I’ve got the key…

… I’ve got the secret!


Eine Nachricht hat mich heute zutiefst verstört: Das von Horst Seehofer geführte Bundesinnenministerium will die Anbieter verschlüsselter Messenger dazu zu verpflichten, auf richterliche Anordnung die Nachrichten ihrer Kunden zu entschlüsseln (Quelle/Quelle).

Ich halte das aus drei Gründen für falsch:

Es macht das Internet unfrei. Hinter den großen Messengern Whatsapp, Threema, Telegram und Signal sind allesamt keine deutschen Unternehmen. Einzig Wire hat einen Standort in Berlin. Die einzig wirksame Maßnahme zur Sanktionierung („Sperrung“) der nicht-deutschen Dienste, wenn sie denn nicht kooperieren wollen, ist eine Sperrung z. B. der Threema-Server im deutschen Internet. Und dann, sagt ein Threema-Sprecher im SpOn-Artikel, „würde sich das Land nahtlos in die Reihen totalitärer Staaten wie China oder Iran einreihen“. Ob man sich im Innenministerium dieser Konsequenzen bewusst ist?

Es macht das Internet unsicher. Die z. B. in Threema, Wire, Signal und Whatsapp angewandte Ende-zu-Ende-Verschlüsselung, bei dem der Diensteanbieter selbst keine Entschlüsselungsmöglichkeit hat, wäre mit der vom Ministerium vorgeschlagenen Maßnahme am Ende. Künftig müssten alle Anbieter die Schlüssel zur Dekodierung der Nachrichten auf ihren Servern aufbewahren, um sie im Zweifelsfall zum Entschlüsseln der Kunden-Nachrichten zu verwenden. Doch wenn viele sensible Daten gebündelt an einem Ort liegen, ist ein Hackerangriff auf diesen Ort wohl nur eine Frage der Zeit. So wird der Begriff „Sicherheit“, mit dem die Maßnahme des Ministeriums wohl begründet werden soll, ad absurdum geführt.

Es vertieft die Gräben zwischen Netzeinwohnern und die Netzbesuchern. Als hätte man aus den europaweiten Protesten gegen die EU-Urheberrechtslinie nichts gelernt, wird mit dem Ministeriumsvorschlag gesetzlich in etwas eingegriffen, das viele Menschen als ihren Lebensraum ansehen und dementsprechend beschützen: Das Internet. Es ist wirklich dumm, solche Planungen an die Öffentlichkeit zu lassen, ohne vorher das Gespräch mit der Netzcommunity zu suchen und die möglichweise vorhandenen Argumente in Ruhe zu erklären.
Bei Artikel 11 und 13 war die politische Kommunikation katastrophal (und die Zuhörbereitschaft der Protestler sehr beschränkt); jetzt wiederholt sich zumindest ersteres. Ich hoffe inständig, dass es dieses Mal anders läuft und die ersten Twitterkommentare nicht repräsentativ für die Argumentationslinie sind.
(Wobei: Damals hatte sich der Hashtag #niemehrcdu etabliert; heute stehen wir zwei Tage vor der Europawahl, und CDU und CSU stehen vier Tage nach dem Rezo-Video digitalpolitisch nicht sonderlich souverän da. Ob der Zeitpunkt für die Verkündung der Messenger-Verfügung da so optimal gewählt ist?)

Das Vorhaben ist noch in der Planungsphase. Die Innenminster der Länder werden nächsten Monat über den Vorschlag aus Berlin beraten – und ihn möglicherweise zu Fall bringen. Gründe dafür gibt es zuhauf.

Seminar „Digital Privacy“

In verschiedenen Beiträgen dieses Blogs habe ich auf Tools und Einstellungen verwiesen, die – gemäß dem inoffiziellen Motto von Spähgypten – persönliche Daten schützen können, ohne den Komfort in der Nutzung von Computern, Smartphones oder Tablets zu beeinträchtigen (z. B. für Windows, Android, Google…).

Am 31. August 2019 findet in Lingen ein Seminar zu diesem Thema statt. Dafür möchte ich, weil ich es organisiert habe, hier schamlos werben möchte.
Der Datensicherheitsexperte Elmar Brandhorst wird den Interessierten, die an diesem Tag ins Ludwig-Windthorst-Haus kommen, einen Blick in einen Privacy-Werkzeugkasten werfen lassen. Elmar beschäftigt sich seit Jahren u.a. mit den Fragen sicherer Email-Kommunikation, Tracking im Netz oder Alternativen zu Google & Co. Vor allem aber bringt er die Inhalte tierisch unterhaltsam rüber.
Meine wärmste Empfehlung für „Digital Privacy“ am Samstag, 13. August 2019, von 10 bis 17 Uhr im Ludwig-Windthorst-Haus. Die Seminargebühr beträgt 75,00 €

» zur Veranstaltung

[Update 25.5.2019] Whatsapp: Auf der grünen Insel nimmt man’s genau

In meiner Frage, ob Whatsapp in seiner „Datenauskunft“ für die Nutzer auch gesammelte Metadaten ausgeben muss, gehen die Ansichten des Bundes- und des irischen Datenschutzbeauftragten offenbar auseinander.

Der BfDI teilt meine Ansicht, dass die von Whatsapp gesammelten Daten darüber,

  • wann die Nutzer
  • mit welchen andern Nutzern
  • von welchem Standort aus
  • mit welchem Gerät

kommunizieren (so genannte Metadaten) personenbezogene Daten sind und damit nach DSGVO auszuweisen. Der Grund: Sie werden von Whatsapp und Facebook zu personalisierter Werbung mit Bezug zu meiner Person [Update 25.5.2019] verwendet, also nicht etwa anonym (Quelle).
Nun hat der irische Datenschutzbeauftragte, dem meine Anfrage zwecks Zuständigkeit weitergeleitet wurde, meine Anfrage abgelehnt. Warum, das hat mir ein Anwalt aus dem Hause des BfDI mitgeteilt:

Die DSGVO kam erst am 25. Mai 2018 zur Anwendung, d.h. sie war im Voraus zwar bereits in Kraft, Ihre Regelungen waren jedoch nicht anzuwenden. Bei einer strengen Auslegung hatten Sie folglich am 20. Mai 2018 noch kein Recht auf Auskunft nach der DSGVO. […] Wenngleich diese Argumentation nicht sonderlich bürgerfreundlich ist, so ist sie doch rechtlich nachvollziehbar.

Dumm gelaufen. Die Whatsapp-Funktion war am 20. Mai in Kraft, DSGVO-konform hat sie laut der irischen Behörde aber erst ab 25. Mai 2018 sein müssen.

Also habe ich erneut einen Bericht bei Whatsapp angefordert. Ob mehr drin steht, also alle personenbezogenen Daten? Ich werde hier darüber berichten.

[Update 25. Mai 2019]
Etwas später als geplant, dafür passend zum Jahrestag der DSGVO habe ich Whatsapp eine Mail geschrieben:

Sehr geehrte Damen und Herren,

der am 7. Mai 2019 angeforderte und am 10. Mai 2019 ausgelieferte Bericht über meine Whatsapp Account-Informationen („DSGVO-Bericht“) ist leider nicht vollständig.
Es fehlen sämtliche Metadaten aus den Whatsapp-Konversationen, bspw. die in dem Dokument „So arbeiten wir mit den Facebook-Unternehmen zusammen“ (https://faq.whatsapp.com/general/26000112/?eea=1) erwähnten „Nutzungsinformationen“.
Da diese Daten innerhalb der Facebook-Familie genutzt werden – und zwar nicht anonymisiert, sondern auf meine Person bezogen – müssen diese Daten laut meinem durch die DSGVO zugesicherten Informationsrecht auch in dem Bericht ausgewiesen werden.

Bereits am 20. Mai 2018 hatte ich mich mit diesem Anliegen an Sie gewendet, aber leider keine Antwort erhalten. Der Bundesbeauftragte für den Datenschutz, den ich über mein Anliegen informiert hatte, stützt meine Position.

Ich bitte Sie, mir die Metadaten aus meinen Whatsapp-Konversationen bis zum 7. Juni 2019 zukommen zu lassen.
Ich werde diese Email auf meinem Blog „Spähgypten“ (www.spaehgypten.de) veröffentlichen und Ihre Reaktion dort indirekt wiedergeben.

Es grüßt Sie
Michael Brendel
Whatsapp-Nr. +491XXXXXXXXX [in Orignalmail ist die Nummer sichtbar]

Mail an support @ whatsapp, 25. Mai 2019