Wie halten es Kommunen mit dem Datenschutz?

Das fragte sich vor einiger Zeit wohl auch der Thüringer Landesdatenschutzbeauftragte Harald Stauch und lies stichprobenartig 40 Kommunen seines Zuständigkeitsbereiches überprüfen. Die Ergebnisse sind geeignet, seinen kürzlich vorgelegten achten Tätigkeitsbericht zu einem für die Ratshäuser ziemlich blamablen Dokument zu machen.

Stauch ließ in den Jahren 2008 und 2009 den Grunddatenschutz in den Kommunen überprüfen. Also die Erfüllung grundlegender datenschutzrechtlicher Standards wie die Bestellung eines behördeninternen Datenschutzbeauftragten, die Erstellung eines Verfahrensverzeichnisses, die rechtskonforme Regelung und Umsetzung der Verarbeitung personenbezogener Daten durch Dritte (Auftragsdatenverarbeitung) sowie die Erstellung und Umsetzung eines IT-Sicherheitskonzeptes einschließlich entsprechender Dienstvereinbarungen und Anordnungen.

Die Umsetzung solcher Dinge erfordert Sachkenntnisse, ist aber nicht schwieriger als die Umsetzung anderer (z.B. verwaltungsrechtlicher) Aufgaben der Kommunen.

Hinzu kamen spezielle punktuelle Kontrollen, etwa zum Thema elektronische Ausweise, zum Postlauf innerhalb der Behörden sowie zum Umgang mit Sozialdaten für die ein höheres Schutzniveau gilt.

An Mängelfreiheit litt keine der Kommunen, so der Datenschutzbeauftragte in seinem Bericht. Daher nennt Stauch die Kommunen mit echten Mängeln in seinem Bericht auf Seite 31 auch namentlich. Die Beseitigung der beanstandeten Mängel gestaltete sich bisweilen zäh, was Stauch auf fehlende Sachkunde in den Kommunen sowie auf die so erforderlich werdende kosten- und zeitintensive Inanspruchnahme externer Sachverständiger zurückführt, seltener auf den fehlenden Willen in den Kommunalverwaltungen.

Das Hauptproblem jedoch war, dass in vielen Gemeinden Datenschutzbeauftragte und Sicherheitskonzepte fehlten. Die Möglichkeit für kleinere Kommunen, gemeinsam einen Datenschutzbeauftragten zu bestellen und sich so dessen Expertise zu teilen, wurde kaum genutzt. Daher waren es auch meist die kleineren Kommunen und weniger Städte und Landkreise mir personell ausdifferenzierten Verwaltungen, die bei der Datenschutzrevision patzten.

Ursache war nicht ein einzelnes Problem sondern eine Vielzahl meist organisatorischer Defizite in den Rathäusern. Strauch führt in seinem Bericht u.a. Folgendes auf:

Mangelnde Aktivitäten der Kommunalaufsichtsbehörden im Bereich des Datenschutzrechts, fehlender Blick der kommunalen Leitungsebene für den Datenschutz, relativ schwache rechtliche Stellung des behördlichen Datenschutzbeauftragten und Überlastung mit anderen Aufgaben, für die Belange des Datenschutzes unzureichende Personal- und Finanzausstattung der Kommunen, mangelndes datenschutzrechtliches  Problembewusstsein, fehlende (Rechts-) Kenntnisse und wenig ausgeprägte Motivation, (Wissens-) Lücken zu schließen.

Die Zahl der noch unkontrollierten Kommunen und damit die Dunkelziffer datenschutzrechtlicher Verstöße ist mit Sicherheit hoch, so der Thüringer Datenschutzbeauftragte.

Die Aufgaben der Kommunen sind vielfältig. Daher finden sich in Stauchs Datenschutzbericht auch Verstöße aus allen Bereichen kommunaler Tätigkeit: Kommunalverwaltung, Personal, Polizei- und Meldewesen, Umsetzen verfassungsschutzrechtlicher Vorgaben, kommunales Finanzwesen, Justiz, Gesundheits- und Sozialdatenschutz, Wirtschaft, Arbeit, Bau und Verkehr, Bildung, Wissenschaft, Forschung, IT-Infrastruktur.

Einen besonders dicken Bock hatte die Stadtverwaltung Leinefelde-Worbis geschossen, als sie versuchte einen Mitarbeiter verhaltensbedingt zu kündigen. Und zwar mit der Begründung, dass er sich in der Vergangenheit bei verschiedenen Behörden u. a. auch beim Landesdatenschutzbeauftragten über seinen Dienstherrn beschwert hatte. Stauch beanstandete dies. Behörden dürfen Mitarbeiter, die sich beim Landesdatenschutzbeauftragten wegen der Verletzung datenschutzrechtlicher Vorschriften beschweren, nicht benachteiligen und schon gar nicht deswegen kündigen.

Schließlich sah die Stadtverwaltung Leinefelde-Worbis ein, dass eine solche Verfahrensweise nicht rechtens ist und wies ihre Mitarbeiter an, das künftig zu beachten. Ob die rechtlich unzulässige Kündigung zurückgezogen wurde, ist dem Datenschutzbericht jedoch nicht zu entnehmen.

Stauch forderte die Landesregierung dazu auf, das Thüringer Datenschutzgesetz zu modernisieren. Denn das ist mit ein Problem der Landes- und Kommunalbehörden: Hier gilt nicht das (noch relativ aktuelle) Bundesdatenschutzgesetz sondern spezielle Landesdatenschutzgesetze. Manche davon seit den 90er Jahren unverändert.

Verschlimmbessert die Regierung den Arbeitnehmerdatenschutz?

Mit der Datenschutzreform 2009 kam auch der verschärfte § 32 BDSG in das Gesetz der die Datenerhebung, -verarbeitung und -nutzung für Zwecke des Beschäftigungsverhältnisses regelt. Er wird von Fachleuten als die Keimzelle eines noch zu schaffenden Arbeitnehmerdatenschutzgesetzes gesehen, d.h. er reicht zwar nicht aus, ist aber besser als nichts. Zumal ein echtes Arbeitnehmerdatenschutzgesetz bereits seit mehr als vier Legislaturen in den jeweiligen Koalitionsverträgen versprochen wurde. Und die zahlreichen Datenschutzskandale der Wirtschaft – Lidl, Schlecker, Siemens, Deutsche Bahn, Telekom und Bank sowie zahlreiche andere Unternehmen lassen grüßen – zeigen dessen Notwendigkeit klar und deutlich.

Tatsächlich wird im Innenministerium an einem solchen Gesetz gearbeitet. Und erst Ende März hat Bundesinnenminister de Maizière Eckpunkte zur Neuregelung des Beschäftigtendatenschutzes vorgelegt. Außerdem sickerten einige inoffizielle Referentenentwürfe durch, die aber allesamt nicht Gutes verheißen. Die wirtschaftsliberal geprägte CDU/FDP-Regierung plant offenbar eher ein Arbeitnehmerdatennutzgesetz als ein wirksames Schutzgesetz zu etablieren.

Angeblich soll der Entwurf noch vor der Sommerpause vom Kabinett verabschiedet werden. Der geplante Ablauf legt den Schluss nahe, dass die Bundesregierung eine öffentliche Diskussion über das geplante Gesetz vermeiden möchte. Man erinnert sich offenbar noch an die heftigen Reaktionen auf das Zensursula-Gesetz zur Internetzensur.

Im Zentrum der Überlegungen der Regierung steht anscheinend nicht die Sicherung des allgemeinen Persönlichkeitsrechts der Arbeitnehmer, sondern das Ziel Unternehmen eine einfache und legale Möglichkeit zur Nutzung von Beschäftigtendaten zu Korruptionsbekämpfung und Compliance-Überwachung zu verschaffen.

Dumm nur, dass die Wirtschaft diese Möglichkeit auch vor der Verschärfung des BDSG zwar hatte. Aber niemals zur Überprüfung ihrer Vorstände und Führungskräfte einsetze, wie uns die Finanz- und Wirtschaftskrise ganz deutlich zeige. Stattdessen wurde allenfalls per Videokameraüberwacht, was Kassenkräfte im Discounter so tun. Oder per Massendatenabgleich geprüft, ob einer der 20.000 Bahnbeschäftigten ein Konto hat, das der nicht nur der Lohnabrechnung sondern auch Einkaufsabteilung bekannt wäre. Ober belauscht, was Gewerkschafter im Aufsichtstat so tun.

Die Unternehmen sind nicht vertrauenswürdig. Genauso wenig wie die Regierung. Und daher muss beiden auf die Finger gesehen werden und beide müssen bzgl. ihrer Machtbefugnisse gegenüber dem Volk kurzgehalten werden.

Die ganze Richtung der bisherigen Arbeit am Arbeitnehmerdatenschutz stimmt daher nicht! Nicht was Personalabteilungen gerne hätten oder wovon Arbeitgeberverbände träumen, sondern was zum Schutz der informationellen Selbstbestimmung der Beschäftigten erforderlich ist, muss Gegenstand der Überlegungen zu diesem Gesetz sein.

Ziel einer eigenständigen gesetzlichen Regelung muss es sein, für Arbeitgeber und Beschäftigte klare und möglichst verständliche Regelungen zu schaffen. Dass nützt Arbeitnehmern und Arbeitgebern gleichermaßen: Ein eindeutiger Rechtsrahmen schafft Sicherheit bei der praktischen Umsetzung im Betrieb und für die Betroffenen.

Daher haben Fachverbände wie die Deutsche Vereinigung für Datenschutz, das Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung (FIfF), der FoeBuD sowie mehrere Einzelpersonen und Unternehmen eine gemeinsame Erklärung herausgegeben, in der sie die Mindestinhalte eines Arbeitnehmerdatenschutzgesetzes aus ihrer Sicht klar benennen. Dazu zählen:

•    Einwilligungen im Arbeitsverhältnis dürfen nur dann als Zulässigkeitsgrundlage gelten, wenn die Erteilung nachweisbar freiwillig und ohne Druck erfolgen kann und erfolgt ist.

•    Datenerhebungen müssen immer beim Beschäftigten erfolgen. Unrechtmäßig erworbene Daten müssen einem Beweisverwertungsverbot unterliegen.

•    Das Fragerecht des Arbeitgebers bei der Einstellung muss streng an der Bedeutung und Erforderlichkeit für die angestrebte Beschäftigung orientiert sein.

•    Die „berechtigten Interessen“ des Arbeitgebers müssen in Bezug auf Vorhaben konzernweiter Verarbeitung von Beschäftigtendaten (z. B. Personaldatenverarbeitung in einer Konzernzentrale) gem. § 28 Abs. 1 Nr. 2 bzw. § 28 Abs. 2 Nr. 1 BDSG präzisiert und konkretisiert werden.

•    Wenn der Arbeitgeber Beschäftigtendaten im Rahmen einer Auftragsdatenverarbeitung durch einen Dienstleister verarbeiten lässt, von dem er wirtschaftlich abhängt (z. B. die Konzernmutter), muss die gem. § 11 BDSG vorgesehene Kontrolle des Auftragnehmers mangels realer Durchsetzbarkeit durch eine externe, unabhängige Instanz ausgeübt werden.

•    Es ist klarzustellen, dass der Arbeitgeber gegenüber seinen Beschäftigten kein Diensteanbieter im Sinne der Telekommunikationsgesetzgebung ist. Zum Schutz privater E-Mails müssen klare, dem Schutzniveau des Telekommunikationsgeheimnisses entsprechende Regeln definiert werden, die eine Einsichtnahme und Verwendung durch den Arbeitgeber ausschließen.

•    Die Beobachtung und Überwachung von Beschäftigten mittels Video- oder Tonaufnahmen ist grundsätzlich zu untersagen. Der Schutz gilt am Arbeitsplatz und im privaten Umfeld gleichermaßen. Ausnahmen sind nur in streng begrenzten Gefährdungslagen zuzulassen.

•    Verbote und Informationspflichten beim Umgang mit Beschäftigtendaten, die für den Arbeitgeber gelten, sind auch beim Einsatz externer Dienstleister einzuhalten.

•    Die Auskunftspflicht des Arbeitgebers gegenüber den Beschäftigten bzgl. der über sie automatisiert verarbeiteten Daten ist so zu konkretisieren, dass eine wirksame Umsetzung garantiert ist.

•    Ärztliche Untersuchungen dürfen nur angeordnet werden, wenn sie gesetzlich vorgeschrieben sind. Die ärztliche Schweigepflicht für Betriebsärzte darf nicht aufgeweicht werden.

•    Die Arbeitnehmervertretung muss das Recht erhalten, im Namen von Beschäftigten in Datenschutzfragen zu klagen.

•    Die Arbeitnehmervertretung ist an der Auswahl des betrieblichen oder behördlichen Datenschutzbeauftragten zu beteiligen.

•    Die verbindlich bereitzustellende Arbeitskapazität und Ressourcen des betrieblichen oder behördlichen Datenschutzbeauftragten müssen systematisch an der Zahl der Beschäftigten orientiert sein.

•    Die gesetzlichen Schutzvorgaben dürfen durch Betriebs- oder Dienstvereinbarungen nicht unterschritten werden.

Es werden also Konkretisierungen und Nachbesserungen im Datenschutz, Klarstellungen und Bereinigungen bisheriger gesetzlicher Mängel beim Zusammenwirken von BDSG und TKG, wirksamere Rechte für die betriebliche Mitbestimmung sowie eine Verbesserung der Position des betrieblichen Datenschutzbeauftragten gefordert.

So notwendig diese Dinge sind, so sehr dürfte Bundeskanzlerin Angela Merkel recht haben, wenn sie sich in einer Rede vor dem DGB wie folgt dazu äußert: „Ich glaube, darüber wird es eine heiße Diskussion geben. Aber dass wir ein entsprechendes Gesetz brauchen, ist unbestritten.“

Es gilt also für alle am wirksamen Arbeitnehmerdatenschutz und am Abbau von Wirtschaftswillkür und Datenlecks Interessierten, dran zu bleiben am Thema. Und Druck auf die Regierung zu machen, wo immer möglich.

Wie bereits die Wahl in NRW zeigte, fällt es den beiden Volksparteien CDU und SPD immer schwerer tragfähige politische Mehrheiten zu organisieren, da das Vertrauen in ihr Handeln seit Jahren schwindet.

Wie Autos von Sicherheitsforschern gehackt werden

Aktuelle Fahrzeuge aller Klassen sind reichlich mit programmierbarer Elektronik und Computerlogik ausgestattet. Auch wenn man davon meist bis auf ein paar zusätzliche Anzeigen auf dem Armaturenbrett wenig zu sehen bekommt.

Hinzu kommt das die Bordcomputer in ihren Fehlerspeichern oftmals zahlreiche Daten über technische Parameter des Fahrzeugs über die gesamte Lebensdauer hinweg aufzeichnen. Aus solchen Daten lassen sich forensische Rückschlüsse über das Fahrverhalten der Fahrer ziehen und ggf. auch der tatsächliche Hergang eines Unfalls nachvollziehen. Das macht sie für Polizei und Justiz, Verwaltung sowie die KFZ-Versicherungen sowie die Gewährleistungsabwicklung der Autohersteller interessant (findet man in den Daten z.B. irgendetwas, um sich vor Garantieansprüchen drücken zu können).

Kurz: Die Themen Datenschutz und IT-Sicherheit für die automobile Informationstechnik gewinnen zunehmend an Relevanz. Auch wenn die Hersteller das Thema möglichst aus den Medien herauszuhalten versuchen – fürchten sie doch teure regulatorische Auflagen und Standardisierungszwänge von außen, wenn sich erst mal zeigt, dass es mit der IT-Sicherheit im Auto nicht weit her ist.

Kürzlich stellten Forscher des Center for Automotive Embedded Systems Security (CAESS), einem Forschungsverbund zweier US-Universitäten auf dem IEEE Symposium on Security & Privacy in Oakland die Ergebnisse eines Forschungsprojekts zum Thema Möglichkeiten für Hacking-Angriffe auf Autos vor (PDF, 1,6 MB).

Als Zugang diente ihnen die OBD-II-Schnittstelle (On-Board-Diagnose), die von Werkstätten unter anderem zum Auslesen des bordeigenen Fehlerspeichers genutzt wird. Darauf griffen sie mit Diagnoserechnern und selbst entwickelter Software zu, um z.B. das Licht am Fahrer vorbei ein- und auszuschalten, die Zentralverriegelung zu bedienen und die Instrumentengrafik zu manipulieren oder auch direkt in Brems- und Beschleunigungsvorgänge einzugreifen. Dabei kamen die Forscher u.a. zu der Erkenntnis dass die Sicherheitsvorkehrungen der Hersteller zum Schutz der Autoelektronik überraschend leicht zu umgehen waren.

Zwar konzentrierten sie sich auf Angriffswege, die einen physischen Zugang zum Fahrzeug voraussetzen (d.h. es muss vorher auf „traditionelle Weise“ in den Besitz der Angreifer gelangt sein). Aber sie entdeckten auch in allen untersuchten Fahrzeugtypen bereits existierende Funknetztechnologien. Spätestens wenn es möglich ist, per WLAN, Bluetooth, Mobilfunk oder auf anderem Wege über Distanz auf Fahrzeuge zuzugreifen, werden solche Hackerangriffe in Umfang und Auswirkung deutlich zunehmen. Und dann wohl auch eine größere öffentliche Aufmerksamkeit erreichen, was den Herstellern ein weiteres „Flachhalten“ des Themas der funktionalen Sicherheit im Auto erst recht erschweren dürfte. Zumal Telematiker bereits seit längerem über automobile P2P-Netze nachdenken, in denen Fahrzeuge untereinander und automatisiert Verkehrsdaten austauschen, um z.B. Staus durch dynamische Geschwindigkeitsregelungen rascher auflösen oder umfahren zu können.

Und auch die Frage wem eigentlich die (Kunden?)-Daten im Auto gehören und wer darauf zu welchen Zwecken zugreifen darf, dürfte  schon bald an Relevanz gewinnen. Spätestens wenn der erste Rechtsstreit anhängig ist, in dem es um die Verweigerung von Versicherungsleistungen und Gewährleistungsansprüchen geht, weil die „Datenlage“ nicht zu den Aussagen des Autobesitzers passt.

Der Konflikt hinter Googles Street View-Datenpannen

Schon seit längerem kurven die auffälligen Google-Fahrzeuge mit ihren gut zwei Meter hohen Kameramasten durch ganz Deutschland, um Bildmaterial für Google Street View einzusammeln. Ist dieser Dienst schon datenschutztechnisch nicht unumstritten, so wurde vor einiger Zeit auch noch bekannt, das Google dabei Daten von WLAN-Routern scannt (Wardriving). Zwar sind Funknetzname (SSID) und Routerkennung (MAC-Adresse) in etwa so öffentlich wie ein Briefkasten mit Namensschild und Einwurfsschlitz. Aber da Google dazu nie etwas äußerte bis es von Dritten entdeckt wurde, trug nicht gerade dazu bei dem US-Konzern mehr Vertrauen entgegenzubringen.

Und nun räumte Google ein, dass man aufgrund eines Fehlers in der eingesetzten Software sogar Verkehrsdaten laufender WLAN-Kommunikation (Payload-Data) im Vorbeifahren quasi „mit aufgeschnappt“ habe. Zwar nur fragmentarisch, da der Empfänger angeblich mehrmals pro Sekunde die Frequenz wechselt und das Fahrzeug weiterfährt. Für Google wären die so gesammelten Kommunikationsfragmente allenfalls Datenmüll und es erstaunt, dass sie diesen nach der Entdeckung nicht schlicht gelöscht und das Programm umkonfiguriert haben. Immerhin muss das ja jemand mal so eingestellt haben.

Das eigentliche Problem ist aber in den Augen vieler das häppchenweise Bekanntwerden diverser Datenschutz-und Sicherheitsprobleme bei Google. Es macht sich der Eindruck breit: Die haben ihren Laden nicht im Griff! Und das obwohl Google wohl auf einer der größten privaten Datensammlungen der Welt sitzen dürfte. Eine Datensammlung die durch ihr schlichtes Existieren und Weiterwachsen immer mehr an Brisanz gewinnt. Wie auch Google bereits feststellen musste, nachdem es zunehmend von Hackern angegriffen wird, die der chinesischen Regierung zugeordnet werden.

Zudem hat sich Google in der Vergangenheit bei Fragen zum Datenschutz bei einzelnen Vorhaben nicht eben vorbildlich hervorgetan. Anfragen der Datenschutzbeauftragten wurden verschleppt, ignoriert oder unzureichend beantwortet, wie der Bundesbeauftragte für den Datenschutz Peter Schaar in seinem Blog berichtet.

Schon seit Wochen kann man daher heftige Kritik an Google lesen, vorgetragen von diversen Politikern wie z.B. Verbraucherschutzministerin Ilse Aigner aber auch von Datenschützer Schaar. Letztlich laufen aber die Probleme mit Google alle auf einen grundsätzlichen Wertekonflikt hinaus:

Der Philosophie seines US-Managements folgend, verfahren Google-Entscheider nach der Devise „Lieber um Entschuldigung bitten als um Erlaubnis fragen“ und setzen sich schon mal über die Rechte Dritter einfach hinweg. So geschehen z.B. bei Google Books wo es zu einer nachträglichen Lizenzierungsdebatte (dem Google Books Settlement) kam. Oder bei urheberrechtlichen Detailfragen bei der Umsetzung der Google Bildersuche.

Ein elementarer Grundsatz der europäischen Datenschutzgesetzgebung lautet aber: „Erst um Erlaubnis fragen, dann loslegen“. Und im Zweifel bleiben lassen, falls zwischen den Betroffenen keine Einigung zustande kommt. Fast alle Konflikte um Datenschutzthemen zwischen Staat und Internetwirtschaft laufen letztlich auf diesen kulturellen Dissens raus. Auch Ministerin Aigner kritisierte bei ihren Attacken gegen Google und Facebook eigentlich immer nur deren „erst eigenmächtig loslegen, dann bei Geschrei den Dreck wegräumen“-Mentalität. Politik und Zivilgesellschaft wollen von der Wirtschaft nicht übergangen werden, während Unternehmen lieber schnell sein wollen als über ihr Tun gründlich zu reflektieren.

So manch innovativer Dienst wäre aber realistisch betrachtet gar nicht umsetzbar, wenn man jeden denkbar Beteiligten in allen Rechtsräumen vorab kontakten und mit ihm Vorverhandlungen aufnehmen würde. Zu vielfältig, verteilt und partikular wären die Interessen. Die Leute deswegen aber zu übergehen und ihnen lediglich die Option zu lassen, sich zu beschweren und auf eigenes Kostenrisiko den Rechtsweg gegen einen Konzern zu beschreiten ist deswegen aber auch keine akzeptable Alternative.

Letztlich zeigt sich darin ein Regulierungsdefizit zwischen Rechtslage und gelebter Internet-Realität, wie wir es ja auch im Bereich der Immaterialgüterrechte zunehmend beobachten können. Es liegt an uns – den Netzbewohnern – unserem Nutzungs- und Konsumverhalten aber auch unserem politischen Wahlverhalten, daran etwas zu verändern. So betrachtet können uns Vorkommnisse wie die diversen Google-Pannen dabei helfen, das Internet- und IT-Recht angemessen auszugestalten.

Produkttest: Passwort Depot 4 – Passwörter im Tresor

Passwörter sind eine weit verbreitete Methode schutzwürdige Informationen geheimzuhalten. Dummerweise sind „sichere“ Passwörter (lang, aus vielen unterschiedlichen Zeichenarten bestehend,  keinen sinnvollen Begriff ergebend) alles andere als gehirngerecht und leicht zu merken. Und ihre kurzen, sinnvollen und einprägsamen Alternativen von entsprechenden Knackprogrammen leicht durch Wörterbuchprogrammen oder Brute-Force-Attacken zu brechen.

Zumal mangels einschlägiger Standards die Zahl von Logins, Accounts und elektronischer Identitäten im Alltagsleben der Netzbewohner rascher zunimmt als das Unkraut im Garten. So ist z.B. Gunter Dueck, Technologieexperte beim IBM fest davon überzeugt, dass bereits allein ein Standard zum einfachen Bezahlen im Internet mit der damit einhergehenden Abschaffung der Vielfalt an Identitäten einen enormen Schub beim Thema e-Business bringen kann (Dueck, „Aufbrechen“, S. 197).

Deutlich einfacher wird der Umgang mit der Passwortvielfalt durch Programme, welche Login-Daten beim Erscheinen der entsprechenden Eingabeformulare automatisch eintragen. Man muss sich dann nur noch ein einziges Passwort merken – das des Programmes, in dessen verschlüsselten Datenbeständen die diversen digitale Identitäten lagern.

Linux-Nutzer kennen das schon lange als „Schlüsselbund“-Funktion im Betriebssystem. Und in Browsern wie Firefox ist ebenfalls ein Passwort-Tresor enthalten. Dort allerdings ist er nur für Logins im Internet nutzbar deren Webseiten per Firefox aufgerufen werden. Wer auf XING, eBay oder sein Bankkonto mit anderen Browsern zugreifen will, steht vor einem Problem. Und wer native Windows-Anwendungen wie Truecrypt-Container, e-Banking-Software o.ä. nutzt ebenfalls. Zudem sind manche dieser Funktionen angreifbar, wenn sie z.B. Passwörter unverschlüsselt in Caches oder der Zwischenablage ablegen, wo sie von Spähtrojanern mitgelesen werden können.

In diese Bedarfslücke springt u.a der Softwareanbieter AceBit GmbH mit seinem Produkt Passwort-Depot 4. Der Name ist dabei Programm. Das Programm dient dazu digitale Identitäten aller Art zu speichern, mit einer Vielzahl von Funktionen zu managen und beim Einsatz der dazugehörigen Programme oder Webseiten automatisch einzutragen (nachdem das Depot mit dem dazugehörigen Masterpasswort geöffnet wurde).

Diese Vielzahl an Möglichkeiten lässt das Programm zunächst etwas „overengineered“ erscheinen, ermöglicht es aber nach entsprechender Einarbeitung zahlreiche individuelle Bedürfnisse hinsichtlich des Umgangs mit Passwörtern und digitalen Identitäten zu erfüllen. Es macht jedoch eine gründliche Auseinandersetzung mit dem benutzerfreundlich gestalteten Programm erforderlich.

Passwort Depot mach dabei den Eindruck eines reifen Produktes bei dem auch an wichtige Details gedacht wurde. So wird z.B. die bereits erwähnte Zwischenablage auf Zugriffe durch Drittprogramme überwacht. Man kann die gespeicherten Passwörter einer Prüfung auf deren relative Stärke unterziehen. Zur Verwaltung der digitalen Identitäten stehen etliche Funktionen wie z.B. die Konfiguration der Benutzeroberfläche oder die Überwachung von zeitlichen Änderungszyklen für Passwörter zur Verfügung, deren Nutzen sich erst nach einiger Zeit der Nutzung zeigt und die sich speziell an den Nutzer vieler Logins und Passwörter wenden.

Daneben bietet Passwort Depot noch zwei weitere nützliche Funktionen, die es als zusätzliche Befehle in das Kontext-Menü einbaut: Ein oder mehrere Dateien komprimieren und verschlüsseln (auch zur Entschlüsselung muss Password Depot vorhanden sein, worauf man bei der Nutzung im Zusammenhang mit mobilen Datenträgern achten sollte). Sowie eine Datei sicher, d.h. nicht wiederherstellbar löschen, indem sie komplett überschrieben wird.

Die digitalen Identitäten legt Passwort Depot in einer verschlüsselten (AES 256) Datei ab, die mit Hilfe eines Server-Moduls auch im Netzwerk durch mehrere Nutzer verwendet werden kann (z.B. im Rahmen eines Identity Managements in kleineren Unternehmen).

Was Firmen i.d.R. als Single-Sign-On-Lösungen mit Hilfe von Identity-Management und Provisioning oder aber biometrischer Authentifizierung als Bestandteil ihrer Infrastruktur lösen, kann nun auch der Privatanwender nutzen: Eine einfache und sichere Lösung zur Verwaltung zahlreicher digitaler Identitäten.

Die Basisversion von Passwort-Depot kann kostenlos genutzt werden und 20 Passwörter verwalten. Eine Vollversion ohne diese Begrenzung ist für etwa 30 € pro Lizenz erhältlich. Für den Einsatz im Netzwerk als Server gibt es ein eigenes Lizenzmodell.

Ein klarer Schwachpunkt aus Expertensicht ist allerdings, dass – wie bei kommerziellen Produkten leider oftmals üblich – sicherheitskritische Produktbestandteile wie z.B. der Schutz der Depot-Dateien durch die laut Acebit eingesetzte AES-256-Verschlüsselung nicht durch Offenlegung des Quellcodes überprüfbar gemacht wurden. Implementierungsfehler in an sich ansonsten als sehr sicher geltenden kryptographischen Verfahren können so mangels Einblick durch unabhängige Dritte nicht ausgeschlossen werden (security by obscurity-Ansatz). Allerdings weist die Entwicklungsabteilung von Acebit darauf hin, dass ihr Produkt bereits mehrfach (z.B. im Rahmen von Lizenzverträgen mit Firmenkunden) durch unabhängige Dritte geprüft wurde und verweist auch gern auf (vorhandene) positive Testberichte in Computerzeitschriften.

Password Depot wird auch für Smartphones (Android, Windows Mobile) sowie für U3-basierte USB-Sticks angeboten.

Verwerterlobbyisten: Wir finden Kinderpornographie toll!

Im Mai 2007 führte die US-Handelskammer in Stockholm ein Seminar unter dem Titel „Sweden – A Safe Haven for Pirates?“ durch, in dem die damalige schwedische Politik  zu Fragen des Immaterialgüterrechts aus Sicht der Verwerter- und Rechteinhaberlobby diskutiert wurde. Zu diesem Seminar hatten sich auch drei Mitglieder der schwedischen Piratenpartei Zugang verschafft, um dort aus erster Hand vom Gegner lernen zu können. Einer von ihnen war Christian Engström – damals ein Nobody, heute Mitglied des EU-Parlaments.

Über das was Engström dort zu hören bekam, verfasste er einen aufschlussreichen Blog-Artikel, der zunächst in Vergessenheit geriet, inzwischen aber zunehmend an politischer Aktualität und Brisanz gewinnt. Denn eine dänische Anti-Piracy-Lobbyorganisation lies in dem Seminar einen Verwerterrechteanwalt (die Sorte, die in Deutschland oft als Helfershelfer von Abmahnbetrügern und Wirtschaftskriminellen ihr Geld ergaunert) als Referent antreten, der Folgendes zum Besten gab:

„Kinderpornografie ist großartig. Sie ist großartig, weil Politiker Kinderpornografie verstehen. Indem wir diese Karte ausspielen, können wir sie (die Politik) zum Handeln und zum Blockieren von Websites bringen. Und wenn sie das erst einmal gemacht haben, dann können wir sie dazu bringen, Filesharing-Sites zu blockieren.“

In den Denkfabriken der Verwerterlobby hat man – wie ihre Gegner bereits seit längerem immer wieder unterstellen – erkannt, dass man überkommene Geschäftsmodelle am besten durch Kriminalisierung ihrer Kritiker verteidigt. Und das dabei jedes Mittel recht ist.

Ideen der Verwerterlobby zum Abbau von Bürgerrechten und zum Schutz ihrer Monopolinteressen wie Internetzensur, Netzsperren, Three-strikes-Modelle, Ausdehnung der Providerhaftung, Abschaffung der Netzneutralität, ACTA-Geheimabkommen, Ausweitung von unklar formulierten Rechtgrundlagen zur Förderung des Abmahnbetrugs, Vorratsdatenspeicherung … sollen also durch politischen Kindesmissbrauch und geschickte Manipulation politischer Entscheidungsprozesse weiter vorangetrieben werden.

Verglichen mit dieser Perfidie sind Neonazigruppen, Hassprediger, Islamisten, Scientology usw. harmlose Kreisklassenspieler! Organisationen wie die International Federation of the Phonographic Industry (IFPI) oder deren deutsches Äquivalent die Gesellschaft zur Verfolgung von Urheberrechtsverletzungen (GVU) entwickeln sich zunehmend zu Brut- und Förderstätten organisierter Kriminalität (Abmahnbetrug, Förderung von Kartellen und Monopolen durch Patentrechtsmissbrauch) und grundrechtsfeindlicher Aktivitäten.

Es ist an der Zeit deren Treiben durch Polizei und Verfassungsschutz, vor allem aber auch durch aufgeklärte mündige Bürger zu beobachten und publik zu machen. Denn der Einfluss dieser Organisationen auf die Politik in Deutschland und auch in Europa darf nicht unterschätzt werden! Wir reden hier immerhin über Organisationen, deren Vertreter Kinderpornographie toll finden, weil sich damit ihre Interessen vorantreiben lassen. Und die es auch sonst häufig nicht so genau nehmen mit Recht und Gesetz.

Denn derzeit, so Engström, versucht es die Medienindustrie über den Umweg EU. Dort werden durch die schwedische EU-Kommissarin Cecilia Malmström derzeit Pläne für den Aufbau einer europaweiten Zensurinfrastruktur mit dem Argument des Sperrens von Kinderpornographie begründet und auf Fragen nach dem Einsatz für andere Bereiche nur mit Ausführungen dazu reagierte, wie schrecklich Kinderpornographie ist.

Wie wohl die EU-Kommissare über die Ansichten zur Kinderpornographie durch die Verwerterlobbyisten denken?

Das Anti-Counterfeiting Trade Agreement (ACTA) – Wie Geheimabkommen unser Leben bestimmen

Auf Reichskanzler Otto von Bismarck wird die Aussage zurückgeführt, dass es besser sei nicht so genau zu wissen, wie Würste und Gesetze gemacht würden. Und wer sich mit dem Thema Globalisierungskritik beschäftigt, stößt relativ rasch auf Institutionen wie den Weltwährungsfonds (IWF), die Welthandelsorganisation (WTO) und andere in denen einflussreiche Staaten an Parlamenten vorbei sog. „Handelsabkommen“ wie GATS, TRIPS und andere abschließen, in denen oft auch alles Mögliche geregelt ist, was wenig bis nichts mit Handel nach allgemeinem Verständnis zu tun hat. Abbau von Sozialstandards, Einschränkungen von Arbeitnehmerrechten, Absenken von Umweltstandards und Verbraucherschutz. Dafür Absicherung der Profite von Investoren, Konzernen und Oligopolen, Schwächung der Rechtsaufsicht über Unternehmenskonglomerate, Patente (d.h. staatlich garantierte Monopolansprüche unter Umgehung der Marktkräfte) auf eigentlich fast alles sowie Subventionen in Milliardenhöhe.

Solche Abkommen sind inhaltlich meist so heikel, einseitig und unausgewogen, dass sie sich mit Rechtsstaatlichkeit und Bürgerrechten nicht in Einklang bringen lassen. Und über halbwegs transparente demokratische Prozesse dafür keine Mehrheiten zu bekommen wären. Daher werden sie meist im Geheimen in Hinterzimmern und an grünen Tischen der globalen Wirtschaftsdiplomatie verhandelt und bis zu ihrer Ratifizierung als Verschlusssache behandelt.

Schon mehrfach scheiterten solche Abkommen in der Vergangenheit, nachdem ihre Inhalte vorab durchsickerten und den Zorn von Bürgerrechtlern und zivilgesellschaftlichen Organisationen an sich zogen. So zum Beispiel das „multilaterale Investitionsabkommen“ (MAI) oder die Bolkestein-Richtlinie. Wirtschaftslobbyisten und käufliche Politiker (nur wenige Formen der Korruption sind tatsächlich strafbar) greifen die entsprechenden Inhalte aber früher oder später immer wieder auf und versuchen es erneut. So entsteht eine Art politischer Salami-Taktik des schleichenden aber kontinuierlichen Abbaus von Bürgerrechten und Sozialstandards.

Ein weiteres solches Abkommen ist das Anti Counterfeiting-Trade Agreement (ACTA), an dem bereits seit 2005 zwischen der Schweiz, den USA, der EU, Kanada, Japan, Korea, Singapur, Australien, Neuseeland, Mexiko, Jordanien, Marokko und den Vereinigten Arabischen Emiraten im Geheimen verhandelt wird. Gegenstand des Abkommens sind hauptsächlich Verschärfungen im ohnehin umstrittenen Immaterialgüterrecht, so dass Rechteverwerter wirksamer gegen „Produktpiraten“ und „Raubkopierer“ vorgehen können. Im selben Fahrwasser sollen zugleich Bürgerrechte eingeschränkt, der Zugang zum Internet stärker reguliert, Zensurinfrastrukturen geschaffen und Provider zunehmend in Haftung für „Urheberrechtsverstöße“ Dritter genommen werden. Die wenigen Informationen zu ACTA, die bislang durchsickerten, lesen sich wie ein Horrorkatalog für freie Bürger.

Zumal sie von Leuten verhandelt  werden, die in unserem Namen handeln, die von uns bezahlt werden und die eigentlich uns zu dienen hätten – stattdessen dienen sie managerialen Eliten, die uns bisher hauptsächlich Gewalt, Arbeitslosigkeit, Teuerungen und die Finanzkrise gebracht haben.

Der zunehmende Missbrauch des Immaterialgüterrechts durch Verwerter und Konzerne hat jedoch in den letzten Jahren eine ebenfalls zunehmende Widerstandsbewegung entstehen lassen. Bürger, NGOs und neue Parteien wie z.B. die Piratenpartei fordern die Kontrolle über Staat und Wirtschaft zurück, wollen Auswüchse korrigieren und das Primat der Wirtschaftsinteressen über Staat und Volk wieder beseitigen.

Noch immer laufen die Verhandlungen um ACTA im Geheimen und ohne demokratisches Mandat auf Ministerial- und Staatssekretärsebene ab. Auch wenn sich Bundesjustizministerin Sabine Leutheusser-Schnarrenberger inzwischen hin und wieder genötigt sieht, den ein oder anderen Kommentar zum Stand der Dinge abzugeben.

Es gilt also umso mehr: Wachsam bleiben, sich selbst informieren (aktiv online – denn Fernsehen und Presse geben dazu fast nichts her) und auf dem Laufenden bleiben. Das aber allein reicht noch nicht. Wer Geheimabkommen wie ACTA, die unabsehbar in unsere Rechte eingreifen, ablehnt muss auch den Hintern hochbringen und Organisationen unterstützen, die sich gegen ACTA engagieren Organisationen wie den Chaos Computer Club, die Piratenpartei, den FoeBud e.V., die Initiative „Stopp Acta“ und andere.

Beginnen kann man damit, dass man sich in das Thema einliest, die E-Petition von Stopp-ACTA zur Offenlegung der Verhandlungen unterstützt und die Blogosphäre im Auge behält. Die Verhandlungen rund um ACTA laufen noch, bislang ist noch nichts entschieden.