Wirklicher Schutz: Sicherheitslücken schließen

Sebastian Alscher, Spitzenkandidat der Piratenpartei aus Hessen und Sprecher für Finanzpolitik, erläutert:

„Wie bei allen Daten zeigt sich, dass diese letztlich nur scheinbar sicher vor Zugriffen sind. Es ist nur eine Frage der Zeit, bis Daten oder Software, die mit einem ökonomischen Wert verbunden sind, für Dritte zugreifbar werden. So geschehen zum Beispiel bei den Waffen zur elektronischen Kriegsführung der Equation Group. Was zunächst als „geheime Hintertür“ eines Staates zur Überwachung genutzt werden sollte, ist nun zu einer Bedrohung für uns alle geworden. Der einzige wirklich effektive Schutz ist, die Informationen über Sicherheitslücken in Systemen allgemein zugänglich zu machen und diese zeitnah zu schließen. Der Hackerangriff WannaCry zeigt, dass den Geheimdiensten in der Sicherheitsdebatte nicht getraut werden kann, wenn sie versprechen, dies hätte keine negativen Auswirkungen auf uns Bürger.“

PIRATEN lehnen elektronische Kriegsführung ab

Anja Hirschel, Spitzenkandidatin für die Piratenpartei aus Baden-Württemberg und Sprecherin für Digitalisierung, ergänzt:

„Nicht Angriffe, mit auch noch so ausgefeilten aktuellen Programmen führen zu einer Verbesserung der Sicherheit, sondern aktive Bestrebungen, die eigene Infrastruktur zu beschützen und bekannte Lücken schnellstmöglich zu schließen. Stattdessen stecken Staaten viel Geld in den Aufbau oder Ausbau eigener „Cyber-Armeen“, deren Aufgabe es unter anderem ist, eine umfangreiche Sammlung an Sicherheitslücken aufzubauen. Diese werden dann genutzt, um eigene Schadsoftware zu entwickeln. Mit dieser ist es dann möglich, zu anderen Computer Zugang zu erlangen, diese zu manipulieren, zu instrumentalisieren oder schlichtweg zu belauschen.“

Gefährdung der Wirtschaft und von Menschenleben

„Die Sicherheit im Netz aufrecht zu erhalten, ist schwierig genug. Wenn von staatlicher Seite nicht alles unternommen wird, bekannte Einfalltore zu schließen, führt dies auch zu einer Gefährdung unserer Wirtschaft, die sich ständig wachsender Bedrohungen, nicht nur aus dem Bereich Industriespionage, ausgesetzt sieht. Das erlangte Wissen zum effektiven Schutz vorzuenthalten, ist unverantwortlich. Die Angriffe auf Krankenhäuser in England haben uns gezeigt, wie schnell ein Softwareproblem zur realen Gefährdung von Menschenleben führen kann. Nicht auszudenken, was im Bereich der kritischen Infrastruktur alles passieren könnte.“ , so Hirschel weiter.

Die Piratenfraktion im Landtag von Nordrhein-Westfalen hat bereits Anfang 2016 mit einem Antrag verhindern wollen, dass deutsche Krankenhäuser leichte Ziele von Cyberangriffen werden können. Es ging dabei um die konsequente und überfällige Verbesserung der IT-Sicherheit von Krankenhäusern in NRW. Mittlerweile hat das Unternehmen Microsoft reagiert und bietet ein entsprechendes „Notfall-Patch“ an, um die Sicherheitslücken in Windowssystemen zu schließen.

Mit dem Internet der Dinge wird sich das noch weiter verstärken: Ein internetfähiger Kühlschrank wird nur mit der Software ausgestattet, die der Hersteller installiert hat. Wenn mit diesem Kühlschrank dann direkt bestellt werden kann, kann das einen Mehrwert für den Konsumenten bringen. Aber der Hersteller kann kontrollieren, bei welchem Lieferdienst der Konsument bestellen kann. Das sieht man heute schon: Kann man auf Android-Geräten auch Apps installieren, die nicht über den offiziellen Google-Store angeboten werden, ist das auf Geräten von Apple nicht möglich. Auf iPhones und iPads lassen sich nur Apps über den offiziellen Apple-Store installieren. Der Hersteller Apple kann auch jederzeit Apps herausnehmen, wenn sie seiner Meinung nach nicht den Nutzungsbedingungen entsprechen oder Funktionalitäten von eigenen Apple-Apps nachbilden.

Noch heftiger geht der Traktorenhersteller John Deere vor. John Deere argumentiert in den USA, dass Besitzer von Traktoren nicht Eigentümer sind, weil die Software auf den Geräten nicht gekauft sondern lizensiert ist. Mit dem Digital Millenium Copyright Act (DMCA) von 1998 verhindern sie, dass neue Geräte wie Sähmaschinen an die Traktoren angeschlossen werden können. In Kanada gehen viele Landwirte dazu über, eine Software aus der Ukraine zu verwenden, die das Digital Rights Management (DRM) umgeht. In den USA gibt es in acht Bundesstaaten Bestrebungen, ein Recht auf Reparatur von Geräten in Gesetze zu fassen. Ein breite Lobby von John Deere und verschiedenen Autoherstellern versucht, diese Gesetze zu verhindern. Auch Apple ist dabei, sie möchten Ersatzteile nur an lizensierte Reparaturbetriebe verkaufen, aber nicht an unabhängige Reparaturfirmen.

Doch wie sieht die Rechtslage in Deutschland aus?

In §95a UrhG darf ein Schutz von geschützten Werken nicht umgangen werden und auch keine Soft- oder Hardware zu diesem Zweck verbreitet werden. Zu den geschützten Werken gehört auch die Software selbst (§§69a-g UrhG). Wer also ein Gerät besitzt, das zu einem Teil des Internets der Dinge gehört, darf bei entsprechendem Schutz der Gerätesoftware diese nicht kopieren. Auch eine „Entstellung“ eines Werk ist in §14 UrhG verboten. Je nach Auslegung kann das dazu führen, dass die Software nicht verändert werden darf. Im Beispiel des internetfähigen Kühlschranks kann das bedeuten, dass der Hersteller mit unterschiedlichen Lebensmittel-Lieferanten Verträge aushandelt, und je nach Konsumverhalten von verschiedenen Lieferanten Geld erhalten kann, wenn ihr Produktkatalog auf den Kühlschrank publiziert wird.

Wenn Konsumenten die Software auf Geräten nicht verändern dürfen, können sie auch keine Sicherheitsupdates vornehmen, selbst wenn der Hersteller keine mehr zur Verfügung stellt. Dass Hersteller häufig nicht bereit sind, diese Updates vorzunehmen, sieht man an der breiten Masse an Android-Smartphones. Dem Kunden wird dann nur die Möglichkeit bleiben, die Internetfunktion des Kühlschranks nicht zu nutzen, wenn er andere als die für ihn ausgesuchten Lieferanten nutzen möchte. Legal wäre eine Umgehung der Software nicht. Selbst das reparieren von Sicherheitslücken ist nicht ohne weiteres legal möglich. Auch deshalb brauchen wir eine Reform des Urheberrechts im Sinne der Konsumenten.

Der bayerische Innenminister Joachim Herrmann interpretiert den Begriff der Sicherheitslücke eher eigenwillig: Für ihn ist es eine „erschreckende Sicherheitslücke“ und „grob fahrlässig“, dass die Polizei private Nachrichten von Bürgern in Messengern wie WhatsApp nicht mitlesen kann. Dabei sollte der gelernte Jurist Herrmann eigentlich so weit mit dem Grundgesetz vertraut sein, um zu wissen, dass laut Artikel 10 Absatz 1 das Briefgeheimnis sowie das Post- und Fernmeldegeheimnis unverletzlich sind. Weshalb also sollten für die zeitgemäße Kommunikation per Internet plötzlich andere Regeln gelten als für die guten alten, analogen Methoden wie Briefe oder Telefonate? Das Internet ist kein Produkt, welches von Außerirdischen auf einem anderen Planeten mit anderen Rechtsgrundlagen entwickelt wurde, sondern eine annähernd in Echtzeit funktionierende Kommunikationstechnologie von dieser Welt.

Der Inhalt geht niemanden etwas an

Ob nun Siegelwachs oder PGP zum Schutz privater Nachrichten benutzt wird, ist völlig gleichgültig: Der Inhalt geht niemanden etwas an, abgesehen vom Verfasser und dem Adressaten der Nachricht. Selbstverständlich müssen dem Staat Möglichkeiten eingeräumt werden, um in bestimmten Fällen mit rechtlich zulässigen Methoden und nach rechtskonformer Anordnung der Judikative genau diese Nachrichten erfassen und auswerten zu können. Doch diese Vorgehensweise darf eben nur in diesen Fällen eingesetzt werden. Massenhafter Gebrauch, oder gar die Erhebung zum Standardprozedere, verstoßen schlichtweg gegen den schon zitierten Artikel 10 unseres Grundgesetzes. Und machen wir uns nichts vor: Wird die sichere Verschlüsselung von WhatsApp geschwächt oder gar verboten, führt das nur dazu, dass Schwerverbrecher und Terroristen auf einen andere Messenger umsteigen – sofern sie diese überhaupt nutzen. Man schnappt also die dümmsten Terroristen, nimmt dafür aber in Kauf, die private Kommunikation unbescholtener Bürger unsicher zu machen. Was sagt es über gewählte und vereidigte Amtspersonen aus, wenn wir Bürger ihnen dauernd erklären müssen, welche rechtlichen Restriktionen ihnen das Grundgesetz für die Ausübung ihres Amtes auferlegt?

Kein Recht auf unbegrenzten Zugriff durch die Behörden

Nochmal zum Mitschreiben, Herr Herrmann: Es hat Ihnen egal zu sein, ob es Bewegungsdaten durch Smartphone-Nutzung oder digitalisierte Dokumente sind, die wir auf irgendeinem Server auf dieser Welt in einer Cloud lagern. Sobald diese Daten aus dem intimen oder privaten Bereich stammen, gibt es keinerlei Anlass und kein Recht auf den unbegrenzten Zugriff durch Ihre Behörden. Das ist keine Sicherheitslücke, sondern ein Grundrecht! Auch das ewige Argument der Strafverfolgungsbehörden und Sicherheitsfanatiker, dass nur unbegrenzter Zugriff auf alle Daten aller Bürger die Vorbeugung schwerster Straftaten und Terrorattacken sicherstellen kann, zieht nicht. Dann könnte man in vorauseilender Vorsorge gleich alle Briefe öffnen, alle Bargeld-Zahlungen registrieren, alle Fahrkartenautomaten verwanzen, die Smart Devices aller Haushalte auswerten und die daraus gewonnenen Daten direkt in Ihr Ministerium zur Auswertung schicken lassen; aber abgesehen von dem Arbeitsaufwand ist es den Organen einer freiheitlich verfassten, demokratischen Staatsordnung eben nicht erlaubt, so zu handeln. Das macht den kleinen Unterschied zu totalitären Systemen aus.

Die Unverletzlichkeit der Wohnung gilt auch für digitale Räume

Wo würde man dann die Grenze ziehen? Hätten als nächstes die Kamera- und Mikrofonmodule von Smart-TVs eine Standleitung zum BKA? Käme nach dem Pflichtrauchmelder die Pflichtinstallation einer Überwachungskamera im Wohnungsflur? Wir müssen jetzt die grundlegende Weichenstellung vornehmen und unabhängig von der verwendeten Technologie festlegen, dass die gute alte Privatsphäre und die Unverletzlichkeit der Wohnung auch für digitale Räume zu gelten hat. Persönliche und personenbezogene Daten gehören ihren Erzeugern und nur diese bestimmen, wie und in welchem Umfang sie freigegeben und verwendet werden!

Eine freie Gesellschaft wird ohne starken Datenschutz in Unfreiheit münden: Wenn erst mal Serviceroboter im Haushalt helfen, Einkäufe erledigen, Bedürftige pflegen oder auch nur dem Spiel und der Unterhaltung dienen, kann es nicht angehen, dass diese Daten aus dem persönlichen und Intimbereich von Millionen von Menschen so transparent und auswertbar würden wie die von Labormäusen. Unsere Gesellschaft braucht einen starken Schutz der Digitalen Privatsphäre und muss sich dem Grundsatz verpflichten, dass „Allgemeine Geschäftsbedingungen“ Konsumenten nicht von vornherein die freie Nutzbarkeit ihrer Daten vorschreiben dürfen.

In den Augen der Regierungsparteien „stellt der Einsatz von optisch-elektronischer Sicherheitstechnologie auch eine Maßnahme im öffentlichen Interesse dar, um die Sicherheit der Bevölkerung präventiv zu erhöhen“. Bisher liegt jedoch kein Beweis vor, dass eine Überwachung dies leisten kann.

Sebastian Alscher, Spitzenkandidat der Piratenpartei in Hessen:

„Offensichtlich nutzt die Regierung das in der Bevölkerung zur Zeit verbreitete Gefühl einer abstrakten Unsicherheit, basierend auf der Illusion eines jederzeit anstehenden Terroranschlags, um diese Überwachungsmaßnahmen durchzusetzen. Unstrittig ist, dass diese Anschläge mit solchen Maßnahmen gar nicht verhindert werden können, wie selbst Experten in der Anhörung vorgetragen haben. Darüberhinaus nutzten salafistische Straftäter wie Anis Amri gerade die Öffentlichkeit, die durch die Verbreitung der Aufnahmen der Kameras hergestellt werden konnte.“

Die Piratenpartei befürwortet Maßnahmen, welche die tägliche Arbeit der Sicherheitskräfte unterstützen, allerdings nur, wenn diese nicht zu einer Einschränkung der Bürgerrechte führen. Der Einsatz von Bodycams mag dazu grundsätzlich ein geeignetes Mittel sein, allerdings lässt der Gesetzesentwurf laut Anja Hirschel, PIRATEN-Spitzenkandidatin in Baden-Württemberg, aktuell zu viele brisante Fragen offen:

„Sind die resultierenden Aufnahmen gerichtsfest und beweissicher? Wem stehen die Aufnahmen unter welchen Voraussetzungen zur Verfügung? Ist eine ständige Aufzeichnung geplant oder nur durch manuelle Aktivierung? Ist die aktive Aufnahmefunktion für die Menschen in der Umgebung erkennbar? Wie findet eine Abwägung über die Verhältnismäßigkeit der Videoüberwachung im Vorfeld statt, oder entscheidet dies jeder Beamte selbst je nach Situation?“

Zusätzlich wurde auch die automatische Kfz-Kennzeichenerfassung angenommen. Diese Entscheidung hat weitreichende Folgen, handelt es sich hierbei doch um eine umfassende anlasslose Überwachung der Bewegungen von Bürgern im öffentlichen Raum. Dies nur als notwendiges technisches Hilfsmittel zur Ermittlung der Maut zu betiteln, ist laut Hirschel zu einfach gedacht:

„Diese Art von Daten ist viel zu interessant, um nicht vielerlei Begehrlichkeiten entstehen zu lassen. Zunächst wird dies noch mit besonderen Fahndungserfordernissen im Rahmen von Terrorbekämpfung begründet werden, um dann zur allgemeinen Verkehskontrolle immer weiteren Stellen zugänglich gemacht zu werden. Technologie die für Überwachungszwecke geeignet ist, wird früher oder später dafür genutzt.“

Es bleibt zu hoffen, dass diese Paragraphen vor dem Verfassungsgericht in Karlsruhe keinen Bestand haben werden. Mal wieder.

Quellen:
[1] Drucksache 18/11183, http://dip21.bundestag.de/dip21/btd/18/111/1811183.pdf
[2] Drucksache 18/10939, http://dip21.bundestag.de/dip21/btd/18/109/1810939.pdf
[3] Drucksache 18/10941, http://dip21.bundestag.de/dip21/btd/18/109/1810941.pdf

Die EU-Datenschutzgrundverordnung (DS-GVO) ist dazu da, um den europäischen Staaten einen verbindlichen Datenschutz-Mindeststandard vorzugeben. Die deutsche Regierung nutzt den deutschen Umsetzungsentwurf aber, um die Rechte Betroffener stark zu beschneiden. Einige der neuen Regelungen verstoßen gegen das Grundgesetz.

Informationelle Selbstbestimmung bedeutet:

Betroffene haben grundsätzlich das Recht

• auf die Information, dass ihre Daten gespeichert werden,
• auf Auskunft darüber, welche ihrer Daten gespeichert werden,
• auf die Berichtigung und Löschung ihrer Daten

Das einzuhalten ist umständlich für viele Ermittlungs- und sonstige Behörden, Krankenkassen und alle möglichen Unternehmen. Dafür hat die Bundesregierung Verständnis und deshalb einige Paragraphen geschaffen, die auf einen Satz hinauslaufen: Bequemlichkeit geht vor Datenschutz.

Betroffene muss man laut § 23 nicht über eine Datenweitergabe informieren, wenn „offensichtlich ist, dass sie im Interesse der betroffenen Person liegt und kein Grund zu der Annahme besteht, dass sie in Kenntnis des anderen Zwecks ihre Einwilligung verweigern würde“. Wie praktisch. Wenn es also zuviel Aufwand bedeuten würde, Datenschutzvorschriften einzuhalten, Betroffene zu informieren oder Daten von Betroffenen zu löschen, können sich Behörden und Unternehmen künftig auf §§ 32, 33 und 35 des neuen Bundesdatenschutzgesetzes berufen, die besagen, dass ein solcher Aufwand für sie zu unbequem wäre.

Auch Krankenversicherte sollen sich mal nicht so haben, wenn die ungefragte, automatisierte Verarbeitung ihrer Gesundheitsdaten dafür sorgt, dass sie das kriegen, was sie wollen, sagt §37. Da ist es okay, Datenschutzauflagen zu kippen, zum Beispiel, wenn per Smartwatch Gesundheitsdaten gegen Beitragsminderungen eingetauscht werden. Für gestresste Ermittlungsbehörden gibt es den § 29, der sicherstellt, dass sie nach Herzenslust ermitteln können, ohne zum Beispiel versehentlich Betroffene informieren zu müssen. Sie können die europäischen Vorgaben ignorieren, „soweit durch ihre Erfüllung Informationen offenbart würden, die ihrem Wesen nach, insbesondere wegen der überwiegenden berechtigten Interessen eines Dritten, geheim gehalten werden müssen.“

Irgendein lachender Dritter findet sich immer, um unveräußerliche Rechte zu veräußern zu können, damit die Datenquellen sprudeln. Laut einiger Unionspolitiker sind Daten „das Rohöl des 21. Jahrhunderts“ und man wird alles versuchen, um sie ungestört zu fördern. Bis hin zum Bruch der Grundrechte.

Auswertung des Gesetzesentwurfs zum neuen BDSG

(Datenschutz-Anpassungs- und -Umsetzungsgesetz EU – DSAnpUG-EU)

Nachfolgend findet ihr zum überarbeiteten Datenschutzgesetz einen differenzierten Kommentar des Datenschutzbeauftragten der Piratenpartei Deutschland, Sebastian Krone, in Zusammenarbeit mit Anja Hirschel, unserer Bundestags-Spitzenkandidatin aus Baden-Württemberg:

Anja Hirschel kommentiert dazu: „Die neue EU-Datenschutzgrundverordnung (DS-GVO) wurde mit dem Ziel eingeführt, die Datenschutzniveaus der Mitgliedsländer so weit wie möglich zu vereinheitlichen. Angeblich führe dies automatisch zu einem insgesamt höheren Standard – doch oft gelang nur eine Einigung auf den kleinsten gemeinsamen Nenner. Besondere Schutzvorschriften, etwa für Internetnutzer oder zur Videoüberwachung, hat die EU nicht übernommen. Außerdem gilt es zu beachten, dass die Verordnung durch Öffnungsklauseln und delegierte Rechtsakte eine Reihe an Dingen offen lässt, die durch die einzelnen Länder eigenständig geregelt bzw. ergänzt werden können. Zu befürchten ist daher ein weiterhin unterschiedliches Datenschutzrecht, anstatt der versprochenen Einheitlichkeit.

Deutschland übernimmt durch den Gesetzesentwurf zu einem neuen Datenschutzgesetz (BDSG) eine geradezu hervorragende Initiative. Einschließlich der Straf- und Bußgeldvorschriften umfasst das noch geltende BDSG 48 Paragrafen, der neue Entwurf wurde auf 85 Paragrafen erweitert! Hinzu kommt eine Vielzahl an Änderungen in anderen, betroffenen Gesetzen, insbesondere die Sicherheit betreffend. Da der Umfang der Änderungen erheblich ist, hier nur der Kommentar zu einigen Passagen, die für die Bürger von besonderem Interesse sind, da diese am unmittelbarsten auf das Privatleben Einfluss nehmen. Dabei geht es um die Rechte der betroffenen Person, die Verarbeitung personenbezogener Daten zu anderen Zwecken, und die Befugnisse und Rechte der Betroffenen hinsichtlich der Geheimhaltungspflicht.“

Passage I.

1. Informationelle Selbstbestimmung

Das Grundrecht auf informationelle Selbstbestimmung kann nur durch die Umsetzung der Rechte des Betroffenen auf Information, Auskunft, Berichtigung und Löschung seiner Daten umgesetzt werden. Hier schränkt die EU-DS-GVO bereits das bestehende BDSG ein und der neue Gesetzesentwurf geht noch einmal darüber hinaus. Dies widerspricht der EU-Grundrechtscharta. Die so geregelte Information zur Videoüberwachung lässt den Verantwortlichen einen zu großen Spielraum.

2. Informationspflichten bei der Erhebung von Daten

In § 32 werden die (scheinbar lästigen) Informationspflichten bei der Erhebung von Daten eingeschränkt und unterlaufen, Art. 13, 23 DS-GVO (hier sind Ausnahmen ausdrücklich wegen eines „unverhältnismäßigen Aufwandes“ nicht vorgesehen). Es wird in § 33 Abs. 1 bereits von einer Informationspflicht abgesehen, wenn die „ordnungsgemäße Erfüllung von Aufträgen der jeweiligen Stellen gefährdet“ würde. Zudem wird der Begriff „öffentliche Sicherheit“ in „öffentliche Ordnung“ bewusst juristisch verfälscht und in seiner Anwendungsmöglichkeit verwässert.

3. Löschung

§ 35 Abs. 1 schränkt das Recht auf die Löschung von Daten unzulässig ein. Dies kann dazu führen, dass Hard- und Softwarehersteller sich darauf berufen, dass eine Löschung zuviel Aufwand bedeute, anstatt Produkte zu entwickeln, die diese Norm befolgen.

4. Gesundheitsdaten

§ 37 Abs. 1 erlaubt zusätzlich die Verwendung von sensiblen Gesundheitsdaten ohne Zustimmung des Betroffenen durch automatisierte Verfahren bei Versicherungsverträgen. Bisher war dies so nicht möglich, da bei Gesundheitsdaten als „besonders schützenswerte Daten“ spezielle Auflagen eingehalten werden mussten, gehören sie doch zu den Daten, die den „allerpersönlichsten Lebensbereich“ betreffen. Eine Aufweichung dieses besonderen Schutzes widerspricht dem EU-Recht.

Passage II.

1. Zweckbindung

Seit es den Datenschutz gibt, ist eines der wesentlichen Elemente die sogenannte Zweckbindung. Dies gilt mit der DS-GVO zwar weiter, das neue BDSG weicht diesen Grundsatz jedoch in verfassungswidriger Weise auf. Die §§ 23-25 führen nicht dazu, dass der Betroffene in geeigneter Weise mitwirken kann, wenn der Zweck bei der Verarbeitung personenbezogener Daten geändert wird. Herausragend ist dabei besonders die Formulierung in §23 Abs, 1: „Die Verarbeitung personenbezogener Daten zu einem anderen Zweck als zu demjenigen, zu dem die Daten erhoben wurden, durch öffentliche Stellen im Rahmen ihrer Aufgabenerfüllung ist zulässig…“.
Hier wurde die Abwägung des entgegenstehenden schutzwürdigen Interesses des Betroffenen vollständig gestrichen. § 24 stellt damit einen Blankoscheck für die Sicherheitsbehörden aus („Abwehr von Gefahren für die staatliche oder öffentliche Sicherheit oder zur Verfolgung von Straftaten“).

Passage III.

1. Informationspflichten bei Datenschutzvorfällen

Die in § 29 formulierten Ausnahmen von der Informationspflicht erschließen sich nicht. Weshalb soll bei Datenpannen keine Benachrichtigungspflicht bestehen, wenn „Informationen offenbart würden, die ihrem Wesen nach, insbesondere wegen der überwiegenden berechtigten Interessen eines Dritten, geheim gehalten werden müssen“?
Die DS-GVO kennt keine Daten, die „ihrem Wesen nach“ geheim gehalten werden müssen. Hier fehlt die Abwägung des entgegenstehenden schutzwürdigen Interesses des Betroffenen.

2. Aufsicht und Geheimhaltungspflicht

§ 29 Abs. 3 schränkt die Befugnisse der Aufsichtsbehörden iSd. Art. 58 Abs. 1 DS-GVO gegenüber Berufsgeheimnisträgern ein. Insbesondere öffentliche Stellen wären jeglicher Aufsicht entzogen, z.B. das gesamte öffentliche Gesundheitswesen.
Art. 90 Abs 1 DS-GVO regelt das anders, nämlich mit der Einschränkung „soweit dies notwendig und verhältnismäßig ist, um das Recht auf Schutz der personenbezogenen Daten mit der Pflicht zur Geheimhaltung in Einklang zu bringen“.
Es wäre keinesfalls hinnehmbar, dass z.B. der gesamte Aktenbestand einer Anwaltskanzlei beschlagnahmt werden könnte.

Da § 203 StGB (Geheimhaltungspflicht) mit der Regelung des § 29 Abs. 3 unterlaufen wird, ist dieser Absatz nicht haltbar.

Sebastian Krone resümiert:
„Abschließend lässt sich zusammenfassen, dass die neue EU-Datenschutzgrundverordnung (DS-GVO) durch die Ergänzungen der DSAnpUG-EU der Bundesregierung systematisch umgedeutet und ausgehöhlt wird. Anstatt den Bürgern der EU ein verlässliches Regelwerk zum Schutz ihrer Daten zu bieten, wird so auf nationaler Ebene der Möglichkeit der Überwachung Tür und Tor geöffnet. Gegen viele Regelungen bestehen verfassungsrechtliche Bedenken bzw. sie verstoßen gegen geltendes EU-Recht.

Die Rechte der Betroffenen werden immer weiter eingeschränkt. Dieses Beispiel kann und darf nicht Schule machen – und besonders nicht in einer eiligen Nachtsitzung im Bundestag durchgewunken werden!“

Der 26-Jährige Amri war im November 2015 bereits in Berlin festgenommen worden und hatte laut Informationen des „Kölner Stadt-Anzeigers“ schon im Vorfeld mehrfach Anschläge angekündigt. So habe das Landeskriminalamt Düsseldorf im Frühjahr 2016 Berichte darüber erhalten, dass der damals 24-Jährige andere Personen aufforderte, mit ihm gemeinsam Attentate in Deutschland zu begehen. Im Internet soll Amri nach Anleitungen zum Bombenbau gesucht haben, außerdem habe er sich großkalibrige Schnellfeuergewehre beschaffen wollen. Im Juli 2016 habe ein Undercover-Agent dem Landeskriminalamt in Düsseldorf berichtet, Amri hätte damit geprahlt, ein Blutbad anzurichten.

Patrick Schiffer, Vorsitzender der Piratenpartei Deutschland:

„Die Forderungen von Heiko Maas und Thomas de Maizière werden immer abstruser. Die wiederholten Rufe nach neuen Überwachungsinstrumenten zeigen die völlige Planlosigkeit der Innen- und Justizminister. Auch die Forderung nach einer Überwachung durch Fußfesseln ist wieder mal nur reine Symbolpolitik!

Ein potentieller Terrorist oder Selbstmordattentäter wird auch von einer Fußfessel nicht daran gehindert werden, sein tödliches Ziel zu erreichen. Bei dem Terroranschlag in Frankreich im Juli 2016 stand einer der Terroristen bereits in einem laufenden Ermittlungsverfahren wegen Terrorverdachts unter Aufsicht der Justiz und trug eine elektronische Fußfessel. Das hat nichts gebracht!

Beim konkreten Verdacht auf eine bevorstehende, schwere Straftat muss diese Person in Gewahrsam genommen oder observiert werden. Das kann bereits heute nach den Polizeigesetzen der Länder geschehen. Wenn die bestehenden Möglichkeiten nicht ausgeschöpft werden, sollten die zuständigen Behörden schnellstens herausfinden, warum das so ist und handeln. Stärkt lieber den Personaleinsatz der Polizei um ein Vielfaches und schaut, woran es den Behörden wirklich fehlt. Das sorgt für objektive Sicherheit.“

Der Themenbeauftragte für Datenschutz der Piratenpartei, Patrick Breyer, kündigt Verfassungsbeschwerde gegen den geplanten Kfz-Massenabgleich an:
»Kfz-Massenscanning-Systeme, wie sie beispielsweise in Bayern eingesetzt werden, sind hoch fehleranfällig und führen dort in 99 von 100 Fällen zu Fehlalarmen. Die Errichtung einer Überwachungsinfrastruktur leistet einer zukünftigen Zweckentfremdung der Daten, bis hin zur Erstellung von Bewegungsprofilen, Vorschub. Für uns ist eine verdachtslose Massenerfassung unbescholtener Autofahrer inakzeptabel. Mit dem ständigen Gefühl des Überwachtwerdens wollen wir nicht leben. Deswegen will ich Verfassungsbeschwerde gegen das PKW-Maut-Gesetz einreichen, wenn es so in Kraft treten sollte.«

Patrick Schiffer, der Vorsitzende der Piratenpartei Deutschland, ergänzt:
»Überwachungskameras sind nach einschlägigen Studien [3] kein geeignetes Mittel, Straftaten zu verhindern und die Sicherheit zu erhöhen. Sie stärken nicht einmal das Sicherheitsgefühl der Überwachten. Eine Untersuchung in London konnte keinen Zusammenhang zwischen der Anzahl von Überwachungskameras und der Aufklärungsquote von Straftaten feststellen.

Zum Schutz unserer offenen Gesellschaft und im Interesse einer effizienten Sicherheitspolitik wollen wir auf anlasslose, massenhafte, automatisierte Datenerhebungen, Datenabgleichungen und Datenspeicherungen verzichten. In einem freiheitlichen Rechtsstaat ist eine derart breite Erfassung beliebiger unschuldiger Personen nicht hinnehmbar und schädlich.«

Quellen:
[1] Die Zeit – Bundesregierung will Videoüberwachung ausbauen: http://www.zeit.de/politik/deutschland/2016-12/innere-sicherheit-videoueberwachung-bundesregierung-kabinett-gesetzentwurf
[2] Netzpolitik.org – Bundeskabinett beschließt mehr Videoüberwachung und Kennzeichen-Scanner: https://netzpolitik.org/2016/bundeskabinett-beschliesst-mehr-videoueberwachung-und-kennzeichen-scanner/
[3] Martin Gill und Angela Spriggs, „Assessing the impact of CCTV“, UK Home Office Research Study Nr. 292, London, Februar 2005: https://www.cctvusergroup.com/downloads/file/Martin%20gill.pdf

Hinter dem Begriff der ‚Quellen-TKÜ‘ verbirgt sich ein Staatstrojaner, der in private Geräte eindringt. Dadurch wäre eine Ende-zu-Ende-Verschlüsselung, wie sie z. B. WhatsApp benutzt, wirkungslos. Die „roten Sheriffs“ schrecken neben der täglichen Internetüberwachung auch nicht vor weiteren völlig untauglichen Maßnahmen zurück: Der sinnlose Zugriff der Geheimdienste auf unsere Kontodaten, Robocops mit Überwachungskameras ohne abschreckende Wirkung, eine erneute Strafverschärfung für Widerstand gegen Polizeibeamte, obwohl schon die letzte wirkungslos verpufft ist, die Telefonüberwachung Einbruchsverdächtiger, die nicht in einer Bande organisiert sind.

Wir PIRATEN stehen für Freiheit statt Angst. Wir wollen die Überwachungslawine stoppen, solange das noch möglich ist. Wir wollen nicht in einer Welt der Totalüberwachung leben, an der CDU und SPD offenkundig permanent arbeiten.«

### Presse-Service der Piratenpartei Deutschland ### Berlin, den 8. November 2016 PM 200 / 16

Die Datenschutzbehörden sind sich zurecht einig, dass eine generelle, zeitlich und räumlich durchgängige Videoüberwachung beispielsweise im ÖPNV in aller Regel unverhältnismäßig und somit unzulässig ist. Dabei muss es auch bleiben. Es kann nicht angehen, dass Tausende von rechtschaffenen Bürgern auf dem Weg von und zur Arbeit permanent überwacht werden.

Überwachungskameras sind nach einschlägigen Studien kein geeignetes Mittel, Straftaten zu verhindern und die Sicherheit zu erhöhen. Sie stärken nicht einmal das Sicherheitsgefühl der Überwachten. Eine Untersuchung in London konnte auch keinen Zusammenhang zwischen der Zahl von Überwachungskameras und der Aufklärungsquote von Straftaten feststellen. Doch darum geht es der CDU auch nicht.«

### Presse-Service der Piratenpartei Deutschland ### Berlin, den 26. Oktober 2016 PM 190 / 16

Der Bundesinnenminister hatte nun gestern Gelegenheit, seine Vorschläge zu platzieren. Im ersten Moment könnte man versucht sein, sie – nach all den verbalen Angriffen auf den Rechtsstaat vom Vortag – gemäßigt zu nennen.

Wenn da nicht wieder diese kleinen Einschränkungen der Freiheit des Einzelnen unter dem Deckmäntelchen der notwendigen Sicherheit versteckt wären. Im sogenannten Sicherheitspaket führt er aus, dass er noch in diesem Herbst die „Zitis“ aufbauen will, die „Zentrale Stelle für Informationstechnik im Sicherheitsbereich“.

Diese Stelle soll „Strategien und Software“ für den Kampf gegen Terror und Kriminalität im Internet liefern und in etwa 400 Mitarbeiter haben. Ziel dieser Dienststelle soll es auch sein, mit verdeckten Ermittlern im sogenannten „Darknet“ den Waffenhandel und die Kommunikation zwischen Terroristen aufzuspüren. Weiterhin sollen die Ermittler im Internet alles tun dürfen, was sie bereits bei der Telefonüberwachung dürfen. Ziel ist es unter anderem, künftig sogar die „WhatsApp-Kommunikation“ und ähnliches knacken zu können. Soll heißen: Vorratsdatenspeicherung über alle Systeme oder Netzwerke?

Stefan Körner, Bundesvorsitzender der Piratenpartei Deutschland: »Bei all den Dingen, die die Unions-Länderinnenminister gefordert haben, sieht der Bundesinnenminister auf den ersten Blick aus wie ein Lamm unter lauter Wölfen. Dieser erste Blick täuscht. Die Überwachung von „WhatsApp“ und ähnlichen Kommunikationsmedien im Internet stellt eine neue Qualität der Überwachung dar. Die Stasi öffnete Briefe über Wasserdampf, unsere – ach so – freie und liberale bundesrepublikanische Gesellschaft öffnet E-Mails und alles andere an Kommunikation?

Ist das die Freiheit, die der Bundesinnenminister qua Amt verteidigen soll? Dazu kommen verdeckte Ermittler im „Darknet“. Wie praktikabel diese Idee ist, werden wir dann sehen. Erfreulicherweise hat der Minister keine Videoüberwachung im Darknet gefordert. Freiheit beginnt im Kopf. Sie endet nicht vor der Haustür, sie muss auch für alle im Internet gelten. Werden die Grundlagen unserer Freiheit erst durch die Regelungswut des Ministers zerstört, nützt uns auch die vermeintliche Sicherheit nichts. Sicherheit gibt es nur mit Freiheit, nicht ohne sie. Diese Vorschläge sind mit Sicherheit überflüssig!«

Britz ergänzt: »Wir brauchen endlich wirksame Mindeststandards, wie mit personenbezogenen Daten auf über das Netz erreichbaren Systemen umgegangen werden muss. Das betrifft nicht nur die Software selbst, sondern auch Arbeitsabläufe und verbindliche Sicherheitsprüfungen. Außerdem fordern wir in der Konsequenz Sanktionsmöglichkeiten sowie Schadenersatzansprüche für diejenigen, deren Daten durch solche fahrlässigen Sicherungsmaßnahmen ‚abhanden‘ kommen. Datenschutz ist Schutz der Persönlichkeit!«

So schaltete er unverzüglich den zuständigen Bundesbeauftragten für Datenschutz der Piratenpartei Deutschland, Thomas Marc, sowie Anja Hirschel, Datenschutzbeauftragte der PIRATEN des Landesverbandes Baden-Württemberg ein. Letztere erklärt hierzu: Uns PIRATEN ist es wichtig, dass Datenschutz konsequent gelebt wird. Dank der regelmäßigen internen Fortbildungen reagierte der Vorstand sofort richtig und konnte so größereren Schaden verhindern. Vorfälle wie diese zeigen, dass gerade bei besonders schützenswerten Daten sichere Übertragungswege endlich Standard werden müssen.“

Stefan Körner Vorsitzender der Piratenpartei Deutschland:

„Wir sind regelrecht schockiert darüber, dass es nach allen Vorfällen der Vergangenheit im Jahr 2016 immer noch üblich zu sein scheint, dass einige Organisationen sich keine Gedanken über Datenschutz und Datensicherheit zu machen scheinen. Patientendaten einfach so durch die Gegend zu faxen, immer in der Gefahr, dass diese falsch versendet oder abgegriffen werden, ist für mich unfassbar. Wir PIRATEN fordern seit langem, dass jegliche persönliche Kommunikation zwischen z. B. Arzt, Patient und Krankenkasse, sowie zwischen Bürgern und Behörden verschlüsselt zu geschehen hat. Nicht auszudenken, wenn diese Daten in falsche Hände geraten. Wir fordern deshalb dringlich alle mit sensiblen Daten befassten Stellen auf, für einen wirksamen Datenschutz zu sorgen. Fälle wie dieser dürfen sich nicht wiederholen.“

Offenes Funksignal macht es Autodieben leicht

Immer mehr Fahrzeughersteller, auch schon aus der Mittelklasse, bieten Ausstattungsvarianten mit sogenannten Keyless-Go- bzw. Keyless-Entry-Systemen an.

Hierbei öffnet der Schlüssel das Auto mittels Funksignal automatisch, wenn man sich ihm nähert, ohne dass noch ein Knopf auf dem Schlüssel gedrückt werden muss. Den Motor startet man dann meist mittels eines „Start/Stopp“-Knopfs. Diebe können das ständig von den RFID-Fernbedienungen ausgesendete, schlecht gesicherte Signal mit Antennen abfangen, weiterleiten und dadurch auch ohne Fernbedienung Fahrzeuge öffnen und starten. Eine Verschlüsselung der Funksignale erfolgt nicht.

Stefan Körner, Bundesvorsitzender der PIRATEN, kritisiert die mangelnde Sicherheit dieser Systeme und fordert die Industrie zum Handeln auf:

„Die Autohersteller müssen Sicherheitstechnik einbauen bzw. Verschlüsselungsmethoden einsetzen, mit deren Hilfe sichergestellt werden kann, dass sich das Fahrzeug nur dann öffnet, wenn sich der Fahrzeugschlüssel in unmittelbarer Nähe befindet. Autodieben wird es momentan viel zu leicht gemacht. Innerhalb von Sekunden ist der gesamte Vorgang abgeschlossen und das Auto gestohlen. Die Automobilbranche muss sich grundsätzlich mehr Gedanken über die Diebstahlsicherheit ihrer Fahrzeuge machen. Dem Opfer wird es schwer fallen, den Diebstahl nachzuweisen, da diese technischen Angriffe keine Spuren hinterlassen. Geschädigte können bei Diebstahlsmeldungen sehr schwer vortragen, dass sie kein eigenes Verschulden trifft. Obwohl die Keyless-Technik schon seit Jahren eingesetzt wird und die Probleme bekannt sind, haben die Autohersteller noch keine Lösungen entwickelt und wenig Energie in Sicherheitssysteme investiert. Wir brauchen Regelungen, die Autohersteller verpflichten, ihre Keyless-Systeme wirksam vor unbefugten Zugriffen zu schützen. So lange die Industrie hier nicht nachrüstet, sollte man die Schlüssel durch Aufbewahrung in abgeschirmten Hüllen aus Metall sichern oder gleich ganz auf die Ausstattungsvariante Keyless-Go verzichten.“

Im Namen der Piratenpartei Deutschland und des gemeinnützigen Vereins 42 e. V. möchten wir Sie recht herzlich zu unserer jährlichen, internationalen Sicherheitskonferenz einladen.

Diese findet fast zeitgleich mit der Münchner Sicherheitskonferenz, vom 11. bis zum 13. Februar 2016 in München statt. Das Motto der nächsten Veranstaltung ist „Neue Horizonte“ in der Sicherheitspolitik und wird folgende Themenfelder abdecken:

· Cybersicherheit – Konflikte im zivilen, militärischen und diplomatischen Dreieck
· Kritische Infrastruktur und wie wir diese Schützen
· Das Jahrhundert der Instabilität? Der Dominoeffekt gescheiterter Staaten

Wir würden uns freuen Sie in München begrüßen zu dürfen!

Tickets können unter http://pirate-secon.org/de/anmeldung/ gebucht werden.

Quellen:
[1] http://pirate-secon.org/en/
[2] https://www.securityconference.de/
[3] http://pirate-secon.org/de/programm-2016

Auch im Jahr 2016 findet wieder eine PIRATEN-Sicherheitskonferenz in München statt. Dabei werden wir tatkräftig von unserem Partner, der Münchner Sicherheitskonferenz unterstützt.

Die PSC wurde von dem 42 e.V. initiiert und wird nun von der Piratenpartei Deutschland organisiert und durchgeführt. Vom 11. bis 13. Februar werden viele hochkarätige Referenten an der Veranstaltung teilnehmen.

Die PSC richtet sich in erster Linie an alle europäischen Bürger, Parteien und Vereine.
Wir möchten mit der Veranstaltung auch den verantwortlichen Ministerien und Behörden, in Deutschland befindlichen Botschaften und Konsulaten sowie internationalen Unternehmen ein Forum bieten, um sich über sicherheitspolitische Themen auszutauschen.

Eine besondere Einladung geht an alle Mitglieder der Landesparlamente sowie des Europaparlaments.

Das Motto der Veranstaltung ist Neue Horizonte in der Sicherheitspolitik und wird folgende Themenfelder abdecken:

Cybersicherheit – Konflikte im zivilen, militärischen und diplomatischen Dreieck

Kritische Infrastruktur und wie wir diese schützen

Das Jahrhundert der Instabilität? – Der Dominoeffekt gescheiterter Staaten

Tickets können unter http://pirate-secon.org/de/anmeldung/ gebucht werden

Die Konferenz Neue Horizonte in der Sicherheitspolitik findet statt in:
WE Tageszentrum München
Schwanthalerstr. 36
80807 München
Deutschland

Programm 2016
http://pirate-secon.org/de/programm-2016/

Kritische Infrastruktur und wie wir diese schützen
(Donnerstag, 11. Februar 2015, 10:00 bis 19:00 Uhr)

10:00 – 10:30 Eröffnung Tag 1

10:30 – 13:00 Panel 1:
Cybersicherheit? Digitale Kriegsführung? – Eine Einordnung der wichtigsten Begriffe

13:00 – 14:00 Mittagspause

14:00 – 16:30 Panel 2:
Autonome Fahrzeuge – Fluch oder Segen?

16:30 – 17:00 Kaffeepause

17:00 – 19:00 Panel 3:
Eine neue Dimension in der Sicherheitspolitik? Die Verwundbarkeit von digitaler Infrastruktur

19:00 Ende Tag 1

Cybersicherheit – Konflikte im zivilen, militärischen und diplomatischen Dreieck

(Freitag, 12. Februar 2016, 10:00 bis 19:00 Uhr)

10:00 – 10:30 Eröffnung Tag 2

10:30 – 13:00 Panel 4:
Industrie 4.0 und die Gefahr von digitalen Waffen

13:00 – 14:00 Mittagspause

14:00 – 16:30 Panel 5:
Chancen für eine internationale Regulierung von digitalen Waffen

16:30 – 17:00 Kaffeepause

17:00 – 19:00 Panel 6:
Remotely piloted aircraft systems – Herausforderungen und Möglichkeiten

19:00 Ende Tag 2

Das Jahrhundert der Instabilität? Der Dominoeffekt gescheiterter Staaten
(Samstag, 13. February 2016, 10:00 bis 18:30 Uhr)

10:00 – 10:30 Eröffnung Tag 3

10:30 – 13:30 Panel 7:
Der Kampf gegen ISIL – Ein Situationsbericht aus Syrien und dem Irak
(mit einer 30-minütigen Kaffeepause dazwischen)

13:30 – 14:30 Mittagspause

14:30 – 18:00 Panel 8:
Fragile Staaten – Die Brutstätte des Terrorismus
(mit einer 30-minütigen Kaffeepause dazwischen)

18:00 – 18:30 Schlussworte

18:30 Ende der Konferenz

Redner 2016
Wir sind stolz, auch die diesjährige Konferenz wieder mit hochkarätigen Experten aus den Bereichen Politik, Wissenschaft und Militär besetzen zu können. Die nachfolgende Aufzählung ist noch nicht vollständig und wird die nächsten Tage ergänzt werden.

Birgitta Jónsdóttir

Richard Stiennon

Angelika Beer

Enno Lenze

Christian Reidel

Guillaume Saouli

Dr. Marcel Dickow

Milena Elsinger

Prof. Gabi Dreo Rodosek

Jens-Wolfhard ‚Drahflow‘ Schicke-Uffmann

Nicole Britz

Peter Finkelgruen

Stefan Körner

Wir würden uns freuen, Sie in München begrüßen zu dürfen!

http://pirate-secon.org/en/
https://www.securityconference.de/
http://pirate-secon.org/de/programm-2016/