Piratenpartei Deutschland

Kategorie: Datenschutz

  • Stoppt die „freiwillige Vorratsdatenspeicherung“!

    Stoppt die „freiwillige Vorratsdatenspeicherung“!

    Obwohl Gerichte die Vorratsspeicherung aller Telefon-, Handy- und Internetverbindungen und Standortdaten ausgesetzt haben, sammeln deutsche Telekommunikationsanbieter diese trotzdem tagelang von jedem Kunden. Konkret wird der Aufenthaltsort von Handynutzern (Funkzelle) zu Beginn einer Verbindung, die weltweit einmalige Kennung mobiler Endgeräte (IMEI) und die rückverfolgbare Internetkennung (IP-Adresse) eine Woche lang freiwillig auf Vorrat gespeichert, ohne dass dies zur Abrechnung nötig ist. Dies ergibt sich aus Unterlagen, deren Herausgabe der Europaabgeordnete der Piratenpartei Dr. Patrick Breyer von der Bundesnetzagentur verlangt hat.

    Breyer warnt vor den Konsequenzen dieser „freiwilligen Vorratsdatenspeicherung“:

    „Kommunikations-Metadaten machen uns nackt. Sie enthüllen unser Privat- und Intimleben und können selbst höchste Amtsträger erpressbar machen. Andererseits sind sie fehleranfällig. Ihre begrenzte Aussagekraft führt immer wieder zu falschen Verdächtigungen im Hinblick auf Straftaten und zu Massenabmahnungen der Unterhaltungsindustrie.“

    Breyer verlangt von den Unternehmen, ihre „freiwillige Vorratsdatenspeicherung“ einzustellen und die Datenspeicherung auf besondere Anlässe (z.B. gemeldete Störungen) zu beschränken. Der Abgeordnete warnt außerdem, die geplante ePrivacy-Verordnung der EU drohe die „freiwillige Vorratsdatenspeicherung“ durch Telekommunikationsanbieter massiv auszuweiten.

    Hintergrund: Offiziell begründen die Anbieter ihre „freiwillige Vorratsdatenspeicherung“ mit der „Störungserkennung“. Tatsächlich werden diese Daten aber auf Anforderung an Strafverfolger, Geheimdienste und Abmahnkanzleien weitergegeben. Die Zugriffshürden auf für Geschäftszwecke gespeicherte Daten sind geringer als im Gesetz zur verpflichtenden, wochenlangen Vorratsdatenspeicherung vorgesehen.

  • Die Piratenpartei nimmt Stellung zur neuen Datenstrategie der Bundesregierung

    Die Piratenpartei nimmt Stellung zur neuen Datenstrategie der Bundesregierung

    Die Bundesregierung hat am Montag bei einer Sitzung des „Digitalkabinetts“ auf Schloss Meseberg die Eckpunkte einer Datenstrategie beschlossen. Diese sollen als Basis für die Entwicklung einer umfassenden „Datenstrategie“ der Bundesregierung dienen.

    Die Datenstrategie soll dazu dienen, die Datenbereitstellung und den Datenzugang zu verbessern, eine verantwortungsvolle Datennutzung zu befördern, Datenkompetenz in der Gesellschaft zu erhöhen und den Staat zum Vorreiter einer Datenkultur zu machen.

    Big Data, intelligente Anwendungen, soziale Medien, künstliche Intelligenz, Kybernetik und Verhaltensökonomie werden unsere Gesellschaft prägen – positiv und auch negativ. Und in diesem Kontext werden durch den digitalen Wandel immer neue Daten erzeugt. Dass diese Daten, sinnvoll eingesetzt, auch dazu beitragen können, Krankheiten früher zu erkennen oder ein „ökologisches, ökonomisches und sicheres Mobilitätsumfeld zu schaffen“ steht dabei außer Frage.

    Bevor wir uns die einzelnen Punkte etwas näher anschauen, ist festzustellen, dass nun wohl auch in der Koalition so etwas wie Vernunft und Rationalität eingekehrt zu sein scheint. Denn die bislang, insbesondere durch die Kanzlerin, propagierte „Datensouveränität“ taucht in dem Eckpunktepapier nicht mehr auf. Oder die im Vorfeld ziemlich deutlich formulierten Kritiken von Parteien, u.a. auch den PIRATEN, Datenschützern, Verbänden und NGO haben ihre Wirkung hinterlassen, denn diese „Datensouveränität“ wäre ein unverhohlener Angriff auf traditionelle Schutzprinzipien gewesen.

    Im Eckpunktepapier wird ziemlich klar formuliert, dass „die bestehenden Regelungen zum Schutz des allgemeinen Persönlichkeitsrechts wie der informationellen Selbstbestimmung, des Schutzes von Geschäfts-, Betriebs – und Steuergeheimnissen, zum Schutz vor Diskriminierung sowie des Datenschutzrechtes und der Datensicherheit“ einen sehr großen Stellenwert in der zu erarbeitenden Strategie haben werden.

    Wir PIRATEN begrüßen das ausdrücklich; es ist eine unserer Kernforderungen ist. Wir werden allerdings weiter beobachten, wie genau dieser Punkt dann in der Strategie ausformuliert wird.
    Dass dabei gerade im Bereich des Schutzes der persönlichen Daten noch sehr viel mehr als bisher getan werden muss, darf an dieser Stelle nicht unerwähnt bleiben. Es wäre zu begrüßen, wenn sich dies dann auch in der Strategie wiederfinden bzw. vorher entsprechende Anpassungen in den einschlägigen Rechtsnormen vorgenommen werden würden.

    Weiterhin hat sich die Regierung ins Stammbuch geschrieben, dass die „digitale Souveränität von Bürgern und Staat“ zu stärken sei. Begrüßenswert wäre, wenn dies dazu führt, dass die jetzt schon bestehenden Regelungen wie das Netzwerkdurchsetzungsgesetz oder die Forderung nach einer Klarnamenspflicht in sozialen Netzwerken endlich der Vergangenheit angehören, denn diese stärken keineswegs die digitale Souveränität der Bürger, sondern schränken sie in einem aus unserer Sicht unzulässigen Maße ein.

    Ebenso will die Regierung „den Aufbau wettbewerbsfähiger und nachhaltiger Dateninfrastrukturen und -ökosysteme unterstützen“ und dafür einen rechtlichen Rahmen abstecken, damit auch „hochwertige“ Informationen oder Messwerte bereitgestellt werden können. Ganz abgesehen davon, dass die Definition des Begriffes „hochwertig“ auf Grund der Schwammigkeit und unklaren Ausgestaltung noch keine Bewertung zulässt, kann der wohl geplante Aufbau „wettbewerbsfähiger“ Dateninfrastrukturen ein Fingerzeig auf die Schaffung einer neuen sozialen Datenmarktwirtschaft sein, wie sie von Frau Merkel in Davos gefordert wurde. Hier bleibt es unsere Aufgabe, wachsam zu sein, damit genau diese Richtung nicht eingeschlagen wird. Wir PIRATEN sind nicht grundsätzlich gegen die Nutzung der Gesundheitsdaten von Bürgern, beispielsweise für Forschungszwecke. Aber diese müssen anonymisiert und auf freiwilliger Basis erhalten worden sein.

    Als weiteres Themenfeld sollen „auch neue und sichere Methoden zur Anonymisierung und Pseudonymisierung sowie zur praxistauglichen Datenportabilität“ mit entsprechenden Forschungsgeldern entwickelt werden. Während man beim Thema Datenportablität gern auch noch den Begriff „Interoperabilität“ vermisst, muss man sich bei den sicheren Methoden zur Anonymisierung und Pseudonymisierung etwas verwundert die Augen reiben. Gerade die Bundesregierung ist bisher Treiber einer Politik des gläsernen Bürgers, wie zum Beispiel der Staatstrojaner oder die Vorratsdatenspeicherung eindrucksvoll beweisen. Hier wird es auch unsere Aufgabe sein, die Erarbeitung der Strategie kritisch zu begleiten.

    Uneingeschränkt begrüßenswert ist der Ansatz, Daten aus öffentlichen Verwaltungen als Open Data bereitzustellen. Ebenso, dass darüber hinaus auch in den Verwaltungen für eine entsprechende Sensibilität gesorgt werden soll.

    Was hingegen Anlass zur Sorge bereiten sollte, ist, dass die Regierung den bestehenden rechtlichen Rahmen für „datengetriebene Angebote und Geschäftsmodelle“ – etwa der Plattform-Ökonomie – überprüfen und dabei auch die Ergebnisse der Datenethik-Kommission berücksichtigen will. Gerade diese Ergebnisse der „Datenethikkommission“ haben kurz nach ihrer Veröffentlichung auch von unserer Seite zu massiver Kritik geführt, denn in diesen wird ziemlich unverhohlen die Blaupause für eine staatliche Totalüberwachung gezeichnet. Wie das mit dem oben beschrieben Ansatz des Schutzes der persönlichen Daten und der Privatsphäre einhergehen soll ist ein Rätsel.

    Fazit: Die Eckpunkte zur Erarbeitung der Datenstrategie sind grundsätzlich erst einmal ein Schritt in die richtige Richtung. Allerdings wird es darauf ankommen, dass gerade auch die kritischen Punkte (z. Bsp. „Datenethikkommission“) im Rahmen der konkreten Erarbeitung der Strategie verändert werden.

    In diesem Zusammenhang begrüßen wir das Angebot der Bundesregierung: „Zur Entwicklung einer Datenstrategie der Bundesregierung soll auch ein breiter Beteiligungsprozess gestartet werden.

    Wir PIRATEN bringen uns mit unseren Experten, unserem Wissen und unserer Expertise gern in diesen Beteiligungsprozess ein.

  • PIRATEN warnen vor Ausverkauf der Patientendaten

    PIRATEN warnen vor Ausverkauf der Patientendaten

    Bereits kommenden Donnerstag soll das „Digitale-Versorgungs-Gesetz“ im Bundestag beschlossen werden. Es verspricht, die Digitalisierung in der Medizin einen großen Schritt voranzubringen. So sollen u.a. Verwaltungsprozesse vereinfacht und die Telemedizin gestärkt werden. Besonders brisant: zusätzlich sieht das Gesetz vor, die persönlichen Daten aller gesetzlich Versicherten an den Spitzenverband der Krankenkassen weiterzuleiten.

    Unter § 303b „Datenzusammenführung und -übermittlung“ im Antrag zur Änderung des Fünften Buches Sozialgesetzbuch wird konkret gefordert, dass

    1. Angaben zu Alter, Geschlecht und Wohnort,
    2. Angaben zum Versicherungsverhältnis,
    3. die Kosten- und Leistungsdaten nach den §§ 295, 295a, 300, 301, 301a und 302,
    4. Angaben zum Vitalstatus und zum Sterbedatum und
    5. Angaben zu den abrechnenden Leistungserbringern
    an den Spitzenverband Bund der Krankenkassen als Datensammelstelle weitergeleitet werden.

    Dieser wiederum übermittelt die Daten (ohne das Versichertenkennzeichen) an ein Forschungsdatenzentrum. Die einzelnen Datensätze sollen mit einer Arbeitsnummer gekennzeichnet werden, was als Pseudonymisierung angesehen werden kann. Allerdings soll eine Liste beigefügt werden, welche diese Arbeitsnummern wiederum den eindeutigen Versichertenkennzeichen zuordnet.

    Das Forschungsdatenzentrum selbst (geregelt in § 303d) wird zudem ermächtigt, Anträge auf Datennutzung zu prüfen, die Daten zugänglich zu machen und „das spezifische Reidentifikationsrisiko in Bezug auf die durch Nutzungsberechtigte nach § 303e beantragten Daten zu bewerten und unter angemessener Wahrung des angestrebten wissenschaftlichen Nutzens durch geeignete Maßnahmen zu minimieren“.

    „Es ist zu befürchten, dass die höchst persönlichen und sensiblen Gesundheitsdaten, welche nun zentral gesammelt werden sollen, komplett schutzlos sind: vor gezielten Angriffen, vor Datenpannen, vor kommerziellen Interessen. Es ist leicht, eine Datensammelwut mit Digitalisierung zu begründen, es ändert aber nichts an der Tatsache, dass wir den Ausverkauf unserer Daten in diesem Ausmaß nicht widerspruchslos hinnehmen dürfen,“

    warnt Anja Hirschel, Stadträtin in Ulm und Bundesthemenbeauftragte für Digitalisierung der Piratenpartei.

    Auf technische Details wie Verschlüsselung usw. wird nicht eingegangen. Deren Klärung obliegt dem Spitzenverband selbst. „Das Nähere zur technischen Ausgestaltung der Datenübermittlung nach Satz 1 vereinbart der Spitzenverband Bund der Krankenkassen mit den nach § 303a Absatz 1 Satz 2 bestimmten Stellen spätestens bis zum 31. Dezember 2021.“ Ein Schelm, wer Böses dabei denkt.

    Ein Widerspruchsrecht wird ebenso nicht erwähnt; dies wäre aber dringend erforderlich.

    Vergleicht man den Gesetzesentwurf mit dem Krebsfrüherkennungs- und -registergesetz (KFRG) beschlossen 2013, so fällt auf:
    Das Krebsregister hält die Daten in von Internet getrennten Netzen und nutzt sie ausschließlich dazu, die medizinische Versorgung voran zu bringen um u.a. Therapien zu verbessern. Es dient der Optimierung der individuellen Betreuung der Patienten. In manchen Landesgesetzen ist zudem ein Widerspruchsrecht und/oder ein Widerspruch gegen die Kontaktaufnahme möglich.

  • Deutsches Unternehmen exportiert Staatstrojaner ohne Genehmigung: NGOs stellen Strafanzeige

    Deutsches Unternehmen exportiert Staatstrojaner ohne Genehmigung: NGOs stellen Strafanzeige

    Die Plattform für digitale Freiheitsrechte netzpolitik.org hat in Zusammenarbeit mit weiteren NGOs einen illegalen Export deutscher Überwachungssoftware aufgedeckt. Das Münchener Unternehmen FinFisher entwickelt seit Jahren Trojaner, sowie andere Spionage- und Schadsoftware für staatliche Behörden, die unter anderem an das deutsche Bundeskriminalamt verkauft werden. FinFisher-Software, wie etwa der Trojaner FinSpy, werden regelmäßig an autoritäre Staaten wie Ägypten, Venezuela und Saudi-Arabien verkauft. Seit 2015 benötigt der Export derartiger „Produkte“ allerdings eine Genehmigung der Bundesregierung.

    Gegenstand der Strafanzeige ist eine betrügerische Website für Oppositionelle in der Türkei. Die sogenannte Adalet-Website dient als Honigtopf. Sie soll Oppositionelle dazu verleiten, eine Adalet-Android-App auf ihren Smartphones zu installieren, um sich untereinander besser vernetzen zu können. Die App spioniert jedoch sämtliche Aktivitäten der Benutzer aus und sendet die Informationen mutmaßlich an den türkischen Staat. Teile des Quellcodes der Website sind praktisch identisch mit Teilen der Malware FinSpy. Da es bisher keinen bekannten Leak des vollständigen Finspy-Quellcodes gibt, ist es sehr unwahrscheinlich, dass sich die Betreiber der Website den Code beschafft haben, ohne FinFisher dafür zu bezahlen. Die Bundesregierung hat jedoch seit 2015 keine Erlaubnis für den Export solcher Schadsoftware in die Türkei erteilt, weswegen nun das Zollkriminalamt gegen die Firma strafrechtlich ermittelt.

    Wir Piraten begrüßen diese Strafanzeige außerordentlich und hoffen auf einen schnellen und erfolgreichen Prozess. Dass deutsche Unternehmen autoritären Staaten Werkzeuge zur Unterdrückung freiheitlicher und demokratischer Bewegungen in die Hand geben, ist bereits skandalös genug. Dass dies anscheinend auch noch auf kriminellen Wegen geschieht, verurteilen wir aufs Schärfste. Durch solche fragwürdigen Dienstleistungen geraten weltweit Aktivisten in die Gefahr von Repressionen, Inhaftierungen und werden möglicherweise sogar mit Folter und Tod bedroht. Wir bedanken uns bei netzpolitik.org, der Gesellschaft für Freiheitsrechte, Reporter ohne Grenzen und der European Center for Constitutional and Human Rights für ihre geleiste Arbeit zur Aufdeckung dieses Skandals.

  • Facebooks willige Helfer

    Facebooks willige Helfer

    Den großen Datenkraken Facebook, Google, Whatsapp etc. wird oft vorgeworfen, dass sie bei jeder sich bietenden Gelegenheit Daten über Internetnutzer sammeln. Dieser Vorwurf ist ganz sicher berechtigt. Dabei geht jedoch unter, dass die Datenkraken viele willige Helfer haben, die ihnen das begehrte Datenmaterial zumeist kostenlos ‚frei Haus‘ liefern.

    Beim Surfen im Internet erlebt man immer wieder, wie sorglos manche Webseitenbetreiber die Integration externer Dienste handhaben. Oftmals werden soziale Medien oder Tracking-Dienste wie Google Analytics eingebunden, mit denen das eigene Webangebot erweitert wird.
    Die technische Umsetzung gestaltet sich denkbar einfach, denn die Datenkraken stellen einen reich gefüllten Baukasten fertiger Code-Schnipsel für viele Anwendungen zur Verfügung, die Webseitenbetreiber leicht auf ihren Seiten einbauen können. Diese erhalten so schnell eine hübsche grafisch aufbereitete Nutzerauswertung, oder freuen sich, dass sie durch die Einbindung von Social-Media-Links ihre ‚Interaktionsrate‘ steigern können.

    Das, was uns die Datenkraken-Diensteanbieter aber als „so einfach“ präsentieren, sind oft genug Funktionen, die vor allem einem Zweck dienen, nämlich möglichst viele Daten der Webseitenbesucher zu sammeln und an die Dienste zu übertragen. Meist gibt es zwar technische Mittel und Einstellungen, um die Datensammel-Algorithmen im Zaum zu halten, allerdings ist deren Handhabung deutlich schwieriger und oft schlecht dokumentiert. Sie werden den Erstellern von Webseiten nicht so einfach und verständlich präsentiert, wie die Einbindung der „coolen und nützlichen Add-Ins“.

    Was beim Besuch eines beliebten Kochblogs lediglich zielgerichtete Angebote für den Webseitenbesucher generiert, kann bei anderen Seiten weitaus weitreichendere Folgen haben. Folgen, die oft nicht abgeschätzt werden können, so wie dies beim Blutspendedienstes des Bayrischen Roten Kreuzes nun passiert ist.
    Laut der Webseite des Blutspendedienstes ist es möglich, anonym zu überprüfen, ob man für Blutspenden infrage kommt. Dabei werden unter anderem eine HIV Erkrankung und ein etwaiger Schwangerschaftsabbruch abgefragt.

    Durch die Verknüpfung der Seite mit dem weißen f auf blauem Grund werden diese Informationen automatisch zu Facebook transferiert, dort von den gewollt undurchschaubaren Algorithmen des Anbieters verarbeitet und fließen generell in den Facebook-Datensatz des jeweiligen Benutzers ein. Dies betrifft auch Menschen, die gar kein Facebook-Konto besitzen. Dass die Trackingalgorithmen der Marke Zuckerberg auch deren Daten abschnorcheln, ist keine wirklich neue Erkenntnis.

    Anonym war an diesem Fragebogen demnach also nichts.

    Facebook & Co. werden auf diese Weise zu allwissenden Bibliotheken über uns Benutzer. Sie nutzen dieses Wissen für ihre Geschäftsmodelle ausgiebig aus. Dass gesammelte Daten auch mal abhanden kommen können, haben die verschiedenen Datenskandale der letzten Zeit leider zur Genüge bewiesen.

    Was vielen Webseitenbetreibern nicht bewusst ist: Die Verarbeitung und insbesondere die Weitergabe von Daten an externe Dienste sind nach DSGVO ohne das Einverständnis des Betroffenen nicht zulässig. Das LFDI Baden-Württemberg hat hierzu FAQs veröffentlicht, welche gut nachvollziehbar aufzeigen, was erlaubt ist und was nicht.

    Einzig Daten nicht zu sammeln, schützt uns Benutzer und Verbraucher davor, dass unsere Daten missbräuchlich verwendet werden. Die DSGVO ist hier das richtige Instrument, um Datensparsamkeit durchzusetzen, was dank der Datenschutzbehörden mittlerweile auch getan wird.

    Es liegt aber vor allem in der Verantwortung der Webseitenbetreiber und deren Dienstleister, welche und wie viele Daten die Nutzer für den Besuch ihrer Seiten abgeben müssen. Vermeintlich kostenlose Codeschnipsel müssen am Ende von allzu sorglosen Website Betreibern mit hohen Strafzahlungen und teuren Anwaltsgebühren bezahlt werden. Das Verhalten des Blutspendedienstes war auf jeden Fall grob fahrlässig und sollte entsprechende Konsequenzen haben.