Stellungnahme des Chaos Computer Club e.V. zum Entwurf eines Gesetzes zur Regelung der Rahmenbedingungen für Informations- und Kommunikationsdienste (IUKDG)

- Teil 2: Artikel III (Signaturgesetz) -

zur öffentlichen Anhörung am 14. Mai 1997 in Bonn beim Auschuß für Bildung, Wissenschaft, Forschung und Technologie und Technologiefolgenabschätzung

Fragenkatalog von SPD / Bündnis 90 / Grüne

1. Mit dem Signaturgesetz sollen Strukturen für rechtsverbindliche digitale Signaturen geschaffen werden. Wie beurteilen Sie die Notwendigkeit eines solchen Gesetzes?

Die angestrebte Anerkennung digital signierter Dokumente ist auch jetzt schon möglich (auf freiwilliger Basis). Insofern ist das Gesetz nicht notwendig. Die angestrebte einheitliche Struktur macht im nationalen Alleingang bei zunehmender internationaler Vernetzung nicht wirklich Sinn. Die vom Signaturgesetz beschriebene Struktur ist offenbar als "Vorbildstruktur" gemeint, als solche aber aufgrund ihrer gravierenden Mängel nicht tauglich.

2. Wie beurteilen Sie die vorgesehene Infrastruktur für die digitale Signatur?

Die Zusammenführung der vier Funktionen Schlüsselgenerierung, Personen- identifizierung, Zertifizierung und Schlüssellagerung in einer Struktur bergen hohe Mißbrauchspotentiale aus sicherheitstechnischer Sicht und sind daher personell wie funktionell zu trennen.

Zusätzlich liegt bei der vorhergesehenen Struktur die Gefahr der Monopol- / Kartellbildung aufgrund der Anforderungen (Kosten) an eine solche integrierte Gesamtstruktur.

3. Wie beurteilen Sie die vom IuKDG ungeregelte Frage, welche Rechtsfolgen sich aus der Verwendung einer solchen Signatur zukünftig ergeben sollen?

Elektronische Dokumente bleiben auch mit digitaler Signatur und entsprechender Struktur "Dokumente des Augenscheins" mit freier Beweiswürdigung durch den Richter.

4. Welche Konsequenzen werden sich aus der Einführung einer digitalen Signatur ergeben? Ist beispielsweise mit dem Entstehen einer digitalen Währung zu rechnen? Welche Möglichkeiten bestehen nach der Einführung des Signatur-Gesetzes, solchen Entwicklungen zu begegnen?

Mit dem Entstehen digitaler Währungen ist - schon wegen dem Bedarf an Anonymität bei Zahlungsmitteln - auch ohne digitale Signatur zu rechnen.

5. Welche Möglichkeiten sehen Sie für den Fall, daß sich die geplante Signatur-Infrastruktur in einigen Jahren als nicht ausreichend erweisen sollte? Welche Mechanismen sollten für einen solchen Fall entwickelt werden?

Bei Trennung der genannten Funktionen sind derartige Problem nicht zu erwarten, da auch bei Überlastung/Störanfälligkeit einzelnder Strukturen diese dann problemlos ausgetauscht werden können. Die jetzt vorgesehene Struktur könnte im Problemfall Nachprüfungen der Signaturen - mit entsprechendem Aufwand - erforderlich machen.

6. Wie beurteilen Sie den vorgesehenen privatwirtschaftlichen Aufbau und Betrieb der Infrastruktur von Zertifizierungsstellen? Sollen die zu schaffenden Zertifizierungsstellen auch Rechtsverhältnisse beurkunden dürfen?

Zertifizierungsstellen für digitale Zertifikate im Sinne von Identitätsbestätigungs- stellen sollten aufgrund der hohen Mißbrauchsgefahr nur staatliche Stellen bzw. Notare sein. Für die Beurkundung von Rechtsverhältnissen gilt dasselbe.

7. Wie beurteilen Sie die Regelungen zum Datenschutz in Aritkel 3 § 12? Wie beurteilen Sie die Regelung im Signaturgesetz § 12 Abs. 2? Welchen Stellenwert hat dann die Option eines Pseudonyms?

Der immerhin vorgeschriebenen zweckgebundenen Erhebung von Daten sollte auch eine ebenso ausschließliche zweckgebundene Nutzung folgen. Um die Option eines Pseudonyms konsequent zu ermöglichen, sollte ein richterlicher Beschluß in § 12 (2) als Bedingung angeführt werden. Die in der jetzigen Form angebotene Nutzung unter Pseudonym ist in keinerlei Hinsicht anonym, was aber zumindest optional möglich sein sollte. Der Besuch von elektronischen Beratungsstellen etc. sollte mit Anonymitätsgarantie möglich sein.

8. Welche Instrumentarien wären notwendig, um möglichst rasch angesichts des Experimentiercharakters des Gesetzes auf sich verändernde Bedingungen adäquat reagieren zu können (z.B. Bund Länder/Experten-Kommission zum Problemkreis digitale Signatur)?

Zu Begrüssen wäre die Bildung einer Bund und Länder umfassenden Experten- kommission vor allem vor Schaffung der jetzigen Entwürfe gewesen. Bei Trennung der genannten Bereiche kann sich die Arbeit einer solchen Kommission auf die kritischen Bereiche konzentrieren.

9. Der Bundesrat plädiert für die Ablehnung des Signaturgesetzes. Wie beurteilen Sie dessen Einwände und Begründungen?

Die Einwände und Begründungen sind berechtigt und die Ablehnung verständlich. Allerdings fehlt der Hinweis auf die Alternative, auch ohne Signaturgesetz rechtsverbindliche digitale Signaturen möglich zu machen.

10. Wie beurteilen Sie die Einführung der digitalen Signatur im Hinblick auf Pläne, teilnehmerautonome Verschlüsselung einzuschränken oder gar zu verbieten?

Regulierung von Verschlüsselungsverfahren wäre in diesem Zusammenhang Unsinn und würde die Sicherheit der Signaturverfahren erheblich einschränken.

11. Wie sinnvoll ist Ihrer Ansicht nach eine Trennung von Signaturgesetz und einer Regelung kryptographischer Verfahren?

Eine Regulierung kryptographischer Verfahren würde weitreichende Änderungen der Verfassung und des Signaturgesetzes erfordern und ist nicht sinnvoll.

Fragenkatalog von CDU / CSU / FDP:

1. Mit dem Signaturgesetz sollen Strukturen für sichere digitale Signaturen geschaffen werden. Wie beurteilen Sie die Notwendigkeit eines derartiges Gesetzes? Wie werden sich im Hinblick auf die verschiede nen Nutzungsmöglichkeiten der digitalen Signaturen diese Angebote nach Ihrer Einschätzung entwickeln und in welchen Anwendungsfeldern sehen Sie die Schwerpunkte?

Zur Notwendigkeit Siehe Frage 1 des Fragenkatalogs von SPD/Bündnis90/Grüne. Im Hinblick auf die Entwicklung von Nutzungsmöglichkeiten bleibt festzustellen dass der Bedarf eher in Richtung "Vertrauensverhältniss" im Sinne einer Authorisierung (bzw. Abbild von Vertrauensverhältnissen, z.B. zwischen Dienstleister / Kunde) geht als um Authentifizierung. Diese bringt die (technische) Problematik hierarchischer Baumstrukturen mit sich, an deren Spitze nur die "Identitätsbestätigunsinstitution" Staat stehen kann.

2. Kann nach Ihrer Einschätzung davon ausgegangen werden, daß mit zunehmender Verbreitung digitaler Signaturen im töglichen Geschäfts- und Rechtsverkehr die im Gesetz vorgesehene Sicherungsinfrastruktur allgemeine Verwendung finden wird? Wird es weitere Verwendungen geben?

Bei der im jetzigen Gesetzesentwurf der Signaturverordnung vorgesehenen Sicherungsinfrastruktur gehen wir aufgrund der Nichttrennung der Funktionalitäten von erheblichen Kosten für Aufbau und Betrieb aus, den sich nur wenige Unternehmen leisten können. Die Abwälzung der Kosten auf den Teilnehmer bzw. kooperierende Vertragspartner wird letztlich einen erheblichen Markt für Authorisierungsstrukturen (siehe 1. Frage) hinterlassen und die geschaffenen digitalen Signaturen nur einer partiellen Nutzung zulassen. Zudem stellt sich die Frage nach der allgemeinen Akzeptanz dieser Technologie bei fehlender Möglichkeit der anonymen Abwicklung von Rechtsgeschäften.

3. Wie wird sich nach Ihrer Ansicht die Verbreitung digitaler Signaturen auf das materielle Recht auswirken? Wie könnte die besondere Sicherheit digital signierter Dokumente materiellrechtlich und prozessual berücksichtigt werden? Sind bereits jetzt entsprechende gesetzliche Maßnahmen - parallel zum Signaturgesetz - erforderlich?

Das materielle Recht wird in vielen Bereichen sinnvoller zur Abwicklung von Rechtsgeschäften bleiben. Die Nichtberücksichtigung des Wunsches nach Anonymität im täglichen Rechtsgeschehen etwa spricht dafür.

Parallele gesetzliche Maßnahmen sind nicht notwendig; siehe Frage 3 des Fragenkatalogs von SPD/Bündnis90/Grüne oder auch "Urkundenbeweisrecht und Elektroniktechnologie" von Dr. Jörg W. Britz, Saarbrücken Dezember 1995 Verlag C.H. Beck ISBN 3-406-41220-3

4. Das Signaturgesetz hat sich für eine Wahrnehmung der Aufgaben der Zertifizierungsstellen durch private Unternehmen entscheiden. Sprechen nach Ihrer Auffassung sachliche Gründe gegen eine Wahrnehmung durch private Unternehmen?

Vor allem die Funktion der Identitätsbestätigung kann nicht von einer privaten, sondern nur von einer staatlichen Stelle bzw. notariell erfolgen. Private Stellen erscheinen aufgrund der Mißbrauchsgefahr hierzu nicht geeignet.

5. Zertifizierungsstellen stehen in Rechtsbeziehungen zu den unmittelbar Beteiligten, aber auch zu Dritten, die auf die von ihnen zertifizierten Signaturen vertrauen. Ist für diese Fälle ein gesetzlicher Haftungstatbestand vorzusehen und wie könnte dieser gegebenenfalls ausgestaltet sein?

Ein Haftungstatbestand ist nach Signaturüberprüfung der ausgebenden Stelle denkbar, stellt aber besondere Anforderungen an die Zuverlässigkeit und wird daher in der Praxis vermutlich eine Einzelfall-Option bleiben.

6. Ist eine ausreichende Kontrolle der Tätigkeit der Zertifizierungsstellen durch zuständige Behörde (Regulierungsbehörde nach TKG) gewährleistet?

Nicht beim jetzt beschriebenen Funktionsumfang. Wenn Schlüsselerzeugung und Authentifizierung abgetrennt werden ist die Kompetenz der Regulierungs- behörde überhaupt erst angemeßen.

7. Das Signaturgesetz sieht in § 2 Abs. 2 die Ausstellung einer Zertifikats nur für natürliche Personen vor. Ist damit den Bedürfnissen von Unternehmen zur Verwendung digitaler Signaturen durch ihre Mitarbeiter ausreichend Rechnung getragen? Sollte eine digitale Signatur für juristische Personen vorgesehenen werden?

Zum jetzigen Zeitpunkt scheint eine Ausweitung auf juristische Personen nicht sinnvoll, da die sichere Aufbewahrung eines geheimen Schlüssels, z.B. mittels biometrischer Verfahren, bei juristischen Personen problematisch wäre.

8. Sind die in § 14 Signaturgesetz genannten Erfordernisse für die technischen Komponenten hinreichend konkret? Stellen sie für Unternehmen eine unüberwindbare technische Hürde auf?

Die in § 14 genannten Erfordernisse sind hinreichend konkret, der Schlüssel- erzeugungsprozess ist so allerdings konkret abzulehnen. Die in (1) beschriebene Schlüsselerzeugung darf nur beim Teilnehmer selbst erfordern. Die übrigen Regelungen unter § 14 entsprechen den Anforderungen.

9. Der Bundesrat plädiert für die Ablehnung des Signaturgesetzes. Wie beurteilen Sie dessen Einwände und Begründungen?

Im groben und ganzen als berechtigt.

Art. 2: Teledienstedatenschutzgesetz

1. Rechtfertigen die Risiken der Datenverarbeitung im Netz einen neuen Ansatz im Datenschutzrecht?

Die Risiken der Datenverarbeitung im Netz, insbesondere der Transport in Länder in denen Datenschutz nicht existiert, sowie die vollautomatische Erstellung von Personenprofilen zwecks zielgerichteter Manipulation von Kaufentscheidungen ("Micro-Marketing") rechtfertigen auf jeden Fall neue Ansätze im Datenschutzrecht.

Dabei scheint vor allem unter dem Gesichtspunkt der Technologie-Akzeptanz eine offensive Herangehensweise sinnvoll, wie etwa mit dem ursprünglich vorgesehenen Datenschutz-Audit.

2. Sind die im Entwurf des TDDSG vorgeschlagenen Grundsätze der Datenvermeidung, der anonymen und pseudonymen Nutzung von Telediensten, der technischen und organisatorischen Trennung von verschiedenen Datenarten (Bestandsdaten, Nutzungsdaten und Abrechnungsdaten) sowie der nur eingeschränkt zulässigen Übermittlung bestimmter personenbezogener Daten geeignet, um den Besonderheiten der Datenverarbeitung im Netz Rechnung zu tragen?

Der im Entwurf des TDDSG Grundsatz der Datenvermeidung geht zwar in die richtige Richtung, greift aber ohne entsprechende Vorschriften ins Leere und kann von entsprechenden Diensteanbietern ignoriert werden. Ebenso ist den Netzspezifischen Besonderheiten (Übermittlung / Processing im Ausland, in dem es keine Datenschutzvorschriften gibt) nicht ausreichend Rechnung getragen.

3. Das TDDSG unterscheidet nicht zwischen dem privaten und dem öffentlichen Teledienst. Ist eine solche Differenzierung (entsprechend der im Bundesdatenschutzgesetz vorgesehenen Differenzierung) erforderlich?

Im Bereich der Teledienste scheinen einheitliche Regelungen sinnvoller solange die Regelungen des Bundesdatenschutzgesetzes über bestimmte Dienste nicht berührt werden.

Insbesonders im Bereich des Datenschutz sollten öffentliche Dienste eine Vorbildfunktion wahrnehmen (z.B. Datenschutz-Audit / Transparenz).

4. Teilen Sie die Auffasung einzelner Diensteanbieter, daß Vorschriften des TDDSG - z.B. über die Zulässigkeit der Übermittlung von personenbezogenen Daten an Dritte - die freie Entwicklung der Teledienste behindern?

Nein - Dienste die zu Lasten der informationellen Selbstbestimmung agieren möchten sind mit der Verfassung nicht vereinbar und abzulehnen.

5. In § 3 Abs. 7 TDDSG ist erstmalig die Möglichkeit vorgesehen, die im Datenschutzrecht anerkannte Einwilligung in die Verarbeitung personenbezogener Daten elektronisch zu erklären. Tragen die Voraussetzungen der Bedeutung der Einwilligung für den Nutzer ausreichend Rechnung? Sind die in dieser Vorschrift genannten Voraussetzungen praktisch umsetzbar?

Eine elektronische Einwilligung ist wegen der möglichen weitreichenden Folgen bei gleichzeitig niedrigerer Hemmschwelle nicht sinnvoll und daher zu streichen. Auch der schriftliche Einwilligungserklärung sollte entsprechende Information über die Konsequenzen und ein Warnhinweis des zuständigen Datenschutzbeauftragten vorausgehen (ähnlich "Rauchen gefährdet ihre Gesundheit.").

6. In § 4 Abs. 1 TDDSG ist vorgesehen, daß der Diensteanbieter dem Nutzer die Inanspruchnahme von Telediensten und ihre Bezahlung anonym oder pseudonym zu ermöglichen hat, soweit dies technisch möglich und zumutbar ist. Wie kann diese Verpflichtung praktisch umgesetzt werden und in welchen Geschäftsbeziehungen entfaltet der Grundsatz seine Bedeutung?

Die technische Umsetzung stellt mit den vorhanden (kryptographischen) Mitteln (Anonymisierungsserver etc.) kein Problem dar. Sinnvoll kann dies z.B. für die Inanspruchnahme von Rechercheleistungen von Wirtschaftsunternehmen sein, die die Gefahr der Wirtschaftsspionage durch Anonymisierung ihrer Abfragen bannen möchten. Gleiches gilt für die Inanspruchnahme von sensiblen Beratungsleistungen durch Privatpersonen.

7. In § 5 Abs. 3 TDDSG ist die Zulässigkeit der Übermittlung von Bestandsdaten an Strafverfolgungs- und Sicherheitsbehördern geregelt. Werden damit die Strafverfolgungsinteressen bei strafbarem Handeln im Netz ausreichend berücksichtigt? Ist die vorgeschlagene Übermittlung personenbezogener Daten bereits durch das geltende Recht, z.B. der Strafprozeßordnung, abgedeckt?

Die in § 5 Abs. 3 TDDSG genannte Regelung stellt einen weitreichenden Eingriff in die elektronische Privatsphäre dar und sollte erst nach richterlichem Beschluß erfolgen.

8. Können kryptographische Verfahren zur Gewährleistung des Datenschutzes eingesetzt werden. Wie würde sich eine Regulierung solcher Verfahren auf den Datenschutz auswirken?

Zur Gewährleistung von Datenschutz, Datensicherheit und Möglichkeiten zur Gewährung informationeller Selbstbestimmung und einer Privatsphäre in elektronischen Medien sind kryptographische Verfahren unerlässlich.

Eine Regulierung solcher Verfahren hatte weitreichende Einschnitte in allen genannten Bereichen zur Folge und kann daher nur abgelehnt werden.

9. Ist angesichts der zahlreichen in Betracht kommenden Kontrollinstitutionen (BfD, Landesdatenschutzbeauftragte, Aufsichtsbehörden) eine effektive und einheitliche Kontrolle der Vorschriften des TDDSG gewährleistet ist? Ist eine anlaßunabhängige Kontrolle sachgerecht? Wie könnte sich die Aufnahme eines "Datenschutz-Audit" auf die Tätigkeit der Kontrollinstanzen auswirken?

Eine effektive und einheitliche Kontrolle ist nicht gewährleistet; dies ist allerdings unabhängig von den Vorschriften aus technischen Gründen auch nur schwerlich möglich.

Die Einführung eines Datenschutz-Audits könnte sich hier entlastend auf die Kontrollinstitutionen auswirken und Datenschutz als Wettbewerbsfaktor integrieren. Dies ist sinnvoller als Absichtserklärungen zur Datenvermeidung.

10. Wie beurteilen Sie das Fehlen von Bußgeldvorschriften im TDG/TDDG?

Im TDG unter dem Gesichtspunkt der Schadensprävention bis zur Klärung der Abgrenzungsschwierigkeiten zum Mediendienstestaatsvertrag und TKG vorerst sinnvoll.

Im TDDG dokumentieren Sie ein mangelndes Datenschutzbewußtsein und Degradieren die Datenschutzklauseln zu Absichtserklärungen, die ignoriert werden können.

11. Sehen Sie weitere Probleme durch das TDG/TDDG?

Ja, diese entnehmen Sie bitte unserer Stellungnahme zum IUKDG Teil 1.

Art. 4 - 10: (Strafgesetzbuch, Ordnungswidrigkeiten, Jugenschutz u.a.)

1. Reichen die vorgesehenen Änderungen des Straf- und Ordnungswidrigkeitengesetzes sowie des Gesetzes über die Verbreitung jugendgefährdender Schriften aus oder müssen neue Strafbestände geschaffen werden?

In erster Linie sind angesichts der neuen Probleme nicht neue Strafbestände, sondern neue Problemlösungswege notwendig.

2. Wie sind Gefahren und Gefährdungspotential der neuen Dienste im Vergleich zu herkömmlichen Medien einzustufen (Printbereich, Fernsehen)?

Der grundliegende Unterschied ist zunächst einmal die Teilnehmeremanzipation bei den neuen Medien, also die freie Wahl zwischen Sender- und Empfängerfunktion - im Gegensatz zur klassischen Trennung zwischen Sendern und Empfängern bei den alten Medien.

Hieraus leitet sich eine sinkende Kontrollmöglichkeit über die Sender bei gleichzeitiger Steigerung der Anzahl dieser ab, welche im Effekt eine allgemeine Vermittlung von Medienkompetenz notwendig macht.

3. Welche technischen Möglichkeiten bestehen (Hardware/Software), um den Zugang zu Informationen vollständig bzw. nur für Minderjährige zu sperren? Wie kann technisch sichergestellt werden, daß die Urheber / Anbieter von einzelnen Angeboten identifiziert und damit gegebenfalle auch zur Verantwortung gezogen werden können?

Eine effektive Sperre ist selbst kooperativ und international nicht zu 100% möglich; vor allem aber ist sie aus Gründen der Auseinandersetzung, Medienkompetenz und Streitkultur nicht wünschenswert. Der Umgang mit problematischen Inhalten sollte sich daher nicht in erster Linie auf Sperrmaßnahmen konzentrieren.

Siehe hierzu die unter Frage 5 des Fragenkatalogs von SPD/Bündnis90/Grüne zum IUKDG Teil 1 aufgeführte Problematik und die Anhörung "Jugendschutz" des Ausschusses für Familie, Senioren, Frauen und Jugend vom 09. Oktober 1996.

In der Regel sind Urheber von Angeboten (WWW) problemlos identifizierbar. Anonyme Zugangsmöglichkeiten haben jedoch genauso wie Telefonzellen ihre Existenzberechtigung und erlauben in eingeschränktem Maße Informations- einspeisungen. Diese sind jedoch bei Inkompatibilität mit internationalem Rechtsverständniss verhältnissmässig einfach wieder zu entfernen.

4. Inwieweit kann die freiwillige Selbstkontrolle, insbesondere freiwillige Kontrollvereinbarungen der Anbieter in Bezug auf illegale und schädigende Inhalte in den neuen Diensten, die staatlichen Kontrolle sinnvoller ergänzen?

Unter Berücksichtigung der Tatsache, daß alle Teilnehmer am Internet (in allen Ländern) potentielle Informationsanbieter sind, ist die Förderung der Netiquette und die Förderung solcher Regelungen, die international gültig sind (wie z.B. schon bei Kinderpornographie vorhanden) sinnvoll.

Die sinnvolle Gestaltung der Netzinhalte durch die Teilnehmer kann eine staatliche Kontrolle nicht nur ergänzen, sondern im Optimalfall sogar überflüssig machen.

5. Entspricht das Jugendschutzkonzept des IuKDG den verfassungsrechtlichen Anforderungen? Was muß getan werden, um das abgestufte Konzept des IuKDG umzusetzen? Können die deutschen Schutzbestimmungen internationale Maßstäbe setzen?

Die verfassungsrechtlichen Anforderungen bedürfen einer zeit- und mediums- gerechten Umsetzung, die im IuKDG so nicht zu finden ist. Die deutschen Schutzbestimmungen können in einem globalen Netz auf diese Art sicherlich keine internationalen Maßstäbe setzen.

6. Ist eine unterschiedliche Behandlung von Telediensten und Mediendiensten im Jugendschutzrecht sachlich geboten?

Nein.

7. Welche Anmerkungen gibt es zu Artikel 7 - 10 IuKDG?

Aus zeitlichen Gründen zur Zeit keine weiteren.