Schutz der Privatsphäre im Internet – 11 konkrete Gesetzesänderungen

Für den kommenden Bundesparteitag der Piratenpartei habe ich ein Positionspapier eingereicht, welches 11 Gesetzesänderungen fordert, um den Schutz der Privatsphäre im Internet auszubauen. Tarzun hat daraufhin Kritik in zwei Blogposts geäußert: erster und zweiter Artikel.

Es sei hier erwähnt, dass er darin den Antrag zwar zitierend durchgeht, an mindestens zwei Stellen aber so kürzt, dass sich Aussagen verändern oder unklar werden. Dennoch möchte ich mich für die Kritik erst mal bedanken, sie werden zu Änderungen in dem Antrag führen. Die Änderungs-Übersicht findet ihr hier. (der Antrag selbst wird nächste Woche geändert). Eine weitere wichtige Änderung ist, dass ich nun nicht mehr alleiniger Antragssteller sein werde. Patrick Breyer wird ihn mit mir zusammen einbringen.

Nun aber zu tarzuns Kritik am Antrag. Mangels echter Zitat-Funktion in WordPress unterstreiche in den Antragstext.

1. Durch Änderung des § 100 TKG muss eine aus Providersicht freiwillige, anlassunabhängige Vorratsspeicherung von Verkehrsdaten klar ausgeschlossen  werden.  Die heute nach § 100 TKG gesammelte Datenhalde geht sowohl  hinsichtlich der protokollierten Informationen als auch bezüglich der  Datenverwendung (z.B. millionenfache Datennutzung zur Auskunfterteilung  an Private nach § 101 UrhG) viel zu weit. Daneben muss auch das vor  Einführung der Vorratsdatenspeicherung bestehende Recht, die  unverzügliche Löschung von Abrechnungsdaten zu verlangen (§ 97 TKG   a.F.), wieder eingeführt werden. 
„Keine  VDS“ klingt erstmal voll prima. Leider werden hier zunächst gleich zwei Sachen vermengt, der zivile Auskunftsanspruch hat schonmal mit VDS nur sehr am Rande was zu tun (sieht man, wenn man merkt, wie geschickt vom TKG ohne Übergang zum UrhG gesprungen wird). Die geforderte Änderung des TKG ändert den zivilen Aspruch aus dem UrhG jedenfalls nicht, das wird  hier schlicht unterschlagen.
Tarzun übersieht hier einen ganz wesentlichen Punkt: denn wenn keine Daten vorhanden sind, kann auch keine Auskunft (nachträglich) verlangt werden. Daher hat sowohl die Vorratsdatenspeicherung wie auch der heutige §100 TKG sehr wohl etwas mit zivilen Auskunftsansprüchen wegen Urheberrechtsverletzungen zu tun! Des weiteren sollte er sich §100 TKG mal anschauen, denn hier ist die Vorratsdatenspeicherung gar nicht gemeint. Vielmehr geht es darum, dass demnach Zugangsanbieter mehr oder minder nach eigenem Ermessen Datenhalden anlegen dürfen und dies auch tun. Diese wiederum werden heute auch für zivile Auskunftsersuchen genutzt.
—————————————————————————-
Eine  Forderung zur Änderung des § 101 UrhG findet sich im Antrag leider auch nicht.
Da hat er recht! Ist ja auch kein Positionspapier zum Urheberrecht.
—————————————————————————-
2. Die Identität des Nutzers einer IP-Adresse oder Telefonnummer darf künftig nur noch mit richterlichem Beschluss, nur zur Verfolgung schwerer Straftaten oder zur Abwehr schwerer Gefahren offen gelegt werden
hier fehlt  „(§§ 112, 113 TKG ändern)“ in Tarzuns Zitat, wodurch sich einiges seiner Kritik gleich erledigt.
—————————————————————————-
Das  verbietet im Grunde mal eben Telefonbücher und Dienste wie Whois.
Falsch. Denn erstens bezieht sich das nur auf den Staat. Zweitens bedeutet offen legen, dass sie (die Identität) nicht schon /öffentlich/ herum liegt. Daten in Telefonbüchern und dem Domain-Whois sind schon öffentlich und zwar mit Zustimmung der Betroffenen! Um das klarer heraus zu stellen, wird der Antrag hier konkretisiert.
—————————————————————————-
Auch  Ansprechpartner im „Abusemanagement“ (bei  IP-Adressblöcken/-Netzbereichen) sind so nicht mehr ermittelbar.
Auch falsch. Die kann man aus öffentlichen Registern ermitteln.
—————————————————————————-
 Ein Dienst wie XING müsste sofort „vergessen“, von  welcher IP aus sich ein (ihm gegenüber) namentlich bekannter Nutzer  angemeldet hat.
Gut erkannt. Das ist korrekt und beabsichtigt. IP-Adressen sind, solange sie rückverfolgbar sind, personenbezogene Daten.
—————————————————————————-
Neben dem impliziten Verbot von Telefonbüchern (oder genauer: Dem Verbot  das ein Polizist in so ein Telefonbuch rein schauen darf) ist bei  Umsetzung der Forderung kein Ansatz mehr gegeben, „nicht-schwere“  Straftaten (Beleidigung, Mobbing, Stalking, der Enkeltrick am Telefon  usw.) aufzuklären. Das kann man für den Preis von höherem Schutz der  Privatsphäre ja fordern und wollen, muss aber dann ganz klar dazu sagen,  das man dann wohl tatsächlich den viel gescholtenen „rechtsfreien Raum“  schaffen will.
Bei tarzun hat also die Schily/Schäuble/Maizière/Friedrich Schere im Kopf schon gewirkt. Das ist genau das, was diese Leute uns ständig einzureden versuchen! Wie war das mit Löschen statt… ? Die Löschung der illegalen Inhalte genügt doch! „Echte“ Verbrechen  kann meist auch ohne die Internet-Rückverfolgung aufgeklärt werden, da hier Interessen aus dem realen Leben bedient werden. Beispielsweise die Versandadresse, an der Ware geliefert wurde – oder die monetären Transaktionsspuren.
Im Gegenteil verbietet das Telemediengesetz eine Surfprotokollierung. Der Gesetzgeber gewichtet so den Datenschutz und die Datensicherheit der vielen rechts-treuen Surfer höher als die Möglichkeit, jede Beleidigung nachzuverfolgen (ganz abgesehen davon, dass man mit wenig Aufwand nicht über die IP-Adresse nachzuverfolgen ist).
—————————————————————————-
3. Behörden dürfen Auskünfte  über Nutzer von Internetdiensten  und ihre Internetnutzung künftig nur  noch unter den Voraussetzungen  verlangen, die für Auskünfte über Nutzer  von Telekommunikationsdiensten  und deren Verbindungen gelten
Hier fehlt „nur auf richterliche Anordnung, nur zur Verfolgung schwerer Straftaten  oder zur Abwehr schwerer Gefahren). Die §§ 14, 15 des Telemediengesetzes  müssen entsprechend geändert werden.“ in tarzuns Zitat.
—————————————————————————-
Ist  das die oben geforderte Ergänzung zu Punkt 1 und regelt die Herausgabe  von u.U. gespeicherten/vorhandenen Daten?
Ja.
—————————————————————————-
4.  [Bei QuickFreeze] muss die Speicherung zukünftiger Verkehrsdaten außer  Kraft treten, wenn  sie nicht binnen drei Werktagen gemäß § 100g StPO  richterlich bestätigt  wird. […]
Mit  einer strengen Umsetzung von Punkt 1. und 3.sind ja gar keine  einzufrierenden Daten mehr vorhanden.
Tarzun hat Quick Freeze nicht verstanden.
Denn Quick Freeze (QF) bedeutet ja nicht nur, dass *vorhandene* Daten nicht gelöscht werden. Vor allem bedeutet QF, dass Daten erst ab diesem Zeitpunkt gespeichert und für den Abruf mit Richter-Genehmigung vorgehalten werden! Das besondere an QF ist hier, dass die Anordnung zu speichern nicht dem Richtervorbehalt (wie heute) dient, sondern nur der folgende Abruf der Daten selbst. QF schafft damit den Geschwindigkeitsnachteil ab, den führende Innenpolitiker gern als Argument für eine Vorratsdatenspeicherung anführen.
—————————————————————————-
Und  dann läßt man einen Richter (was der Richtervorbehalt in der Praxis wert ist wissen wir) halt einmal die Woche immer wieder auf den Knopf drücken und die Aufzeichnung mitlaufen, da helfen auch die (hier nicht zitierten) Fristen nicht. Eine Vorstellung die mir  um Längen schlimmer erscheint als alles bisherige. Dann doch lieber  bspw. eine kurzfristige „Halterspeicherung“ von IPs als  Ermittlungsansatz, aber auch nichts darüber hinaus („Wer mit wem“).
Richterkritik ist sicherlich an der ein oder anderen Stelle angebracht aber nicht in diesem Papier. Wir können uns sicher mal in einem anderen Positionspapier vornehmen, die Judikative in diesem Belangen zu stärken. Bis dahin ist und bleibt der Richtervorbehalt aber eines der wenigen Dinge, die uns vor über-eifernder Exekutive bewahrt.

Aber vor allem ist es gelinde gesagt Unsinn, dass eine komplette Vorratsdatenspeicherung bei Millionen von Bürgern besser sei als ein Quick Freeze bei wenigen Verdächtigen. Noch dazu, dass bei einer Vorratsdatenspeicherung natürlich auch länger aufbewahrt wird, wenn das angeordnet wird (§ 113 TKG). Bei der Aktuellen Regelung muss aber die Identität sofort (ohne Richter!) raus gegeben werden. Bei QF bleibt sie erst mal beim Provider.
—————————————————————————-
5. Das Fernmeldegeheimnis muss auf die Nutzung von Internetdiensten erstreckt werden („Telemedien-Nutzungsgeheimnis“). 
Es bleibt unklar, worauf diese Forderung konkret abzielt. Bspw. E-Mails unterliegen auch jetzt schon dem Fernmeldegeheimnis.

Wichtig ist hier die Unterscheidung von Telemedien und Telekommunikation. Telekommunikations-Anbietern ist es im Grundsatz verboten, Informationen über deren Nutzung herauszugeben. Internet-Portalbetreiber dagegen unterliegen nur den viel lascheren Einschränkungen des BDSG, deren Verletzung nicht strafbar ist. Deshalb hat u.A. Prof. Dr. Martin Kutscha auf der Konferenz der deutschen Datenschutzbeauftragten im Juni 2011 diese Ausweitung vorgeschlagen, die wir hier ausdrücklich aufgreifen.

—————————————————————————-

 

6. Für rechtswidrig erteilte Auskünfte über Nutzer von Internetdiensten muss ein Verwertungsverbot eingeführt  werden.
Hier fehlt „Dies soll sicherstellen, dass ausländische Anbieter nicht länger ohne  Vorliegen der deutschen Schutzvorschriften „freiwillig“ Auskünfte über  Internetnutzer erteilen.“ in tarzuns Zitat.
—————————————————————————-
Verwertungsverbote gibts in engen Grenzen im deutschen Recht, aber nicht in der  weitgehend(er)en Form wie etwa in den USA. Gibt es in eingeschränkter  Form auch im deutschen Recht. In der geforderten Allgemeinheit bedeutet  das letztlich die Forderung nach einer Umsetzung vom in den USA  gebräuchlichen „fruit of the poisoneous“-tree.“ für das deutsche  Rechtssystem. Eine derart große Umwälzung des Rechtssystems wird man  kaum im TMG/TKG regeln können. Schafft man nur einen weiteren Spezialfall erreicht man kaum die gewünschte Wirkung.
Richtig erkannt. Solche Forderungen werden seit Jahrzehnte quasi immer mit dazu gefordert wenn es um solche Dinge geht 😉 Zumal tarzun keinenAlternativvorschlag macht, wie man das Problem der freiwilligen Auskünfte von Google, Facebook und Co. sonst in den Griff bekommen sollte.
—————————————————————————-
7. Anbietern von Internetdiensten muss die Erstellung von Nutzerprofilen ohne Einwilligung des Nutzers verboten werden; das bisherige Widerspruchsrecht reicht nicht aus (§ 15 TMG ändern). 
    
Das  riecht nach einer „Lex Facebook“ und ist leider dermaßen unkonkret, das  ich dem schon allein deswegen nicht zustimmen kann. Um mehrere parsec zu ungenau. Schöne Worte, leider keinerlei Substanz. Wieder die  richtigen Schlüsselreize gekitzelt, aber „konkret“ ist hier gar nichts.  „Keine Nutzerprofile“, klingt geil, aber was ein Profil im Sinne der  Regelung ist und was dann alles mit kaputt geht.
Was genau ist an der Definition des TMG zu „Nutzungsdaten“ und „Nutzungsprofilen“ unklar? „Nutzungsdaten sind insbesondere 1.Merkmale zur Identifikation des Nutzers,2.Angaben über Beginn und Ende sowie des Umfangs der jeweiligen Nutzung und 3.Angaben über die vom Nutzer in Anspruch genommenen Telemedien.“ Nutzungsprofile werden im Abs. 3 bezeichnet und sind die Zusammenführung von Nutzungsdaten mit Bestandsdaten zu weitere Zwecken wie  dem Marketing.
—————————————————————————-
Gestern  schrieb ich salopp von einer „Lex Facebook“ und vergaß zu  bemerken das  die Forderung ja letztlich viel weiter geht. Eine  Anrufliste in meinem  Smartphone ist ein Nutzerprofil.
Nein, eine Anrufliste ist nicht erfasst. Bei dem Telemediengesetz geht es um Telemedien, also Internetportale usw. – nicht um das Telekommunikationsgesetz. Auch sind Anrufer über VoIP keine Nutzer von Telemedien sondern eines Telekommunikationsdienstes.
—————————————————————————-

8. Die Ermächtigung des Bundesamts für Sicherheit in der Informationstechnik zur Aufzeichnung von Surfprotokollen muss aufgehoben werden (§ 5 BSIG).
Hab  ich keine Ahnung von und jetzt auch keine Lust mich ins BSIG  einzulesen. „Klingt nicht falsch, wird schon passen“ (ja, genau das  Problem haben die 10 anderne Punkte wo ich bisserl mehr weiß und so  mögliche Fehler sehen kann auch). Aber: Meinetwegen.
Wer keine Ahnung hat… kann google benutzen. Hier mal ein guter Heise-Artikel.
—————————————————————————-
9. Behörden dürfen Passwörter zu E-Mail-Konten und SIM-PINs nur unter den Voraussetzungen der dadurch ermöglichten Telekommunikationsüberwachung verlangen.
Gibt  es tatsächlich noch Provider, die eine Liste von Klartextpasswörtern  ihrer Kunden haben? Meint man eventuell statt „Passwort“ eher „Zugriff  auf das E-Mail-Konto“? Dito SIM-PINs, soweit ich weiß liegen die auch  nicht im Klartext vor, wenn man mal PUK2 vergißt muss der Provider das  auch zurücksetzen und schreibt nen Brief mit den neuen PINs/PUKs. Zu  ungenau, möglicherweise schlicht falsch. Das hätte bei einer breiteren  Diskussion in der Partei sicher gefixt werden können.
§ 113 Abs. 1 S. 2 TKG erlaubt es um Auskunft über Daten zu ersuchen, „mittels derer der Zugriff auf Endgeräte oder in diesen oder im Netz eingesetzten Speichereinrichtungen geschützt wird.“ Das können durchaus auch Klartext-Passwörter, PINs und PUK (werden da auch explizit genannt!) sein. Immerhin gibt es viele Provider, die eine „Passwort-Vergessen“ Funktion anbieten, bei derer einem das alte Passwort nochmal zugeschickt wird. Klartext-Speicherung von Passwörtern ist also (leider) noch verbreitet. Aber selbst wenn Provider nur verschlüsselte Passwörter (Hashwerte) speichern, können Behörden diesen Hashwert verlangen, mithilfe dessen sie mit relativ überschaubarem Aufwand ein Passwort ermitteln können.
Lesenswert in diesem Zusammenhang ist der Aufsatz „Die Aufklärung von Straftaten im Internet “ von Dr. Phillip W. Brunst.
—————————————————————————-
10.  Internet-Zugangsanbieter sollen verpflichtet werden, auf  Wunsch die  dynamische Zuteilung einer neuen IP-Adresse bei jedem  Einwahlvorgang  anzubieten.    
Das  fördert die vollkommen falsche Idee, dynamische IP-Nummern würden vor  irgendetwas schützen, wenn es darauf  ankäme: Inhaber einer dynamischen  IP-Nummern zu einem gegebenen Zeitpunkt sind aufdeckbar und  identifizierbar, die benutzten Werkzeuge  sind auch ohne IP-Nummer  trackbar, und Personentracking funktioniert oft  mit mehreren Signalen,  etwa Browserstrings, Cookies und Flash-Cookies. IP-Nummern zu wechseln  hat keine Schutzwirkung. (Begründung bei Isotopp  geklaut)

Es ist klar, dass dyn. ips tatsächlich nicht schützen. Doch feste IPs  wären ein Schritt in die falsche Richtung: die Identifizierung der  Nutzer wäre eben noch einfacher als heute. Dynamische IP-Adressen sind während der laufenden Verbindung zuzuordnen, „auf frischer Tat“ ist das ja auch ok. Wenn sich der Provider an Datenschutzrecht hält, sind sie danach aber nicht mehr zuzuordnen. Insofern bieten sie einen guten Schutz. Wenn ich mich bei einem Dienst nicht anmelde, bin ich auch über Browserstrings, Cookies oder Flash-Cookies nicht zu identifizieren.

Um das klarer zu machen, wird der Antrag an dieser Stelle deutlich geändert.
—————————————————————————-
11. Es muss gesetzlich festgelegt werden, dass die Bereitstellung  von Diensten nicht von der Angabe einer DeMail-Adresse oder von der   Nutzung des elektronischen Personalausweises abhängig gemacht werden darf.
Keine  Einschränkung auf Behörden und staatliche/kommunale Einrichtungen?

Nein, das soll auch für private gelten. Es geht hier ja nicht um das Verbot, diese Identifizierungsmethode anzubieten sondern nur darum, es nicht davon abhängig zu machen. Immerhin hat der Staat hier eine Identifzierungsmethode erst geschaffen – in der (vermuteten aber schon geäußerten) politischen Absicht, die Ano/Pseudonymität im Netz zur Ausnahme zu machen.

Die Idee hinter der Forderung ist auch, dass eine andere Identifizierungsmöglichkeit als DeMail/ePA angeboten werden muss, wo eine Identifizierung wirklich nötig ist. Vor Einführung von DeMail/ePA ging es ja auch ohne. Es muss verhindert werden, dass diese besonders datenschutzfeindlich ausgestalteten Instrumente zur einzigen Möglichkeit für die Internetnutzung werden und sich dadurch durchsetzen. Die müssen umgekehrt boykottiert und wieder abgeschafft werden. Zur „Sicherheit“ des ePA könnte der CCC sicher viel sagen.
—————————————————————————-
Am  Ende ist dieses Paper voll gut klingender Ideen, es bedient die  richtigen Schlüsselwörter und kaum ein regelmßiger FsA-Besucher und  Pirat (mich eingeschlossen) dürfte nach erstem groben Überfliegen da was  dran zu kritteln haben. Leider gibt es doch was dran zu kritteln und  das nicht zu knapp. Allein das die 11 Punkte unter der Überschrift  „konkrete Änderungen“ stehen und dann maximal ein § genannt wird,  verwirrt mich. Das ist keine „konkrete Änderung“, das ist ein Pointer  auf ne Baustelle, die man aufmachen will.
Der kommende Parteitag ist sicherlich nicht das richtige Forum für Gesetzesentwürfe. Aber das „konkret“ fliegt aus dem Antragstitel. Auch wenn es im Vergleich zu dem meisten, was da sonst so eingereicht ist, um Längen konkreter ist… 😉 Ich hoffe hiermit alle Punkte soweit erwischt zu haben. Herzlich bedanken möchte ich mich bei Patrick ,der an der Durchsicht, Kommentierung der Antragskritik wie auch der Überarbeitung des Antrages gearbeitet hat!
Dieser Beitrag wurde unter Piraten, Politik, Privacy veröffentlicht. Setze ein Lesezeichen auf den Permalink.

Die Kommentarfunktion ist geschlossen.