07.04.09: Interview mit Andrea 'Princess' Wardzichowski. Andrea 'Princess' Wardzichowski bewegt sich seit November 1990 im Internet und hat die Entwicklung des Internets von einem rein akademischen Netzwerk der Vor-WWW-Zeit zu einem Massenmedium verfolgt. Seit einigen Jahren engagiert sie sich beim Chaos Computer Club Stuttgart und tritt dort für "Spaß am Gerät" aber doch auch für Umsicht im Umgang mit Daten und Technologie ein und versieht die Arbeit der Pressesprecherin. Ein weiteres Anliegen ist ihr auch die Frauen- und Mädchenförderung im technischen und naturwissenschaftlichen Bereich. Hauptberuflich ist sie in der Technikabteilung eines nichtkommerziellen Internetproviders beschäftigt.
Die folgenden Antworten stellen eine Meinung innerhalb des CCCS dar.
Frage: Airbus, Bahn AG, Telekom AG, Stadt Stuttgart ... Kontodaten wurden abgeglichen, Emails von Mitarbeitern wurden durchsucht - alles unter der Überschrift "mögliche Korruptionsfälle" aufzudecken. Der Bertriebsrat soll jeweils nicht informiert worden sein. Gegen welches Gesetz wurde verstossen, wurde überhaupt gegen geltende Datenschutzregelungen verstossen?
Andrea: Unter der Prämisse, dass ich keine Juristin bin, kann ich dennoch sagen, dass nach meiner Auffassung gegen das Datenschutzgesetz verstoßen wurde. Ob dies nun im einzelnen das Landes- oder Bundesdatenschutzgesetz ist, bleibt zu prüfen. Ich könnte mir auch vorstellen, dass gegen Betriebsvereinbarungen verstoßen wurde. Es ist grundsätzlich so, dass personenbezogene Daten immer nur streng zweckbezogen erhoben und verarbeitet werden dürfen. Weiterhin gilt immer der Grundsatz der Datensparsamkeit. Und es gilt der sogenannte Erlaubnisvorbehalt: die Speicherung ist verboten, solange nicht explizit erlaubt.
Frage: Kampf gegen Korruption, Kampf gegen den Terrorismus, Kampf gegen Kriminalität werden als Argumente für Datensammeln verwendet - ist das so? Welche Interessen kann man identifizieren.
Andrea: Besonders nach dem 11. September wurden viele Maßnahmen durchgeführt, die vorgeblich dazu dienen sollten, Terroristen früher zu erkennen und festzunehmen, aktuell die gerade bekanntgewordene "Rasterfahndung der Telekom" für das BKA. Die meisten Maßnahmen aber kommen mir nicht wirklich zielführend vor. So wurde zum Beispiel der Pass mit einem RFID-Chip ausgestattet, der nun persönliche Daten und das biometrische Bild enthält. Es konnte mir aber noch keiner genau erklären, wie ein solcher Pass dabei helfen soll, Terroristen zu identifizieren. Hätte es diese Pässe schon vor dem 11. September gegeben, so hätten diese bei der Identifizierung der Täter nichts genutzt, denn diese waren keine deutschen Staatsbürger. Auch sind sie nicht aufgefallen, waren ordnungsgemäß gemeldet und haben sogar GEZ gezahlt, d.h. sie wären auch bei einer Rasterfahndung nicht ins Visier geraten. Bei den Pässen mit RFID-Chip wird auch gerne angeführt, dass sie die Pässe fälschungssicherer machen. Dabei wird gerne übersehen, dass wir auch vorher schon Pässe hatten, die ziemlich fälschungssicher waren! Echte Fälschungsfälle gibt es nämlich wenige, laut Aussagen der Behörden gab es "zwei handvoll gefälschter Reisepässe". Eine weitere Maßnahme ist die Vorratsdatenspeicherung. Verdachtsunabhängig werden die Kommunikationsdaten aller Bürger für 6 Monate gespeichert. Bei schweren Verbrechen aber wird in der Regel sofort ermittelt, also in den darauffolgenden Tagen. Es würde also reichen, die Daten 2-4 Wochen zu speichern und eine Strafverfolgung wäre immer noch problemlos möglich. Die ermittelnden Behörden würden die Provider auffordern, bestimmte Datensätze aufzubewahren, wenn sie sie nicht sofort anfordern/verarbeiten können. Wir sprechen hier vom "Quick Freeze"-Verfahren. Es wäre nicht nötig, die Daten aller Bürger zu speichern, dies kommt einer Umkehr der Unschuldsvermutung schon recht nahe!
Frage: Wer sammelt eigentlich am eifrigsten Daten?
Andrea: Das kann man so pauschal unmöglich beantworten. Es sammeln aber viele Geschäftspartner mehr Daten, als sie eigentlich für die Erbringung eines Dienstes brauchen. Beispiel: für das Bahn-Bonus-Programm würde es reichen, den Umsatz in Euro (das sind die "Punkte") zu speichern. Tatsächlich wird aber auch gespeichert, wann man von wo nach wo zu fahren gedachte. Zugute halten muß man der Bahn, dass man der Speicherung der zusätzlichen Daten widersprechen kann, aber dies muß man eben aktiv tun. Beispiel 2: Lidl fragt von kranken Mitarbeitern die Krankheit ab.
Frage: Das Telemediengesetz (TMG) ist gerade mal zwei Jahre alt. Nun fordern einige Organisation, darunter der CCC Nachbesserungen - was sind die Hauptkritikpunkte?
Andrea: Hauptproblem ist meiner Meinung nach immer noch die sog. "Störerhaftung". Angenommen, ich erstelle eine wie auch immer geartete Webseite oder ein "Web 2.0 Angebot" wie ein Blog oder Wiki oder ein Forum. Mit dem, was ich selber dort schreibe, werde ich in der Regel "im Reinen" sein und dies vor mir und dem Gesetzgeber vertreten können. Problematisch wird es aber immer noch mit Links auf externe Seiten. Hier ist die Frage inwieweit man sich durch die Verlinkung externer Inhalte diese zu eigen macht. Es bleibt auch die Frage, wie oft ich denn nachsehen muß, ob auf der externen Seite noch der Inhalt steht, auf den ich mich beziehe. Andere Anbieter dürfen ihre Inhalte natürlich verändern, so oft sie wollen. Ein anderes Problem sind Kommentare/Beiträge von Dritten auf meiner Seite/in meinem Forum. Auch diese können strafrechtlich relevantes enthalten und der Betreiber muß bei Kenntnis diese Beiträge entfernen oder geeignete Maßnahmen treffen, dass diese nicht wieder vorkommen können. Genau das ist aber ziemlich unmöglich. Selbst wenn ich regelmäßig alle Beiträge sichte, bin ich als nicht-Jurist nur selten in der Lage zu erkennen, was gesetzestechnisch relevant sein könnte. Weiterhin kann ich meist unliebsame User auch nicht aussperren, denn oft man kann sich einfach einen neuen Account aufmachen und dann weitermachen, ohne dass der Betreiber erkennen könnte, dass es sich wiederum um den Unruhestifter handelt. Dennoch kann hier der Betreiber einer Webseite mit in die Haftung genommen werden, auch wenn er die ensprechenden Beiträge nicht wirklich verhindern kann.
Frage: Zum Zusammenhang Telemediengesetz und Vorratsdatenspeicherung. Ist es nicht so, dass die Vorratsdatenspeicherung keine Auswirkungen auf Telemedien (also Betreiber von Internet-Seiten und -Diensten) hat? Betreiber von Internetdiensten dürfen also jetzt und auch zukünftig keine personenbezogenen Daten auf Vorrat speichern (§ 15 Telemediengesetz). Die Regelung zur Vorratsdatenspeicherung (§ 113a TKG) fordert nur die Protokollierung von Einwahlen in das Internet, von E-Mails, von Internet-Telefonie und von Anonymisierungsdiensten. Alle sonstigen Internetdienste (zum Beispiel Webseiten, Foren, Chat-Räume) sind weiterhin zur Protokollierung weder verpflichtet noch berechtigt. Entspricht das der Praxis?
Andrea: Genau das zeigt das Spannungsfeld, in dem wir uns befinden. Auf der einen Seite darf man nach Datenschutzgesetz derzeit in der Tat keine Logs von Webseiten speichern oder muß zumindest die IP-Adresse anonymisieren, da die Gerichte sich derzeit noch nicht einig sind, ob IP-Adressen personenbezogene Daten sind oder nicht. Auch in der Vorratsdatenspeicherung ist die Speicherung von Webzugriffen nicht vorgesehen. Auf der anderen Seite soll ein Betreiber Mißbräuchen nachgehen und soll evtl. auch Zugänge sperren. Ohne Logs ist dies ziemlich schwierig. In der Praxis wird oft 10-14 Tage zu Debuggingzwecken gespeichert (ohne Debugging ist der Betrieb eines ISP schlichtweg unmöglich). Viele Anbieter stellen ihren Kunden aber auch komplette Webstatistiken zur Verfügung. Derartige Vertragsbestandteile kann man auch nicht von einem auf den anderen Tag abschaffen. Wenn man auf der "sicheren Seite" sein will, sollte bei den Logs/Statistiken die letzte Stelle der IP-Adresse einfach gestrichen werden, die Statistiken sind dann meiner Meinung nach immer noch aussagekräftig.
Frage: Die Richtlinie über die Vorratsdatenspeicherung ist eine Richtlinie der Europäischen Union. Wie unterschiedlich ist die Handhabung in den EU-Mitgliedsländern?
Andrea: Darüber liegen uns nur wenige Informationen vor. Wir haben aber auch in der Presse verfolgt, dass zum Beispiel Polen eine Ausnahmeregelung für eine Speicherdauer von 15 Jahren (!) erwirken wollte. Solche Ansinnen stimmen uns sehr nachdenklich. Was für eine Auffassung von seinen Bürgern hat ein solcher Staat?
Frage: Über das Schnüffeln hinaus, gibt es ganz konkrete Forderung nach Sperrungen auf der Grundlage von Filterlisten. Wo liegen die Gefahren solcher Listen und Sperrungen?
Andrea: So, wie die Sperrung derzeit erfolgen soll, nämlich über DNS-Einträge, wird nicht nur die bewusste Seite gesperrt, sondern auch anderer, sehr wahrscheinlich harmloser Inhalt. Beispiel: unter http://www.meinedomain.de/ liegt meine Webseite. Nun verschafft sich jemand Zugang zu meiner Plattform und legt unter http://www.meinedomain.de/.x/.z/.bla/foo/irgendwas/ strafrechtlich relevanten Inhalt ab. Die Sperrliste würde aber für die Namensauflösung von www.meinedomain.de gelten und auch meinen "guten" Inhalt betreffen. Ein anderer Kritikpunkt ist uns aber viel wichtiger: indem man den Zugriff auf Seiten sperrt, sind diese noch immer nicht vom Netz. Wenn tatsächlich die meisten Sites, die gesperrt werden sollen, in der EU und in den USA liegen, also in "befreundeten" Nationen, dann sollte es doch ein leichtes sein, über Amtshilfeersuchen diese Seiten einfach stillegen zu lassen. Wir vermissen diesen Aspekt. Weiterhin wurde in den letzten Jahren auch immer als Fahndungserfolg angegeben, wenn Kinderporno-Konsumenten gefasst wurden. Selbstverständlich begrüßen wir auch dies, aber uns fehlt eigentlich die Strafverfolgung der eigentlichen Täter. Unsere Besorgnis ist, dass anhand des ernsten Beispiels Kinderpornographie (wo ja jeder versteht, dass eingegriffen werden muß auf die eine oder andere Weise) in Wirklichkeit aber eine Zensurinfrastruktur aufgebaut werden soll, wo nach und nach auch andere unliebsame Inhalte Platz finden könnten. Dies ist mit freier Presse und Demokratie eigentlich nicht zu vereinbaren.
Frage: Neben den politischen Forderungen zum Schutze der Privatsphäre im Netz. Kannst du ein paar Verhaltenstipps für den User "Anybody" geben, was man unbedingt beachten, vermeiden sollte?
Andrea: Der Einzelne kann sehr viel tun! Dies betrifft nicht nur das Netz, sondern viele (Geschäfts-)Kontakte im richtigen Leben. Sehr vorsichtig sollte man mit seiner Wohnadresse, Telefonnummern, Geburtsdatum und natürlich Kontodaten sein. Auch die Urlaubs- und Familienfotos müssen nicht für die ganze Welt sichtbar sein, sondern mit Passwort versehen nur für Familie und Freunde. Hierbei muß man sich natürlich immer noch darauf verlassen, dass die Plattform, auf der man die Daten ablegt, auch sicher ist und nicht doch Hintertüren für den Zugriff auf private Fotos existieren. Misstrauisch sollte man werden, wenn man "kostenlos" etwas herunterlädt und dennoch nach Name, Adresse und Kontodaten gefragt wird. Hier einfach nichts ausfüllen oder falsche Angaben machen. URL überprüfen und nachsehen, ob man das gesuchte nicht auch an anderer Stelle ohne Angabe von Kontaktdaten erhält. Auch bei Formularen auf Papier gilt ganz oft: Geburtsdatum und Telefonnummer sind optional! Auch werden häufig Fotos verlangt (Kreditkarte, Bahncard, geplante Krankenkassenkarte), obwohl es sich nicht um ein Ausweisdokument handelt. Jugendliche sind selbstverständlich besonders kommunikativ (und das ist auch gut so!), sollten aber wirklich sehr genau überlegen, ob sie Unbekannten ihre Telefonnummer oder gar Adresse verraten. Im Zweifelsfall sollte man für "neue Bekanntschaften" eine separate Mailadresse bereithalten, die nicht den vollen Namen enthält. Überhaupt ist der echte Name im Netz eigentlich nur für Geschäftsvorfälle wichtig. Chatten kann man sehr gut auch unter Pseudonym/Nickname. Generell gilt auch für Blogs und Foren: man sollte sich sehr genau überlegen, wieviele private Dinge man dort ablegt und wieviele Namens- und Ortsangaben wirklich nötig sind. Man muß wirklich bedenken, dass die Daten das Internet nie wieder verlassen werden, auch wenn man selber schon 100mal seine Meinung geändert hat oder Dinge inzwischen völlig anders sieht.
Interview: esef
