe) durch Unterschlagung zu manipulieren.

Die angegriffenen Vorschriften verstehen sich als Umsetzung der
Richtlinie 2006/24/EG des Europäischen Parlaments und des Rates über die
Vorratsdatenspeicherung aus dem Jahre 2006. Nach dieser Richtlinie sind
Anbieter von Telekommunikationsdiensten dazu zu verpflichten, die in §
113a TKG erfassten Daten für mindestens sechs Monate und höchstens zwei
Jahre zu speichern und für die Verfolgung von schweren Straftaten
bereitzuhalten. Keine näheren Regelungen enthält die Richtlinie zur
Verwendung der Daten; auch die Maßnahmen zum Datenschutz werden im
Wesentlichen den Mitgliedstaaten überlassen.

An dieser Stelle ist gewiss eine Reibungsmöglichkeit zwischen lokalen Datenschutzanforderungen und dem EU-Recht. Sollen sich die Großkopferten und die EU-Gerichtsbarkeit doch ruhig streiten.

3. Möglichkeit einer anlasslosen Speicherung von
Telekommunikationsverkehrsdaten

Eine sechsmonatige anlasslose Speicherung von
Telekommunikationsverkehrsdaten für qualifizierte Verwendungen im Rahmen
der Strafverfolgung, der Gefahrenabwehr und der Aufgaben der
Nachrichtendienste, wie sie die §§ 113a, 113b TKG anordnen, ist mit Art.
10 GG nicht schlechthin unvereinbar.

An der Stelle sagt – IMHO – das Verfassungsgericht ganz klar, dass eine ANLASSLOSE Speicherung verfassungswidrig ist. Ein Anlass könnte z.B. die konkrete Verbrechensbekämpfung sein, die dann mittels z.B. Amtsrichter genehmigt werden müsste. Dies wäre aber keine pauschale sondern eine dedizierte Speicherung, wie sie auch heute schon möglich ist (Telefonüberwachung).

Bei einer Ausgestaltung, die dem
besonderen Gewicht des hierin liegenden Eingriffs hinreichend Rechnung
trägt, unterfällt eine anlasslose Speicherung der
Telekommunikationsverkehrsdaten nicht schon als solche dem strikten
Verbot einer Speicherung von Daten auf Vorrat im Sinne der
Rechtsprechung des Bundesverfassungsgerichts. Eingebunden in eine dem
Eingriff adäquate gesetzliche Ausgestaltung kann sie den
Verhältnismäßigkeitsanforderungen genügen.

Eine Vorratsdatenspeicherung KANN den Vorgaben genügen, WENN eine adäquate gesetzliche Ausgestaltung – sprich ein Richter kann dies anordnen. Das würde – wieder IMHO – bedeuten, dass die Telcos angehalten sein können, eine geeignete Infrastruktur bereit zu stellen, die es den Ermittlungsbehörden ermöglicht zeitnah auf die Daten zuzugreifen. Aber eben nur auf richterlich freigegebene.

Allerdings handelt es sich bei einer solchen Speicherung um einen
besonders schweren Eingriff mit einer Streubreite, wie sie die
Rechtsordnung bisher nicht kennt. Auch wenn sich die Speicherung nicht
auf die Kommunikationsinhalte erstreckt, lassen sich aus diesen Daten
bis in die Intimsphäre hineinreichende inhaltliche Rückschlüsse ziehen.
Adressaten, Daten, Uhrzeit und Ort von Telefongesprächen erlauben, wenn
sie über einen längeren Zeitraum beobachtet werden, in ihrer Kombination
detaillierte Aussagen zu gesellschaftlichen oder politischen
Zugehörigkeiten sowie persönlichen Vorlieben, Neigungen und Schwächen.
Je nach Nutzung der Telekommunikation kann eine solche Speicherung die
Erstellung aussagekräftiger Persönlichkeits und Bewegungsprofile
praktisch jeden Bürgers ermöglichen. Auch steigt das Risiko von Bürgern,
weiteren Ermittlungen ausgesetzt zu werden, ohne selbst hierzu Anlass
gegeben zu haben. Darüber hinaus verschärfen die
Missbrauchsmöglichkeiten, die mit einer solchen Datensammlung verbunden
sind, deren belastende Wirkung. Zumal die Speicherung und
Datenverwendung nicht bemerkt werden, ist die anlasslose Speicherung von
Telekommunikationsverkehrsdaten geeignet, ein diffus bedrohliches Gefühl
des Beobachtetseins hervorzurufen, das eine unbefangene Wahrnehmung der
Grundrechte in vielen Bereichen beeinträchtigen kann.

Diesen Absatz habe ich nur stehen gelassen, weil er wunderbar die Erkenntnis beschreibt, welche Gefahren von der Vorratsdatenspeicherung ausgehen.

Die verfassungsrechtliche Unbedenklichkeit einer vorsorglich anlasslosen
Speicherung der Telekommunikationsverkehrsdaten setzt voraus, dass diese
eine Ausnahme bleibt.

Die Speicherung hat die Ausnahme zu bleiben! Nicht die Auswertung. Was das im einzelnen bedeutet, gilt es heraus zu finden. Ist es der Kollateralschaden, wenn meine Rufnummer als von der zu überwachenden Person als „falsch verbunden“ angerufen wird?

4. Verhältnismäßigkeit der gesetzlichen Ausgestaltung der Regelung
(Maßstäbe)

Angesichts des besonderen Gewichts einer vorsorglichen
Telekommunikationsverkehrsdatenspeicherung ist diese nur dann mit Art.
10 Abs. 1 GG vereinbar, wenn ihre Ausgestaltung besonderen
verfassungsrechtlichen Anforderungen entspricht. Es bedarf insoweit
hinreichend anspruchsvoller und normenklarer Regelungen zur
Datensicherheit, zur Begrenzung der Datenverwendung, zur Transparenz und
zum Rechtsschutz.

Anforderungen an die Datensicherheit:

Angesichts des Umfangs und der potentiellen Aussagekraft der mit einer
solchen Speicherung geschaffenen Datenbestände ist die Datensicherheit
für die Verhältnismäßigkeit der angegriffenen Vorschriften von großer
Bedeutung. Erforderlich sind gesetzliche Regelungen, die ein besonders
hohes Maß an Sicherheit jedenfalls dem Grunde nach normenklar und
verbindlich vorgeben. Dabei steht es dem Gesetzgeber frei, die
technische Konkretisierung des vorgegebenen Maßstabs einer
Aufsichtsbehörde anzuvertrauen. Der Gesetzgeber hat dabei jedoch
sicherzustellen, dass die Entscheidung über Art und Maß der zu
treffenden Schutzvorkehrungen nicht letztlich unkontrolliert in den
Händen der jeweiligen Telekommunikationsanbieter liegt.

Hier wird definiert, dass der Gesetzgeber Kontrollvorschriften über den Umgang der Daten zu erstellen hat, die auch die Telekommunikationsunternehmen einschränken. (Gut so)

Anforderungen an die unmittelbare Datenverwendung:

Angesichts des Gewichts der Datenspeicherung kommt eine Verwendung der
Daten nur für überragend wichtige Aufgaben des Rechtsgüterschutzes in
Betracht.

„kommt eine Verwendung der Daten nur für überragend wichtige Aufgaben des Rechtsgüterschutzes“ – dem ist kaum noch etwas hinzuzufügen. Jegliche Urheberrechtsschutzbefindlichkeit z.B. ist somit aussen vor.

Für die Strafverfolgung folgt hieraus, dass ein Abruf der Daten
zumindest den durch bestimmte Tatsachen begründeten Verdacht einer auch
im Einzelfall schwerwiegenden Straftat voraussetzt.

Nicht nur die Speicherung ist restriktiv zu handhaben, auch der Abruf ist nochmals gesichert. Ich werte dies als zweites Werkzeug zum Schutz der Interessen. Denn die Erhebung/Speicherung wurde oben schon eingeschränkt. „im Einzelfall schwerwiegenden Straftat“

Anforderungen an die Transparenz der Datenübermittlung:

Der Gesetzgeber muss die diffuse Bedrohlichkeit, die die als solche
nicht spürbare Datenspeicherung und verwendung für die Bürger erhalten
können, durch wirksame Transparenzregeln auffangen. Hierzu zählt der
Grundsatz der Offenheit der Erhebung und Nutzung von personenbezogenen
Daten. Eine Verwendung der Daten ohne Wissen des Betroffenen ist
verfassungsrechtlich nur dann zulässig, wenn andernfalls der Zweck der
Untersuchung, dem der Datenabruf dient, vereitelt wird. Für die
Gefahrenabwehr und die Wahrnehmung der Aufgaben der Nachrichtendienste
darf der Gesetzgeber dies grundsätzlich annehmen. Demgegenüber kommt im
Rahmen der Strafverfolgung auch eine offene Erhebung und Nutzung der
Daten in Betracht. Eine heimliche Verwendung der Daten darf hier nur
vorgesehen werden, wenn sie im Einzelfall erforderlich und richterlich
angeordnet ist. Soweit die Verwendung der Daten heimlich erfolgt, hat
der Gesetzgeber die Pflicht einer zumindest nachträglichen
Benachrichtigung vorzusehen. Diese muss gewährleisten, dass diejenigen,
auf die sich eine Datenabfrage unmittelbar bezogen hat, wenigstens im
Nachhinein grundsätzlich in Kenntnis zu setzen sind. Ausnahmen hiervon
bedürfen der richterlichen Kontrolle.

Der obige Absatz beschreibt – nach meiner unmassgeblichen Meinung – das Verfahren welche heute bereits für die Gesprächsüberwachung gilt.

Anforderungen an den Rechtsschutz und an Sanktionen:

Eine Übermittlung und Nutzung der gespeicherten Daten ist grundsätzlich
unter Richtervorbehalt zu stellen.

Richtervorbehalt ist ein Wort dass ich geradezu liebe …

Sofern ein Betroffener vor
Durchführung der Maßnahme keine Gelegenheit hatte, sich vor den
Gerichten gegen die Verwendung seiner Telekommunikationsverkehrsdaten
zur Wehr zu setzen, ist ihm eine gerichtliche Kontrolle nachträglich zu
eröffnen.

Und ich MUSS mindestens nachträglich über jegliche Auswertung/Abfrage informiert werden

Eine verhältnismäßige Ausgestaltung setzt weiterhin wirksame Sanktionen
bei Rechtsverletzungen voraus. Würden auch schwere Verletzungen des
Telekommunikationsgeheimnisses im Ergebnis sanktionslos bleiben mit der
Folge, dass der Schutz des Persönlichkeitsrechts angesichts der
immateriellen Natur dieses Rechts verkümmern würde, widerspräche dies
der Verpflichtung der staatlichen Gewalt, dem Einzelnen die Entfaltung
seiner Persönlichkeit zu ermöglichen und ihn vor
Persönlichkeitsrechtsgefährdungen durch Dritte zu schützen. Der
Gesetzgeber hat diesbezüglich allerdings einen weiten
Gestaltungsspielraum. Insoweit darf er auch berücksichtigen, dass bei
schweren Verletzungen des Persönlichkeitsrechts bereits nach geltender
Rechtslage sowohl Verwertungsverbote auf der Grundlage einer Abwägung
als auch eine Haftung für immaterielle Schäden begründet sein können,
und somit zunächst beobachten, ob der besonderen Schwere der
Persönlichkeitsverletzung, die in der unberechtigten Erlangung oder
Verwendung der hier in Frage stehenden Daten regelmäßig liegt,
möglicherweise schon auf der Grundlage des geltenden Rechts hinreichend
Rechnung getragen wird.

Der Bürger hat eine Möglichkeit sich auch gerichtlich zu wehren. Der obige Passus nutzt sehr deutlich Worte.


Innerhalb des ihm dabei zustehenden Gestaltungsspielraums darf der
Gesetzgeber solche Auskünfte auch unabhängig von begrenzenden Straftaten
oder Rechtsgüterkatalogen für die Verfolgung von Straftaten, für die
Gefahrenabwehr und die Aufgabenwahrnehmung der Nachrichtendienste auf
der Grundlage der allgemeinen fachrechtlichen Eingriffsermächtigungen
zulassen. Hinsichtlich der Eingriffsschwellen ist allerdings
sicherzustellen, dass eine Auskunft nicht ins Blaue hinein eingeholt
wird, sondern nur aufgrund eines hinreichenden Anfangsverdachts oder
einer konkreten Gefahr auf einzelfallbezogener Tatsachenbasis erfolgen
darf. Ein Richtervorbehalt muss für solche Auskünfte nicht vorgesehen
werden; die Betreffenden müssen von der Einholung einer solchen Auskunft
aber benachrichtigt werden.

DIESER Part ist in meinen Augen verbesserungsfähig, denn auch hier gilt in meinen Augen der Datenschutz personenbezogener Daten – insofern erwarte ich auch hier den Richtervorbehalt. Durch die nachträgliche Auskunftspflicht KANN aber der Bürger hier eine Kontrollfunktion (Feedback über Medien etc) erwirken.

Auch können solche Auskünfte nicht allgemein
und uneingeschränkt zur Verfolgung oder Verhinderung jedweder
Ordnungswidrigkeiten zugelassen werden. Die Aufhebung der Anonymität im
Internet bedarf zumindest einer Rechtsgutbeeinträchtigung, der von der
Rechtsordnung auch sonst ein hervorgehobenes Gewicht beigemessen wird.
Dies schließt entsprechende Auskünfte zur Verfolgung oder Verhinderung
von Ordnungswidrigkeiten nicht vollständig aus. Es muss sich insoweit
aber um auch im Einzelfall besonders gewichtige Ordnungswidrigkeiten
handeln, die der Gesetzgeber ausdrücklich benennen muss.

Die Messlatte wird auch im Internet nicht auf Kellerniveau gelegt. Naja, könnte man besser.

Den Rest der Urteilsbegründung habe ich hier nicht wieder gegeben, da er die Altlasten betrachtet und nicht zwingend für die Betrachtung des eventuell kommenden relevant ist.

Mein Einschätzung ist immer noch dass dieses Urteil SEHR wichtig für die FREIHEIT in der Bundesrepublik Deutschland ist und sein wird.

Warum ich froh bin Hartz-IV bezogen zu haben

Was ist das ERSTE, was eine Bank/Sparkasse tut, wenn Sie Kenntnis erlangt, dass ein langjähriger Kunde Hartz-IV bezieht? Sämtliche Kreditkarten werden entzogen sowie der Dispokredit wird gestrichen. Das erledigt der „freundliche“ Kundenberater in seinen Computer, noch während er den Kunden begrüsst. Und weil ich eben Hartz-IV bezog (mittlerweile 2 Jahre her) habe ich immer noch weder Dispokredit (wer weiss, der behält den Job bestimmt nicht lange – einmal Hartz-IV immer Hartz-IV. Weiss man doch) noch eine Kreditkarte, welche ich vielleicht bekommen könnte. Brauche ich aber derzeit nicht.

Warum mir das gerade einfiel? Weil mal wieder die Daten von Kreditkartenkunden in die Hände von bösen Buben gelangt sind:

Unbekannte haben beim Registrar und Hosting-Provider Network Solutions über 500.000 Datensätze mit Kreditkartennummern gestohlen. Offenbar gelang es ihnen in 4,343 dort gehostete Shop-Systeme speziellen Code einzuschleusen, der die Transaktionsdaten klaute.

schreibt Heise. Tja, DIESE Form von Missbrauch kann mit meinen Daten nicht geschehen. Wenigstens ein Bereich in dem ich sicher bin – auch wenn diese „Insel der Datensicherheit“ sehr klein ist.