Newer posts are loading.
You are at the newest post.
Click here to check if anything new just came in.

August 30 2013

Cloud-Links: Blick in die Dropbox, Speicherdienste in Firmen, Big Data

Mehrere Sicherheitslücken bei Dropbox und Co. offenbart, „Big Data” stößt in Deutschland auf Skepsis, Musikdienst Grooveshark mit Lizenz: Cloud-Links der Woche.

Sicherheitsexperten blicken in Dropbox

Den Sicherheitsforschern Dhiru Kholia und Przemysław Węgrzyn ist es gelungen, den bislang nicht öffentlich bekannten Code der Software von Dropbox zu entschlüsseln. Damit soll es möglich sein, das Programm zu übernehmen und Accounts des weit verbreiteten Cloud-Speicherdiensts zu kapern. Die Forscher wenden sich gegen das Konzept der „security through obscurity“, auf das sich Nutzer nicht verlassen könnten. Zeit Online fasst die Hintergründe zusammen, der Vortrag der Forscher auf der „Woot”-Konferenz steht als Video online. Auf Anfrage von golem.de teilte das Unternehmen mit, „relevante Sicherheitslücken” seien nicht offenbart worden, man bedanke sich jedoch für den Beitrag der Forscher.

Dropbox, Skydrive & Co. können Schadsoftware einschleusen

Über ein weiteres Sicherheitsproblem, das die Verwendung von Dropbox, aber auch weiterer Cloud-Speicherdienste wie Google Drive, Microsoft Skydrive, Sugarsync und Amazon Clouddrive betrifft, berichtet die Technology Review. Über die Sychronisierungsfunktion könnten Firewalls in Firmen umgangen und damit Schadsoftware in Firmennetzwerke eingeführt werden, führte der Digitalforensiker Jacob Williams auf der Blackhat-Konferenz aus (PDF). Dropbox hat zu dazu noch keine Stellung genommen.

Big Data stößt auf Skepsis, Datenschützer beraten

Nach einer von der Telekom-Tochter T-Systems in Auftrag gegebenen repräsentativen Befragung (PDF) sieht die Mehrheit der Bürger in Deutschland „Big Data”-Analysen kritisch. Auf die Frage „Finden Sie es in Ordnung, wenn Unternehmen in größerem Umfang Daten über ihre Kunden sammeln und auswerten, oder finden Sie das nicht in Ordnung?” antworteten 71 Prozent, sie fänden es nicht in Ordnung, 11 Prozent sehen kein Problem. Der NSA-Überwachungsskandal habe diese Haltung verstärkt, so die Studie. Datenschützer haben sich dem Thema „Big Data“ diese Woche auf einer Tagung des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein gewidmet. Dabei habe „Ratlosigkeit auf hohem Niveau” geherrrscht, meint Detlef Borchers bei Heise Online.

Musikdienst Grooveshark jetzt mit Sony-Lizenz

Der Online-Musikdienst Grooveshark hat mit Sony/ATV, einem der drei großen Majorlabels, einen Lizenzvertrag geschlossen, wie das Unternehmen aus Florida am Dienstag mitgeteilt hat. Der Dienst, über den Nutzer ihre Musik ins Netz laden und von dort wieder streamen können, ist bis jetzt mehrfach in Urheberrechtsstreitigkeiten mit der Musikindustrie verwickelt gewesen. Vor einem US-Berufungsgericht verlor der Dienst im April einen Streit mit Universal Music. In Deutschland wird der Dienst seit 2012 nicht mehr angeboten.

August 23 2013

Cloud-Links: Hellsichtige Paranoiker, Whistle.im, Ausfälle bei iCloud und Skydrive

Der Paranoiker als Hellseher, Whistle.im erscheint nach schweren Sicherheitslücken in neuer Version, die Zukunft der Cloud-Industrie und Ausfälle bei Apple und Microsoft. Cloud-Links der Woche:

„Paranoiker von gestern waren aus heutiger Sicht sehr hellsichtig”

Politik-Digital.de hat sich mit Gunnar Schwan von der Stiftung Warentest über Cloud-Speicherdienste und die Folgen der NSA- und Überwachungs-Enthüllungen für Nutzer unterhalten. Internetnutzer könnten sich nicht mehr sicher sein, was mit ihren Daten passiert und wer sie wann wie auswertet. Schwan meint zum Ansatz, möglichst viele Daten zu sammeln und später nach Mustern zu suchen: „Das ist vergleichbar mit einem längeren Blick in die Wolken. Irgendwann sieht man Figuren, die eigentlich gar nicht da sind.” Vor kurzem veröffentlichte die Stiftung Warentest eine Untersuchung zu Cloud-Speicherdiensten.

Whistle.im mit neuer Version nach kritischen Sicherheitslücken

Der Messaging-Dienst whistle.im verspricht verschlüsselte Kommunikation für Kurznachrichten, musste sich nach einer Analyse eines Mitglieds des Chaos Computer Clubs Hannover aber schwerwiegende Sicherheitslücken und Designfehler vorwerfen lassen, die die gesamte Verschlüsselung untergraben könnten. Mittlerweile haben die Entwickler eine neue Version veröffentlicht, die das behoben haben will. Dass der bislang kaum bekannte Dienst überhaupt in die Schlagzeilen gerät, hängt mit dem gesteigerten Interesse an sicherer Kommunikation zusammen. CCC-Mitglied „nexus” schreibt, viele Projekte spielten mittlerweile zu Marketingzwecken „mit dem gesteigerten Problembewusstsein der Bevölkerung, ohne dass sie einen wirklichen Schutz liefern.” Auch der unverschlüsselte Messaging-Marktführer Whatsapp gerät immer wieder in die Kritik.

„Die Zukunft der Cloud steht auf dem Spiel”

Venturebeat-Chefredakteur Dylan Tweney beschäftigt sich in einem Beitrag mit den hier und hier bereits erwähnten Prognosen zu den Auswirkungen der NSA-Enthüllungen auf die Cloud-Industrie. Auch wenn einzelne US-Bürger sich weniger um die NSA sorgten, würden zumindest die IT-Abteilungen von Unternehmen und Organisationen verstärkt von Cloud-Diensten abrücken, wenn die Regierung nicht gegensteuere. Tweney meint: „The future of the cloud — and a generation of new businesses — is at stake.” Zeit Online und tagesschau.de haben das Thema mittlerweile ebenfalls aufgegriffen.

Störungen bei iCloud, Microsoft Skydrive und Outlook.com

Sowohl Apples iCloud als auch Microsofts Cloudspeicher Skydrive und Outlook.com hatten zuletzt mit Ausfällen bei Erreichbarkeit und Funktionalität der Dienste zu kämpfen. Ein Fehler beim Zwischenspeichern war bei Microsoft die Ursache, wie das Unternehmen am Samstag bekannt gab. Für Ausfälle beim iCloud-Dienst seit Donnerstag gibt es bislang keine offizielle Mitteilung. Betroffen sein sollen nach Apple-Angaben drei Millionen Nutzer. Mittlerweile sind die Dienste offenbar wieder online.

August 19 2013

Whatsapp: Wie riskant ist der Messagingdienst?

Beim Messagingdienst Whatsapp traten Datenschutzrisiken und Sicherheitsprobleme in der Vergangenheit gleich gehäuft auf. Dennoch legt der Dienst beständig an Nutzern zu. Trotz Nachbesserungen im Detail bleiben viele Fragen zum Dienst jedoch ungeklärt.

Immer wieder ist der populäre Mitteilungsdienst Whatsapp in den Schlagzeilen. Zuletzt führten massive Server-Ausfälle zu Verzögerungen beim Weitertransport von Nachrichten und Bildern. Ernster sind andere Meldungen: Ende Juli wurde bekannt, dass ein Angreifer über eine Sicherheitslücke auf Konten bei Paypal oder Google Wallet zugreifen können soll, weil Whatsapp die Daten nur teilweise verschlüsselt transportiere.

Nur wenige Tage davor sorgte eine Schadsoftware mit dem Namen „Piryanka“ für Ärger. Der Virus bahnt sich, getarnt als Kontaktaufnahme bei Whatsapp, den Weg auf Android-Geräte, wo er sich im Adressbuch einnistet und dort verbreitet. Die Nutzer hatten das vorher per scheinbar harmloser Bestätigung in Whatsapp zugelassen.

Schon im Frühjahr wiesen niederländische und kanadische Datenschützer auf eklatante Sicherheitslücken beim Anmeldeprozess hin: Diese Lücken machen es möglich, dass Dritte eine Whatsapp-Identität stehlen und missbrauchen können. Die Whatsapp-Macher reagierten weder darauf noch stellten sie ein Sicherheitsupdate zur Verfügung. Das befremdete viele Nutzer noch mehr. Einige Nutzer wanderten ab, Entwickler begannen, an Alternativdiensten zu arbeiten.

Whatsapp: Der Dienst im Überblick 

Mit Whatsapp können registrierte Nutzer über das Smartphone Nachrichten untereinander versenden. Dafür müssen sie nur den Nutzernamen oder die Telefonnummer des jeweils anderen Nutzers kennen. Das bedeutet: Man kann auch Unbekannten Whatsapp-Mitteilungen senden, denn ein Nutzer muss den Kontakt nicht bestätigen.

Die Whatsapp-Programme kommunizieren ausschließlich über eigene Server, in die sich das jeweilige Gerät per Mobilfunk- oder WLAN-Verbindung einwählt. Gruppennachrichten und Dateianhänge für Fotos oder Videos sowie Sprachnachrichten sind ebenfalls möglich. Die Gebühren für die Nutzung sind von Gerät und Betriebssystem abhängig. Android-Nutzer zahlen zwischen 67 und 90 Cent jährlich, iPhone-Nutzer 89 Cent für ein Jahr.

Zur großen Verbreitung dürfte beigetragen haben, dass der Dienst auf fast allen gängigen Systemen –  ob Smartphone oder Desktop-Rechner – erhältlich ist und nur wenige Schritte und Angaben beim Registrieren erfordert. Nach Angaben von Whatsapp haben sich weltweit mehr als 300 Millionen Nutzer registriert, in Deutschland sollen es etwa 20 Millionen sein. Einer Studie der Jugendmesse You zufolge sollen 36 Prozent der deutschen Jugendlichen den Dienst benutzen. Demnach hat der Dienst für Jugendliche zudem größere Bedeutung für den Nachrichtenaustausch als Facebook oder SMS.

Wie hält es Whatsapp mit Datenschutz und Datensicherheit?

Als Problem betrachten Kritiker, dass der Dienst regelmäßig alle Adressbuchdaten an die Whatsapp-Server in den USA übermittelt – zumindest, wenn Nutzer das nicht per Voreinstellung blockieren, was aber nur bei einigen Versionen möglich ist. Trotz der Kritik rückte Whatsapp von dieser Praxis bisher nicht ab.

Probleme mit der Datensicherheit sind beim Anmeldeprozess bekannt. Um zu überprüfen, ob sich wirklich der registrierte Nutzer und nicht ein Dritter einwählt, verknüpfte der Dienst in einer früheren Version die Logindaten lediglich mit der Gerätenummer des Telefons, wie im Frühjahr kanadische und niederländische Datenschutzbehörden herausfanden. Diese Nummer wird beispielsweise verwendet, wenn sich ein Gerät in einem WLAN-Netzwerk anmeldet. Der Administrator eines WLAN-Routers kann diese Nummer sehen. Auf diesem Weg sei es ein leichtes, eine Whatsapp-Identität anzunehmen, um beispielsweise Spam- oder Phishing-Mitteilungen zu versenden oder Passwörter einzusammeln. Dieses Problem hatte offenbar kaum Konsequenzen.

Was sagen die Nutzungsbestimmungen?

Zunächst fällt auf, dass die Nutzungsbestimmungen (Terms of Service) ebenso wie die Datenschutz-Erklärung (Privacy Notice) nur auf Englisch vorliegen. Zwar hat das Unternehmen keine Niederlassung in Deutschland und seinen einzigen Sitz in Kalifornien. Das Unternehmen spricht seine Kunden im deutschsprachigen Raum allerdings auf Deutsch an. Liegen AGB aber nur auf Englisch vor, könnten sie unwirksam sein. Das könnte für Whatsapp noch zu einem Problem werden. Ob man sich als Nutzer im Zweifel auf diese Sichtweise berufen kann, ist aber nicht sicher.

Die Bestimmungen erläutern auch, dass der Dienst auf das Adressbuch des Nutzers zugreift. Doch sie versichern, dass auf den Whatsapp-Servern nur die Telefonnummern und Nutzernamen gespeichert würden, nicht aber die tatsächlichen Namen, E-Mail-Adressen oder andere Kontaktinformationen. Um einen Kontakt anzuzeigen, werde dessen Nutzername aus der Kontaktliste auf dem Gerät des Nutzers ausgelesen. Das wäre kein Grund zur Beunruhigung, sondern üblich für derartige Apps.

Desweiteren heißt es in den Bestimmungen, dass der Dienst werbefrei sei. Das Unternehmen Whatsapp selbst nimmt für sich in Anspruch, alle persönlich identifizierbaren Informationen zur „Analyse, Weiterentwicklung und Eigenwerbung“ zu verwenden. Das Recht dafür sollen die Nutzer dem Dienstebetreiber in dem Moment einräumen, in dem sie den Dienst nutzen, um Nachrichten zu versenden. Nutzer unterwerfen sich den Gesetzgebungen des USA-Bundesstaates Kalifornien, heißt es in den Bedingungen weiter. Die Textbotschaften der Nutzer werden nach eigenen Angaben von den Servern des Unternehmens gelöscht, sobald sie zugestellt wurden. Andernfalls würden sie maximal 30 Tage gespeichert, Anhänge etwas länger.

Außerdem fällt auf: Auf Änderungen in den Datenschutzerklärungen werden die Nutzer nicht explizit hingewiesen. Sie müssen also von sich aus etwaige Neuerungen erkunden. Das wirft ein schlechtes Licht auf das Unternehmen. Die letzten Änderungen der Nutzungsbedingungen gab es im Juli 2012. Auch das verwundert: Angesichts der zahlreichen Kritikpunkte, die seitdem öffentlich wurden, könnte man als Nutzer eigentlich Nachbesserungen erwarten.

Whatsapp hat nachgebessert, aber nur teilweise

Gleichwohl tat sich etwas bei Whatsapp: Seit Frühjahr 2013 gab es eine Reihe von Updates, die den Verifizierungs-Prozess sowie Preise und Vertragslaufzeiten änderten. Die Version für Apples iOS verschwand für einige Tage aus dem Appstore und tauchte kommentarlos etwas später wieder auf, kurz nachdem die Lücke über die Gerätenummer bekannt wurde. Das sahen viele als Indiz für dezente Änderungen im Hintergrund.

Seit der Version 2.8.3 wird die Datenübermittlung via WLAN nun verschlüsselt, was das bis dahin mögliche Mitlesen unterbinden soll. Beim Registrieren versendet der Dienst nun eine SMS mit einem Bestätigungscode, den der Nutzer eingeben muss. Ein Angreifer müsste dann Zugriff auf das Mobilgerät des Opfers haben, um dessen Whatsapp-Identität zu entführen. Auch die zuvor stets aktivierte Übermittlung von Meldungen über den Online-Status und dessen Dauer lassen sich bei manchen Versionen nun von Hand einstellen oder blockieren.

Der Wurm „Piryanka“ und der mögliche Zugriff auf Paypal-Konten sind allerdings erst kürzlich aufgedeckt worden, stellen also auch bei den neuen Versionen eine Gefahr dar. Der Zugriff auf das Telefonbuch des Nutzers ist nach wie vor fest eingebaut und lässt sich zumindest bei Android-Geräten nicht unterbinden. Immerhin können das die Nutzer der iOS-Version über eine systemseitige Einstellung beeinflussen. Für Nutzer, die Wert auf Schutz ihrer persönlichen Daten legen, scheint der Dienst weiterhin nicht vertrauenswürdig genug, auch wenn sich manches mittlerweile durch individuelle Einstellungen regeln lässt.

Bewegung bei Messaging-Diensten

Wer Whatsapp benutzt, dem sollte klar sein, dass dieser Dienst einen vergleichsweise freizügigen Umgang mit den Daten seiner Nutzer pflegt. Das wird etwa an der Freigabe des Adressbuchs deutlich. Wem das nicht behagt, wird sich wohl nach Alternativen umsehen. Bei Messaging-Diensten bewegt sich in letzter Zeit ohnehin einiges. Dienste wie etwa Threema versprechen verschlüsselte Kommunikation auch für Kurznachrichten, viele weitere Projekte sind in Entwicklung: Der Dienst Hemlis des Flattr-Gründers Peter Sunde etwa oder auch whistle.im versprechen ebenfalls, es mit Datenschutz und Datensicherheit ernster zu nehmen. Abzuwarten bleibt aber, ob das auch eingelöst wird.

August 16 2013

Cloud-Links: Die Kosten von Prism, Gmail und die Privatsphäre, Vergütung bei Spotify

Die Folgen der Überwachung in Wirtschaft und Politik, die Privatsphäre bei Gmail, Spotify und die Musiker: Gesammelte Links der Woche.

Forrester zu den Prism-Folgen für Cloud-Anbieter

Nachdem vergangene Woche eine ITIF-Studie schwere Umsatzverluste für US-Cloudanbieter als Folge der NSA-Enthüllungen prognostizierte, hält der Forrester-Analyst James Staten die Schätzung noch für zu gering. Er prognostiziert Umsatzverluste von 180 Milliarden Dollar für Unternehmen bis 2016 – zumindest im Worst-Case-Szenario. Auch US-Bürger würden einheimische Dienste weniger nutzen, europäische und andere Anbieter müssten ebenso mit Verlusten rechnen. Der nächste G20-Gipfel sei gefordert, sich mit internationalen Regeln zur Überwachung zu befassen, meint Staten. Gigaom, Informationweek und Venturebeat diskutieren, was von der Prognose zu halten ist.

Bundesregierung mit Bericht zur Privatsphäre und „No-Spy”-Entwurf

Ebenfalls im Gefolge der NSA-Affäre hat das Bundeskabinett am Mittwoch einen „Fortschrittsbericht” zum Schutz der Privatsphäre beschlossen. Er soll den Fortschritt beim Mitte Juli von der Regierung vorgestellten „Acht-Punkte-Plan” festhalten. Der Verbraucherzentrale Bundesverband kritisiert, der Bericht sei überwiegend unkonkret und gehe an den Problemen vorbei. Für ein sogenanntes „No-Spy-Abkommen” zwischen BND und NSA gibt es derweil einen ersten Verhandlungsentwurf. Was drin steht, schreibt Spiegel Online. Es soll im Kern der Ausspähung von Regierung, Behörden und Wirtschaft begegnen. Bürger werden nicht erwähnt, wie Patrick Beuth in einem Kommentar bei Zeit Online bemerkt.

Haben Gmail-Nutzer Privatsphäre?

Eine Äußerung von Google-Anwälten im Rahmen einer Sammelklage sorgt für viele Berichte. Das Unternehmen habe zugegeben, dass Gmail-Nutzer keine Privatsphäre hätten, erklärte die US-Organisation Consumer Watchdog. Die Äußerungen von Consumer Watchdog werden aber auch sehr kritisch betrachtet: The Verge weist darauf hin, dass sich die Anwälte nicht auf Gmail-Kunden bezogen hätten. Readwrite hält die Diskussionen über das Scannen von Mails zu Werbezwecken für „mikroskopische Haarspalterei”. Für Mike Masnik bei Techdirt gehen die Schlagzeilen komplett am Thema vorbei, doch auch die Google-Argumentation sei verfehlt. Wieviel Privatsphäre Gmail-Nutzer unabhängig davon haben, kommt in der Diskussion erstaunlicherweise nicht vor.

Lavabit-Gründer: „Ich wollte nicht in eine Situation gebracht werden, in der ich private Daten herausgeben muss”

Ladar Levison, der den von ihm gegründeten sicheren E-Mail-Dienst Lavabit vergangene Woche mit einer kryptischen Erklärung dicht machte, hat dem Magazin „Democracy Now” ein Interview gegeben. Neben ihm: sein Anwalt Jesse Binnall. Es ist ein beeindruckendes Interview, in dem Levison und Binnall an entscheidenden Stellen keine Antwort geben dürfen. Nach US-Recht würden sie sich strafbar machen, wenn sie gegen Redeverbote verstoßen. Ein Transkript des Interviews gibt es hier.

Spotify und die Vergütung

Nach dem Rückzug von Thom Yorke bei Spotify wird weiter über die Vergütung für Musiker bei Streaming-Diensten und die Ökonomie der Musikindustrie diskutiert. Im New Yorker unterhalten sich der Kritiker Sasha Frere-Jones, Musiker Damon Krukowski, Produzent Dave Allen und der Künstler und DJ Jace Clayton darüber, wovon Musiker und Bands eigentlich leben und was das Internet damit zu tun hat. Das deutsche Wall Street Journal interviewt den Spotify-Gründer Daniel Ek, der zu den Äußerungen von Künstlern sagt: „Ich bin nicht überrascht, ich bin darüber betrübt.”

Die Öffentlichkeit hält nicht Schritt

Der NSA-Skandal und die flächendeckende Überwachung der Internetkommunikation durch Geheimdienste werden in europäischen Medien unterschiedlich aufgegriffen. Gemeinsam scheint bei den Bürgern ein Gefühl der Unausweichlichkeit im Angesicht der technischen Möglichkeiten. Wenn wir unsere Bürgerrechte schützen wollen, braucht es mehr als nationale Öffentlichkeiten, kommentiert Anja Seeliger.

Als Anfang Juni diesen Jahres die ersten Informationen über die umfassende Bespitzelung durch die NSA aus den Snowden-Papieren an die Öffentlichkeit gelangten, herrschte erst einmal Schweigen in deutschen Zeitungen. Den Schock musste man erst mal verdauen. Das änderte sich dann schnell: Der „Spiegel” brachte neue Informationen von Snowden. Die FAZ startete in ihrem Feuilleton eine sehr lesenswerte Debatte über die modernen Überwachungstechniken.

In der SZ verteidigte Heribert Prantl fast täglich die Souveränität der Bundesrepublik. Zeit- und Spiegel Online lieferten aktuelle Zusammenfassungen der Berichte im Guardian. Alles in allem kann man nicht sagen, die Zeitungen hätten ihre Pflicht nicht erfüllt oder sich nicht engagiert. Doch fehlen der Furor und der verbissene Recherchewille, die die Jagd auf Christian Wulff so erfolgreich gemacht hatte.

Guardian bleibt allein auf weiter Flur

In anderen europäischen Ländern sieht es viel schlechter aus. In England steht der Guardian mit seiner Maßstäbe setzenden Berichterstattung praktisch allein da. Die anderen britischen Zeitungen brachten meist nur kurze Meldungen, einige hämische Kommentare und schwiegen das Thema ansonsten tot. Vielleicht sind sie auch nur sauer, dass dies nach Wikileaks und dem Abhörskandal bei der News of the World der dritte große Coup des Guardian ist. Auch die BBC schwieg.

In Frankreich berichtete Le Monde am 4. Juli, dass „Paris bereits Bescheid wusste und genau dasselbe tut”. Wie Jacques Follorou und Franck Johannès schrieben, überwacht der französische Auslandsgeheimdienst DGSE die gesamte Telekommunikation im Inland und die Kommunikation mit dem Ausland. Allein die Nutzung dieser Datenbank von der DGSE wäre „bereits illegal”, so der Bericht weiter.

Tatsächlich „greifen jedoch alle französischen Geheimdienste auf diese Daten zu”, ohne dass Politik oder Justiz dagegen einschreiten. Nach dieser Enthüllung verendete das Thema im französischen Sommerloch. Vielleicht waren die Franzosen auch seit dem Abhörskandal von François Mitterand ohnehin auf alles gefasst.

Das mag ebenso für Italien gelten, wo sich kaum jemand über Prism oder Tempora aufregte. Der Skandal von 2006, bei dem der italienische Geheimdienste führende Politiker und Unternehmer ausspioniert und erpresst hatten, ist den Italienern sicher noch zu gut im Gedächtnis. Was ist dagegen das Speichern von Verbindungsdaten?

Der Bürger bleibt machtlos

Und was sagen die Bespitzelten? Wenn man die Leserkommentare in britischen oder deutschen Medien liest, spürt man eine große Wut, in die sehr viel Resignation gemischt ist. Auch die Teilnehmerzahl bei verschiedenen Demonstrationen gegen die Überwachung blieb überschaubar.

Woran liegt das? Zum einen vielleicht an einem Gefühl der Unausweichlichkeit: Was technisch möglich ist, wird eben auch gemacht. Laut einer heutigen Meldung auf Spiegel Online betreibt sogar die Polizei von Schleswig-Holstein im großen Stil Funkzellenabfragen: Statistisch sei nach Rechnung der Piraten seit 2009 jeder Bürger von Schleswig-Holstein mehrfach erfasst worden. Verurteilungen aufgrund dieser Daten in Zahlen: 36.

Zum anderen: Wenn alle schnüffeln, warum dann nicht auch wir? Schließlich setzt sogar die Europäische Union auf die Vorratsdatenspeicherung: Bis auf Deutschland haben alle EU-Länder die entsprechende Richtlinie umgesetzt. Der Verrat am Bürger ist so so groß und die Information darüber gleichzeitig so gering, dass man sich als Bürger vollkommen machtlos fühlt. Da hilft selbst Wählen nichts mehr.

Globalisierte Geheimdienste, nationale Öfffentlichkeiten

Verstärkt wird dieses Gefühl noch durch die Tatsache, dass sich die Geheimdienste gewissermaßen globalisiert haben. Nach allem was man weiß, arbeiten sie alle sehr gut zusammen, und auch der Austausch der Daten – falls man doch zu auffällig gegen eigene Gesetze verstoßen müsste – klappt offenbar hervorragend.

Bisher können die Bürger jedoch nur national diskutieren und sind damit einer Debatte eigentlich gar nicht mehr gewachsen. Was fehlt, ist ein europäisches Forum, eine Plattform im Netz, auf der die Bürger Europas Informationen austauschen und gemeinsame Widerstandsmöglichkeiten diskutieren können: Können wir unsere Bürgerrechte noch schützen oder ist es dafür zu spät? Können wir nur noch auf Waffengleichheit drängen? Wie Harry Cheadle im US-Magazin Vice erklärte: Wenn wir transparent sind, muss es die Regierung auch sein.

Darüber auf europäischer Ebene diskutieren zu können, wäre schon ein Fortschritt. Denn eines steht fest: Nationale Öffentlichkeiten werden globalisierte Geheimdienste nicht mehr aufhalten.

August 09 2013

Cloud, Lavabit, Vertrauen: Wie Überwachung das Internet verändert

Während der Überwachungsskandal um Prism, XKeyscore & Co. noch nicht abgeklungen ist, wird bereits deutlich, dass er auch die Internetwirtschaft, das Angebot an Diensten und die Architektur des Internets deutlich verändern könnte. Einige Links zu den jüngsten Entwicklungen:

US-Cloudanbieter befürchten Verluste

Eine Studie des Thinktanks Information Technology & Innovation Foundation (ITIF) prognostiziert für US-Cloudanbieter – etwa Microsoft, Google oder Amazon – Umsatzverluste von 21,5 Milliarden Dollar in den nächsten drei Jahren. Im Ausland könnten die US-Anbieter Marktanteile zwischen 10 und 20 Prozent einbüßen, folgert die Untersuchung, die unter anderem auf Umfragen des Branchenverbands Cloud Security Alliance basiert.

Besonders europäische Konkurrenten für US-Dienste hätten „die Chance erkannt und werden versuchen, sie zu nutzen”, hält der Bericht fest. Die ITIF fordert von nun von der amerikanischen Regierung, Informationen über das Prism-Programm offenzulegen und Unternehmen zu erlauben, ihre Nutzer stärker über Anfragen staatlicher Stellen zu informieren. Auch im derzeit verhandelten transatlantischen Freihandelsabkommen sollten „Transparenzerfordernisse” für US- und EU-Unternehmen verankert werden.

Maildienst Lavabit schließt demonstrativ

Für kleinere Anbieter, die besonderen Wert auf Datensicherheit und Verschlüsselung legen, ist der Überwachungsskandal eine unerwartete Chance. Zugleich zeigt sich, dass gerade sie nur wenig Gewicht einbringen können: Der verschlüsselte E-Mail-Dienst Lavabit hat am Donnerstag seinen Betrieb eingestellt. Über die Hintergründe lässt sich nur spekulieren, denn bis auf eine Erklärung auf der Website des Dienstes ist bislang nichts Genaueres bekannt.

Lavabit-Gründer Ladar Levison schreibt in drastischen Worten, er habe vor der Wahl gestanden, sich an „Verbrechen gegen das amerikanische Volk zu beteiligen” oder den Dienst zu schließen – Details dürfe er nicht bekannt geben. Edward Snowden soll den Dienst während seines Aufenthalts im Moskauer Flughafen genutzt haben, US-Behörden könnten sich seitdem besonders für Lavabit interessiert haben.

Levison rät schließlich sogar ganz von US-Diensten ab:

This experience has taught me one very important lesson: without congressional action or a strong judicial precedent, I would strongly recommend against anyone trusting their private data to a company with physical ties to the United States.

Auch „Silent Circle” macht E-Mail dicht

Als Folge der Lavabit-Schließung hat der Anbieter Silent Circle heute ebenfalls seinen E-Mail-Dienst eingestellt. Cheftechniker Jon Callas, ehemals Mitentwickler der PGP-Verschlüsselung, erläutert die Entscheidung in einem Blogbeitrag. Wegen der starken Nachfrage habe man bislang auch einen E-Mail-Dienst angeboten, das aber müsse man nun revidieren.

Im Vergleich sei E-Mail grundsätzlich kein sicherer Kommunikationsweg mehr:

Email that uses standard Internet protocols cannot have the same security guarantees that real-time communications has. There are far too many leaks of information and metadata intrinsically in the email protocols themselves. Email as we know it with SMTP, POP3, and IMAP cannot be secure.

Callas verweist in seinem Posting auf Lavabit, stellt jedoch fest, man habe keine Datenforderungen von staatlichen Stellen erhalten.

Vertrauenskrise für Diensteanbieter

Eine bemerkenswerte Antwort auf die Frage, welchen Anbietern Nutzer noch vertrauen können, hat der Sicherheitsforscher Bruce Schneier in einem Beitrag für CNN gegeben:

The truth is, I have no idea. No one outside the classified government world does. I tell people that they have no choice but to decide whom they trust and to then trust them as a matter of faith.

Keine guten Aussichten für Nutzer. Immerhin: Die Internet-Vordenker und -Pioniere sind noch überwiegend optimistisch. „Der Kampf um die Kontrolle – und die Seele – des Internets hat gerade erst begonnen”, schreibt etwa Jeff Jarvis.

August 06 2013

Meine Daten auf großer Reise: Was ist Safe Harbor?

Kaum jemand, der Facebook & Co. nutzt, kennt die Safe-Harbor-Vereinbarung. Doch wie sie den Datenexport von Europa in die USA regelt, betrifft fast jeden, der sich im Internet bewegt. Jan Schallaböck vom Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein erläutert in einem Gastbeitrag die Grundzüge der Vereinbarung und die Aussichten der aktuellen Kontroverse darüber.

Informationen über Europäer dürfen nur dann ins EU-Ausland gelangen, wenn dort ein „angemessenes Datenschutzniveau” existiert. Eigentlich. So fordert es – vereinfacht ausgedrückt – das europäische Recht. Genauer gesagt, sind solche Daten geschützt, die auf eine Person bezogen werden können und in Europa erhoben worden sind.

Wie kann es also sein, dass überhaupt Daten in den Zugriffsbereich von US-Geheimdiensten gelangen? Die Antwort ist einfach: Die EU-Kommission hat vor über zehn Jahren entschieden, dass Unternehmen Daten exportieren dürfen, wenn sie sich an bestimmte Regeln halten. Für sie gilt eine Ausnahme.

Der amerikanische und der europäische Ansatz beim Datenschutz

Die Europäische Union und die USA verfolgen sehr unterschiedliche Herangehensweisen beim Datenschutz. In der EU wird der Schutz der Privatsphäre als Grundrecht betrachtet. Die informationelle Selbstbestimmung – zu wissen, wer was über einen weiß – hält das deutsche Bundesverfassungsgericht sogar für eine „Funktionsbedingung eines (…) demokratischen Gemeinwesens”, wie es im Volkszählungsurteil feststellte. Entsprechend gibt es hierzulande eine umfassende Gesetzgebung darüber, wie Datenverarbeiter mit personenbezogenen Daten umzugehen haben.

Anders in den USA: Zwar forderten auch in Washington Politiker in den vergangenen Jahren immer wieder, den Schutz der Privatsphäre besonders im Internet stärker zu regulieren. Umgesetzt sind bisher aber nur sehr punktuelle Regelungen. Es gibt zum Beispiel den „Video Privacy Protection Act”, der dafür sorgen soll, dass niemand erfährt, welche Filme man ausgeliehen hat. Einzelne Länder wie Kalifornien haben auch weitergehende Bestimmungen, etwa die Pflicht, Datenschutzerklärungen auf Internetseiten zu veröffentlichen.

Insgesamt setzt man bisher aber eher auf die sogenannte Selbstregulierung. Das heißt, Unternehmen verpflichten sich, sich an bestimmte Regeln im Umgang mit den Daten ihrer Kunden zu halten. Wer schlechte Praktiken etabliert, dem werden schon die Kunden ausbleiben – so der marktliberale Gedanke dabei. Auch ein Ansatz.

Wie funktioniert Safe Harbor?

Schwierig wird es jedoch, wenn die Kunden eines US-Dienstes in Europa sitzen: Der US-amerikanische und der europäische Ansatz prallen aufeinander. Europäische Verbraucher sollten damit rechnen dürfen, dass Anbieter, die sich an sie richten, auch europäisches Recht einhalten. Das ist ein anerkanntes Grundprinzip. Als Lösung für dieses Dilemma haben sich amerikanische Unternehmen eine besondere Form der Selbstregulierung ausgedacht: Sie behaupten, einen sicheren Hafen für europäische Daten geschaffen zu haben, die „Safe Harbor Principles”.

Die Safe-Harbor-Prinzipien sind einigen Grundregeln des europäischen Rechtes nachgebildet. So heißt es in den Prinzipien etwa:

  • Die Daten müssen technisch vor fremden Zugriffen geschützt sein.
  • Sie dürfen nur gesammelt werden, wenn der Betroffene zugestimmt hat und auch nicht ohne dessen Wissen weiter gegeben werden.
  • Es gibt Informationspflichten und Auskunftsrechte.
  • Sogar die Zweckbindung soll gelten: Daten dürfen nur für den Zweck verwendet werden, dem der Betroffene zugestimmt hat.

Ein Unternehmen, das sich öffentlich auf der Internetseite der US-Handelskommission FTC zur Einhaltung dieser Prinzipien bekennt, darf die Daten seiner europäischen Kunden in den USA verarbeiten. Gleichzeitig unterwirft sich das Unternehmen auch einer gewissen Kontrolle durch die FTC. Diese hat zwar nicht die gleichen Befugnisse wie Datenschutzbehörden hierzulande, kann aber im Einzelfall durchaus erheblichen Druck entfalten.

Grundlage hierfür ist übrigens kein Abkommen, wie es hin und wieder heißt, denn es gibt hierzu keinen Vertrag zwischen der EU und den USA. Die EU-Kommission kann vielmehr im Einzelfall anerkennen, dass ein Land ein angemessenes Datenschutzniveau hat, und die Daten dort verarbeitet werden können. Natürlich ist „Safe Harbor” selbst kein Land; eigentlich ist es noch nicht einmal ein sicherer Hafen, wie wir jetzt wissen. Aber die EU-Kommission hat im August 2000 unter erheblicher Dehnung der rechtlichen Vorgaben entschieden, dass die Safe-Harbor-Prinzipien ausreichen und ein angemessenes Schutzniveau für Europäische Verbraucher gewährleisten.

Zugriffe durch US-Behörden

Auch für Daten bei US-Anbietern gilt nach Safe Harbor also das Zweckbindungsprinzip. Wie ist der Zugriff durch US-Geheimdienste dann mit den Safe-Harbor-Prinzipien zu vereinbaren? Hier liegt die Antwort ebenfalls in einer Ausnahme: Das zugrundeliegende Dokument nimmt den Bereich der nationalen Sicherheit und der Strafverfolgung pauschal aus der Vereinbarung aus.

Das hat die Europäische Kommission im Jahr 2000 jedoch nicht von ihrer Entscheidung für die Vereinbarung abgehalten. Auch als die Entscheidung im Jahr 2004 überprüft wurde, kam man zum gleichen Ergebnis. Ob das so klug war, ist zweifelhaft: Kritische Studien hat die Kommission damals zwar in Auftrag gegeben, aber dann doch lieber nicht veröffentlicht.

Auch die Datenschutzbehörden des Bundes und der Länder haben mehrfach – zuletzt gemeinsam am 24. Juli – eine kritische Überprüfung dieser Entscheidung angemahnt. Zivilgesellschaftliche Initiativen wie Europe-v-Facebook oder der Datenschutz-Aktivist Alexander Hanff haben bereits die Aussetzung der Safe-Harbor-Vereinbarung gefordert. Selbst die EU-Justizkommissarin Viviane Reding hat mittlerweile Zweifel am „sicheren Hafen” formuliert. Offen ist, wie die Sache ausgeht.

Was wäre ohne Safe Harbor?

Über die Konsequenzen, falls die EU ihre Entscheidung zurücknimmt, kann nur spekuliert werden. Sie wären vermutlich durchaus weitreichend: Ohne Safe Harbor dürfte eine Vielzahl der in Europa angebotenen Internetdienstleiste nicht ohne weiteres zulässig sein. Facebook beispielsweise speichert zwar auch Daten in Europa, aber alle Daten liegen vermutlich ebenfalls in Rechenzentren in den USA. Ob das weltweit größte soziale Netzwerk kurzfristig seine Infrastruktur so anpassen könnte, dass entsprechende Datenbestände nur in Europa gespeichert sind, ist zweifelhaft.

Auf die Frage, wie die Datenschnüffelei amerikanischer und europäischer Geheimdienste eingehegt werden kann, liefert Safe Harbor also direkt keine Antwort: Der Zugriff durch US-Behörden wurde ja von vornherein ausgeklammert. Die Wirkung wäre vielmehr indirekt, indem diejenigen Internet-Unternehmen ins Visier geraten, bei denen die Geheimdienstprogramme dann andocken. Setzt die EU die Vereinbarung aus, würde sie deutlich machen, dass sie Daten europäischer Bürger bei US-Unternehmen nicht für sicher hält – im Extremfall müssten sich Anbieter wie Facebook vom europäischen Markt zurückziehen.

So oder so: Es rächt sich jetzt, dass man nicht schon früher intensiv versucht hat, eine datenschutzfreundlichere Infrastruktur und ein dazu passendes völkerrechtliches Regelsystem zu etablieren. Falls die Kommission ihre Entscheidungen pro Safe Harbor zurücknimmt, wäre das Thema jedenfalls ganz oben auf der politischen Agenda angekommen.

Jan Schallaböck ist seit 2006 Mitarbeiter am Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein (ULD) und arbeitet dort zu Fragen der internationalen Standardisierung.

August 05 2013

Nikolaus Forgó: „Grundsätzlich halte ich das eher für symbolische Politik”

Ein globales Datenschutzabkommen wird seit den Erkenntnissen über das Ausmaß der Überwachung durch Geheimdienste verstärkt diskutiert. Nikolaus Forgó, Professor für IT-Recht und Rechtsinformatik an der Leibniz-Universität Hannover spielt im iRights.info-Interview die Möglichkeiten eines solchen Abkommens durch, ist jedoch skeptisch über dessen Chancen und Wirkmächtigkeit.

iRights.info: Die Bundesregierung denkt öffentlich über ein globales Datenschutzabkommen nach. Was halten Sie von der Idee?

Nikolaus Forgó: Prinzipiell halte ich alles für gut, was in Richtung eines globaleren Verständnisses über Datenschutz geht. Das Internet hat die Eigenschaft, dass es keine Grenzen gibt und es völlig egal ist, wo die Daten verarbeitet und erhoben werden. Deswegen ist es auch egal, ob es in Deutschland ein hohes Datenschutz-Niveau gibt, solange sich die Datenverarbeitung einfach irgendwo anders hin auslagern lässt. Ich bin allerdings nicht ganz sicher, wie realistisch eine globale Lösung ist, weil es sehr unterschiedliche Vorstellungen darüber in der Welt gibt, was Datenschutz bedeutet und wieso es den geben soll. Allein schon innerhalb Europas ist es schwierig, einen Konsens zu finden.

iRights.info: Wie sieht es denn weltweit in punkto Datenschutz aus?

Nikolaus Forgó: Wenn man die drei großen Wirtschaftsbereiche Amerika, Europa und den asiatischen Raum betrachtet, ist es im Vergleich so, dass wir uns in Europa ein sehr hohes Datenschutzniveau leisten. Zumindest tun wir das den Gesetzen nach. Gleichzeitig haben wir allerdings erhebliche Probleme, das hohe Datenschutzniveau auch zu überprüfen und umzusetzen.

Und es gibt auch innerhalb von Europa große Unterschiede. Was Videoüberwachung angeht, ist wahrscheinlich weltweit kein Staat so aktiv wie England. In den USA ist das Verständnis prinzipiell anders. Das beginnt schon damit, dass es keine grundrechtliche Auflage ist, wie bei uns. Wenn man dort von Datenschutz redet, redet man eigentlich von Datensicherheit. Lateinamerika scheint sich sehr in Richtung Europa zu bewegen, mit regionalen Unterschieden.

iRights.info: Und in Asien?

Nikolaus Forgó: Im asiatischen Raum muss man stark differenzieren. Japan hat sich stark an den europäischen Regelungen orientiert. Wir haben dort ein quasi europäisches Datenschutzrecht. In China dagegen geht die Diskussion gerade erst los. In dem Riesenstaat Indien kann man noch nicht genau sagen kann, ob es in Richtung des amerikanischen oder des europäischen Verständnisses geht.

iRights.info: Und dann gibt es noch Länder wie Iran oder Saudi-Arabien.

Nikolaus Forgó: Hier ist es fast aussichtlos. Mit dem Iran über Datenschutz zu reden ist in etwa so, wie wenn man mit Nordkorea über die Einführung des Kapitalismus verhandeln würde. Ein totalitäres Regime hat kein Interesse an der Einführung von Datenschutzrechten, das würde an seiner Existenzgrundlage kratzen.

 


Karte: Internationaler Datenschutz im Vergleich, hier nach einer Studie der NGO Privacy International 2007.

iRights.info: Was gibt es an internationalen Initiativen, die man in Richtung eines globales Datenschutzes interpretieren könnte?

Nikolaus Forgó: Globale Initiativen, die den Namen wirklich verdienen, sehe ich kaum.

iRights.info: Was ist mit Initiativen der UNO?

Nikolaus Forgó: Die gibt es, aber die Verbindlichkeit völkerrechtlicher Dokumente ist meistens leider gering. Das ist alles zu vage und deswegen nicht geeignet, um daraus konkrete Rechtsansprüche zu entwickeln. Ähnliches lässt sich auch für die Europarat-Konvention sagen, die es noch gibt. Da stehen nur ein paar wichtige, aber sehr abstrakte Prinzipien drin.

iRights.info: Was halten Sie von der geplanten Datenschutz-Grundverordnung der EU?

Nikolaus Forgó: Die ist interessant. Sie wäre schon ein Fortschritt, weil sie zumindest dazu führen würde, dass man sich innerhalb von Europa inhaltlich über Grundregeln einig ist.

iRights.info: Der Vorschlag der Bundesregierung sieht vor, globalen Datenschutz in Form eines Zusatzprotokolls im UN-Pakt über politische und bürgerliche Rechte zu verankern. Halten Sie das für eine gute Idee? 

Nikolaus Forgó: Die UN ist sicherlich der richtige Adressat, und auch dieser UN-Pakt. Solche Dinge machen aber leider nur dann Sinn, wenn man sich tatsächlich auch inhaltlich auf Grundstandards einigen kann, was überhaupt geschützt werden soll. Sonst wird auch hier die Formulierung windelweich.

Die noch nicht gelöste Vorfrage ist deswegen, wie man sich weltweit einigermaßen auf Standards zum Datenschutz verständigen kann. Ich kann mir momentan nur schwer vorstellen, dass man sich mit China oder dem Iran einfach so in einem verbindlichen Vertrag darauf einigen kann, dass es ein Grundrecht auf Datenschutz geben soll. Und ich halte es auch fast für utopisch, dass sich die USA von der UN vorschreiben lässt, was ihre Geheimdienste tun dürfen. Da muss davor eine erhebliche politische Debatte geführt werden, die ich zur Zeit außerhalb Europas nicht sehe.

iRights.info: Wie würde eine globale Regelung optimalerweise ausehen? Stellen wir uns vor, die UNO würde Sie beauftragen, das zu entwerfen.

Nikolaus Forgó

Nikolaus Forgó ist Professor für IT-Recht und Rechtsinformatik an der Leibniz-Universität Hannover. Daneben arbeitet er zum Römischen Recht, die Universität Wien ernannte ihn zum Honorarprofessor für IT-Recht und Rechtstheorie. Foto: Helge Krückeberg.

Nikolaus Forgó: Ich baue jetzt gerne mal ein Luftschloss. Drei Prinzipien fände ich wichtig.

Das erste Ziel überhaupt müsste Datenvermeidung und Datensparsamkeit sein, so dass riesige Mengen personenbezogener Daten gar nicht mehr entstehen. Eine solche Regelung würde sich vor allem an die Ebene der Internet-Diensteanbieter richten. Es würde aber auch bedeuten, dass so gigantische Datenbanken nicht mehr möglich sind, wie es sie offensichtlich bei Geheimdiensten gibt.

Zweitens müsste man sich überlegen, mit welchen Rechten man Betroffene ausstattet. Muss der Betroffene darüber informiert werden, dass über ihn Daten verarbeitet werden? Wann ist er zu informieren und hat er ein Recht zu verlangen, dass die Daten gelöscht werden?

Drittens müsste man garantieren, dass Daten, die für einen Zweck erhoben wurden, nicht plötzlich für andere Zwecke missbraucht werden. Das ist das, was Juristen Zweckbindung nennen. Das in etwa würde ich gerne in dem Zusatzprotokoll verankern.

iRights.info: Gibt es andere Möglichkeiten, wie man das regeln könnte, außer in einer Ergänzung zum UN-Pakt?

Nikolaus Forgó: Es muss nicht unbedingt ein UN-Pakt sein, ein völkerrechtlicher Vertrag ist aber in jedem Fall ein gutes Instrument. Ein zweites Instrument wäre, einige dieser Dinge technisch zu lösen.

iRights.info: Was würde das bedeuten?

Nikolaus Forgó: Dass Industrien Standards unter dem Stichwort „Datenschutz durch Technik” oder privacy by design entwickeln. Dann würde ein globaler Datenschutz ökonomisch-industriell geregelt werden. Das hätte den Vorteil, dass es komplett ohne Politik liefe. Allerdings würde das voraussetzen, dass es eine entsprechende Markt-Nachfrage gibt.

iRights.info: Das heißt, für die technische Lösung müsste eine Organisation gewonnen werden, wie etwa die ICANN im Bereich der Internet-Adressverwaltung.

Nikolaus Forgó: Genau, oder auch andere Standardisierungs-Organisationen. Es gibt immer wieder Bemühungen in die Richtung. Zum Beispiel hat vor kurzem in Berlin eine Tagung der unabhängigen Internet Engineering Taskforce stattgefunden, da wurde unter anderem über eine datenschutzfreundlichere Internet-Architektur diskutiert. Das ist der Versuch, über technische Standards Protokolle zu implementieren, die es schwerer machen, einen Personenbezug herzustellen.

iRights.info: Viele technische Lösungen kranken daran, dass sie einfach nicht beim Mainstream der Nutzer ankommen.

Nikolaus Forgó: Bei der politischen Lösung geht es darum, einen Standard zu definieren, der von einem signifikanten Teil der Staaten befolgt wird. Technische Lösungen stehen vor einer anderen Herausforderung, die aber auch nicht banal ist. Die entwickelten Standards und Technologien müssen auf der Nutzerseite und bei der Internet-Wirtschaft Interessenten finden. Und hier liegt tatsächlich das Hauptproblem. Dass man beispielsweise Emails verschlüsseln kann, ist seit 25 Jahren bekannt, und trotzdem hat es kaum jemand gemacht.

Im Nachklang von Prism wäre es interessant, abzuwarten, ob der Verschlüsselungsmarkt tatsächlich von den Enthüllungen profitiert. Wenn das so ist, wird es einen Anreiz für Firmen geben, datenschutzfreundliche Lösungen zu entwickeln. Wenn es bleibt wie immer und sich kaum jemand darum schert, wird es diese Entwicklung nicht geben. Auch für eine politische Lösung ist es übrigens wichtig, dass es mehr Leute gibt, die sich für das Thema interessieren.

iRights.info: Wie ließe sich das öffentliche Bewusstsein stärken?

Nikolaus Forgó: Letztlich wie seit 200 Jahren, um es mit Kant zu sagen: Aufklärung. Man braucht mehr politische Diskurse, Ausbildung, Folgeneinschätzung und Überzeugungsarbeit.

iRights.info: Glauben Sie, die globale Zivilgesellschaft sollte mehr Druck machen?

Nikolaus Forgó: Ja. Bei der Diskussion um die Vorratsdatenspeicherung in Deutschland hat man sehr gut gesehen, welche wichtige Rolle die Zivilgesellschaft spielen kann. Da haben Organisationen wie der AK Vorrat oder der Chaos Computer Club der Allgemeinheit klar machen können, dass es ein Problem gibt. Das ist die zentrale Rolle von zivilgesellschaftlichen Organisationen: Aufklärung und Bewusstmachung. Das gilt auch für Universitäten, die könnten da auch eine größere Rolle bei der Vermittlung von Wissen spielen. Von einer globalen Debatte sind erste Ansätze erkennbar. Aber wir sind noch weit davon entfernt, dass das signifikant wird.

iRights.info: Wie könnte ein Minimalkonsens aussehen, der realistische Chancen hätte, in den nächsten zehn Jahren global umgesetzt zu werden?

Nikolaus Forgó: Das einzige, was ich für realistisch halte, wäre ein politische Einigung, dass datenschutzfreundliche Technologien zulässig sind und nicht mehr diskriminiert werden. Das würde bedeuten, dass zum Beispiel Verschlüsselungstechnologie nicht mehr verboten werden darf und niemand verpflichtet wird, irgendwo einen Schlüssel zu hinterlegen. Das wäre vielleicht machbar. Alles andere halte ich für sehr schwierig, sofern nicht noch eine sehr viel intensivere, globale Diskussion in Gang kommt.

iRights.info: Kommen wir noch einmal zum Vorschlag der Bundesregierung zurück. Wenn die Bundesregierung das tatsächlich umsetzen will, wie könnte sie da am besten vorgehen?

Nikolaus Forgó: Zunächst ist es fraglich, ob es gut ist, wenn das die Bundesregierung als einzelner Staat macht; das hat sie wohl glücklicherweise auch erkannt. Intelligenter wäre, so etwas über die Europäische Union zu machen. Das Problem wäre dann aber, dass man sich zuerst innerhalb Europas auf etwas einigen müsste, und vermutlich wird es schon da schwierig. Auf jeden Fall wäre es sinnvoller, wenn der Vorschlag nicht nur von einem Einzelstaat vorgebracht wird.

iRights.info: Für wie ernsthaft halten Sie den Vorschlag der Kanzlerin eigentlich?

Nikolaus Forgó: Grundsätzlich halte ich das eher für symbolische Politik im Kontext des Wahlkampfs. Es klingt einfach gut, wenn man sagt: So, lieber Wähler, wir gehen jetzt in die UNO. Dass es in absehbarer Zeit eine globale Vereinbarung wie eine UN-Zusatzkonvention gibt, halte ich für eher unwahrscheinlich. Für noch unwahrscheinlicher halte ich, dass darin etwas stehen wird, das tatsächlich zu konkreten Ansprüchen von Betroffenen führt.

iRights.info: Also Sie sind im Grunde recht pessimistisch.

Nikolaus Forgó: Ich würde es eher realistisch nennen.

Reposted byphytx phytx

August 02 2013

PGP und der Kampf um Verschlüsselung

Schon Mitte der neunziger Jahre warnte der PGP-Entwickler Phil Zimmermann, dass E-Mail-Kommunikation einfach, automatisch und unbemerkt großflächig überwacht werden kann. Heute kann jeder Bürger Verschlüsselungstechniken einsetzen, dennoch sind die Auseinandersetzungen darüber nicht abgeklungen.

Auf der einen Seite: Die USA und ihre Spionageagentur NSA, die einen ungesunden Appetit auf die Daten der Weltbevölkerung entwickelt hat. Sie will die Kommunikation per Telefon und Internet überwachen, speichern und auswerten. Ihr Herausforderer: Ein Hacker, der das Menschenrecht auf freie Kommunikation in das Zeitalter digitaler Vernetzung retten will. Er hat ein Programm geschrieben, dass es den Menschen erlaubt, über digitale Netzwerke verschlüsselte Informationen auszutauschen, ohne sich vor staatlicher Überwachung fürchten zu müssen.

Es kommt zum Kampf zwischen Daten-David und Überwachungs-Goliath. Am Ende geht Goliath in die Knie: Das Programm des Hackers wird erlaubt, verbreitet sich über das Internet rund um den Globus und erlaubt es der Weltbevölkerung wieder, unkontrolliert miteinander zu kommunizieren. Pech gehabt, NSA.

Das mag klingen wie der Plot eines Cyber-Thrillers, aber die zugrundeliegenden Ereignisse haben wirklich statt gefunden – vor gut zwanzig Jahren. Damals entwickelte der amerikanische Programmierer Philip Zimmermann das Programm Pretty Good Privacy (PGP) – und zwar aus Gründen, die im Lichte der jetzt bekannt gewordenen Spionage-Aktivitäten der NSA und europäischer Geheimdienste beängstigend aktuell wirken. PGP erlaubt es Nutzern, ihre Online-Kommunikation so zu verschlüsseln, dass sie nicht ohne Weiteres von ungebetenen Dritten mitgelesen werden können.

Von Clipper über Echelon zu PRISM

Zimmermann, eigentlich ein stiller und unpolitischer Mensch, hatte das Programm geschrieben, als 1991 Pläne der amerikanischen Regierung bekannt wurden, Datenkommunikation abzuhören. Per Gesetz sollten Telekommunikationsunternehmen verpflichtet werden, in ihre Anlagen eine fest installierte Hintertür einzubauen, die es der Polizei und Geheimdiensten erlauben würde, Zugang zu Telefonaten und Datentransfers zu erhalten. Auch wenn das Gesetz nach einem öffentlichen Aufschrei nicht vom US-Senat verabschiedet wurde – Zimmermann sah kommen, was inzwischen beängstigende Realität geworden ist: dass die amerikanischen Dienste nichts unversucht lassen würden, um die internationale digitale Kommunikation abzuschöpfen.

Wie recht er behalten sollte, zeigen in diesen Tagen wieder die Enthüllungen, nach denen die amerikanische Regierung versucht hat, Internetfirmen zu zwingen, ihre Schlüssel für SSL-Datenverbindungen offenzulegen und so Zugang zu verschlüsselter Datenkommunikation zu bekommen. Versuche der US-Behörden, die Online-Kommunikation abzuhören, gibt es allerdings seit mehr als zwei Jahrzehnten. Auf den 1991 gescheiterten Versuch folgte der ebenfalls nicht erfolgreiche Clipper Chip, das Echelon-Programm, schließlich die Programme um PRISM.

Das zeigt, dass US-Geheimdienste unter mehreren verschiedenen Regierungen kontinuierlich darauf hin gearbeitet haben, die internationalen Datennetzwerke flächendeckend abhören zu können. Dank Edward Snowden wissen wir, dass dies unter Präsident Obama nun gelungen ist – in einer Zeit, in der die ehemalige Außenministerin Hillary Clinton weltweit Reden über „Internet-Freiheit” hielt.

Der Beginn von PGP

Philip Zimmermann sah diese Entwicklung voraus. Darum schrieb er Anfang 1991 in wenigen Wochen die Software PGP – Pretty Good Privacy – und stellte sie kostenlos über das Usenet bereit, durch das es sich zunächst unter Hackern in der ganzen Welt verbreitete. Die starke Verschlüsselung des Programms aber fiel unter die Exportkontrolle. Die USA hatten ebenso wie weitere Staaten seit dem kalten Krieg entsprechende Regelungen für kryptografische Verfahren eingeführt, so dass der amerikanische Zoll es als „Munition” klassifizierte und gegen Zimmermann wegen Verstoßes gegen das amerikanische Waffenexportgesetz vorging.

Die Ermittlungen zogen sich fünf Jahre hin, erst 1996 wurden sie schließlich eingestellt. Zimmermann gründete ein Unternehmen, das PGP als kommerzielles Produkt vertrieb. PGP Inc. wurde später vom IT-Unternehmen Network Associates, dann von Symantec unternommen und ist bis heute als verlässliches Verschlüsselungs-Werkzeug im Einsatz.

Zimmermanns knapper Text „Why do you need PGP?”, Mitte der 90er Jahre verfasst, ist aus heutiger Sicht von geradezu hellseherischer Klarheit: „E-Mails können viel zu leicht abgefangen und nach interessanten Schlüsselworten durchsucht werden. Das kann ganz einfach, routinemäßig, automatisch und unbemerkt in großem Maßstab getan werden. Schon jetzt werden Übersee-Telegramme auf diese Weise von der NSA großflächig durchsucht”, stellte Zimmermann fest.

Ein Werkzeug alleine hilft nicht

Dennoch haben sich Zimmermanns PGP oder die kostenlose OpenPGP-Variante bei den meisten Internet-Nutzern bislang nicht durchsetzen können. Es setzt voraus, dass alle Kommunikationsteilnehmer das Programm benutzen und die digitalen Schlüssel zum Öffnen der Nachrichten auf dem Rechner haben. Dem alternativen Standard S/MIME geht es ähnlich. Gegen das jetzt bekannte großflächige Absaugen von Verbindungsdaten – wer mit wem wann Nachrichten austauscht – helfen allerdings auch diese Programme nicht. Hier setzten weitere Techniken wie TOR an: Die Software macht jeden angeschlossenen Computer zu einem Knoten in einem Netzwerk, das der Anonymisierung von Verbindungsdaten dient.

Diese Art von Selbstschutz fürchten Dienste wie die NSA offenbar am meisten: Wer TOR oder PGP verwendet, ist für die Behörde von vornherein verdächtig. Selbst wenn sie solche Botschaften (noch) nicht lesen kann, speichert sie sie länger als andere Daten. Wer wiederum die TOR-Software verwendet, der wird bis auf weiteres „nicht als Bürger der Vereinigten Staaten behandelt”, so dass Überwachungs-Einschränkungen wegfallen.

Den jüngsten, zum Überwachungssystem „XKeyscore” bekannt gewordenen Informationen nach sollen Geheimdienste sogar gezielt suchen können, wo Nutzer Verschlüsselungstechnik einsetzen – „Zeige alle Nutzungen von PGP im Iran” wird dort als eine mögliche Anwendung beschrieben. So scheint es, dass Nutzer vor einer schlechten Alternative stehen, solange Verschlüsselung nicht breit genutzt wird: Wer nicht verschlüsselt, kann jederzeit abgehört werden; wer es aber tut, könnte im Zweifel besondere Aufmerksamkeit auf sich ziehen. Wer sie einsetzt, müsse etwas zu verbergen haben, so die Logik der Geheimdienste. Die Geschichte von David und Goliath ist so schnell noch nicht zu Ende.

July 26 2013

Stiftung Warentest: Überwiegend mäßige Noten für Cloud-Speicherdienste

Unter gängigen Cloud-Speicherdiensten hat bei einer Untersuchung der Stiftung Warentest kein Anbieter gute oder sehr gute Ergebnisse erzielt. Die Mehrzahl der Dienste erhielt lediglich die Note „befriedigend“.

Die Stiftung Warentest hat Cloud-Speicherdienste von 13 Anbietern mit Sitz in den USA, Deutschland, Irland und der Schweiz untersucht. Darunter sind etwa Dropbox, Apples iCloud, Google Drive, das Mediencenter der Deutschen Telekom, Microsofts Skydrive und weitere Dienste. Dem Nutzer bleibt dem Test nach nur die Wahl zwischen „befriedigend” und „ausreichend” bewerteten Diensten.

Die Untersuchung nahm die Dienste unter den Gesichtspunkten Benutzung, Sicherheit und Datenschutz sowie Funktionsumfang des Angebots in den Blick. Auf Anfragen bei Anbietern basieren dabei unter anderem die Angaben zum Standort der eingesetzten Server und damit auch zum jeweils geltenden Datenschutz-Niveau. Hier halten sich einige Dienste nach wie vor bedeckt – vier Anbieter gaben dazu gar keine Antwort, wie der Untersuchung zu entnehmen ist.

Bei sieben Anbietern stehen Server im Europäischen Wirtschaftsraum, bei zweien außerhalb. Insgesamt seien aber auch europäische Dienste „nicht viel besser” als US-Anbieter, so die Tester – etwa im Hinblick auf die jeweils geltenden Datenschutzerklärungen des Anbieters. „Einen Dienst mit gutem Datenschutz fanden die Tester nicht”, hält die Untersuchung fest, die hier etwa den eingesetzten Verschlüsselungs-Algorithmus, Schutzmaßnahmen bei mobilen Apps und das Datenschutz-Management des Unternehmens beinhaltet.

Im Zweifel selbst verschlüsseln

Auch die Stiftung Warentest rät Nutzern daher, sensible Daten selbst zu verschlüsseln – oder nur solche Daten hochzuladen, die im Zweifel auch jeder einsehen kann. Zwar verschlüsselten alle Dienste die Datenverbindung; nur bei einem der Anbieter aber lagerten die Daten auch auf den Servern so, dass der Anbieter selbst – und damit auch ungewollte Mitleser von Behörden, NSA und Co. – sie nicht wieder aufschließen und einsehen können.

In einer begleitenden, nicht repräsentativen Onlineumfrage wollten die Tester darüber hinaus wissen, wieviele Nutzer Clouddienste nutzen und kennen. Während fast jeder Nutzer (98 Prozent) einen E-Mail-Dienst verwendet, sagten innerhalb dieser Gruppe nur 62 Prozent, dass sie „die Cloud” nutzen. Ähnlich sieht es demnach bei Foto-Apps oder Smartphone-Adressbüchern und -Kalendern aus: Viele Anwender nutzen längst entsprechende Dienste – sie sind bereits „in der Cloud”, ohne es genau zu wissen, etwa durch Voreinstellungen bei Geräten und Software.

Die Untersuchung ist in Heft 8/2013 der Zeitschrift „test” oder einzeln als PDF (EUR 2,50) bei der Stiftung Warentest erschienen.

Disclosure: Ich war an der Diskussion des vorläufigen Untersuchungsprogramms im Fachbeirat des Projekts „Online-Speicherdienste” der Stiftung Warentest beteiligt.

Wolkendämmerung: Vertrauen in Clouddienste nach PRISM, Tempora & Co.

In den letzten fünf Jahren gab es einen Dauer-Trend in der Datenverarbeitung: Ab in die Cloud. PRISM, Tempora und Co. verpassen der Technik nun einen Dämpfer. 

„Ein umfassender und anlassloser Zugriff auf personenbezogene Daten kann daher durch Erwägungen zur nationalen Sicherheit in einer demokratischen Gesellschaft nicht gerechtfertigt werden.“ Mit einer gemeinsamen Erklärung hat die Konferenz der Datenschutzbeauftragten von Bund und Ländern am Mittwoch Konsequenzen aus der sogenannten Ausspähaffäre um den US-Geheimdienst NSA gezogen. Da Daten in Amerika nach aktuellem Stand der Erkenntnisse in den USA nicht sicher sind, soll das Land den privilegierten Status des sogenannten „Safe Harbor“-Grundsatzes verlieren – eine Vereinbarung, die den Export von Daten in die USA ermöglicht.

Der Beschluss ist ein Schuss vor den Bug der USA, die sich bisher offenbar weigern, substanzielle Zugeständnisse zum Schutz der Daten von Europäern zu machen. Die Drohung: Sollte die amerikanische Regierung auf ihrem Standpunkt bestehen, bricht Konzernen wie Google, Amazon und Microsoft ein Teil des lukrativen Geschäfts mit Daten weg, da die Europäer ihre Daten künftig selbst verwalten werden. Vorerst passiert jedoch nicht viel: Die Datenschützer wollen lediglich die Erteilung neuer Genehmigungen für Datentransfers aussetzen, bisher genehmigte Datentransfers können bis auf Weiteres weitergehen.

Ein Kampf gegen Windmühlen?

Cloud Computing ist seit Jahren der Trend im Netz. Für Firmen bedeutet es, dass sie Rechen- und Speicherkapazitäten in vielen Rechenzentren gleichzeitig nutzen können, flexibel und unschlagbar effizient. Für Konsumenten heißt es, dass ihre Daten quer über die Welt verstreut werden und damit überall verfügbar sind. Bequem, meist sogar kostenfrei – und offen für alle. Wer sich der Entwicklung entgegenstellt, wie zum Beispiel der Datenschützer Thilo Weichert mit seinem Vorgehen gegen die Praktiken von Facebook, musste sich wie in einem Kampf gegen Windmühlen vorkommen. Doch nun haben die Kritiker erstmals Rückenwind.

Ob die deutschen Datenschützer damit Eindruck machen können, ist allerdings nicht klar. Denn schon haben sich die irischen Datenschützer auf die umgekehrte Interpretation festgelegt: Trotz des Ausspähskandals will die Behörde, die unter anderem für Facebook und Apple zuständig ist, nicht an dem Safe-Harbor-Status rütteln. Ohnehin hätte ein solcher Eklat keine unüberwindlichen Folgen: Auch ohne Safe-Harbor-Status können Firmen Daten über Grenzen übertragen – es wird lediglich etwas komplizierter. Die europäische Konkurrenz freut sich trotzdem: „Wenn wir Deutschland als Standort für die Daten der Private Cloud ansprechen, fühlen sich Kunden in der Regel sicher“, sagt ein Telekom-Sprecher gegenüber iRights.info.

Viele Wege führen zu den Daten

Obwohl wir seit Anfang Juni fast täglich Neues aus den Spionagetätigkeiten der USA und ihrer Verbündeten erfahren, sind die genauen Details der Überwachungsprogramme und ihr Zugriff auf die verschiedenen Cloud-Dienste immer noch unklar – klar ist nur: die Datenschnüffler vom NSA hatten Mittel und Wege, massenhaft an private Daten heranzukommen.

Dazu haben die Geheimdienste eine ganze Reihe an Möglichkeiten: Zum einen das Programm Prism, das direkt an den Datenbanken von Unternehmen wie Google, Facebook und Apple ansetzt. Das Abhörprogramm Tempora greift am Übertragungsweg der Daten an und kann Daten auf dem Weg zwischen Cloud und Endnutzer abfangen. Selbst eine Verschlüsselung hilft hier nicht unbedingt. So wurde nun bekannt, dass US-Behörden den Zugriff zu den Zertifikaten der Unternehmen suchten, die ihnen potenziell Zugang zu den Daten gewährten – ohne Mitwirkung der betroffenen Unternehmen.

Weitere Quellen zu erschließen, ist für die Dienste praktisch möglich – von Sicherheitslücken bis zur systematischen Auswertung der bei Handy- und Laptopdurchsuchung durch Polizei und Einreisebehörden erlangten Daten, die auch viele Passworte der Durchsuchten offenbart. Viele Wege führen zu den Daten in der Cloud.

Zwar betonen zum Beispiel Google und Microsoft, dass man den Behörden keinen Vollzugriff gebe. Sie portraitieren die Geheimdienst-Programme als gewöhnlichen Polizeizugriff, bei dem die Unternehmen selbst noch die Anfragen auf Legalität überprüfen. Details verraten dürfen sie freilich nicht, da sie von der US-Regierung zum Schweigen verpflichtet worden sind. Hätte der NSA in den Rechenzentren ähnlich wie bei AT&T und Verizon eigene Anlagen, die alle Daten abzapfen könnten – niemand dürfte darüber reden. Die theoretische Höchststrafe: Der Tod. Praktisch werden Whistleblower systematisch ruiniert, wie zahlreiche Beispiele aus den vergangenen Jahren zeigen.

Die Cloud der Geheimen

Die Cloud ist nicht nur ein unerschöpflicher Datenschatz für Geheimdienste, sie hat den Geheimdiensten auch eine neue Arbeitsweise ermöglicht. Statt nur Verdächtige auszuforschen, ermitteln die Geheimdienste das ganze Umfeld der Verdächtigen. Im US-Justizausschuss schilderte ein NSA-Vertreter, dass die Datenanalysten sich „zwei bis drei hops“ von dem eigentlichen Ziel der Ausforschung entfernen.

Das heißt: Ruft ein Verdächtiger seinen Zahnarzt an, werden nicht nur alle anderen Patienten des Zahnarztes in die Analyse mit aufgenommen, sondern auch deren Kontakte. Möglich werden solche enormen Datenanalysen nur über die ständig neuen Rechenzentren der Geheimdienste wie das 1,7 Milliarden Dollar teure Utah Data Center, das derzeit südlich von Salt Lake City entsteht.

Der NSA-Skandal wird den Trend zur Cloud nicht umkehren – zu viel wurde in die Infrastruktur investiert, zu gering ist der Wille zum fundamentalen Wandel. Dennoch bietet die derzeitige Diskussion aber die Chance, die Praxis des allgegenwärtigen Datenspeicherns zu überprüfen und einige Stützbalken für Bürgerrechte einzuziehen – wie schwach diese verglichen mit den technischen Möglichkeiten auch sein mögen.

July 24 2013

Matthias Kettemann: „Menschenrechte gelten offline wie online“

Der Internet- und Völkerrechtler Matthias C. Kettemann konstatiert im Interview mit iRights.info Fortschritte in der weltweiten Diskussion zum Datenschutz. Beim Schutz der Menschenrechte im Netz seien internationale Gerichte zwar die oberste Instanz, für politisch wirksamer hält er indes „menschenrechtssensible Verbraucher und Unternehmen, die sich ihrer Verantwortung für die Menschenrechte bewusst sind“.

iRights.info: In Ihrem Weblog schreiben Sie, dass aufgrund der Enthüllungen zu PRISM, Tempora, NSA und GCHQ „die Welt über Online-Menschenrechte spreche“. Ist dies eine subjektive Wahrnehmung aus deutscher Perspektive – oder ist es wirklich so?

Matthias C. Kettemann: Der Menschenrechtsrat der Vereinten Nationen hat schon 2012 festgestellt, dass Menschenrechte, die offline gelten, auch online ihre Gültigkeit haben. Doch diese Erkenntnis hat sich noch nicht bei allen Bürgern und Regierungen durchgesetzt. Die Proteste gegen ACTA im letzten Jahr haben gezeigt, dass eine erhöhte Sensibilität für – auch vermutete – Menschenrechtsverletzungen online besteht.

Im Zusammenhang mit PRISM hat nun die internationale Ziviligesellschaft zusammengefunden und Menschenrechtslobbying betrieben. Statements des Europarates, der EU und von UN-Menschenrechtsbeauftragten befeuern die Diskussion. Vor PRISM waren Privatsphäre, Datenschutz und Meinungsäußerungsfreiheit im Internet und durch das Internet medial nicht präsent. Nun sind sie es. Das ist ein Fortschritt.

iRights.info: Hat sich im Verlauf der Debatte auch die Tonlage geändert?

Matthias C. Kettemann: Die Diskussion hat gezeigt, dass große Teile der kritischen Öffentlichkeit nicht mehr bereit sind, unter dem Deckmantel von „mehr Sicherheit“ menschenrechtliche Einschnitte gewärtigen zu müssen. Bei den Verhandlungen zum Datenaustausch zwischen den USA und EU stehen Menschenrechte nun im Zentrum.

iRights.info: Dann wäre es für diese Verhandlungen doch regelrecht kontraproduktiv, wenn Dienste wie NSA und GHCQ tatsächlich Menschenrechte verletzten – ist dies der Fall?

Matthias C. Kettemann: Das ist abstrakt schwer zu bestimmen. Grundsätzlich können fast alle Menschenrechte eingeschränkt werden. Der Artikel 17 des Internationalen Paktes über bürgerliche und politische Rechte schützt das Privatleben vor „willkürlichen oder rechtswidrigen Eingriffen“ und gibt jedem einen Anspruch auf rechtlichen Schutz gegen solche Eingriffe.

Nun argumentieren aber die Überwacherstaaten in der Regel, dass die Programme von nationalem Recht gedeckt sind. Damit ist natürlich noch nichts gesagt: Gerade nationale Gesetze können von internationalen Gerichten als mit dem internationalen Menschenrechtsbestand unvereinbar beurteilt werden.

Diese Funktion hat etwa der Europäische Gerichtshof für Menschenrechte. Aber ohne die Ausspäh-Programme, deren Ausmaß und deren Rechtsgrundlagen im Detail zu kennen, fällt eine endgültige Bewertung schwer. Es spricht einiges dafür, dass sie unverhältnismäßig sind. Also zwar ein legitimes Ziel verfolgen, aber im Hinblick auf dieses Ziel nicht verhältnismäßig sind, da es mildere, weniger eingriffsintensive Mittel gäbe.

iRights.info: Was heißt das jetzt bezogen auf die Menschenrechte?

Matthias C. Kettemann: Die USA und England könnten demnach internationale Verträge zum Schutz der Menschenrechte verletzt haben, wie den erwähnten UN-Pakt. Neben den UN-Menschenrechtspakten ist auch die Europäische Menschenrechts­konvention sowie – im Verhältnis zu England – das EU-Recht einschlägig. Aber auch derartige völkergewohnheitsrechtliche Verpflichtungen zur Sicherung der Stabilität und Funktionalität des Internets sind erst im Entstehen begriffen. Allerdings scheinen die Abhöraktionen keine Auswirkungen darauf gehabt zu haben.

iRights.info: Wenn es auf konkrete Verletzungen von existierenden Menschenrechtsverträgen hinausliefe – wer könnte dann auf welchem Wege gegen wen klagen?

Matthias C. Kettemann: Betroffene Staaten, wie Deutschland, könnten England oder die USA vor dem Internationalen Gerichtshof in Den Haag wegen Verletzung des bereits mehrfach zitierten UN-Zivilpakts klagen. England hat diesem gegenüber eine generelle Unterwerfungserklärung abgegeben, die USA hingegen nicht. Diese müssten sich daher erst auf den Streitfall einlassen, was eher unwahrscheinlich ist. Deutschland könnte England auch vor dem Gerichtshof der Europäischen Union oder im Rahmen einer Staatenbeschwerde vor dem Europäischen Gerichtshof für Menschenrechte in Straßburg belangen.

iRights.info: Wenn aber die Bundesregierung von sich aus keine solchen Staatsklagen vornimmt – hätte es Erfolgschancen, sie aufgrund etwaiger Verletzung ihrer Schutzpflichten gegenüber den Bürgern zu verklagen?

Matthias C. Kettemann: Nach der Europäischen Menschenrechts­konvention ist Deutschland verpflichtet, „allen ihrer Hoheitsgewalt unterstehenden Personen“ vor Verletzungen des Privat- und Familienlebens sowie der Meinungsfreiheit zu schützen. Dies umfasst auch positive Schutzpflichten. Allerdings sehe ich hier hinsichtlich PRISM und Tempora wenig Erfolgschancen. Interessanter wäre zunächst einmal eine verfassungsrechtliche Überprüfung der Überwachungskompetenzen des BND.

iRights.info: Diese Prozesse scheinen ja politisch bereits in Gang gesetzt. Hat eigentlich das in Deutschland geltende Recht auf informationelle Selbstbestimmung eine Relevanz für die internationalen Verhandlungen?

Matthias C. Kettemann: Das Recht auf informationelle Selbstbestimmung ist ein deutsches Unikum. Es ist wichtig zur Bewusstseinsbildung. Generell sind deutsche Gerichte – der Bundesgerichtshof und das Bundesverfassungsgericht – Vorreiter bei der Ausgestaltung des Menschenrechtsschutzes in der Informationsgesellschaft.

International zeigen diese Rechte dergestalt Wirkung, dass die deutsche Bundesregierung sich für deren Schutz einsetzen muss und keine internationalen Verpflichtungen eingehen darf, die zu Verletzungen in Deutschland führen würden.

iRights.info: Müsste die deutsche Bundesregierung sich dann sich noch intensiver als bisher für neue internationale Datenschutzverträge einzusetzen, die sich explizit auf Menschenrechte berufen?

Matthias C. Kettemann: Die Diskussion um die Zukunft des Internets und der Internetregulierung ist im Fluss. Das merkt man auch, wenn es um die Ausarbeitung von Datenschutzabkommen geht. Wie schon der UN-Berichterstatter Frank La Rue in seinem letzten Bericht gefordert hat, müssen Meinungsäußerungsfreiheit und Privatsphäre immer mitgedacht und mitgeschützt werden, wenn Staaten Gesetze mit Internetbezug beschließen oder völkerrechtliche Verpflichtungen eingehen. Menschenrechte gelten offline wie online.

iRights.info: Und wer muss und kann dann dafür sorgen, diese Menschenrechte zu verteidigen?

Matthias C. Kettemann: Geschützt werden können Menschenrechte national und international in letzter Instanz nur durch Gerichte. Viel effektiver aber ist der Schutz durch menschenrechtssensible Verbraucher und Unternehmen, die sich ihrer Verantwortung für die Menschenrechte bewusst sind. Googles „Transparency Report“ ist ein Beispiel guter Praxis, die andere IT-Unternehmen nachahmen.

Dr. Matthias C. Kettemann ist Universitätsassistent am Institut für Völkerrecht und Internationale Beziehungen der Karl-Franzens-Universität Graz. Er ist Co-Chair der Internet Rights and Principles Coalition und leitete die Initiative „Menschenrechte und Internet” der von Google initiierten Denkfabrik „Internet und Gesellschaft Collaboratory”. Er bloggt unter International Law and the Internet.

Lesen Sie zum Thema auch das Interview mit Matthias Hartwig vom Max-Planck-Institut für ausländisches öffentliches Recht und Völkerrecht.

July 20 2013

Matthias Hartwig: „Ich bin enttäuscht, dass nicht mehr Gegenwehr passiert”

Matthias Hartwig vom Max-Planck-Institut für ausländisches öffentliches Recht und Völkerrecht spricht im iRights.info-Interview darüber, wie sich die Geheimdienstprogramme rund um PRISM und ein jetzt diskutiertes Datenschutzabkommen völkerrechtlich einordnen lassen. Ein grenzenloses Sammeln privater Daten unterminiert die Trennung von Staat und Gesellschaft und damit die bürgerliche Gesellschaft, warnt Hartwig.

iRights.info: Die Ereignisse rund um PRISM werfen Fragen zum internationalen Völkerrecht auf. Wie beurteilen Sie die aktuellen Diskussionen?

Matthias Hartwig: Wir verfügen noch über keine unabhängigen Quellen, denn wir wissen über die tatsächlichen und konkreten Ausmaße der vermeintlichen Ausspähaktivitäten derzeit auch nur das, was unter Berufung auf Edward Snowden in der Tagespresse erschienen ist. Man weiss nicht, wo die Daten gesammelt worden sind. Damit will ich sagen: Meine folgenden Überlegungen als Völkerrechtswissenschaftler beruhen auf der Annahme, die Tatsachen wären so, wie sie bislang kommuniziert sind.

iRights.info: Einverstanden. Betrachten Sie „das Völkerrecht“ unter dieser Annahme als ernsthaft verletzt?

Matthias Hartwig: Die erste Frage, die wir uns als Völkerrechtswissenschaftler stellen müssen, lautet: Liegt hier eine Souveränitätsverletzung vor? Wenn sich die staatlichen Geheimdienste der USA Daten aus anderen Staaten ohne deren Zustimmung beschafft hätten, dann wäre es eine Souveränitätsverletzung, das ist gar keine Frage. Und das wäre ein Verstoß gegen das Völkerrecht.

iRights.info: Die Organe der USA sehen das wahrscheinlich anders.

Matthias Hartwig: Der Freiburger Historiker Josef Foschepoth warf die Frage auf, ob sich die US-Amerikaner auf besondere Informationsbeschaffungsrechte berufen können, die sie als alliierte Besatzungsmacht der BRD hatten. Aus einer Zusatznote zum G-10-Gesetz und einer geheimen Verwaltungsvereinbarung von 1968 gehe seiner Meinung nach hervor, dass Deutschland bis heute verpflichtet sei, den USA Zugriff auf Informationen und Daten zu gewähren.

Allerdings sind nach diesen Absprachen die Amerikaner auf die Zulieferung der Informationen durch deutsche Organe angewiesen, die ihrerseits nur im Rahmen der Gesetze handeln dürfen. Ein Selbstbeschaffungsrecht von Daten, welche der Garantie des Kommunikationsgeheimnisses oder dem Schutz der Privatsphäre unterliegen, stand den USA auch bei dieser Rechtslage nicht zu.

iRights.info: Welches Recht nehmen die USA denn dann in Anspruch?

Matthias Hartwig: Bei PRISM argumentieren die USA, dass es sich um Vorgänge auf ihrem Territorium handelt, weshalb hier nationales Recht unter US-amerikanischer Hoheit anzuwenden ist. Das als „Patriot Act“ bekannte Verteidigungsgesetz würde das rechtlich absichern

iRights.info: Das heißt, es müssten den USA Verstöße gegen internationale, völkerrechtliche Abkommen oder Verträge nachgewiesen werden. Welche könnten das sein?

Matthias Hartwig: Um auf internationaler Ebene gegen einen etwaigen Verstoß gegen das Völkerrecht vorgehen zu können, ließe sich der „UN-Pakt über bürgerliche und politische Rechte“ von 1966 heranziehen, der dem Schutz der Privatrechte dient und dem die USA 1992 beitraten.

iRights.info: Welche Privatrechte sind hier genau berührt?

Matthias Hartwig: In Deutschland wird beispielsweise das Kommunikationsgeheimnis durch Artikel 10 des Grundgesetzes geschützt, der die Unverletzlichkeit von Briefgeheimnis sowie Post- und Fernmeldegeheimnis vorschreibt. Die Privatsphäre schützt Artikel 2 des Grundgesetzes.

iRights.info: Und solche Rechte formuliert auch dieser UN-Pakt?

Matthias Hartwig: In dem erwähnten UN-Pakt gibt es den Artikel 17. Ihm zufolge darf niemand „willkürlichen oder rechtswidrigen Eingriffen in sein Privatleben, seine Familie, seine Wohnung und seinen Schriftverkehr oder rechtswidrigen Beeinträchtigungen seiner Ehre und seines Rufes ausgesetzt werden“ und hat „jedermann Anspruch auf rechtlichen Schutz gegen solche Eingriffe oder Beeinträchtigungen.“

Genau solche Eingriffe würden ja vorliegen – doch ich bezweifle , dass die Amerikaner in ihrem Vorgehen eine Verletzung von Artikel 17 des Paktes sehen würden, dass also amerikanische Gerichte in diesem Sinn argumentieren würden. Sie würden auf die gesetzlichen Grundlagen und ihre Sicherheitsinteressen zur Rechtfertigung eines Eingriffs verweisen. Wie die Amerikaner ihr nationales Recht auslegen ist amerikanische Sache. Und man kann als Deutscher nicht sagen, es sei nicht Ordnung, wie die amerikanischen Organe das bewerten und entscheiden.

iRights.info: Gleichwohl betrachten Sie diesen UN-Pakt als relevant?

Matthias Hartwig: Bei so einem internationalen Pakt ist es ja gerade nicht Sache der einzelnen Staaten sondern eine der Gemeinschaft aller, die den Pakt unterzeichnet haben und ihn anerkennen.

Im Artikel 2 des Paktes heißt es, „Jeder Vertragsstaat verpflichtet sich, die in diesem Pakt anerkannten Rechte zu achten und sie allen in seinem Gebiet befindlichen und seiner Herrschaftsgewalt unterstehenden Personen ohne Unterschied wie insbesondere der Rasse, der Hautfarbe, des Geschlechts, der Sprache, der Religion, der politischen oder sonstigen Anschauung, der nationalen oder sozialen Herkunft, des Vermögens, der Geburt oder des sonstigen Status zu gewährleisten.“

Diese Bestimmung wird auf internationaler Ebene dahin ausgelegt, dass auch staatliches Handeln außerhalb des eigenen Territoriums den Bindungen des Paktes unterliegt.

iRights.info: Aha. Deutsche Bürger könnten sich also in dieser Hinsicht durch das Handeln US-amerikanischer Organe auf deutschem Territorium in ihren Rechten verletzt sehen und klagen?

Matthias Hartwig: Ja. Im Fall der USA wäre aber eine Durchsetzung dieses Rechts auf internationaler Ebene schwierig, weil die USA sich nicht der Rechtsprechung des Menschenrechtskomitees dieses Paktes unterworfen haben.

iRights.info: Gleichwohl könnte es anscheinend ein Weg sein, einen Verstoß gegen diesen UN-Pakt ahnden zu lassen. Wie müsste das vor sich gehen?

Matthias Hartwig: Da gibt es ein international besetztes Komitee aus Wissenschaftlern, Politikern und Vertretern von Nicht-Regierungs-Organisationen. Für Deutschland ist dort eine Max-Planck-Kollegin vertreten, Professor Anja Seibert-Fohr. Die Mitgliedsstaaten des Paktes wählen dieses Komitee für jeweils sechs Jahre, und es hat zwei Hauptkompetenzen: Erstens die Entgegennahme von Berichten, die alle Mitgliedsstaaten regelmäßig einreichen müssen. Zweitens die Behandlung von begründeten Beschwerden einzelner Bürger, die einen Verstoß gegen die im Pakt formulierten Artikel anbringen.

iRights.info: Und was könnte daraufhin konkret passieren? Verfasst dieses Komitee Resolutionen oder eine Art Rüge?

Matthias Hartwig: Ja, und so eine „Rüge“ dieses UN-Pakt-Komitees wäre sogar verbindlich. Es hat aber nicht die Kompetenzen, gesetzliche Regelungen aufzuheben. Dies trifft aber im übrigen auch auf Urteile des Europäischen Gerichtshofes zu, diese sind gleichfalls nur Feststellungen. Die Regierungen der Mitgliedsstaaten müssen darauf reagieren, behalten aber die Hoheit.

iRights.info: Das besagte Komitee könnte so zumindest für eine Art weltöffentliche Missbilligung sorgen?

Matthias Hartwig: Die Amerikaner nennen das blaming and shaming, also das Prinzip der öffentlichen Ablehnung, die zu ebenso öffentlichen Reaktionen führen könnte, etwa Entrüstung. So etwas müsste sich im vorliegenden Fall aufbauen, etwa durch einen Gang vor die UN-Generalversammlung bis hin zu einer Resolution dieses höchsten UN-Gremiums. Aber auch diese wäre freilich ebenfalls nicht bindend.

iRights.info: Wie beurteilen Sie das Abhören von Bundesministerien und EU-Institutionen durch die NSA?

Matthias Hartwig: Wenn die US-Amerikaner Botschaften anderer Staaten verwanzen, wäre es ein Verstoß gegen das Diplomatenrecht. Doch die deutsche Regierung hängt die Affäre vermutlich aus politischen Gründen nicht an die große Glocke. Daher ist nicht damit zu rechnen, dass daraus ein heftiger Streit zwischen den USA und Deutschland entsteht. An den breitflächigen Abhörprogrammen wiederum sind vermutlich viele Staaten in irgendeiner Weise beteiligt, zumindest als Nutznießer, und auch damit lässt sich die Zurückhaltung der Bundesregierung erklären.

iRights.info: Müsste es mehr Empörung in den jeweiligen Ländern geben, auch in den USA?

Matthias Hartwig: In den USA gibt es ja sehr wohl eine Bürgerrechtsbewegung, und zuletzt mehrten sich die Stimmen dort, die NSA-Affäre vor Gericht bringen zu wollen, unter Berufung auf das „Right to Privacy“. Ich halte es für möglich, dass die Gerichte durchaus im Sinne der amerikanischen Freiheits-Tradition entscheiden. Es gibt auch einige Republikaner, die den Gedanken der persönlichen Freiheit hoch halten und sich daher dem Protest der Bürgerrechtlicher anschließen.

Doch so positiv deren Anliegen zu bewerten sind, eine richtig große Bürgerbewegung für Datenschutz gibt es in den USA nicht. Ich sehe nicht den großen Aufschrei, wie wir ihn in Deutschland feststellen, aber wir haben auch besondere Gesetzgebungen. In Frankreich ist die Empörung ebenfalls leiser und die südwesteuropäischen Staaten haben ohnehin andere Probleme.

iRights.info: Gleichwohl sind sie ja involviert, siehe den verhinderten angeblichen „Überflug“ von Edward Snowden.

Matthias Hartwig: Der Umgang mit Edward Snowden ist für Europa kein Ruhmesblatt. Dass es möglich ist, dass die USA mit einem Fingerschnips den Luftraum über mehreren Ländern einfach abriegeln lassen können, um ein Flugzeug mit einem Staatspräsidenten an Bord nicht durchzulassen, das zeigt, wie sehr diese Länder an amerikanische Auflagen gebunden sind. Ich empfinde das als total beklemmend, es hat für mich etwas von der Situation aus dem Roman „1984“, dessen Szenarien ich viele Jahre für übertrieben gehalten habe.

iRights.info: Der Völkerrechtler ist beunruhigt.

Matthias Hartwig: Ich bin enttäuscht, dass nicht mehr Gegenwehr passiert. Unsere politische Ordnung beruht auf der Trennung von Staat und Gesellschaft. Aber wir hören auf, eine bürgerliche Gesellschaft zu sein, wenn wir diese Trennung aufheben, indem wir dem Staat erlauben, grenzenlos unsere Privatdaten zu sammeln.

Es lässt sich auch nicht argumentieren, wie es die deutsche Bundeskanzlerin tat, dass die Daten von einem „guten Staat“ gesammelt werden – nicht von einem Staat wie etwa der DDR. Dazu ist folgendes anzumerken: Die Daten sind doch da, sie sind gespeichert, also können sie auch benutzt werden. Und man kann doch nie wissen, was sich ändert und wofür sie dann von wem benutzt werden, etwa bei einem Machtwechsel oder bei bestimmten politischen Veränderungen.

Zudem ist auch zu fragen, wieso jemand in der Position wie Edward Snowden überhaupt Zugriff auf Milliarden von Daten haben konnte. Und sie in die Welt setzen kann. Man muss sich nur vorstellen, dass diese Daten auch jemand mit nicht so hehren Absichten in die Hände bekommt. Die Daten sind vorhanden und das lässt immer die Option zu, sie zu benutzen und sie zu missbrauchen.

iRights.info: Es müsste also auf internationaler Ebene etwas passieren – nur was?

Matthias Hartwig: Das Problem ist sehr, sehr offen. Aber erinnern wir uns, auch das Bundesverfassungsgericht tat sich sehr schwer, als es um Rechtsprechung bezüglich des Zugriffs auf gespeicherte Daten durch staatliche Organe ging, Stichwort Briefgeheimnis.

Hier entstand ein Rechtsverständnis, dass Mails oder Datenpakete wie ein Brief unter den Kommunikationsschutz fallen – solange sie unterwegs sind. Doch sobald sie angekommen und gespeichert sind, würde der Zugriff darauf möglich sein. Durch das Recht auf persönliche Freiheit ist das Gespeicherte aber auch geschützt.

iRights.info: Sie meinen, die internationale Staatengemeinschaft steht eher am Anfang einer Lernkurve, die Deutschland bereits durchlaufen hat?

Matthias Hartwig: Die weltweite Völkerrechtsordnung ist für einen weltweiten Datenschutz längst noch nicht weit genug entwickelt. Die internationalen Datenschutzregelungen sind insgesamt defizitär, das müssen wir konstatieren.

Ein Weg könnte daher sein, ein internationales Datenschutz-Abkommen zwischen den Staaten zu schließen, das Zugriffe auf die Daten der Bürger der jeweils anderen Staaten verbietet, egal wo die Daten liegen oder durchlaufen. Aber es wird dann wieder um die Ausnahmen gehen, etwa bei „Gefährdung der nationalen Sicherheit“. So etwas ist immer eine Frage der Auslegung; und die ist seit dem 11. September 2001 eben eine andere.

Im Grunde befinden wir uns seit dem 12.9.2001 in einem Kriegszustand. Denn der Notstandsfall, den die NATO an diesem Tag ausgerufen hat, den hat sie bisher nicht wieder aufgehoben. Und daran messen die USA alle Fälle von Selbstverteidigung, etwa in Afghanistan oder Somalia oder in so vielen anderen Fällen. Diese Art der Informationsbeschaffung ist unter diesem Blickwinkel eine notwendige kriegerische Handlung.

iRights.info: Demnach ist nach dem 11.9. tatsächlich „nichts mehr so geblieben, wie es vorher war“?

Matthias Hartwig: Was nach dem 11.9. so eilig ausgerufen und unter anderem von Deutschland getragen wurde, ist aus dem Ruder gelaufen, davor haben damals viele gewarnt. Aber wir kommen da nun nur schwer heraus. Denn wenn man einen weltweiten Terrorismus als Kriegsgegner erklärt, ist dieser Krieg ja nie zu Ende, weil es immer irgendwo einen bösen Buben gibt, gegen den man sich wehren muss. So hat sich eine Hysterie breitgemacht, die sich in Maßnahmen wie PRISM niederschlägt.

iRights.info: Verdanken wir der PRISM-Aufdeckung also eine Art Initialzündung für neue völkerrechtliche Erörterungen oder gar Abkommen?

Matthias Hartwig: Ich gehe davon aus, dass die Vorfälle rund um NSA und PRISM einen Anstoß geben, darüber zu reden und zu verhandeln, wie eine Lösung gefunden werden kann. Das wird nicht leicht. Es geht schließlich darum, dass sich die Staaten selbst beschränken und dafür müssen Institutionen geschaffen werden, die diese Selbstbeschränkungen überwachen.

iRights.info: Und was heißt das?

Matthias Hartwig: Das alles heißt: Die Staaten wären im Falle eines internationalen Datenschutz-Paktes nicht bereit, auf entsprechende Ausnahmeklauseln zu verzichten, da würde es viele Verhandlungsschwierigkeiten geben.

iRights.info: Keine guten Voraussetzungen.

Matthias Hartwig: Nun, trotz der Defizite, die in so einem Pakt von Beginn an enthalten wären, würde ich ihn dennoch begrüßen. Ob damit allerdings die Hysterie abzubauen ist, wüsste ich nicht zu sagen. Das halte ich generell für schwierig.

Dr. Matthias Hartwig ist Wissenschaftler am Max-Planck-Institut für ausländisches öffentliches Recht und Völkerrecht in Heidelberg.

July 15 2013

Thom Yorke verlässt Spotify: „Nichts für neue Künstler”

Musiker und Radiohead-Sänger Thom Yorke hat angekündigt, seine Veröffentlichungen vom Streamingdienst Spotify zurückzuziehen – zumindest die Soloproduktionen und die seiner Band „Atoms for Peace”. Die meisten Alben sind bereits nicht mehr verfügbar. Gleichzeitig hat er Spotifys Geschäftsmodell kritisiert. Es fokussiere auf Künstler, die vom Backkatalog leben, biete aber Newcomern keine Perspektive.

Yorke will sich erklärtermaßen mit neuen, weniger bekannten Musiker-Kollegen solidarisieren. Bei Twitter hat sich eine Diskussion entsponnen:

Sein Produzent und Bandkollege Nigel Godrich schreibt:

Musiker Kieran Hebden stimmt zu:

Ein Londoner Label mischt sich ein:

Der Guardian über die Hintergründe:

But some artists have complained that it is less effective for them to make music available there than to sells CDs and digital downloads because the per-stream payments are comparatively tiny. The industry average offers slightly less than 0.4p a stream – meaning that 1m streams of a song would generate about £3,800. Most songs receive far fewer streams.”

Über die Vergütungsmodelle bei Streamingdiensten wie Spotify wird seit ihrer Gründung diskutiert, dazu sind unterschiedliche Zahlen im Umlauf. Die Bewertung hängt auch vom Vergleichsmaßstab ab: Die einen sehen in Streaming-Diensten ein Äquivalent zur CD, andere zum Radio-Airplay. Mit der Intervention von Yorke wird die Debatte jetzt wohl neu entfacht werden.

July 10 2013

Flattr-Gründer will sicheres Messaging-Programm entwickeln

Peter Sunde, Mitgründer von Flattr und ehemals auch der Piratebay, will ein neues, sicheres Pendant zu Messaging-Diensten wie Whatsapp & Co. entwickeln. Das Vorhaben hört auf den Namen „Hemlis” (Schwedisch: „Geheimnis”), Details über Ansatz und Aufbau des geplanten Dienstes sind aber noch nicht bekannt. Per Crowdfunding hat er im Moment 1.043 Unterstützer gefunden und 24.160 Dollar gesammelt, ein Viertel des selbstgesetzen Ziels.

In einem Werbevideo beschreibt Sunde das Vorhaben so:

Die Erkenntnisse über Überwachungsprogramme wie Prism, Tempora & Co. haben die Aufmerksamkeit erneut auf Verschlüsselung und sichere Kommunikation gelenkt. Im Licht – beziehungsweise unter dem Schatten – der jüngsten Enthüllungen über staatliche Datenschnüffler wird es für das Team um Sunde wahrscheinlich nicht schwierig sein, die benötigte Summe einzusammeln.

Alleine steht es mit dem Vorhaben nicht. Programme wie Threema oder Cryptocat versprechen ebenfalls, die Bedienbarkeits-Hürden für sichere Kommunikation abzusenken und verschlüsselte Kurznachrichten und Chats nutzerfreundlich zu machen. Die Cryptocat-Entwickler mussten allerdings gerade eine kritische Sicherheitslücke eingestehen. Ob und welche Metadaten auch bei „Hemlis” einsehbar sein werden und ob „Hemlis” auf offene Standards setzt, dürften einige der Fragen sein, die sich dem Projekt demnächst stellen.

July 05 2013

Google muss sich Datenschützern erklären

Zusammen mit fünf weiteren europäischen Datenschutzbehörden hat der Hamburgische Datenschutzbeauftragte ein Verwaltungsverfahren gegen Google eingeleitet. Die Datenschützer wollen das Unternehmen zur Umstellung seiner Datenschutzbestimmungen bringen.

14 Monate nach Veröffentlichung neuer Datenschutzbestimmungen durch Google hat der Hamburgische Datenschutzbeauftragte Johannes Caspar ein Verwaltungsverfahren gegen das Unternehmen eingeleitet. Google ist damit aufgefordert, sich zu den Vorwürfen der Datenschützer zu äußern. „Ziel ist die datenschutzkonforme Ausgestaltung der derzeitigen Verarbeitungspraxis bei Google“, heißt es dazu in einer Mitteilung der Hamburger Datenschutzbehörde. Damit setzt Caspars Einrichtung um, was die Artikel-29-Datenschutzgruppe der EU bereits seit einigen Monaten beratschlagt. In der Gruppe koordinieren sechs auf EU-Ebene zusammengeschlossene nationale Datenschutzbehörden ihre Aktivitäten und Entschließungen.

Seine Datenschutzbestimmungen aktualisierte Google zuletzt am 24. Juni 2013, das Verfahren bezieht sich aber auf im März 2012 eingeführte, umfangreiche Änderungen. Seinerzeit monierte etwa der Verbraucherzentrale Bundesverband (VZBV), dass bei insgesamt 23 Klauseln der Bestimmungen nicht klar genug zu erkennen sei, wie Google mit den Nutzerdaten umgeht. Unklar bleibe, unter welchen Umständen das Unternehmen „möglicherweise gerätespezifische Informationen und Standortdaten“ erfasse, oder „personenbezogenen Daten aus den verschiedenen Google-Diensten miteinander“ verknüpfe, so die Verbraucherschützer. Eine vom Verband an Google ausgesprochene Abmahnung blieb offenbar weitgehend wirkungslos, die öffentliche Debatte klang wieder ab.

EU-Datenschützer stören sich an „diensteübergreifenden Nutzerprofilen“ und fehlender Speicherdauer-Festlegung

Nach Ansicht der Artikel-29-Gruppe verstoßen Googles Datenschutzbestimmungen „gegen die Verpflichtung des Unternehmens zu umfassender Transparenz bezüglich der Nutzung und des Umgangs mit den Daten der Nutzerinnen und Nutzer“. Als problematisch betrachten die europäischen Datenschützer „die pauschale Ermächtigung zur Erstellung umfassender diensteübergreifender Nutzerprofile und die fehlende Festlegung einer Speicherdauer der Daten.“

Auf Nachfrage von iRights.info erklärt Caspar, dass die Artikel-29-Gruppe im Laufe ihrer europaweiten und „intensiven Beratungen“, kontinuierlich mit Google im Gespräch gewesen sei, insbesondere durch die in der Gruppe federführende französische Behörde CNIL. Zwar habe Google den Dialog angenommen, doch zu konkreten Reaktionen oder Antworten hinsichtlich der monierten Bestimmungen sei es noch nicht gekommen.

Google sieht Datenschutzbestimmungen als EU-Anforderungen entsprechend

Lena Wagner, Pressesprecherin bei Google Deutschland, bestätigt die Aussage Caspars gegenüber iRights.info. Jedoch seien die im März 2012 geänderten Datenschutzbestimmungen auf Drängen der EU-Datenschützer verändert und den Anforderungen gemäß vereinfacht worden. „Damals sollten wir die Bestimmungen für unsere etwa 70 einzelnen Dienste zusammenfassen. Das taten wir – nun hält man uns heute vor, dass die Bestimmungen nicht differenziert genug seien“, meint Wagner.

„Ich gehe davon aus, dass dies für Google ein wichtiges Thema ist, das intern viel Zeit und Überlegungen erfordert“, erklärt Caspar. „Wir reden hier über ein Geschäftsmodell, bei dem es darum geht, möglichst viele Daten zu sammeln.” Skepsis herrsche insbesondere gegenüber der Möglichkeit, dass Google die aus seinen unterschiedlichen Diensten gesammelten Daten zu weitgehend verknüpfe, etwa um „Mega-Profile” (Caspar) zu erstellen.

Google wiederum sieht in den Verknüpfungen die Option, Dienste neuer Qualität zu erstellen, so Lena Wagner. Der Assistenzdienst Google Now beispielsweise verbinde standortbezogene Nutzerdaten mit aktuellen Staumeldungen, um in Echtzeit alternative Routenvorschläge bieten zu können.

Stellungnahme muss bis Mitte August vorliegen

So gingen Anfragen und Antworten zwischen Google und Datenschützern über Monate quasi ergebnislos hin und her. Dass es nun zu diesem Verfahren kommt, habe die Arbeitsgruppe zeitnah an Google weitergegeben, so Caspar. Das Unternehmen hat nun die Möglichkeit, bis Mitte August auf die Anhörung zu reagieren, und wird laut Wagner rechtzeitig eine Stellungnahme abgeben. Einen Konsens hält sie für möglich, will aber, genau wie Hamburgs Datenschützer Caspar, nichts zu den konkreten Fragen sagen.

In Abhängigkeit vom Ergebnis der Anhörung entscheidet der Hamburger Datenschützer über den Fortgang des Verfahrens. Möglich wäre es, eine Anordnung zu erlassen, die Google zur entsprechenden Umstellung der Verarbeitungspraxis verpflichtete. Das wäre weder für Google das erste Mal noch für andere IT-Unternehmen. „Wir nehmen das sehr ernst“, sagt Lena Wagner. Im Licht der jüngsten Enthüllungen rund um PRISM und die Rolle von Facebook, Apple oder Google darin sei die Aufmerksamkeit der Datenschützer noch größer geworden, so Caspar.

July 02 2013

Wenn die Politik wenig erreicht, müssen die Nutzer den Selbstschutz erhöhen

Geheimdienst-Programme wie Prism werden in naher Zukunft nicht demokratisch zu kontrollieren sein, sagt der österreichische Journalist und Überwachungsexperte Erich Moechel. Internetnutzern bleibe daher nur, ebenso wie Unternehmen selbst für mehr Sicherheit vor Datenschnüfflern zu sorgen und die richtigen Dienste auszuwählen.

Die politischen Diskussionen und Fragen zu den Ausmaßen der Abhörpraktiken von NSA und GCHQ sind für Erich Moechel keineswegs neu. Der österreichische Journalist, Autor und Reporter für ORF.at, beschäftigte sich bereits im Jahr 2000 mit staatsübergreifenden Abhörpraktiken. Damals gelangten nach und nach Einzelheiten zu einem globalen Überwachungssystem der USA an die Öffentlichkeit. Das unter dem Namen Echelon bekannt gewordene Satelliten-Abhör-Verfahren beschäftigte seinerzeit einen Untersuchungsausschuss des EU-Parlaments und belastete die transatlantischen Beziehungen in ähnlicher Weise wie heute Prism. „Damals wie heute stellten sich dieselben Fragen“, schreibt Moechel in einem Beitrag für FM4: „Benutzen die USA dieses System zur Wirtschaftsspionage gegen Europa? Welche Rolle spielt dabei das EU-Mitglied Großbritannien?“

Aus seiner Sicht sei aber das Echelon-System ein Witz gegen das, was man allein bis heute zu Prism wisse. „Damalige Computer, Speichersysteme und Netzwerke verfügten gar nicht über die erforderliche Leistungsfähigkeit, um diese Effizienz und Verarbeitungsfähigkeit zu erreichen, mit der NSA und GCHQ heute arbeiten.“ Gleichwohl sei auch damals schon von riesigen Datenmengen die Rede gewesen. Einen zentralen Stellenwert in der Echelon-Diskussion hätte die Frage eingenommen, ob denn die NSA derart riesige Datenmengen überhaupt verarbeiten könne. Moechel: „Die Antwort lautete damals wie auch heute: Yes, they can.“

Europa hat wenig Druckmittel

Das Echelon-System ist mittlerweile umfassend dokumentiert, vor allem, weil es schon ab Ende der 90er Jahre sukzessive durch ganz neue Praktiken der Geheimdienste abgelöst wurde – zu denen auch das Prism-Programm gehört. Auf europäischer Ebene kühlte sich die Erhitzung über das Echelon-System in dem Moment merklich ab, als Näheres und Konkretes über ein gleich geartetes französisches Funk-Abhörsystem an die Öffentlichkeit geriet. Von einem solchen französischen oder gar deutschen Pendant zu Prism oder Tempora ist derzeit noch nichts bekannt.

Mehr noch: Die jetzt bekannt gewordenen, unmittelbar auf deutsche Regierungsebenen abgezielten Abhörpraktiken würden die ohnehin schon angekündigten Gespräche mit den USA nicht gerade erleichtern. „Europa hat hier ebensowenig Mittel in der Hand, Druck auf die USA auszuüben, wie man bei den Finanzdaten des SWIFT-Systems und davor den Flugpassagierdaten hatte“, so Moechel.

Interview

iRights.info: Wie lässt sich ein globales Abhörprogramm kontrollieren? Mit UN-Mandat oder einem Protokoll, ähnlich wie bei Menschenrechten oder dem Klimaschutz?

Erich Moechel: Das ist drei Schritte voraus gedacht. Politisch betrachtet wird das vielleicht in Zukunft eine Frage, ich schätze mal 2020 oder so. Doch im Grunde arbeiten diese Dienste abgekoppelt von solchen politischen Ebenen oder Regelungen. Eine parlamentarische Kontrolle, die ist doch schon national nur ein Trugbild. Die Dienste erzählen den Regierungsgremien und Untersuchungsausschüssen am Ende irgendetwas, präsentieren irgendeine Erklärung, ganz egal, ob sie stimmt. Sie liefern Ergebnisse und es darf niemand wissen, wie diese Ergebnisse zustande kommen und was sie dabei wirklich alles herausbekommen haben.

Da heißt es dann, dass ein Anschlag an einem nicht näher bekannten Ort geplant war, die Umstände sind nicht näher bekannt, also Ziel und Motive, aber der Anschag konnte verhindert werden. Punkt. Diese Dienste verhalten sich konträr zu „Öffentlichkeit“, weil sie alles tun müssen, um Öffentlichkeit zu verhindern.

iRights.info: Wenn also das geheimdienstliche Aushorchen so schwerlich politisch und operativ zu bändigen ist, müssen dann wir alle unser Kommunikationsverhalten ändern?

Erich Moechel: Ganz genau. Wer jetzt noch sagt, er habe nichts zu verbergen, dem ist nicht mehr zu helfen, der soll doch ins Verderben laufen.

iRights.info: Das heißt, Sie sehen eine latente Gefahr für private, unbescholtene Personen?

Erich Moechel: Naja, Einzelpersonen können schon mal mitgerissen werden, durch unglückliche Verkettung bestimmter Fahndungseffekte. Sie können dann auf einer No-Fly-Liste landen und man verweigert ihnen die Einreise in die USA, das sehe ich schon als eine reale Gefahr. Beim Zoll oder Einreisebehörden arbeiten ja oft nur einfach ausgebildete Leute, keine IT-geschulten, und die gehen dann nach Vorschriften vor. Man kann schon mal ins Schleppnetz geraten, in einen weiteren Kreis der Verdächtigen, aber man wird sicher nicht gleich einer Terrorgruppe zugeordnet.

iRights.info: Ergo: Wir müssen uns alle wesentlich mehr und besser schützen?

Erich Moechel: Ja, indem wir unsere Sicherheitsvorkehrungen eine Stufe höher setzen, bei E-Mails, beim Surfen, beim Cloud Computing. Für digitale Kommunikation ist mehr Aufwand zu betreiben, die eigenen Gewohnheiten sind zu überprüfen und verändern. Das ist meiner Auffassung nach die einzige Message, die übrig bleibt.

iRights.info: Ist es denn realistisch, dass diese Art der „Aufrüstung“ die Nutzer selbst erledigen? Erfordert das nicht mehr Kenntnisse als, sagen wir mal, zu Hause ein zweites Türschloss einzubauen?

Erich Moechel: Es gibt seit über zehn Jahren schon Verschlüsselungs-Technologien, die sind sicher, die sind bis heute nicht geknackt. Um an derlei geschützte Daten zu kommen, müssen Angreifer schon das Gerät des Nutzers haben oder die Daten nach der Entschlüsselung abgreifen. Das Ganze ist zuerst ein logisches Problem, dann ein technisches. So sollte man nicht sämtliche Internet-Aktivitäten in ein- und demselben Browser durchführen, sondern mehrere Browser benutzen: Einen nur für das Banking, einen anderen für Bestellungen oder Geschäftskorrespondenz und so weiter. Zudem sind in guten Browsern wie Firefox durchaus hilfreiche Werkzeuge für Transfersicherheit vorhanden, sie müssen nur richtig eingestellt und konfiguriert sein.

Das kann ein geübter PC-Benutzer in 30 Minuten, ein ungeübter braucht vielleicht eine Stunde. Nicht zuletzt sollte man Virtual Private Networks (VPN) benutzen, so wie die Oppositionellen im Iran, die hatten tatsächlich etwas zu verbergen, nämlich ihr nacktes Leben. So ein VPN kann man sich bei durchschnittlichen Internet-Providern ohne große Kosten mieten. Und die verbergen so einiges nach außen. Schließlich gibt es auch so etwas wie „Jabber“, das ist ein Chat-Programm, welches mit einem sicheren Protokol arbeitet; damit ist man off the record, weil es eine Eins-zu-eins-Verschlüsselung von Bildschirm zu Bildschirm ermöglicht.

iRights.info: Klingt, als müsste sich die Gesellschaft darauf einstellen, ein gewisses Maß an IT-Kompetenzen in den Allgemeinbildungs-Kanon zu integrieren.

Erich Moechel: Ja, die Regierungen müssten systematisch für entsprechende Bildung sorgen, IT-Wissen muss in die Lehrpläne, vermutlich sollte man es als Pflicht-Unterrichtsfach einführen. Es muss sich durch alle Ausbildungsgänge ziehen.

iRights.info: Nicht weniger bedrohlich wirken die Vermutungen, der NSA und dem GHCQ gehe es mit den Abhörprogrammen auch um Unternehmen. Ist das die „wirkliche“ Brisanz?

Erich Moechel: Auf jeden Fall. Denn Deutschland und Österreich als Staaten haben natürlich etwas zu verbergen, weil sie wirtschaftlich eine Weltmacht sind. Beispielsweise im Maschinenbau, da gibt es sehr viele Mittelständler, die in Ihrer Disziplin Weltmarktführer sind, weil die etwas machen, was keiner in dieser Qualität kann. Und deswegen greifen die Dienste gewiss auch dort an, gehen sie auch auf Mittelständler los, weil dort was Wertvolles abzuholen ist. Das ist die Gefahr, die ich sehe, sie heißt Wirtschaftsspionage. Und das war auch 2000 bei Echelon der Fall.

Zur Person

Erich Moechel arbeitet als Reporter, Fachjournalist und Autor in der Nähe von Wien, Österreich, und schreibt zu Technologie- und Netzpolitik. Von 1999 bis 2006 war er Ressortleiter des IT-Nachrichtenkanals futurezone.ORF.at, seit Ende 2006 Senior Reporter für ORF.at, seit 2010 auf fm4.ORF.at. Zudem ist er Mitgründer des „Vereins zur Wiederherstellung der Bürgerrechte im Informationszeitalter” quintessenz und der Internationalen Big Brother Awards.

June 29 2013

Prism und die Folgen: Die Geheimdienste von Lethargistan

Geheimdienste sind ein fundamentales Problem für die Demokratie, doch zu mehr als digitaler Selbstverteidigung wird es nicht reichen. Mit dem Niedergang der Piratenpartei hat progressive Netzpolitik es schwerer als je zuvor. Eine Replik von Lorenz Matzat.

Jürgen Geuter schrieb hier bei iRights.info, warum man nicht wie Johnny Häusler bei Spreeblick der Resignation anheim fallen dürfe. Zum Ende erklärte er: „Die Aufgabe ist jetzt, für mehr Freiheit, Offenheit und Teilhabe politische Mehrheiten zu schaffen.“ Wie diese Aufgabe angegangen werden kann, woher diese Mehrheit kommen sollten, legte er leider nicht dar. So bleiben es warme Worte.

Ohne eine radikalen Schritt wird Prism und Co. aber nicht zu begegnen sein. Doch der ist auf absehbare Zeit nicht zu erwarten. Die gesellschaftlichen Kräfteverhältnisse sind eindeutig: Ein Teil der Zivilgesellschaft ist fassungslos und einige Medienvertreter sind entgeistert. Der Großteil der Bevölkerung verharrt in der üblichen gesellschaftlichen Lethargie. Auf die etablierte Politik ist keine Hoffnung zu setzen, auch wenn Anhänger diverser Parteien das sicher aus Wahlprogrammen herauszulesen vermögen.

Derzeit ist weder national noch international eine Konstellation erkennbar, die Geheimdienste abschaffen oder international eine Ächtung und Abschaltung der Überwachungsprogramme durchsetzen könnte. Welche Regierung sollte daran wirklich Interesse haben? Selbst wenn die Vereinten Nationen eine Resolution verfassen, wird das nichts ändern. Wenn solche Papiere Wirkungsmacht entfalten könnten, würde es schon längst keine Kriege und Klimakatastrophen, keinen Hunger und Drogenkonsum mehr geben.

Geheimdienste vs. Demokratie

Richtig ist Geuters Diagnose: Das fundamentale Problem, auf das Prism, Tempora & Co. verweisen, sind tatsächlich Geheimdienste. Wirkliche Demokratie ist nur ohne sie machbar. Heimlichtuerei, mit welchen hehren Zielen auch immer sie begründet wird, ist ein Antagonismus, steht im unauflösbaren Wiederspruch zur Demokratie. Freiheit stirbt mit Sicherheit – wollen wir erstere, gibt es einen Preis für die „Herrschaft des Volkes“, die Freiheit von Staatswillkür und militärischen Irrsinn ermöglichen kann. Der Preis ist, angreifbar zu sein durch politisch oder religiös Durchgeknallte und Verwirrte, Dogmatiker, Fundamentalisten und Reaktionäre. Das ist das Risiko von Demokratie. Einen goldenen Mittelweg gibt es nicht.

Baut man Strukturen auf, die im Verborgenen versuchen, Schutz vor allen vorstellbaren Gefahren zu bieten, entfalten diese eine Emsigkeit, die in der Natur von Institutionen, aber auch des Bedrohungshypochonders liegt: Das Ziel von Geheimdiensten kann letztlich nur die totale Kontrolle sein. Das wohnt ihrer Logik inne, ist ihr intrinsisches Motiv. Zum Vorwurf kann man das ihnen selbst gar nicht machen, sondern nur denen, die sie schufen. Eine parlamentarische Kontrolle wird von Geheimdiensten immer nur als Einschränkung empfunden werden. Sie werden diese mit allen Mitteln – auch den ihnen an die Hand gegebenen illegalen – zu verhindern suchen.

Parteiseifenoper mit Kollateralschaden

Doch Jürgen Geuter hat die Hoffnung nicht aufgegeben: „Wir können das Gute, das wir im Internet erlebt haben, in die physische Welt übertragen und anderen Menschen ermöglichen. Indem wir mutig sind und kämpferisch, indem wir unseren Mitmenschen ein Beispiel dafür sind, dass in Kooperation mehr Wert für uns alle liegt als im Misstrauen.“

Was wir tatsächlich beobachten können: Einer dieser Versuche scheitert gerade, was Geuters Position nicht überzeugender macht. Der rasante Aufstieg und Niedergang der Piraten – eben bedingt durch den Sieg von Misstrauen über Kooperation – haben der Netzpolitik einen großen Schaden zugefügt: Dass angesichts der umfassenden Überwachung des Internets statt Widerstand hierzulande Resignation um sich greift, hat auch damit zu tun.

Zwar ist es den Piraten gelungen, mit ihrer Parteiseifenoper aus den Schlagzeilen zu verschwinden. So sind aber auch die Inhalte, für die die Partei einst angetreten ist, weitgehend aus dem öffentlichen Diskurs verschwunden. Der Kollateralschaden: Die Kräfte, die sich schon vor dem Aufstieg der Piraten mit der Politik des Digitalen befasst haben, die die frohe Botschaften des „Guten“ des Internets in die Welt getragen haben, sind in den Sog vermeintlicher Unseriösität und amateurhaften Politikverständnisses geraten. Progressive netzpolitische Anliegen haben es schwerer als je zuvor.

Wessen Netz ist kaputt?

Dabei hatten sie es ohnehin schon schwer, weil der Großteil der Bevölkerung das Netz als gegeben hinnimmt, so wie die Stromversorgung und volle Supermarktregale. Das Netz ist für sie nicht kaputt. Solange sie keine direkten massiven Einschränkungen des Netzes und Auswirkungen auf ihren persönlichen Alltag erleben, wird jedes Überwachungsprogramm hingenommen werden. Verkürzt gesagt: Der Aufstand in der DDR wurde nicht wegen der Stasi, sondern wegen der als mangelhaft empfundenen Teilhabe am Konsum zur Massenbewegung.

Also doch resignieren? Nein. Aber nicht der Illusion aufsitzen, mit Petitionen oder Latschdemos etwas Relevantes zu erreichen. Solange keine breite gesellschaftliche Verständigung darüber stattfindet, ob man überhaupt eine andere Gesellschaft will, bleibt die zugegeben traurige Bilanz: Mehr als Widerstand im Kleinen und digitale Selbstverteidigung sind zu diesem Zeitpunkt nicht drin.

Lorenz Matzat ist Journalist und Unternehmer in Berlin. Er schreibt das Blog datenjournalist.de, engagiert sich im Digitale Gesellschaft e.V. für Open Data, betreibt mit zwei Partnern die Datenjournalismusagentur OpenDataCity und ist Gründer von Lokaler, einem Anbieter von Geoinformationssystemen.

May 31 2013

Leser sind eingeschlossen in E-Book-Ökosystemen

Wenn es Amazon oder Apple wollten, könnten E-Books zwischen Plattformen wie Kindle und iBooks austauschbar sein. Doch die Firmen verhindern das und schaden damit der europäischen Buchkultur. Zu diesen Ergebnissen kommt eine Studie der Europäischen und Internationalen Buchhändlervereinigung. iRights.info sprach mit den Autoren.

blaesi_rothlauf_3

Christoph Bläsi (l.) und Franz Rothlauf: „Der Nutzer sollte darauf achten, möglichst offene Endgeräte zu kaufen, und nicht solche, die für eine bestimmte Plattform geschlossen sind.“ Foto: Matthias Spielkamp

iRights.info: Herr Bläsi, Herr Rothlauf, Sie haben im Auftrag der Europäischen und Internationalen Buchhändlervereinigung (EIBF) in einer Studie untersucht, wie es um die Interoperabilität bei E-Books bestellt ist. Was ist mit Interoperabilität gemeint?

Christoph Bläsi: Vollständige Interoperabilität wäre erreicht, wenn man eine Buchdatei von einer Plattform, also etwa Amazons Kindle, nehmen könnte und mit allen Funktionalitäten in einem anderen System, zum Beispiel Apples iBooks, damit weiterarbeiten könnte. Mit Funktionalitäten ist alles gemeint, was sich um diese Datei herum rankt, zum Beispiel Metadaten, Kommentare, „social reading“-Spuren, Anmerkungen, Heraushebungen.

iRights.info: Und im Moment sind die E-Book-Formate nicht kompatibel?

Christoph Bläsi: Jedenfalls nicht vollständig. Man kann zum Beispiel auf einem iPhone von Apple eine Kindle-App haben, mit der man Amazon-Bücher kaufen und lesen kann. Aber diese Bücher sind dann woanders als die Bücher, die man bei Apple gekauft hat. Man kann sie nicht miteinander in Verbindung bringen, nicht in einer Liste sehen und so weiter.

iRights.info: Welche Formate gibt es derzeit und wie passen sie zusammen?

Christoph Bläsi: Es gibt einen Vorschlag für ein Standardformat, das heißt Epub3. Dann gibt es das Format KF8 von Amazon, und zwei Formate von Apple. Die sind zueinander nicht kompatibel. Eines der Apple-Formate ist mit Epub3 relativ gut kompatibel, und innerhalb der Apple-Welt kann man Epub3-Formate auch lesen. Man kann aber trotzdem nicht sagen, dass Apple ein offenes System ist; die Firma schützt ihre Dinge dann anders.

iRights.info: Warum machen die Hersteller das überhaupt – Formate anbieten, die miteinander nicht kompatibel sind –, statt einfach ein Standardformat zu nutzen?

Christoph Bläsi: Das hat mit dem Geschäftsmodell der Unternehmen zu tun. Denen geht es darum, voneinander abgeschlossene so genannte Ökosysteme für Inhalte aufzubauen. Das sind um ein E-Book oder ein bestimmtes Produkt herum aufgebaute Welten, in denen sich der Nutzer bewegt. Und sie sind aus Sicht des Unternehmens am sinnvollsten so aufgebaut, dass der Nutzer auf dieser Plattform bleibt, dort einkauft, dort Nutzungsspuren hinterlässt. Nicht kompatible Datenformate sind ein effektives Instrument, solche Ökosysteme aufzubauen.

iRights.info: Wäre denn Epub3 in seiner Funktionalität mit den anderen Formaten gleichwertig?

Christoph Bläsi: Das ist ein wichtiger Punkt, denn Apple und Amazon könnten ja behaupten, Interoperabilität ist nicht möglich, weil ihre eigenen Formate Funktionen erlauben, die mit Epub3 nicht möglich sind. Zum Beispiel Ausschnitte zu vergrößern oder eine Vorlesefunktionen. Wir haben herausgefunden, dass das nicht der Fall ist. Das ist ein ganz essentieller Teil unserer Studie. Alles, was man sich für so genannte „enhanced E-Books“, also E-Books mit erweiterten Funktionen, wünschen kann, ist mit Epub3 möglich. Es ist sogar so, dass Epub3 Eigenschaften möglich macht, die sonst mit keinem anderen Format möglich sind. Die Verbände von Verlagen und Buchhändlern hätten hier also die Möglichkeit, Amazon und Apple argumentativ den Rückweg zu versperren.

iRights.info: In Ihrer Studie sind Sie auch zu dem Schluss gekommen, dass der Mangel an Interoperabilität eine Gefahr darstellt für die Vielfalt der Buchkultur in Europa. Wie kommen Sie zu dem Ergebnis?

Christoph Bläsi: Die Menge aller angebotenen Bücher ist bei den verschiedenen Shops in den verschiedenen Welten nicht identisch. Die haben zwar eine große Überschneidung – die Bestseller gibt es überall –, aber wenn ich mich einmal für eine Plattform entschieden habe, und ich will ein Buch kaufen, das nicht gerade ein Bestseller ist, kann es sein, dass es diesen Titel in dem Ökosystem, in dem ich mich bewege, nicht gibt, sondern nur in einem anderen. Da ich die Bücher von dort aber nicht lesen kann, ist mir zwar nicht endgültig der Zugang zu diesem Buch verwehrt, aber mir ist eine extreme Hürde errichtet worden.

iRights.info: Sie haben in der Studie auch festgestellt, dass Interoperabilität aber möglich wäre.

Franz Rothlauf: Ja, auf der Formatebene ist das relativ leicht, denn die Formate lassen sich leicht ineinander umwandeln. Aber eine der Haupterkenntnisse der Studie war, dass dies für echte Interoperabilität nicht ausreicht. Interoperabilität in dem Sinne, dass der Nutzer Wahlfreiheit hat, welche Bücher er mit welchen Lesegeräten lesen möchte, die erreichen Sie nur dann, wenn die vorher beschriebenen Ökosysteme kompatibel sind.

iRights.info: Warum ist das so schwierig?

Franz Rothlauf: Weil es eben oft dem Geschäftsmodell der Unternehmen widerspricht. Die sind daran interessiert, den Nutzer an diese eine Plattform zu binden. Und es gibt noch eine Schwierigkeit: Wenn Sie ein Buch bei Anbieter A gekauft haben, dann kommt das mit bestimmten Rechten und Restriktionen, die durch eine digitale Rechteverwaltung gesichert sind. Zum Beispiel dürfen Sie das Buch nur zwanzig Mal anschauen. Wenn Sie dieses Buch in ein anderes Ökosystem B übertragen, muss der Anbieter dieses Ökosystems dann eigentlich diese Rechte und Restriktionen garantieren, die Ihnen von B auferlegt oder gewährt wurden. Sie müssen also die Rechte, die Sie an dem Buch haben, übertragen können vom einen zum anderen. Das ist zwar technisch möglich, aber ich muss es als Anbieter auch wollen.

iRights.info: Wer könnte Ihrer Ansicht nach auf welche Weise dafür sorgen, dass Interoperabilität Wirklichkeit wird?

Franz Rothlauf: Der Nutzer sollte darauf achten, möglichst offene Endgeräte zu kaufen, und nicht solche, die für eine bestimmte Plattform geschlossen sind. Das gilt vor allem auch für Anschaffungen durch öffentliche Einrichtungen, Regierungen zum Beispiel. Den großen Playern auf dem Markt, also hauptsächlich Amazon und Apple, würden wir nahelegen, dass sie ihre Systeme öffnen.

Und als letztes würden wir auch den kleinen Buchläden empfehlen, die Herausforderung E-Book anzunehmen. Dass sie aktiv auf E-Books zugehen und ihren Kunden das auch ermöglichen. Denn wir beobachten, dass der Buchhändler um die Ecke zwar sehr gerne Bücher mag, aber mit den ganzen technischen Details, die es erfordert, um E-Books auf dem Markt anzubieten, überfordert ist. Wir glauben deshalb, dass das nur im Zusammenschluss mit anderen Händlern oder Verbänden möglich sein wird.

Christoph Bläsi: Das ist natürlich ein klein wenig eine Wunschvorstellung, der wir da anhängen. Denn die Latte hängt schon sehr hoch – was die Ökosysteme jetzt schon an Funktionen bieten, das ist gigantisch. Da geht es nicht nur darum, die Kräfte zu bündeln und gegensätzliche Interessen zu überwinden. Sondern man muss auch einen Weg finden, wie man das finanziert. Denn wenn man über die Technologie spricht, dann geht es um viel Geld. Und derjenige, der dahinter steht, wäre ja kein Unternehmen, sondern ein Zusammenschluss von Unternehmen, bei dem einige der Mitglieder dann selber Interessen haben – eine schwierige Sache.

Dr. Christoph Bläsi ist Professor am Institut für Buchwissenschaft der Johannes Gutenberg-Universität Mainz, Dr. Franz Rothlauf ist Professor für Wirtschaftsinformatik und BWL der Johannes Gutenberg-Universität Mainz.

March 30 2013

Deutschlandradio Kultur über die Cloud und digitale Konzertsäle am Samstag 14.05 Uhr

Die allseits beliebte Sendung rund um Medien und digitale Kultur “Breitband” gibt es heute wieder um 14.05 Uhr auf Deutschlandradio Kultur zu hören. Mit dabei ein Interview mit iRights-Kollege Philipp Otto zum Thema: Gewachsene Abhängigkeit – wie viel Vertrauen legen wir in die Cloud? Im Vorbericht zur Sendung heisst es:

Was passiert, wenn Dienste ihre Datenschnittstellen einschränken, woher kommt die Popularität von Whatsapp, Facebook, Spotify, Twitter und Co., und was haben Cloud-Dienste, was wir nicht haben?

Hier der Link zu unserem Informationsportal zu Cloud Computing.


Zeichnung von BBobyXP auf Deviantart, CC-BY-SA
Disclaimer: Mem.

In der Sendung wird es viele weitere spannende Themen geben. So geht es zum Beispiel um Bittorrent Live und Video-Streaming-Netzwerke Marke Eigenbau. dazu wird es auch noch ein Interview mit Alexander D. McWilliam geben. McWilliam spricht unter anderem über “How to build a digital concert hall?

Hier alle Informationen wie DRadio Kultur nachher – oder auch schon jetzt – gehört werden kann.

Reposted byphintech phintech
Older posts are this way If this message doesn't go away, click anywhere on the page to continue loading posts.
Could not load more posts
Maybe Soup is currently being updated? I'll try again automatically in a few seconds...
Just a second, loading more posts...
You've reached the end.

Don't be the product, buy the product!

Schweinderl