CCC-Lobbyarbeit: Stellungnahme Signaturgesetz

[andy@ccc.de (Andy Mueller-Maguhn)]

## Nachricht vom 15.05.97 weitergeleitet
## Ursprung : WAU@OLN-273.OLN.comlink.apc.org
## Ersteller: andy@ccc.de

Stellungnahme des Chaos Computer Club e.V.

zum Entwurf eines Gesetzes zur Regelung der Rahmenbedingungen für
Informations- und Kommunikationsdienste (IUKDG)

- Teil 2: Artikel III (Signaturgesetz) -

zur öffentlichen Anhörung am 14. Mai 1997 in Bonn beim

Ausschuss für Bildung, Wissenschaft, Forschung und Technologie und
Technologiefolgenabschätzung

Fragenkatalog von SPD / Bündniss 90 / Grüne

1. Mit dem Signaturgesetz sollen Strukturen für rechtsverbindliche digitale
Signaturen geschaffen werden. Wie beurteilen Sie die Notwendigkeit eines
solchen Gesetzes?

Die angestrebte Anerkennung digital signierter Dokumente ist auch jetzt
schon möglich (auf freiwilliger Basis). Insofern ist das Gesetz nicht
notwendig. Die angestrebte einheitliche Struktur macht im nationalen
Alleingang bei zunehmender internationaler Vernetzung nicht wirklich Sinn.
Die vom Signaturgesetz beschriebene Struktur ist offenbar als
"Vorbildstruktur" gemeint, als solche aber aufgrund ihrer gravierenden
Mängel nicht tauglich.

2. Wie beurteilen Sie die vorgesehene Infrastruktur für die digitale
Signatur?

Die Zusammenführung der vier Funktionen Schlüsselgenerierung, Personen-
identifizierung, Zertifizierung und Schlüssellagerung in einer Struktur
bergen hohe Mißbrauchspotentiale aus sicherheitstechnischer Sicht und sind
daher personell wie funktionell zu trennen.

Zusätzlich liegt bei der vorhergesehenen Struktur die Gefahr der Monopol- /
Kartellbildung aufgrund der Anforderungen (Kosten) an eine solche
integrierte Gesamtstruktur.

3. Wie beurteilen Sie die vom IuKDG ungeregelte Frage, welche Rechtsfolgen
sich aus der Verwendung einer solchen Signatur zukünftig ergeben sollen?

Elektronische Dokumente bleiben auch mit digitaler Signatur und
entsprechender Struktur "Dokumente des Augenscheins" mit freier
Beweiswürdigung durch den Richter.

4. Welche Konsequenzen werden sich aus der Einführung einer digitalen
Signatur ergeben? Ist beispielsweise mit dem Entstehen einer digitalen
Währung zu rechnen? Welche Möglichkeiten bestehen nach der Einführung des
Signatur-Gesetzes, solchen Entwicklungen zu begegnen?

Mit dem Entstehen digitaler Währungen ist - schon wegen dem Bedarf an
Anonymität bei Zahlungsmitteln - auch ohne digitale Signatur zu rechnen.

5. Welche Möglichkeiten sehen Sie für den Fall, daß sich die geplante
Signatur-Infrastruktur in einigen Jahren als nicht ausreichend erweisen
sollte? Welche Mechanismen sollten für einen solchen Fall entwickelt
werden?

Bei Trennung der genannten Funktionen sind derartige Problem nicht zu
erwarten, da auch bei Überlastung/Störanfälligkeit einzelnder Strukturen
diese dann problemlos ausgetauscht werden können. Die jetzt vorgesehene
Struktur könnte im Problemfall Nachprüfungen der Signaturen - mit
entsprechendem Aufwand - erforderlich machen.

6. Wie beurteilen Sie den vorgesehenen privatwirtschaftlichen Aufbau und
Betrieb der Infrastruktur von Zertifizierungsstellen? Sollen die zu
schaffenden Zertifizierungsstellen auch Rechtsverhältnisse beurkunden
dürfen?

Zertifizierungsstellen für digitale Zertifikate im Sinne von
Identitätsbestätigungs- stellen sollten aufgrund der hohen Mißbrauchsgefahr
nur staatliche Stellen bzw. Notare sein. Für die Beurkundung von
Rechtsverhältnissen gilt dasselbe.

7. Wie beurteilen Sie die Regelungen zum Datenschutz in Aritkel 3 | 12? Wie
beurteilen Sie die Regelung im Signaturgesetz | 12 Abs. 2? Welchen
Stellenwert hat dann die Option eines Pseudonyms?

Der immerhin vorgeschriebenen zweckgebundenen Erhebung von Daten sollte
auch eine ebenso ausschließliche zweckgebundene Nutzung folgen. Um die
Option eines Pseudonyms konsequent zu ermöglichen, sollte ein richterlicher
Beschluß in | 12 (2) als Bedingung angeführt werden. Die in der jetzigen
Form angebotene Nutzung unter Pseudonym ist in keinerlei Hinsicht anonym,
was aber zumindest optional möglich sein sollte. Der Besuch von
elektronischen Beratungsstellen etc. sollte mit Anonymitätsgarantie
möglich sein.

8. Welche Instrumentarien wären notwendig, um möglichst rasch angesichts
des Experimentiercharakters des Gesetzes auf sich verändernde Bedingungen
adäquat reagieren zu können (z.B. Bund Länder/Experten-Kommission zum
Problemkreis digitale Signatur)?

Zu Begrüssen wäre die Bildung einer Bund und Länder umfassenden Experten-
kommission vor allem vor Schaffung der jetzigen Entwürfe gewesen. Bei
Trennung der genannten Bereiche kann sich die Arbeit einer solchen
Kommission auf die kritischen Bereiche konzentrieren.

9. Der Bundesrat plädiert für die Ablehnung des Signaturgesetzes. Wie
beurteilen Sie dessen Einwände und Begründungen?

Die Einwände und Begründungen sind berechtigt und die Ablehnung
verständlich. Allerdings fehlt der Hinweis auf die Alternative, auch ohne
Signaturgesetz rechtsverbindliche digitale Signaturen möglich zu machen.

10. Wie beurteilen Sie die Einführung der digitalen Signatur im Hinblick
auf Pläne, teilnehmerautonome Verschlüsselung einzuschränken oder gar zu
verbieten?

Regulierung von Verschlüsselungsverfahren wäre in diesem Zusammenhang
Unsinn und würde die Sicherheit der Signaturverfahren erheblich
einschränken.

11. Wie sinnvoll ist Ihrer Ansicht nach eine Trennung von Signaturgesetz
und einer Regelung kryptographischer Verfahren?

Eine Regulierung kryptographischer Verfahren würde weitreichende Änderungen
der Verfassung und des Signaturgesetzes erfordern und ist nicht sinnvoll.

Fragenkatalog von CDU / CSU / FDP:

1. Mit dem Signaturgesetz sollen Strukturen für sichere digitale Signaturen
 geschaffen werden. Wie beurteilen Sie die Notwendigkeit eines derartiges
Gesetzes? Wie werden sich im Hinblick auf die verschiede nen
Nutzungsmöglichkeiten der digitalen Signaturen diese Angebote nach Ihrer
Einschätzung entwickeln und in welchen Anwendungsfeldern sehen Sie die
Schwerpunkte?

Zur Notwendigkeit Siehe Frage 1 des Fragenkatalogs von SPD/Bündnis90/Grüne.
Im Hinblick auf die Entwicklung von Nutzungsmöglichkeiten bleibt
festzustellen dass der Bedarf eher in Richtung "Vertrauensverhältniss" im
Sinne einer Authorisierung (bzw. Abbild von Vertrauensverhältnissen, z.B.
zwischen Dienstleister / Kunde) geht als um Authentifizierung. Diese bringt
die (technische) Problematik hierarchischer Baumstrukturen mit sich, an
deren Spitze nur die  Identitätsbestätigunsinstitution" Staat stehen kann.

2. Kann nach Ihrer Einschätzung davon ausgegangen werden, daß mit
zunehmender Verbreitung digitaler Signaturen im töglichen Geschäfts- und
Rechtsverkehr die im Gesetz vorgesehene Sicherungsinfrastruktur allgemeine
Verwendung finden wird? Wird es weitere Verwendungen geben?

Bei der im jetzigen Gesetzesentwurf der Signaturverordnung vorgesehenen
Sicherungsinfrastruktur gehen wir aufgrund der Nichttrennung der
Funktionalitäten von erheblichen Kosten für Aufbau und Betrieb aus, den
sich nur wenige Unternehmen leisten können. Die Abwälzung der Kosten auf
den Teilnehmer bzw. kooperierende Vertragspartner wird letztlich einen
erheblichen Markt für Authorisierungsstrukturen (siehe 1. Frage)
hinterlassen und die geschaffenen digitalen Signaturen nur einer partiellen
Nutzung zulassen. Zudem stellt sich die Frage nach der allgemeinen
Akzeptanz dieser Technologie bei fehlender Möglichkeit der anonymen
Abwicklung von Rechtsgeschäften.

3. Wie wird sich nach Ihrer Ansicht die Verbreitung digitaler Signaturen
auf das materielle Recht auswirken? Wie könnte die besondere Sicherheit
digital signierter Dokumente materiellrechtlich und prozessual
berücksichtigt werden? Sind bereits jetzt entsprechende gesetzliche
Maßnahmen - parallel zum Signaturgesetz - erforderlich?

Das materielle Recht wird in vielen Bereichen sinnvoller zur Abwicklung von
Rechtsgeschäften bleiben. Die Nichtberücksichtigung des Wunsches nach
Anonymität im täglichen Rechtsgeschehen etwa spricht dafür.

Parallele gesetzliche Maßnahmen sind nicht notwendig; siehe Frage 3 des
Fragenkatalogs von SPD/Bündnis90/Grüne oder auch "Urkundenbeweisrecht und
Elektroniktechnologie" von Dr. Jörg W. Britz, Saarbrücken Dezember 1995
Verlag C.H. Beck ISBN 3-406-41220-3

4. Das Signaturgesetz hat sich für eine Wahrnehmung der Aufgaben der
Zertifizierungsstellen durch private Unternehmen entscheiden. Sprechen nach
Ihrer Auffassung sachliche Gründe gegen eine Wahrnehmung durch private
Unternehmen?

Vor allem die Funktion der Identitätsbestätigung kann nicht von einer
privaten, sondern nur von einer staatlichen Stelle bzw. notariell erfolgen.
Private Stellen erscheinen aufgrund der Mißbrauchsgefahr hierzu nicht
geeignet.

5. Zertifizierungsstellen stehen in Rechtsbeziehungen zu den unmittelbar
Beteiligten, aber auch zu Dritten, die auf die von ihnen zertifizierten
Signaturen vertrauen. Ist für diese Fälle ein gesetzlicher
Haftungstatbestand vorzusehen und wie könnte dieser gegebenenfalls
ausgestaltet sein?

Ein Haftungstatbestand ist nach Signaturüberprüfung der ausgebenden Stelle
denkbar, stellt aber besondere Anforderungen an die Zuverlässigkeit und
wird daher in der Praxis vermutlich eine Einzelfall-Option bleiben.

6. Ist eine ausreichende Kontrolle der Tätigkeit der Zertifizierungsstellen
durch zuständige Behörde (Regulierungsbehörde nach TKG) gewährleistet?

Nicht beim jetzt beschriebenen Funktionsumfang. Wenn Schlüsselerzeugung und
Authentifizierung abgetrennt werden ist die Kompetenz der Regulierungs-
behörde überhaupt erst angemeßen.

7. Das Signaturgesetz sieht in | 2 Abs. 2 die Ausstellung einer Zertifikats
nur für natürliche Personen vor. Ist damit den Bedürfnissen von Unternehmen
zur Verwendung digitaler Signaturen durch ihre Mitarbeiter ausreichend
Rechnung getragen? Sollte eine digitale Signatur für juristische Personen
vorgesehenen werden?

Zum jetzigen Zeitpunkt scheint eine Ausweitung auf juristische Personen
nicht sinnvoll, da die sichere Aufbewahrung eines geheimen Schlüssels, z.B.
mittels biometrischer Verfahren, bei juristischen Personen problematisch
wäre.

8. Sind die in | 14 Signaturgesetz genannten Erfordernisse für die
technischen Komponenten hinreichend konkret? Stellen sie für Unternehmen
eine unüberwindbare technische Hürde auf?

Die in | 14 genannten Erfordernisse sind hinreichend konkret, der
Schlüssel- erzeugungsprozess ist so allerdings konkret abzulehnen. Die in
(1) beschriebene Schlüsselerzeugung darf nur beim Teilnehmer
selbst erfordern. Die übrigen Regelungen unter | 14 entsprechen den
Anforderungen.

9. Der Bundesrat plädiert für die Ablehnung des Signaturgesetzes. Wie
beurteilen Sie dessen Einwände und Begründungen?

Im groben und ganzen als berechtigt.

Art. 2: Teledienstedatenschutzgesetz

1. Rechtfertigen die Risiken der Datenverarbeitung im Netz einen neuen
Ansatz im Datenschutzrecht?

Die Risiken der Datenverarbeitung im Netz, insbesondere der Transport in
Länder in denen Datenschutz nicht existiert, sowie die vollautomatische
Erstellung von Personenprofilen zwecks zielgerichteter Manipulation von
Kaufentscheidungen ("Micro-Marketing") rechtfertigen auf jeden Fall neue
Ansätze im Datenschutzrecht.

Dabei scheint vor allem unter dem Gesichtspunkt der Technologie-Akzeptanz
eine offensive Herangehensweise sinnvoll, wie etwa mit dem ursprünglich
vorgesehenen Datenschutz-Audit.

2. Sind die im Entwurf des TDDSG vorgeschlagenen Grundsätze der
Datenvermeidung, der anonymen und pseudonymen Nutzung von Telediensten, der
technischen und organisatorischen Trennung von verschiedenen Datenarten
(Bestandsdaten, Nutzungsdaten und Abrechnungsdaten) sowie der nur
eingeschränkt zulässigen Übermittlung bestimmter personenbezogener Daten
geeignet, um den Besonderheiten der Datenverarbeitung im Netz Rechnung zu
tragen?

Der im Entwurf des TDDSG Grundsatz der Datenvermeidung geht zwar in die
richtige Richtung, greift aber ohne entsprechende Vorschriften ins Leere
und kann von entsprechenden Diensteanbietern ignoriert werden. Ebenso ist
den Netzspezifischen Besonderheiten (Übermittlung / Processing im Ausland,
in dem es keine Datenschutzvorschriften gibt) nicht ausreichend Rechnung
getragen.

3. Das TDDSG unterscheidet nicht zwischen dem privaten und dem öffentlichen
Teledienst. Ist eine solche Differenzierung (entsprechend der im
Bundesdatenschutzgesetz vorgesehenen Differenzierung) erforderlich?

Im Bereich der Teledienste scheinen einheitliche Regelungen sinnvoller
solange die Regelungen des Bundesdatenschutzgesetzes über bestimmte Dienste
nicht berührt werden.

Insbesonders im Bereich des Datenschutz sollten öffentliche Dienste eine
Vorbildfunktion wahrnehmen (z.B. Datenschutz-Audit / Transparenz).

4. Teilen Sie die Auffasung einzelner Diensteanbieter, daß Vorschriften des
TDDSG - z.B. über die Zulässigkeit der Übermittlung von personenbezogenen
Daten an Dritte - die freie Entwicklung der Teledienste behindern?

Nein - Dienste die zu Lasten der informationellen Selbstbestimmung agieren
möchten sind mit der Verfassung nicht vereinbar und abzulehnen.

5. In | 3 Abs. 7 TDDSG ist erstmalig die Möglichkeit vorgesehen, die im
Datenschutzrecht anerkannte Einwilligung in die Verarbeitung
personenbezogener Daten elektronisch zu erklären. Tragen die
Voraussetzungen der Bedeutung der Einwilligung für den Nutzer ausreichend
Rechnung? Sind die in dieser Vorschrift genannten Voraussetzungen praktisch
umsetzbar?

Eine elektronische Einwilligung ist wegen der möglichen weitreichenden
Folgen bei gleichzeitig niedrigerer Hemmschwelle nicht sinnvoll und daher
zu streichen. Auch der schriftliche Einwilligungserklärung sollte
entsprechende Information über die Konsequenzen und ein Warnhinweis des
zuständigen Datenschutzbeauftragten vorausgehen (ähnlich "Rauchen gefährdet
ihre Gesundheit.").

6. In | 4 Abs. 1 TDDSG ist vorgesehen, daß der Diensteanbieter dem Nutzer
die Inanspruchnahme von Telediensten und ihre Bezahlung anonym oder
pseudonym zu ermöglichen hat, soweit dies technisch möglich und zumutbar
ist. Wie kann diese Verpflichtung praktisch umgesetzt werden und in welchen
Geschäftsbeziehungen entfaltet der Grundsatz seine Bedeutung?

Die technische Umsetzung stellt mit den vorhanden (kryptographischen)
Mitteln (Anonymisierungsserver etc.) kein Problem dar. Sinnvoll kann dies
z.B. für die Inanspruchnahme von Rechercheleistungen von
Wirtschaftsunternehmen sein, die die Gefahr der Wirtschaftsspionage durch
Anonymisierung ihrer Abfragen bannen möchten. Gleiches gilt für
die Inanspruchnahme von sensiblen Beratungsleistungen durch Privatpersonen.

7. In | 5 Abs. 3 TDDSG ist die Zulässigkeit der Übermittlung von
Bestandsdaten an Strafverfolgungs- und Sicherheitsbehördern geregelt.
Werden damit die Strafverfolgungsinteressen bei strafbarem Handeln im Netz
ausreichend berücksichtigt? Ist die vorgeschlagene Übermittlung
personenbezogener Daten bereits durch das geltende Recht, z.B. der
Strafprozeßordnung, abgedeckt?

Die in | 5 Abs. 3 TDDSG genannte Regelung stellt einen weitreichenden
Eingriff in die elektronische Privatsphäre dar und sollte erst nach
richterlichem Beschluß erfolgen.

8. Können kryptographische Verfahren zur Gewährleistung des Datenschutzes
eingesetzt werden. Wie würde sich eine Regulierung solcher Verfahren auf
den Datenschutz auswirken?

Zur Gewährleistung von Datenschutz, Datensicherheit und Möglichkeiten zur
Gewährung informationeller Selbstbestimmung und einer Privatsphäre in
elektronischen Medien sind kryptographische Verfahren unerlässlich.

Eine Regulierung solcher Verfahren hatte weitreichende Einschnitte in allen
genannten Bereichen zur Folge und kann daher nur abgelehnt werden.

9. Ist angesichts der zahlreichen in Betracht kommenden
Kontrollinstitutionen (BfD, Landesdatenschutzbeauftragte,
Aufsichtsbehörden) eine effektive und einheitliche Kontrolle der
Vorschriften des TDDSG gewährleistet ist? Ist eine anlaßunabhängige
Kontrolle sachgerecht? Wie könnte sich die Aufnahme eines
"Datenschutz-Audit" auf die Tätigkeit der Kontrollinstanzen auswirken?

Eine effektive und einheitliche Kontrolle ist nicht gewährleistet; dies ist
allerdings unabhängig von den Vorschriften aus technischen Gründen auch nur
schwerlich möglich.

Die Einführung eines Datenschutz-Audits könnte sich hier entlastend auf die
Kontrollinstitutionen auswirken und Datenschutz als Wettbewerbsfaktor
integrieren. Dies ist sinnvoller als Absichtserklärungen zur
Datenvermeidung.

10. Wie beurteilen Sie das Fehlen von Bußgeldvorschriften im TDG/TDDG?

Im TDG unter dem Gesichtspunkt der Schadensprävention bis zur Klärung der
Abgrenzungsschwierigkeiten zum Mediendienstestaatsvertrag und TKG vorerst
sinnvoll.

Im TDDG dokumentieren Sie ein mangelndes Datenschutzbewußtsein und
Degradieren die Datenschutzklauseln zu Absichtserklärungen, die ignoriert
werden können.

11. Sehen Sie weitere Probleme durch das TDG/TDDG?

Ja, diese entnehmen Sie bitte unserer Stellungnahme zum IUKDG Teil 1.

Art. 4 - 10: (Strafgesetzbuch, Ordnungswidrigkeiten, Jugenschutz u.a.)

1. Reichen die vorgesehenen Änderungen des Straf- und
Ordnungswidrigkeitengesetzes sowie des Gesetzes über die Verbreitung
jugendgefährdender Schriften aus oder müssen neue Strafbestände geschaffen
werden?

In erster Linie sind angesichts der neuen Probleme nicht neue
Strafbestände, sondern neue Problemlösungswege notwendig.

2. Wie sind Gefahren und Gefährdungspotential der neuen Dienste im
Vergleich zu herkömmlichen Medien einzustufen (Printbereich, Fernsehen)?

Der grundliegende Unterschied ist zunächst einmal die
Teilnehmeremanzipation bei den neuen Medien, also die freie Wahl zwischen
Sender- und Empfängerfunktion - im Gegensatz zur klassischen Trennung
zwischen Sendern und Empfängern bei den alten Medien.

Hieraus leitet sich eine sinkende Kontrollmöglichkeit über die Sender bei
gleichzeitiger Steigerung der Anzahl dieser ab, welche im Effekt eine
allgemeine Vermittlung von Medienkompetenz notwendig macht.

3. Welche technischen Möglichkeiten bestehen (Hardware/Software), um den
Zugang zu Informationen vollständig bzw. nur für Minderjährige zu sperren?
Wie kann technisch sichergestellt werden, daß die Urheber / Anbieter von
einzelnen Angeboten identifiziert und damit gegebenfalle auch zur
Verantwortung gezogen werden können?

Eine effektive Sperre ist selbst kooperativ und international nicht zu 100%
möglich; vor allem aber ist sie aus Gründen der Auseinandersetzung,
Medienkompetenz und Streitkultur nicht wünschenswert. Der Umgang mit
problematischen Inhalten sollte sich daher nicht in erster Linie auf
Sperrmaßnahmen konzentrieren.

Siehe hierzu die unter Frage 5 des Fragenkatalogs von SPD/Bündnis90/Grüne
zum IUKDG Teil 1 aufgeführte Problematik und die Anhörung "Jugendschutz"
des Ausschusses für Familie, Senioren, Frauen und Jugend vom 09. Oktober
1996.

In der Regel sind Urheber von Angeboten (WWW) problemlos identifizierbar.
Anonyme Zugangsmöglichkeiten haben jedoch genauso wie Telefonzellen ihre
Existenzberechtigung und erlauben in eingeschränktem Maße Informations-
einspeisungen. Diese sind jedoch bei Inkompatibilität mit internationalem
Rechtsverständniss verhältnissmässig einfach wieder zu entfernen.

4. Inwieweit kann die freiwillige Selbstkontrolle, insbesondere freiwillige
Kontrollvereinbarungen der Anbieter in Bezug auf illegale und schädigende
Inhalte in den neuen Diensten, die staatlichen Kontrolle sinnvoller
ergänzen?

Unter Berücksichtigung der Tatsache, daß alle Teilnehmer am Internet (in
allen Ländern) potentielle Informationsanbieter sind, ist die Förderung der
Netiquette und die Förderung solcher Regelungen, die international gültig
sind (wie z.B. schon bei Kinderpornographie vorhanden) sinnvoll.

Die sinnvolle Gestaltung der Netzinhalte durch die Teilnehmer kann eine
staatliche Kontrolle nicht nur ergänzen, sondern im Optimalfall sogar
überflüssig machen.

5. Entspricht das Jugendschutzkonzept des IuKDG den verfassungsrechtlichen
Anforderungen? Was muß getan werden, um das abgestufte Konzept des IuKDG
umzusetzen? Können die deutschen Schutzbestimmungen internationale Maßstäbe
setzen?

Die verfassungsrechtlichen Anforderungen bedürfen einer zeit- und mediums-
gerechten Umsetzung, die im IuKDG so nicht zu finden ist. Die deutschen
Schutzbestimmungen können in einem globalen Netz auf diese Art sicherlich
keine internationalen Maßstäbe setzen.

6. Ist eine unterschiedliche Behandlung von Telediensten und Mediendiensten
im Jugendschutzrecht sachlich geboten?

Nein.

7. Welche Anmerkungen gibt es zu Artikel 7 - 10 IuKDG?

Aus zeitlichen Gründen zur Zeit keine weiteren.