EDRi-gram Nr. 4.16, 30. August 2006
Trotz der letzten Entscheidung des Europäischen Gerichtshofes (EuGH) zur Annullierung des EU-US Abkommens über PNR Daten drängt die Europäische Kommission darauf, die PNR Daten aller innereuropäischer Flüge auch mit den Geheimdiensten der europäischen Regierungen zu teilen.
Diese neue Haltung, die von Friso Roscam Abbing, Sprecher des Vizepräsidenten der Europäischen Kommission und Justiz- und Sicherheitsbeauftragter, zum Ausdruck gebracht wurde, kommt nur einige Tage nachdem mehrere Personen in Großbritannien wegen mutmaßlicher Pläne, transatlantische Flugzeuge in die Luft zu jagen, angeklagt wurden.
Diesmal würden sich die Daten nicht nur auf Namen oder Adresse der Passagiere beschränken und könnten auch Informationen über Kreditkarten, Telefonnummern, Hotelreservierungen oder andere Einzelheiten beinhalten, die in den Akten der weltweiten Reisereservierungsdienste abrufbar sind. Im neuen Vorschlag sollen die gleichen Prinzipien wie im Abkommen mit den USA geltend bleiben, in dem die PNR Daten den europäischen Regierungen zugänglich sein werden, die Zugriff auf die gleichen 34 Informationen haben sollen. Die Daten könnten für drei Jahre gespeichert werden. Wie der Sprecher sagte: „Die Information würde an die Regierung desjenigen Landes weitergereicht werden, in das die Person fliegt, und würde ausschließlich zu Anti-Terrorismuszwecken verwendet werden.“
Bis jetzt wurde kein offizieller Vorschlag an die Kommission geschickt, zurzeit wird aber ein Entwurf besprochen. Solch ein Vorschlag sollte von der Kommission und dem Ministerrat bewilligt werden.
Diese Entscheidung erfolgt in enge Zusammenhang mit dem EU-US PNR-Abkommen, das umformuliert werden muss, um der Entscheidung des EuGH zu entsprechen. Die US Behörden versuchen ebenfalls, eine Vergrößerung der Datensätze, die im neuen Abkommen geteilt werden, zu erreichen. In einem kürzlichen Interview sagte der Minister für Heimatschutz Michael Chertoff, dass die US Regierung die PNR Daten breitgefächert untersuchen wolle, um Personen ausfindig zu machen, die mit Terroristen in Verbindung stehen könnten.
In einem anderen Abkommen war die USA dran gehindert worden, die PNR Daten mit anderen Strafverfolgungsbehörden für übergreifende Suchen zwischen Datenbanken zu teilen.
Officials Seek Broader Access to Airline Data (22.08.2006)
Security services will be given passenger data on all European flights (22.08.2006)
Frattini to propose giving up passenger privacy to uncover terror plots (23.08.2006)
Michael Chertoff - A Tool We Need to Stop the Next Airliner Plot (29.08.2006)
EDRI-gram : EU-US agreement on passenger data transfer annulled (7.06.2006)
EDRI-gram : The European Commission dribbles the Parliament again in the PNR deal (21.06.2006)
Europäische Medienwissenschaftler haben einen Vorschlag der Europäischen Kommission für eine neue EU Richtlinie zu Audiovisuellen Mediendiensten wegen seines unklaren Regelungskonzepts von „nicht-linearen audiovisuellen Diensten“ kritisiert, welches auch das Internet betreffen würde. Die Kritik wurde in der „Deklaration von Budapest für die Freiheit des Internets“ vorgebracht, die von Dr. Peter Molnar, Forschungsbeauftragter am Zentrum für Medien und Kommunikationsstudien der Central European University formuliert wurde. Die Deklaration steht für weitere Unterschriften von Medienwissenschaftlern offen.
„Die ungerechtfertigten Einschränkungen, die im Entwurfs-Vorschlag der Europäischen Kommission angedeutet werden, würden die Redefreiheit und Informationsfreiheit gefährden - besonders in mittel- und osteuropäischen Ländern, in denen der willkürliche Einsatz der überwachenden Staatsgewalt wahrscheinlicher ist als in zumindest einigen westeuropäischen Demokratien“, warnen die Wissenschaftler.
Der Entwurf für die Richtlinie soll die „Fernsehen ohne Grenzen“-Richtlinie (TVWF) von 1989 (zuletzt überarbeitet in 1997) ablösen. Er stellt Regelungen für zwei Arten von audiovisueller Medieninhalte auf: „linear“ und „nicht-linear“. „Lineare Dienste“ sind klassische TV Ausstrahlungen. „Nicht-lineare Dienste“ beinhalten Dienste auf Wunsch und kommerzielle audiovisuelle Inhalte, auch im Internet.
Die Regelung für „lineare Dienste“ wäre ähnlich jenen, die die TVWF bereits für TV Dienste aufgibt, sie würde allerdings vereinheitlicht werden. „Nicht-lineare Dienste“ würden in geringerem Maße durch Regelungen betroffen.
Trotz der anhaltenden Diskussion besteht noch immer erhebliche Unsicherheit darüber, welche Art von Medien als „nicht-lineare audiovisuelle Medien“ bezeichnet werden könnten, die unter die grundsätzliche Stufenregelung des Vorschlages fallen würden.
Kritiker, auch aus den Delegationen der EU Mitgliedsstaaten, befürchten, dass Weblogs, online Videospiele oder private Websites mit Werbebannern ebenfalls in den Bereich der Richtlinie fallen könnten, da sie nicht grundsätzlich „nicht-kommerziell“ sind.
Andere Beispiele für Inhalte, die unter den Verordnungen des Entwurfs nicht leicht zu bestimmen sind, beinhalten neu aufkommende Videohosting-Plattformen wie „Youtube“ oder ähnliche Angebote bei „Google“, „Yahoo“ oder anderswo.
Die EU Beauftragte für Informationsgesellschaft und Medien, Viviane Reding, versichert jedoch, dass der Entwurf für die Audiovisual Richtlinie sich nicht mit neuen einschränkenden Verordnungen beschäftigt, sondern durch die weitere Koordination von Minimalstandards ein rechtliches Rahmensystem für neue Dienste im internen Markt hervorbringen wird. Sie erklärt, dass die vorgeschlagene Gesetzgebung andere Elemente des Gesellschaftsrechts ergänze, besonders die E-Commerce Richtlinie, die keine vereinheitlichten Regelungen in einigen wesentlichen Bereichen des öffentlichen Interesses – wie der Schutz Minderjähriger – anbieten.
Die Deklaration von Budapest andererseits bringt Bedenken zum Ausdruck, dass die „Vergrößerung der Reichweite von einigen ziemlich besorgniserregenden Aspekten der Fernsehrichtlinie im Bezug auf das Internet – wie sie der Entwurf zur neuen Richtlinie der Europäischen Kommission in viel zu undeutlichen Begriffen vorschlägt, welche die Anbieter und Nutzer von Inhalten in Unsicherheit darüber lassen würden, ob ihre jeweiligen Aktivitäten denn von dieser neuen Richtlinie gedeckt werden – eine unverantwortliche Einschränkung der Rede- und der Informationsfreiheit darstellen würde.“
Stattdessen argumentieren die Signatarmächte, dass „die E-Commerce Richtlinie der EU bereits den notwenigen Regelungsrahmen für die Dienste der Informationsgesellschaft bereitstellt.“
Die Deklaration wurde Mitgliedern des Europäischen Parlaments vorgelegt und liegt für weitere Unterschriften von Medienwissenschaftlern offen.
Die Europäische Kommission brachte den Vorschlag am 13. Dezember 2005 beim Europäischen Parlament ein. Laut der Beauftragen Reding ist die Annahme durch das Kulturelle Komitee des Europäischen Parlaments für Oktober geplant; die Abstimmung im Plenarausschuss wird schlussendlich im Dezember 2006 stattfinden. Eine politische Einigung im Rat könnte unter der Deutschen Präsidentschaft (erste Hälfte des Jahres 2007) erreicht werden, und die zweite Gesetzlesung könnte unter der Portugiesischen Präsidentschaft stattfinden (zweite Hälfte 2007).
Budapest Declaration for Freedom of the Internet (15.06.2006)
Signatures can be submitted to Peter Molnar and Laura Ranca
Modernising the TV without Frontiers directive
EDRI-gram : Draft Audiovisual Media Services Directive under criticism (24.05.2006)
(Beitrag von Christian Möller)
Frankreich hat den Versuch unternommen, ein System für das Internet-Voting einzuführen, das französischen Bürgern, die im Ausland leben, erlaubt hätte während der Präsidentschaftswahlen 2007 zu wählen. An dem System wurde allerdings Kritik geübt, und es hat sich nicht als zuverlässig erwiesen.
Die Auslandsfranzosen werden vom AFE vertreten (Assemblée des Français de l'Étranger), einer beratenden Körperschaft, die 12 Senatoren (aus 331) wählt. Die Hälfte des AFE wurde im Juni 2006 ausgewechselt. Stimmen konnten entweder in den Botschaften (auf traditionelle Weise), auf dem Postweg oder im Internet abgegeben werden.
Internet-Voting war 2003 zum ersten Mal verwendet worden, und war damals auf die Wahlberechtigten beschränkt, die in den USA lebten. Diesmal betraf es alle 525000 Wähler. Das Ziel war es, diesen Expatrioten später das Internet für die Präsidentschaftswahl 2007 zur Verfügung zu stellen; ein Entwurf wurde eingereicht.
28138 Wahlberechtigte hatten sich für die Internetbenutzung registrieren lassen, und da die typische Wahlbeteiligung gering ist (unter 20%), stellt dies ungefähr ein Drittel der erwarteten Wähler dar. Der Ablauf war kompliziert: der Wähler musste seine/ihre Registrierung in der Woche vor der Wahl bestätigen und die Kompatibilität seines/ihres Computers und besonders der Java Virtual Machine testen. Schlussendlich wählten nur 10201 Personen.
Die Software „Cybervote“ wurde von der Firma EADS produziert; Experian führte die eigentliche Abstimmung durch. Die Server waren in Südfrankreich positioniert. Es wurde versucht, den Ablauf in einem normalen Wahllokal nachzubilden. Die Wahlhelfer (franz. assesseurs) verbrachten in Paris eine Woche vor Computerbildschirmen, die anzeigten wie viele Personen gewählt hatten, ob die elektronische Wahlurne beständig war, und die Bilder von einer Kamera in den Serverräumlichkeiten übertrug.
Die wirklichen Wahllokale organisierten die traditionelle Wahl und zählten jede Stimme. Aus jedem Land in Europa und Asien wurde eine bis sieben Stimmen gezählt. Zusammen mit den Listen der tatsächlichen Wähler erhielten sie auch die Ergebnisse des Internet-Votings. In mehreren Länder hatten sich nur ein bis zwei Wähler für die Möglichkeit des Internets entschieden; daher war eine Verletzung der Geheimhaltung unumgehbar, welche seltsamerweise nicht vorausgesehen worden war. Mitten in der Wahl wurde entschieden, die elektronische Abstimmung in diesen Ländern zu sperren. Wie genau das durchgeführt wurde ist unklar, und die meisten Wahlhelfer wurden darüber erst am letzten Tag der Wahlen informiert.
Soll die miese Organisation die Aufmerksamkeit von den Hintergrundsproblemen ablenken? Drei Informatiker aus der Forschung legten jeder einen Bericht über diese Wahlen vor. Zwei von ihnen waren während der Wahlen von den beiden politischen Großparteien beauftragt worden. Die drei Berichte geben zahlreiche gemeinsame Bedenken wieder. Sie alle erinnern daran, warum im normalen Wahlablauf so viele Sicherheitsvorkehrungen bestehen: „Wenn die Wahlhelfer und assesseurs am Ende eines Tages die Ergebnisse vorlegen, werden diese als seriös akzeptiert, weil jeder jeden Vorgang im Ablauf sehen und nachvollziehen kann. Es gibt dabei viele Sicherheitsvorkehrungen, und jede Sicherheitsvorkehrung besteht, weil ohne sie in der Vergangenheit gemogelt worden war, und in jede Sicherheitsvorkehrung ist der assesseur direkt eingebunden. Im Gegensatz dazu bestehen im Ablauf eines Internet-Votings – und auch bei diesem Internet-Voting für das Assemblé – keinerlei Sicherheitsvorkehrungen, die die assesseurs direkt einschätzen können.“
Alle drei Berichte zweifeln die tatsächliche Kontrolle der Angestellten an: „Computer können dazu programmiert werden, beinahe jedes Phänomen zu simulieren. Ein Computerprogramm kann eine korrekte Wahl und eine fehlerhafte Wahl durchführen. Die assesseurs können nicht wissen, welches Programm auf den Computern installiert ist [...], welche die Wahl durchführen, weil EADS das Programm als sein Firmengeheimnis überwacht und es den assesseurs nicht zeigen wird. Sogar wenn EADS es ihnen zeigte, würden die assesseurs nicht wissen können, ob das ihnen gezeigte Programm dasselbe ist, welches auf den Computern installiert ist.“
SERVE war ein System, das darauf abzielte, US Soldaten im Ausland im Internet wählen zu lassen. Die drei Berichte erinnern, dass das Pentagon SERVE aufgrund eines alarmierenden Expertenberichtes fallen gelassen hatte, ohne es in Betrieb genommen zu haben. Andrew Appel, Professor an der Princeton Universität, gab diesen Kommentar zum Verzicht ab: „Als ein Experte für Computersicherheit und Wahltechnologie glaube ich, dass es eine kluge Entscheidung war.“
Bernard Lang von INRIA, dem französischen Informatikforschungslabor, analysiert in seinem Bericht die Verordnung, nach der diese Wahlen ausrichtet werden. Er erinnert die Wahlhelfer daran, dass sie mehr Verantwortung tragen als ihnen bewusst ist, weil die Fragen, die an sie gestellt werden, entweder unspezifisch oder äußerst technisch sind. Er stellt eine lange Liste mit Fragen und Vorbehalten auf. Wenn zum Beispiel die Verordnung besagt, dass „Die Mitarbeiter des elektronischen Wahllokals erklären, dass die elektronische Wahlurne leer ist.“ schlägt Bernard Lang vor: „Es ist wichtig klarzustellen, dass Sie erklären, dass Ihr Bildschirm anzeigt, dass die elektronische Wahlurne leer ist. Sagen Sie niemals, dass sie tatsächlich leer ist.“
Andrew Appel kommt zu dem Schluss, dass „die französische Bevölkerung und die assesseurs, die sie vertreten, keinesfalls sicher sein können, dass die Wahl fehlerfrei und fälschungsfrei durchgeführt worden ist. Internetwahlen waren nicht in einer Weise durchführbar, die deren Rechtmäßigkeit gewährleistet hätte.“
Deckt die französische Datenschutzbehörde CNIL diese riskanten Experimente entgegen ihren eigenen Empfehlungen? Die CNIL veröffentlichte in 2003 eine Empfehlung – eine Liste von Auflagen, die von einem Internetwahlablauf gewährleistet werden muss.
Die CNIL untersucht ebenfalls die meisten Projekte sobald sie installiert werden. Ein Beamter des CNIL erklärte im April 2006: „In allen elektronischen Wahlvorgängen gibt es Dinge, die schief gehen. Es gibt verlorene Stimmen, Stimmen, die unmöglich entzifferbar sind, Stimmen, die überhaupt nicht funktionieren. Es muss gesagt werden, dass es in den letzten Jahren vorgekommen ist.“ Die Organisatoren der Wahlen – das Außenministerium und die Firmen – haben wiederholt betont, dass alles mit den Empfehlungen die CNIL übereinstimmt. Dennoch hatte die CNIL bereits den „lapidaren Charakter“ der zur Verfügung gestellten technischen Dokumente „herausgestrichen“, der es ihnen erlaubt, „nur teilweise zu schätzen, wann die [...] Anforderungen erfüllt wurden.“ Die CNIL hat außerdem das Fehlen eines Expertenberichts „bedauert“. Laut des Entwurfs zu der diese Wahl leitenden Verordnung sollte die CNIL diesen Expertenbericht, der vom Auenministerium in Auftrag gegeben wurde, zu einem späteren Zeitpunkt erhalten.. Diese Auflage verschwand aus der veröffentlichten Version der Verordnung. Wie üblich wurde der Expertenbericht nicht veröffentlicht.
Eine Woche vor der Wahl veröffentlichte die CNIL einen Überblick über Internetwahlen weltweit. Er erinnerte, dass die USA, Großbritannien und Spanien ihre Vorhaben fallen gelassen haben. Lediglich drei Länder haben maßgebliche Pläne in diese Richtung: Estland, die Schweiz und Südkorea. Während der Wahl verschwand jeder Hinweis auf diesen Überblick von der Webseite der CNIL.
Observations report - François Pellegrini (auf Französisch, 12.06.2006)
(Beitrag von Pierre Muller, Gründer von recul-democratique.org)
SWIFT hat kürzlich bestätigt, dass es ihnen gelungen ist, dem Programm des US Finanzministeriums zur Weiterleitung von Transaktionsdaten von SWIFT, einige Beschränkungen aufzuerlegen. Dennoch werden die Aktivitäten der Firma seit 2001 weiterhin von verschiedenen europäischen Körperschaften untersucht.
Das Programm des US Finanzministeriums war ohne Aufsichtsinstanz, unter Vorladung nach den Terrorangriffen vom 11. September 2001 in Betrieb, um die Finanzierung von Terrorismus ausfindig zu machen. Die US Regierung erhielt demnach Zugang zu Daten über finanzielle Transaktionen aus mehr als 200 Ländern, die in SWIFT Datenzentren auf der ganzen Welt gespeichert waren. Es wurden Bedenken laut in Bezug auf den Umfang und die Größe der weitergeleiteten Daten.
SWIFT hatte im August 2006 verlautbart, dass das US Finanzministerium zugestimmt hat, ausschließlich begrenzte Datensätze zu entnehmen, die auch nur auf bestimmte Transaktionen hin untersucht werden können, die Terrorverbindungen aufweisen. Die Nachforschungen werden sowohl von SWIFT als auch von einem externen Prüfer überwacht werden.
PI (Privacy International) finden das nicht ausreichend; sie starteten am 28. Juni 2006 eine internationale Kampagne gegen die Aktivitäten von SWIFT, und reichten gleichzeitig Beschwerde bei Datenschutz- und Geheimhaltungsbehörden in 33 Ländern ein. PI wollen einen Beweis, dass „das Finanzministerium nur Einsicht in jene Daten gehabt hat, von denen es wusste, dass sie Einzelheiten über terroristische Finanztransaktionen enthielten.“
Der SWIFT-Fall wird auch von verschiedenen Datenschutzbehörden diskutiert. Am 23. August trafen sich europäische Datenschutzbehörden im Rahmen der „Arbeitsgruppe Artikel 29 zum Datenschutz“, um den Fall von SWIFT zu besprechen – in der Hoffnung, den Fall in den Zuständigkeitsbereich des EU Datenschutzgesetzes lenken zu können. Da Sicherheitsangelegenheiten nicht in die Zuständigkeit der Rechtsprechung der EU Behörden fallen, können sie im Fall der SWIFT-Vorladungen für europäische Firmen nicht eingreifen, wenn ihr Vorsatz die nationale Sicherheit ist.
Da die meisten EU Mitgliedsstaaten die Implementierung der EU-Richtlinie zum Datenschutz ausgeweitet haben, um Sicherheitsangelegenheiten einzubeziehen, liegt die Befugnis über SWIFT in diesem Fall beim belgischen Recht. Dennoch würde die „Arbeitsgruppe Artikel 29 zum Datenschutz“ sich lieber nicht nur auf das belgische Recht verlassen müssen, da Mitgliedsstaaten selbstständig bilaterale Abkommen mit den US über uneingeschränkten Datenaustausch eingehen können, weil es kein entsprechendes EU Gesetz gibt.
Das Unabhängige Landeszentrum für Datenschutz des deutschen Bundeslandes Schleswig-Holstein (ULD) hat die Weitergabe sensibler Daten von SWIFT an die US Regierung bereits untersucht.
Die Analyse kommt zu dem Schluss, dass die Weitergabe von Aufzeichnungen innereuropäischer Transaktionen an die US Regierung zahlreiche Bestimmungen im deutschen und europäischen Datenschutzrecht verletzt und unverzüglich unterbunden werden muss.
SWIFT wird als Datenverarbeiter für deutsche Banken geführt; daher wird dem Ausschuss von Schleswig-Holstein die Zuständigkeit für den Fall zugesprochen. Betreffend der Transaktionen zwischen EU Banken und US Banken besagt die Analyse auch, dass es aufgrund der mangelnden Datenschutzsicherheitsvorkehrungen in den Vereinigten Staaten keinerlei rechtliche Grundlagen dafür gab.
Der Leiter des ULD Thilo Weichert sagte, sie erwarteten „von den Banken, in sehr naher Zukunft die rechtlichen und technischen Bedingungen für die Bearbeitung von Daten über Überweisungsaufträge in einer zulässigen Weise herzustellen.“ Er sagte weiters, dass angemessene Regelungen zum Datenschutz notwendig seien, sowie eindeutige Abläufe beim Einsatz von Weisungsbefugnis und technischen Sicherheitsvorkehrungen.
ULD gewährt den betroffenen Banken eine Frist bis Ende September, um Bericht über die eingeführten Maßnahmen zu erstatten.
US authorities had free rein over world's bank data (22.08.06)
EU may be powerless to stop US snooping (25.08.06)
German Lander Commissioner legal analysis condemns SWIFT transfers to U.S. (25.08.06)
Die Meinung des ULD zum SWIFT Fall (23.08.2006)
Privacy watchdogs: US authorities' access to SWIFT data must be stopped (26.08.06)
Update and Q&A to SWIFT's 23 June 2006 statement on compliance
EDRI-gram: Terrorist Finance Tracking Program raises privacy questions (5.07.2006)
Das deutsche Anonymisierungsprogramm An.On, entwickelt von der Universität Dresden und die Unabhängige Landeszentrum für Datenschutz von Schleswig Holstein (ULD), ermöglicht es seinen Benutzern über ein Java-webproxy anonym zu surfen. Das Programm wurde durch den Justizminister des deutschen Bundeslandes Schleswig-Holstein, Uwe Döring, schwerst kritisiert, obwohl An.On finanziell immer noch durch das deutsche Bundesministerium für Volkswirtschaft und Technologie unterstützt wird.
Infolge der Betrachtung, dass der Kampf gegen Terrorismus ein weitaus wichtigeres Ziel geworden ist als die Achtung der Privatsphäre und dem Recht auf Anonymität im Internet, meinte Hr. Döring: „Die Ausgabe des Geldes der Steuerzahler für ein Projekt, dass es Terroristen und Kriminellen aller Art ermöglicht Verbrechen zu begehen ohne erwischt zu werden, darf nicht unterstützt werden. In diesen Tagen des Kampfes gegen den Terrorismus ist es unerlässlich, dass Behörden schnellen Zugriff auf Informationen haben. Solche Programme wurden mehr oder weniger entworfen, um die Bestrebungen der Behörden nach schnellem Handeln zu vereiteln.“ Dann forderte er, dass dem Programm Beschränkungen gesetzt werden und dass das Programm im Internet nicht kostenlos zugänglich sein sollte.
Nach dem Rechtverfahren 2003 gegen An.On, als ein deutsches Amtsgericht die Legalität eines solchen Services bestätigte, stellt diese neue Aussage einen erneuten Versuch der Gesetzesvollzugsbehörden zu Stoppung dieses Projektes dar, obwohl es durch eine selbstständige Staatsbehörde unterstützt wird.
Das ULD reagierte umgehend, wies die Behauptungen Herrn Dörings von der Hand und erklärte, dass „das Projekt in enger Zusammenarbeit mit den Strafverfolgungsbehörden in den deutschen Bundesländer und der Bundesregierung durchgeführt wird. Wenn es begründeten Verdacht eines Verbrechens gab, und die deutsche Strafprozessordnung eine solche Vorgangsweise im fraglichen Fall vorsah, war es durchaus möglich, die IP-Adressen der Computer zu registrieren.“
Der Internetinhalt war auch das Hauptziel einer anderen Initiative der deutschen Beamten. Der Bundesminister für Inneres und die deutsche Polizeigewerkschaft verkündeten kürzlich ihre Absicht, den Internetinhalt genauer zu überwachen, um terroristische Aktivitäten und illegale Propaganda im Netz zu ermitteln. Sie waren der Ansicht, dass sie mehr Experten „mit entsprechenden Sprachkenntnissen“ brauchen, um dieses Ziel zu erreichen, und um „die Überwachung des Internet zu intensivieren“, spezifizierten jedoch nicht die Art der erwogenen Internetüberwachung.
ULD: "Hände weg von AN.ON" (22.08.2006)
Minister of Justice criticizes anonymization service (23.08.2006)
Federal minister and GdP call for more stringent monitoring of Web content (24.08.2006)
OSS Watch erstellte im Laufe Februar und März 2006 ein Gutachten über britische Institutionen des Hochschulwesens und der Erwachsenenbildung, um sich ein Bild von der momentanen Stellung von Open Source Software (OSS) bei der Zielgruppe zu machen. Das Gutachten wurde mit dem vorhergehenden ähnlichen Report von 2003 verglichen, und zukünftige Arbeitsbereiche für OSS Watch-Tätigkeiten wurden festgelegt.
Der Vergleich wurde von Dr. Ellen J. Helsper durchgeführt. Helsper, Tutorstipendiatin an der Londoner Schule für Wirtschaft und Politologie, prüfte auch die Gründe für die Nutzung von OSS und den Beitrag, den die Zielgruppe für die OSS-Gemeinschaft leistet.
Aufgrund der Antworten von 23 Institutionen zeigt die Studie einen positiven Trend in der Verwendung von OSS in beiden Institutionsarten.
Einige Entdeckungen des Gutachtens 2006 sind folgende:
- Obwohl nur 25% der Institutionen OSS in einer Institutionsrichtlinie erwähnen, verwenden 77% der Institutionen OSS wenn sie Software beziehen;
- 69% der Institutionen haben OS Software auf ihren Servern genutzt;
- 100% der Institutionen bieten Internet Explorer auf ihren Windows Arbeitsplatzrechnern an, dennoch bieten 68% zusätzlich Mozilla Firefox;
- 56% der Institutionen zur Erwachsenenbildung verwenden Moodle als eine virtuelle Lernumgebung;
- eine große Anzahl von CMS-Lösungen wird verwendet;
- die Kosten stellen nach wie vor den Hauptgrund dar, warum OSS gewählt wird.
Eines der wichtigsten Ergebnisse des Reports ist, dass OSS-Lösungen seit 2003 gestiegen sind und in Bildungseinrichtungen auch in Zukunft zweifellos verwendet werden.
Obwohl die wissenschaftlichen Dienste der Unterkammer des deutschen Parlaments Bedenken bezüglich der Durchsetzung der EU-Richtlinie für Data Retention geäußert haben, fährt das Justizministerium mit seiner Arbeit an einem Entwurfsgesetz in dieser Angelegenheit fort.
Zweifel der Wissenschaftler wurden bezüglich der Kompatibilität der EU-Richtlinie mit den grundlegenden Rechten zur Privatsphäre ausgedrückt, die durch die EU und besonders in Beziehung zur deutschen Verfassung anerkannt werden, die den Bürgern das Recht auf Privatsphäre garantiert.
Die Wahl des Verfahrens – die Data Retention-Richtlinie wurde anfänglich als ein Rahmenbeschluss eingereicht, aber gestrichen, da sie nicht einstimmig gewählt wurde – wurde in Frage gestellt, da solch ein Verfahren für gewöhnlich mit dem Ziel gewählt wird gesetzliche und administrative Vorschriften zu vereinheitlichen, um den Betrieb eines einzelnen Marktes zu entspannen.
Die Zweifel der Wissenschaftler bezogen sich auch auf die Implementierung der Richtlinie in die deutsche Gesetzgebung in „einer konstitutionellen Weise“, hauptsächlich in Verbindung mit der 6-monatigen Frist der Data Retention, die von der Europäischen Kommission als die Mindestfrist festgelegt wurde, um im Kampf gegen den Terrorismus zu helfen. Eines der Gründe für Bedenken war, dass die EU-Richtlinie den Mitgliedsstaaten die Freiheit gibt, große Mengen an Daten über lange Zeitperioden zu sammeln, auch wenn es sich um kleinere Verbrechen handelt.
Dennoch bestätigte das Bundesjustizministerium, dass der Gesetzesentwurf sowohl die Forderungen der EU als auch der deutschen Gesetzgebung erfüllen könnte, ohne der deutschen Bundesverfassung zu widersprechen. Klaus-Uwe Benneter, ein Mitglied des Bundestages erklärte, das Gesetz könne derart formuliert werden, dass es den Bestimmungen der deutschen Verfassung entspricht, und erinnerte daran, dass es an jedem Mitgliedsstaat läge, eine Balance zwischen „Datenschutz und dem Schutz gegen Terrorismus“ herzustellen.
New doubts about the legality of telecommunications data retention(17.08.06)
Federal Ministry of Justice to stick with its plans for telecommunications data retention (24.08.06)
EDRI-gram: German Parliament rejects motion against data retention (21.06.06)
EDRI-gram: Data Retention faces growing opposition in Germany (24.05.06)
In einer öffentlichen Vorführung bei der Black Hat Sicherheitskonferenz, die am 3. August 2006 in Las Vegas stattfand, zeigte Lukas Grunwald, technischer Vorstand des deutschen Sicherheitsberatungsunternehmen DN-Systems Enterprise Internet Solutions, wie man einen elektronischen Pass klonen kann. Die Herstellungsindustrie der Pässe hat die Behauptungen abgestritten.
Der deutsche Referent demonstrierte, dass die Daten auf dem Chip im e-Pass leicht kopiert werden können. Er hat bewiesen, dass die Daten auf einen leeren Chip übertragen und anschließend in ein leeres Dokument eingefügt werden können, das für das elektronische Lesegerät wie der Originalpass aussieht.
Demnach könnte ein Terrorist einen Pass mit seinem/ihrem wirklichen Namen und Foto verwenden, der einen gefälschten Chip mit abweichender Information, die von einem fremden Pass kopiert worden ist, enthält, und der ein elektronisches Screeningsystem passieren kann. Grunwald verwendete bei seiner Demonstration einen neuen deutschen EU-Pass, die Methode kann jedoch bei jedem neuen elektronischen Pass angewendet werden. Er gab zu bedenken: „Aus meiner Sicht sind alle diese (biometrischen) Pässe eine riesige Geldverschwendung – sie verbessern die Sicherheit in keiner Weise.“
Dennoch gibt die Smart Card Alliance an, e-Pässe wären sicher und beinahe unmöglich zu fälschen, weil sie auf mehreren Sicherheitsschichten basieren. Obwohl die Daten auf dem Chip zurzeit nicht verschlüsselt sind, werden sie von den Behörden, die den Pass genehmigen, digital gekennzeichnet, was jede Änderung bei der Passkontrolle „sichtbar“ macht.
Grunwalds Fälschungstechnik setzt den Besitz des Originalpasses voraus, welcher nicht aus jemandes Tasche oder Koffer heraus geklont werden kann. Der e-Pass besitzt ein Merkmal namens Basic Access Control, der die Entriegelung des RFID Chips durch Beamte mit einem einzigartigen Schlüssel, der in die Seiten des Passes gedruckt ist, erfordert.
Frank Moss, stellvertretender Ministerialdirektor für Passangelegenheiten im Außenministerium sagte, das digitale Foto des Passinhabers und die personelle Passkontrolle würde den Gebrauch gefälschter Pässe unterbinden.
Bezugnehmend auf Lukas Grunewald sagte Moss: „Was dieser Mann getan hat kommt weder unerwartet noch war es besonders bemerkenswert. Der Chip ist an und für sich keine Wunderwaffe .... Er ist eine zusätzliche Maßnahme um zu überprüfen, ob die Person, die den Pass mit sich führt auch die Person ist, für den der Pass von der jeweilig zuständigen Regierung ausgestellt worden ist.“ Andererseits sagte er auch, dass es dennoch Länder gäbe, die in Erwägung zögen, die personelle Prüfung [der Pässe] zu vernachlässigen und nur mehr die elektronische automatisierte Kontrolle zu verwenden.
Eine weitere Sorge, der auf der Black Hat Konferenz Ausdruck verliehen wurde, steht in Verbindung mit der Tatsache dass ein e-Pass, obwohl durch einen Metallfaden geschützt, der im Schutzumschlag eingebettet ist, wenn er auch nur ein klein wenig geöffnet ist, von jedem Leser leicht eingesehen werden kann.
Industry group defends e-passports (11.08.06)
Hackers crack new biometric passports (07.08.06)
Am 3. August 2006 wurde die Veranstaltung „Datenschutz von Reisenden und die EU“ von der in Prag ansässigen NGO Iuridicum Remedium organisiert; sie brachte tschechische und europäische Interessensvertreter aller Fraktionen zusammen, um an technologischen Entwicklungen zu arbeiten, die die grenzüberschreitenden Bewegungen von Reisenden betreffen.
Referenten kamen von Datenschutzbehörden aus ganz Europa (Italien, Tschechien, Spanien), von tschechische Strafverfolgungsbehörden inklusive dem Innenministerium, tschechischen Fluglinien sowie der Firma (Logica CMG), die tschechischen Pässe mit RFID-Chips produziert welche am 1. September 2006 in Kraft treten.
Der Tag war in drei Einheiten eingeteilt: die erste zum Hintergrund von Reisedokumenten und Biometrie, das Schengen-Informationssystem, und die Entwicklung von Schengen I und Schengen II Systemen.
Der zweite Teil konzentrierte sich eingehender mit den Mechanismen von Biometrie und wie dies in die tschechischen Pässe integriert wird. Auch für die leidenschaftlichsten Befürworter war es das erste Mal, dass wir tatsächlich einen [der Pässe] zu Gesicht bekamen und von der Firma hörten, die die Ausschreibung für die Produktion gewonnen hatte. Darauf folgte eine sehr interessante Sitzung zu RFID, die sich auf die zugrundeliegende Technologie und deren Anwendung besonders in Supermärkten konzentrierte. Eine Fallstudie zur Verwendung von RFID durch Metro wurde präsentiert, der größten deutschen Supermarktkette, die letztes Jahr den Big Brother Award gewonnen hatte.
Die Schlusssitzung war dem Thema des Austauschs von Passagierdaten zwischen europäischen und US-amerikanischen Behörden gewidmet.
Alle Präsentationen waren interessant und in den Diskussionen zwischen verschiedenen Personen herrschte ein großes Maß an Offenheit. Einer der interessantesten Punkte wurde von Gus Hosein angesprochen: der beunruhigende Trend, der in der EU beobachtet werden kann, „schlechte Ideen“ (wie die Vorratsdatenspeicherung, biometrische Pässe, Austausch von Passagierdaten), die oft von den USA begonnen werden (möglicherweise nach einiger vorhergehender Opposition und Debatte) zu übernehmen und sie noch schlechter zu machen.
Die Veranstaltung, die in einem informellen und freundlichen Rahmen organisiert wurde und viele Interessierte zusammenführte, wurde von allen gewürdigt und als ein Erfolg angesehen.
Wer sich für Kopien der Präsentationen im Seminar interessiert, kann sich mit den Organisatoren bei iure unter iure.org in Verbindung setzen.
Agenda " Travellers privacy and EU" (3.08.2006)
What is Wrong With Europe? PI Report Criticises EU anti-terror policies (14.12.2005)
(Beitrag von Karen Banks - APC und Filip Pospisil - EDRi-Mitglieder Iuridicum Remedium – Tschechische Republik )
„Scrambling for Safety 8“ konzentrierte sich auf Beratungen des britischen Innenministeriums bezüglich der Pläne, der Polizei dahingehende Gewalten einzuräumen, die Herausgabe von Entschlüsselungen und Plaintext einfordern zu können. Das Innenministerium legte einen Entwurf für Verfahrensregeln vor für den Zugriff der Regierung auf „Kommunikationsdaten“ – Telefonnummern und kontaktierte E-mail Adressen, besuchte Webseiten, Ortsbestimmung des Mobiltelefons etc.
Rund 100 Vertreter aus Regierung, Industrie, Hochschule und Zivilgesellschaft diskutierten Datenschutz- und Sicherheitsangelegenheiten, die mit diesen Beratungen in Verbindung stehen.
Die Vertreter der Polizei nutzen die Veranstaltung, um ihren Entwurf zu verteidigen. Sie gaben zu bedenken, dass Verschlüsselungen mehr und mehr dazu verwendet würden, um Beweismaterial zu verheimlichen und argumentierten, dass diese neuen Auflagen ausschließlich in Verbindung mit anderen Beweisstücken gegen Verdächtige verwendet werden würden. Kriminalhauptkommissar Matt Sarti sagte, es gäbe in den kriminaltechnischen Zentren der Polizei 200 Computer mit verschlüsselten Daten, die Beweise für Verbrechen enthalten könnten. Er behauptete außerdem, dass es Fälle gäbe, in denen mutmaßliche Pädophile nicht angeklagt werden können, weil die verschlüsselten Daten auf ihren Computer nicht gelesen werden können. Er sagte: „Wir müssen das Recht auf Privatleben mit dem Recht der Opfer auf Privatleben und dem Recht der Opfer auf Leben abwägen.“
Andererseits machten andere Referenten wie Caspar Bowden geltend, dass der Entwurf für Verfahrensregeln keinerlei Anleitungen zu einer Abstimmung zwischen dem Recht auf Datenschutz oder den Rechten der Opfer und den Interessen der Strafverfolgungsbehörden liefert. Er wies darauf hin, dass neue Malware hergestellt werden könne, um das Passwort oder Verschlüsselungen auf verschiedenen Geräten zu ändern und folglich unschuldige Nutzer strafbar [m.Ü.] gemacht werden. Bowden stellte außerdem die Möglichkeit infrage, den tatsächlichen Verlust eines Passworts zu ermitteln und erinnerte, dass die Androhung einer Haftstrafe in diesen Fällen unbegründet wäre. Er erklärte auch den möglichen Gebrauch von Viren (VAMP – Virus Ate My Password) durch Kriminelle gegen sich selbst, um die Entschlüsselung nicht herauszugeben.
Andere Teilnehmer brachten auch Fragen zu den derzeitigen Verhaltensregeln und deren angemessenen Standards zum Schutz von Grundrechten oder der Effizienz der Entschlüsselungsprogramme auf.
Lord Phillips of Sudbury aus dem Oberhaus schloss: „Sie sichern nicht die Freiheit unseres Landes und die Werte unserer Demokratie indem Sie diese untergraben. Das ist der Weg in die Hölle.“
Scrambling for Safety 8 - Agenda and presentations (14.08.2006)
2-4 September 2006, Jerusalem, Israel: Erweiterter NATO Workshop für Identität, Sicherheit und Demokratie; soziale, ethische und grundsätzliche Folgen von Automatisierten Systemen zur Identifikation von Personen, organisiert vom Zentrum für Wissenschaft, Gesellschaft und Bürgerrecht und dem Israelischen Zentrum für Bioterrorismus.
5. September 2006, Köln, Deutschland
Viertes deutsches Anti-Spam-Gipfeltreffen. Mit Schwerpunkt auf internationale Anti-Phishing-Projekte.
7. – 8. September 2006, München, Deutschland
Erste Konferenz über Politik, Gesetzgebung und Wirtschaftlichkeit von geistigem Eigentum – Europas Richtlinien für geistiges Eigentum.
14-16. September 2006, Berlin, Deutschland
Wizards of OS 4 Information Freedom Rules
14-15. September 2006, Barcelona, Spanien
Ein neues öffentliches Europa: Öffentlicher Zugriff zu Dokumenten und Datenschutz
21-22. September 2006. Helsinki, Finnland
Workshop: IPR Protection of Software: Urheberrecht, Patent, und/oder Open Source? Das Ziel des Workshops ist es die Gemeinschaften von Software-Ekonomisten, Anwälten und Entscheidungstreffern zusammen zu bringen, um den Stand der Forschung und der Praxis bezüglich des Umgangs mit den Rechten des geistigem Eigentums und dem Wettbewerbsrecht auf Software zu besprechen.
5-6. Oktober 2006, Erevan, Armenien
Pan-Europäisches Forum zu "Menschenrechte in der Informationsgesellschaft: Bevollmächtigung von Kindern und Jugendlichen" organisiert vom Europat in Kooperation mit dem armenischen Außenminister und der Information Technologies Foundation of Armenia.
16. Oktober 2006, Brüssel, Belgien
Die EU-Kommission möchte am 16. Oktober in Brüssel eine letzte Konferenz bezüglich der Radio Frequency Identification (RFID) organisieren, um eine Reihe an Beratungsinitiativen abzuschließen.
19-20. Oktober 2006 Kirchberg, Luxemburg
Hack.lu 2006 Hack.lu ist eine öffentliche Konferenz, bei der Computersicherheit, Datenschutz, Informationstechnologie und die kulturellen/technischen Auswirkungen auf die Gesellschaft diskutiert werden können. Das Ziel der Konvention ist es, eine Brücke zwischen den verschiedenen Akteuren der Welt der Computersicherheit zu schlagen.
23-24. Oktober 2006, Brüssel, Belgien
Konferenz zum internationalen Transport persönlicher Daten, organisiert durch die EU-Kommission in Zusammenarbeit mit der Artikel 29 Data Protection Working Party und dem US-amerikanischen Amt für die Administration des internationalen Handels im Gewerbe. Anmeldeschluss: 29. September 2006.
31. Oktober 2006 – Frist für der Nominierungen: “Stupid Security Awards - Privacy International”
Die Auszeichnung bezweckt die Absurditäten in der Sicherheitsindustrie aufzudecken. Der Bewerb ist für jeden und aus jedem Land zugänglich.
30. November – 1. Dezember 2006, Berlin, Deutschland
The New Surveillance - Eine kritische Analyse von Forschung und Methoden in Überwachungsstudien. Eine zweitägige internationale Konferenz veranstaltet am Zentrum für Technologie und Gesellschaft der Technischen Universität Berlin.