Stellungnahme des Chaos Computer Club e.V. zum Entwurf eines Gesetzes zur Regelung der Rahmenbedingungen für Informations- und Kommunikationsdienste (IUKDG)
zur öffentlichen Anhörung am 14. Mai 1997 in Bonn beim Auschuß für Bildung, Wissenschaft, Forschung und Technologie und Technologiefolgenabschätzung
Fragenkatalog von SPD / Bündnis 90 / Grüne
Die angestrebte Anerkennung digital signierter Dokumente ist auch jetzt schon möglich (auf freiwilliger Basis). Insofern ist das Gesetz nicht notwendig. Die angestrebte einheitliche Struktur macht im nationalen Alleingang bei zunehmender internationaler Vernetzung nicht wirklich Sinn. Die vom Signaturgesetz beschriebene Struktur ist offenbar als "Vorbildstruktur" gemeint, als solche aber aufgrund ihrer gravierenden Mängel nicht tauglich.
Die Zusammenführung der vier Funktionen Schlüsselgenerierung, Personen- identifizierung, Zertifizierung und Schlüssellagerung in einer Struktur bergen hohe Mißbrauchspotentiale aus sicherheitstechnischer Sicht und sind daher personell wie funktionell zu trennen.
Zusätzlich liegt bei der vorhergesehenen Struktur die Gefahr der Monopol- / Kartellbildung aufgrund der Anforderungen (Kosten) an eine solche integrierte Gesamtstruktur.
Elektronische Dokumente bleiben auch mit digitaler Signatur und entsprechender Struktur "Dokumente des Augenscheins" mit freier Beweiswürdigung durch den Richter.
Mit dem Entstehen digitaler Währungen ist - schon wegen dem Bedarf an Anonymität bei Zahlungsmitteln - auch ohne digitale Signatur zu rechnen.
Bei Trennung der genannten Funktionen sind derartige Problem nicht zu erwarten, da auch bei Überlastung/Störanfälligkeit einzelnder Strukturen diese dann problemlos ausgetauscht werden können. Die jetzt vorgesehene Struktur könnte im Problemfall Nachprüfungen der Signaturen - mit entsprechendem Aufwand - erforderlich machen.
Zertifizierungsstellen für digitale Zertifikate im Sinne von Identitätsbestätigungs- stellen sollten aufgrund der hohen Mißbrauchsgefahr nur staatliche Stellen bzw. Notare sein. Für die Beurkundung von Rechtsverhältnissen gilt dasselbe.
Der immerhin vorgeschriebenen zweckgebundenen Erhebung von Daten sollte auch eine ebenso ausschließliche zweckgebundene Nutzung folgen. Um die Option eines Pseudonyms konsequent zu ermöglichen, sollte ein richterlicher Beschluß in § 12 (2) als Bedingung angeführt werden. Die in der jetzigen Form angebotene Nutzung unter Pseudonym ist in keinerlei Hinsicht anonym, was aber zumindest optional möglich sein sollte. Der Besuch von elektronischen Beratungsstellen etc. sollte mit Anonymitätsgarantie möglich sein.
Zu Begrüssen wäre die Bildung einer Bund und Länder umfassenden Experten- kommission vor allem vor Schaffung der jetzigen Entwürfe gewesen. Bei Trennung der genannten Bereiche kann sich die Arbeit einer solchen Kommission auf die kritischen Bereiche konzentrieren.
Die Einwände und Begründungen sind berechtigt und die Ablehnung verständlich. Allerdings fehlt der Hinweis auf die Alternative, auch ohne Signaturgesetz rechtsverbindliche digitale Signaturen möglich zu machen.
Regulierung von Verschlüsselungsverfahren wäre in diesem Zusammenhang Unsinn und würde die Sicherheit der Signaturverfahren erheblich einschränken.
Eine Regulierung kryptographischer Verfahren würde weitreichende Änderungen der Verfassung und des Signaturgesetzes erfordern und ist nicht sinnvoll.
Zur Notwendigkeit Siehe Frage 1 des Fragenkatalogs von SPD/Bündnis90/Grüne. Im Hinblick auf die Entwicklung von Nutzungsmöglichkeiten bleibt festzustellen dass der Bedarf eher in Richtung "Vertrauensverhältniss" im Sinne einer Authorisierung (bzw. Abbild von Vertrauensverhältnissen, z.B. zwischen Dienstleister / Kunde) geht als um Authentifizierung. Diese bringt die (technische) Problematik hierarchischer Baumstrukturen mit sich, an deren Spitze nur die "Identitätsbestätigunsinstitution" Staat stehen kann.
Bei der im jetzigen Gesetzesentwurf der Signaturverordnung vorgesehenen Sicherungsinfrastruktur gehen wir aufgrund der Nichttrennung der Funktionalitäten von erheblichen Kosten für Aufbau und Betrieb aus, den sich nur wenige Unternehmen leisten können. Die Abwälzung der Kosten auf den Teilnehmer bzw. kooperierende Vertragspartner wird letztlich einen erheblichen Markt für Authorisierungsstrukturen (siehe 1. Frage) hinterlassen und die geschaffenen digitalen Signaturen nur einer partiellen Nutzung zulassen. Zudem stellt sich die Frage nach der allgemeinen Akzeptanz dieser Technologie bei fehlender Möglichkeit der anonymen Abwicklung von Rechtsgeschäften.
Das materielle Recht wird in vielen Bereichen sinnvoller zur Abwicklung von Rechtsgeschäften bleiben. Die Nichtberücksichtigung des Wunsches nach Anonymität im täglichen Rechtsgeschehen etwa spricht dafür.
Parallele gesetzliche Maßnahmen sind nicht notwendig; siehe Frage 3 des Fragenkatalogs von SPD/Bündnis90/Grüne oder auch "Urkundenbeweisrecht und Elektroniktechnologie" von Dr. Jörg W. Britz, Saarbrücken Dezember 1995 Verlag C.H. Beck ISBN 3-406-41220-3
Vor allem die Funktion der Identitätsbestätigung kann nicht von einer privaten, sondern nur von einer staatlichen Stelle bzw. notariell erfolgen. Private Stellen erscheinen aufgrund der Mißbrauchsgefahr hierzu nicht geeignet.
Ein Haftungstatbestand ist nach Signaturüberprüfung der ausgebenden Stelle denkbar, stellt aber besondere Anforderungen an die Zuverlässigkeit und wird daher in der Praxis vermutlich eine Einzelfall-Option bleiben.
Nicht beim jetzt beschriebenen Funktionsumfang. Wenn Schlüsselerzeugung und Authentifizierung abgetrennt werden ist die Kompetenz der Regulierungs- behörde überhaupt erst angemeßen.
Zum jetzigen Zeitpunkt scheint eine Ausweitung auf juristische Personen nicht sinnvoll, da die sichere Aufbewahrung eines geheimen Schlüssels, z.B. mittels biometrischer Verfahren, bei juristischen Personen problematisch wäre.
Die in § 14 genannten Erfordernisse sind hinreichend konkret, der Schlüssel- erzeugungsprozess ist so allerdings konkret abzulehnen. Die in (1) beschriebene Schlüsselerzeugung darf nur beim Teilnehmer selbst erfordern. Die übrigen Regelungen unter § 14 entsprechen den Anforderungen.
Im groben und ganzen als berechtigt.
Die Risiken der Datenverarbeitung im Netz, insbesondere der Transport in Länder in denen Datenschutz nicht existiert, sowie die vollautomatische Erstellung von Personenprofilen zwecks zielgerichteter Manipulation von Kaufentscheidungen ("Micro-Marketing") rechtfertigen auf jeden Fall neue Ansätze im Datenschutzrecht.
Dabei scheint vor allem unter dem Gesichtspunkt der Technologie-Akzeptanz eine offensive Herangehensweise sinnvoll, wie etwa mit dem ursprünglich vorgesehenen Datenschutz-Audit.
Der im Entwurf des TDDSG Grundsatz der Datenvermeidung geht zwar in die richtige Richtung, greift aber ohne entsprechende Vorschriften ins Leere und kann von entsprechenden Diensteanbietern ignoriert werden. Ebenso ist den Netzspezifischen Besonderheiten (Übermittlung / Processing im Ausland, in dem es keine Datenschutzvorschriften gibt) nicht ausreichend Rechnung getragen.
Im Bereich der Teledienste scheinen einheitliche Regelungen sinnvoller solange die Regelungen des Bundesdatenschutzgesetzes über bestimmte Dienste nicht berührt werden.
Insbesonders im Bereich des Datenschutz sollten öffentliche Dienste eine Vorbildfunktion wahrnehmen (z.B. Datenschutz-Audit / Transparenz).
Nein - Dienste die zu Lasten der informationellen Selbstbestimmung agieren möchten sind mit der Verfassung nicht vereinbar und abzulehnen.
Eine elektronische Einwilligung ist wegen der möglichen weitreichenden Folgen bei gleichzeitig niedrigerer Hemmschwelle nicht sinnvoll und daher zu streichen. Auch der schriftliche Einwilligungserklärung sollte entsprechende Information über die Konsequenzen und ein Warnhinweis des zuständigen Datenschutzbeauftragten vorausgehen (ähnlich "Rauchen gefährdet ihre Gesundheit.").
Die technische Umsetzung stellt mit den vorhanden (kryptographischen) Mitteln (Anonymisierungsserver etc.) kein Problem dar. Sinnvoll kann dies z.B. für die Inanspruchnahme von Rechercheleistungen von Wirtschaftsunternehmen sein, die die Gefahr der Wirtschaftsspionage durch Anonymisierung ihrer Abfragen bannen möchten. Gleiches gilt für die Inanspruchnahme von sensiblen Beratungsleistungen durch Privatpersonen.
Die in § 5 Abs. 3 TDDSG genannte Regelung stellt einen weitreichenden Eingriff in die elektronische Privatsphäre dar und sollte erst nach richterlichem Beschluß erfolgen.
Zur Gewährleistung von Datenschutz, Datensicherheit und Möglichkeiten zur Gewährung informationeller Selbstbestimmung und einer Privatsphäre in elektronischen Medien sind kryptographische Verfahren unerlässlich.
Eine Regulierung solcher Verfahren hatte weitreichende Einschnitte in allen genannten Bereichen zur Folge und kann daher nur abgelehnt werden.
Eine effektive und einheitliche Kontrolle ist nicht gewährleistet; dies ist allerdings unabhängig von den Vorschriften aus technischen Gründen auch nur schwerlich möglich.
Die Einführung eines Datenschutz-Audits könnte sich hier entlastend auf die Kontrollinstitutionen auswirken und Datenschutz als Wettbewerbsfaktor integrieren. Dies ist sinnvoller als Absichtserklärungen zur Datenvermeidung.
Im TDG unter dem Gesichtspunkt der Schadensprävention bis zur Klärung der Abgrenzungsschwierigkeiten zum Mediendienstestaatsvertrag und TKG vorerst sinnvoll.
Im TDDG dokumentieren Sie ein mangelndes Datenschutzbewußtsein und Degradieren die Datenschutzklauseln zu Absichtserklärungen, die ignoriert werden können.
Ja, diese entnehmen Sie bitte unserer Stellungnahme zum IUKDG Teil 1.
In erster Linie sind angesichts der neuen Probleme nicht neue Strafbestände, sondern neue Problemlösungswege notwendig.
Der grundliegende Unterschied ist zunächst einmal die Teilnehmeremanzipation bei den neuen Medien, also die freie Wahl zwischen Sender- und Empfängerfunktion - im Gegensatz zur klassischen Trennung zwischen Sendern und Empfängern bei den alten Medien.
Hieraus leitet sich eine sinkende Kontrollmöglichkeit über die Sender bei gleichzeitiger Steigerung der Anzahl dieser ab, welche im Effekt eine allgemeine Vermittlung von Medienkompetenz notwendig macht.
Eine effektive Sperre ist selbst kooperativ und international nicht zu 100% möglich; vor allem aber ist sie aus Gründen der Auseinandersetzung, Medienkompetenz und Streitkultur nicht wünschenswert. Der Umgang mit problematischen Inhalten sollte sich daher nicht in erster Linie auf Sperrmaßnahmen konzentrieren.
Siehe hierzu die unter Frage 5 des Fragenkatalogs von SPD/Bündnis90/Grüne zum IUKDG Teil 1 aufgeführte Problematik und die Anhörung "Jugendschutz" des Ausschusses für Familie, Senioren, Frauen und Jugend vom 09. Oktober 1996.
In der Regel sind Urheber von Angeboten (WWW) problemlos identifizierbar. Anonyme Zugangsmöglichkeiten haben jedoch genauso wie Telefonzellen ihre Existenzberechtigung und erlauben in eingeschränktem Maße Informations- einspeisungen. Diese sind jedoch bei Inkompatibilität mit internationalem Rechtsverständniss verhältnissmässig einfach wieder zu entfernen.
Unter Berücksichtigung der Tatsache, daß alle Teilnehmer am Internet (in allen Ländern) potentielle Informationsanbieter sind, ist die Förderung der Netiquette und die Förderung solcher Regelungen, die international gültig sind (wie z.B. schon bei Kinderpornographie vorhanden) sinnvoll.
Die sinnvolle Gestaltung der Netzinhalte durch die Teilnehmer kann eine staatliche Kontrolle nicht nur ergänzen, sondern im Optimalfall sogar überflüssig machen.
Die verfassungsrechtlichen Anforderungen bedürfen einer zeit- und mediums- gerechten Umsetzung, die im IuKDG so nicht zu finden ist. Die deutschen Schutzbestimmungen können in einem globalen Netz auf diese Art sicherlich keine internationalen Maßstäbe setzen.
Nein.
Aus zeitlichen Gründen zur Zeit keine weiteren.