Datenschutz im Koalitionsvertrag

Der Koalitionsvertrag (Koalitionsvertrag) wurde veröffentlicht. Im Dokument taucht das Wort digital 226 Mal auf, das Wort Datenschutz nur 17 Mal, Groß/Kleinschrift natürlich ignoriert, und bewusst nur nach dem Stamm gesucht, also Zusammensetzungen inklusive. sicher taucht 379 Mal auf – aber in ganz verschiedenen Bedeutungen.

Während andere mehr auf die Digitalisierungschancen achten(IITR), wären mir konkrete Aussagen zu Sicherheit und Datenschutz wichtiger. Nur leider finden sich nur wenige konkrete Aussagen zum Datenschutz, und die werfen mehr Fragen als Antworten auf...

ZitatKommentare
Wir stärken digitale Bürgerrechte und IT-Sicherheit. Sie zu gewährleisten ist staatliche Pflicht. Sollte man dann nicht BDSG § 43 (3) (BDSG43) streichen? Einen Straftatbestand im STGB einführen? Die Tätigkeiten der Aufsicht(en) ausweiten und die Aufsicht(en) auch besser ausstatten (und nicht nur im Zusammenhang mit den Bundespolizeien)? Weil Pflicht ist es aufgrund der DSGVO (DSGVO) schon länger, nur eine Pflicht ohne Strafandrohung wirkt leider erfahrungsgemäß nicht abschreckend.
Eigentlich verdient Bruce Schneier´s Secrets and Lies (SecretsLies) einen eigenen Artikel.
Wir führen ein Recht auf Verschlüsselung ... ein Ist damit Cybersicherheitsstrategie vom Tisch? Enthält das Recht auch eine Pflicht zur Verschlüsselung für Verantwortliche im Rahmen der TOMs / Artikel 32 DSGVO (DSGVO)? Nur für die Kommunikation oder auch bei der Speicherung (VerschlusselungGrundschutz)? Überhaupt, wie kann ein Betroffener angemessene Sicherheit oder das Fehlen davon erkennen? Kann er heute leider nur in Ausnahmefällen – weil Konzepte nicht veröffentlicht werden (SecurityByObscurity) – und man daher annehmen muss, sie sind mangelhaft.
Auch der Staat muss verpflichtend die Möglichkeit echter verschlüsselter Kommunikation anbieten.
... eine durchgängige Ende-zu-Ende-Verschlüsselung
Heißt das, der Staat verteilt jetzt S/MIME-Zertifikate oder betreibt zumindest ein öffentliches Verzeichnis (PKI)? Die bisherigen Planungen zum Elektronischen Rechtsverkehr sehen etwas anderes vor. Oder heißt das nur, alle Behörden bieten DE-Mail an? Warum die wohl kein Erfolg war? (Emailverschlusselung)
Wir führen ... die Vorgaben security-by-design/default ein Ist das etwas anderes als privacy-by-design das in Artikel 32 DSGVO (DSGVO) steht und schon früher diskutiert wurde? Und nach welchem Maßstab? Bei Software kann ich helfen (Sicherheitsanforderungen).
ein wirksames Schwachstellenmanagement, mit dem Ziel Sicherheitslücken zu schließen
Hersteller haften für Schäden, die fahrlässig durch IT-Sicherheitslücken in ihren Produkten verursacht werden.
Sehr gut. Bisher kümmert sich niemand ernsthaft (SoftwareSysteme). Nur ab wann ist es eine Sicherheitslücke? Nur wenn eine Lücke ausgenutzt wird oder werden könnte? Oder schon wenn gegen Best-Practices oder den Stand-der-Technik verstoßen wird? Und – in Hinblick auf BDSG § 43 (3) (BDSG43) – gilt das auch für staatliche Einrichtungen? Und wieso veröffentlicht das Bundesamtes für Sicherheit in der Informationstechnik Bausteine, die gravierende Lücken nicht adressieren, gewissermaßen eine Einladung zur Sicherheitslücke (NET2)?
Wir verpflichten alle staatlichen Stellen, ihnen bekannte Sicherheitslücken beim BSI zu melden und sich regelmäßig einer externen Überprüfung ihrer IT-Systeme zu unterziehen. werden die Ergebnisse – ggfs. nach dem Schließen der Sicherheitslücken – dann veröffentlicht? Die BSI-Zertifikate sind bisher ziemlich wertlos, weil ohne Veröffentlichung des Prüfberichts unklar ist, auf welchem Niveau und mit welchen Entscheidungen oder Abweichungen zertifiziert wurde. (VerschlusselungGrundschutz, SecurityByObscurity)
Zur besseren Durchsetzung und Kohärenz des Datenschutzesverstärken wir die europäische Zusammenarbeit, institutionalisieren die Datenschutzkonferenz imBundesdatenschutzgesetz (BDSG) und wollen ihr rechtlich, wo möglich, verbindliche Beschlüsseermöglichen Verbindlich für wen? Für die deutschen Aufsichten analog des Europäischen Datenschutzausschuss? Oder unter Ausschaltung des Rechtswegs?
Wir stärken KMU bei der Digitalisierung durchunkomplizierte Förderung und bauen die Unterstützung für IT-Sicherheit, DSGVO-konformeDatenverarbeitung und den Einsatz digitaler Technologien aus. Sowas können wohl nur Politiker schreiben, ohne sich zu schämen. Auch heute haben viele KMU und Freiberufler keine geeigneten Auftrags­verarbeitungs­verträge (Auftragsverarbeitung).
Potentiale der Digitalisierung, z. B. in Künstlicher Intelligenz... Und die Risiken? Bleiben unerwähnt. Lesenswert: Rost. Leider finde ich den Vortrag von Florian Kerschbaumer über die Deanonymisierung von Individuen aus trainierten neuronalen Netzen nicht im öffentlichen Internet.
Wir beschleunigen die Einführung der elektronischen Patientenakte (ePA) ... .
Alle Versicherten bekommen DSGVO-konform eine ePA zur Verfügunggestellt; ihre Nutzung ist freiwillig (opt-out).
Freiwillig und opt-out? Haben wir aus den Cookie-Bannern nichts gelernt? Wirklich DSGVO-konform ist eine Einwilligung nur als opt-in (OptInOut). Und anscheinend muss ich jetzt die Krankenkasse wechseln, wenn mir die Sicherheitskonzepte (ePA) nicht gefallen – oder die Teilnahme verweigern. Gewünscht hätte ich mir ein Konzept wie bei Tresorit (Tresorit) oder die Möglichkeit den Anbieter meines Vertrauens zu verwenden.
... werden wir die Regelungen zur Vorratsdatenspeicherung so ausgestalten, dass Daten rechtssicher anlassbezogen...
Mit der Login-Falle wollen wir grundrechtsschonende und freiheitsorientierte Instrumente schaffen, um die Identifizierung der Täterinnen und Täter zu erreichen.
Zum Verständnis: LoginFalle und Vorratsdatenspeicherung. Eigentlich ist es normal, die IP-Adresse bei sicherheitsrelevanten Ereignissen zu protokollieren. Und wenn man schnell genug reagiert, dann kann man auch heute schon beim Provider den Anschluss ermitteln. Die Falle ist also nur relevant, wenn man nicht schnell reagiert und man dann noch hofft, dass der Täter beim nächsten Mal nicht ein anderes Pseudonym, einen anderen Proxy, oder ein anderes VPN verwendet. Also etwas besser aber vermutlich ähnlich wirkungslos wie die Vorratsdatenspeicherung (VorratsdatenspeicherungNutzen).
Die Ausnutzung von Schwachstellen von IT-Systemen steht in einem hochproblematischen Spannungsverhältnis zur IT-Sicherheit und den Bürgerrechten. Der Staat wird daher keine Sicherheits­lücken ankaufen oder offenhalten, sondern sich in einem Schwach­stellen­management unter Federführung eines unabhängigeren Bundesamtes für Sicherheit in der Informationstechnik immer um die schnellstmögliche Schließung bemühen. Kein Ankauf – gut. Ob eine Behörde und gerade das Bundesamtes für Sicherheit in der Informationstechnik Garant für schnellstmögliche Schließung sein kann (NET2)?

Quellen:

Autor(en)Titel
#1SPD, Bündnis 90/Die Grünen und FDPKoalitionsvertrag Mehr Fortschritt wagen (2021)
#2IITR Datenschutz GmbHDatenschutz im Koalitionsvertrag: Digitalisierungsschub für Wirtschaft und Verwaltung (2021)
#3Europäisches Parlament und RatDatenschutzgrundverordnung (EU 2016/679)
#4Bundesdatenschutzgesetz (BDSG)§ 43 Bußgeldvorschriften (2017)
#5Bruce SchneierSecrets and Lies (Wiley Publishing, 2000)
#6Stefan Krempl (Heise online)Cybersicherheitsstrategie: Bundesregierung setzt auf Hackbacks und Exploits (2021)
#7Joachim Lindenberg (FragDenStaat)Verschlüsselung im BSI Grundschutz? (2021)
#8Joachim LindenbergSecurity By Obscurity (Sicherheit durch Verdunklung oder Geheimhaltung) (2021)
#9Joachim LindenbergEmail-Verschlüsselung (2021)
#10Joachim LindenbergSicherheitsanforderungen (2021)
#11Joachim Lindenberg (FragDenStaat)Sicherheit von Software und Systemen? (2021)
#12Joachim Lindenberg (FragDenStaat)Bausteine NET.2.1 und NET.2.2 – 802.1X Sicherheit (2021)
#13Joachim LindenbergAuftragsverarbeitung, speziell bei Email (2021)
#14Martin Rost (Heise online)Künstliche Intelligenz trifft Datenschutz (2019)
#15Michael KranzerEinwilligung bei der DSGVO: Das Häkchen richtig setzen (2018)
#16Fabiola DumsDie elektronische Patientenakte – Wie sicher ist die zentrale Digitalisierung im Gesundheitswesen? (2021)
#17TresoritTresorit Encryption Whitepaper
#18NewbeautifulWorldIdentifizierungspflicht: Innenministerkonferenz will Login-Falle (2021)
#19Stefan Krempl (Heise online)Koalitionsvertrag: Ampel will Vorratsdatenspeicherung rechtssicher gestalten (2021)
#20WikipediaVorratsdatenspeicherung – Unverhältnismäßig geringer Nutzen

Veröffentlicht am 01.12.2021.

© 2021 Joachim Lindenberg. Diese Seite spiegelt meine persönliche Meinung wieder. Sie stellt keine Rechtsberatung dar. Fragen Sie doch einen Anwalt der sich damit auskennt.