Ich suche nach:

Samstag, 28. Mai 2022

Edward Snowden: Wie Dich dein Mobiltelefon ausspioniert

(Deutsche Version von VPNTESTER)


Wie sich die Überwachung durch den Staat sich durch die letzten Jahre verändert hat. Weshalb das Smartphone der neue Urpsrung der Daten aus Überwachungskampagnen ist. 

Freitag, 27. Mai 2022

Vernehmlassung zum Bundesgesetz über die Mobilitätsdateninfrastruktur

Der Bund möchte mit einem aktuellen Bundesgesetz über die Mobilitätsdaten­infrastruktur (MODIG) eine Datenbasis für die Verwendung von Mobilitätsdaten, sowie die Vernetzung von Mobilitätsangeboten schaffen. Damit ist beabsichtigt ein Beitrag zu einem effektiven Mobilitätssystem in der Schweiz geleistet werden. Der Bund baut auf dem Konzept von vertrauenswürdigen Datenräumen auf, welche die digitale Selbstbestimmung stärken sollen. Ausgerechnet in diesem vorgeschlagenen Gesetz wird dem Datenschutz und somit auch der digitalen Selbstbestimmung kaum genügend Aufmerksamkeit geschenkt. Die digitale Gesellschaft hat daraufhin eine Stellungnahme an den Bund eingereicht.

Die Medienmitteilung des Bundesrates zur Förderung vertrauenswürdiger Datenräume und der digitalen Selbstbestimmung vom 30. März 2022 berichtet darüber, das Potenzial der Daten weitgehender auszunutzen. Vertrauenswürdige Datenräume sollen dabei gefördert werden. Somit soll ebenso die digitale Selbstbestimmung gestärkt werden. Vertrauenswürdige Datenräume sind gemäss dem Report zur Erschaffung von vertrauenswürdigen Datenräumen auf Grundlage der digitalen Selbstbestimmung des 30. März 2022 ein guter Start zur Entwicklung der digitalen Selbstbestimmung. Der digitalen Gesellschaft ist jedoch nicht klar, weshalb und wie diese sogenannten Datenräume der digitalen Selbstbestimmung dienlich sein sollten. In genereller Weise muss ein solider Schutz der Daten gewährleistet werden. Nun mal angenommen, so käme das auch zustande, so müssten die Datenräume in erster Linie auch wirklich vertrauenswürdig sein. Zweitens gilt es die Umsetzung zur digitalen Selbstbestimmung auch zum obersten Ziel zu haben.
PC Doc Schönbühl - Vernehmlassung der digitalen Gesellschaft zum Bundesgesetz über die Mobilitätsdateninfrastruktur

Das Bundesgesetz über die Mobilitätsdateninfrastruktur (kurz: MODIG) reguliert die Nationale Datenvernetzungsinfrastruktur Mobilität (kurz: NADIM), womit der gewünscht vertrauenswürdige Datenraum erschaffen werden soll. Im Report zu vertrauenswürdigen Datenräumen wird die NADIM als eines der ersten Beispiele von vertrauenswürdigen Datenräumen genannt, bei denen die digitale Selbstbestimmung umgesetzt werden soll. Neu entstehende Datenräume werden demnach richtungsweisend dafür sein, wie diese als Gesellschaft genutzt werden und der Austausch von Daten künftig betrieben wird. Zu diesen neu entstehenden, richtungsweisenden Datenräumen gehört auch das NADIM. Jedoch wird ausgerechnet in diesem Gesetz nicht ansatzweise genügend auf den Datenschutz und die digitale Selbstbestimmung eingegangen. Das MODIG verweist auf das Datenschutzgesetz (DSG) oder delegiert Datenschutzfragen lediglich an den Bundesrat. Weder aus dem Gesetz noch dem erläuternden Bericht geht hervor, wie die digitale Selbstbestimmung tatsächlich umgesetzt werden soll.

Gemäss dem Bericht zu vertrauenswürdigen Datenräumen steigt bei einem wachsenden Anteil der Bevölkerung das Misstrauen gegenüber der Nutzung von Daten aus Angst vor Missbrauch und Verlust der Privatsphäre oder aus ungenügenden Entscheidungsmöglichkeiten. Ziel muss also sein, Vertrauen bei der Bevölkerung zu schaffen, damit die Datenräume tatsächlich sicher sind und die digitale Selbstbestimmung geachtet wird. Das MODIG als eines der ersten Beispiele für die Schaffung eines Datenraumes sollte dabei besonders Wert auf die Schaffung des Vertrauens der Bevölkerung legen. Stattdessen wird mit dem MODIG jedoch ein Gesetz geschaffen, das dieses Vertrauen, welches noch nicht einmal aufgebaut werden konnte, bereits im Keim zu ersticken droht. Der Angst vor Missbrauch wird nicht vorgebeugt und auch dem Verlust der Privatsphäre wird kein Wort gewidmet.

Ungenügende Entscheidungsmöglichkeiten fördert das MODIG regelrecht, wenn z. B. bei einem Ticketkauf für ein Verkehrsmittel überhaupt nicht entschieden werden kann, ob die eigenen Daten in den Datenraum gegeben werden sollen oder nicht, weil man nicht die Wahl hat, ein anderes Verkehrsmittel zu nehmen – und beim Ticketkauf den allgemeinen Geschäfts- oder Transportbedingungen zustimmen muss. Nur unbedingt erforderliche Daten unter Berücksichtigung von Privacy-by-Design und Privacy-by-Default sollten bearbeitet werden dürfen. Zudem müsste die Möglichkeit bestehen bleiben, die Transportmittel anonym zu benutzen, und zwar zum gleichen, besten Preis und soweit möglich ohne Komforteinbusse. Dabei wäre z. B. eine Prepaidkarte eine mögliche Lösung. Das Recht auf anonymen Transport muss gewährleistet sein.

Für uns ist unverständlich, in welchem Verhältnis die MODIG zum Mobility-Pricing steht. Die Vorlage zum
Bundesgesetz über Pilotprojekte zu Mobility-Pricing hat zum Ziel, die Mobilität möglichst effizient zu nutzen. Das MODIG hat ebenfalls zum Ziel, das Verkehrssystem effizienter zu machen. Mobility-Pricing ist in der Vorlage zum MODIG allerdings überhaupt kein Thema. Wenn mit dem Bundesgesetz zu Mobility-Pricing bereits eine Vorlage besteht, um Mobilität effizienter nutzen zu können, weshalb macht man dann jetzt das MODIG, ohne das Verhältnis zum Mobility-Pricing zu klären, das das gleiche Ziel hat?

Der Bericht zu vertrauenswürdigen Datenräumen stellt klar, dass die Nutzer:innen häufig keine andere Wahl haben, als ihre Daten preiszugeben und damit ihre Kontrolle darüber aufgeben, wenn sie an der digitalen Welt teilnehmen wollen. Diese Gefahr besteht mit dem MODIG nicht nur in der digitalen Welt, sondern auch bei der Teilnahme am öffentlichen Verkehr, wenn die Individuen keine Verkehrsmittel mehr wählen können, ohne ihre Daten preisgeben zu müssen und somit keine Entscheidungsmöglichkeit mehr darüber haben. Der Bericht anerkennt, dass dies im Gegensatz zum Selbstverständnis steht, in demokratisch und rechtsstaatlich organisierten Gesellschaften als aktive Bürger:innen mitentscheiden zu können. Jede Person hat das Recht, ihre Daten Dritten nicht preisgeben zu müssen. Diese Entwicklungen widersprechen diesem Recht. Dieses Recht soll aktiv und effektiv geschützt und deren Wirksamkeit gestützt werden. Das MODIG beugt dieser Gefahr jedoch nicht vor und sieht keine Regelung vor, wie Individuen entscheiden können, ob (und wie) sie ihre Daten preisgeben wollen oder nicht, wenn sie ein bestimmtes Verkehrsmittel nutzen müssen.

Der Bundesrat setzt sich zum Ziel, dass die Schweiz über vertrauenswürdige Datenräume verfügt, in denen die Einwohner:innen die Kontrolle über ihre eigenen Daten ausüben können. Die Verhältnisse zwischen Datenproduzierenden, Datennutzenden und betroffenen Personen sollen klar geregelt sein. Das NADIM aber regelt die Verhältnisse für die Einwohner:innen nicht klar, da sie (vorläufig) keine Akteur:innen im MODIG sind. Der Nutzen der Schaffung eines vertrauenswürdigen Datenraumes sollte eigentlich sein, die digitale Selbstbestimmung zu fördern. Das MODIG allerdings richtet sich nicht an die Individuen, sondern in erster Linie an die Mobilitätsanbieter:innen. Die Endnutzer:innen haben gemäss Vorlage nur einen indirekten Nutzen daraus. Damit entspricht die Schaffung der NADIM als vertrauenswürdigem Datenraum nicht dessen eigentlichem Zweck. Die Datenräume sollen dazu dienen, die Kontrolle über die eigenen Daten zu stärken. Beim Datenraum des MODIG hat man aber als Mobilitätsteilnehmer:in (zurzeit) überhaupt keinen Zugriff auf den Datenraum oder einen direkten Nutzen davon.

Vertrauenswürdige Datenräume zeichnen sich dadurch aus, dass Nutzer:innen ihre Daten nach eigenem Willen und mit der nötigen Kontrolle zur Verfügung stellen können. Individuen können aber gerade nicht nach ihrem eigenen Willen die Daten der NADIM zur Verfügung stellen, da im MODIG nicht die Mobilitätsteilnehmenden die Nutzer:innen sind, sondern die Anbieter:innen. Diese entscheiden über das zur Verfügung stellen der Daten, sind deren Eigentümer:innen und besitzen die Hoheit über die Daten.

Zwar wird betont, dass es sich dabei in der Regel nur um Sachdaten handelt. Gemäss dem erläuternden Bericht liegt es in der Verantwortung der Datenlieferant:innen, mit geeigneten Massnahmen wie Anonymisierung sicherzustellen, dass es sich bei den von ihnen zur Verfügung gestellten Kerndaten und weiteren Daten um Sachdaten handelt. Doch nicht nur Sachdaten, sondern auch Personendaten können von der NADIM erfasst werden. Unter Personendaten können gemäss dem erläuternden Bericht persönliche Angaben der Endkund:innen fallen, wie z. B. Bewegungsdaten oder besonders schützenswerte Personendaten im Bereich Gesundheit bei Reisenden mit Behinderung. Gemäss dem erläuternden Bericht werden die konkreten Rahmenbedingungen zur Bearbeitung von besonders schützenswerten Personendaten oder Bewegungsdaten durch die Betreiberin der NADIM durch den Bundesrat in Abstimmung mit den Akteur:innen und dem Datenschutzgesetz festgelegt. Das ist erstens sehr unkonkret formuliert und fördert sicher nicht das Vertrauen der Bevölkerung in die Sicherheit der Datenräume. Zweitens werden nur die Akteur:innen miteinbezogen, dabei geht es bei den Personendaten um die Endnutzer:innen, welche kein Mitspracherecht bei der Ausarbeitung dieser Rahmenbedingungen haben. Das entspricht nicht der digitalen Selbstbestimmung. Dass der Umgang mit diesen sehr persönlichen Daten erst durch den Bundesrat bestimmt wird, ist nicht hinzunehmen. Der erläuternde Bericht wendet seine ganze Energie auf, um zu betonen, dass dies nicht der Regelfall sein wird, sodass er ganz vergisst, zu regeln, wie die Personendaten geschützt werden, sollte der Regelfall doch mal eine Ausnahme machen.

Als einen der Grundpfeiler für die Entwicklung von vertrauenswürdigen Datenräumen nennt der Bericht die Erarbeitung eines freiwilligen Verhaltenskodex. Dieser soll aber erst noch erarbeitet werden. Das NADIM wird nun also noch ohne diesen Verhaltenskodex geschaffen. Es ist zudem fraglich, ob und wie die vom Bundesrat beschlossenen Massnahmen zur Förderung vertrauenswürdiger Datenräume und digitaler Selbstbestimmung bei der MODIG überhaupt einfliessen konnten, da der Gesetzesentwurf bereits am 2. Februar 2022 in die Vernehmlassung geschickt wurde, während die Massnahmen erst am 30. März 2022 beschlossen wurden. Somit ist anzunehmen, dass das MODIG noch nicht auf Grundlage dieser Massnahmen entstanden ist und damit potenziell den Anforderungen an vertrauenswürdige Datenräume nicht entspricht.

Wenn digitale Selbstbestimmung und vertrauenswürdige Datenräume nicht nur leere Worte sein sollen, dann ist das MODIG eine wichtige Chance, dies zu bestätigen. Der vorliegende Entwurf entspricht den Anforderungen der Individuen an digitale Selbstbestimmung und vertrauenswürdige Datenräume nicht.

Wir fordern daher einen starken, generellen Datenschutz und den tatsächlichen Fokus auf die digitale Selbstbestimmung beim MODIG.

Weiterführende Informationen

Die Digitale Gesellschaft setzt sich für unsere Freiheitsrechte in einer vernetzten Welt ein. Durch eine Mitgliedschaft im gemeinnützigen Verein oder als SpenderIn kann die Arbeit nachhaltig unterstützt oder gleich online gefördert werden.

Zum Autor des Originalbeitrags auf der Seite der digitalen Gesellschaft:

KireErik Schönenberger ist Informatiker. Er ist Geschäftsleiter der Digitalen Gesellschaft, die er mit initiiert hat. Die 10 Jahre davor hat er sich mit IT-Security beschäftigt. Sein Interesse gilt dem Spannungsfeld aus Technologie, Gesellschaft und Recht. (PGP-Key)