FIFF-Jahrestagung 2011 – Dialektik der Informationssicherheit

Vom 11.-13.11. fand die Jahrestagung des „Forums InformatikerInnen für Frieden und gesellschaftliche Verantwortung“ (FIFF e.V.) in den Räumen der Hochschule München statt. Das Leitthema der 2½ tägigen Veranstaltung war in diesem Jahr „Dialektik der Informationssicherheit — Interessenskonflikte bei Anonymität, Integrität und Vertraulichkeit“. Es ging also um die zahlreichen Interessenskonflikte, die es im Bereich der Informationssicherheit in den Unternehmen, auf politischer Ebene sowie in der Gesellschaft gibt.

Eröffnet wurde die Tagung Freitag abend mit einer Keynote des bayerischen Landesbeauftragten für Datenschutz Dr. Thomas Petri, in der er die Auswirkungen EU-rechtlicher Entwicklungen (bsp. EU-Richtlinie zur Vorratsdatenspeicherung) samt dazugehöriger Rechtsprechung auf das deutsche Datenschutzrecht darstellte. Konkret ersichtlich ist das z.B. an der Debatte über unterschiedliche Wege der Umsetzung („Quick Freeze“ vs. „Mindestspeicherung“) in Deutschland. In wie weit sich per EU-Richtlinie grundgesetzwidrige Gesetze in Deutschland notfalls EU-rechtlich erzwingen lassen, ist auch eine solche Konfliktfrage.

Dem folgte eine Podiumsdiskussion in der Michael George (Bayerisches Landesamt für Verfassungsschutz), Prof. Dr. Rainer W. Gerling (IT-Sicherheits- und Datenschutzbeauftragter der Max-Planck-Gesellschaft), Constanze Kurz (Sprecherin des CCC), Dr. Thomas Petri (Bayerischer Landesbeauftragter für den Datenschutz) und Enno Rey (Geschäftsführer der IT Sicherheitsfirma ERNW) über die Spannungsfelder und Konflikte im Bereich der Informationssicherheit diskutierten.

Am Samstag fanden acht Workshops statt – jeweils vier parallel am Vormittag und vier am Nachmittag. Man konnte also an zweien teilnehmen. Ich entschied mich für die Themen Absicherung mobiler Daten und Endgeräte sowie Kritische Infrastrukturen. Aber auch europäische (IT-)Sicherheitspolitik und -forschung, Faire IT, Facebook und Co und meine Daten im WWW, Rüstung und Informatik und Data-Mining im Internet wurden angeboten.

Das Ergebnis meines Workshops zur Absicherung mobiler Datenträger und Endgeräte fiel eher ernüchternd aus. Prof. Dr. Rainer W. Gerling (IT-Sicherheitsbeauftragter der Max-Planck-Gesellschaft in München) stellt kurz gefasst da, dass zwar technisch sehr viel getan werden kann, um mobile Unternehmensdaten vor dem Abhandenkommen zu schützen. Dass aber in vielen Ländern (z.B. der USA) Ermittlungsbehörden ganz offiziell den Auftrag zur Wirtschaftsspionage besäßen. Und in nahezu der halben Welt der Einsatz von Kryptografie und anderen Werkzeugen des technischen Datenschutzes entweder ganz verboten ist oder auf von den jeweiligen Regierungen freigegebene (für deren Geheimdienste unproblematische) Werkzeuge beschränkt sei. Wer das ignoriert, muss mit Problemen bei der Einreise sowie der Beschlagnahmung seiner Geräte rechnen. Idealerweise gibt man Mitarbeitern, die in entsprechende Länder reisen, daher nur frisch aufgesetzte Geräte mit, auf denen nur unkritische, im Prinzip öffentliche Daten liegen. Eine Hashbildung über die Festplatte ermöglicht es Veränderungen (Schadcode) an der installierten Software zu erkennen. Eine gründliche Geräteinspektion einschließlich Wiegen auf einer Präzisionswaage erkennt Veränderungen an der Hardware (z.B. Einbau zusätzlicher Komponenten). Schlussfolgerung: Tagungen auf denen sensible Informationen ausgetauscht werden, sollte man nur in sicheren Rechtsräumen stattfinden lassen. Das schont auch das Reisekostenbudget und grenzt informationstechnische Schurkenstaaten gezielt vom internationalen Informationsaustausch aus.

In der Mittagspause traf ich auf Studierende, die an einer Initiative zur Einführung eines Masterabschlusses im Bereich „Informatik und Gesellschaft“ arbeiten und die dazu Einzelaktivitäten an Hochschulen wikiartig zusammentrugen. Das Studienfeld „Informatik und Gesellschaft“ befasst sich mit den sozialen, kulturellen, politischen und individuellen Auswirkungen und Wechselwirkungen von Informationstechnik in einer interdisziplinären Weise. Es hatte seinen Höhepunkt in Deutschland in den 80er Jahren, ist stark an einzelne Persönlichkeiten gebunden, die inzwischen das Pensionsalter erreichen und droht daher langsam „auszusterben“. Zumal viele Universitäten an einem eher drittmittelarmen Forschungsfeld ohne konkrete Beschäftigungsperspektive außerhalb der Hochschulwelt kaum Interesse zu haben scheinen. Andererseits zeigen netzpolitische Debatten rund um digitale Medien, elektronisches Publizieren, Open Access, die Frage des geistigen Eigentums, Plagiate und Langzeitarchivierung oder auch Open Source oder IT-Compliance in Unternehmen die unmittelbare Relevanz des Studienfeldes „Informatik und Gesellschaft“ auf.

Der Workshop zum Thema Kritische Infrastrukturen wurde von Claus Stark (FifF) und Bernhard C. Witt (Sprecher der GI-Fachgruppe Management von Informationssicherheit) geleitet. Sie brachten mir auf kompetente Weise einen Einblick in ein Thema, dass Aspekte der Informationssicherheit mit e-Government und europäischer Sicherheitspolitik verbindet. Bei kritischen Infrastrukturen geht es um Dinge wie Energieversorgung, Verkehrssysteme, Telekommunikation, Ernährung und Gesundheitsversorgung oder auch das Finanzwesen. Ihnen allen ist gemein, dass sie irgendwie zur Daseinsvorsorge gehören, massiv vom Funktionieren informationstechnischer Systeme abhängen und im Falle von Störungen oder Ausfällen rasch negative Auswirkungen auf große Teile der Bevölkerung spürbar wären. Ideale Ziele also für Terrorangriffe oder Sabotage. Das Bundesministerium des Inneren sowie das dem BMI zugeordnete BSI geben einige Einstiegsinformationen zum Thema kritische Infrastrukturen heraus. Wer sich für speziellere Details interessiert, wird jedoch rasch feststellen, dass sich zwar zahlreiche Menschen in diversen Organisationen damit beschäftigen, jedoch durch Geheimschutzabkommen zur Verschwiegenheit verpflichtet wurden. Zu solchen Details zählen u.a. die Ergebnisse der praktisch jährlich mit unterschiedlichen Schwerpunkten stattfindenden LÜKEX-Krisenreaktionsübungen, mit denen das Handeln von Institutionen zur Krisenreaktion und Krisenbewältigung geübt wird. Erkenntnisse aus den Lükex-Übungen werden in einem abschließenden Auswertungsbericht zusammengefasst, der jedoch nicht veröffentlicht wird.

Fachliteratur zum Thema kritische Infrastrukturen ist eher knapp. Institutionellen Austausch, wissenschaftliche Begleitforschung und Debatten in der Fachöffentlichkeit gibt es dazu kaum. Jedoch beschäftigt sich u.a. in der Gesellschaft für Informatik (GI e.V.) im Rahmen der Fachgruppe IT-Sicherheitsmanagement ein Arbeitskreis Kritische Infrastrukturen (AK KRITIS) mit dem Thema.

Beim Schutz kritischer Infrastrukturen hat man im Prinzip ganz ähnliche Probleme wie in der Informationssicherheit generell. Zwar können mit Hilfe von Instrumenten wie Verschlüsselung, Härtung der Systeme und wirksamen Integritätsschutzes gute Schutzniveaus erreicht werden. Aber auch hier können schwache Sicherheitskonzepte, Implementierungsfehler sowie mathematische oder technische Schwächen Grenzen aufzeigen und Lücken für Angreifer reißen.

Der Tag endete mit dem Vortrag von Frau Hansmeier (Sicherheitsbeauftragte eines DAX-Konzerns), die die Konflikte der IT-Sicherheit in Unternehmen bei der Entwicklung und Umsetzung ambitionierter IT-Sicherheitskonzepte. Dazu gehört u.a. der unternehmenskulturelle Konflikt, dass starke Informationssicherheit und regulierter Informationszugang oftmals nur schwer mit einer von Transparenz und Offenheit geprägten Unternehmenskultur zusammengeht. Oder auch Effizienzprobleme, da viele als vertraulich klassifizierte und daher nur wenigen Personen zugängliche Daten dazu führen können, dass es in großen Organisationen redundante Mehrfachprojekte gibt, da sprichwörtlich „die linke Hand nicht weiß was die rechte tut“. Ein Umstand, den ich aus der früheren Arbeit für große Industriekonzerne selbst kenne.

Alles in allem war die „Dialektik der Informationssicherheit“ ein spannendes Themenfeld, zu dem ich gern noch einige Workshops mehr mitgenommen hätte.

Der Streit um die Facebook-Buttons

Fast jeder kennt sie – die „Gefällt mir“-Buttons auf immer mehr Webseiten, mit denen man seinen Facebook-Kontakten ein Fundstück beim Surfen signalisieren kann. Wer seine Facebook-Kontakte entsprechend auswählt, bekommt dadurch einen interessensgerecht vorsortieren Nachrichtenfeed generiert und kann seinerseits anderen signalisieren, was ihn interessiert.

Wie genau funktioniert das?

Sobald man eine Website aufruft, die Facebook-Buttons enthält, werden Daten wie z.B. IP-Adresse, Referer und statistische Informationen an Facebook übermittelt. Ist man Facebook-Nutzer und am System angemeldet (dazu muss man es nicht mal offen haben) kann Facebook so recht genau mitverfolgen wo sich Facebook-Nutzer im Internet bewegen und was sie interessiert. Mit der Zeit kommen so relativ präzise und über den Inhalt des eigenen Profils weit hinausgehende Nutzerprofile zusammen. Dies lassen sich in aggregierter Form zum Zwecke von Reichweitenanalysen gut zu Geld machen.

Aber auch ohne eigenes Facebook-Profil kann die Firma ohne Einwilligung der Nutzer und ohne dass diese einen „Gefällt mir“-Button angeklickt hätten, unbemerkt Daten speichern und so beträchtliche Vorratsdatenbanken aufbauen.

Da es sich dabei zum Teil um personenbezogene bzw. personenbeziehbare Daten i.S.d. Bundesdatenschutzgesetzes handelt, wäre hierfür eine Einwilligung des Betroffenen einzuholen. Dabei wäre den Nutzern rechtsverbindlich mitzuteilen, worin sie einwilligen und zu welchen abschließend aufgeführten Zwecken ihre Daten verwendet werden Das fordern Datenschützer schon länger von Facebook. Doch die Firma, deren europäischer Hauptsitz in Dublin liegt, hatte diese Forderungen bislang ignoriert, da sie rechtlich von Deutschland aus nur schwer zu greifen ist. Auf diese Weise erzielt sie Konkurrenten mit Sitz in Deutschland gegenüber aus Sicht von Datenschützern unlautere Wettbewerbsvorteile. So hat Facebook allein im ersten Halbjahr 2011 weltweit etwa eine halbe Milliarde Euro Gewinn erzielt.

Das Kieler Unabhängige Landeszentrum für Datenschutz (ULD) beschloss daher das Problem vom anderen Ende her anzugehen und statt Facebook die in Deutschland rechtlich greifbareren Betreiber von .de-Websites, die Facebook-Buttons einbinden, rechtlich unter Druck zu setzen. Indirekt sollte so auch Facebook selber zum Handeln bewegt werden, da ansonsten vermehrt Websites angesichts möglicher fünfstelliger Geldbußen für Verstöße gegen das Datenschutzrecht die Buttons aus dem Netz nehmen und Facebooks Datenzuflüsse abklemmen würden. Eine umstrittene aber wirksame Vorgehensweise, da das Problem erst auf diesem Wege überhaupt einer breiteren Netzöffentlichkeit bewusst wurde. Bislang wurde es eher in der datenschutzrechtlichen Fachliteratur diskutiert.

Kürzlich schlugen Programmierer von Heise.de eine technische Lösung des Problems vor: den +2-Button. Dabei erscheinen Buttons sozialer Netzwerke wie Facebook oder Twitter zunächst inaktiv auf der Website und übermitteln keine Daten. Erst wenn der Nutzer sie anklickt werden sie aktiviert (erkennbar am Farbwechsel des Buttons) und ein zweiter Klick startet dann die damit verbundene Funktion. Doch auch das ist keine Einwilligung i.S.d. § 4a BDSG, da die rechtsverbindliche Mitteilung über Art, Umfang und Zweck der Datenübermittlung fehlt und auch unklar bleibt, wohin Daten übermittelt werden (z.B. auf Facebook-Server in den USA). Da die Entwickler den Quellcode freigaben, wurde die Idee rasch aufgegriffen und z.B. als Plugin für verbreitete Content-Management-Systeme wie WordPress umgesetzt.

Tatsächlich ist das Thema derzeit noch ungeklärt. Es gilt daher, die Entwicklung bei den technischen und rechtlichen Rahmenbedingungen für den Einsatz solcher „aktiven Codeelemente“ in Webauftritten speziell von Unternehmen im Blick zu behalten und sich ergebenden Compliance-Risiken konsequent entgegenzutreten.

Generell sollten sich Betreiber von Webauftritten zudem vergegenwärtigen, dass jedes Element, mit dem sie Code anderer Websites oder Dienste einbinden, ein potentielles Sicherheitsrisiko darstellt, Schließlich wissen sie nicht, was da im Einzelfall auf die Rechner ihrer Besucher und Kunden übertragen wird. Die Mehrzahl aller webbasierten Schadcodeverteilmechanismen macht sich solche Lücken zunutze und infiziert so ahnungslose Besucher von gut frequentierten Websites mit Schadsoftware.

Sind Polizeicomputer wirklich sicher?

Die Anzahl bekannt gewordener erfolgreicher Angriffe auf die IT großer Unternehmen und staatlicher Institutionen hat seit Jahresanfang „gefühlt“ deutlich zugenommen. Kürzlich hat es auch die Bundespolizei erwischt. Im Juli waren Hacker, die sich selbst der „No Name Group“ zurechnen, in einen Server des Zolls eingedrungen, der als Software-Downloadrechner zur behördeninternen Verteilung von Software-Updates eingesetzt wurde. So konnten sie durch die Einspeisung manipulierter Updates ein verteiltes System zur Ermittlungsunterstützung und Zielverfolgung angreifen und daraus Daten kopieren. Dazu zählten u.a. Bewegungsprofile und Positionsdaten von GPS-Peilsendern an den Fahrzeugen überwachter Personen. Die Hacker stellten diese Daten anschließend ins Internet, die Polizei musste die Nutzung der betroffenen Systeme vorübergehend einstellen und einen außerplanmäßigen Sicherheitsaudit durchführen.

Unklar ist, ob es sich dabei tatsächlich um Daten aus Ermittlungsverfahren handelt, bei denen ein Richter die Überwachung Verdächtiger erlaubt hat. Denkbar wäre zum Beispiel auch, dass die Behörden eine neue Software zur Analyse von Bewegungsprofilen in einem Feldversuch getestet haben, wie Spiegel Online vermutete.

Zwischenzeitlich konnten die intensiv ermittelnden Ordnungshüter mehrere Verdächtige festnehmen, darunter auch der Hacker „Darkhammer“, der sich in der Hacktivistenszene bereits im Zusammenhang mit Hackerangriffen auf NPD-Websites einen Namen machte.

Das wirft die Frage auf, wie sicher die IT-Systeme von Behörden eigentlich sind, die als Folge der Versicherheitsstaatlichung Deutschland immer mehr und immer sensiblere Daten der Bürger beinhalten. So hatten bereits 2010 Hacker Systeme des Zolls angegriffen und mit Trojanern infiziert, was trotz vorhandener Virenschutzsoftware erst Mitte 2011 bemerkt wurde.

Die bereits erwähne Revision der Zollsystem ergab jedenfalls gravierende Mängel, wie es in einem vertraulichen Bericht heißt, der seinen Weg in die Spiegel-Redaktion fand. Veraltete Hardware und Software, nicht vorhandene oder unzureichend ausgelegte Sicherheitssysteme, Mängel im technischen Datenschutz – und das in einem System, welches sensible Daten über verdeckte Ermittler, V-Leute und geheime Operationen enthält.

Neben der Technik fehlt es der Bundespolizei aber wohl auch am qualifizierten Personal. So fehlten an Schlüsselpositionen geeignete Mitarbeiter, die Fehler feststellen und beheben könnten. Dazu aber wären sie, dem Revisionsbericht zufolge aber wegen mangelhafter Systemdokumentation ohnehin kaum in der Lage. Hinzu kämen Defizite im Konfigurations- und Rechtemanagement, in der Zugriffsprotokollierung, in der Handhabung mobiler Datenträger sowie beim Fernzugriff, der über unverschlüsselte Klartextprotokolle abgewickelt würde.

Und so kamen die Prüfer zu dem vernichtenden Ergebnis, dass Hacker nach wie vor in das Polizeinetz eindringen könnten, um dort relativ einfach an geheime Daten gelangen, die Software manipulieren und systemrelevante Einstellungen verändern zu können.

Doch warum ist das so?

Der Kern des Problems dürfte schlicht darin bestehen, dass es der Bundespolizei am Budget für angemessene Ausstattung auf aktuellem Stand der Technik fehlt. Und dass entsprechend qualifizierte Sicherheitsexperten gehaltstechnisch kaum noch in die Tarif- und Besoldungssysteme des öffentlichen Dienstes einzupassen sind, während gleichzeitig Personaleinsparungen und Haushaltskonsolidierungen laufen. Ein Zielkonflikt, der künftig häufiger zu Kollateralschäden in Form gehackter Rechner und abhanden gekommender Behördendaten führen dürfte.

Das Ende von Elena

Vor einigen Tagen wurde es vom Bundesministerium für Wirtschaft und Technologie und dem Bundesministeriums für Arbeit und Soziales offiziell bekannt gegeben: Das Vorhaben „Elektronischer Einkommensnachweis“, kurz Elena wird eingestellt. Die bislang damit zusammengetragenen Datenbestände sollen in absehbarer Zeit gelöscht werden.

Das von Gewerkschaftern und Bürgerrechtlern zunächst nahezu ignorierte, später jedoch mit immer mehr Vehemenz bekämpfte Vorhaben einer Vorratsdatenspeicherung der Sozialdaten aller Arbeitnehmer Deutschlands ist damit erledigt. Offizielle Begründung: Weil die hierfür erforderliche qualifizierte elektronische Signatur in der Breite nicht verfügbar ist.

„Wir sind froh, dass diese Massendatenspeicherung endlich gestoppt wird“, so Sebastian Nerz, Bundesvorsitzender der Piratenpartei. Nach Ansicht der Piratenpartei hätte ELENA gar nicht erst beschlossen werden dürfen. Die elektronische Massenspeicherung ist ihrer Ansicht nach unverhältnismäßig, risikoreich und unnötig.

Grünen-Bundesvorstandsmitglied Malte Spitz sagte der Neuen Osnabrücker Zeitung: „Elenas Ende ist ein überfälliger Schritt. Zu einer solchen Datenkrake, die massiv in die Privatsphäre aller Arbeitnehmer eingreift, hätte es nie kommen dürfen“. Völlig unverhältnismäßig sei die zentrale Speicherung von Informationen zu Gesundheit oder der Teilnahme an Streiks gewesen. Ein echter Lernerfolg, wenn man bedenkt, dass Elena auf die Hartz-Gesetze des rotgrünen Bundeskanzlers Gerhard Schröder zurückführbar ist.

Auch der Berliner Datenschutzbeauftragte Alexander Dix hat sich in einem Interview mit dem RBB-Inforadio zufrieden mit dem Aus für das Elektronische Entgeltnachweisverfahren (Elena) gezeigt. Bei dem Projekt sei „von Anfang an mit Kanonen auf Spatzen geschossen worden“ Der Nutzen habe in keinem Verhältnis zu den entstehenden Kosten gestanden, so die TAZ.

Es zeigt sich einmal mehr, dass viele staatliche IT-Großprojekte, die als Verwaltungsvereinfachung, Bürokratieabbau und modernes e-Government daherkommen, tatsächlich politisch sehr heikel sind, da sie oft genug nicht nur sehr viel Steuergelder verschlingen sondern auch Bürgerrechte einschränken oder abbauen sollen und die politischen Eliten noch mächtiger und noch schwerer kontrollierbar machen.

Doch wie fing bei Elena eigentlich alles an?

Staatliche IT-Projekte können über Jahre laufen. So auch bei Elena, die 2003 während der rotgrünen Schröder-Regierung im Rahmen der Hartz-Gesetze als „Job-Card“ das Licht der Welt erblickte. Es folgten einige Pilotprojekte und 2009 schließlich das Elena-Verfahrensgesetz.

Auch da blieb erst mal alles relativ ruhig, da Themen wie Internetzensur, Vorratsdatenspeicherung, zunehmender Missbrauch des Urheberrechts sowie ACTA, INDECT und weitere die Aufmerksamkeit der netzpolitisch interessierten Öffentlichkeit auf sich zogen.

Als erste begannen die Gewerkschaften damit, sich gegen Elena zu positionieren, als sie in der knapp 50seitigen Beschreibung der verpflichtend abzuliefernden Datenarten u.a. die Meldung von Streiks (getrennt nach zulässig / unzulässig), Abmahnungen und Kündigungsgründen entdeckten. D.h. in der Praxis sollten Personalsachbearbeiter in den Unternehmen heikle Sachverhalte rechtlich einordnen, womit sie sich im Fehlerfall schadensersatzpflichtig gemacht hätten, falls sich daraus für den betroffenen Arbeitnehmer negative Folgen im Umgang mit Behörden (z.B. eine auf falschen Daten beruhende Sperrung von Sozialleistungen) ergeben hätten und die Geschädigten gerichtlich gegen die Datenschlamperei vorgegangen wären.

Gesammelt wurden die Elena-Datensätze bei der Zentralen Speicherstelle (ZSS), einem Rechenzentrum, das bei der Datenstelle der Träger der Rentenversicherung in Würzburg angesiedelt wurde. Die ZSS sollte die Elena-Daten zentral verschlüsselt über Jahre hinweg speichern. Gerade dieses sehr lange Vorhalten umfangreicher Datensatzhistorien war ein weiterer Kritikpunkt, da er für viele sozialversicherungsrechtlichen Vorgänge gar nicht erforderlich ist. Kritische Bürgerrechtler sahen sich an das sog. „Arbeitsbuch“ erinnert, mit dem die Regierung des dritten Reichs ab 1935 die Erwerbstätigkeit ihrer Untertanen steuern und überwachen wollte.

Nahezu alle zwangsabgefragten Elena-Daten können in irgendeiner sozialrechtlichen Fallkonstellation zur Beurteilung der Umstände des Einzelfalls erforderlich sein, weshalb der Datenkatalog im Laufe der Zeit eher dicker statt dünner wurde. Jedoch besteht diese Erforderlichkeit in keiner Weise für alle Arbeitnehmer. Wer absehbar nie Kindergeld beantragen wird oder über den Einkommensgrenzen für den Wohngeldbezug liegt, für den müssten auch keine entsprechenden Daten abgefragt werden. Daher kritisierten Datenschützer wiederholt den fehlenden konkreten Zweckbezug sowie die Missachtung des Prinzips der Datensparsamkeit.

Auch warum solche Daten umfassend und mit zahlreichen, schwer zu entdeckenden Mängeln in der Datenqualität behaftet, in einer staatlichen Vorratsdatenbank gespeichert werden müssten, wenn man sie doch im Einzelfall bei tatsächlichem Bedarf und aktuell bei denen erheben könnte, die etwas Konkretes von den Leistungsbehörden wollen, erschloss sich den technisch versierteren Kritikern nicht unbedingt. Zumal es den Betroffenen bis zuletzt aufgrund konzeptioneller Mängel im Betriebskonzept der zentralen Stelle nicht möglich war, von ihrem datenschutzrechtlichen Auskunftsrecht Gebrauch zu machen. Denn die Daten wurden zwar verschlüsselt übermittelt und gespeichert. Doch die Karten mit den Schlüsseln zum Auslesen und Entschlüsseln der Datengabe es nicht, geschweige denn einen Onlinezugriff über den der einzelne Beschäftige seinen eigenen Datensatz hätte kontrollieren können. Eine Kontrollmöglichkeit für den Arbeitnehmer war schlicht nicht vorgesehen.

Zuletzt schlossen sich mittelständische Wirtschaft, Medien und Kommunen dem Widerstand gegen Elena an. Der Wirtschaft hatte man Bürokratieabbau und Kostensenkungen versprochen. Heraus kamen beträchtliche Mehraufwände und Kostensteigerungen in der Personalverwaltung sowie bei den umfangreichen Pflichtdatenablieferungen. Sowie oftmals technische Probleme bei der Datenkommunikation mit der ZSS. Und die Kommunalverwaltungen, welche sowohl Arbeitgeber als auch zuständige Behörde für etliche Sozialleistungen sind, klagten bald über die Notwendigkeit, teure Fachverfahren und zusätzliche IT-Projekte stemmen zu müssen, ohne dass vorher geklärt wurde, wer am Ende dafür zahlen soll.

Der zunehmende Druck sorgte im Zusammenhang mit Ministerwechseln und Zuständigkeitsänderungen dafür, dass das Elena-Projekt bereits im Oktober 2010 ins Straucheln kam und schließlich 2011 gestoppt wurde.

Allerdings kündigte das Bundesarbeitsministerium bereits an, sich mit der Frage zu befassen „wie die bereits bestehende Infrastruktur des ELENA-Verfahrens und das erworbene Know-how für ein einfacheres und unbürokratisches Meldeverfahren in der Sozialversicherung genutzt werden“ könnte. Das bedeutet allerdings, dass die von den Kritikern thematisierten problematischen Vorstellungen aus den Köpfen der Politiker immer noch nicht verschwunden sind, wie auch Bettina Hammer auf Heise.de kritisiert.

Denkt man an die diversen Ministerrochaden im Merkel-Kabinett, so ist es gut möglich, dass aufmerksame Beobachter des netzpolitischen und e-governmentalen Lebens in Deutschland bald auf ähnliche Vorhaben stoßen werden und dann erneut mit ihrer Argumentation beginnen müssen, weil sich die Verantwortlichen nach dem „Vogel-Strauß“-Prinzip ahnungslos geben werden.

Zumal das Elena zugrundeliegende Gesetz noch nicht vom Bundestag abgeschafft wurde und damit erst mal weiterhin Gültigkeit besitzt. Und daher auf www.das-elena-verfahren.de, einer Website der Deutschen Rentenversicherung Bund, die auch die ZSS betreibt, zu lesen ist: „Das Verfahren ELENA wird erst dann eingestellt und die gespeicherten Daten werden erst dann gelöscht werden, wenn es hierfür eine entsprechende gesetzliche Grundlage gibt.“

Nachlese zum fünften deutschen IT-Gipfel

Am 07.12. fand der inzwischen fünfte „Nationale IT-Gipfel“ der Bunderegierung statt. Diesmal in Dresden. Es fällt mir regelmäßig schwer zu bewerten ob dies eher ein politischer Dampfplauderertreff, ein Lobbying-Forum für die staatsnahen Teile der IT-Branche oder ein echtes IT-strategisches Jahrehighlight ist. Nehmen doch Themen wie Netzpolitik, Internetregulierung, Compliance, Datenschutz oder e-Government immer rascher an Bedeutung zu. Und macht sich doch die allgemeine IT-Inkompetenz bzw. die gravierenden Wissensdefizite zahlreicher politischer Entscheidungsträger immer drastischer in verfehlten Regulierungsvorhaben wie z.B. Elena, dem Jugendmedienschutz-Staatsvertrag (JMStV) oder den verkorksten Regierungsvorlagen zum Beschäftigtendatenschutz bemerkbar.

Doch gleich eines vorweg: Eine generelle informationstechnische Alphabetisierungskampagne für Politiker war leider nicht Gegenstand der Gipfelgespräche.

Allerdings war das Querschnittsthema IT-Sicherheit in mehreren der acht Arbeitsgruppen mit Gegenstand der Beratungen. In diesen Arbeitsgruppen wurden Themen wie die sich mit Themen wie digitale Infrastrukturen, IT-basierte Geschäftsmodelle, Gesundheitstelematik oder e-Government diskutiert. Zwei Arbeitsgruppen befassten sich mit „Vertrauen, Datenschutz und Sicherheit im Internet“ sowie mit „Verantwortung und Schutz in der vernetzten Gesellschaft“, also mit dem Themenfeld Informationssicherheit, Datenschutz und Compliance in einer vernetzten Welt.

Die Ergebnisse des IT-Gipfels wurden in der sog. „Dresdner Vereinbarung“ (PDF, 1 MB) zusammengefasst. Das Dokument enthält zahlreiche mögliche und mehrheitlich auch sinnvolle Ansätze zur Gestaltung der vernetzten Gesellschaft durch Gesellschaft, Staat und Wirtschaft. Allerdings zeigen „Leuchtturmprojekte“ wie DE-Mail, Datenperso, das gescheiterte Immaterialgüterrecht, das Thema Netzneutralität oder die Gesundheitskarte, das politischer Unverstand und Wirtschaftslobbyismus oft mit dem Hintern einreißen, was die Hände zuvor aufgebaut haben. Etwas ausführlicher kann man die Gipfelthemen in der 90-setigen Begleitbroschüre „Programm – Personen – Projekte“ nachlesen, in der die Arbeitsgruppenthermen dargestellt werden (PDF, 2,8 MB)

Etliche Minister nutzten die Gelegenheit, um zu netzpolitischen Themen Stellung zu nehmen. Und die Bundeskanzlerin beklagte (wohl zurecht) die überlange Dauer mancher adipöser IT-Großprojekte der Regierung wie etwa der elektronischen Gesundheitskarte. Außerdem kündigte sie zum werweißwievielten Male den verstärkten Ausbau der Breitbandinfrastrukturen in Deutschland an. Auch wenn sich dieses Problem überhaupt erst durch verfehlte Verträge im Laufe der Telekom-Privatisierung ergeben hat (Nichtfestschreibung des bundesweiten Grundversorgungsauftrags mit Netzinfrastruktur des aktuellen Standes der Technik) und die Telekom sich auf dem Gipfel in weiser Voraussicht für weniger regulierende Eingriffe in ihre marktbeherrschende Position aussprach.

August-Wilhelm Scheer, Präsident des Bundesverbands Informationswirtschaft, Telekommunikation und neue Medien (BITKOM), kündigte auf dem IT-Gipfel eine informationstechnische Bildungsoffensive an. Geplant sei ein Software-Campus, der 100 Spitzenkräfte pro Jahr finanziell fördert sowie ein Bitkom-Management-Club, in dem jährlich 17 Ausnahmetalente von ebenso vielen Betreuern zu jungen Führungskräften herangebildet werden sollen. Mitte 2011 soll ein mehrsprachiges Online-Portal „Work and Study in Germany“ potentiell zuwanderungswilligen IT-Fachkräften das Leben in Deutschland nahebringen. Da wird man aber in der deutsche Arbeits- und Sozialordnung, im deutschen Steuerrecht sowie im Personalmanagement fast aller deutscher Unternehmen noch sehr viel tun müssen, um die realen Defizite in den Bereichen Aus- und Weiterbildung, Personalmanagement, faire Entgelte sowie Steuern und Sozialabgaben abzuräumen. Dem steht das Vorhaben des BITKOM, das für eine erleichterte Zuwanderung nachzuweisende jährliche Mindesteinkommen auf das Einstiegsniveau von Junior-Ingenieuren ohne Berufserfahrung abzusenken, jedoch eher entgegen.

Es bleibt also abzuwarten, ob die Vielfalt der Interessenslagen der Beteiligten sowie die äußerst ungleiche Verteilung von Wissen, Kompetenz und Sachverstand zu Themen mit IT-Bezug aus den Programmpunkten konkrete Politikansätze entstehen lassen.

Kommt jetzt das Ende für ELENA?

Elena – der „elektronische Entgeltnachweis, von Kritikern auch als Arbeitnehmervorratsdatenspeicherung bezeichnet – wird gestoppt! Die Regierung hat den Start des Vorhabens um zwei Jahre verschoben. In den letzten Monaten reihten sich immer mehr Unternehmen, und Verwaltungen in die Reihen der protestierenden Bürgerrechtler ein. Denn Elena brachte ihnen statt der versprochenen Einsparungen durch Bürokratieabbau in erster Linie Kosten und Ärger ein.

Arbeitgeber müssen mit ihren monatlichen Gehaltsabrechnungen für jeden ihrer Beschäftigten zahlreiche Eckdaten wie Name und Anschrift, Versicherungsnummer, Gesamt-, Steuer- und Sozialversicherungs-Bruttoeinkünfte, Sozialversicherungsbeiträge sowie steuerfreie Bezüge verschlüsselt an die zentrale Datenbank der Deutschen Rentenversicherung übermitteln. Dafür mussten oftmals zusätzliche IT-Systeme beschafft bzw. vorhandene Personalverwaltungssoftware aktualisiert, erweitert oder umkonfiguriert werden. Und dann kam es zu bis heute ungelösten Problemen mit der verschlüsselten Datenübermittlung für die Elena-Daten an die zentrale Speicherstelle.

Insbesondere Kommunen protestierten immer lauter gegen Elena. Sahen sie doch eine geschätzte Viertelmilliarde Euro an Zusatzkosten auf sich zukommen. Aus ebendiesem Grund beurteilt der IT-Wirtschaftsverband BITKOM den Elena-Stopp eher kritisch, sieht er doch Umsatzmöglichkeiten für seine Mitgliedsunternehmen entschwinden.

Und die Proteste zeigten Wirkung! Kürzlich beschloss die Regierung die offiziell bis 2012 verlaufende Testphase für das Elena-Verfahren um zwei Jahre zu verlängern. Als Grund für die Verschiebung werden Gutachten benannt, nach denen die Umstellung auf das System für die Behörden teurer als zunächst angenommen wird.  Außerdem werden erhebliche Belastungen für den Mittelstand befürchtet, was insbesondere FDP-Politiker umtreibt. Faktisch ist das fast schon das Aus für das Projekt. Müssen doch z.B. die bereits gesammelten Daten wieder gelöscht werden, da eine so lange Speicherung rechtlich unzulässig ist.

Elena scheint wohl denselben Weg anzutreten wie zuvor das Zugangserschwernisgesetz von Ministerin „Zensursula“ von der Leyen: Man erkennt (zu) spät den Flop, will aber nicht wirklich zu den gemachten Fehlern stehen und beschließt daher, den Weg der passiven Sterbehilfe zu gehen, indem man das Projekt langsam durch Zeitablauf und Mittelentzug sterben lässt.

Ob es so kommen wird, bleibt abzuwarten. Letztlich werden die Elena-Gegner aber erst ruhen, wenn das Vorhaben offiziell tot und begraben ist.

Elena – Datenkrake mit 800 Armen?

Unter diesem Motto stand ein Abendvortrag, an dem ich gestern im DGB-Haus in München teilnahm. Und der auch mehr als hundert weitere Leute mobilisiert hatte, so dass sich der große Vortragssaal im Gewerkschaftshaus rasch füllte. Als Referenten angekündigt waren immerhin Dr. Thomas Petri, bayerischer Landesbeauftragter für den Datenschutz sowie Evi Kraft-Smuda, Betriebsratsvorsitzende aus der Sozialwirtschaft und Elena-Aktivistin bei Ver.di.

Zunächst erläuterte Dr. Petri die (offiziellen) Hintergründe des Gesetzes zum elektronischen Entgeltnachweis (Elena). Beginnend mit Arbeitslosengeld, Wohngeld und Elterngeld sollen bald alle Sozialleistungsanträge, bei denen das Einkommen eine Rolle spielt und bisher entsprechende Bescheinigungen vom Arbeitgeber vorzulegen sind, auf elektronische Verfahrensabwicklung umgestellt werden. Kleiner Datenschutzvorteil: Der (Ex-)Arbeitgeber bekommt es nicht mehr mit, wenn jemand solche Leistungen beantragt. Die erforderlichen Daten liefert dann Elena.

Dazu haben Firmen monatlich eine Vielzahl an Daten über ihre sozialversicherungspflichtig Beschäftigten in einem standardisierten verschlüsselten Datensatz an die sog. „zentrale speichernde Stelle, ein Rechenzentrum in Würzburg zu übermitteln. Kleiner Datenschutzvorteil: Sobald der Arbeitgeber diese Daten abgeliefert hat, besteht für ihn kein Grund mehr diese Daten weiter selbst zu speichern (es sei denn, sie werden für andere Personalabrechnungszwecke noch benötigt). Er hat sie also aufgrund ihrer Zweckbindung zu löschen, sobald sich der Zweck erledigt hat oder entfallen ist. Arbeitgeber können zudem aus Elena ihrerseits keine Daten abrufen.

Das ist derzeit den Sozialbehörden vorbehalten, bei denen ab 2012 die entsprechenden Leistungen beantragt werden. Der Antragsteller hat dazu mit Hilfe einer Chipkarte der Behörde den Datenzugriff fallweise zu genehmigen, damit sei Antrag bearbeitet werden kann. Das ist auch vom Grundgedanken her der einzige Punkt an dem jemand die verschlüsselten Elena-Daten zu sehen bekommt (und so ggf. auf Korrektheit prüfen kann). Der einzelne Arbeitnehmer kann also trotz bestehendem Recht auf Selbstauskunft nicht prüfen, was über ihn gespeichert wurde. Und auch die Fachbehörden bekommen – logischerweise – mit der Chipkarten-Autorisierung durch den Antragsteller nur den Teil der Daten zu sehen, der für den Antrag relevant ist.

Allerdings nimmt nur ein Bruchteil der etwa 40 Millionen sozialversicherungspflichtig Beschäftigten je eine der genannten Sozialleistungen in Anspruch. Die Daten werden aber von allen erhoben und für etwa 2-5 Jahre (abhängig von ihrer sozialrechtlichen Relevanz) gespeichert. Es findet also eine „überschießende Datenspeicherung“ statt, wie es Juristen ausdrücken und gleichzeitig besteht ein Vollzugsdefizit, da der Einzelne seine Daten nicht selbst prüfen kann, obwohl er das Recht dazu hätte (§§ 103 SGB IV, 83 SGB X, 34 BDSG). Denn die ZSS kann sie derzeit noch nicht für ihn entschlüsseln.

Der Hauptkritikpunkt an Elena ist aber die maßlose und intransparente Vorratsdatenspeicherung besonders sensibler Sozialdaten von in etwa der halben Bevölkerung.  Das ist auch der Kerngegenstand der aktuell anlaufenden Verfassungsbeschwerde. Teilnehmen können alle von Elena Betroffenen, also sozialversicherungspflichtig Beschäftigte deren Daten „elenalisiert“ wurden.

Wie aber kam es, das so ein Ding wie Elena im April letzten Jahres ordnungsgemäß im Bundestag beschlossen werden konnte, ohne dass die Zivilgesellschaft davon  Notiz nahm und dagegen mobilisierte? Nun – seit Jahren werden Bürgerrechte nicht einzeln zurückgeschnitten sondern mit dem Kampfpanzer geplättet. Im letzten Jahr dominierten daher politische Sauereien wie die Vorratsdatenspeicherung, die Pläne zur Internetzensur, der Vorlauf zu SWIFT und ACTA sowie die Einschränkungen der Versammlungsfreiheit und des Demonstrationsrechts das politische Geschehen. Hinzu kamen Bildungsstreiks, Sozialdemos und Aktionen gegen die Wirtschaftskrise. Da ist Elena wohl schlicht „unterm Radar durchgeflogen“. Obwohl Herr Dr. Petri darauf hinwies, dass Datenschützer bereits seit Jahren auf die Gefahren solcher Massendatensammelverfahren hinweisen. Allerdings oftmals nur in der Fachpresse und vor Fachpublikum.

Evi Kraft-Smuda warf einen Blick zurück ins Jahr 2002, als die Schröder-Regierung im Rahmen der Hartz-Reformen u.a. die JobCard-Initiative plante. Ein Vorhaben, das bereits in etwa Elena entsprach, dann aber wegen politischer Prioritätenänderung zurückgestellt und in Fachausschüssen weiter bearbeitet wurde. Die Merkel-Regierung fand also ein mehr oder weniger fertiges Gesetz vor, das nur noch etwas nachbearbeitet werden musste. Aus Sicht von Betriebsräten, Vertrauensleuten und Gewerkschaften geht es bei Elena aber um nichts weniger als die elektronische Vollerfassung der arbeitenden Bevölkerung. Zu noch unklaren aber bestimmt nicht dem sozialen Allgemeinwohl dienenden Zwecken der politischen Eliten. Denn mit Elena entsteht eine zentrale Informations- und Kontrollstruktur, die sich rasch verselbstständigen kann. Zumal der Staat die Möglichkeit besitzt, die Zweckbindung der erhobenen Daten jederzeit einseitig durch Parlamentsbeschluss zu ändern oder ganz aufzuheben.

Doch was kann der Einzelne dagegen tun, dass seine Daten „elenalisiert“ werden? Erst mal recht wenig – das Gesetz ist ordnungsgemäß zustande gekommen und damit erst mal rechtsgültig und umzusetzen. Wer zu spät kommt, den bestraft das Leben …

Aber auf betrieblicher Ebene kann gehandelt werden. Betriebsräte können Elena zum Thema auf Betriebsversammlungen machen. Viele Elena-Daten sind zudem nicht verpflichtend sondern fakultativ. Ihre Lieferung ist entweder freiwillig (z.B. ausfüllbare Freitextfelder für Kommentare) oder an Bedingungen geknüpft, die in manchen Unternehmen zutreffen, in anderen nicht. Über diesen Anteil der Daten können Betriebsräte ein Mitbestimmungsrecht zur Ausgestaltung des Gesetzes auf betrieblicher Ebene geltend machen und Betriebsvereinbarungen abschließen, welche den Umfang der abzuliefernden Daten auf das Notwendigste begrenzen.

Ein Vorschlag, den ein anwesender Personalrat der Landeshauptstadt München, der derzeit selbst Gespräche zum Thema Elena mit dem Arbeitgeber führt, bekräftigte. Zumal vor kurzem die Münchner Stadtratsfraktion der Grünen einen Antrag stellte, den Vollzug des Elena-Verfahrens innerhalb der Stadtverwaltung auszusetzen, bis unter Beteiligung der Datenschutzbeauftragten eine verfassungskonforme und mit den Grundsätzen des Datenschutzes vereinbare Regelung geschaffen wird.

Zumal Organisationen wie die Arbeitsgemeinschaft für wirtschaftliche Verwaltung e.V., ein vom Bundesministerium für Wirtschaft finanzierter arbeitgebernaher Thinktank zum Thema Verwaltungsreform, bereits Arbeitgeberhandbücher herausgeben, die eine recht großzügige und umfängliche Ablieferung von Beschäftigtendaten durch die Unternehmen propagieren.

Natürlich kann man auch an der Elena-Verfassungsbeschwerde teilnehmen. Allerdings ist am 1.4. aus rechtlichen Gründen (Fristablauf) Schluss mit der Eintragung von Teilnehmern.

Und man kann selbstverständlich datenschutzrechtliche Auskunftsanfragen an den eigenen Arbeitgeber stellen, was der so an Elena abliefert. Dies ist zudem aktuell die einzige Möglichkeit zeitnah kontrollieren zu können, ob die abgelieferten Daten der Wahrheit entsprechen.

Dazu hat der DGB München Mustervorlagen als PDF zum Download bereitgestellt:
•    Vorschlag einer Betriebsvereinbarung
•    Musterschreiben für eine individuelle Geltendmachung eines monatlichen Ausdruckes der übermittelten Daten
•    Resolution von der ELENA-Veranstaltung

Aufstehen gegen Elena – Jetzt!

Rechtanwalt Meinhard Starostik hatte am 02. März dieses Jahres Gelegenheit Rechtsgeschichte zu schreiben. Den an diesem Tag verwarf das Bundesverfassungsgericht als Folge von etwa 34.000 größtenteils von Starostik eingereichten Verfassungsbeschwerden das Gesetz zur Vorratsdatenspeicherung und ordnete die umgehende Löschung der auf dessen Basis gesammelten Datenbestände an. Nun erhält Starostik die nächste Gelegenheit, im Namen der informationellen Selbstbestimmung einen juristischen Schlag gegen die Datengier der Regierung zu führen.

Denn inzwischen hat sich eine Koalition aus Gewerkschaften, der Piratenpartei Deutschland und bürgerrechtsorientierten NGOs formiert, die die „zweite Vorratsdatenspeicherung“, das Elena-Gesetz auf demselben Weg zu Fall bringen will. Initiiert wurde das Vorhaben durch den Arbeitskreis Vorratsdatenspeicherung. Der FoeBud e.V. hat inzwischen die Führung unternommen und sammelt noch bis zum 01.04. Teilnehmer für eine erneute Massen-Verfassungsbeschwerde, die von Starostik zusammen mit seinem Kölner Kollegen Dominik Boecker pro Bono durchgeführt wird.

Link zum Formular: https://petition.foebud.org/ELENA

Elena verpflichtet seit dem 1. Januar 2010 alle Arbeitgeber deutschlandweit dazu, ein umfangreiches Paket einkommensrelevanter Daten aller bei ihnen beschäftigten Arbeitnehmer monatlich an die sogenannte Zentrale Speicherstelle in Würzburg zu übermitteln. Die maßlose Umsetzung dieses Verfahrens wird von Datenschützern stark kritisiert. Die Speicherung widerspricht dem Grundsatz der Datensparsamkeit des Bundesdatenschutzgesetzes, denn die Daten werden ohne Einzelfallprüfung anlasslos auf Vorrat gespeichert und mehrere Jahre vorgehalten. Es bestehen erhebliche Risiken hinsichtlich der Datensicherheit, insbesondere durch die intransparente Einbindung eines privatwirtschaftlichen Unternehmens für die gesamte Verschlüsselung. Die angekündigten Bürokratieeinsparungen sind zudem zweifelhaft. Der vorgesehene Zwang zur Nutzung der elektronischen Signatur sowie zur Kostenübernahme der Anmeldekosten durch die Bürger ist nicht nur aus sozialen Gesichtspunkten fragwürdig.

Eine Einschätzung, die ich mit der Piratenpartei Deutschland teile, die dies in einer Pressemeldung dokumentierte.

Die Elena-Datensammlung stellt einen massiven Eingriff in das Persönlichkeitsrecht und ein Verstoß gegen die informationelle Selbstbestimmung dar. Arbeitgeber sind damit verpflichtet, einen riesigen Datensatz über seine Beschäftigten zu liefern: Fehlzeiten, Anzahl der Kinder, Kündigungsgrund, Abmahnungen und vertragswidriges Verhalten sowie etliches mehr (die offizielle Elena-Datensatzbeschreibung umfasst mehrere Dutzend Seiten). Zusätzlich darf der Arbeitgeber in Freitextfeldern seine Einschätzung über die Beschäftigten eintragen – ohne deren Wissen und ohne eine Kontrollmöglichkeit, denn frühestens ab 2012 können bei der Zentralen Speicherstelle Auskünfte eingeholt werden. Führen solche Eintragungen im späteren Verlauf zu rechtlichen Problemen, kann es u.U. Jahre dauern, sie auf dem Widerspruchs-und Klageweg zu korrigieren.

Hinzu kommt das eigentliche Risiko solcher Datensammlungen: Alle zentral gespeicherten Daten laden zum Missbrauch ein. Dass solche Daten missbraucht werden, zeigt zum Beispiel die illegale Überwachung der Aufsichtsräte der Arbeitnehmervertreter bei der Telekom. Alle Daten, die zentralisiert in IT-Systemen erfasst werden, werden – je nach finanzieller und sozialer Wertigkeit – ihren Weg in die Öffentlichkeit bzw. in unbefugte Hände finden. Und, zentrale Datenbanken wecken Begehrlichkeiten: Gesetze und Zweckbestimmungen können geändert, Datensätze und Zugriffsberechtigungen erweitert werden.

Bei der ELENA-Datenbank handelt es sich um klassische Vorratsdatenspeicherung. Mehr als 90 Prozent der Daten werden nie gesetzeskonform gebraucht werden; die Speicherung erfolgt auf den vagen Verdacht hin, dass die Arbeitnehmerinnen und Arbeitnehmer auf der Basis dieser Daten einmal eine Sozialleistung beantragen könnten (Quelle: Gewerkschaft Verdi).

Wichtig: Verfassungsbeschwerden gegen ein Gesetz müssen binnen Jahresfrist nach Inkrafttreten des Gesetzes erfolgen. Und das Elena-Gesetz trat am 01.04.2009 in Kraft, auch wenn die Datensammlung erst zu Beginn 2010 anlief. Es gilt also schnell zu handeln, um den FoeBud, den Arbeitskreis Vorratsdatenspeicherung, Verdi und all die anderen Beteiligten zu unterstützen.-

Aufstehen gegen Elena – Jetzt!

Bundesverfassungsgericht stoppt Vorratsdatenspeicherung

Etwa 36.000 Klagen (darunter auch eine von mir) brachten heute das umstrittene Gesetz zur Vorratsdatenspeicherung – eine Altlast aus Schäubles Zeiten – vor dem Bundesverfassungsgericht zu Fall. Die Richter kassierten das Gesetz und ordneten an, die damit erhobenen Daten unverzüglich zu löschen. Allerdungs enthielt ihr Urteil keine generelle Absage an die Idee der staatlichen Vorratsdatenspeicherung sondern verwarf lediglich deren Umsetzung in Form des Gesetzes als null und nichtig.

Der Gesetzgeber sei seiner Verantwortung für die Begrenzung und Verwendungszwecke der Speicherung nicht gerecht geworden, so Gerichtspräsident Hans-Jürgen Papier in der Begründung des Urteils. Über die europarechtliche Zielsetzung der Datenspeicherung sei man mit dem deutschen Gesetz (zu) weit hinausgegangen. In der Urteilsbegründung heißt es weiter, die anlasslose Speicherung von Telekommunikationsverkehrsdaten sei geeignet, ein diffus bedrohliches Gefühl des Beobachtetseins hervorzurufen, das eine unbefangene Wahrnehmung der Grundrechte in vielen Bereichen beeinträchtigen kann.

Eine Ansicht die zahlreiche Bürgerrechtler teilen dürften.

Das Karlsruher Urteil war lange erwartet worden. Hatten doch die BVerG-Richter bereits 2008 in einer einstweiligen Anordnung das Abrufen der Daten durch staatliche Stellen erschwert. Bis zur Entscheidung in der Hauptsache durften die Behörden nur noch bei schweren Straftaten wie Mord und Totschlag, aber auch Kinderpornografie, Urkundenfälschung oder Bestechung auf die Vorratsdaten zurückgreifen.

Das Bundesverfassungsgericht formulierte auch Anforderungen, die an ein überarbeitetes Gesetz zur Vorratsdatenspeicherung zu stellen seien. Dazu zählen anspruchsvolle und normenklare Regelungen was Datenschutz, Datensicherheit, Transparenz und Zugriffsrechte angeht sowie eine anspruchsvolle Verschlüsselung und getrennte Speicherung der so erhobenen Verkehrsdaten. Es müsse zudem eine transparente Kontrolle darüber geben, was mit den Daten geschehe, wobei auch der Bundesdatenschutzbeauftragte einbezogen werden müsse.

Mit gemischten Gefühlen sehen die Provider die ganze Sache. Mussten sie doch gesetzlich gezwungen in teure Speicher- und Überwachungshardware investieren. Gut möglich, das ein neues Gesetz auch neue Investitionszwänge enthält. Seltsam nur, dass der Staat sich zwar die Vorratsdatenspeicherung von den Providern (und deren Kunden) bezahlen lässt, es aber bis heute nicht hinbekommen hat, sie über eine neue Universaldiensteverordnung zu einem Breitbandausbau in der Fläche zu zwingen.

An sich geht die Idee der Vorratsdatenspeicherung auf die EU-Richtlinie 2006/24/EG zurück. Um das Problem endgültig vom Tisch zu bekommen wäre es demnach auch erforderlich, auch diese EU-Richtlinie zu Fall zu bringen.

„Das Urteil ist eine schallende Ohrfeige für die bürgerrechtsfeindliche Gesetzgebung der letzten Jahre“, so Jens Seipenbusch, Vorstandsvorsitzender der Piratenpartei. „Unser Etappenziel ist gemeinsam mit unseren Verbündeten erreicht. Jetzt gilt es, den Schwung auf europäischer Ebene zu nutzen, um die zugrundeliegende EU-Richtlinie für unrechtmäßig zu erklären, damit die Vorratsdatenspeicherung nicht über diesen Umweg eingeführt werden kann.“

Netzpolitik.org beschreibt die veränderte politische Lage so:

Der Kampf gegen die Vorratsdatenspeicherung geht also weiter in die Verlängerung. Wir müssen Druck auf die Bundesregierung und vor allem auf die FDP aufbauen, dass diese unsere digitalen Bürgerrechte Ernst nehmen. Im Vergleich zum Beschluss der Vorratsdatenspeicherung durch die Große Koalition ist das gesellschaftliche Klima ein wenig anders. Die Medienberichterstattung ist größer und kritischer geworden. Und mehr Bürger sind sensibilisiert. Das Klima müssen wir nutzen, um auch zukünftig die Vorratsdatenspeicherung national und auf europäischer Ebene zu bekämpfen und endgültig zu kippen.

Heute ist ein guter Tag für die Datenschutz- und Bürgerrechtsbewegungen Europas.

Gleichwohl bleibt noch viel zu tun, um alleine die zahlreichen Altlasten vergangener Regierungen zu entsorgen. Auch dem Bundesverfassungsgericht wird die Arbeit so schnell nicht ausgehen. Produzieren doch die Abgeordneten im Bundestag mehr grundgesetzwidrige Ideen als alle vom Verfassungsschutz wegen potentieller Gefährdung der freiheitlich-demokratischen Grundordnung beobachteten Organisationen zusammengenommen.

Der Widerstand gegen Elena formiert sich

Obwohl es bereits im April letzten Jahres von der damaligen großen Koalition verabschiedet wurde, blieb das „Elena-Verfahrensgesetz“ in bürgerrechts- und datenschutzsensiblen Kreisen zunächst lange unbemerkt. Die anstehende Bundestagswahl sowie Themen wie Internetzensur oder Vorratsdatenspeicherung absorbierten einen Großteil der politischen Kapazitäten der informationstechnischen Zivilgesellschaft.

Doch als zu Jahresbeginn mit Elena alle Firmen, die Arbeitnehmer im weitesten Sinne beschäftigten, damit begannen, Sozialdaten bis hin zu Abmahnungen, Fehlzeiten und Streikteilnahmen an eine zentrale speichernde Stelle weiterzugeben, wurde doch so manchem mulmig.  Gewerkschaften erkannten, dass sich die hier wieder hemmungslos zutage tretende Datengier des Staates direkt gegen sie wenden könnte und kündigten Verfassungsklagen an. Zivilgesellschaftliche Organisationen diskutieren in ihre Mailinglisten über mögliche Formen des Protestes und des zivilen Ungehorsams. Und Informationsveranstaltungen zum Thema Elena finden (für ein zunächst trocken wie Lohnabrechnung wirkendes Thema) enorme Nachfrage.

So nahm ich gestern an einer Infoveranstaltung im DGB-Haus München teil, welche nur per Mailverteiler einige Wochen vorher angekündigt worden war (aber dann ihren Weg auf eine Mailingliste der Münchner Piraten gefunden hatte). Etwa 80 Leute und damit mehr als doppelt so viele wie sonst auf solchen Gewerkschaftsvorträgen üblich hatten den Weg gefunden. Peter Ellner, ein Anwalt und Steuerberater mit Tätigkeitsschwerpunkt Lohnabrechnung gab einen kurzen Überblick über das Elena-Thema. Doch rasch wandte sich die Aufmerksamkeit und das Fragen der Zuhörer weg von den Grundlagen und hin zu der Frage „Was tun wir dagegen?“. Sollte doch das Treffen nicht nur informatorischen Charakter haben, sondern zur Gründung einer gewerkschaftlichen Arbeitsgruppe führen, die sich politisch gegen diese zweite Vorratsdatenspeicherung einsetzt. Denn so groß Gewerkschaften von außen erscheinen mögen – in ihrem Inneren funktioniert wenig bis nichts ohne engagierte Ehrenamtliche, die dem Apparat inhaltliche Impulse geben und auf allen Ebenen mitarbeiten.

Der erste Schritt ist demnach die inhaltliche Aufklärung und politische Einordnung des Themas, wozu auch ich in meinem Blog bereits einige Artikel eingestellt habe.

Als Nächstes wird der DGB oder eine Einzelgewerkschaft wohl demnächst eine Verfassungsklage gegen Elena auf den Weg bringen, um so politisch Druck aufzubauen. Datensätze wie die Erfassung von Streikteilnahmen können durchaus geeignet sein, die grundgesetzlich verbürgte Koalitionsfreiheit sowie das Streikrecht zu beeinträchtigen, weshalb die Regieung bereits Nachbesserungen versprach (die aber noch nicht Gesetz und damit nicht rechtswirksam sind).

Gewerkschaften sind auch gute Plattformen zur Erstellung und Verbreitung von Informationen. Die Mitgliederzeitschriften „metall“ (IG Metall) und „publik“ (Verdi) erscheinen in Millionenauflage und erreichen jedes Mitglied. Daneben können Gewerkschaften auch als Plattform zur Organisation von Multiplikatorenschulungen (Betriebsräte, Vertrauensleute, hauptamtliche Gewerkschafter und interessierte Mitglieder) dienen.

Eine interessante Frage am Rande war das Verhalten der Gewerkschaften, die ja als Arbeitgeber für ihre Angestellten auch selbst Elena-Daten abliefern müssen, um korrekte Lohnabrechnungen generieren zu können.

Aber auch Betriebsräte können das ihre beitragen, indem sie Elena zum Thema auf Betriebsversammlungen machen. Es betrifft schließlich alle Arbeitnehmer – vom Lehrling bis zum angestellten Geschäftsführer. Viele mit Elena an die speichernde Stelle zu übertragende Daten sind zudem nicht verpflichtend sondern fakultativ. Ihre Lieferung ist entweder freiwillig (z.B. ausfüllbare Freitextfeder für Kommentare) oder an Bedingungen geknüpft, die in manchen Unternehmen zutreffen, in anderen nicht. Über diesen Anteil der Daten können Betriebsräte ein Mitbestimmungsrecht zur Ausgestaltung des Gesetzes auf betrieblicher Ebene geltend machen. Da solche Dinge oftmals erst arbeitsgerichtlich ausgefochten werden müssen, bis es jeder betroffene Arbeitgeber gelesen und auch verstanden hat, stehen demnächst wohl interessante Urteile an.

Denkbar wären auch regelmäßige datenschutzrechtliche Auskunftsanfragen an die speichernde Stelle, deren personelle Kapazität bei Millionen von auskunftsberechtigten Bürgern rasch an ihre Grenzen käme – falls der Staat da nicht mit einer Ausnahmeregelung zum § 19 BDSG für Elena das Auskunftsrecht der Betroffenen einschränkt oder ganz aushebelt.

Und natürlich gilt es bei gleicher Zielsetzung mit anderen zivilgesellschaftlichen  Organisationen wie dem Chaos Computer Club, dem Arbeitskreis Vorratsdatenspeicherung, dem FoeBud, der humanistischen Union oder der Piratenpartei zusammenzuarbeiten.

Dann kann auch Elena zu Fall gebracht und der Sicherheits- und Datenkrakenstaat in seine Schranken gewiesen werden.

Update vom 28.01.2010:
Die Piratenpartei Deutschland hat unter stopptelena.de eine Aktionsseite ins Netz gestellt, auf der sie Informationen zum Elena-Gesetz, einen Pressespiegel sowie einen Aktionskalender veröffentlicht. Zudem hast sich ein von zahlreichen zivilgesellschaftlichen Organisationen getragenes Aktionsbündnis Wider die Datensammelwut gebildet, das neben Elena auch andere Formen staatlichen Datenhungers wie SWIFT, INDECT, die Vorratsdatenspeicherung oder biometrische Ausweise thematisiert und dazu Gegenaktionen plant.