Brainweich

Das Sommerloch ist vorbei (deutlichster Hinweis: Das Wetter) und der Informationsfluss hat wieder das übliche Tempo aufgenommen. Folglich weiß ich in dieser Woche gar nicht, wo ich anfangen soll. Am besten bei A wie…

Atomstreit: Krieg der Studien

Während Bundes-Merkel auf der Suche nach einem Energiekonzept noch durch die Kraftwerke tingelt, schüttelt Ökostrom-Anbieter Lichtblick schnell ein eigenes aus dem Ärmel. Demzufolge kann die Stromversorgung Deutschlands bis 2050 zu 100 % aus regenerativen Energien gesichert werden, sofern jetzt in neue Speicher und Stromnetze investiert wird. Ein Gutachten aus Regierungsauftrag hingegen kommt erwartungsgemäß zu einem anderen Ergebnis – doch die Zeit will gravierende Fehler in der Argumentation gefunden haben.

Wie Dokumente zeigen, haben die Gutachter längere Reaktorlaufzeiten daher geradezu schöngerechnet. Sie vergleichen die Folgen verschiedener Laufzeitverlängerungen mit einem sogenannten Basisszenario, dem bislang geplanten Atomausstieg. Während aber bei allen Verlängerungsszenarien zusätzliche, vom Betrieb der Kernkraftwerke völlig losgelöste Klimaschutzmaßnahmen berücksichtigt werden, finden diese im Basisszenario nicht statt. Als ob Klimaschutz nur machbar wäre, wenn die Meiler länger am Netz blieben. Eine absurde Annahme.

Zudem wird die Unabhängigkeit der Studie bezweifelt: Das Institut erhält nicht unwesentlich Gelder aus den Kassen von Eon und RWE. Gleichzeitig wird das Bundesministerium für Wirtschaft von Greenpeace verklagt, um die Veröffentlichung des Energieberichts 2009 zu erreichen. Die Organisation vermutet darin Informationen, die den Atombefürwortern die Argumentationsgrundlage entziehen. Es bleibt spannend.

Gummiparagraph: Bundeskabinett legt Entwurf zum Arbeitnehmer-Datenschutz vor

Thomas de Maizières neues Datenschutzgesetz folgt wieder einmal der Linie: “Es ist alles ok, solange nur alle darüber Bescheid wissen” So sollen Arbeitnehmer nun offiziell ihre Mitarbeiter mit Videokameras überwachen dürfen – Hauptsache, es hängt ein ISO-genormtes Schild an der Tür und alle Mitarbeiter haben einen Einverständniszettel unterschrieben. Darüber, das Arbeitnehmer wohl kaum eine Wahl haben, solche Maßnahmen abzulehnen, wenn sie ihren Arbeitsplatz nicht verlieren wollen, wird wie üblich kaum ein Wort verloren. Die Grünen wollen Mitte September einen eigenen (löblichen, aber zum Scheitern verurteilten) Vorschlag in den Bundestag einbringen und wagen dafür ein interessantes Experiment: Der Entwurf ist unter http://beschaeftigten-datenschutz.de/ einsehbar und kann von allen Interessierten kommentiert werden. Bleibt die Frage: Wann kommt Liquid Feedback?

Don’t mess with the cat

Apropos Videoüberwachung: Eines kann man der sogenannten Internet-Community nicht vorwerfen: Mangelnde Tierliebe. Das musste zuletzt eine Frau aus Coventry feststellen, die offenbar in einem Anfall geistiger Umnachtung die Nachbarskatze in eine Mülltonne warf. Dummerweise hatten die Nachbarn über besagter Tonne eine Kamera angebracht, die den Vorfall dokumentierte. In einem weiteren Umnachtungsanfall stellten die Katzenbesitzer das Video bei Youtube ein (ok, mangelnden Respekt vor menschlichen Persönlichkeitsrechten kann man schon einigen vorwerfen). Womit sie alle wohl nicht gerechnet hatten, war der Sturm der Entrüstung, der darauf über Conventry hereinbrach. Wütende Mobs bedrohten die Frau, die die ganze Aufregung gar nicht verstand. Vielleicht sollte ihr jemand mal eine wichtige Internetregel erklären: Das Internet liebt Katzen.

Die Rache der Raucher: Schwere Zeiten für bayrischen Volksentscheid-Initiator

Apropos wütender Mob: Mit einem solchen hat auch Sebastian Frankenberger zu kämpfen. Der Initiator des bayrischen Nichtraucher-Volksentscheids kann sich seit der Entscheidung für das schärfste Nichtrauchergesetz in Deutschland kaum mehr in einer Kneipe blicken lassen. In den meisten hat er Lokalverbot. Leute wechseln die Straßenseite, Frankenberger wird offen angfeindet. So sehr ich auch die bayrische Lösung ablehne: Im Grunde haben die Wirte und Raucher selbst schuld. An dem Volksentscheid haben gerade einmal 37,7 % teilgenommen – hätten all diejenigen, die Frankenberger jetzt vor die Füße spucken, an besagtem Sonntag den Arsch hochbekommen, könnten sie jetzt friedlich in der Eckkneipe weiterquarzen.

Pepkac: Der ePA im Test

Der CCC hat in einem Plusminus-Beitrag gezeigt, warum der neue elektronische Personalausweis (ePA) nicht sicher ist. Zwar mag das Dokument selbst gut geschützt sein – die Schwachstelle ist aber – wie so häufig – der Anwender: Ist der PC, auf dem der ePA genutzt wird, mangels Schutz kompromittiert, helfen auch alle Verschlüsselungen nicht mehr.

Männlich, Weiblich, Sonstiges: Indien und Pakistan erkennen drittes Geschlecht an

Lesetipp zum Wochende: In westlichen Kulturen wird die Idee eines dritten Geschlechts erst seit wenigen Jahren vereinzelt diskutiert. Im nahen und mittleren Osten ist das Drei-Geschlechter-Modell seit Jahrtausenden tief verwurzelt: Die Aufteilung in zwei Geschlechter wurde von den britischen Kolonialherren importiert. Damit ist nun in Indien und Pakistan Schluss, seit kurzem gibt es juristisch wieder drei Optionen.

Verbaldiarrhoe

Ach ja. Zum Thema Sarrazin kann ich eigentlich nur Haekelschwein zitieren:

In diesem Sinne.

Schönes Wochenende.

Don’t be evil: Google’s Deal mit Verizon

Webplatzhirsch Google und der US-Provider Verizon haben dieser Tage in einem gemeinschaftlichen Kraftakt die Netzneutralität beerdigt. Oder so ähnlich. Oder auch gar nicht: ich muss zugegeben, ich habe vor lauter PR-Texten, Analysen und Dementis den Faden verloren und habe keine Ahnung, was da jetzt eigentlich konkret von wem beschlossen wurde. Und ich werde das Gefühl nicht los, dass es auch sonst keiner weiß. Tatsache ist: Es gibt eine Vereinbarung zwischen Google und Verizon, die eine breite Debatte zur Netzneutralität ausgelöst hat.  Jeff Jarvis bezeichnet es als neues Münchner Abkommen, die Zeit sieht gar ein digitales Mittelalter aufziehen. Ein Bündnis aus bekannten Netzpolitikern sieht sich dazu veranlasst, die Initiative Pro Netzneutralität ins Leben zu rufen. Um zu verdeutlichen, warum Netzneutralität wichtig ist, hat Yucca Tree Post eine leckere Analogie:

Nehmen wir an, ich möchte meiner Oma zum Geburtstag eine Tafel Bitter Sport schicken. Der Postangestellte sagt: Zustellung dauert eine Woche, aber wenn sie vielleicht lieber Pilka-Schokolade verschicken möchten, wäre ein Versand bis morgen möglich. Allerdings stellen wir auch jede andere Sorte bis morgen zu, wenn Sie die BonusZustellCard bestellen. Kostet nur 5 Euro im Monat zusätzlich. [...]

Woher wusste der Postangestellte, welche Schokoladensorte ich verschicken wollte? Weil er ins Päckchen geschaut hat.

Google, die zweite: Vergesst Streetview

Ebenfalls in dieser Woche (but this is just a conincidence) gab Google bekannt, das umstrittene Projekt Streetview Deutschland noch in diesem Jahr starten zu lassen. Die Ankündigung ist nicht nur geeignet, von der Verizon-Geschichte abzulenken, sondern bietet auch diversen Politikern die Möglichkeit, das verbliebene Sommerloch mit Google-Bashing zu füllen. Flugs sprießen Bürgerinitiativen aus dem Boden, die sich vehement dagegen wehren, ihr Haus von Google fotografieren zu lassen. Und damit das auch alle mitbekommen, lassen sie sich für die Zeitung vor ihrem Haus fotografieren. So sind alle wieder beschäftigt und niemand hat Zeit, über Netzneutralität, Zensus 2011 oder Datenschutz für Migranten und sozial Schwache nachzudenken.

Sixtus vs. GVU: Urheberrechte den Urhebern!

Mit einer groß angelegten Take-Down-Aktion segelte die GVU – Lieblingsfeind der Netizens – in das Fettnäpfchen der Woche. Die Gesellschaft zur Verfolgung von Urheberrechtsverletzungen e.V. hatte durch einen Subunternehmer ca. 5 Mio Videos verfolgen und löschen lassen, da sie Verstöße gegen das Urheberrecht vermuteten. Dummerweise waren auch vier Folgen von Mario Sixtus “Elektrischer Reporter” und das bekannte “Du bist Terrorist”-Video von Alexander Lehmann darunter – allesamt unter Creative Commons Lizenz stehend und für nicht kommerzielle Nutzung freigegeben. Ãœber den Fehler informiert, nahm die GVU die Löschanforderung zurück und die Videos sind wieder online. Das alles wäre nun eigentlich kein großer Aufreger. Wenn es nicht die GVU gewesen wäre. Und Mario Sixtus. Und wenn das beides zusammen nicht so eine großartige Gelegenheit wäre, die Lautsprecher der Content-Mafia mit ihren eigenen Waffen zu schlagen:

Nun mag der Eine oder die Andere mein Vorgehen für übertrieben halten, das ist es m.E. aber nicht. Die GVU ist für ihr (vorsichtig ausgedrückt) hartes Vorgehen gegen Urheberrechtsverletzer bekannt. Sie gehört zu der Fraktion, die wahrscheinlich am liebsten Schulkinder mit Handschellen von Schulhof abführen würden, weil sie eine gebrannte DVD getauscht haben. Wenn dieser Verein in meine Rechte eingreift, sehe ich es nicht ein, Fünfe gerade sein zu lassen.

- from: sixtus.cc

Hoffen auf die nächste Instanz: Dresdner Urteil gegen die Pressefreiheit

Wenn Journalisten sich einer Information nicht sicher sind, formulieren sie sie meist als Frage:

“Ermittelten die Polizisten möglicherweise illegal oder verdeckt gegen N.? Gerieten sie unter Druck, weil der einflussreiche Richter Dienstaufsichtsbeschwerde gegen sie erhob?”

Mit einer Formulierung wie dieser kann normalerweise elegant eine Verleumdungsklage vermeiden – jedenfalls, wenn man nicht gerade in Sachsen publiziert. Dort nämlich entschied das Dresdener Amtsgericht, dass sich die Journalisten Arndt Ginzel und Thomas Datt mit diesen zwei Sätzen in einem Zeit-Online-Artikel der Verleumdung schuldig gemacht haben und eine Geldstrafe zu zahlen haben. Der Richter will hier eine “ehrabschneidende Tatsachenbehauptung” erkennen. Das Urteil ist aus mehreren Gründen ein Skandal, findet nicht nur die Zeit. So musste Deutschland nach dem Rüffel von Amnesty International auch noch einen von Reporter ohne Grenzen einstecken. Na danke schön.

Kürzlich hatte ich wieder einen Kollegen im Büro stehen, der das Gespräch mit den Worten “Du kennst dich doch aus” begann. Er schilderte mir ein Problem, dass heutzutage nicht ungewöhnlich ist. Ein ebay-Trickbetrüger hatte ihn als Opfer auserkoren. Und obwohl er bei Gericht diverse E-Mails vorlegen konnte, die seine Position untermauerten, konnte er den Richter nicht überzeugen – E-Mails gelten nicht als rechtssicher und werden üblicherweise nicht anerkannt. Das hierin ein Problem liegt, ist wohl unstrittig. So stehen wir nun vor der Frage, was tun wir jetzt dagegen?

Bereits bestehende Verschlüsselungs- und Signatursysteme, die den E-Mail-Verkehr absichern könnten, konnten sich bisher nicht durchsetzen – da dies stets die Installation von Software und zumindest grundlegende Kenntnisse der Handhabung erforderte. Also eine Auseinandersetzen mit einer Technik, die die meisten Menschen schlicht nicht interessiert, die halt einfach nur funktionieren soll. Im Grunde wollen nämlich die meisten nicht verstehen, was da in diesem komischen Kasten eigentlich vor sich geht. Es soll ihnen nur jemand sagen, wohin sie klicken sollen. Vater Staat hat dieses Bedürfnis erkannt und nimmt seinen Bürgern das Thema E-Mail-Verschlüsselung endlich ab. Mit De-Mail soll ab Herbst der sichere Versand rechtsverbindlicher E-Mails möglich sein, ohne dass sich der Absender oder der Empfänger um den Austausch von Schlüsseln, Generieren von Signaturen und signierender Nachrichten kümmern muss. All das übernehmen zertifizierte Anbieter wie zum Beispiel die für ihren verantwortungsvollen Umgang mit Daten bekannte Telekom.

Sicher heißt in diesem Zusammenhang nicht “absolut unknackbar” sondern “sicher genug, um es anzuerkennen” im Sinne von “ähnlich sicher wie Papierpost”. Wie Kristian Köhntopp treffend feststellt:

“Die Vertraulichkeit ist im Kontext DE-Mail nicht primär relevant, denn DE-Mail war nie designed um sicher im Sinne von vertraulich zu sein. Es geht stattdessen um die Schaffung von Rechtssicherheit und das ist im wesentlichen keine technische, sondern eine juristische Konstruktion, bei der die technischen Maßnahmen nur qualifizierende Begleiterscheinungen sind, die die juristische Fiktion von DE-Mail stützen sollen. Daher laufen Verweise auf PGP und ähnliches auch am Thema vorbei. “

In Netzkreisen fand das Projekt indes wenig Zuspruch, und doch geht der Diskurs häufig am Kern vorbei: In schrillen Tönen werden Punkte kritisiert, die überhaupt nicht Gegenstand der Diskussion sind. So ist die eindeutige Identifizierbarkeit nicht das Problem – sondern Sinn der Sache. Bei der Kommunikation mit einer Behörde muss man sich ohnehin eindeutig identifizieren – oder hat schon einmal jemand anonym die Ausstellung eines Personalausweises beantragt? Die Befürchtung, dass DE-Mai nun irgendwann verpflichtend wird und E-Mails außerhalb dieses Systems verboten werden, ist paranoid. “Illegales Filesharing” kriegen sie nicht in den Griff, aber private Mails sollen einfach so verboten werden können? Nicht alles, was theoretisch denkbar ist, ist auch realistisch. De-Mail wird auch nicht die Papierpost ablösen, sondern allerhöchstens das Fax. Die Verzeichnisdienste oder der Zugriff durch Strafverfolgungsbehörden bedürfen zwar in der Tat einer Ãœberprüfung, aber auch sie sind nur Randerscheinungen.

Das größte Problem bei DE-Mail ist ein ganz anderes: Ich habe als Nutzer keine Verfügungsgewalt über meine Signatur und meinen Schlüssel. Ich berechtige also einen anonymen Konzern, in meinem Namen zu unterschreiben. Und anders als bei Unterschriftenfälschungen auf Papier kann ich nur schwer beweisen, dass ich nun gerade diese Unterschrift aber nicht in Auftrag gegeben habe. Der De-Mail-Support von Web.de teilte auf Anfrage außerdem mit, dass man noch nicht wisse, ob der Abruf der Mails auch per Pop3 oder Imap möglich sein wird, und ob man auch seine eigene Verschlüsselung (weiter) nutzen kann. Meine Korrespondenz liegt also auf Servern, über die ich keine Kontrolle habe.

Missbrauch lässt sich organisatorisch höchstens erschweren, nie aber ausschließen. Bei De-Mail wird versucht, das Missbrauchsrisiko durch Zertifizierung und Kontrollen durch das BSI zu minimieren. Die Technische Richtlinie des BSI – die aktuelle Richtlinie für Bürgerportale (die demnächst noch umbenannt werden soll) – legt detailliert fest, was für die Zertifizierung gegeben sein muss: Getrennte Management-Netze, verteilte Rollen für verschiedene Administrationsaufgaben, Zutritt nach 4-Augen-Prinzip, Logging von Änderungen.

Warum das so wichtig ist, soll ein kleines Beispiel zeigen: Angenommen, der Admin, der die interne Benutzerverwaltung betreut, will irgendwelchen Schindluder mit einer digitalen Unterschrift treiben. Sagen wir: um dem neuen Lover seiner Verflossenen eins auszuwischen. Um seine Spuren zu verwischen, müsste er auch die Logs (Protokolle) bearbeiten und seine Aktivitäten herauslöschen. Da er Zugriff auf die Benutzerverwaltung hat, kann er sich einfach in die Logging-Gruppe reinschreiben und alle Aktivitäten hinterher wieder aus dem Protokoll löschen. Also: Änderungen an den Benutzerrechten müssen mindestens protokolliert werden – denn dann bleibt im genannten Beispiel zumindest der Austritt aus der Logging-Gruppe auf jeden Fall im Protokoll. Besser: Die Logging-Gruppe liegt in einer anderen Domäne, auf die unser Beispiel-Admin keinen Zugriff hat und sich gar nicht erst eintragen kann.

Die ISO 27001 sieht eine jährliche Ãœberprüfung und alle 3 Jahre eine vollständige Neuzertifizierung vor. Doch das reicht nicht. Die Möglichkeiten des Missbrauchs ergeben sich oft aus winzigen Details, oder schleichen sich in der Praxis irgendwann ein. Die Lücken im System sind oft so klein, dass nur wenige Mitarbeiter davon wissen und externe Auditoren sie nur durch Zufall finden können. Ein Stück weit könnte hier ein System helfen, dass es Mitarbeitern ermöglicht, die Aufsichtsbehörde anonym auf Schwachstellen hinzuweisen – ohne negative Konsequenzen befürchten zu müssen. Ein toter Briefkasten beim BSI also, und entsprechende Regelungen, die die Anonymität der Whistleblower gewährleisten.

Dieser ganze Aufwand müsste allerdings gar nicht betreiben werden, wenn die De-Mail-Kunden selbst im Besitz ihrer Unterschrift und Schlüssel blieben. Doch der Referenten-Entwurf bietet nicht einmal  optional die Möglichkeit, eine eigene Signatur und einen Krypto-Key zu verwenden. §4 des Entwurf schreibt lediglich zwei Möglichkeiten der sicheren Anmeldung am Postfach vor – eine davon muss der neue elektronische Personalausweis sein.

Derzeit ist bei den zukünftigen akkreditierten Anbieter allerdings selbst noch nicht sicher, wohin die Reise geht. Noch ist Luft nach oben, die genutzt werden möchte. Denn eigentlich – wenn man die reflexhaften Bedenken mal beiseite lässt, die sich immer dann einstellen, wenn die Regierung etwas zusammen mit der Telekom macht – ist De-Mail gar keine so schlechte Idee.

Die Rechtsgrundlage heraus zu finden, ist nicht ganz einfach (Verlinkungen wären klasse gewesen…): §18 Abs. 4 Punkt 3 verweist auf das BSI-Gesetz, §9. Der wiederum spricht lediglich von “vom Bundesamt festgelegte Kriterien”. In der BSI-Publikation “Akkreditierung und Zertifizierung von De-Mail-Diensteanbietern – Eine Ãœbersicht über die technischen Vorgaben zur Gewährleistung der sicheren Kommunikationsinfrastruktur” findet sich dann aber der Hinweis:

“Für den Bereich Sicherheit muss ein ISO 27001 Zertifikat auf der Basis von IT-Grundschutz ergänzt um De-Mail-spezifische Anforderungen vorgelegt werden. Die allgemeinen Anforderungen finden sich in der BSI TR 01201 Teil 6 (Modul Sicherheit), 6.1 (Schutzbedarfsfeststellung) und 6.2 (Ãœbergeordnete Komponeten) sowie in den dienstespezifischen BSI TR 01201 Teil 1.3 (Basisinfrastruktur), 2.3 (Accountmanagement), 3.3 (Postfach und Versanddienst), 4.3 (Identifizierungsdienst) und 5.3 (Dokumentensafe)“

Die Bundesregierung hat überrascht festgestellt, dass das ELENA-Projekt ja Geld kostet und lässt nun prüfen, ob es wieder eingestampft werden soll. Ob es tatsächlich ein löblicher Sparvorschlag ist, oder man nur keine Lust hat, sich mit der nächsten Schlappe vor dem Bundesverfassungsgericht auseinander zu setzen, sei dahingestellt. Was auch immer der wirkliche Grund für den Umschwung sein mag: Die Rücknahme von ELENA ist in jeder HInsicht die richtige Entscheidung.

Ah, es ist offiziell online! Unter www.selbstauskunft.net kann man nun kostenlos und ohne Datenschutzbedenken seine Selbstauskünfte automatisiert per Fax anfordern. Hier kann man nun zur Zeit über 30 Firmen gleichzeitig anschreiben, die gestellten Anfragen verwalten und Antworten festhalten.

Jetzt geht’s erst richtig los.

Ich persönlich empfehle aber, nicht wahllos alle anzuschreiben, die auf der Liste stehen. Einige Unternehmen sind reine Inkasso-Büros, die keine Bonitätsauskünfte o.ä. anbieten. Diese sammeln oft nur Daten aus ihrer Region und sind eher Endkunden im Adresshandel. Man sollte also aufpassen, dass das Selbstauskunftsrecht nicht zu einem Instrument wird, bundesweit die Qualität der Adress-Ware zu verbessern.

Diese Firmen habe ich bisher angeschrieben:

• Accumio finance service GmbH
• Arvato Infoscore GmbH
• SCHUFA Holding AG
• ADF Allgemeine Datenbank für Forderungseinzug GmbH
• Bürgel Wirtschaftsinformationen GmbH & Co. KG
• CEG Creditreform Consumer GmbH
• Deltavista GmbH
• DEMDA Deutsche Mieter Datenbank KG
• EOS Information Service GmbH
• Gesamtverband der Deutschen Versicherungswirtschaft
• Schober Information Group Deutschland GmbH
• WID Wirtschafts-Informations-Dienst GmbH
• Allgemeiner Debitoren- und Inkassodienst GmbH
• Bremer-Inkasso GmbH
• CL Inkasso AG
• Dr. Duve Inkasso GmbH
• el-Inkasso Gesellschaft für Forderungsmanagement mbH
• euroliquid oHG
• Inkasso Arnold
• mediafinanz AG
• Merkur GmbH Forderungsmanagement, Inkasso, Auskunftei
• Prodefacto Forderungsmanagement GmbH

Heute trudelte von der Firma accumio (der Bertelsmann-Ableger mit dem Mietercheck) die erste Reaktion auf meine Selbstauskunftsanfrage ein.

Wie zu erwarten war, fordern sie eine Kopie meines Personalausweises; irrelevante Angaben – darauf wird ausdrücklich hingewiesen – darf ich selbstverständlich schwärzen. Im Grunde finde ich es ganz gut, dass die nicht einfach irgendeinem dahergelaufenen Briefeschreiber meine Daten zuschicken. Schließlich muss die Adresse, die ich angegeben habe nicht zwingend mit deren Daten übereinstimmen. Das heißt, sie können nicht zweifelsfrei wissen, wo ich tatsächlich wohne. Andererseits aktualisiere ich nun natürlich ihren Datensatz. Das muss man für sich persönlich abwägen. Da ich davon ausgehe, dass zumindest meine Adresse sowieso überall bekannt sein dürfte, werde ich die Kopie hinschicken. Aber: ich denke, man sollte immer warten, ob danach gefragt wird. Erstens produziert das mehr Aufwand (Kostensteigerung!) und zweitens muss man seine Daten ja auch nicht unnötig feilbieten.

Ab heute tritt eine Änderung im Bundesdatenschutzgesetz in Kraft, die den Bürgern ein erweitertes Auskunftsrecht bei Scoring-Unternehmen wie Schufa, Creditreform und so weiter sichert. Einmal im Jahr kann man sich nun kostenlos mitteilen lassen, welche Daten in den Unternehmen vorhanden sind, welche Scoring-Werte daraus errechnet und woher die Daten bezogen wurden.

Das tät mich doch jetzt mal interessieren! Praktischerweise stellt der Bundesverband der Verbraucherzentralen Musterschreiben und Firmenlisten zur Verfügung. Besonders interessant finde ich – neben der allseits bekannten Schufa vor allem die Arvato Infoscore GmbH. Die bieten z.B. hier in Bremen über Haus und Grund einen “Mietersolvenz-Check” an. Da kann man sich recht schnell wundern, warum man keine Wohnung bekommt. Einmal in Gröpelingen gewohnt und man findet nirgendwo mehr etwas anderes. Gleiches gilt für die DEMDA, die Deutsche Mieterdatenbank. Die sitzen auch noch in der Bremer City, da kann ich direkt mal persönlich vorbei schauen.

… to be continued …

Die Verfassungsklage gegen das ELENA-Verfahren, an der sich nunmehr genau 22.005 Beschwerdeführer beteiligen, ist heute mittag in Karlsruhe eingereicht worden. Der Deutschland-Funk hat dazu heute morgen ein Interview mit Rena Tangens vom Foebud geführt:

Interview mit Rena Tangens zur ELENA-Klage (mp3, 7:59 min)

Der FoeBuD e.V. wird demnächst Verfassungsbeschwerde gegen das ELENA Verfahren einreichen und ruft zur Beteiligung auf. Ähnlich wie bei der Klage gegen die Vorratsdatenspeicherung sollen sich möglichst viele Bürger an einer Sammelklage beteiligen.

Dafür reicht es, sich hier zu registrieren – daraufhin erhält man einen Vordruck der Vollmacht, die eigenhändig unterschrieben eingesandt werden muss. Kosten entstehen keine – Spenden werden aber ohne Meckern akzeptiert!

Wichtig: Die Zeit drängt! Die unterschriebenen Vollmachten können nur noch bis zum 25.03.2010 eingereicht werden.

*zum Briefkasten flitz*

“Schreib mal was über ELENA!”, forderte Verona neulich. Das neue Verfahren zur Erbringung elektronischer Entgeltnachweise ist unauffällig und ohne laute Debatte eingeführt worden. Nach wie vor bleibt der große Aufschrei aus. Zu Unrecht. ELENA hebt die Vorratsdatenspeicherung auf ein neues Level, in dem alle einkommensrelevanten Daten aller Arbeitnehmer zentral gespeichert werden. Alle Bürger, die staatliche Leistungen beantragen müssen, werden früher oder später gezwungen sein, an dem Verfahren teilzunehmen. Details über die Absicherung der Daten sind rar, die Auswirkungen könnten aber gravierend werden.

Die Idee für das ELENA-Verfahren kommt aus der 2002 eingesetzten Kommission um Peter Hartz, die den Abruf von Verdienstbescheinigungen und Arbeitsnachweisen die Einführung deiner Versicherungskarte empfahl. Das Bundesministerium für Arbeit und Wirtschaft nahm den Vorschlag auf und beauftragte die ITSG (Informationstechnischen Servicestelle der Gesetzlichen Krankenversicherung) mit der Durchführung eines Pilotprojekts. 2003 legte die ITSG ein Konzept zur Einführung des ELENA-Verfahren vor, damals noch in Verbindung mit der sogenannten JobCard. Diese Karte sollte ursprünglich bis 2007 an alle Arbeitnehmer ausgegeben werden. Weitere Nachbesserungen auf rechtlicher und technischer Seite verzögerten die Einführung jedoch weiter, bis im April 2009 das Gesetz über das Verfahren verabschiedet wurde.

Seit dem 01.01.2010 müssen nun die Arbeitgeber monatlich alle einkommensrelevanten Arbeitnehmerdaten an die “Zentralen Speicherstelle” (ZSS) melden. Die ZSS ist bei der Datenstelle der Träger der Rentenversicherung in Würzburg untergebracht, aber räumlich, organisatorisch und personell von dieser getrennt. Die Aufsicht obliegt dem Bundesministerium für Arbeit und Soziales. Die Verwaltung der Teilnehmer und Vergabe von Identitätsnummern (sozusagen die Pflege des Inhaltsverzeichnisses) übernimmt die “Registratur Fachverfahren”, ansässig bei der ITSG.

Im Moment lagern die Daten noch ungenutzt im Würzburger Rechenzentrum, ab 2012 wird das Verfahren zur Erbringung elektronischer Entgeltnachweise in Betrieb genommen. Dann werden Verdienstnachweise, so sie für die Beantragung von staatlichen Leistungen benötigt werden, von der ZSS abgerufen. In der Startphase gilt das für  Elterngeld, Wohngeld, ALG I + II, später sollen noch weitere hinzukommen. Dazu muss ein Arbeitnehmer, der den Nachweis benötigt, eine Signatur bei einer zugelassenen Zertifizierungsstelle beantragen. Es soll ab 2012 keine Möglichkeit mehr geben, den Nachweis in Papierform erbringen. Von der JobCard ist man mittlerweile wieder abgerückt, für das neue Verfahren kann jede beliebige Chipcard verwendet werden, die eine qualifizierte Signatur speichern kann (z.B. EC-Karte, ePA). Die Kosten, die für die Vergabe des Zertifikats anfallen, trägt – Ãœberraschung! – der Arbeitnehmer.

Das Verfahren wird wohl etwa folgendermaßen laufen: Wenn jemand einen Antrag z.B. auf Elterngeld stellt, wird von der Behörde eine Abfrage an die Zentrale Speicherstelle gerichtet. Diese Abfrage muss der Antragsteller mit seiner Signaturkarte genehmigen. Die Daten liegen bei der ZSS verschlüsselt vor, der Private Key zur Entschlüsslung liegt bei der Behörde, die Benutzung des Private Keys wird durch die Signatur auf der Signaturkarte des Antragstellers freigeschaltet. Dadurch entfällt zwar einerseits das Risiko, dass die Daten im Fall des Kartenverlusts unbrauchbar werden. Andererseits haben Arbeitnehmer dadurch aber keine absolute Kontrolle über ihre Daten. Die Hürde der Freischaltung durch die Signatur ist eine reine Softwarelösung und damit angreifbar. Hier gilt wie immer: “Für die Software ist der Unterschied zwischen einer Demokratie und einem totalitären System nur eine Einstellung in der Konfigurationsdatei.”

Nach wie vor ist das ELENA-Verfahren großer Kritik ausgesetzt. Hinsichtlich der Frage “Was wird gespeichert?” (PDF, 41 S.) hat die Kritik der Datenschützer bereits erst Früchte getragen. Einige der bedenklichen Felder sind aus dem Datensatz verschwunden. So werden zum Beispiel Fehlzeiten aufgrund von Streiks und Aussperrung seit dem 15.12.09 mehr oder weniger neutral als “sonstige unbezahlte Fehlzeit” erfasst. Geblieben sind jedoch Felder wie:  “Wenn Entlassung/Kündigung des Arbeitsverhältnis durch Arbeitgeber erfolgte oder erfolgt wäre, erfolgte sie wegen vertragswidrigem Verhalten des Arbeitnehmers?” oder “Schilderung des vertragswidrigen Verhaltens, das Anlass der Kündigung/Entlassung war (Freitext)”

Das größere Problem liegt aber in der unnötigen Speicherung von Daten auf Vorrat, die in keinem Verhältnis zum Nutzen steht und dem Gebot der Datensparsamkeit entgegensteht. Diesen Vorwurf weist das BMWi natürlich weit von sich:

“Arbeitgeber müssen für die 35 Millionen Beschäftigte ca. 60 Millionen Bescheinigungen pro Jahr auf Verlangen ausstellen. Davon entfallen allein etwa 10 Millionen auf Anträge der Arbeitsverwaltung (Arbeitslosengeld I + II). Durch die elektronische Speicherung der Entgeltbescheinigungsdaten kann die Prüfung und Zahlung von Leistungen wesentlich vereinfacht und beschleunigt werden. Damit ist die Speicherung der Daten an zentraler Stelle begründbar sinnvoll.”

Das ist jedoch eine Verschleierungstaktik, denn es werden ja eben nicht nur die Daten der 60 Millionen verlangter Bescheinigungen gespeichert, sondern die Daten aller 40 Mio. Arbeitnehmer, unabhängig davon, ob sie jemals abgefragt werden. Das Gebot der Datensparsamkeit besteht aus gutem Grund: Daten gehen verloren. Die Frage ist nicht “Ob” sondern “Wann”. Hinzu kommt: Meine Unterschrift kann ich nur schlecht verlieren oder vergessen. Eine Chipcard mit 6-stelligem PIN hingegen schon. Es wird immer Menschen geben, die sich die PIN auf der Karte oder auf einem Zettel im Portmonee notieren, oder bei der Eingabe beobachtet werden. Vermutlich werden wir daher in einigen Jahren mit einem schwer zu bekämpfenden Problem konfrontiert sein: Identitätsdiebstahl. Und je mehr Daten über jeden einzelnen gespeichert sind, desto lückenloser ist die gestohlene Identität.

Bis zum 02.03. kann eine Petition gegen das ELENA-Verfahren unterzeichnet werden, derzeit haben sich mehr als 16.000 Personen beteiligt, für die Behandlung im Petitionsausschuss sind 50.000 Unterschriften nötig.