Category Archives: Allgemein

Verschlüsselung und Backdoors: Aller Weisheit Schluss?

Irgendwie reden immer alle über Verschlüsselung, aber kaum einer praktiziert sie. Jüngst veröffentlichte heise-online beispielsweise eine Umfrage (https://www.heise.de/newsticker/meldung/Umfrage-Nur-16-Prozent-der-Deutschen-verschluesseln-ihre-E-Mails-3720597.html) mit dem Ergebnis, dass nur 16 Prozent der Deutschen eine E-Mail-Verschlüsselung nutzen, obwohl sie diese für wichtig halten. Woher kommt diese Diskrepanz? Nun, jeder von uns hat sicherlich das Bedürfnis nach vertraulicher Kommunikation, und ungeschützten Räumen, in die man sich zurückziehen und Gedanken und Empfindungen frei äußern kann. Oder vielleicht geht es einfach nur um das simple Ansinnen, vertrauliche Daten des Geschäftsverkehrs ohne die Kenntnisnahme von unbefugten Dritten durch den digitalen Raum zu übermitteln. Aber irgendwie bleibt es beim Thema Verschlüsselung zu oft bei bloßen Interessensbekundungen, oder pauschalen, in eine unbestimmte Zukunft aufgeschobenen Aussagen wie „da müsste ich mich eigentlich mal drum kümmern, stimmt“. Die Suche nach dem „warum“ dürfte hier allermeistens zu einer simplen Antwort führen: Verschlüsselung ist einfach zu kompliziert für jedermann. Zwar gibt es frei erhältliche kryptografische Software – das beste Beispiel ist „GNU Privacy Guard“ (GnuPG), mit der sich Daten ver- und entschlüsseln und elektronische Signaturen zur eindeutigen Identifizierung im Netzverkehr generieren lassen, inklusive passender Plug-Ins für Mozilla Thunderbird oder Microsoft Outlook. Aber dennoch ist es für viele zu anstrengend, zu kompliziert, sich neben den Herausforderungen des Alltags noch in ein neues, weiteres, technisches Thema einzuarbeiten. Und wenn dann auch noch etwas nicht wie gewollt funktioniert, ist es aus mit der Verschlüsselung – obwohl die Umsetzung zumindest der Theorie nach gar nicht so schwierig ist. Wir leben in einer Click-and-go-Gesellschaft, in der alles mit wenigen und einfachen Handgriffen funktionieren muss, ohne dass man groß darüber nachdenkt. Und damit bleibt zumindest die gängige E-Mail-Verschlüsselung dann doch letztlich wieder nur etwas für Nerds, Sicherheitsfanatiker oder die wirklich hartgesottenen, die sich tatsächlich so lange mit dem Thema beschäftigen, bis es endlich läuft. Und für den Rest heißt es dann wieder zwangsläufig: Unverschlüsselte Kommunikation funktioniert ja im Ergebnis auch irgendwie – und wen interessieren am Ende schon meine Daten?

Will man den jüngsten politischen Bestrebungen des BMI Glauben schenken, so interessieren sich der Theorie nach mehr Personen – und auch Institutionen – für die eigenen Daten, als einem lieb ist. So ist es nicht nur das Sinnbild des Hackers im dunklen Keller, der aus Neugier oder Schadenfreude Daten abgreift, sondern immer mehr auch der Staat, der sich die immer größer werdende Zahl digitaler Kommunikationsverbindungen für Ermittlungszwecke zunutze machen will. Und da werden dann auch schnell Forderungen laut, standardmäßig Backdoors in Messenger zu integrieren. Und genau das ist das Verhängnisvolle an der aktuellen Debatte: Es geht tatsächlich einmal um verschlüsselte Kommunikationsverbindungen, die tatsächlich fast jeder nutzt. Eben auch, weil es einfach ist – quasi Sicherheit und Privacy „on the go“: Keine Generierung und Verwaltung von Schlüsselpaaren, kein „Web of Trust“ auf irgendwelchen Public-Key-Servern, sondern installieren, anmelden, und fertig. Instant-Verschlüsselung also wirklich für jedermann – Threema, Signal, Telegram oder mittlerweile auch WhatsApp regeln das schon für mich. Und dass diese Art von Verschlüsselung effektiver denn je ist, wird eben daran deutlich, dass Sicherheitsbehörden zunehmend die Befürchtung haben, die Kontrolle über die Kommunikation im digitalen Raum zu verlieren, der sich fast jeder, der einen Handyvertrag hat, bedient. Die Schaffung von Hintertüren für Messenger würde folglich nichts Anderes bedeuten, als jenes sichere Kommunikationsmedium, das sich gerade in der Breite der Bevölkerung etabliert hat, in erheblichen Teilen zu entwerten.

Gleichwohl darf die Verschlüsselung von Kommunikationsverbindungen nicht dazu führen, dass in Einzelfällen auch öffentliche, dem staatlichen Informationsinteresse dienende Zwecke des Gemeinwohls gefährdet werden. Wie bei so vielen Dingen ist auch hier das richtige Augenmaß gefragt, das die Suche nach Alternativen bedeutet. Und dabei geht es um dreierlei Dinge: Hinreichend eng gefasste gesetzliche Ermächtigungsgrundlagen, missbrauchssichere technische Verfahren, und eine transparente Kontrolle von staatlichen Überwachungsmaßnahmen. Und natürlich, allem voran geschaltet, die wichtigste Frage: Brauchen wir ein bestimmtes Ermittlungsinstrument oder diese konkrete Eingriffsmaßnahme überhaupt? Insider denken hier vielleicht an die Vorratsdatenspeicherung – einst totgeglaubt, ersteht sie immer wieder auf, obwohl ihre Effektivität nie zweifelsfrei nachgewiesen werden konnte. Zu oft wird die Debatte um Freiheit und Sicherheit rein emotional geführt – scheinbar zwingende staatliche Notwendigkeiten stehen unverrückbaren Bürgerrechtspositionen gegenüber. Dabei sagt gerade auch die Verfassung, dass beide Interessen in einen angemessenen Ausgleich zu bringen sind, denn es gibt keine Sicherheit ohne zu schützende Freiheit, genauso, wie es keine Freiheit ohne ein Mindestmaß an Sicherheit geben kann. Für das Thema Messengerverschlüsselung bedeutet dies: Es kann nicht darum gehen, durch Backdoors mittelbar letztlich die gesamte gesicherte Kommunikation eines jeden zu entwerten, denn wenn ich weiß, dass es technisch jederzeit für Dritte – egal ob Privater oder Staat – möglich ist, mitzulesen und mitzuhören, dann fehlen mir eben jener Freiraum und jene Sicherheit, die laut Umfragen so wichtig sind und deshalb gerade den Mehrwert einer verschlüsselten Kommunikation ausmachen. Das Einbringen von Backdoors ist deshalb auch nicht aller Weisheit Schluss, sondern steht vielmehr sinnbildlich für den Anfang eines Diskurses, der zumindest zum gegenwärtigen Zeitpunkt gedanklich noch nicht zuende geführt wurde. Und wenn man mal ehrlich ist: Eigentlich geht es hier doch auch nicht wirklich um politische Fragen, sondern um die Entwicklung alternativer technisch-organisatorischer Verfahren, die es erlauben, Bürgerrechte und öffentliche Interessen jenseits von Backdoors in ebenjenen verfassungsrechtlich angemessenen Ausgleich zu bringen, der Maßstab und Voraussetzung eines jeden staatlichen Handelns ist. Zu oft wird dies in der Überwachungsgesetzgebung leider übersehen, und zu oft werden hier vornehmlich politische Diskussionen über Sachfragen geführt, die genau genommen eines gänzlich anderen Sachverstands bedürften.

Der Beitrag erschien ursprünglich im Berliner Tagesspiegel am 01.07.2019.

Sichere Kommunikation über das Internet stärken statt schwächen!

Stellungnahme der Europäischen Akademie für Informationsfreiheit und Datenschutz (EAID) zu Forderungen, Internetanbieter zum Einbau von Überwachungsschnittstellen zu verpflichten

2019-06-11 Stellungnahme Backdoors

Berlin, 11. Juni 2019

Die sichere Kommunikation über das Internet stärken statt schwächen!

Die Europäische Akademie für Informationsfreiheit und Datenschutz (EAID) lehnt die Forderungen von Innenministern und Vertretern der Sicherheitsbehörden ab, die Internetanbieter  dazu zu verpflichten, in ihre Dienste Schnittstellen einzubauen, über welche die Kommunikation an Sicherheitsbehörden ausgeleitet oder von diesen überwacht werden kann. Derartige Verfahren schwächen die Informationssicherheit, gefährden die Vertraulichkeit der Kommunikation und den effektiven Schutz personenbezogener Daten.

Angesichts der zunehmenden Bedeutung der elektronischen Kommunikation im privaten und geschäftlichen Bereich sind technische Schutzmaßnahmen gegen die unbefugte Kenntnisnahme und Einwirkung durch Dritte von zentraler Bedeutung. Insbesondere bei der Übermittlung hochsensibler Daten ist eine sichere Ende–zu–Ende–Verschlüsselung unverzichtbar. Zudem würden „Backdoors“ und vergleichbare Überwachungsmöglichkeiten unabsehbare Risiken für digital gesteuerte industrielle Prozesse („Industrie 4.0“) bewirken.

Die Vorstellung, technische Überwachungsschnittstellen ließen sich so gestalten, dass sie nur durch Behörden demokratischer Staaten unter Wahrung rechtsstaatlicher Verfahren und entsprechender Schutz– und Kontrollvorkehrungen genutzt werden können, ist wirklichkeitsfremd.

Schließlich ist darauf hinzuweisen, dass mit den 2017 vom Bundesgesetzgeber beschlossenen Befugnissen zur Durchsuchung von informationstechnischen Systemen („Bundestrojaner“) und zur Überwachung digitaler Kommunikation („Quell-TKÜ“) bereits eine bedenkliche Ausweitung der digitalen Überwachung erfolgt ist. Nicht zuletzt vor diesem Hintergrund wäre die nun ins Auge gefasste Ausweitung der Internetüberwachung auch verfassungsrechtlich hochgradig zweifelhaft.

Die EAID empfiehlt deshalb, die Pläne zum verpflichtenden Einbau von Überwachungsschnittstellen in Internetdienste nicht weiter zu verfolgen.

Kontakt: Peter Schaar

psch@eaid-berlin.de

EAID is supporting the Universal Guidelines on Artificial Intelligence (UGAI)

The European Academy for Freedom of Information and Data Protection (EAID) has endorsed the Universal Guidelines on Artificial Intelligence (UGAI) presented by the Civil Rights Coalition “The Public Voice” on 23 October 2018. The guidelines are now supported by more than 50 civil society organisations.

In order to enable the UGAI to be better disseminated to the German-speaking public, we have translated the text. We do not claim any copyrights for the German-language translation – however, we naturally assume responsibility for any translation errors.

English version of the UGAI on the website of The Public Voice. Here you will also find an online form to support the guidelines.

German version of the UGAI on the website of The Public Voice

Translated with www.DeepL.com/Translator

EAID unterstützt die Universal Guidelines on Artificial Intelligence  (UGAI)

EAID unterstützt die Universal Guidelines on Artificial Intelligence  (UGAI)

Die Europäische Akademie für Informationsfreiheit und Datenschutz (EAID) unterstützt die von der Bürgerrechtskoalition “The Public Voice” am 23. Oktober 2018 vorgelegten „Allgemeinen Leitlinien für die künstliche Intelligenz“ (Universal Guidelines on Artificial Intelligence  – UGAI). Die die Leitlinien werden inzwischen von mehr als 50 zivilgesellschaftlichen Organisationen unterstützt. 

Um den UGAI auch in der deutschsprachigen Öffentlichkeit eine bessere Verbreitung zu ermöglichen, haben wir den Text übersetzt. Für die deutschsprachige Übersetzung beanspruchen wir keine Urheberrechte – für eventuelle Übersetzungsfehler übernehmen wir aber selbstverständlich die Verantwortung.

Wortlaut der UGAI auf der Website von The Public Voice. Hier finden Sie auch ein Online-Formular zur Unterstützung der Leitlinien

Deutscher Text bei The Public Voice

 

Deutsche Übersetzung der UGAI:

Allgemeine Leitlinien für die künstliche Intelligenz 

Vorgelegt am 23. Oktober 2018 in Brüssel, Belgien

Neue Entwicklungen in der Künstlichen Intelligenz verändern die Welt. Die Veränderungen betreffen viele Bereiche, von der Wissenschaft und Industrie bis hin zu Verwaltung und Finanzen. Der Bedeutungszuwachs von KI-Entscheidungen berührt die grundlegenden Rechte auf Fairness, Rechenschaftspflicht und Transparenz. Die Ergebnisse der modernen Datenanalyse haben für die Menschen erhebliche praktische Folgen. Sie wirken sich in den Bereichen Beschäftigung, Wohnen, Kredit, Handel und Strafverfolgung aus. Viele dieser Techniken sind völlig undurchsichtig, so dass der Einzelne nicht weiß, ob er überhaupt Gegenstand einer KI-Entscheidung war und ob die Entscheidung richtig und fair getroffen wurde.

Wir schlagen diese allgemeinen Leitlinien vor, um über das Design und die Verwendung von KI zu informieren und diese zu verbessern. Die Leitlinien zielen darauf ab, den Nutzen der KI zu maximieren, das Risiko zu minimieren und den Schutz der Menschenrechte zu gewährleisten. Diese Leitlinien sollten in ethische Standards einfließen. Sie sollten in nationales Recht und internationale Vereinbarungen übernommen, in die Praxis umgesetzt und beim Entwurf von Systemen berücksichtigt werden. Wir stellen klar, dass die Hauptverantwortung für KI-Systeme bei den Institutionen zu liegen hat, welche solche Systeme finanzieren, entwickeln und einsetzen.

  1. Recht auf Transparenz. Jeder Einzelne hat das Recht, die Grundlage einer KI-basierten Entscheidung zu kennen, die ihn betrifft. Dazu gehört die Kenntnis der in die Entscheidung einfließenden Faktoren, der Verarbeitungslogik und der entscheidungsrelevanten Techniken.
  1. Recht auf menschliche Bestimmung. Jeder Einzelne hat das Recht, dass die ihn betreffenden Entscheidungen letztlich von einem Menschen getroffen werden.
  1. Identifikationspflicht. Die für das KI-System verantwortliche Institution muss der Öffentlichkeit bekannt gemacht werden.
  1. Verpflichtung zur Fairness. Die für den KI-Einsatz verantwortliche Institution muss sicherstellen, dass das KI-System keine ungerechten Verhältnisse widerspiegelt, verzerrte Ergebnisse liefert und keine unzulässig diskriminierenden Entscheidungen trifft.
  1. Folgenabschätzung und Rechenschaftspflicht. Ein KI-System sollte nur eingesetzt werden, nachdem die Zwecke, die Ziele, der Nutzen sowie die Risiken in angemessener Weise bewertet wurden. Institutionen, die KI-Systeme einsetzen, müssen für dessen Entscheidungen verantwortlich sein
  1. Richtigkeit, Zuverlässigkeit und Gültigkeit. Die Institutionen müssen die Richtigkeit, Zuverlässigkeit und Validität von Entscheidungen gewährleisten.
  1. Verpflichtung zur Datenqualität. Die Institute müssen festlegen, welche Daten in die KI-Algorithmen einfließen und sie müssen sicherstellen, dass deren Qualität und Relevanz gewährleistet ist.
  1. Verpflichtung zur Gewährleistung der öffentlichen Sicherheit. Die Institutionen müssen die Risiken für die öffentliche Sicherheit bewerten, wenn KI-Systeme Geräte steuern oder kontrollieren. Sie haben die erforderlichen Kontrollmechanismen zu implementieren, um die Sicherheit zu gewährleisten.
  1. Verpflichtung zur Cybersicherheit. Institutionen müssen KI-Systeme vor Bedrohungen schützen, die sich aus ihrer Vernetzung ergeben.
  1. Verbot der geheimen Profilerstellung. Keine Institution darf ein System zur heimlichen Erstellung von Profilen einrichten oder betreiben.
  1. Verbot des umfassenden Scorings. Kein Staat darf eine allgemeine Bewertung seiner Bürger oder Einwohner einrichten oder betreiben.
  1. Abschaltpflicht. Jede Institution, die ein KI-System betreibt, hat die positive Verpflichtung zur Abschaltung des Systems, wenn die menschliche Kontrolle über das System nicht länger gewährleistet ist.

 

Erläuterndes Memorandum und Referenzen

Kontext

Die Universal Guidelines on Artificial Intelligence (UGAI) weisen auf die wachsenden Herausforderungen durch intelligente Computersysteme hin. Sie enthalten konkrete Empfehlungen zur Verbesserung des Designs von KI-Systemen. Im Kern sollen UGAI die Transparenz und Rechenschaftspflicht für diese Systeme voranbringen und sicherstellen, dass die Menschen die Kontrolle über die von ihnen geschaffenen Systeme behalten. Nicht alle Systeme fallen in den Anwendungsbereich dieser Richtlinien. Unser Anliegen sind jene Systeme, die sich auf die Rechte der Menschen auswirken. Vor allem dürfen diese Systeme keinen Schaden anrichten.

Die Erklärung kommt noch zur rechten Zeit. Regierungen in aller Welt entwickeln politische Vorschläge und schaffen öffentliche und private Institutionen, um die Forschung und Entwicklung von „KI” zu fördern. Dies hat enorme Auswirkungen auf die Gesellschaft, unabhängig davon, ob und inwieweit die Öffentlichkeit an der Gestaltung und Entwicklung solcher Systeme mitwirkt. Die UGAI sind eine gesellschaftliche Reaktion auf diese Herausforderungen.

Die UGAI wurden auf der Internationalen Datenschutzkonferenz 2018 veröffentlicht, einem der weltweit bedeutendsten Treffen von Technologieführern und Datenschutzexperten.

Die UGAI bauen auf der bisherigen Arbeit von wissenschaftlichen Gesellschaften, Think Tanks, NGOs und internationalen Organisationen auf. Die UGAI beinhalten Elemente der Menschenrechtslehre, des Datenschutzrechts und ethischer Richtlinien. Die Leitlinien bauen auf  etablierten Grundsätzen für die KI-Governance auf und sie schlagen neue Prinzipien vor, die bisher nicht in politischen Rahmenwerken enthalten sind.

Terminologie

Der Begriff “Künstliche Intelligenz” (KI) ist weit und unpräzise zugleich. Er beinhaltet Aspekte des maschinellen Lernens, regelbasierte Entscheidungsfindung und andere Computertechniken. Es gibt sogar unterschiedliche Meinungen darüber, ob Künstliche Intelligenz überhaupt möglich ist. Die UGAI räumen lediglich ein, dass der Begriff KI im allgemeinen Sprachgebrauch ein breites Spektrum verwandter Themen abdeckt und sie verwenden den Begriff, um die aktuelle Debatte anzuregen. Die Leitlinien versuchen nicht, die begrifflichen Grenzen von KI zu definieren, außer dass die KI einen gewissen Grad an automatisierter Entscheidungsfindung erfordert. Der Begriff “Leitlinien” folgt der Praxis politischer Festlegungen, die sich in erster Linie an Regierungen und private Unternehmen richten.

Die UGAI enthalten Verpflichtungen für “Institutionen” und Rechte der “Einzelnen”. Dies ergibt sich aus den fairen Informationspraktiken im Bereich des Datenschutzes. Die UGAI basieren auf dem Schutz des Einzelnen als grundlegendem Ziel. Unter öffentlichen und privaten Institutionen werden diejenigen verstanden, die KI-Systeme entwickeln und einsetzen. Der Begriff “Institution” wurde anstelle des vertrauteren Begriffs “Organisation” gewählt, um den dauerhaften und nachhaltigen Charakter der in den Leitlinien festgelegten Verpflichtungen zu unterstreichen. Ein Prinzip richtet sich an “nationale Regierungen”. Der Grund dafür wird im Folgenden erläutert.

Anwendung

Diese Leitlinien sollten in ethische Normen aufgenommen, in nationales Recht und internationale Vereinbarungen übernommen und in die Gestaltung von Systemen integriert werden.

Die Prinzipien

Die Elemente des Transparenzprinzips finden sich in mehreren modernen Datenschutzgesetzen, darunter dem US-Datenschutzrecht, der EU-Datenschutzrichtlinie, der Datenschutzgrundverordnung und in dem Übereinkommen 108 des Europarates. Dieses Prinzip soll eine unabhängige Rechenschaftspflicht für automatisierte Entscheidungen ermöglichen, wobei der Schwerpunkt auf dem Recht der Einzelnen liegt, die Gründe von für sie nachteiligen Entscheidungen zu kennen. Auch wenn es einem Einzelnen in der Praxis vielleicht nicht immer möglich ist, die Grundlagen einer bestimmten Entscheidung richtig zu interpretieren, ist es nicht überflüssig, eine solche Erklärung zu ermöglichen.

Das Recht auf eine menschliche Bestimmung bekräftigt, dass Menschen und nicht Maschinen für automatisierte Entscheidungen verantwortlich sind. In vielen Fällen, wie beispielsweise beim Betrieb eines autonomen Fahrzeugs, wäre es nicht möglich oder praktikabel, eine menschliche Entscheidung vor einer automatisierten Entscheidung einzufügen. Das ändert aber nichts an der Notwendigkeit, die Rechenschaftspflicht zu gewährleisten. Wenn also ein automatisiertes System versagt, sollte entsprechend diesem Prinzip eine menschliche Beurteilung des Ergebnisses vorgenommen werden.

Identifizierungspflicht. Dieses Prinzip reagiert auf die Identifikations-Asymmetrie, die bei der Interaktion zwischen Individuen und KI-Systemen entsteht. Ein KI-System weiß typischerweise sehr viel über eine Person; die Person kennt vielleicht nicht einmal den Betreiber des KI-Systems. Die Identifizierungspflicht bildet die Grundlage für die KI-Verantwortlichkeit, die darin besteht, die Identität eines KI-Systems und der verantwortlichen Institution klarzustellen.

Die Fairness-Verpflichtung erkennt an, dass alle automatisierten Systeme Entscheidungen treffen, die Vorurteile und Diskriminierung widerspiegeln. Aber solche Entscheidungen sollten nicht normativ ungerecht sein. Auf die Frage, was ungerecht oder unzulässig ist, gibt es keine einfache Antwort. Die Bewertung hängt oft vom Kontext ab. Die Fairness-Verpflichtung macht jedoch deutlich, dass eine Bewertung der tatsächlichen Ergebnisse allein nicht ausreicht, um ein KI-System zu bewerten. Auch die normativen Folgen müssen bewertet werden, einschließlich derjenigen, die bereits vor dem KI-Einsatz existierten oder durch ein KI-System verstärkt werden können.

Die Folgenabschätzungs- und Rechenschaftspflicht bezieht sich auf die Verpflichtung, ein KI-System vor und während der Implementierung zu beurteilen. Was die Folgenabschätzung betrifft, so besteht ein zentraler Zweck dieser Verpflichtung darin festzustellen, ob ein KI-System eingerichtet werden sollte. Ergibt eine Folgenabschätzung erhebliche Risiken, wie sie in den Grundsätzen zur öffentlichen Sicherheit und Cybersicherheit beschrieben sind, so sollte das Projekt nicht weiter verfolgt werden.

Die Verpflichtungen zur Genauigkeit, Zuverlässigkeit und Gültigkeit legen die Hauptverantwortlichkeiten fest, die mit dem Ergebnis automatisierter Entscheidungen verbunden sind. Die Aspekte sind sowohl einzeln als auch in der Gesamtschau zu interpretieren.

Das Prinzip der Datenqualität folgt aus den vorhergehenden Verpflichtungen.

Die Verpflichtung zur öffentlichen Sicherheit reagiert darauf, dass KI-Systeme Geräte in der physischen Welt steuern. Aus diesem Grund müssen die Institutionen sowohl die damit verbundenen Risiken bewerten als auch angemessene Vorsichtsmaßnahmen ergreifen, welche den Risiken begegnen.

Die Cybersicherheitsverpflichtung folgt aus der Verpflichtung zur öffentlichen Sicherheit und unterstreicht das Risiko, dass selbst gut gestaltete Systeme das Ziel feindlicher Akteure sein können. Wer KI-Systeme entwickelt und einsetzt, muss diese Risiken berücksichtigen.

Das Verbot der heimlichen Profilbildung folgt aus der Identifizierungspflicht. Ziel ist es, die bei KI-Systemen zunehmend auftretende Informationsasymmetrie zu vermeiden und die Möglichkeit einer unabhängigen Rechenschaftspflicht zu gewährleisten.

Das Verbot des umfassenden Scorings soll dem Risiko begegnen, dass eine Regierung dem Individuum einen einzigen, multifunktionalen Scorewert zuweist. Das Datenschutzrecht beurteilt universelle Identifikatoren, die die Profilerstellung von Personen ermöglichen, negativ. Solche Identifikatoren sind vielfach reguliert und teilweise verboten. Noch größer ist die Sorge im Hinblick auf eine umfassende individuelle Bewertung, die als “einheitlicher Scorewert” bezeichnet wird. Ein einheitlicher Score spiegelt nicht nur ein umfassendes Profil sondern auch ein vorgegebenes Ergebnis über mehrere Bereiche der menschlichen Aktivität hinweg wider. Es besteht die Gefahr, dass es auch im privaten Sektor zu einheitlichen Scores kommt. Zwar ist denkbar, solche Systeme dem Wettbewerb auf dem Markt und staatlichen Vorschriften zu unterwerfen. Aber da der Einzelne keine Möglichkeit hat, einem von einer Regierung zugewiesenen einheitlichen Score entgegenzutreten, sollten solche Scores verboten werden.

Die Abschaltpflicht ist das ultimative Bekenntnis zur Verantwortlichkeit für ein KI-System. Die Verpflichtung setzt voraus, dass die Systeme unter menschlicher Kontrolle bleiben müssen. Ist dies nicht mehr möglich, sollte das System abgeschaltet werden.

(Übersetzt aus dem Englischen von Peter Schaar unter Verwendung von deepl.com)

AfD-Meldeplattformen – wo bleibt der Datenschutz im Parlament ?

Das Vorhaben mehrerer AfD-Fraktionen in den Landtagen verschiedener Länder, Online-Plattformen einzurichten, auf denen Schüler dazu aufgerufen werden, Lehrer wegen kritischer Äußerungen zur AfD im Schulunterricht auch anonym anzuschwärzen, hat mit Recht Empörung ausgelöst. Die Brandenburgische Bildungsministerin hat von einem “Angriff auf den Schulfrieden” gesprochen. Wie ist das Vohaben datenschutzrechtlich zu bewerten ? Welche Regeln gelten überhaupt für die Aktivitäten von Parlamentsfraktionen und wer setzt sie durch ? Diese Fragen sind auch von allgemeiner Bedeutung für den Fall, dass Parlamentsfraktionen künftig seriöse Projekte zur Erhebung von Bürgerdaten für parlamentarische Zwecke verfolgen sollten.
Der Bundestag und die Landtage sind öffentliche Stellen, die ebenso wie die Exekutive und die Gerichte den Bestimmungen der Datenschutzgrundverordnung unterliegen, soweit nicht die Strafjustiz betroffen ist oder andere Spezialvorschriften eingreifen. Einige Länder (z.B. Berlin und Hamburg) haben allerdings die Landtage pauschal vom Anwendungsbereich des Datenschutzrechts ausgenommen. Ob dies mit Europarecht vereinbar ist, kann man durchaus bezweifeln. Immerhin sehen aber einige Landesgesetze (z.B: in Brandenburg) vor, dass die Landesparlamente eigene Datenschutzordnungen erlassen, die auf die Datenverarbeitung zu parlamentarischen Zwecken anzuwenden sind. Das Abgeordnetenhaus von Berlin hat dagegen bisher davon abgesehen, eine entsprechende parlamentsinterne Regelung zu treffen, die von mehreren Berliner Datenschutzbeauftragten in der Vergangenheit vorgeschlagen wurden.

Die Kontrolle der Einhaltung datenschutzrechtlicher Bestimmungen (sei es der Datenschutzgrundverordnung oder einer parlamentarischen Datenschutzordnung) kann allerdings weder durch die jeweiligen Datenschutzbeauftragten des Bundes und der Länder noch gar durch die Exekutive erfolgen, auch wenn die Berliner Senatsbildungsverwaltung jetzt berechtigte Zweifel an der Rechtskonformität der Meldeplattform der AfD-Fraktion im Abgeordnetenhaus angemeldet hat. Das ergibt sich aus der verfassungsrechtlichen Gewaltenteilung. Das Bundesdatenschutzgesetz räumt der Bundesbeauftragten für den Datenschutz daher auch nur eine Beratungs- aber keine Kontrollbefugnis gegenüber den gesetzgebenden Körperschaften ein. Eine parlamentsinterne Kontrolle des Datenschutzes wird z.B. in Hamburg durch ein besonderes Datenschutgremium der Bürgerschaft, in Rheinland-Pfalz durch den Ältestenrat des Landtages gewährleistet.  Im Berliner Abgeordnetenhaus fehlt ein entsprechendes Gremium bisher.

So wichtig es ist, Vorhaben wie das mehrerer AfD-Landtagsfraktionen, mit denen Schüler zur Denunziation aufgefordert werden, politisch zu bekämpfen, so essenziell ist es zugleich, dass der Bundestag und alle Landtage für eine effektive Datenschutzkontrolle im parlamentarischen Bereich sorgen. Auch Abgeordnete und Fraktionen sollten bei ihrer Arbeit das Recht des Einzelnen auf informationelle Selbsbestimmung achten.

Alexander Dix

E-Evidence Regulation: Data supermarket for European Law Enforcement?

The idea is old, but the concrete proposal is rather new: Whereas goods flow freely in the EU internal market and digital services are offered across borders, the competence of law enforcement authorities ends at national borders. A police authority that wants to access data in the course of its investigations – for example in a fraud case – needs to contact the authorities of the state where the data are processed. How the foreign authority deal with such a request depends on the law of the country on whose territory the servers are located. The procedures are governed by the applicable international mutual legal assistance treaties (MLAT).

Such assessment is time-consuming and does not always has the result the requested data may be released to the foreign authority. For this reason the law enforcement and security community have been lobbying since years for easier access. Ideally, authorities should have direct access to data stored abroad. On 18 April 2018, the European Commission presented a draft EU regulation on this issue. The European Production and Preservation Orders for electronic evidence in criminal matters (E-Evidence Regulation) is intended to allow law enforcement authorities of the 28 member states direct cross-border access.

Restriction of fundamental rights by fast-track legislation ?

Since then, the European Parliament and the Council of Ministers have been working on the draft. Last week, the European Parliament published a critical study on the Commission’s draft. The Austrian government recently announced the ambitious goal of concluding negotiations in the Council of Ministers by 31 December 2018, when Austria will hand over the Presidency of the Council to Romania.

This legislative fast-track procedure is explosive in several respects: In contrast to a directive, an EU regulation would be directly applicable law in the member states and would not require transposition into national law. The regulation would mean a considerable restriction of fundamental rights, as issuing orders would have to be directly followed by providers of electronic services without a public authority or a court in the host country having examined whether issuing the order would also be permissible under national law.

On the other hand, the legal systems of the member states are not harmonised. They differ with regard to punishability, the levels of punishment and constitutional safeguards. Activities which are punishable in the issuing state but not in the state in which the processing takes place can thus be subject to an obligation to produce personal data. The European Commission is even conducting two proceedings against Poland and Hungary referring to the violation of the rule of law. The initiation of such proceedings against Romania is currently under discussion because the Romanian government also wants to restrict the independence of the courts in this country.

If the E-Evidence Regulation would be adopted in its proposed version, providers of electronic services (such as cloud providers, network operators, social media, hosting and telecommunications companies) would have to follow production orders of the foreign authorities directly without the chance of carrying out a substantive examination.

Comprehensive scope of application

Production Orders may be issued for any type of offence. The requirement to provide content and transaction data only for offences punishable by a maximum term of imprisonment of at least three years in the issuing State is not likely to dispel concerns. Contrary to what the Commission’s explanations on the E-Evidence Package suggest, the three years are not a minimum penalty, but a minimum maximum penalty. A glance at the German Criminal Code shows that this criterion applies to a large number of offences and not only to serious crimes. 

In Poland, for example, abortion is punishable by imprisonment for up to three years. Therefore the condition for a production order would thus be fulfilled. A Dutch or German provider would have to hand over the e-mails and traffic data to the Polish criminal prosecution authority if the latter were to investigate an abortion case, although in these countries abortion is exempt from punishment. The provider of an electronic accounting service the doctor is using could possibly also be the addressee of a corresponding production order.

This problem also becomes clear in the case of the Catalan exile politician Puigdemont, against whom a Spanish arrest warrant for “riot” had been issued. According to the decision of the Higher Regional Court of Schleswig, the offence did not constitute a comparable criminal offence under German law. The European arrest warrant issued by Spain could not be executed against him in Germany. According to the draft E-Evidence Regulation, the German providers would nevertheless be obliged to issue corresponding electronic documents if a Spanish court issues a production order, because unlike the European arrest warrant, no review by a court of the target state would be required.

Impositions on providers

The situation for providers is completely unreasonable, too: they woul be subject to obligations they cannot check in a procedure that is in accordance with the rule of law. Not only courts and public prosecutors’ offices, but any competent authority designated by the issuing state can issue a production order. In the 28 EU Member States, a very large number of authorities, possibly more than a thousand, will be given the power under national law to require companies to disclose data across borders, often without confirmation by a court. It is not even possible for companies to seriously examine whether an authority has the appropriate competence, or even whether it is an authority at all. It is true that the respective authorities are to prove that they have been validated in writing by a court or an other judicial authority. However, the draft regulation provides for it should be sufficient for the issuing authority to send a corresponding document by fax.

In view of the very short deadlines (in certain cases companies are obliged to deliver the data within six hours!), it is hardly possible for the recipient to check whether the fax and the stamp of a judicial authority contained on it is genuine, and it is not even certain whether the letter originates from an authority at all. Accordingly, there is a great risk of being taken in by a fake issuing order and transferring personal data to third parties without justification.

If a provider rejects to comply with a production order, he is threatened with considerable financial and criminal consequences. In addition, the considerable violation of the fundamental rights of the data subject brought about in this way represents a considerable liability risk for the provider for having unlawfully disclosed data.

No examination of legality in the target country

Whereas the European Investigation Order, another EU instrument introduced a few years ago, is subject to enforcement by the authorities in whose territory the processing takes place, the electronic production order is to be issued directly to the foreign provider. The E-Evidence Regulation does not provide for any substantial review by a domestic court or a domestic judicial authority. Procedural safeguards – such as the judge’s approval – might be circumvented if the law of the issuing state does not provide for such. Finally, requirements which the German Federal Constitutional Court has established, e.g. for the protection of the core area of private life, would not be guaranteed.

According to the draft E-Evidence Regulation the main responsibility for the transfer will be subject to the company to which the order is addressed – a problematic delegation to private entities. Companies have only very limited means of reviewing the legality and proportionality of a production order or of refusing to transmit the requested data. According to the draft they may only object to comply with an order if they consider that the information contained in the order indicates that it “manifestly” infringes the Charter of Fundamental Rights of the European Union or it is manifestly abusive.

Real-time monitoring?

It is subject to the ongoing debate if and to what extent real-time monitoring (“live interception”) shall be included in the E-Evidence Regulation in addition to the preservation and production of data already stored. But even if – as is to be expected – corresponding demands of some governments would not be supported by a majority in the European Parliament, the planned regulation would be a profound encroachment on European and national fundamental rights. It would be irresponsible to wave through such a regulation quickly without a thorough debate.

Zuckerberg und der Zauberlehrlings-Effekt

Der Auftritt von Mark Zuckerberg vor dem US-Kongress hat deutlich gemacht, dass der Erfinder und Chef von Facebook mittlerweile weitgehend die Kontrolle über seine Kreatur verloren hat. Zuckerberg, der den Erfolg seines Unternehmens einmal damit erklärte, dass seine Nutzer “dumb fucks” (Idioten) seien, hat gegenüber dem Senatsausschuss erklärt, dass sein Unternehmen von der Verbreitung von Fake News durch russische Trolle überrascht worden sei. Ob dies auch für das Absaugen von MIlliarden personenbezogener Daten durch Cambridge Analytica und andere App-Entwickler gilt, blieb unklar.

Dies erinnert an die Tatsache, dass auch die National Security Agency bei der weltweiten flächendeckenden Kommunikationsüberwachung zumindest zeitweise die Kontrolle über ihre eigenen Datenverarbeitungssysteme verloren und deshalb die rechtswidrige Ausspähung von US-Bürgern nicht bemerkt hat. Darin war ein doppelter Zauberlehrlings-Effekt zu sehen, denn der Geheimdienst war zuvor bereits der Kontrolle der dafür vorgesehenen staatlichen Institutionen immer wieder entglitten, was durch die Snowden-Enthüllungen unterstrichen wurde.

Ob Zuckerberg aufgrund seines Geschäftsmodells die massenhafte Nutzung der von seinem “Datenstaubsauger” gesammelten Daten für demokratiegefährdende Zwecke zunächst billigend in Kauf genommen hat (dann wäre die Metapher vom Zauberlehrling zu freundlich) oder ob er schlicht überfordert ist, wird sich noch zeigen. Jetzt aber genügt es nicht mehr, dass das Unternehmen ganzseitige Anzeigen in deutschen Tageszeitungen schaltet und auf die am 25. Mai in Kraft tretende Europäische Datenschutz-Grundverordnung verweist. Jetzt ist es an der Zeit, dass der US-Kongreß dem europäischen Beispiel folgt und ein Datenschutzgesetz für die gesamte Wirtschaft verabschiedet, dass diesen Namen verdient.

Schon 1976 hat der OECD-Experte Hans-Peter Gassmann darauf hingewiesen, dass der Watergate-Skandal zur Verabschiedung des – nur für die US-Bundesverwaltung geltenden – Privacy Act geführt habe. In Europa – so Gassmann – sei der Datenschutz noch nicht so weit entwickelt, weil es dort seinerzeit an großen publikumswirksamen Skandalen gefehlt habe. Der Skandal um Facebook – immerhin bereits der 12. in der Geschichte diese Unternehmens – sollte dazu führen, dass sich endlich eine Mehrheit im Kongreß für ein umfassendes Datenschutzgesetz – nicht nur eine Lex Facebook – findet.

Alexander Dix

Mehr Sicherheit durch Fingerabdruck im Personalausweis?

Die Europäische Kommission hat für heute einen Vorschlag angekündigt, der vorsieht, dass zukünftig alle von den EU-Staaten ausgestellten Personalausweise mit den elektronisch erfassten und auslesbaren Fingerabdrücken der Inhaber versehen werden müssen. Die neue Regelung wird – wieder einmal – mit der Notwendigkeit begründet, den internationalen Terrorismus wirkungsvoll zu bekämpfen.

Während die Pässe, in denen die Fingerabdrücke bereits seit 2008 obligatorisch gespeichert werden, nur auf Antrag ausgestellt und für Reisen in bestimmte Länder außerhalb der Union benötigt werden, sind die Bürgerinnen und Bürger in den meisten EU-Mitgliedsstaaten verpflichtet, sich einen Personalausweis ausstellen zu lassen und diesen bei Kontrollen – etwa an den EU-Binnen- und Außengrenzen – vorzulegen. Das neue Vorhaben hat deshalb eine ganz andere Breitenwirkung als die Einführung der biometrischen Merkmale bei den EU-Reisepässen vor zehn Jahren.

Umso wichtiger ist die Frage, wie die erweiterte Datenerfassung begründet wird und welche Konsequenzen sie hat. Das zentrale, von EU-Innenkommissar Dimitris Avramopoulos vorgebrachte Argument ist die Erhöhung der Fälschungssicherheit. Nur durch elektronische Fingerabdrücke ließe sich die Fälschung von Ausweisen sicher verhindern. 

Eigentlich würde man erwarten, dass die Kommission dies mit Zahlen über ge- oder verfälschte Identitätspapiere belegen könnte.  Zudem war ja schon die verpflichtende Einführung des elektronisch im Personalausweis gespeicherten Gesichtsbilds mit der Erhöhung der Fälschungssicherheit begründet worden. Da inzwischen die meisten Personalausweise mit einem elektronisch, in einem Chip gespeicherten Passbild versehen sind, müsste sich doch feststellen lassen, wieviele Teil- oder Komplett-Fälschungen es bei diesen Papieren gegeben hat. Werden entsprechende Zahlen vorgelegt? Gibt es auch nur ein einziges Beispiel dafür, dass sich ein Terroranschlag oder eine andere schwere Straftat hätte verhindern lassen, wenn ein mit modernen Sicherheitsmerkmalen ausgestatteter Personalausweis zusätzlich mit Fingerabdrücken versehen gewesen wäre? Wir können gespannt sein, ob die Kommission heute diese Fakten vorlegen wird. Ich bin da eher skeptisch, denn es ist nicht einml plausibel, worin der zusätzliche Fälschungsschutz bestehen würde, wenn auch der Fingerabdruck elektronisch gespeichert würde. Wenn sich der Chip manipulieren lässt, dann gilt dies für das auf ihm bereits gespeicherte Lichtbild und den Fingerabdruck gleichermaßen. Und wenn der Chip manipulationssicher ist, bringt der elektronische Fingerabdruck keine zusätzliche Fälschungssicherheit.

Vieles spricht also dafür, dass die Erhöhung der Fälschungssicherheit ist ein vorgeschobenes Argument ist. Der zentrale „Vorteil“ der zusätzlichen Speicherung des Fingerabdrucks besteht darin, dass dieser sich deutlich besser dazu eignet, mit Datenbanken abgeglichen zu werden. Dieses Argument wurde aber bisher nicht vorgebracht, vielleicht deshalb, weil dann deutlich würde, dass es wieder einmal nur um mehr Überwachung geht, selbst wenn diese ggf. nicht zur Erhöhung der Sicherheit beiträgt.

Zudem würden beiläufig flächendeckende Fingerabdruckdatenbanken entstehen. Zwar schließt das deutsche Recht (bisher) die zentrale Speicherung biometrischer Merkmale aus, die bei der Ausweis- und Passbeantragung anfallen. Allerdings hat der Bundestag im Sommer 2017 die rechtlichen Voraussetzungen dafür geschaffen, dass sämtliche Sicherheitsbehörden online auf die in den dezentralen Pass- und Personalausweisregistern gespeicherten elektronischen Passfotos zugreifen können, und zwar nicht bloß für die Strafverfolgung, sondern für sämtliche von den Behörden wahrgenommenen Aufgaben. Wenn die dezentralen Register online abgefragt werden, degeneriert jedoch das Verbot der zentralen Speicherung zu einem schmückenden Beiwerk, das einzig dem Zweck dient, die Nerven von Skeptikern zu beruhigen.

Der aktuelle Vorschlag der Kommission ist ein weiterer Schritt zum Ausbau einer flächendeckenden Überwachungsinfrastruktur. Auch wenn dabei rechtliche Nutzungsbegrenzungen vorgesehen werden sollten, wissen wir doch aus Erfahrung, dass solche Begrenzungen mit einem Federstrich beseitigt werden können. So wurden bei fast allen größeren Terroranschlägen die rechtlichen Grenzen der Datenerfassung und -Auswertung zurückgenommen. Gerade deshalb lohnt es sich, genau hinzuschauen, wenn die technischen Voraussetzungen zur stärkeren Überwachung ausgebaut werden sollen.

Daten als Einkommensquelle für Städte und Gemeinden ?

Der Hauptgeschäftsführer des Deutschen Städte- und Gemeindebundes, Gerd Landsberg, hat vorgeschlagen, die deutschen Kommunen sollten ihre Datenbestände verkaufen. Selbst wenn dies keine personenbezogenen Daten von Bürgerinnen und Bürgern betrifft, sondern z.B. Daten zur Feinstaubbelastung, widerspricht der Voschlag den Grundsätzen der Open Government Partnership, der die Bundesrepublik beigetreten ist. Derartige Daten sollte prinzipiell für jedermann kostenfrei zugänglich veröffentlicht werden.

Die wichtigsten Argumente gegen die Vermarktung von Daten der Städte und Gemeinden, die diese mit Steuergeldern gesammelt haben, haben Walter Palmetshofer und Michael Peters vom Open Government Netzwerk in diesem Beitrag zusammengestellt:

Datenverkauf bei Kommunen: Öffentliche Daten nicht verhökern, sondern sinnvoll nutzen

Alexander Dix

« Older Entries