1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
|
Privatsphäre, Datenschutz und Überwachung
Risiken und Nebenwirkungen der modernen Kommunikationstechnik
- wie Sie wissen,
- weiss Ihr Online-Buchhaendler genau, fuer welche Fachliteratur Sie sich interessieren
- weiss Ihr Internetprovider, dass Sie sich vorwiegend fuer arabische Nachrichtenseiten interessieren, und mit welchen Frenunden Sie emails austauschen
- weiss Ihr Mobilfunkanbieter (aber nicht Ihre Frau), dass Sie gestern bei Ihrer Geliebten, und nicht im Buero waren. Damit machen Sie sich erpressbar.
- weiss Ihre Bank,
- weiss Ihr Supermarkt dank Kundenkarte, wieviel Alkohol sie einkaufen. Eine Versicherung verweigert einen Vertrag mit Ihnen, weil sie diese Daten gekauft hat.
- datenschutz
- was ist datenschutz
- urspruenglich: schutz personengebundener daten vor missbrauch
- heute: schutz vor beeintraechtigung des rechts auf informationelle selbstbestimmung
- was ist informationelle selbstbestimmung?
das Recht des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner personenbezogenen Daten zu bestimmen.
nach der Rechtsprechung des Bundesverfassungsgerichts um ein Datenschutz-Grundrecht, obwohl es im Grundgesetz nicht explizit erwähnt wird
auspraegung des allgemeinen Persoenlichkeitsrechts
Bundesverfassungsgericht leitete dieses Recht aus Artikel 2 Absatz 1 des Grundgesetzes (Recht auf freie Entfaltung der Persönlichkeit) und aus Artikel 1 Absatz 1 des Grundgesetzes (Unantastbarkeit der Menschenwürde) ab
(Volkszaehlungsurteil (BVerfGE 65, 1) 1983)
- es gibt keine belanglosen daten!
- durch verknuepfungsmoeglichkeiten kann alles persoenlich werden
- Gesetze:
Bundesdatenschutzgesetzt (BDSG)
Landesdatenschutzgesetze
Bereichsspezifische Datenschutznormen
- warum braucht man datenschutz?
- Wen geht es etwas an, Ihre
politische Einstellung
Hausartzbesuche und Krankheiten
sexuelle Vorlieben
finanzielle Situation
bevorstehende Schwangerschaft
Briefverkehr
zu kennen?
- unterbesetzte datenschutzbeauftragte
- recht als buerger
- auskunftsanspruch
- sperrung der daten (jedoch: kein loeschungsanspruch)
- welche art der daten
- bsp: telekommunikation (telefonie)
- begleitumstaende der kommunikation
- absender, empfaenger
- zeitpunkt, dauer
- ort / anschluss
- erfolgreicher/-loser versuch
- grund des verbindungsabbaus
- werden teils zu abrechnungszwecken gespeichert
- staatlich reglementiertes abhoeren moeglich, richterliche anordnung
- wiederholt versuche, praeventiv zu ueberwachen (2003: Niedersaechsisches Gesetz ueber die Oeffentliche Sicherheit und Ordnung (NSOG), Verfassungswidrig erklaert durch Bundesverfassungsgericht, 1 BvR 668/04)
- inhalt der kommunikation
- sprachgebundene kommunikation nicht automatisiert
auswertbar
- textgebundene kommunikation leicht automatisiert
auswertbar
- staatlich reglementiertes abhoeren moeglich, richterliche anordnung
- Deutschland hat weit hoehere quote an abgehoerten telefongespraechen als USA(!)
- 1995: 4.674
- 2001: 19.896
- 2002: 21.874
- 2003: 24.501
- 2004: 29.017 Massnahmen. [http://www.bfd.bund.de/Presse/pm20050331.html]
- Jede massnahme kann lange dauern, und viele Leute betreffen!
- Gesetzlich vorgeschriebene Benachrichtigung der Betroffenen erfolgt meist nicht
- Sog. 'uebrigen Beteiligten' werden nie benachrichtigt!
- bsp: Kennzeichenueberwachung
- Einige Landespolizeigesetze (z.B. Bayern, Hessen) erlauben der Polizei, auf Autobahnen per Videokamera und Kennzeichenerkennung abgleich mit Datenbank gestohlener Fahrzeuge bzw. ausgeschriebenen Fahndungen
- Enormer Datenanfall, weckt begehrlichkeiten
- Technisch eigentlich bei jeder Verkehrsueberwachung
- bsp: Elektronisches Ticket
- BVG denkt immer wieder ueber elektronisches Ticket nach
- Feldsversuche wurden schon gemacht
- Ticket wuerde per RFID erfassen, wer wann wo ein- und aussteigt
- Jede Bewegung im OePNV jedes Kunden zu jeder Zeit bekannt!
- bsp: ePass
- seit 1.11. werden nur noch ePaesse ausgestellt
- enthalten digitalisierte informationen ueber passinhaber
- ab 2007 auch Fingerabdruecke (!!!)
- Hohe anforderungen an Fotos soll automatische Gesichtserkennung ermoeglichen
- Daten werden per Funkschnittstelle (RFID) ausgelesen
- bsp: RFID allgemein
- [fast] alle RFID-Karten haben eine eindeutige Seriennummer
- Fuer Kartenausgebende stelle werden damit alle anfallenden Daten Personenbezogen
- ueber diese Seriennummer laesst sich fuer _jeden_ pseudonymisiertes tracking machen
- z.B. Bewegungsprofile durch in Wand/Tuerrahmen/Durchgang eingelassene Reader
- pseudonymisierte Daten unterliegen kaum Datenschutz (!)
- bsp: Farbkopierer (z.b. Canon)
- Jede Kopie wird mit fuer Auge unsichtbarem Code aus Seriennummer und Timestamp versehen
- Ueber Servicevertraege ist dem Hersteller bei 90% der Kopierer klar, wo diese stehen
- Durch Kundenkarten im Copy-Shop ist die Verknuepfung moeglich, wer eine bestimmte Kopie an welchem Geraet gemacht wird
- Liste laesst sich beliebig fortsetzen
- Studierendenkarte
- ueberwachung durch wen
- staat
- tkg / tkuev
- 3bedarfstraeger
-
- katalogstraftaten 100a StGB
- vorratsdatenspeicherung auf EU-Ebene
- wirtschaft
- kundenbindungsprogamme (payback, etc)
- angebliche gratisangebote sind nicht gratis, werden durch daten bezahlt!
- pseudonymisiertes tracking
- gleiche ec-karten-nr bei jedem einkauf
- online-handel
- erhebung unnoetiger daten
- wozu wird geburtsdatum bei einer bestellung benoetigt?
- banken
- haben viele daten ueber 'wer mit wem'
- neue medien
- bisher unueberwachte bereiche werden voellig ueberwacht
- inhaerent datenintensiv
- notwendige Daten zum Transport bzw. der Vermittlung einer Nachricht
- notwendige Daten zur Abrechnung
- notwendige Daten zur lokalisierung eines Empfaengers
- datenintensives internet
- jedes Ende einer Verbindung hat (zu gegebenem Zeitpunkt) eindeutige Adresse
- Provider speichert zu Abrechnungszwecken die Zuordnung, welche IP adresse wann
welchem Kunden zugewiesen wurde ('fahrtenbuch' einer IP-Adresse)
- Provider erhebt 'accounting'-Daten ueber Datenvolumen fuer Abrechnungszwecke,
selbst bei sog. Flatrate-Angeboten
- Jede an der Vermittlung eines Datenpakets beteiligte Stelle
sieht Absender und Empfaengeraddresse
- Jede an der Vermittlung beteiligte Stelle kann den Inhalt der Datenpakete
einsehen, automatisiert auswerten und/oder speichern (auch
wenn in Deutschland nicht legal)
- Durch transnationale Architektur und dynamische Routingentscheidungen kann
ein Paket zwischen zwei Deutschen Teilnehmern trotzdem z.B. ueber die USA
oder andere Laender mit wenig bzw. keinem Datenschutz geroutet werden.
Dies kann durch den Anwender nicht beeinflusst werden.
- Dienste wie e-mail und WWW erzeugen darueberhinausgehende
Daten auf ihrer Protokollebene
- Verschluesselung schuetzt vor mitlesen, ist jedoch viel zu wenig verbreitet
(wer verwendet pop3/imap4 mit SSL ?)
- selbst Verschluesselung hilft nicht gegen analyse 'wer mit wem'
- anonymizer (z.B. "TCP Onion Routing" (Tor) helfen, finden aber nur wenig Anwendung
- Internetzugang ueber Satellit voellig unverschluesselt, jeder kann bei jedem mitlesen (!)
- datenintensives mobilfunknetz
- Jedes eingeschaltete Telefon muss sich bei Mobilfunkanbieter anmelden
- Es wird staendig die jeweils naeheste (d.h. mit bestem Empfang) Funkzelle geaehlt
- Durch Triangulierung der empfangenen Funksignale von mehreren Basisstationen kann Aufenthaltsort sehr genau bestimmt werden
- Jedes Telefon hat eine eigene Identitaet
- Jedes
- datenintensive LKW-Maut
- Kennzeichenerkennung an Mautbruecken
- Staendige Protokollierung der GPS-Koordinaten des Fahrzeugs
- Kombination mit elektronischem Tachograph laesst Utopien wahr werden (Geschwindigkeitsuebertretungen werden ein JAhr auf Vorrat im Tachograph vorgehalten)
- DECT-Telefonie
- urspruenglich geheimer Verschluesselungsalgorithmus wurde inzwischen im Internet veroeffentlicht
- Schnurlostastaturen
- Viele arbeiten mit Funk, vor allem aeltere ohne jegliche Verschluesselung
- Bluetooth
- Schwache Sicherheitsstandards
- Viele fehlerhafte implementierungen, v.a. in Mobiltelefonen. Hacker konnte durch Fahrradfahren im Regierungsviertel die Telefonbuecher vieler Abgeordneten und des Sicherheitspersonals auslesen [http://www.heise.de/newsticker/meldung/60542]
- Wireless LAN
- nicht nur unerlaubte Nutzung der Netze durch Dritte (wardriving), sonderen auch leichtes 'Einfangen' eines Notebooks (Rogue AP)
- paradigmenwechsel
- Viele alltaegliche dinge, die frueher 'offline' waren, sind jetzt 'online'
- Reisepass
- Gesundheitskarte
- Elektronischer tachograph bei LKW (statt fahrtenschreiber)
- Chipkarten / RFID beim einkauf
- Folge: Exponentielle steigerung des Datenanfalls
- Recht auf informationelle selsbtbestimmung kaum mehr wahrnehmbar
- vielfach werden Daten ausserhalb des deutschen Rechtsraums verarbeitet
- grosse Zahl an beteiligten datenverarbeitenden Stellen macht Suche nach
verantwortlichem Ansprechpartner unmoeglich
- welcher Online-shop gibt mir denn die wahl, schon bei meiner
Erstregistrierung sofort der Nutzung meiner Daten zu widersprechen?
- politik
- zweckgebundenheit der daten oft nicht mehr gegeben
- einmal erfasste daten wecken begehrlichkeiten
- literaturhinweise / referenzen
- Deutsche Vereinigung fuer Datenschutz (DVD) e.V. (http://www.datenschutzverein.de/)
- Humanistische Union e.V. (http://www.humanistische-union.de/)
- FoeBUD e.V. (http://www.foebud.de/)
- Big Brother Awards (http://www.bigbrotherawards.de/)
- Forum InformatikerInnen fuer Frieden und gesellschaftliche Verantwortung (FIfF) e.V. (http://rayserv.upb.de/fiff/)
- Stop1984 Initiative (http://stop1984.com/)
- European Digital Rights Initiative (EDRI), http://www.edri.org/
- Electronic Fronteer Foundation (EFF), http://www.eff.org/
http://www.mi.niedersachsen.de/master/C516709_N13666_L20_D0_I522.html
http://www.bundesverfassungsgericht.de/entscheidungen/rs20050727_1bvr066804
|