Brainweich

Anti-Atomdemo in Berlin, 18.9.

Leere Versprechungen: Atomindustrie “droht” mit AKW-Abschaltung

In den Verhandlungen zwischen Regierung und den Stromkonzernen kam es diese Woche zum Eklat: Die Stromkonzerne zeigten sich erbost über die geplante Brennelementesteuer und “drohten” – dem Spiegel zufolge – mit der sofortigen Abschaltung aller Atomkraftwerke. Da könnte man sich schlicht denken: Äh, ja – bitte! Aber ganz so einfach ist es wohl nicht. Die versuchte Erpressung verfolgt das Ziel, das für September angekündigte Energiekonzept der Regierung im Sinne der Energiekonzerne zu beeinflussen. Der Vorschlag ist in etwa folgender: Die Regierung verzichtet auf die Steuer, dafür legen die Konzerne einen Fond an aus dem sie sich Forschungsprojekte finanzieren. Die Staatskasse bekommt aus diesem Fond auch eine Kleinigkeit ab (ich schätze mal so in Höhe der jährlichen Zinsen) und dafür dürfen die Atomkraftwerke bis zum Sankt Nimmerleins Tag weiterlaufen. Oder bis sie explodieren, je nachdem was früher eintritt.

Adolf Sauerland und der Streisand-Effekt

Duisburgs vielkritisierter Oberbürgermeister Sauerland durfte in dieser Woche etwas über Netzphänomene lernen. Am Dienstag versuchte die Stadt per einstweiliger Verfügung die Veröffentlichung einiger Dokumente zu untersagen, die die Verwaltungsvorgänge der Loveparade näher beleuchten. Diese sind nämlich dem Duisburger Blog xtranews in die Hände gefallen. Die Reaktion der Stadt ließ nicht lange auf sich warten. Man berief sich erst auf das Urheberrecht, später dann – als den Anwälten auffiel, das Protokolle und Anwesenheitslisten keinen Urheberrechtsschutz genießen – wurde der Datenschutz vorgeschoben. Das Vorgehen beruhte wohl auf der irrigen Annahme, das sowas beim einem kleinen Lokal-Blog schon keinem auffallen werde. Und so machte die Stadt Duisburg Bekanntschaft mit dem Streisand-Effekt: Noch am selben Tag landete die Meldung auf netzpolitik.org und wenige Stunden später hatten zig Leute Kopien der Dokumente online gestellt. Eigentor.

Lauschangriff over IP: Skype ist abhörbar

Lange Zeit galt Skype als sicheres Kommunikationsmittel, da die Polizei Gespräche über den Dienst nicht abhören konnte. Lawblogger Udo Vetter berichtet nun, dass diese Zeiten wohl vorbei sind. Bei einer Verhandlung erfuhr er von einem Zeugen, dass Skype mittlerweile genauso abgehört werden kann wie das herkömmliche Telefon.

Streetview und kein Ende

Zum Abschluss noch kurz eine Meldung zum Thema Google Streetview auf das wir den Gipfel des Absurden alsbald erreichen und endlich sachlich über digitale Öffentlichkeit diskutieren können:

Google Streetview plant, im Vorbeifahren willkürlich auf Passanten zu schießen!

Lesetipp

Wer für den Sonntag nachmittag noch etwas zu lesen braucht, dem sei Christian Hellers Aufarbeitung der letzjährigen Netzsperren-Debatte empfohlen:

“Löschen statt sperren” war von Anfang an eine absurde Parole für eine Anti-Zensur-Bewegung. Sich dabei mit dem Kampf gegen Kinderpornografie zu arrangieren, war ein vielleicht notwendiger, aber gefährlicher Kompromiss. Dieser Kampf ist nämlich unersättlich und letztlich nicht kontrollierbar.

Wie ich gestern schon schrieb, hat die Google-Verizon Geschichte einige bekannte Netzpolitiker genötigt, eine gemeinsame Erklärung abzugeben. Diese Erklärung der Initiative Pro Netzneutralität hat – unerwartet wie ich meine – für einigen Wirbel gesorgt. Blogger Fefe – dessen Blog als so eine Art Bild-Zeitung für die Netzgemeinde gilt – hatte die Unterzeichnung der Erklärung abgelehnt und eine recht krude Begründung dafür abgegeben, über die ich mich nun den ganzen Tag aufgeregt habe. Zeit also, euch daran teilhaben zu lassen:

Ja, der Text ist kein großer Wurf, und es wird auch keine Revolution davon ausgehen (auf die Fefe ja wohl immer noch wartet). Es ist eine Erklärung in Politikersprache, die viele Interessen ins Boot holen soll: Neben der ungleich wichtigen Sicherung der Meinungsfreiheit und digitaler Gleichberechtigung werden auch soziale und ökonomische Aspekte berücksichtigt. Das kann man gut finden oder auch nicht.

Fefes eindimensionale Sicht der Dinge beschränkt sich ausschließlich auf Netzneutralität als Garant für Meinungsfreiheit. Das darf das einzige Argument sein, weil er es für das Wichtigste hält. Mit letzterem hat er meiner Meinung nach sogar Recht. Wenn man aber versucht, ein breites Bündnis auf die Beine zu stellen, sind die eigenen Prioritäten erst einmal uninteressant. Es gibt nunmal genug Leute, die mit demokratietheoretischen Überlegungen wenig anfangen können – oder auch einfach die Bedeutung der Netzneutralität nicht so hoch bewerten. Um diese jedoch auch auf die eigene Seite zu ziehen hilft es wenig, immer nur das eine Argument zu wiederholen und stur zu Verlangen, dass der andere das doch jetzt bitte mal genauso wichtig nimmt wie man selbst. Andere Akteure haben andere Interessen, die man berücksichtigen muss, wenn man deren Unterstützung will. Das nennt man Pluralismus, verdammt!

Von denen, die jetzt wieder mit ihrem Dagegen-Schild im Weg stehen, würde ich gerne einmal wissen: Wie stellt ihr euch denn bitte vor, wie sowas ablaufen soll? Wenn sich jeder hinstellt und mault “Was der da sagt find ich scheiße, denn bei nem anderen Thema war er auch nicht meiner Meinung!” wird der Kreis derer, die noch etwas einbringen dürfen, ziemlich übersichtlich.

Don’t be evil: Google’s Deal mit Verizon

Webplatzhirsch Google und der US-Provider Verizon haben dieser Tage in einem gemeinschaftlichen Kraftakt die Netzneutralität beerdigt. Oder so ähnlich. Oder auch gar nicht: ich muss zugegeben, ich habe vor lauter PR-Texten, Analysen und Dementis den Faden verloren und habe keine Ahnung, was da jetzt eigentlich konkret von wem beschlossen wurde. Und ich werde das Gefühl nicht los, dass es auch sonst keiner weiß. Tatsache ist: Es gibt eine Vereinbarung zwischen Google und Verizon, die eine breite Debatte zur Netzneutralität ausgelöst hat.  Jeff Jarvis bezeichnet es als neues Münchner Abkommen, die Zeit sieht gar ein digitales Mittelalter aufziehen. Ein Bündnis aus bekannten Netzpolitikern sieht sich dazu veranlasst, die Initiative Pro Netzneutralität ins Leben zu rufen. Um zu verdeutlichen, warum Netzneutralität wichtig ist, hat Yucca Tree Post eine leckere Analogie:

Nehmen wir an, ich möchte meiner Oma zum Geburtstag eine Tafel Bitter Sport schicken. Der Postangestellte sagt: Zustellung dauert eine Woche, aber wenn sie vielleicht lieber Pilka-Schokolade verschicken möchten, wäre ein Versand bis morgen möglich. Allerdings stellen wir auch jede andere Sorte bis morgen zu, wenn Sie die BonusZustellCard bestellen. Kostet nur 5 Euro im Monat zusätzlich. [...]

Woher wusste der Postangestellte, welche Schokoladensorte ich verschicken wollte? Weil er ins Päckchen geschaut hat.

Google, die zweite: Vergesst Streetview

Ebenfalls in dieser Woche (but this is just a conincidence) gab Google bekannt, das umstrittene Projekt Streetview Deutschland noch in diesem Jahr starten zu lassen. Die Ankündigung ist nicht nur geeignet, von der Verizon-Geschichte abzulenken, sondern bietet auch diversen Politikern die Möglichkeit, das verbliebene Sommerloch mit Google-Bashing zu füllen. Flugs sprießen Bürgerinitiativen aus dem Boden, die sich vehement dagegen wehren, ihr Haus von Google fotografieren zu lassen. Und damit das auch alle mitbekommen, lassen sie sich für die Zeitung vor ihrem Haus fotografieren. So sind alle wieder beschäftigt und niemand hat Zeit, über Netzneutralität, Zensus 2011 oder Datenschutz für Migranten und sozial Schwache nachzudenken.

Sixtus vs. GVU: Urheberrechte den Urhebern!

Mit einer groß angelegten Take-Down-Aktion segelte die GVU – Lieblingsfeind der Netizens – in das Fettnäpfchen der Woche. Die Gesellschaft zur Verfolgung von Urheberrechtsverletzungen e.V. hatte durch einen Subunternehmer ca. 5 Mio Videos verfolgen und löschen lassen, da sie Verstöße gegen das Urheberrecht vermuteten. Dummerweise waren auch vier Folgen von Mario Sixtus “Elektrischer Reporter” und das bekannte “Du bist Terrorist”-Video von Alexander Lehmann darunter – allesamt unter Creative Commons Lizenz stehend und für nicht kommerzielle Nutzung freigegeben. Über den Fehler informiert, nahm die GVU die Löschanforderung zurück und die Videos sind wieder online. Das alles wäre nun eigentlich kein großer Aufreger. Wenn es nicht die GVU gewesen wäre. Und Mario Sixtus. Und wenn das beides zusammen nicht so eine großartige Gelegenheit wäre, die Lautsprecher der Content-Mafia mit ihren eigenen Waffen zu schlagen:

Nun mag der Eine oder die Andere mein Vorgehen für übertrieben halten, das ist es m.E. aber nicht. Die GVU ist für ihr (vorsichtig ausgedrückt) hartes Vorgehen gegen Urheberrechtsverletzer bekannt. Sie gehört zu der Fraktion, die wahrscheinlich am liebsten Schulkinder mit Handschellen von Schulhof abführen würden, weil sie eine gebrannte DVD getauscht haben. Wenn dieser Verein in meine Rechte eingreift, sehe ich es nicht ein, Fünfe gerade sein zu lassen.

- from: sixtus.cc

Hoffen auf die nächste Instanz: Dresdner Urteil gegen die Pressefreiheit

Wenn Journalisten sich einer Information nicht sicher sind, formulieren sie sie meist als Frage:

“Ermittelten die Polizisten möglicherweise illegal oder verdeckt gegen N.? Gerieten sie unter Druck, weil der einflussreiche Richter Dienstaufsichtsbeschwerde gegen sie erhob?”

Mit einer Formulierung wie dieser kann normalerweise elegant eine Verleumdungsklage vermeiden – jedenfalls, wenn man nicht gerade in Sachsen publiziert. Dort nämlich entschied das Dresdener Amtsgericht, dass sich die Journalisten Arndt Ginzel und Thomas Datt mit diesen zwei Sätzen in einem Zeit-Online-Artikel der Verleumdung schuldig gemacht haben und eine Geldstrafe zu zahlen haben. Der Richter will hier eine “ehrabschneidende Tatsachenbehauptung” erkennen. Das Urteil ist aus mehreren Gründen ein Skandal, findet nicht nur die Zeit. So musste Deutschland nach dem Rüffel von Amnesty International auch noch einen von Reporter ohne Grenzen einstecken. Na danke schön.

Kürzlich hatte ich wieder einen Kollegen im Büro stehen, der das Gespräch mit den Worten “Du kennst dich doch aus” begann. Er schilderte mir ein Problem, dass heutzutage nicht ungewöhnlich ist. Ein ebay-Trickbetrüger hatte ihn als Opfer auserkoren. Und obwohl er bei Gericht diverse E-Mails vorlegen konnte, die seine Position untermauerten, konnte er den Richter nicht überzeugen – E-Mails gelten nicht als rechtssicher und werden üblicherweise nicht anerkannt. Das hierin ein Problem liegt, ist wohl unstrittig. So stehen wir nun vor der Frage, was tun wir jetzt dagegen?

Bereits bestehende Verschlüsselungs- und Signatursysteme, die den E-Mail-Verkehr absichern könnten, konnten sich bisher nicht durchsetzen – da dies stets die Installation von Software und zumindest grundlegende Kenntnisse der Handhabung erforderte. Also eine Auseinandersetzen mit einer Technik, die die meisten Menschen schlicht nicht interessiert, die halt einfach nur funktionieren soll. Im Grunde wollen nämlich die meisten nicht verstehen, was da in diesem komischen Kasten eigentlich vor sich geht. Es soll ihnen nur jemand sagen, wohin sie klicken sollen. Vater Staat hat dieses Bedürfnis erkannt und nimmt seinen Bürgern das Thema E-Mail-Verschlüsselung endlich ab. Mit De-Mail soll ab Herbst der sichere Versand rechtsverbindlicher E-Mails möglich sein, ohne dass sich der Absender oder der Empfänger um den Austausch von Schlüsseln, Generieren von Signaturen und signierender Nachrichten kümmern muss. All das übernehmen zertifizierte Anbieter wie zum Beispiel die für ihren verantwortungsvollen Umgang mit Daten bekannte Telekom.

Sicher heißt in diesem Zusammenhang nicht “absolut unknackbar” sondern “sicher genug, um es anzuerkennen” im Sinne von “ähnlich sicher wie Papierpost”. Wie Kristian Köhntopp treffend feststellt:

“Die Vertraulichkeit ist im Kontext DE-Mail nicht primär relevant, denn DE-Mail war nie designed um sicher im Sinne von vertraulich zu sein. Es geht stattdessen um die Schaffung von Rechtssicherheit und das ist im wesentlichen keine technische, sondern eine juristische Konstruktion, bei der die technischen Maßnahmen nur qualifizierende Begleiterscheinungen sind, die die juristische Fiktion von DE-Mail stützen sollen. Daher laufen Verweise auf PGP und ähnliches auch am Thema vorbei. “

In Netzkreisen fand das Projekt indes wenig Zuspruch, und doch geht der Diskurs häufig am Kern vorbei: In schrillen Tönen werden Punkte kritisiert, die überhaupt nicht Gegenstand der Diskussion sind. So ist die eindeutige Identifizierbarkeit nicht das Problem – sondern Sinn der Sache. Bei der Kommunikation mit einer Behörde muss man sich ohnehin eindeutig identifizieren – oder hat schon einmal jemand anonym die Ausstellung eines Personalausweises beantragt? Die Befürchtung, dass DE-Mai nun irgendwann verpflichtend wird und E-Mails außerhalb dieses Systems verboten werden, ist paranoid. “Illegales Filesharing” kriegen sie nicht in den Griff, aber private Mails sollen einfach so verboten werden können? Nicht alles, was theoretisch denkbar ist, ist auch realistisch. De-Mail wird auch nicht die Papierpost ablösen, sondern allerhöchstens das Fax. Die Verzeichnisdienste oder der Zugriff durch Strafverfolgungsbehörden bedürfen zwar in der Tat einer Überprüfung, aber auch sie sind nur Randerscheinungen.

Das größte Problem bei DE-Mail ist ein ganz anderes: Ich habe als Nutzer keine Verfügungsgewalt über meine Signatur und meinen Schlüssel. Ich berechtige also einen anonymen Konzern, in meinem Namen zu unterschreiben. Und anders als bei Unterschriftenfälschungen auf Papier kann ich nur schwer beweisen, dass ich nun gerade diese Unterschrift aber nicht in Auftrag gegeben habe. Der De-Mail-Support von Web.de teilte auf Anfrage außerdem mit, dass man noch nicht wisse, ob der Abruf der Mails auch per Pop3 oder Imap möglich sein wird, und ob man auch seine eigene Verschlüsselung (weiter) nutzen kann. Meine Korrespondenz liegt also auf Servern, über die ich keine Kontrolle habe.

Missbrauch lässt sich organisatorisch höchstens erschweren, nie aber ausschließen. Bei De-Mail wird versucht, das Missbrauchsrisiko durch Zertifizierung und Kontrollen durch das BSI zu minimieren. Die Technische Richtlinie des BSI – die aktuelle Richtlinie für Bürgerportale (die demnächst noch umbenannt werden soll) – legt detailliert fest, was für die Zertifizierung gegeben sein muss: Getrennte Management-Netze, verteilte Rollen für verschiedene Administrationsaufgaben, Zutritt nach 4-Augen-Prinzip, Logging von Änderungen.

Warum das so wichtig ist, soll ein kleines Beispiel zeigen: Angenommen, der Admin, der die interne Benutzerverwaltung betreut, will irgendwelchen Schindluder mit einer digitalen Unterschrift treiben. Sagen wir: um dem neuen Lover seiner Verflossenen eins auszuwischen. Um seine Spuren zu verwischen, müsste er auch die Logs (Protokolle) bearbeiten und seine Aktivitäten herauslöschen. Da er Zugriff auf die Benutzerverwaltung hat, kann er sich einfach in die Logging-Gruppe reinschreiben und alle Aktivitäten hinterher wieder aus dem Protokoll löschen. Also: Änderungen an den Benutzerrechten müssen mindestens protokolliert werden – denn dann bleibt im genannten Beispiel zumindest der Austritt aus der Logging-Gruppe auf jeden Fall im Protokoll. Besser: Die Logging-Gruppe liegt in einer anderen Domäne, auf die unser Beispiel-Admin keinen Zugriff hat und sich gar nicht erst eintragen kann.

Die ISO 27001 sieht eine jährliche Überprüfung und alle 3 Jahre eine vollständige Neuzertifizierung vor. Doch das reicht nicht. Die Möglichkeiten des Missbrauchs ergeben sich oft aus winzigen Details, oder schleichen sich in der Praxis irgendwann ein. Die Lücken im System sind oft so klein, dass nur wenige Mitarbeiter davon wissen und externe Auditoren sie nur durch Zufall finden können. Ein Stück weit könnte hier ein System helfen, dass es Mitarbeitern ermöglicht, die Aufsichtsbehörde anonym auf Schwachstellen hinzuweisen – ohne negative Konsequenzen befürchten zu müssen. Ein toter Briefkasten beim BSI also, und entsprechende Regelungen, die die Anonymität der Whistleblower gewährleisten.

Dieser ganze Aufwand müsste allerdings gar nicht betreiben werden, wenn die De-Mail-Kunden selbst im Besitz ihrer Unterschrift und Schlüssel blieben. Doch der Referenten-Entwurf bietet nicht einmal  optional die Möglichkeit, eine eigene Signatur und einen Krypto-Key zu verwenden. §4 des Entwurf schreibt lediglich zwei Möglichkeiten der sicheren Anmeldung am Postfach vor – eine davon muss der neue elektronische Personalausweis sein.

Derzeit ist bei den zukünftigen akkreditierten Anbieter allerdings selbst noch nicht sicher, wohin die Reise geht. Noch ist Luft nach oben, die genutzt werden möchte. Denn eigentlich – wenn man die reflexhaften Bedenken mal beiseite lässt, die sich immer dann einstellen, wenn die Regierung etwas zusammen mit der Telekom macht – ist De-Mail gar keine so schlechte Idee.

Die Rechtsgrundlage heraus zu finden, ist nicht ganz einfach (Verlinkungen wären klasse gewesen…): §18 Abs. 4 Punkt 3 verweist auf das BSI-Gesetz, §9. Der wiederum spricht lediglich von “vom Bundesamt festgelegte Kriterien”. In der BSI-Publikation “Akkreditierung und Zertifizierung von De-Mail-Diensteanbietern – Eine Übersicht über die technischen Vorgaben zur Gewährleistung der sicheren Kommunikationsinfrastruktur” findet sich dann aber der Hinweis:

“Für den Bereich Sicherheit muss ein ISO 27001 Zertifikat auf der Basis von IT-Grundschutz ergänzt um De-Mail-spezifische Anforderungen vorgelegt werden. Die allgemeinen Anforderungen finden sich in der BSI TR 01201 Teil 6 (Modul Sicherheit), 6.1 (Schutzbedarfsfeststellung) und 6.2 (Übergeordnete Komponeten) sowie in den dienstespezifischen BSI TR 01201 Teil 1.3 (Basisinfrastruktur), 2.3 (Accountmanagement), 3.3 (Postfach und Versanddienst), 4.3 (Identifizierungsdienst) und 5.3 (Dokumentensafe)“

Dieser Link kam gerade an mir vorbei gezwitschert. Auf der Seite kann man die Ausbreitung des Öls im Golf von Mexiko auf einen beliebigen anderen Ort legen. Für Bremen sieht das dann so aus:

Der BGH hat heute das langersehnte “WLAN-Urteil” gefällt – und schafft damit nun endlich etwas mehr Rechtssicherheit. In dem Streitfall ging es um einen Herrn, dessen offenes WLAN während seines Urlaubs zum Filesharing. Der Angreifer hat die Internetverbindung genutzt um u.a. den Song “Sommer unseres Lebens” von Sebastian Hämer im Netz anzubieten (warum auch immer…). Das Plattenlabel 3p klagte als Rechteinhaber an dem Song nun gegen den Besitzer des WLANs, und verlangten Schadenersatz, Unterlassung und Erstattung der Abmahnkosten.

Die Bundesrichter entschieden nun aber, dass zumindest der Schaden nicht zu erstatten ist. Lediglich die Abmahnkosten müssen erstattet werden.

Auszug aus der Pressemitteilung:

Der BGH hat angenommen, dass eine Haftung des Beklagten als Täter oder Teilnehmer einer Urheberrechtsverletzung nicht in Betracht kommt. Auch privaten Anschlussinhabern obliegt aber eine Pflicht zu prüfen, ob ihr WLAN-Anschluss durch angemessene Sicherungsmaßnahmen vor der Gefahr geschützt ist, von unberechtigten Dritten zur Begehung von Urheberrechtsverletzungen missbraucht zu werden. Dem privaten Betreiber eines WLAN-Netzes kann jedoch nicht zugemutet werden, ihre Netzwerksicherheit fortlaufend dem neuesten Stand der Technik anzupassen und dafür entsprechende finanzielle Mittel aufzuwenden. Ihre Prüfpflicht bezieht sich daher auf die Einhaltung der im Zeitpunkt der Installation des Routers für den privaten Bereich marktüblichen Sicherungen.Diese Pflicht hatte der Beklagte nach Auffassung des Bundesgerichtshofs verletzt. Er hatte es bei den werkseitigen Standardsicherheitseinstellungen des WLAN-Routers belassen und das Passwort nicht durch ein persönliches, ausreichend langes und sicheres Passwort ersetzt. Ein solcher Passwortschutz war auch für private WLAN-Nutzer bereits im Jahre 2006 üblich und zumutbar. Er lag im vitalen Eigeninteresse aller berechtigten Nutzer und war mit keinen Mehrkosten verbunden.

Der Beklagte haftet deshalb nach den Rechtsgrundsätzen der sog. Störerhaftung auf Unterlassung und auf Erstattung der Abmahnkosten (nach geltendem, im Streitfall aber noch nicht anwendbaren Recht fallen insofern maximal 100 € an). Diese Haftung besteht schon nach der ersten über seinen WLAN-Anschluss begangenen Urheberrechtsverletzung. Hingegen ist der Beklagte nicht zum Schadensersatz verpflichtet. Eine Haftung als Täter einer Urheberrechtsverletzung hat der Bundesgerichtshof verneint, weil nicht der Beklagte den fraglichen Musiktitel im Internet zugänglich gemacht hat. Eine Haftung als Gehilfe bei der fremden Urheberrechtsverletzung hätte Vorsatz vorausgesetzt, an dem es im Streitfall fehlte.

Es ist zwar etwas spät dafür, aber nehmen wir’s für’s Archiv: Für die Bremer LAG Medien habe ich ein Info-Paper zum Jugendmedienschutz-Staatsvertrag zusammengestellt, das ich euch nicht vorenthalten möchte. Darin sind die wesentlichen Änderungen des Vertrages sowie die wichtigsten Kritikpunkte kurz erläutert. (hier gibt’s die konsolidierte Fassung des Vertrages)

Der Vertrag, der am 25.3. von den Ministerpräsidenten unterzeichnet wurde und nun die Runde durch die Landtage macht,  soll Jugendschutz in den Medien neu regeln. Die Änderungen beziehen sich vor allem auf Telemedien, also Angebote im Web. So sollen zum Beispiel Anbieter freiwillig ihre Webangebote so kennzeichnen, dass Jugendschutzprogramme diese filtern können. Dazu soll man sich irgendwann auf einer noch zu erstellenden Seite anmelden und bewerten lassen können.

Das Land Bremen hat, zusammen mit Hamburg und dem Saarland, dem Vertrag eine Protokollnotiz angefügt, die die  Intentionen näher erläutert:

Die Freie Hansestadt Bremen, die Freie und Hansestadt Hamburg und das Saarland  unterstreichen,  dass  die  technische Umsetzung  von  Jugendschutzmaßnahmen  nicht  dazu  führen  darf,  dass  anderweitige  Schutzvorkehrungen  verpflichtend
vorgeschrieben werden.
Die Freie Hansestadt Bremen, die Freie und Hansestadt Hamburg und das Saarland stellen fest, dass die Kontrollpflichten von Anbietern für fremde Inhalte, auch im Rahmen von Foren und Blogs, durch diesen Staatsvertrag nicht erweitert werden.

Doch durch die unklaren Formulierungen betreffen die Regelungen theoretisch auch private Seiten, Blog, Foren, Wikis etc. Die genaue Handhabung in diesem Bereich wird sich wohl erst durch die Praxis zeigen. Unklar ist auch, wie die Selbstkontrolle konkret vor sich gehen soll und welche Kosten dem kennzeichnungswilligen Anbieter entstehen. Zu kritisieren gibt es an diesem unausgegorenen Vertragswerk also einiges.

Und ja, das Thema Sendezeiten habe ich bewusst rausgelassen. Die Debatte zu diesem Punkt ist mehrfach ins Absurde abgeglitten und äußert undifferenziert geführt worden. Sendezeiten für Inhalte standen schon immer im JMStV und vorher auch schon im Rundfunkstaatvertrag. Sie waren und sind weiterhin nur eine von mehreren Optionen, zwischen denen die Anbieter wählen dürfen. Das auch für Webportale die Sendezeiten-Regelung Sinn machen können, hat kürzlich die Mediathek der ARD gezeigt.

Ah, es ist offiziell online! Unter www.selbstauskunft.net kann man nun kostenlos und ohne Datenschutzbedenken seine Selbstauskünfte automatisiert per Fax anfordern. Hier kann man nun zur Zeit über 30 Firmen gleichzeitig anschreiben, die gestellten Anfragen verwalten und Antworten festhalten.

Jetzt geht’s erst richtig los.

Ich persönlich empfehle aber, nicht wahllos alle anzuschreiben, die auf der Liste stehen. Einige Unternehmen sind reine Inkasso-Büros, die keine Bonitätsauskünfte o.ä. anbieten. Diese sammeln oft nur Daten aus ihrer Region und sind eher Endkunden im Adresshandel. Man sollte also aufpassen, dass das Selbstauskunftsrecht nicht zu einem Instrument wird, bundesweit die Qualität der Adress-Ware zu verbessern.

Diese Firmen habe ich bisher angeschrieben:

• Accumio finance service GmbH
• Arvato Infoscore GmbH
• SCHUFA Holding AG
• ADF Allgemeine Datenbank für Forderungseinzug GmbH
• Bürgel Wirtschaftsinformationen GmbH & Co. KG
• CEG Creditreform Consumer GmbH
• Deltavista GmbH
• DEMDA Deutsche Mieter Datenbank KG
• EOS Information Service GmbH
• Gesamtverband der Deutschen Versicherungswirtschaft
• Schober Information Group Deutschland GmbH
• WID Wirtschafts-Informations-Dienst GmbH
• Allgemeiner Debitoren- und Inkassodienst GmbH
• Bremer-Inkasso GmbH
• CL Inkasso AG
• Dr. Duve Inkasso GmbH
• el-Inkasso Gesellschaft für Forderungsmanagement mbH
• euroliquid oHG
• Inkasso Arnold
• mediafinanz AG
• Merkur GmbH Forderungsmanagement, Inkasso, Auskunftei
• Prodefacto Forderungsmanagement GmbH

Das Bundesverfassungsgericht hat mit seiner Entscheidung vom 18. Mai 2009 drei gegen den Hackerparagraphen (§§ 202c i.V.m. 202a StGB) gerichtete Verfassungsbeschwerden als unzulässig verworfen. In dem ablehnenden Beschluss wird allerdings eine ausführliche Begründung für diese Entscheidung gegeben.

Das Bundesverfassungsgericht hat mit seiner Entscheidung die Verfassungsbeschwerden nicht zur Entscheidung angenommen. Doch wie viel Licht hat die Begründung dieser Entscheidung tatsächlich gebracht und worauf sollte man in der Praxis achten, wenn man mit potentiell zum Hacking geeigneter Software hantiert?

Rechtsanwalt Dominik Boecker erläuterte die Begründung des Bundesverfassungsgericht und gab einen Überblick darüber, was Systemadmins und Security-DIenstleister künftig zu beachten haben. Nach der Verabschiedung des §202c schäumte die Gerüchteküche förmlich über vor Szenarien, unter welchen Umständen man als Admin künftig in den Knast wandern könne. Der besagte Paragraph stellt nämlich die Vorbereitung des Auspähens und Abfangens von Daten  ebenso unter Strafe, wie den Besitz von Programmen, die diesem Zweck dienen. Nun braucht aber jeder Admin, der sein Netz sicher gestalten will, ebensolche Programme, um diese Sicherheit zu überprüfen. In der Theorie hätte man demnach zwei Möglichkeiten: Entweder man testet nicht und hofft auf das Beste, oder man testet doch und steht mit einem Bein im Knast. Doecker macht deutlich: alles halb so wild. Nach der Auffassung des Bundesverfassungsgerichts ist nun nämlich kaum noch etwas strafbar – denn entscheidend ist, ob ein Programm ausschließlich illegalen Zwecken dient. Dual-Use-Tools, also Programme, die man sowohl zu “guten” als auch zu “bösen” Zwecken nutzen kann, können nicht grundsätzlich als strafbar gelten. Damit bleibt im Grunde kaum noch illegales übrig, denn wie ein Küchenmesser kann man eigentlich jedes Programm zu legitimen oder strafbaren Zwecken verwenden.

Wirkliche Rechtssicherheit ist damit allerdings noch nicht gegeben. Die Beschwerden sind abgewiesen worden, die Begründung dieser Entscheidung hat keine Rechtsverbindlichkeit. Sie kann lediglich als Auslegungsrichtlinie dienen. Momentan bleibt allen, die beruflich mit “Hackertools” zu tun haben, nur die Möglichkeit, möglichst vollständig zu dokumentieren, welche Tools sie besitzen, woher sie kommen und wofür sie benötigt werden. Security-Dienstleister, die mit der Überprüfung der Netzwerksicherheit beauftragt werden, sollten in der Auftragsbestätigung explizit festlegen, welche Programme für welche Zwecke eingesetzt werden – und dies von dem höchstmöglichen Verantwortlichen unterschreiben lassen. Derzeit sind noch die Admins und Dienstleister in der Pflicht zu beweisen, dass sie nichts Böses im Schilde führen.

Das Internet darf kein rechtsfreier Raum sein!

Diesen Satz hört man vor allem aus Politikermund und er läßt so manchem Netzbewohner die Nackenhaare zu Berge stehen. Der Diskurs darüber, ob und wie das Internet reguliert werden soll, hat international Fahrt aufgenommen und führt zuweilen zu ebenso absurden wie gefährlichen Gesetzen. “Digital Natives” und mittlerweile auch der Durchschnittsuser, wehren sich mit Händen und Füßen gegen die Regulierungswut ihrer jeweiligen Gesetzgeber, und nicht nur gegen diese.

Unternehmen andererseits geben sich zwar größte Mühe, einfach alles über ihre Kunden (und die, die es werden sollen) zu erfahren, investieren aber nur wenig in den Schutz dieser Daten. Die Regierungen sammeln kräftig mit und es ist wohl nur eine Frage der Zeit bis die ersten Sammlungen von Vorratsdaten auf DVD in einer U-Bahn vergessen werden. Die Daten der Bürger sind längst kein schützenswertes Gut mehr, sondern eine wertvolle Ressource, die ausgebeutet gehört.

Eigentumsrechte werden schrittweise durch Nutzungsrechte ersetzt, die abhängig sind von der Tagespolitik von Konzernen wie Amazon und Apple. Schnell kann es passieren, dass einem die Hausaufgaben vom Kindle gelöscht werden oder man sein Lieblingslied plötzlich nochmal kaufen muss, wenn man sie auf einem anderen Endgerät abspielen möchte – der Dienst hat sich nicht gerechnet und wurde abgeschaltet, wir bitten um Verständnis.

Gleichzeitig streifen marodierende Anwälte im Namen des Urheberrechts durch die Blogosphäre und verklagen alles, was nicht bei 3 offline ist. Fast scheint es, als sei für einige Kreative nicht mehr das Kreativsein die primäre Einnahmequelle, sondern das Versenden von strafbewehrte Unterlassungserklärungen. Als Blogger oder Forenbetreiber steht man praktisch ab dem Willkommen-Eintrag mit einem Bein im Knast.

Natürlich kommt es im Netz – wie in allen öffentlich zugänglichen Infrastrukturen (z.B. Straßen)- zu Straftaten und Ordnungswidrigkeiten, wobei man nicht aus dem Blick verlieren darf, dass die Möglichkeiten der Online-Kriminalität begrenzt sind. So bringt es wenig, einer Oma in Australien ein Foto eines Messers zu schicken, um die Herausgabe ihrer Handtasche zu fordern. Straftaten im Netz können maximal einen finanziellen Schaden zur Folge haben, Leib und Leben sind weiterhin nur Offline in Gefahr, ebenso wie alle nicht-digitalen Besitztümer wie das Bargeld in der Brieftasche, der Fernseher in der Schrankwand und die besagte Schrankwand. Was allerdings nicht heißen soll, dass Straftaten im Netz nicht verfolgt werden sollen – die Frage ist: In welcher Weise soll das geschehen?

Nationale Gesetzgebung stößt im globalen Netz an die Grenzen der Durchsetzbarkeit, das ist unbestreitbar. Wie sollen wir damit umgehen? In vermutlich allen hochentwickelten Staaten gibt es von staatlicher Seite Bestrebungen, die eine Zonierung des Netzes in kleinstaatliche, abgeschottete Subnetze zum Ziel haben. In solchen Subnetzen ließe sich das, was im jeweiligen Land als rechtswidrig gilt, einfach wegzensieren. Das wird so noch nicht formuliert, aber es läuft darauf hinaus. Selbst in westlichen Demokratien wird China hierzu als leuchtendes Beispiel angeführt. Abgesehen davon, wie gut und ob das überhaupt funktionieren kann – es gilt allein die Ansätze zu verhindern.

Neu ist das nicht. Im 15./16. Jahrhndert – als die Seefahrernationen aufbrachen, die Welt zu erobern, fingen die Pioniere an, den Planeten unter sich auszuteilen. Spanien und Portugal brachen einen wüsten Streit um das Eigentum an den neuentdeckten Welten vom Zaun. Die Auseinandersetzung wurde schließlich durch den Papst geschlichtet, der die Erde salomonisch etwa entlang des 46. Längengrades in zwei Hälften teilte, den westlichen Teil Spanien und den östlichen Portugal zusprach. Der Niederländer Hugo Grotius schrieb daraufhin – vor dem Hintergrund, dass natürlich auch die Niederlande ein Stück vom Kuchen haben wollten – das “Mare Liberum”, eine Schrift, die die Freiheit des Meeres postulierte und Eigentumsrechte an Seewegen kategorisch ausschloss. Diese Schrift bildete den Grundstein für das heutige internationale Seerecht. Völlig zu Recht haben die Menschen eingesehen, dass es schlicht nicht möglich ist, nationale Gesetze in einem Raum umzusetzen, der international von jedem zugänglich ist. Und das am Ende alle davon profitieren, wenn die Neutralität der Seewege gewahrt bleibt.

Zur Zeit beschränken sich die Gegner der staatlichen Regulierungswut darauf, auf die Bürgerrechte und vor allem die Nichtmachbarkeit zu verweisen. Letzteres ist insofern gefährlich, als das eben dieser Hinweis dazu führen könnte, dass die Regierungen irgendwann tatsächlich die Chinese Great Firewall implementieren, mit dem Argument, dass ja schließlich alle immer wieder gesagt hätten, dass die gewünschte Zonierung anders nicht durchsetzbar sei. Was jenen, die die Freiheit des Netzes erhalten – oder vielmehr: wieder herstellen und auf sichere Füße stellen wollen – fehlt, ist ein brauchbares Alternativkonzept.

Das wir eine Regelung brauchen, steht meiner Meinung nach außer Frage. Nicht in dem Sinne, wie es u.a. unsere geliebte Bundesregierung möchte, mit Leistungsschutzrechten für die Content-Mafia und Cybercops. Solche Regulierungen sind gefährlich, denn sie legen die Hoheitsrechte über die Verbreitung von Informationen wieder in die Hände von Regierungen und befreundeten Unternehmen. Ohne ein freies, globales Netz riskieren wir einen Rückschritt in die Zeiten, in denen unbequeme Wahrheiten unsichtbar blieben und Wissen rationiert wird. Wir brauchen Regeln, die den Austausch von Wissen und Meinungen absichern und die Netze und deren User vor staatlichen und kommerziellen Eingriffen wie den oben Genannten schützen. Diese Regelung kann nur international sein.

Das führt mich zu der Frage: Brauchen wir ein “Rete Liberum”? Ein Postulat über die Freiheit des Netzes? Und letztendlich ein internationales Netzrecht? Ich finde: ja, aber ich werde mich hüten, hier selbst eines zu schreiben, wie es einst Meneer Grotius tat, denn das kann und sollte nur durch eine Gemeinschaftsleitung entstehen. Ich wollte lediglich den Gedanken einwerfen.