Artikel der Kategorie Allgemein

Offener Brief für einen starken und unabhängigen Datenschutz

An die Bundesregierung, insbesondere
die Bundesministerin des Innern und für Heimat, Frau Nancy Faeser,
den Chef des Kanzleramtes, Herrn Wolfgang Schmidt,

An die Fraktionsvorsitzenden der Parteien SPD, BÜNDNIS 90/DIE GRÜNEN, FDP,
Herrn Rolf Mützenich MdB, Frau Katharina Dröge MdB,
Frau Britta Hasselmann MdB und Herrn Christian Dürr MdB,

An die Präsidentin des Deutschen Bundestages, Frau Bärbel Bas MdB

Berlin u.a., den 19.03.2024

Offener Brief

Protest gegen die Beschädigung des Amtes des/der
Bundesbeauftragten für Datenschutz und Informationsfreiheit (BfDI)

Sehr geehrte Damen und Herren,
Die Bundesregierung der Bundesrepublik Deutschland hat sich in ihrem Koalitionsvertrag 2021-2025
„Mehr Fortschritt wagen – Bündnis für Freiheit, Gerechtigkeit und Nachhaltigkeit“ zur Aufgabe
gemacht, den Datenschutz zu stärken. Ihre eigenen Worte lauten auf Seite 104: „Den Rechtsschutz
sowie die Datenaufsicht durch den Bundesbeauftragten für den Datenschutz und die
Informationsfreiheit (BfDI) stärken wir deutlich.“
Die Vorgänge in Bezug auf die Neu- oder Weiterbesetzung des Bundesbeauftragten für Datenschutz
und Informationsfreiheit (BfDI) schaden dem Amt jedoch in noch nie dagewesener Weise. Eine
Unklarheit über die Fortführung der Amtsgeschäfte schwächt den gesamten Datenschutz in Bund und
Ländern. Nichts fügt dem Datenschutz in Deutschland jedoch einen größeren und nachhaltigeren
Schaden zu, als das verheerende Zeichen, dass der BfDI sich bei seinen unabhängigen
Amtsgeschäften nicht sicher vor politischer Sanktion und damit vor politischer Einflussnahme sein
kann. Es entsteht der Eindruck, der bisherige Amtsinhaber könnte sich eine mögliche zweite Amtszeit
nicht durch den Einsatz für die Sache erarbeiten, sondern insbesondere durch politische Gefügigkeit.
So erginge es jedoch auch jeder nachfolgenden Person im Amt der oder des BfDI.

Laut DSGVO und BDSG handelt die Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben und bei der
Ausübung ihrer Befugnisse völlig unabhängig. Sie oder er unterliegt weder direkter noch indirekter
Beeinflussung von außen und ersucht weder um Weisung noch nimmt sie oder er Weisungen
entgegen. Zum Verfahren zur Besetzung der Datenschutzaufsicht führt die DSGVO in Art. 53 aus: „Die
Mitgliedstaaten sehen vor, dass jedes Mitglied ihrer Aufsichtsbehörden im Wege eines transparenten
Verfahrens ernannt wird.“ Ein transparentes Verfahren zur Benennung ist in Deutschland aktuell nicht
vorgesehen. Dieser Umstand wird von Fachverbänden zu recht bemängelt. Die aktuell entstandene
Verunsicherung ist eine unmittelbare Auswirkung dieser fehlenden Transparenz.

Es ist bekannt, dass sich der kommissarisch amtierende BfDI für eine weitere Amtszeit bewirbt. Es
gibt keine Äußerung der Bundesregierung, warum eine nochmalige Benennung nicht geplant ist oder
wer anstelle des amtierenden BfDI der Vorschlag ist. Ein transparentes Verfahren gibt es nicht. Dies
gibt Raum für Spekulationen, die der Person, der Behörde, dem Datenschutz als solchem und nicht
zuletzt auch dieser Bundesregierung selbst schaden.

Die unterschreibenden Organisationen eint die Sorge um die Unabhängigkeit des BfDI und damit um
die Effektivität des Datenschutzes in Deutschland.

Wir fordern die Bundesregierung und den Bundestag auf, den bereits in erheblicher Weise
entstandenen Schaden nach allen Kräften zu begrenzen und schnellstmöglich Klarheit über die
Fortführung zu schaffen. Um die Beschädigung nicht als Dauerzustand fortzusetzen, müssen
außerdem die Weichen für die Stärkung der Unabhängigkeit des Bundesbeauftragten für
Datenschutz und Informationsfreiheit durch das Festschreiben eines transparenten
Benennungsverfahrens gestellt werden.

Mit freundlichen Grüßen

  1. Ann Cathrin Riedel und Teresa Widlok für LOAD e.V.
  2. Caroline Krohn für die AG Nachhaltige Digitalisierung
  3. Padeluun für Digitalcourage e.V.
  4. Lilli Iliev für Wikimedia Deutschland – Gesellschaft zur Förderung Freien Wissens e. V.
  5. Henriette Litta für die Open Knowledge Foundation Deutschland
  6. Bianca Kastl für den Innovationsverbund Öffentliche Gesundheit e.V. (InÖG)
  7. Max Schrems für noyb – Europäisches Zentrum für digitale Rechte
  8. Dr. Stefan Brink für das Wissenschaftliche Institut für die Digitalisierung der Arbeitswelt,
    wida
  9. Christine Regitz für die Gesellschaft für Informatik e.V.
  10. Prof. Dr. Daniel Loebenberger für den Fachbereich Sicherheit – Schutz und Zuverlässigkeit
    der Gesellschaft für Informatik e.V. / Fraunhofer AISEC
  11. Dr. Martin Weigele für den Arbeitskreis Datenschutz und IT-Sicherheit der Gesellschaft für
    Informatik e.V.
  12. Elisa Lindinger für SUPERRR Lab
  13. Prof. Dr. Dennis-Kenji Kipker für das cyberintelligence.institute
  14. Matthias Spielkamp für die AW AlgorithmWatch gGmbH
  15. Jennifer Herbert für Netzbegrünung e.V.
  16. Stefan Hügel & Rainer Rehak für das Forum InformatikerInnen für Frieden und
    gesellschaftliche Verantwortung
  17. Chaos Computer Club e.V. (CCC)
  18. Svea Windwehr für D64 – Zentrum für Digitalen Fortschritt
  19. Johannes Näder für die Free Software Foundation Europe e.V.
  20. Frederick Richter, LLM für die Stiftung Datenschutz
  21. Peter Schaar für die Europäische Akademie für Informationsfreiheit und Datenschutz (EAID),
    ehemaliger Bundesbeauftragter für den Datenschutz und die Informationsfreiheit
  22. Tom Jennissen für die Digitale Gesellschaft e.V.
  23. Robert Peter, Weizenbaum Institut e.V.

Sicherheitsrisiken bei der Nutzung von Videokonferenzdiensten wie WebEx, Zoom, MS Teams, etc.

In den letzten Tagen liest man viel über Sicherheitsbedenken im Bereich Videokonferenzen. Wir möchten gerne etwas Aufklärungsarbeit leisten und zeigen, wie man seine Organisation auf einem hohen Niveau absichern kann.

Dabei wollen wir insbesondere die vielfältigen Vorteile einer On-Premise Lösung, also eine auf beliebigen Servern (selbst) installierbaren (und damit dezentralen) Software beleuchten.

Ein wichtiges Thema ist der Standard der IT-Sicherheit. Also die Absicherung der Server-Systeme gegenüber Angreifer*innen. On-Premise Lösungen bieten dabei einen großen Vorteil. Die Organisation, die eine Software auf ihrem Server installiert oder ihre IT-Partner damit beauftragt, kann das Maß an IT-Sicherheit der Server selbst bestimmen. Das wird nicht von Plattformanbietern wie z.B. den US-Firmen Cisco, Microsoft oder Zoom festgelegt, sondern vom Betreiber der Software auf dem Server. Das kann eine interne IT, ein IT-Partner oder ein beliebiges IT-Dienstleistungsunternehmen sein. Sowohl die Entscheidungsgewalt als auch die Vorgaben können komplett in der eigenen Organisation liegen. Die IT-Sicherheit entspricht dann den eigenen Standards. Diese können deutlich höher angesetzt werden, als sie ein Anbieter, der seine Software mit hohen Margen vertreiben und geringen Kosten betreiben möchte, in der Praxis wählen würde. Das Budget für IT-Sicherheit bestimmt dann die eigene Organisation, nicht die Plattformanbieter.

Dazu kommt, dass die Datensicherheit und der Standort der Server und damit der Speicherort der Daten bei On-Premise Lösungen frei gewählt werden kann. Das ermöglicht Standorte, die von EU-Firmen betrieben werden, was zum einen aufgrund der DSGVO den Sicherheitsstandard schon grundlegend höher ansetzt und zum anderen wird sichergestellt, dass Daten nicht schon aufgrund von Verpflichtungen der Serverbetreibenden in die Hände von Geheimdiensten oder andere staatlichen Akteuren gelangen.

Anders als Unternehmen wie Microsoft (mit Teams) gerne behaupten, betrifft der Serverstandort aber oft nur einen Teil des Datenverkehrs. Die meisten Plattformanbieter verwalten beispielsweise Anmeldedaten zentral (außerhalb von Europa) und bieten damit wieder einen neuen Angriffspunkt. So kann es beispielsweise für einen Geheimdienst oder andere staatlichen Akteure von großem Interesse sein, wie ein*e Teilnehmer*in heißt, um dann gegebenenfalls gezielt Meetings mit dieser Person abzugreifen (z.B. Minister*innen). Aber bereits die IP-Adresse kann eine Filterung möglich machen. Für den Zugriff auf diese Daten gelten dann nämlich in allererster Linie die länderspezifischen Regelungen des Speicherorts.

Positiv im Datenschutzbereich ist es außerdem zu bewerten, dass bei einer on-premise Lösung datensparsam gearbeitet werden kann. Das Datensparsamkeitsprinzip im Umgang mit Kommunikationsdaten macht es überhaupt erst möglich, sich nicht von Grauzone zu Grauzone am Rande der DSGVO zu bewegen. Die Plattformanbieter hingegen versuchen durch Zustimmung zu Datenverarbeitungen und jeder Menge Datenschutzkosmetik darüber hinwegzutäuschen, wie niedrig der Standard an vielen Stellen ist.

Beispiele:

Beispielsweise arbeitet der US-Anbieter zoom mit der Telekom zusammen, um den Anschein einer lokalen Verarbeitung zu erwecken. Davon sollte man sich nicht täuschen lassen. Wenn man beispielsweise lmu-munich.zoom-x.de in seinen Browser eingibt, wird man schnell merken, dass die eigentliche Domain weiterhin lmu-munich.zoom.us ist, hinter der sich ein amerikanischer Server befindet.

 

Bei Cisco WebEx vom Wirtschaftsministerium sieht es ähnlich aus:

Anstatt die Daten auf eigenen Servern zu verarbeiten, greifen entsprechende Organisationen dann gerne auf Auftragsdatenverarbeitungsverträge mit den Unternehmen zurück. Damit gibt die Organisation die Verantwortung für die Datenverarbeitung ab. Das löst rechtliche Bedenken für die Organisationen, den User*innen bringt das aber
keinen Millimeter zusätzlichen Datenschutz. Die Datenhoheit, dass die Organisation selbst entscheiden kann, was sie löscht oder speichert, geht komplett verloren. Übrig bleiben im besten Fall rechtliche Absicherungen, im schlechtesten schön formulierte Beteuerungen.

Aber die Nutzung von on-premise Produkten ist nur eine Komponente. Eine weitere stellt die Nutzung von quelloffener Software dar. Das bedeutet, dass der Programmiercode, aus dem die Software erstellt ist, offen einsehbar ist. Bei quelloffenem Code sind schlechte Sicherheitsstandards, wie z.B. die Nutzung veralteter Frameworks oder ähnliches sofort sichtbar. Aber auch im Detail können IT-Sicherheitsexpert*innen dann beurteilen, ob eine Software hohe oder niedrige Sicherheitsstandards anwendet.

Ob die Bundeswehr von Cisco eine WebEx-Variante zur Verfügung gestellt bekommt, die wirklich hohen Sicherheitsanforderungen genügt, ist von außen nicht beurteilbar. Es ist nicht davon auszugehen, dass Cisco für die Bundeswehr den Quellcode offenlegt. Dabei ist der Quellcode essenziell dafür, wie z.B. die Teilnahme an Konferenzen so abgesichert wird, dass es nicht die Gefahr von ‚unsichtbaren‘ Teilnehmer*innen gibt.

Auch wenn Open-Source Software oft schon eine Entwicklungs-Community mitbringt, die auch ein hohes Sicherheitsbewusstsein hat, gibt es ergänzend dazu eine Möglichkeit, die closed-source Systeme nicht bieten. Man kann als Organisation Erweiterungen oder Weiterentwicklungen beauftragen und auch hier wieder selbst aktiv Einfluss auf den Sicherheitsstandard nehmen. Davon profitiert dann nicht nur die eigene Organisation, sondern letztlich alle Teile der Gesellschaft, die in Berührung mit dem Tool kommen.

Auch die Abhängigkeiten von Plattformanbietenden oder -betreibenden entfallen bei quelloffener Software. Plattformen zwingen die Käufer*innen zu zentralen Supportanbieter*innen – in der Regel die Entwicklungsfirma selbst. Auch kann das Geschäftsmodell jederzeit angepasst werden. Eine Software, die gestern noch eine Kaufversion war, kann bereits morgen auf ein Abomodell umgestellt sein. Die alte Version wird wiederum dadurch unbrauchbar gemacht, indem keine Sicherheitsupdates mehr zur Verfügung gestellt werden. Bei quelloffenen Systemen hingegen können Anbieter*innen und Implementierungs-Partner*innen unabhängig von der Software gewählt werden – und bei Bedarf ausgetauscht werden.

Zusammenfassend lässt sich festhalten, dass durch den Einsatz von on-premise Open-Source-Systemen die Nutzer*innen bzw. die einsetzenden Organisationen einen hohen Gestaltungsspielraum im Bezug auf Datenschutz, Transparenz und Sicherheit haben. Der Betrieb von Kommunikationssoftware im Sinne der DSGVO ist damit möglich und die Vorgaben, die die DSGVO macht, werden bei on-premise Open-Source-Systemen zu lösbaren Aufgaben anstatt wie bei Platformanbieter*innen wie WebEx, Zoom oder Teams zu Hindernissen, die durch rechtliche Grauzonen und Verbraucher*innentäuschung kaschiert werden sollen.

Was kann ich stattdessen nutzen?

Grünen Parteimitgliedern empfehlen wir die Nutzung von meet.gruene.de

Wir stellen aber auch anderen grün-nahen Organisationen unseren Dienst konferenz.netzbegruenung.de zur Verfügung.

Wenn du für deine Organisation eine eigene Lösung haben möchtest, kannst du dich gerne an support@verdigado.com wenden.

Mitgliederprozess

Wer ist die netzbegrünung?
Die netzbegrünung – Verein für grüne Netzkultur setzt sich seit 2006 dafür ein, „das Netz“ und BÜNDNIS 90/DIE GRÜNEN näher zusammenzubringen. Dabei setzen wir auf Open Source, um Sicherheit, Schutz und Digitale Souveränität zu stärken. Viele der Tools, die die Parteimitglieder von BÜNDNIS 90/DIE GRÜNEN regelmäßig in ihrem Parteialltag nutzen, gehen auf die Initiative unserer Mitglieder zurück. Beispielsweise das Antragsgrün, die Wolke oder der Sharepicgenerator. 2019 haben wir eine Genossenschaft gegründet, die unsere etablierten IT-Projekte seitdem verwaltet und supported.

Warum ein Mitgliederprozess?
Die dadurch frei gewordenen Kapazitäten wollen wir nutzen, um wieder zur Ideenschmiede und Experimentierwerkstatt zu werden, die Dinge einfach mal ausprobiert und unkompliziert verwirklicht. Gleichzeitig wollen wir raus aus der Bubble und Menschen einbinden, die nicht die gleiche IT-Affinität wie wir selbst besitzen. Unser Anspruch ist es, uns auch an gesamtgesellschaftlichen Diskussionen und Entwicklungen rund um den digitalen Raum und die Kultur im Netz zu beteiligen. Wir setzen dabei auf unsere Mitglieder, denn Wandel gelingt am Besten, wenn er aus unterschiedlichen Perspektiven gestaltet wird.

Wie soll das konkret ablaufen?

  1. Mitgliederbefragung – bis 24. Februar 2024
    WAS WÜNSCHEN SICH UNSERE MITGLIEDER?
    Seit der BDK 2023 bewerben wir den Mitglieder- und Erneuerungsprozess der netzbegrünung offensiv und versuchen so, möglichst viele Perspektiven einzubinden. Mit unserer ersten digitalen Mitgliederversammlung 2024 gehen wir den nächsten Schritt und starten eine breit angelegte Mitgliederbefragung, um das Fundament für unsere weitere Arbeit zu legen. Den Fokus richten wir dabei auf Grundwerte, politische Handlungsfelder sowie Beteiligungsmöglichkeiten.     Den Link zur Mitgliederbefragung erhaltet ihr per Mail sowie über unseren Mitgliedschannel in der chatbegrünung: #netzbegruenung-mitglieder.
  2. KickOff Veranstaltung: Positions- und Zielbestimmung (Mitgliederöffentlich) – am 14. März 2024
    WARUM TUN WIR WAS WIR TUN? | WIE SEHEN WIR UNS SELBST?
    Erste Ergebnisse der Mitgliederbefragung wird der Vorstand der netzbegrünung auf einer Klausurtagung auswerten. Anschließend wollen wir diese auf einer mitgliederöffentlichen KickOff-Veranstaltung zur vorläufigen Positions- und Zielbestimmung debattieren.
  3. Gesprächsreihe mit Beteiligten und Betroffenen (Mitgliederöffentlich) – TBA
    WAS ERWARTEN ANDERE VON UNS?
    Die vorangegangene Debatte werden wir Beteiligten und Betroffenen (z.B. LAG & BAG Digitales und Medien, Landes- & Bundesvorstand, Digitalpolitiker*innen oder auch anderen Digitalverbänden) zugänglich machen, um mit ihnen zu besprechen, was sie von einem grünnahen Digitalverband erwarten und welche Kooperations- und Entwicklungsmöglichkeiten sie sehen.
  4. Workshop: Wohin und wie weiter? (Mitgliederöffentlich) – TBA
    WELCHE LEHREN ZIEHEN WIR AUS DEN GESPRÄCHEN? WELCHE ZIELE SETZEN WIR?
    Anschließend blicken wir auf unsere KickOff-Veranstaltung zurück und erarbeiten anhand der Rückmeldung von Beteiligten und Betroffenen, welche Ergänzungen oder Streichungen notwendig sind. Daraus leiten wir ein Selbstbild und eine Zielbestimmung ab.
  5. Operationalisierung (Mitgliederöffentlich)
    WIE WOLLEN WIR ARBEITEN?
    Abschließend leiten wir aus Selbstbild und Zielbestimmung Konsequenzen für unsere tagtägliche Arbeit ab. Dazu werden wir in Themenblöcken diskutieren, welche strukturellen, inhaltlichen und die Öffentlichkeitsarbeit betreffenden Veränderungen und Anpassungen notwendig sind.

Einen vorläufigen, ausführlich formulierten Zeitplan findet ihr auch hier.

#BDK23 – Bei der netzbegrünung tut sich was!

Unser Flyer zur Bundesdelegiertenkonferenz von Bündnis 90/Die Grünen:

Wer wir sind:
Wir sind die netzbegrünung. Eigentlich mögen wir Papier nicht so gerne, aber das hier ist wichtig:

Wir setzen uns seit 2006 dafür ein, „das Netz“ und Bündnis 90/Die Grünen näher zusammenzubringen. Dabei setzen wir auf OpenSource, um Deine Sicherheit, Deinen Schutz und Deine Souveränität zu stärken. Viele der Tools, die Du regelmäßig in Deinem Parteialltag nutzt, gehen auf die Initiative unserer Mitglieder zurück. Beispielsweise das Antragsgrün, die Wolke oder der Sharepicgenerator. Mehr dazu auf der Rückseite.

Seit 2014 gibt es uns auch ganz offiziell als Verein. Das hat es uns ermöglicht, bestehende Services auszubauen und weiter zu professionalisieren. 2019 haben wir dabei den letzten großen Schritt gewagt und eine Genossenschaft, die verdigado, gegründet. Diese supported und verwaltet seitdem etablierte Projekte – z.B. das Antragsgrün.

Was wir vorhaben:
Jetzt, da wir unsere bewährten IT-Projekte bei der verdigado in guter Hand wissen, wollen wir uns als Verein neu aufstellen. Wir wollen wieder zur Ideenschmiede und Experimentierwerkstatt werden, die Dinge auch einfach mal ausprobiert und unkompliziert verwirklicht. Dabei hilft uns unsere jahrelange Erfahrung bei der praktischen Umsetzung von IT-Projekten.

Gleichzeitig wollen wir raus aus der Bubble. Daher nehmen wir nicht nur die Bedürfnisse der Mitglieder von Bündnis 90/Die Grünen in den Blick, sondern haben den Anspruch auch gesamtgesellschaftliche Diskussionen und Entwicklungen rund um den digitalen Raum und die Kultur im Netz zu gestalten.

 

Weshalb wir Dich dafür brauchen:
Wir können nur gemeinsam Großes bewegen und Wandel gelingt am besten, wenn er aus unterschiedlichen Perspektiven gestaltet wird.  Deshalb brauchen wir Dich!

Wir vertrauen auf das bewährte OpenSource-Prinzip und hoffen, dass möglichst viele engagierte Menschen mitgestalten, wie es gemeinsam weitergeht.

Dafür brauchen wir Deine Skills! Ob Du alleine oder mit ein paar Freund*innen ein Digitalprojekt anstoßen und umsetzen willst und dafür Unterstützung brauchst, oder Dich an bestehenden Projekten beteiligen willst – bei uns bist Du richtig.

Du erarbeitest und diskutierst gerne netzpolitische Forderungen, organisierst gerne Veranstaltungen oder hast Lust unsere Website neu zu designen? Dann brauchen wir Dich erst recht.

Jetzt Mitglied werden!

 

Beschluss über die Unvereinbarkeit der Nutzung von Telegram

Die Mitgliederversammlung des Vereins netzbegrünung – Verein für grüne Netzkultur e.V. hat am 23.09.2023 den folgenden Beschluss über die Unvereinbarkeit der Nutzung von Telegram mit grünen Werten, Zielen und dem öffentlichen Ansehen von BÜNDNIS 90/DIE GRÜNEN gefasst:

1. Datenschutz und Datensicherheit: Telegram bietet nicht ausreichende Sicherheitsmaßnahmen für den Schutz sensibler Daten. Die Ende-zu-Ende-Verschlüsselung der Kommunikation mit Telegram ist nicht standardmäßig aktiviert und erfordert eine manuelle Konfiguration, was ein erhebliches Sicherheitsrisiko darstellt. Gruppenchats können bei Telegram gar nicht Ende-zu-Ende verschlüsselt werden. Nach Art. 9 DSGVO handelt es sich bei politischen Meinungen um besondere Kategorien personenbezogener Daten, deren Verarbeitung nur unter besonderen Voraussetzungen erlaubt ist.

2. Cloud-basierte Speicherung sensibler Daten: Telegram speichert die Nachrichten und Medien der Nutzer*innen standardmäßig in der Cloud. Dies bedeutet, dass persönliche Daten und Kommunikation dauerhaft auf den Servern von Telegram gespeichert werden. Telegram gibt an, dass diese Daten verschlüsselt sind. Dennoch besteht immer das Risiko, dass Angreifer*innen die Möglichkeit haben, auf eine Vielzahl sensibler Daten an einem Ort zuzugreifen. Dies kann zu Identitätsdiebstahl und politischen Hetzkampagnen führen.

3. Das Grundsatzprogramm (281) der Grünen stellt klar, dass der Schutz der Grundrechte weiter ausgebaut werden soll, auch im digitalen Raum. Weiter heißt es: Auch im Netz muss das Recht effektiv durchgesetzt werden. Das in Dubai ansässige Unternehmen ist schwer für Behörden erreichbar, da es gemäß Artikel 27 der Datenschutz-Grundverordnung (DSGVO) keine Kontaktperson für offizielle Anfragen benennt. 

Aus diesen Gründen erklärt die netzbegrünung die Nutzung von Telegram in der politischen Arbeit für Parteimitglieder und Funktionär*innen als unvereinbar mit den grünen Werten, Zielen und dem öffentlichen Ansehen der Partei. Die Mitglieder und Funktionär*innen werden dazu aufgefordert, alternative Kommunikationsplattformen zu nutzen, die den Prinzipien des Datenschutzes, der Transparenz und der Verantwortlichkeit besser gerecht werden.