34C3 Vorspannmusik
Herald: Netzpolitik in der Schweiz und die
Organisation Digitale Gesellschaft sollten
eigentlich immer gemeinsam genannt werden.
Bei der Digitalen Gesellschaft handelt es
sich um eine gemeinnützige Organisation
die sich für Grund- Menschen- und
Konsumentenrechte im Internet und speziell
in der Schweiz einsetzt. Wir haben hier
heute drei Vertreter der Digitalen
Gesellschaft bei uns auf der Bühne und
zwar den Geschäftsführer Kire, ganz links
von euch aus gesehen, in der Mitte den
Patrick und auf der rechten Seite den
Martin. Und nun bühne frei für die drei
eidgenössischen Netzpolitiker!
Martin: Vielen Dank. Ich begrüsse euch
ganz herzlich zu unserem Vortrag über die
Netzpolitik in der Schweiz. Wir werden
heute über den aktuellen Stand der
Netzpolitik über unsere Themen berichten
und auch was das neue Jahr bringen wird.
Als erste Übersicht die Themen: Auch in
der Schweiz wird der Überwachungsstaat der
Polizeistaat ausgebaut. Das Stichwort ist
das Akronym BÜPF, das revidiert
Überwachungsgesetze. Dazu wird euch Kire
gleich mehr erzählen. Dann gehen wir auch
rechtlich gegen die Massenüberwachung vor,
gegen die Vorratsdatenspeicherung und
gegen die Kabelaufklärung. Auch dazu mehr
Informationen. Dann, wie so häufig, in der
Schweiz dauert alles etwas länger, aber
dann kommt doch: Netzsperren in Gesetzen
sind auch bei uns vorgesehen. Auch da
engagieren wir uns. E-Voteing,
Elektronische Identität, auch das kommt in
der Schweiz, etwas unglücklich umgesetzt.
Das lehnen wir teilweise ab, teilweise
haben wir bessere Ideen. Und zuletzt das
Datenschutzrecht. Die meisten von euch
wissen es: die EU revidiert es, die
Schweiz die folgt hinten nach. Auch dazu
werden wir euch mehr erzählen. Und damit
gebe ich Kire das Wort über das BÜPF.
Kire: Ton fehlt ... wär eine
Einschätzung zum neuen BÜPF. Das total
revidierte Bundesgesetz betreffend die
Überwachung des Post- und
Fernmeldeverkehrs wird nun definitiv am 1.
März 2018 in Kraft treten. Es werden dann
noch verschiedene Übergangsfristen gelten,
welches den Providern die technische
Umsetzung der Überwachungsmassnahmen
ermöglichen. Diese sind längstens 24
Monate. Zur Vergegenwärtigung: das
aktuelle BÜPF gilt für Access Provider und
für die von ihnen angebotenen Dienste wie
zum Beispiel e-mail oder auch voice-over-
ip. Im revidierten BÜPF wird dieser
Geltungsbereich nun deutlich ausgeweitet.
Es gilt neu auch für sogenannte Anbieter
von abgeleiteten Kommunikationsdiensten.
Damit sind Dienste gemeint, die einen
Austausch von Informationen ermöglichen,
also eigentlich für praktisch alle
Dienste. Und neu wird das Gesetz auch für
Personen gelten, welches ihr Netz Dritten
zur Verfügung stellen. Das zielt
hauptsächlich auf Anbieter von public wlan
ab. Diese Anbieter von abgeleiteten
Kommunikationsdiensten sind denn den
Access Providern in deren Pflichten
gleichgestellt wenn eine der zwei
Bedingungen erfüllt sind. Und zwar
entweder 10 Überwachungsgesuche in einem
Jahr, oder aber der Anbieter
erwirtschaftet einen Jahresumsatz von
mindestens 100 Millionen Franken mit
mindestens 5000 Benutzern. Wenn eine von
diesen zwei Bedingungen zutreffend ist,
dann ist der Anbieter der Access Providern
gleichgestellt, was bedeutet, dass sie
aktiv überwachen können – müssen – und
dass sie die Vorratsdatenspeicherung
vornehmen müssen. Sind diese beiden
Kriterien nicht gegeben, dann müssen sie
eine Überwachung dulden. Also alle anderen
Anbieter müssen eine Überwachung dulden
und diese Duldung schliesst auch die
Zugangsgewährung mit ein. Also die
Anbieter müssen Zugang zu Gebäuden, aber
auch zu Netzen und Diensten gewähren, dass
eine Überwachung durch den Dienst ÜPF,
aber auch über den von ihnen beauftragten
Personen, die Überwachung vornehmen
können. Wen nun eine solche
Überwachungspflicht trifft, der muss neu
auch die Teilnehmer identifizieren. Das
heisst, es wird in der Schweiz in Zukunft
nicht mehr so einfach möglich sein einfach
ein e-mail account zu klicken. Allerdings
gilt eine Ausweispflicht nur in
Mobilfunknetzen, also beim Abschluss von
einem Handyabo oder bei Prepaid-angeboten.
Für alle anderen Dienste reicht eine
Identifikation zum Beispiel über die
Zusendung eines Tokens per SMS. Diese
Teilnehmeridentifikation wird neu auch für
Anbieter von Public Wlans gelten, wenn sie
dieses professionell tun. Mit
professionell ist gemeint, wenn mit dem
Betrieb eine spezialisierte IT-
Dienstleisterin beauftragt worden ist.
Dieser Text ist aus den Erläuterungen zur
Verordnung und erklärt diesen Begriff.
Umgekehrt, wenn ich zum Beispiel als
Restaurantbesitzer einen wlan access point
selber kaufe und installieren und betreue,
dann falle ich nicht unter diese Pflicht
zur Teilnehmeridentifikation. Nicht desto
trotz werden öffentlichen public wlan ohne
eine SMS-Registrierung weiter aussterben.
Immerhin werden Dienste wie z.B. Freifunk
nicht darunter fallen, weil diese eben
nicht professionell betrieben werden. Was
wir aber auch sehen werden, aufgrund
dieser Teilnehmeridentifikation, sind
Antennensuchläufe neu auch in wlan. Also
die gerichtliche Feststellung, wer sich
wann, wo aufgehalten hat, auf Basis der
Verwendung eines public wlan.
Dann ist noch eine wichtige Frage offen bezüglich des Staatstrojaner, den wir ja mit dem
neuen BÜPF auch erhalten werden. und zwar
geht es hier in dieser Frage um die
Infektion also wie eine staatliche Malware
auf das Zielgerät kommt. Wir sehen hier
drei verschiedene Varianten: entweder über
eine Sicherheitslücke, diese Variante wirft
selber einige Fragen auf. Oder aber ein
Aufspielen über ein Eindringen in die
Räumlichkeiten wo sich die Geräte
befinden. Das ist eine Variante die auch
im Gesetz vorgesehen ist. Oder aber über
Mithilfe von Dritten. Zum Beispiel über
eine infektion proxy beim Provider. ein
Update Server, eine personalisierte App
oder zum Beispiel im Download einer
Steuererklärungssoftware. Das bringt uns
nur zur wichtigen Frage: können
tatsächlich Dritte – unbeteiligte Dritte -
herangezogen werden um Staatstrojaner auf
die Zielgeräte zu bringen. Und tatsächlich
kennt das Strafverfahren gewisse
Pflichten, wie zum Beispiel eine Pflicht
zur Auskunft oder auch ne Pflicht zur
Zeugenaussage. Aber es ist im Strafrecht
keine aktive Mitwirkungspflicht
vorgesehen. Diese Einschätzung deckt sich
auch mit einer Aussage vom Bundesamt für
Justiz auf Anfrage. Allerdings wird die
Praxis zeigen was die
Strafverfolgungsbehörden in diesem
Zusammenhang fordern, und was die
Zwangsmassnahmengerichte allenfalls auch
bewilligen. Wir würden dann zum zweiten
Teil, zu den beiden Beschwerden gegen die
Kabelaufklärung und die
Vorratsdatenspeicherung kommen. Beide
Gerichtsverfahren sind strategische
Klagen. Es geht darum, Grundsatzentscheide
zu erhalten, die aufzeigt wo die rote
Linie verläuft zwischen einer
zielgerichteten Einzelfallüberwachung und
einer anlasslosen Massenüberwachung, die
uns alle in der Privatsphäre betrifft, und
alle unsere Privatsphäre verletzt. Die
Schweiz kennt kein Verfassungsgericht das
es ermöglichen würde, ein solches Gesetz
oder ein Gesetzesartikel abstrakt auf die
Gültigkeit prüfen zu lassen. Daher ist es
in der Schweiz nötig, über eine
persönliche Betroffenheit und ein Gesuch
an die zuständige Behörde ein
Gerichtsverfahren anzustrengen, das dann
in Form von Beschwerden und durch die
Instanzen weitergeführt wird. Die erste
Beschwerde betrifft das
Nachrichtendienstgesetz. Dieses Gesetz ist
in diesem Jahr am 1. September in Kraft
getreten. Dieses Massnahmengesetzt
beinhaltet zahlreiche neuen Befugnisse.
Unter anderem alle Massnahmen die auch im
BÜPF vorgesehen sind, inklusive
Staatstrojaner oder eben auch die, was in
der Beschwerde nun wichtig ist, die
Massenüberwachung per Kabelaufklärung. Wie
gesagt, das Gesetz ist am 1. September in
Kraft getreten. Wir haben daher ein Gesuch
an den Nachrichtendienst per 31. 08.2017
gestellt. Im Kern fordern wir in dem
Gesuch, dass die Kabelaufklärung nicht
einzuführen sei, weil von dieser
Überwachung alle betroffen sind, wir alle
unter einen Generalverdacht gestellt
werden und weil es praktisch unmöglich
ist, noch etwas zu suchen, dass man gar
nicht kennt. Und wir verknüpfen diese
Forderung mit der Forderung, die
Funkaufklärung die bereits besteht, zu
unterlassen. Wir machen diese Verknüpfung,
weil die Kabelaufklärung eine
Weiterentwicklung der Funk- und
Satellitenaufklärung ist. Die
Funkaufklärung kennen wir seit ca. dem 2.
Weltkrieg. Da ging es ursprünglich darum,
in dieser militärischen Überwachung, den
gegnerischen oder den ausländischen Feind,
über den Informationen zu erhalten. Diese
Funkaufklärung wurde im Jahr 2000 über ein
geheimes Projekt zur Satellitenüberwachung
ausgedehnt. Dieses Projekt wurde dann
bekannt, es gab eine Untersuchung der
Eigenössischen Geschäftsprüfungsdelegation
GPDel welche im Jahr 2003 und 2007 2
Berichte veröffentlicht hat, welche dieses
Überwachungssystem beschreibt, aber auch
Verstösse gegen die Menschenrechte
festhält. Da es sich bei dieser
Überwachung um ausländische Satelliten
handelt, ist tendenziell ausländische
Kommunikation von dieser
Überwachungsmassnahme betroffen, aber
natürlich nicht nur. Also Personen aus der
Schweiz kommunizieren genauso über diese
Satelliten und es sind auch zivile
Satelliten.
Weil mehr und mehr Kommunikation nicht mehr über Satelliten stattfindet sondern über Glasfaserkabel
wird diese Überwachungen jetzt neu
nochmals ausgedehnt auf die
Kabelaufklärung. Und diese zielt auf die
grenzüberschreitenden Leitungen ab, weil,
im Gegensatz zu ausländischen Satelliten,
ausländische Kabel von Schweizer Behörden
nicht überwacht werden können. Bloss ist
nun bei dieser Überwachung fast in jedem
Fall auch eine inländische Person
betroffen und selbstverständlich gelten
Menschenrechte auch im Ausland.
Die Antwort des Nachrichtendienstes auf unser
Gesuch ist einigermassen erstaunlich. Es
umfasst gerade einmal eine Seite. Der
Nachrichtendienst stellt sich als eine
einfache Verwaltungsbehörde ohne Spielraum
dar und ist der Ansicht, dass diese
Massnahme keine Grundrechte verletzen
würde. Was bereits durch die Berichte der
GPDel eigentlich widerlegt ist. Wir sind
daraufhin mit einer Beschwerde an das
Bundesverwaltungsgericht in St. Gallen
gelangt. Der Geheimdienst hat nun Zeit bis
Mitte Januar, Stellung zu beziehen. Im
Anschluss wird dann das
Bundesverwaltungsgericht entweder
inhaltlich über unser Gesuch urteilen oder
aber es zurück an den Geheimdienst leiten,
der inhaltlich urteilen muss. Dann würden
wir eigentlich wieder am Anfang vom
Verfahren stehen. Das zweite Verfahren
betrifft die Beschwerde gegen die
Vorratsdatenspeicherung. Diese ist schon
etwas älter, das haben wir im Jahr 2014
gestartet. Aktuell ist das Verfahren
hängig am Bundesgericht. Da haben nun seit
Frühling 2017 schriftliche Anhörungen
stattgefunden. Der Dienst Überwachung,
Post- und Fernmeldeverkehrs, der
Eidgenössische Datenschutzbeauftragte, die
Swisscom und auch wir konnten
wechselseitig Stellung beziehen. Diese
Phase ist nun abgeschlossen. Mit einem
Entscheid ist wohl im nächsten Jahr zu
rechnen. Wie gesagt, da wir kein
Verfassungsgericht kennen und das
Bundesgericht keine entsprechende
Kompetenz hat, wird hier wohl ein
Weiterzug an den Europäischen Gerichtshof
für Menschenrechte nötig sein.
Die Verfahren sind ziemlich zeitintensiv. Die
Beschwerde gegen die Vorratsdaten... in
der Beschwerde gegen die
Vorratsdatenspeicherung sind wir wohl etwa
in der Hälfte. In der Beschwerde gegen die
Kabelaufklärung stehen wir ganz am Anfang.
Und die Verfahren kosten auch ziemlich
viel Geld, entsprechend sind wir hier auf
Unterstützung angewiesen. Wir würden dann
zum 3. Teil kommen, zu den Netzsperren.
Hier übergebe ich gerne das Wort an Paki.
Paki: So, diejenigen die letztes Jahr
schon hier waren, den dürfte dieses Bild
einigermassen bekannt vorkommen. Ich habe
auch ein Neues rausgesucht. Das Problem
ist, dass im Moment die Politiker und
Politik in der Schweiz immer noch davon
ausgeht, dass Netzsperren ein adäquates
technisches Mittel sind, um soziale
Probleme zu lösen. Wie man anhand dieses
Bildes sieht, helfen Sperren hat einfach
nicht immer. Wir haben uns mit drei
Gesetzen rumgeschlagen: Das Erste ist das
Geldspielgesetz. Da geht es nicht um eure
Bitcoins, da geht es vor allem um Poker
und Roulette usw, physisches Glücksspiel.
Dann das Urheberrechtsgesetz und das
Fernmeldegesetz. Im Geldspielgesetz: was
ist dort vorgesehen? Es sind Massnahmen
vorgesehen, die die Spielsucht eindämmen
sollen. Das Problem jedoch ist, dass dort
kein Geld gesprochen wird. Das heisst das
Geld muss von den Kantonen kommen und
nicht von den Casinos oder den Online-
Casinos die diese Spielsucht überhaupt
auslösen. Also das Verursacherprinzip ist
hier nicht gewahrt. Es erlaubt erstmals
Online- Glücksspiel, allerdings auch nur
inländisches Online- Glücksspiel. Das
Problem ist allerdings, dass der
inländische Markt zu klein ist, zum
Beispiel beim Poker, wurde uns gesagt, um
überhaupt ein grosses Pokerspiel in der
Schweiz aufzubauen. Das heisst, man will
jetzt diesen inländischen Markt mit
Netzsperren von ausländischen Anbietern
abschotten und die ausländische Anbieter
illegal erklären, was sie eigentlich schon sind
Der Stand beim Geldspielgesetz ist
so, dass das Referendum jetzt läuft, das
heisst es hat beide Kammern – National-
und Ständerat – passiert, ist in den
Schlussabstimmungen durchgekommen und
Jungparteien haben jetzt das Referendum
ergriffen und es könnte klappen. Es ist
sehr, sehr knapp. Es kommen jetzt, diese
Tage kommen immer noch tausende
Unterschriften rein, aber es braucht die
Unterschrift von jedem Schweizer
Stimmbürger der hier ist. Fall ihr noch
nicht unterschrieben habt, oder noch
Unterschriften zu Hause habt, sendet die
ein oder kommt bei uns beim Stand vorbei
und deponiert die oder leistet eure
Unterschrift. Es ist extrem wichtig. Es
ist extrem knapp. Genau, was wir auch noch
gemacht haben, vorgängig bei diesem Gesetz
ist, wir haben versucht in den
Kommissionen Einfluss zu nehmen. Aber auch hier ist es extrem schwierig einem
Politiker zu erklären, dass Netzsperren
nicht funktionieren. Auch wenn man ihn es
ihnen live demonstriert an einem PC, oder
an ihrem PC.
Dann zum Urheberrecht. Hier ist eine Totalrevision vorgesehen
Das Gute ist, die Privatkopie die bleibt,
ebenso der straffreie Download. Was
allerdings reinkommt, ist ein
Lichtbildschutz, wie wir den in
Deutschland schon kennen. Bisher hatten
wir in der Schweiz eine gewisse
Schöpfungshöhe die nötig war, damit dann
ein Lichtbild, also eine Fotografie
eigentlich, urheberrechtlich geschützt
ist. Nun ist jeder Schnappschuss ,der
jemand auf Facebook teilt, eigentlich
urheberrechtlich geschützt. Das wird noch
spannend, was da passiert. Wir haben's in
Deutschland, habt ihr ja schon ein
bisschen Erfahrung damit. Ebenso ist die
Regelung verwaister Werke ein bisschen
besser geworden. Es wurde ein bisschen
klarer definiert, was man machen muss,
wenn man ein verweistes Werk z.B. wieder
verlegen muss, verlegen will. Plus die
Schutzrechte wurden angepasst auf 70
Jahre. Das ist eigentlich eine technische
Anpassung die so nicht nötig wäre, aber
das Umland hat dort auch überall 70 Jahre.
Dann wird es Take- & Stay-Down- Regelungen
geben für Anbieter, die die Konten von
Usern zur Verfügung stellen. Das heisst,
wenn irgendein User von einem Anbieter
eine Datei hochlädt, das Filmstudio sagt:
"Das ist ein Blockbuster von uns, nehmt
den runter", dann muss ich "technisch
adäquate Lösungen" bereitstellen, die
"wirtschaftlich sinnvoll" sind, damit auch
dieser Content niemals mehr in dieser Form
bei mir hochgeladen wird. Was darunter
verstanden wird, werden wahrscheinlich
dann die Gerichte genau erklären müssen.
Dann wird ein Gerichtsspruch des
Bundesgerichts indirekt überschrieben, das
heisst, bisher war es in der Schweiz nicht
möglich, einen Filesharer anzuklagen, um
dann an dessen Namen zu kommen und ihn
dann finanziell zu belangen für die
Urheberrechtsverletzungen die er gemacht
hat. Neu ist dieser Passus eigentlich –
also diese Anleitung – genau so im Gesetz
drin. Das ist auch eine Umkehr. Dort wird
sich auch zeigen ob sich dann dieser
Passus dann halten lässt oder nicht. Wir
werden sehen. Dann sind es trotz... die
Prämisse dieses Gesetzes war: Es ist die
Anpassung des Urheberrechts an das
Internetzeitalter. Das Problem ist
einfach: es hat keine Anpassung ans
Internetzeitalter gegeben. Es gibt kein
Right to Remix, es gibt keine Fair-Use-
Klausel, das heisst jeder Facebookbenutzer
der Memes hochlädt oder selbst erstellt,
wird weiterhin pro Jahr bis zu 10000
franken an Urheberrechtkosten verursachen,
sollte er angeklagt werden. Der Stand
dieses Gesetzes ist nun so, dass die
Rückmeldung – es waren ja 1200
Einzeleinsendungen, zum Teil hunderte
Seiten – die als Feedback gekommen sind zu
diesem Gesetz, die wurden verarbeitet. Die
Eingaben der Zivilgesellschaft aber
mehrheitlich ignoriert. Jetzt, ein
Lichtblick ist drin: die Netzsperren sind
temporär mal rausgeflogen. Es besteht aber
kein Zweifel, dass da die Musik- und
Filmindustrie die Netzsperren wieder
fordern wird und auch Politiker findet,
Parlamentarier findet, die diese dann in
den Kommissionen auch wieder einbringen.
Das heisst, dieser Kampf ist leider noch
nicht gewonnen. Jetzt kommt dieses Gesetz
dann in die Kommissionen, es finden
Anhörungen statt. Spannenderweise sind in
National- und Ständerat zwei verschiedene
Kommisionen dafür zuständig. Warum ist mir
auch nicht ganz klar. Ist auch das erste
Mal, dass ich das persönlich sehe. Ich
weiss nicht, wie häufig das ist. Nun, was
versuchen wir dagegen zu tun oder was tun
wir, damit dass dieses Gesetz besser wird,
oder vielleicht gar nicht durch kommt. Wir
versuchen, wie immer, Einflussnahme zu
nehmen in den Kommissionen. Wir versuchen
mit den Politikern zu sprechen, ihnen zu
erklären, dass ihre Massnahmen so nicht
sinnvoll sind, so nicht durchsetzbar sind.
Zudem haben wir eine Arbeitsgruppe
gebildet, die eigentlich Personen aus
mehreren Parteien sammeln soll, um so
gezielt auch Leute aus der eigenen Partei
zu ihren eigenen Parlamentariern schicken
können und diesen klar machen: "Hey, was
ihr da sagt widerspricht unserer eigenen
Parteilinie.". Es gab jetzt ein erstes
Treffen im Dezember, Mitte Dezember. Das
nächste Treffen wird wahrscheinlich an
unserem Winterkongress stattfinden.
Dazu sagen wir später noch was. Dann zum
Fernmeldegesetz. Da haben wir auch letztes
Jahr schon ein bisschen darüber berichtet.
Nun sind wir dort ein bisschen weiter.
Auch hier geht es darum, Netzsperren
einzuführen. Diesmal zu Unterdrücken von
pornografischen Inhalten. Bis jetzt gab es
ein Kodex, in dem sich verschiedene
Provider angeschlossen haben. Die haben
DNS- Sperren eingerichtet für gewisse
Webseiten, die ihnen vom Bundesamt für
Justiz gemeldet wurden. Neu soll diese
Netzsperren eigentlich für alle Access
Provider dann gelten. Das heisst auch,
dass diese Liste mit verbotenen Webseiten
oder verboten DNS- Einträgen viel breiter
gestreut ist. Mal schauen. Dann, drin ist
die Regulation der letzten Meile bei der
Glasfaser, beziehungsweise wir hätten
gerne die Regulation der letzten Meile
unabhängig vom Medium gehabt. Da ist jetzt
Monopolist ein bisschen am drucksen oder
sehr stark am lobbyieren, dass diese
Regulierung so nicht reinkommt. Die
Regulation der Roaminggebühren, die wird
jetzt ebenfalls kommen, vielleicht, denn
vor zwei Jahren gab es schon eine ähnliche
Motionen im Ständerat und die wurde dann
quasi ohne Ergebnis abgeschrieben, weil
"der Markt spielt ja". Jeder der ein
schweizer Mobilfunkabonnement hat weiss,
dass der Markt nicht wirklich spielt. Dann
gibt es keine Netzneutralität
festgeschrieben. Es gibt einen Kodex, der
übernommen wurde. Der Kodex wurde letztes
Jahr ziemlich medienwirksam dann
aufgebauscht. Wir sagen, wir deklarieren,
wenn wir die Netzneutralität verletzten,
das das doch nichts bringt, das auch
komplett gegen die Richtung der EU und
auch Deutschland strömt. Das haben die
Schweizer einfach noch nicht erkannt. Also
die Telekom musste jetzt gerade an ein
Angebot rausnehmen bei dem sie 0-Rating
machten. Wir versuchen auch hier, oder wir
haben einen Entwurf, den wir versuchen,
den wir in die Kommissionen reintragen
versuchen, der die Netzneutralität ganz
fix und ganz klar festlegt. Und wir
hoffen, dass da zumindest ein Bisschen was
davon übrig bleibt. Hier sind jetzt der
Stand: die Vernehmlassung vom
Fernmeldegesetz ist erfolgt. Es gab dann
eine weitere Botschaft zu Handen der
Kommission. Bei den Anhörungen waren wir
zum Teil eingeladen, zum Teil haben wir
uns eingeladen und wurden auch angehört.
Wie effektiv das dann ist weiss man halt
erst, wenn die Kommission dann auch
abgestimmt hat über die einzelnen Artikeln
und über unseren Input den wir da
geliefert haben. Jetzt, es finden noch
weitere Anhörungen statt zum
Fernmeldegesetz und voraussichtlich kommt
das in der Frühlingssession oder dann im
Sommer in die Räte. Genau, Einflussnahme
habe ich bereits erwähnt. Jetzt in der
E-Governement-Strategie das Bundes gibt es
2, gibt es mehrere Standbeine. 2
Standbeine sind E-Voting und die
Elektronische Identität. Diese werden
jetzt von oberster Ebene her befohlen. Da
müssen wir was machen und das Bundesamt
für Justiz, das macht dann auch sehr
schnell aber halt nicht sehr gründlich. Es
sind im Moment die Themen mit denen sich
die Politiker in Bern als ICT-Politiker
wahrscheinlich für irgendein Mandat
empfehlen wollen. Es kommt heraus, dass
die nicht nicht sehr viel Ahnung haben vom
ganzen Thema wenn man ein bisschen genauer
reinschaut da. Was ist vorgesehen bei der
Elektronischen Identität. Es ist
vorgesehen dass es mehrere Identity
Provider gibt, die persönliche Daten,
verifiziert persönliche Daten rausgehen
können. Also: Name, Vorname, Adresse,
Geburtsdatum und so weiter. Mit diesen
Adressen kann man dann auch eine Inkasso-
Abfrage machen oder kann jemanden
eindeutig gesichert identifizieren, dass
es diese Person ist, jetzt bei mir ein
Bankkonto aufmachen will. Der Vorschlag,
der wird im Moment von der Post, Swisscom
und SBB durchgedrückt, mit Unterstützung
natürlich des Bundesrates. Das Ganze in
der Umsetzung knüpft ein bisschen an die
SuisseID an, das heisst Private geben
diese elektronische ID dann raus. Wer von
euch hat ne SuisseID? Da sieht man
wie verbreitet sie ist. 3 Personen. Die
Idee ist, dass Banken und Onlineshops
diese Dienstleistung dann gebrauchen
können, und die dann pro
Identifizierungsvorgang zahlen, das
heisst, wenn ich mein Bankkonto aufmache,
identifiziere ich mich einmal, wenn ich
einen Online-Shop Konto aufmache, dann
auch, und so weiter. Das schafft nun
zahlreiche Probleme. Unserer Meinung nach
kann nur eine staatliche Institution eine
elektronische Identifikation schaffen oder
Vertrauen dort drin schaffen. Die SuisseID
hat nicht funktioniert weil der
Enrolement-Prozess zu kompliziert war.
Zudem ist auch die jetzige elektronische
Identität am Kunden vorbei geplant. Ich
bin seit 15 Jahren bei der gleichen Bank.
Ich werde nicht nächstes Jahr drei Konten
eröffnen, nur weil ich eine elektronische
Identität habe, oder weil ich mit einer
elektronischen Identität das machen kann.
Die amtliche, oder Behördengänge von
Personen, von normalen Personen, das ist
eigentlich genau einer. Das ist die
Einreichung der Steuererklärung. Und dafür
brauche ich auch keine elektronische ID.
Also es ist mir und uns unklar, wer
überhaupt dann der Empfänger dieser
elektronischen Identität sein soll. Und
schlussendlich wird es dann auch zu teuer
weil der Verwaltungsaufwand viel zu gross
ist für diese 10.000 Karten oder
Identitäten die man dann herausgeben kann.
Hier ist die Vernehmlassung zu Ende auch
hier wird eine Botschaft erarbeitet und
das kommt dann in die Kommissionen. Es
gibt ein Konzept "Digitale identität in
der Schweiz" von der Swiss Data Alliance.
Was mir dort drin fehlt, ist noch die
Möglichkeit mit einer elektronischen
Identität dann auch Verschlüsselung oder
Signierung zu machen. Das ist, dann würde
ich wieder eine grössere Verbreitung sehen
dieses ganzen Konzeptes. Zum E-Voting ganz
kurz: die Syteme der 1. Generation sind
tot. Das System das Zürich eingeführt hat,
das darf nicht mehr verwendet werden.
Aktuell sind die Systeme der nächsten
Generation in Entwicklung und auch bereits
in Gebrauch. Diese können allerdings noch
nicht überall eingesetzt werden, weil zum
Teil gesetzliche Grundlagen fehlen, um
dann die ganze Bevölkerung eines Kantons
da mit elektronischer Abstimmung ...
mittels elektronischer Abstimmung
abstimmen zu lassen. Dann gibt es noch
eine kuriose Motion. Eine Bug-Bounty
Motion. Da soll eine Million ausgeschrieben
werden um das schweizer E-Voting-System zu
hacken. Das ist natürlich totaler Schwachsinn,
weil jemand der die Möglichkeiten hat, ein
E-Voting-System zu knacken, der zieht viel
mehr Profit als eine Million raus, der zieht
das Tausendfache heraus wenn er das z.B.
bei ner Bergbau-Initiative wie der
Gotthardröhre macht, oder staatliche
Aktoren, die eine Abstimmung durchdrücken
wollen. Zudem ist, nur weil ein Bug-Bounty
ausgesetzt wird, ist es nicht ganz klar,
dass das System dann nicht hackbar ist.
Das kann man nicht beweisen indem man ein
Bug-Bounty ausschreibt. Unsere Forderungen,
das sind eigentlich immer noch die
gleichen. Das ist der Slide von letztes
Jahr. Wir wollen, dass das ganze E-Voting
für jeden Einzelnen der seine Stimme
abgibt auch verifizierbar ist, dass er
seine Stimme, dass seine Stimme so zählt,
wie er sie abgegeben hat und das ist
leider nicht möglich. Selbst ich kann die
kryptographischen Verfahren die hier
gebraucht werden nicht ganz
nachvollziehen. Zudem, selbst wenn ich sie
nachvollziehen könnte, könnte ich nicht
beweisen, dass das Software System das ich
angeschaut habe, auch das ist, das
eingesetzt wird. Und jeder der über
Weihnachten den PC seiner Schwester oder
seine Eltern neu aufsetzen musste weiss,
wie verwund- und angreifbar diese
Plattformen sind und diese sollen dann
schlussendlich die Wahlmaschinen sein mit
denen wir unsere Demokratie ausführen. Und
das kann es nicht sein. Und jetzt wird
euch Martin noch etwas zum
Datenschutzrecht erzählen.
Martin: Vielen Dank. Vielen Dank, PaKi.
Ja, die Daten. Alle wollen digital werden,
alle wollen diesen Datenschatz heben und
da kann auch die Schweiz nicht hinten
anstehen. Der Hintergrund ist, dass wir in
der Schweiz ein Datenschutzgesetz haben.
Das war modern, als es 1992 in Kraft trat.
Seither ist viel Zeit vergangen. Wenn man
sich überlegt, dass heutige Internet gab
es noch kaum, die grossen Plattformen in
den USA gab es noch kaum, und vor allem
hatte die EU noch kein eigenes
Datenschutzrecht. Das ändert sich am 25.
Mai nächsten Jahres, dann tritt die neue
EU-Datenschutzgrundverordnung – die DSGVO
– in Kraft. Da muss die Schweiz sich
anschließend, denn heute entscheidet die
EU-Kommission jeweils ob das
Datenschutzrecht in der Schweiz als
angemessen gilt, gibt es einen
Angemessenheitbeschluss. Und das ist
wichtig damit die Schweiz, im Herzen
Europas aber nicht EU-Mitglied, weiterhin
ohne spezielle Hürden Daten –
Personendaten – mit EU-Staaten austauschen
kann. Nun, der erste Entwurf war eine
Katastrophe, nun gibt es einen Zweiten.
Der geht auch ins Parlament und die
Stossrichtung, die stimmt. Auch
interessant: der Grundsatz der "Erlaubnis
mit Verbotsvorbehalten" bleibt erhalten,
das heisst, in der Schweiz im Datenschutz
spielt der Grundsatz: man darf
Personendaten bearbeiten, es sei denn es
ist verboten. Die EU hat genau das
Gegenteil: man darf keine Daten
bearbeiten, es sei denn man hat einen
guten Grund, einen Rechtfertigungsgrund,
wie zum Beispiel eine Einwilligung.
Dennoch, wenn man sich den Entwurf in der
Schweiz anschaut, dann wird auf Vieles
verzichtet, das wir gerne hätten, das
sinnvoll wäre. Zum Beispiel das
Marktortprinzip: für Bürger von EU-Staaten
gilt in Zukunft, dass für alle Daten, die
weltweit von ihnen bearbeitet werden das
europäische Datenschutzrecht gilt. In der
Schweiz kann man das zwar heute schon
ableiten, aber es wäre doch schön wenn es
im Gesetz steht, dass z.B auch für
Schweizer Bürger, für Personen die der
Schweiz wohnen, bei Facebook, bei Google,
bei Apple, überall Online, vor allem in
den USA aber auch zunehmend in Asien, das
schweizerische Datenschutzrecht gilt.
Dann wurde das ausdrückliche Recht auf
Vergessen werden nicht ins Gesetz
aufgenommen. Eigentlich kennen wir das in
der Schweiz schon seit Jahrzehnten, aber
es steht eben nicht im Gesetz und deshalb
gibt es immer Unklarheiten, gerade auch
für die Betroffenen. Datenübertragbarkeit,
Datenportabilität gibt es nicht, sagt man:
Das wäre zu Aufwändig, wir schauen mal wie
das in der EU funktioniert. Und wer Daten
bearbeitet wird nicht von sich aus
nachweisen müssen, dass er eben das
Datenschutzrecht einhält, sondern erst
wenn es zu Verstössen kommt. Schliesslich:
die EU sieht Sanktionen vor,
Verwaltungssanktionen, direkt gegen
Unternehmen. Geldbussen bis 20 Millionen
Euro oder 4% des weltweiten
Jahresumsatzes. Das zielt wiederum direkt
auf amerikanische Anbieter, das gibt so in
der Schweiz nicht, ist nicht vorgesehen.
Immerhin, es gibt so einiges. Die
Branchen, z.B. die IT-Branche, die
Provider, die können Verhaltenskodizes
erarbeiten, also eine Selbstregulierung.
Das ist sinnvoll, das kann man denen
überlassen, damit die eben in der Branche
entscheiden können: Wie halten wir das
Gesetz ein? Dann sind, bei einem hohen
Risiko zumindest,
Datenschutzfolgenabschätzung notwendig.
Das ist auch sinnvoll, die Unternehmen
sollen sich überlegen müssen: Was könnten
die Folgen sein, wenn es z.B. die Daten
abhanden kommen? Und, die Sanktionen
werden ausgebaut mit Bussgeldern bis
250'000 Franken, aber nur gegen private
Personen, nicht gegen die Unternehmen
selbst. Und schliesslich erhält der
Schweizer Datenschutzbeauftragte neue
Rechte. Er kann selbst klagen ab einem
gewissen Punkt. Das heisst, die direkt
Betroffenen, die sind nicht unbedingt auf
sich allein gestellt, sondern der
Datenschutzbeauftragte hilft. Wenn er denn
Zeit und Geld hat, denn die Ressourcen
sind knapp. Das grosse Problem ist aber
die Durchsetzbarkeit. Ja,
Folgeabschätzungen sind gut, Kodizes sind
gut, man kann sich auch zertifizieren
lassen und diese Ausgestaltung, das soll
die Wirtschaft, das sollen all jene, die
Daten bearbeiten selbst übernehmen können.
Aber wie kann das Datenschutzrecht, wenn
etwas schiefläuft, durchgesetzt werden,
eben auch von den direkt betroffenen
Personen. Was könnt ihr unternehmen, ihr
verlangt Auskunft, ihr kriegt keine
Auskunft oder die Auskunft ist falsch oder
ihr seht: okay die Auskunft, die stimmt,
ich will meine Daten löschen lassen, die
machen das aber nicht. Darauf setzen wir
unseren Schwerpunkt. Deshalb haben wir
zahlreiche Forderungen und sehr wichtig:
diese Sanktionen und zwar
Verwaltungssankktionen, soll es direkt
gegen Unternehmen geben und nicht eben
eine strafrechtliche Verfolgung von
privaten Personen. Wieso? Die Erfahrung
zeigt, wenn es Strafrecht gibt gegen
einzelne, private Personen, dann wird ein
Sündenbock gesucht. Wir hatten den Fall
der Bank Coop. Die hat in der Schweiz
mehrere zehntausend Kontoauszüge an die
falschen Personen geschickt. Das ist eine
grobe Datenschutzverletzung. Nun was hat
man gemacht? Man hat das untersucht. Am
Schluss war niemand schuld, aber im
internen Bericht der Bank wurde dann eine
Auszubildende verantwortlich gemacht. Also
war die ganze Kette, die IT, Intern,
Extern und am Schluss hatte man da die
junge Frau, die musste dann intern den
Kopf hinhalten. Es war niemand
verantwortlich, sie wurde nicht bestraft,
aber das ist typisch. Man sucht sich einen
Sündenbock und das sind selten die
verantwortlichen Personen.
Dann die Bussgelder, 250'000 Franken. In der
Schweiz ist alles etwas teurer, hier genau
das Gegenteil. Es ist viel günstiger als
in der EU. Das sollte nicht so sein, diese
Bussgelder sollten erhöht werden. Auch
hilfreich wäre eine kollektive
Rechtsdurchsetzung. Klagen in der Schweiz
ist aufwendig und teuer. Da wäre es doch
schön, wenn z.B. eine Organisation wie
wir, die Digitale Gesellschaft, Betroffene
unterstützen könnten. Wenn wir eine Art
Sammelklage machen könnten. Ist natürlich
hoch umstritten. In die gleiche Richtung
geht die Beweislastumkehr. Wieso muss man
immer beweisen, dass man im Datenschutz
verletzt wurde?Wieso kehrt man das nicht
um in schweren Fällen? Denn häufig hat man
gar nicht Informationen, um das beweisen
zu können, wenn man betroffen ist. Und
schliesslich, das Marktortprinzip. Dass
man nicht diskutieren muss: welches
Datenschutzrecht gilt für Personen in der
Schweiz? Sondern es gilt das
Schweizerische Datenschutzrecht.
Im Parlament geht es los, es finden
Anhörungen statt, z.B in der
Staatspolitischen Kommission des
Nationalrates. Und bereits am Anfang Jahr
geht es dann los im Parlament. Wir gehen
von einem Eintreten aus, dass dann im
Detail beraten wird, obwohl es viel Kritik
gibt. Die kantonalen
Datenschutzbeauftragten die sind für den
staatlichen Datenschutz in den Kantonen
zuständig, nicht für den Privaten, die
üben heftige Kritik und sagen: zurück
damit, noch ein Anlauf. Auch die
Datenschützer, in Anführungszeichen, bei
Konzernen und grossen
Wirtschaftskanzleien, die wehren sich
vehement. Die wollen den Entwurf weiter
abschleifen. Aber vermutlich wird man es
rasch umsetzen, eben mit Blick auf das
Europäische Datenschutzrecht, damit die
Schweiz da weiterhin kompatibel bleibt,
damit es nicht zu Reibereien mit der EU
kommt. Ja, das war unser Überblick über
unsere aktuellen Themen. Vielen Dank für
eure Aufmerksamkeit. Einige Hinweise wie
es nun hier am Kongress für uns
weitergeht, danach könnt ihr auch noch
Fragen stellen. Gleich im Anschluss hier
an den Vortrag und an die Fragen im Saal
lade ich euch herzlich ein, uns in der
"Rights & Freedom Assembly" im Saal 3,
gleich da drüben, zu besuchen, uns
anzuschliessen. Da können wir weiter
diskutieren, können wir weitere Fragen
stellen über die Netzpolitik in der
Schweiz heute und in Zukunft. Ebenfalls im
Saal 3 haben wir unseren Stand, da seid ihr
herzlich eingeladen auch z.B. um gegen das
neue Geldspielgesetz, um gegen die
Netzsperren noch zu unterschreiben. Oder
ihr könnt euch dort auch ganz altmodisch
mit Papier und Stift für den Newsletter
anmelden. Und schliesslich seid ihr alle
herzlich eingeladen, unseren ersten
Winterkongress zu besuchen. Der findet am
24. Februar in Zürich statt, ist ein
kleiner Kongress an einem Samstag, ist
schon ziemlich gut gebucht aber es hat
noch einige Plätze. Da seid ihr herzlich
Willkommen. Vielen Dank und wer jetzt noch
Fragen hier im Saal hat: Gern!
Applaus
Herald: Recht herzlichen Dank, Mercie für
den Vortrag. Fragen: zuerst einmal
vielleicht an den Mikrofonen bitte
aufreihen. Und die erste Frage, falls es
eine gibt, aus dem Internet.
Signal- Angel: Im Internet gab es leider
nur sehr wenige Fragen weil der Stream
nicht funktioniert hat, aber eine habe ich
doch von Mürion: "Das Auszählprozedere
kann jetzt schon nicht nachvollzogen
werden, warum soll das plötzlich relevant
sein?"
Martin: Ja, das kann ich beantworten. Ich
bin anderer Meinung. Zumindest bei der
heutigen Abstimmungen kann das gut
nachvollzogen werden. Ich habe jahrelang
in einem Wahlbüro gearbeitet, habe also
mitgeholfen bei der Auszählung auf Papier.
Ja, da ist nicht alles perfekt, aber es
arbeiten sehr viele Personen mit, alles
ist sehr kleinteilig das heisst, man kann
bei Bedarf zuschauen, es ist
papierbasiert, wenn man einen Fehler
vermutet kann man neu beginnen. Das
passiert auch ab und zu und die
Wahrscheinlichkeit, dass eine Einzelperson
manipulieren kann, relevant manipulieren
kann, die ist verschwindend klein. Es
bräuchte eine richtige Verschwörung, da
sind einfach zu viele Leute dabei, dass es
funktionieren könnte. Beim E-Voting
hingegen ist es letztlich eine Blackbox,
da kann man machen was man will, man kann
Open Source nutzen, man kann das unter die
Lupe nehmen, am Schluss versteht es kaum
jemand. Es ist eine Blackbox und man
kriegt ein Ergebnis. Selbst wenn man
verifizieren kann, was ist wenn ich sage:
"Hey ich habe anders abgestimmt! Da wurde
falsch gezählt!", muss ich dann mein
Stimmverhalten offenlegen? Und dann sagt
man: "Ja, jemand von der Digitalen
Gesellschaft der gesagt fällt gezählt,
okay, ist nicht so relevant.". Das
Vertrauen ist einfach leider sehr schnell
weg, während man das beim heutigen System
viel besser gewährleisten kann. Aber klar,
auch heute sind Verbesserungen möglich,
gerade auch bei der brieflichen
Stimmabgabe.
Herald: Mikrofon 1 bitte schön.
Mikrofon1: Danke für den Vortrag. Ich habe
eine Frage zum Thema Netzneutralität und
zwar tut das den Amerikanern ja so
unglaublich weh, weil die keinen Markt
haben was das Netz angeht. Da gibt es
diese lokalen Anbietern, da gibt es nur
Einen da kann man nicht auswählen, die
Glasfasern und alle Netze die sind in
privater Hand, was bei uns in Europa in
vielen Ländern nicht der Fall ist, oder
noch nicht der Fall ist. Und da verstehe
ich die Argumenation schon ein stückweit,
dass eine gesetzliche Regulierung in dem
Sinne nicht dringlich ist, aber wie stellt
man sich dann diese gesetzliche
Regulierung von der DigiGes her vor?
Paki murmelt etwas zu Kire
Kire: Die Verletzungen auf der letzten
Meile, Verletzungen auf der letzten Meile
was Zero-Rating betrifft, gibt es schon im
Mobilfunk ziemlich stark, und eigentlich
von allen Providern. Also da kann ich
bereits heute nicht mehr wirklich
auswählen, dass ich wirklich einen
Provider habe der das auch gar nicht
verfolgt, dieses Thema, oder keine Zero-
Rating im Angebot hat. Und gerade bei
Zero-Rating ist es halt das Problem, dass
es in erster Linie aus der
Konsumentensicht eigentlich als Vorteil
angesehen wird. Weil gewisse Dienste halt
eben nicht zum meinem Datenvolumen gezählt
werden. Und daher wird das so schleichend
dann eingeführt. Und eigentlich tut mir
das gar nicht weh im ersten Moment. Und
genau darum braucht das eigentlich eine
Regulierung, damit halt diese Einschränkungen
nicht so schleichend kommen.
Paki: Das Problem ist, wenn es ein Zero-
Rating für Netflix z.B. gäbe in der
Schweiz und hätte ein zweiter Anbieter es
dann extrem schwer da überhaupt in den
ganzen Markt heran zu kommen. Das ist das
grosse Problem dort.
Herald: Gibt es noch eine weitere Frage
aus dem Internet?
Signal-Angel: Nein, leider keine.
Herald: Hier auch keine Fragen mehr? Dann
recht herzlichen Dank an Kire, Paki und
Martin aus der Schweiz.
Martin: Vielen Dank.
Applaus
34c3 Abspannmusik
Untertitel erstellt von c3subtitles.de
im Jahr 2018. Mach mit und hilf uns!