Internet-Law

Onlinerecht und Bürgerrechte 2.0

12.4.11

Der Tätigkeitsbericht des Bundesdatenschutzbeauftragten

Der alle zwei Jahre erscheinende Tätigkeitsbericht des Bundesdatenschutzbeauftragten ist heute veröffentlicht worden. Das mehr als 200 Seiten starke Papier beschäftigt sich mit einer ganzen Fülle von Fragen. Zwei Themen, die im Netz viel diskutiert werden, habe ich mir näher angeschaut, nämlich das Cloud Computing und die Qualifizierung von IP-Adressen.

Cloud Computing wird von Peter Schaar als Auftragsdatenverarbeitung nach § 11 BDSG betrachtet und ist nach der Ansicht Schaars  in seiner Reinform – als ein offenes, globales Modell – mit dem geltenden Datenschutzrecht schwer in Einklang zu bringen. Unabhängig davon, sind die Anforderungen des § 11 BDSG, der eine schriftliche Vereinbarung über die Auftragsdatenverarbeitung und die Einhaltung der dort genannten strengen Voraussetzungen erfordert, zumindest im Massengeschäft kaum zu erfüllen. Oder um es deutlicher zu sagen: Cloud Computing geht nach unserem Datenschutzrecht eigentlich nicht. Nachdem manche Landesdatenschutzbehörden auch das Hosting als Fall des § 11 BDSG betrachten, wäre auch dieses Massengeschäft foglich datenschutzwidrig. Siehe hierzu auch meinen Beitrag “Das Datenschutzproblem“.

Der Bundesdatenschutzbeauftragte befasst sich auch mit der Kontroverse um den Personenbezug von IP-Adressen. Schaar räumt zumindest ein, dass die durchgehende und absolute Qualifizierung von IP-Adressen als personenbezogene Daten nicht einhellige Ansicht ist. Er weist darauf hin, dass das BMI und das BSI IP-Adressen dann nicht als personenbezogen betrachten, wenn sie beim Anbieter einer Website als Nutzungsdaten anfallen. Nach dieser Ansicht dürfen sie deshalb dort beliebig lange gespeichert und sowohl für Statistik- als auch für Datensicherheitszwecke verwendet werden.

Das wird auch von einigen Gerichten so gesehen. An dieser Stelle muss man natürlich berücksichtigen, dass speziell das BMI ein Interesse an dieser Rechtsauslegung hat, weil damit natürlich auch eine Vorratsdatenspeicherung ein Stück weit überflüssig wird. Daten die unbeschränkt lang in zulässiger Weise gespeichert werden, stehen damit natürlich auch für einen Zugriff von Polizei- und Sicherheitsbehörden grundsätzlich zur Verfügung.

posted by Stadler at 16:27  

22.9.10

Sicherheitsprobleme beim neuen Personalausweis

Der CCC hat massive Sicherheitsprobleme des neuen elektronischen Personalausweises aufgezeigt und dem Innenminister fällt nicht mehr ein als in der Tagesschau zu sagen:

“Irgendwelche Hacker mögen immer irgendwas hacken können, aber, die Zuverlässigkeit und Sicherheit des neuen Personalausweises steht nicht in Frage”

Wer derartig die Fakten ignoriert, dem wird hoffentlich bald ein öffentlicher Tornado ins Gesichts blasen. Man sollte zum Thema die Berichterstattung bei Heise, ZEIT ONLINE und Fefe gelesen haben. Auch der WDR (heute 21:55 Uhr) wird sich mit dem Thema befassen und kündigt einen Bericht an, in dem dargelegt wird, dass selbst die elektronische Unterschrift auf dem neuen Dokument fälschbar ist.

Wenn die Datensicherheit nicht gewährleistet ist, dann darf dieser neue Personalausweis auch nicht eingeführt werden.

posted by Stadler at 18:20  

9.6.09

Surfprotokollierung durch das BSI kommt wohl doch

Das umstrittene BSI-Gesetz, dessen Entwurf in § 5 eine Befugnis des Bundesamts für Sicherheit in der Informationstechnologie (BSI) vorsieht, bei der Kommunikation des Bundes Protokolldaten zu erheben und auszuwerten, kommt nun offenbar doch. Im Innenausschuss des Bundestages wurden zwar noch Korrekturen vorgenommen, die Vorschrift des § 5 Abs. 1 des ursprünglichen Entwurfs blieb aber unangetastet.

Damit erhält das BSI u.a. auch die Befugnis, die Websites des Bundes zu loggen und entsprechend auszuwerten. Eine Weitergabe an Strafverfolgungsbehörden ist unter gewissen Voraussetzungen ebenfalls vorgesehen. Der Arbeitskreis Vorratsdatenspeicherung spricht deshalb von einer verfassungswidrigen Surfprotokollierung.

Bevor man sich dieser Einschätzung vorschnell anschließt, sollte man sich freilich klar machen, dass der Bund damit nichts anderes macht, als das was fast jeder Betreiber eines Webservers macht, er führt Logdateien. Das machen die Bundesbehörden vermutlich bereits jetzt, künftig dann eben auf gesetzlicher Grundlage.

Die Einschätzung des AK Vorrat, dass User damit anhand der protokollierten IP-Adressen jederzeit ohne richterliche Anordnung rückverfolgt und identifiziert werden können(§ 113 TKG)und das Gesetz deshalb verfassungswidrig ist, teile ich nicht. Das Problem ist insoweit einmal mehr wohl eher die problematische Vorschrift des § 113 TKG.

posted by Stadler at 12:45  

11.5.09

Journalisten kritisieren geplantes BSI-Gesetz

Das Bündnis der Medienverbände und -unternehmen beanstandet in einer Stellungnahme an den Innenausschuss des Bundestages den Entwurf des Gesetzes zur Stärkung der Sicherheit in der Informationstechnik des Bundes als verfassungswidrig.

Der Journlistenverband kritisiert vor allem, dass dem Bundesamt ermöglicht werden soll, sämtliche elektronische Kommunikation der Bundesbehörden mit Dritten auszuwerten und damit auch die Kommunikation mit Journalisten zu überwachen.

An dem Gesetz wird außerdem kritisiert, dass die Möglichkeit einer anlasslosen Aufzeichnung des Surfverhaltens geschaffen werden soll.

posted by Stadler at 12:58  

19.3.09

Schäuble kann Kritiker des BSI-Gesetzes nicht ernst nehmen

Wolfgang Schäuble kann die Bedenken gegen das geplante BSI-Gesetz nicht ernst nehmen. Das denke ich mir zu Herrn Schäuble auch gelegentlich.

Dass man im BSI-Gesetz völlig systemwidrig eine Änderung des TMG versteckt hat, scheint gar nicht mehr Thema zu sein.

posted by Stadler at 16:38