Die Piratenpartei und der Datenschutz - ein weiteres Kapitel im Buch "Planlos"

It's a maexotic world ...


Datenschutz

Begeisterte Piraten haben heute ein Blog-Posting von Andi Popp, Platz 3 auf der Landesliste zur Bundestagswahl beim Landesverband Bayern der Piratenpartei auf twitter verbreitet. Und wieder einmal muss ich mich fragen: "Wovon reden die?"

Unter dem Titiel "Das Recht auf Vergessen werden" lässt Andi Popp sich über das - seiner Meinung nach - "Märchen vom digitalen Radiergummi" aus und dann denkt er wohl er schreibt, was man denn so tun sollte.

Ich habe mir einige Passagen herausgegriffen:

Ich kann mich schon fast überall mit meinem Facebook- oder Google-Account anmelden und wer weiß schon noch, auf wie vielen Seiten er damit erscheint?

Was will er uns damit sagen? Abgesehen davon, dass der Satz an sich für mich schon keinen Sinn macht.
Dass man - ähnlich OpenID oder OAuth - einen der Dienste als Identitätsprovider verwenden kann ist prinzipiell ersteinmal kein Problem. Alles was passiert ist dass man sich über ein Verfahren - ohne dass man ein weiteres Passwort braucht - auf einer Website anmelden kann. Der Anbieter der Website sagt "Wenn Du Dich bei Facebook oder Google oder Twitter erfolgreich anmelden kannst und mir Deine ID (nicht das Passwort!!) gibst, dann kann ich Dich eindeutig identifizieren und dann vertraue ich Dir in gewisser Weise". Da ist noch nicht viel passiert, außer dass man selbst nicht noch ein weiteres Passwort verwalten muss.
Wenn dabei OAuth im Spiel ist, man also eine App authorisiert auf bestimmte Daten beim Identitätsprovider zuzugreifen, geht die Rechtevergabe etwas weiter. Aber genau deswegen gibt es OAuth, um das zu steuern. Darüberhinaus kann man jederzeit einsehen welche Apps man autorisiert hat und das jederzeit abstellen:

Schaltet man dort eine "App" ab, hat sie keinen Zugriff mehr auf die Accountdaten.
So einfach ist das und man hat jederzeit den kompletten Überblick, weil die App beim Identitätsprovider registriert sein muss, damit das überhaupt funktioniert. Man hat also immer eine vollständige Liste. Also ich finde das super übersichtlich.

Sollte er mit seiner Aussage meinen, dass durch die ganzen unsäglichen Social Buttons, wie von Facebook, G+, Twitter, reddit, ... die Benutzer transparent für die Dienste werden, weil die Dienste durch den permanenten Abruf ihrer Code-Schnipsel bei anderen Sites die Spur der ohnehin permanent angemeldeten Benutzer verfolgen können, so ist das genau einer der Punkte, den die Datenschützer massiv kritisieren und der ganz klar nicht konform zum BSDG ist. Hier liegt das Vergehen aber primär an den Betreiber der Sites, die diese Code-Schnipsel einbinden, denn sobald die Seite geladen wird, ist das Kind schon in den Brunnen gefallen. Dann hat der Website-Betreiber nämlich den Webbrowser veranlasst, die Daten unerlaubt an Dritte weiterzugeben.

Doch weiter im Text:

Ein vernünftiger Ansatz muss daher darauf abzielen, den Menschen die Möglichkeiten zu geben, die Veröffentlichung sensibler Daten von vornherein zu verhindern.

Das BSDG, das TKG und auch das TMG sind voll von Vorschriften um genau das zu erreichen.
Dazu kommen wir gleich im Detail.

Das beginnt bei einer gesetzlich gebotenen Datensparsamkeit. Es dürfen tatsächlich nur die Daten verlangt werden, die für einen Dienst wirklich benötigt werden. Wenn ein Webshop etwa das Geburtsdatum einer Person verlangt, dann ist das nicht in Ordnung.

Aha, er will also dass Datensparsamkeit im Gesetz verankert wird. Das ist eine gute Idee und weil es eine gute Idee ist:

BDSG § 3a Datenvermeidung und Datensparsamkeit
Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten und die Auswahl und Gestaltung von Datenverarbeitungssystemen sind an dem Ziel auszurichten, so wenig personenbezogene Daten wie möglich zu erheben, zu verarbeiten oder zu nutzen. Insbesondere sind personenbezogene Daten zu anonymisieren oder zu pseudonymisieren, soweit dies nach dem Verwendungszweck möglich ist und keinen im Verhältnis zu dem angestrebten Schutzzweck unverhältnismäßigen Aufwand erfordert.
TMG § 14 Bestandsdaten
(1) Der Diensteanbieter darf personenbezogene Daten eines Nutzers nur erheben und verwenden, soweit sie für die Begründung, inhaltliche Ausgestaltung oder Änderung eines Vertragsverhältnisses zwischen dem Diensteanbieter und dem Nutzer über die Nutzung von Telemedien erforderlich sind (Bestandsdaten).

Wenn also ein Betreiber "Daten sammelt" und jemand meint, das sei unverhältnismässig, darf er sich gerne an die zuständige Datenschutzbehörde wenden. In Bayern ist das für den nicht-öffentlichen Bereich das Bayerische Landesamt für Datenschutzaufsicht.

Zu der seiner Meinung nach unverhältnismässigen Erhebung von Geburtsdaten bei einem Webshop ist zu sagen, dass es nicht unverhältnismässig ist. Zum einen gibt es Artikel, die nur Personen bestimmter Altersgruppen zugänglich gemacht werden dürfen. Zum anderen ergeben sich für den Betreiber des Webshops aufgrund von beschränkter Geschäftsfähigkeit Risiken, die er durchaus mindern darf. Niemand wird einem 10jährigen Kind in einem Geschäft für Unterhaltungselektronik einen Fernseher für 500 € verkaufen, selbst wenn das Kind das Geld bar dabei hat. Wenn allerdings der Jupiter-Markt meinen Familienstand wissen will, dann geht ihn das wirklich nichts an, aber dafür gibt es eine gesetzliche Regelung (siehe oben).

Aber man muss diese Idee weiter ausbauen, zu einem gesetzlich garantierten Recht auf Anonymität.

Es gibt einen Beschluss des Ersten Senats des Bunderverfassungsgerichts vom 24. Januar 2012 - 1 BvR 1299/05. Das Ergebnis ist, es gibt kein Recht auf anonyme Kommunikation, denn
"Die hiermit erstrebte Verbesserung staatlicher Aufgabenwahrnehmung insbesondere im Bereich der Strafverfolgung, der Gefahrenabwehr und der nachrichtendienstlichen Tätigkeiten ist ein legitimer Zweck, der einen Eingriff in das Recht auf informationelle Selbstbestimmung grundsätzlich rechtfertigen kann."
Das Urteil ist auf einige Punkte des TKG zugeschnitten. Andre Meister schreibt dazu bei netzpolitik.org "Bundesverfassungsgericht urteilt: Es gibt kein Recht auf anonyme Kommunikation".

Abgesehen davon legt der Gesetzgeber durchaus Wert darauf, dass Dienste anonym oder zumindest pseudonym genutzt werden können:

TMG § 13 Pflichten des Diensteanbieters
(6) Der Diensteanbieter hat die Nutzung von Telemedien und ihre Bezahlung anonym oder unter Pseudonym zu ermöglichen, soweit dies technisch möglich und zumutbar ist. Der Nutzer ist über diese Möglichkeit zu informieren.

Das unabhängige Landeszentrum für Datenschutz Schleswig-Holstein hat am 14. Dezember 2012 eine Anordnung gegen Facebook mit Androhung eines Zwangsgeldes in Höhe von 20.000 Euro erlassen, weil Facebook genau dieser gesetzlichen Regelung nicht nachkommt und im Gegenteil seine Benutzer zwingen will Anonymität oder Pseudonymität aufzugeben.

Völlig egal, welche Regeln wir für Datenschutz im Netz und kommerzielle Webdienste etablieren, sie helfen alle nichts, wenn der Staat seine Datensammelwut nicht einschränkt. Es nützt nichts Facebook das Datensammeln zu verbieten, wenn bei jedem aufgeregten Kommentar sofort der Anschlussinhaber der IP-Adresse ermittelt wird.

Jetzt bin ich vollends verwirrt.

Der Staat sammelt IP-Adressen bei Kommentaren irgendwo, um den Anschlusssinhaber zu ermitteln? Wie er das wohl zB. bei meinem Blog macht?
Eben! Das macht er gar nicht. Was für ein Stuss.

Also nicht der Staat sammelt, sondern die Website-Betreiber oder besser gesagt die Anbieter von Telemediendiensten. Müssen sie aber nicht. Wenn sie jedoch anderen Menschen ein Forum bieten und diese Beleidigungen einstellen (also das was Andi Popp als "aufgeregte Kommentare" bezeichnet), dann kommen bei einer Anzeige klarerweise die Ermittlungsbehörden und wollen wissen wer das war. Das ist meiner Meinung nach völlig legitim. Das bedeutet auch nicht, dass der Staat speichert oder gar wütend sammelt, sondern dass der Staat seiner Aufgabe nachkommt bei Straftaten zu ermitteln und für Recht zu sorgen.

Sollte er auf die Massenabmahnungen wegen illegaler Verwendung von Tauschbörsen abzielen, so muss klar sein, dass kein Anbieter von Telemediendiensten die IP-Adressen speichert, sondern diese für jeden anderen Teilnehmer an der Tauschbörse sichtbar ist, denn er will ja kommunizieren. Hier ist das Problem aber nicht die Speicherung, sondern die Illegalität der Handlung, wofür eine Lösung gefunden werden muss.

Und jetzt kommt mein Lieblingssatz:

Auch hier muss es ein Recht auf Anonymität geben, wenn auch natürlich kein absolutes.

Aha, ein Recht auf Anonymität also, aber kein absolutes. Was ist denn ein un-absolutes Recht auf Anonymität?
Die Antwort auf diese Frage lässt Andi Popp aber offen, wahrscheinlich weiss er selbst keine. Dabei wäre das doch gerade der interessanteste Punkt an dem ganzen Artikel. Welche Gründe hält er für legitim genug die Anonymität zu beenden?

Fazit

Ich habe vor vier Jahren die Piraten gewählt, weil ich die Themen, die sie ansprachen, wichtig fand. Es war an der Zeit diese Themen ins Licht zu zerren, sie zu diskutieren und Weichen für die Zukunft zu stellen.

Ich werde die Piraten nicht wieder wählen, weil sie ein Haufen planloser Chaoten sind und das Blog-Posting von Andi Popp belegt das ein weiteres Mal sehr eindrucksvoll.




Comments