34C3 Vorspannmusik Herald: Netzpolitik in der Schweiz und die Organisation Digitale Gesellschaft sollten eigentlich immer gemeinsam genannt werden. Bei der Digitalen Gesellschaft handelt es sich um eine gemeinnützige Organisation die sich für Grund- Menschen- und Konsumentenrechte im Internet und speziell in der Schweiz einsetzt. Wir haben hier heute drei Vertreter der Digitalen Gesellschaft bei uns auf der Bühne und zwar den Geschäftsführer Kire, ganz links von euch aus gesehen, in der Mitte den Patrick und auf der rechten Seite den Martin. Und nun bühne frei für die drei eidgenössischen Netzpolitiker! Martin: Vielen Dank. Ich begrüsse euch ganz herzlich zu unserem Vortrag über die Netzpolitik in der Schweiz. Wir werden heute über den aktuellen Stand der Netzpolitik über unsere Themen berichten und auch was das neue Jahr bringen wird. Als erste Übersicht die Themen: Auch in der Schweiz wird der Überwachungsstaat der Polizeistaat ausgebaut. Das Stichwort ist das Akronym BÜPF, das revidiert Überwachungsgesetze. Dazu wird euch Kire gleich mehr erzählen. Dann gehen wir auch rechtlich gegen die Massenüberwachung vor, gegen die Vorratsdatenspeicherung und gegen die Kabelaufklärung. Auch dazu mehr Informationen. Dann, wie so häufig, in der Schweiz dauert alles etwas länger, aber dann kommt doch: Netzsperren in Gesetzen sind auch bei uns vorgesehen. Auch da engagieren wir uns. E-Voteing, Elektronische Identität, auch das kommt in der Schweiz, etwas unglücklich umgesetzt. Das lehnen wir teilweise ab, teilweise haben wir bessere Ideen. Und zuletzt das Datenschutzrecht. Die meisten von euch wissen es: die EU revidiert es, die Schweiz die folgt hinten nach. Auch dazu werden wir euch mehr erzählen. Und damit gebe ich Kire das Wort über das BÜPF. Kire: Ton fehlt ... wär eine Einschätzung zum neuen BÜPF. Das total revidierte Bundesgesetz betreffend die Überwachung des Post- und Fernmeldeverkehrs wird nun definitiv am 1. März 2018 in Kraft treten. Es werden dann noch verschiedene Übergangsfristen gelten, welches den Providern die technische Umsetzung der Überwachungsmassnahmen ermöglichen. Diese sind längstens 24 Monate. Zur Vergegenwärtigung: das aktuelle BÜPF gilt für Access Provider und für die von ihnen angebotenen Dienste wie zum Beispiel e-mail oder auch voice-over- ip. Im revidierten BÜPF wird dieser Geltungsbereich nun deutlich ausgeweitet. Es gilt neu auch für sogenannte Anbieter von abgeleiteten Kommunikationsdiensten. Damit sind Dienste gemeint, die einen Austausch von Informationen ermöglichen, also eigentlich für praktisch alle Dienste. Und neu wird das Gesetz auch für Personen gelten, welches ihr Netz Dritten zur Verfügung stellen. Das zielt hauptsächlich auf Anbieter von public wlan ab. Diese Anbieter von abgeleiteten Kommunikationsdiensten sind denn den Access Providern in deren Pflichten gleichgestellt wenn eine der zwei Bedingungen erfüllt sind. Und zwar entweder 10 Überwachungsgesuche in einem Jahr, oder aber der Anbieter erwirtschaftet einen Jahresumsatz von mindestens 100 Millionen Franken mit mindestens 5000 Benutzern. Wenn eine von diesen zwei Bedingungen zutreffend ist, dann ist der Anbieter der Access Providern gleichgestellt, was bedeutet, dass sie aktiv überwachen können – müssen – und dass sie die Vorratsdatenspeicherung vornehmen müssen. Sind diese beiden Kriterien nicht gegeben, dann müssen sie eine Überwachung dulden. Also alle anderen Anbieter müssen eine Überwachung dulden und diese Duldung schliesst auch die Zugangsgewährung mit ein. Also die Anbieter müssen Zugang zu Gebäuden, aber auch zu Netzen und Diensten gewähren, dass eine Überwachung durch den Dienst ÜPF, aber auch über den von ihnen beauftragten Personen, die Überwachung vornehmen können. Wen nun eine solche Überwachungspflicht trifft, der muss neu auch die Teilnehmer identifizieren. Das heisst, es wird in der Schweiz in Zukunft nicht mehr so einfach möglich sein einfach ein e-mail account zu klicken. Allerdings gilt eine Ausweispflicht nur in Mobilfunknetzen, also beim Abschluss von einem Handyabo oder bei Prepaid-angeboten. Für alle anderen Dienste reicht eine Identifikation zum Beispiel über die Zusendung eines Tokens per SMS. Diese Teilnehmeridentifikation wird neu auch für Anbieter von Public Wlans gelten, wenn sie dieses professionell tun. Mit professionell ist gemeint, wenn mit dem Betrieb eine spezialisierte IT- Dienstleisterin beauftragt worden ist. Dieser Text ist aus den Erläuterungen zur Verordnung und erklärt diesen Begriff. Umgekehrt, wenn ich zum Beispiel als Restaurantbesitzer einen wlan access point selber kaufe und installieren und betreue, dann falle ich nicht unter diese Pflicht zur Teilnehmeridentifikation. Nicht desto trotz werden öffentlichen public wlan ohne eine SMS-Registrierung weiter aussterben. Immerhin werden Dienste wie z.B. Freifunk nicht darunter fallen, weil diese eben nicht professionell betrieben werden. Was wir aber auch sehen werden, aufgrund dieser Teilnehmeridentifikation, sind Antennensuchläufe neu auch in wlan. Also die gerichtliche Feststellung, wer sich wann, wo aufgehalten hat, auf Basis der Verwendung eines public wlan. Dann ist noch eine wichtige Frage offen bezüglich des Staatstrojaner, den wir ja mit dem neuen BÜPF auch erhalten werden. und zwar geht es hier in dieser Frage um die Infektion also wie eine staatliche Malware auf das Zielgerät kommt. Wir sehen hier drei verschiedene Varianten: entweder über eine Sicherheitslücke, diese Variante wirft selber einige Fragen auf. Oder aber ein Aufspielen über ein Eindringen in die Räumlichkeiten wo sich die Geräte befinden. Das ist eine Variante die auch im Gesetz vorgesehen ist. Oder aber über Mithilfe von Dritten. Zum Beispiel über eine infektion proxy beim Provider. ein Update Server, eine personalisierte App oder zum Beispiel im Download einer Steuererklärungssoftware. Das bringt uns nur zur wichtigen Frage: können tatsächlich Dritte – unbeteiligte Dritte - herangezogen werden um Staatstrojaner auf die Zielgeräte zu bringen. Und tatsächlich kennt das Strafverfahren gewisse Pflichten, wie zum Beispiel eine Pflicht zur Auskunft oder auch ne Pflicht zur Zeugenaussage. Aber es ist im Strafrecht keine aktive Mitwirkungspflicht vorgesehen. Diese Einschätzung deckt sich auch mit einer Aussage vom Bundesamt für Justiz auf Anfrage. Allerdings wird die Praxis zeigen was die Strafverfolgungsbehörden in diesem Zusammenhang fordern, und was die Zwangsmassnahmengerichte allenfalls auch bewilligen. Wir würden dann zum zweiten Teil, zu den beiden Beschwerden gegen die Kabelaufklärung und die Vorratsdatenspeicherung kommen. Beide Gerichtsverfahren sind strategische Klagen. Es geht darum, Grundsatzentscheide zu erhalten, die aufzeigt wo die rote Linie verläuft zwischen einer zielgerichteten Einzelfallüberwachung und einer anlasslosen Massenüberwachung, die uns alle in der Privatsphäre betrifft, und alle unsere Privatsphäre verletzt. Die Schweiz kennt kein Verfassungsgericht das es ermöglichen würde, ein solches Gesetz oder ein Gesetzesartikel abstrakt auf die Gültigkeit prüfen zu lassen. Daher ist es in der Schweiz nötig, über eine persönliche Betroffenheit und ein Gesuch an die zuständige Behörde ein Gerichtsverfahren anzustrengen, das dann in Form von Beschwerden und durch die Instanzen weitergeführt wird. Die erste Beschwerde betrifft das Nachrichtendienstgesetz. Dieses Gesetz ist in diesem Jahr am 1. September in Kraft getreten. Dieses Massnahmengesetzt beinhaltet zahlreiche neuen Befugnisse. Unter anderem alle Massnahmen die auch im BÜPF vorgesehen sind, inklusive Staatstrojaner oder eben auch die, was in der Beschwerde nun wichtig ist, die Massenüberwachung per Kabelaufklärung. Wie gesagt, das Gesetz ist am 1. September in Kraft getreten. Wir haben daher ein Gesuch an den Nachrichtendienst per 31. 08.2017 gestellt. Im Kern fordern wir in dem Gesuch, dass die Kabelaufklärung nicht einzuführen sei, weil von dieser Überwachung alle betroffen sind, wir alle unter einen Generalverdacht gestellt werden und weil es praktisch unmöglich ist, noch etwas zu suchen, dass man gar nicht kennt. Und wir verknüpfen diese Forderung mit der Forderung, die Funkaufklärung die bereits besteht, zu unterlassen. Wir machen diese Verknüpfung, weil die Kabelaufklärung eine Weiterentwicklung der Funk- und Satellitenaufklärung ist. Die Funkaufklärung kennen wir seit ca. dem 2. Weltkrieg. Da ging es ursprünglich darum, in dieser militärischen Überwachung, den gegnerischen oder den ausländischen Feind, über den Informationen zu erhalten. Diese Funkaufklärung wurde im Jahr 2000 über ein geheimes Projekt zur Satellitenüberwachung ausgedehnt. Dieses Projekt wurde dann bekannt, es gab eine Untersuchung der Eigenössischen Geschäftsprüfungsdelegation GPDel welche im Jahr 2003 und 2007 2 Berichte veröffentlicht hat, welche dieses Überwachungssystem beschreibt, aber auch Verstösse gegen die Menschenrechte festhält. Da es sich bei dieser Überwachung um ausländische Satelliten handelt, ist tendenziell ausländische Kommunikation von dieser Überwachungsmassnahme betroffen, aber natürlich nicht nur. Also Personen aus der Schweiz kommunizieren genauso über diese Satelliten und es sind auch zivile Satelliten. Weil mehr und mehr Kommunikation nicht mehr über Satelliten stattfindet sondern über Glasfaserkabel wird diese Überwachungen jetzt neu nochmals ausgedehnt auf die Kabelaufklärung. Und diese zielt auf die grenzüberschreitenden Leitungen ab, weil, im Gegensatz zu ausländischen Satelliten, ausländische Kabel von Schweizer Behörden nicht überwacht werden können. Bloss ist nun bei dieser Überwachung fast in jedem Fall auch eine inländische Person betroffen und selbstverständlich gelten Menschenrechte auch im Ausland. Die Antwort des Nachrichtendienstes auf unser Gesuch ist einigermassen erstaunlich. Es umfasst gerade einmal eine Seite. Der Nachrichtendienst stellt sich als eine einfache Verwaltungsbehörde ohne Spielraum dar und ist der Ansicht, dass diese Massnahme keine Grundrechte verletzen würde. Was bereits durch die Berichte der GPDel eigentlich widerlegt ist. Wir sind daraufhin mit einer Beschwerde an das Bundesverwaltungsgericht in St. Gallen gelangt. Der Geheimdienst hat nun Zeit bis Mitte Januar, Stellung zu beziehen. Im Anschluss wird dann das Bundesverwaltungsgericht entweder inhaltlich über unser Gesuch urteilen oder aber es zurück an den Geheimdienst leiten, der inhaltlich urteilen muss. Dann würden wir eigentlich wieder am Anfang vom Verfahren stehen. Das zweite Verfahren betrifft die Beschwerde gegen die Vorratsdatenspeicherung. Diese ist schon etwas älter, das haben wir im Jahr 2014 gestartet. Aktuell ist das Verfahren hängig am Bundesgericht. Da haben nun seit Frühling 2017 schriftliche Anhörungen stattgefunden. Der Dienst Überwachung, Post- und Fernmeldeverkehrs, der Eidgenössische Datenschutzbeauftragte, die Swisscom und auch wir konnten wechselseitig Stellung beziehen. Diese Phase ist nun abgeschlossen. Mit einem Entscheid ist wohl im nächsten Jahr zu rechnen. Wie gesagt, da wir kein Verfassungsgericht kennen und das Bundesgericht keine entsprechende Kompetenz hat, wird hier wohl ein Weiterzug an den Europäischen Gerichtshof für Menschenrechte nötig sein. Die Verfahren sind ziemlich zeitintensiv. Die Beschwerde gegen die Vorratsdaten... in der Beschwerde gegen die Vorratsdatenspeicherung sind wir wohl etwa in der Hälfte. In der Beschwerde gegen die Kabelaufklärung stehen wir ganz am Anfang. Und die Verfahren kosten auch ziemlich viel Geld, entsprechend sind wir hier auf Unterstützung angewiesen. Wir würden dann zum 3. Teil kommen, zu den Netzsperren. Hier übergebe ich gerne das Wort an Paki. Paki: So, diejenigen die letztes Jahr schon hier waren, den dürfte dieses Bild einigermassen bekannt vorkommen. Ich habe auch ein Neues rausgesucht. Das Problem ist, dass im Moment die Politiker und Politik in der Schweiz immer noch davon ausgeht, dass Netzsperren ein adäquates technisches Mittel sind, um soziale Probleme zu lösen. Wie man anhand dieses Bildes sieht, helfen Sperren hat einfach nicht immer. Wir haben uns mit drei Gesetzen rumgeschlagen: Das Erste ist das Geldspielgesetz. Da geht es nicht um eure Bitcoins, da geht es vor allem um Poker und Roulette usw, physisches Glücksspiel. Dann das Urheberrechtsgesetz und das Fernmeldegesetz. Im Geldspielgesetz: was ist dort vorgesehen? Es sind Massnahmen vorgesehen, die die Spielsucht eindämmen sollen. Das Problem jedoch ist, dass dort kein Geld gesprochen wird. Das heisst das Geld muss von den Kantonen kommen und nicht von den Casinos oder den Online- Casinos die diese Spielsucht überhaupt auslösen. Also das Verursacherprinzip ist hier nicht gewahrt. Es erlaubt erstmals Online- Glücksspiel, allerdings auch nur inländisches Online- Glücksspiel. Das Problem ist allerdings, dass der inländische Markt zu klein ist, zum Beispiel beim Poker, wurde uns gesagt, um überhaupt ein grosses Pokerspiel in der Schweiz aufzubauen. Das heisst, man will jetzt diesen inländischen Markt mit Netzsperren von ausländischen Anbietern abschotten und die ausländische Anbieter illegal erklären, was sie eigentlich schon sind Der Stand beim Geldspielgesetz ist so, dass das Referendum jetzt läuft, das heisst es hat beide Kammern – National- und Ständerat – passiert, ist in den Schlussabstimmungen durchgekommen und Jungparteien haben jetzt das Referendum ergriffen und es könnte klappen. Es ist sehr, sehr knapp. Es kommen jetzt, diese Tage kommen immer noch tausende Unterschriften rein, aber es braucht die Unterschrift von jedem Schweizer Stimmbürger der hier ist. Fall ihr noch nicht unterschrieben habt, oder noch Unterschriften zu Hause habt, sendet die ein oder kommt bei uns beim Stand vorbei und deponiert die oder leistet eure Unterschrift. Es ist extrem wichtig. Es ist extrem knapp. Genau, was wir auch noch gemacht haben, vorgängig bei diesem Gesetz ist, wir haben versucht in den Kommissionen Einfluss zu nehmen. Aber auch hier ist es extrem schwierig einem Politiker zu erklären, dass Netzsperren nicht funktionieren. Auch wenn man ihn es ihnen live demonstriert an einem PC, oder an ihrem PC. Dann zum Urheberrecht. Hier ist eine Totalrevision vorgesehen Das Gute ist, die Privatkopie die bleibt, ebenso der straffreie Download. Was allerdings reinkommt, ist ein Lichtbildschutz, wie wir den in Deutschland schon kennen. Bisher hatten wir in der Schweiz eine gewisse Schöpfungshöhe die nötig war, damit dann ein Lichtbild, also eine Fotografie eigentlich, urheberrechtlich geschützt ist. Nun ist jeder Schnappschuss ,der jemand auf Facebook teilt, eigentlich urheberrechtlich geschützt. Das wird noch spannend, was da passiert. Wir haben's in Deutschland, habt ihr ja schon ein bisschen Erfahrung damit. Ebenso ist die Regelung verwaister Werke ein bisschen besser geworden. Es wurde ein bisschen klarer definiert, was man machen muss, wenn man ein verweistes Werk z.B. wieder verlegen muss, verlegen will. Plus die Schutzrechte wurden angepasst auf 70 Jahre. Das ist eigentlich eine technische Anpassung die so nicht nötig wäre, aber das Umland hat dort auch überall 70 Jahre. Dann wird es Take- & Stay-Down- Regelungen geben für Anbieter, die die Konten von Usern zur Verfügung stellen. Das heisst, wenn irgendein User von einem Anbieter eine Datei hochlädt, das Filmstudio sagt: "Das ist ein Blockbuster von uns, nehmt den runter", dann muss ich "technisch adäquate Lösungen" bereitstellen, die "wirtschaftlich sinnvoll" sind, damit auch dieser Content niemals mehr in dieser Form bei mir hochgeladen wird. Was darunter verstanden wird, werden wahrscheinlich dann die Gerichte genau erklären müssen. Dann wird ein Gerichtsspruch des Bundesgerichts indirekt überschrieben, das heisst, bisher war es in der Schweiz nicht möglich, einen Filesharer anzuklagen, um dann an dessen Namen zu kommen und ihn dann finanziell zu belangen für die Urheberrechtsverletzungen die er gemacht hat. Neu ist dieser Passus eigentlich – also diese Anleitung – genau so im Gesetz drin. Das ist auch eine Umkehr. Dort wird sich auch zeigen ob sich dann dieser Passus dann halten lässt oder nicht. Wir werden sehen. Dann sind es trotz... die Prämisse dieses Gesetzes war: Es ist die Anpassung des Urheberrechts an das Internetzeitalter. Das Problem ist einfach: es hat keine Anpassung ans Internetzeitalter gegeben. Es gibt kein Right to Remix, es gibt keine Fair-Use- Klausel, das heisst jeder Facebookbenutzer der Memes hochlädt oder selbst erstellt, wird weiterhin pro Jahr bis zu 10000 franken an Urheberrechtkosten verursachen, sollte er angeklagt werden. Der Stand dieses Gesetzes ist nun so, dass die Rückmeldung – es waren ja 1200 Einzeleinsendungen, zum Teil hunderte Seiten – die als Feedback gekommen sind zu diesem Gesetz, die wurden verarbeitet. Die Eingaben der Zivilgesellschaft aber mehrheitlich ignoriert. Jetzt, ein Lichtblick ist drin: die Netzsperren sind temporär mal rausgeflogen. Es besteht aber kein Zweifel, dass da die Musik- und Filmindustrie die Netzsperren wieder fordern wird und auch Politiker findet, Parlamentarier findet, die diese dann in den Kommissionen auch wieder einbringen. Das heisst, dieser Kampf ist leider noch nicht gewonnen. Jetzt kommt dieses Gesetz dann in die Kommissionen, es finden Anhörungen statt. Spannenderweise sind in National- und Ständerat zwei verschiedene Kommisionen dafür zuständig. Warum ist mir auch nicht ganz klar. Ist auch das erste Mal, dass ich das persönlich sehe. Ich weiss nicht, wie häufig das ist. Nun, was versuchen wir dagegen zu tun oder was tun wir, damit dass dieses Gesetz besser wird, oder vielleicht gar nicht durch kommt. Wir versuchen, wie immer, Einflussnahme zu nehmen in den Kommissionen. Wir versuchen mit den Politikern zu sprechen, ihnen zu erklären, dass ihre Massnahmen so nicht sinnvoll sind, so nicht durchsetzbar sind. Zudem haben wir eine Arbeitsgruppe gebildet, die eigentlich Personen aus mehreren Parteien sammeln soll, um so gezielt auch Leute aus der eigenen Partei zu ihren eigenen Parlamentariern schicken können und diesen klar machen: "Hey, was ihr da sagt widerspricht unserer eigenen Parteilinie.". Es gab jetzt ein erstes Treffen im Dezember, Mitte Dezember. Das nächste Treffen wird wahrscheinlich an unserem Winterkongress stattfinden. Dazu sagen wir später noch was. Dann zum Fernmeldegesetz. Da haben wir auch letztes Jahr schon ein bisschen darüber berichtet. Nun sind wir dort ein bisschen weiter. Auch hier geht es darum, Netzsperren einzuführen. Diesmal zu Unterdrücken von pornografischen Inhalten. Bis jetzt gab es ein Kodex, in dem sich verschiedene Provider angeschlossen haben. Die haben DNS- Sperren eingerichtet für gewisse Webseiten, die ihnen vom Bundesamt für Justiz gemeldet wurden. Neu soll diese Netzsperren eigentlich für alle Access Provider dann gelten. Das heisst auch, dass diese Liste mit verbotenen Webseiten oder verboten DNS- Einträgen viel breiter gestreut ist. Mal schauen. Dann, drin ist die Regulation der letzten Meile bei der Glasfaser, beziehungsweise wir hätten gerne die Regulation der letzten Meile unabhängig vom Medium gehabt. Da ist jetzt Monopolist ein bisschen am drucksen oder sehr stark am lobbyieren, dass diese Regulierung so nicht reinkommt. Die Regulation der Roaminggebühren, die wird jetzt ebenfalls kommen, vielleicht, denn vor zwei Jahren gab es schon eine ähnliche Motionen im Ständerat und die wurde dann quasi ohne Ergebnis abgeschrieben, weil "der Markt spielt ja". Jeder der ein schweizer Mobilfunkabonnement hat weiss, dass der Markt nicht wirklich spielt. Dann gibt es keine Netzneutralität festgeschrieben. Es gibt einen Kodex, der übernommen wurde. Der Kodex wurde letztes Jahr ziemlich medienwirksam dann aufgebauscht. Wir sagen, wir deklarieren, wenn wir die Netzneutralität verletzten, das das doch nichts bringt, das auch komplett gegen die Richtung der EU und auch Deutschland strömt. Das haben die Schweizer einfach noch nicht erkannt. Also die Telekom musste jetzt gerade an ein Angebot rausnehmen bei dem sie 0-Rating machten. Wir versuchen auch hier, oder wir haben einen Entwurf, den wir versuchen, den wir in die Kommissionen reintragen versuchen, der die Netzneutralität ganz fix und ganz klar festlegt. Und wir hoffen, dass da zumindest ein Bisschen was davon übrig bleibt. Hier sind jetzt der Stand: die Vernehmlassung vom Fernmeldegesetz ist erfolgt. Es gab dann eine weitere Botschaft zu Handen der Kommission. Bei den Anhörungen waren wir zum Teil eingeladen, zum Teil haben wir uns eingeladen und wurden auch angehört. Wie effektiv das dann ist weiss man halt erst, wenn die Kommission dann auch abgestimmt hat über die einzelnen Artikeln und über unseren Input den wir da geliefert haben. Jetzt, es finden noch weitere Anhörungen statt zum Fernmeldegesetz und voraussichtlich kommt das in der Frühlingssession oder dann im Sommer in die Räte. Genau, Einflussnahme habe ich bereits erwähnt. Jetzt in der E-Governement-Strategie das Bundes gibt es 2, gibt es mehrere Standbeine. 2 Standbeine sind E-Voting und die Elektronische Identität. Diese werden jetzt von oberster Ebene her befohlen. Da müssen wir was machen und das Bundesamt für Justiz, das macht dann auch sehr schnell aber halt nicht sehr gründlich. Es sind im Moment die Themen mit denen sich die Politiker in Bern als ICT-Politiker wahrscheinlich für irgendein Mandat empfehlen wollen. Es kommt heraus, dass die nicht nicht sehr viel Ahnung haben vom ganzen Thema wenn man ein bisschen genauer reinschaut da. Was ist vorgesehen bei der Elektronischen Identität. Es ist vorgesehen dass es mehrere Identity Provider gibt, die persönliche Daten, verifiziert persönliche Daten rausgehen können. Also: Name, Vorname, Adresse, Geburtsdatum und so weiter. Mit diesen Adressen kann man dann auch eine Inkasso- Abfrage machen oder kann jemanden eindeutig gesichert identifizieren, dass es diese Person ist, jetzt bei mir ein Bankkonto aufmachen will. Der Vorschlag, der wird im Moment von der Post, Swisscom und SBB durchgedrückt, mit Unterstützung natürlich des Bundesrates. Das Ganze in der Umsetzung knüpft ein bisschen an die SuisseID an, das heisst Private geben diese elektronische ID dann raus. Wer von euch hat ne SuisseID? Da sieht man wie verbreitet sie ist. 3 Personen. Die Idee ist, dass Banken und Onlineshops diese Dienstleistung dann gebrauchen können, und die dann pro Identifizierungsvorgang zahlen, das heisst, wenn ich mein Bankkonto aufmache, identifiziere ich mich einmal, wenn ich einen Online-Shop Konto aufmache, dann auch, und so weiter. Das schafft nun zahlreiche Probleme. Unserer Meinung nach kann nur eine staatliche Institution eine elektronische Identifikation schaffen oder Vertrauen dort drin schaffen. Die SuisseID hat nicht funktioniert weil der Enrolement-Prozess zu kompliziert war. Zudem ist auch die jetzige elektronische Identität am Kunden vorbei geplant. Ich bin seit 15 Jahren bei der gleichen Bank. Ich werde nicht nächstes Jahr drei Konten eröffnen, nur weil ich eine elektronische Identität habe, oder weil ich mit einer elektronischen Identität das machen kann. Die amtliche, oder Behördengänge von Personen, von normalen Personen, das ist eigentlich genau einer. Das ist die Einreichung der Steuererklärung. Und dafür brauche ich auch keine elektronische ID. Also es ist mir und uns unklar, wer überhaupt dann der Empfänger dieser elektronischen Identität sein soll. Und schlussendlich wird es dann auch zu teuer weil der Verwaltungsaufwand viel zu gross ist für diese 10.000 Karten oder Identitäten die man dann herausgeben kann. Hier ist die Vernehmlassung zu Ende auch hier wird eine Botschaft erarbeitet und das kommt dann in die Kommissionen. Es gibt ein Konzept "Digitale identität in der Schweiz" von der Swiss Data Alliance. Was mir dort drin fehlt, ist noch die Möglichkeit mit einer elektronischen Identität dann auch Verschlüsselung oder Signierung zu machen. Das ist, dann würde ich wieder eine grössere Verbreitung sehen dieses ganzen Konzeptes. Zum E-Voting ganz kurz: die Syteme der 1. Generation sind tot. Das System das Zürich eingeführt hat, das darf nicht mehr verwendet werden. Aktuell sind die Systeme der nächsten Generation in Entwicklung und auch bereits in Gebrauch. Diese können allerdings noch nicht überall eingesetzt werden, weil zum Teil gesetzliche Grundlagen fehlen, um dann die ganze Bevölkerung eines Kantons da mit elektronischer Abstimmung ... mittels elektronischer Abstimmung abstimmen zu lassen. Dann gibt es noch eine kuriose Motion. Eine Bug-Bounty Motion. Da soll eine Million ausgeschrieben werden um das schweizer E-Voting-System zu hacken. Das ist natürlich totaler Schwachsinn, weil jemand der die Möglichkeiten hat, ein E-Voting-System zu knacken, der zieht viel mehr Profit als eine Million raus, der zieht das Tausendfache heraus wenn er das z.B. bei ner Bergbau-Initiative wie der Gotthardröhre macht, oder staatliche Aktoren, die eine Abstimmung durchdrücken wollen. Zudem ist, nur weil ein Bug-Bounty ausgesetzt wird, ist es nicht ganz klar, dass das System dann nicht hackbar ist. Das kann man nicht beweisen indem man ein Bug-Bounty ausschreibt. Unsere Forderungen, das sind eigentlich immer noch die gleichen. Das ist der Slide von letztes Jahr. Wir wollen, dass das ganze E-Voting für jeden Einzelnen der seine Stimme abgibt auch verifizierbar ist, dass er seine Stimme, dass seine Stimme so zählt, wie er sie abgegeben hat und das ist leider nicht möglich. Selbst ich kann die kryptographischen Verfahren die hier gebraucht werden nicht ganz nachvollziehen. Zudem, selbst wenn ich sie nachvollziehen könnte, könnte ich nicht beweisen, dass das Software System das ich angeschaut habe, auch das ist, das eingesetzt wird. Und jeder der über Weihnachten den PC seiner Schwester oder seine Eltern neu aufsetzen musste weiss, wie verwund- und angreifbar diese Plattformen sind und diese sollen dann schlussendlich die Wahlmaschinen sein mit denen wir unsere Demokratie ausführen. Und das kann es nicht sein. Und jetzt wird euch Martin noch etwas zum Datenschutzrecht erzählen. Martin: Vielen Dank. Vielen Dank, PaKi. Ja, die Daten. Alle wollen digital werden, alle wollen diesen Datenschatz heben und da kann auch die Schweiz nicht hinten anstehen. Der Hintergrund ist, dass wir in der Schweiz ein Datenschutzgesetz haben. Das war modern, als es 1992 in Kraft trat. Seither ist viel Zeit vergangen. Wenn man sich überlegt, dass heutige Internet gab es noch kaum, die grossen Plattformen in den USA gab es noch kaum, und vor allem hatte die EU noch kein eigenes Datenschutzrecht. Das ändert sich am 25. Mai nächsten Jahres, dann tritt die neue EU-Datenschutzgrundverordnung – die DSGVO – in Kraft. Da muss die Schweiz sich anschließend, denn heute entscheidet die EU-Kommission jeweils ob das Datenschutzrecht in der Schweiz als angemessen gilt, gibt es einen Angemessenheitbeschluss. Und das ist wichtig damit die Schweiz, im Herzen Europas aber nicht EU-Mitglied, weiterhin ohne spezielle Hürden Daten – Personendaten – mit EU-Staaten austauschen kann. Nun, der erste Entwurf war eine Katastrophe, nun gibt es einen Zweiten. Der geht auch ins Parlament und die Stossrichtung, die stimmt. Auch interessant: der Grundsatz der "Erlaubnis mit Verbotsvorbehalten" bleibt erhalten, das heisst, in der Schweiz im Datenschutz spielt der Grundsatz: man darf Personendaten bearbeiten, es sei denn es ist verboten. Die EU hat genau das Gegenteil: man darf keine Daten bearbeiten, es sei denn man hat einen guten Grund, einen Rechtfertigungsgrund, wie zum Beispiel eine Einwilligung. Dennoch, wenn man sich den Entwurf in der Schweiz anschaut, dann wird auf Vieles verzichtet, das wir gerne hätten, das sinnvoll wäre. Zum Beispiel das Marktortprinzip: für Bürger von EU-Staaten gilt in Zukunft, dass für alle Daten, die weltweit von ihnen bearbeitet werden das europäische Datenschutzrecht gilt. In der Schweiz kann man das zwar heute schon ableiten, aber es wäre doch schön wenn es im Gesetz steht, dass z.B auch für Schweizer Bürger, für Personen die der Schweiz wohnen, bei Facebook, bei Google, bei Apple, überall Online, vor allem in den USA aber auch zunehmend in Asien, das schweizerische Datenschutzrecht gilt. Dann wurde das ausdrückliche Recht auf Vergessen werden nicht ins Gesetz aufgenommen. Eigentlich kennen wir das in der Schweiz schon seit Jahrzehnten, aber es steht eben nicht im Gesetz und deshalb gibt es immer Unklarheiten, gerade auch für die Betroffenen. Datenübertragbarkeit, Datenportabilität gibt es nicht, sagt man: Das wäre zu Aufwändig, wir schauen mal wie das in der EU funktioniert. Und wer Daten bearbeitet wird nicht von sich aus nachweisen müssen, dass er eben das Datenschutzrecht einhält, sondern erst wenn es zu Verstössen kommt. Schliesslich: die EU sieht Sanktionen vor, Verwaltungssanktionen, direkt gegen Unternehmen. Geldbussen bis 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes. Das zielt wiederum direkt auf amerikanische Anbieter, das gibt so in der Schweiz nicht, ist nicht vorgesehen. Immerhin, es gibt so einiges. Die Branchen, z.B. die IT-Branche, die Provider, die können Verhaltenskodizes erarbeiten, also eine Selbstregulierung. Das ist sinnvoll, das kann man denen überlassen, damit die eben in der Branche entscheiden können: Wie halten wir das Gesetz ein? Dann sind, bei einem hohen Risiko zumindest, Datenschutzfolgenabschätzung notwendig. Das ist auch sinnvoll, die Unternehmen sollen sich überlegen müssen: Was könnten die Folgen sein, wenn es z.B. die Daten abhanden kommen? Und, die Sanktionen werden ausgebaut mit Bussgeldern bis 250'000 Franken, aber nur gegen private Personen, nicht gegen die Unternehmen selbst. Und schliesslich erhält der Schweizer Datenschutzbeauftragte neue Rechte. Er kann selbst klagen ab einem gewissen Punkt. Das heisst, die direkt Betroffenen, die sind nicht unbedingt auf sich allein gestellt, sondern der Datenschutzbeauftragte hilft. Wenn er denn Zeit und Geld hat, denn die Ressourcen sind knapp. Das grosse Problem ist aber die Durchsetzbarkeit. Ja, Folgeabschätzungen sind gut, Kodizes sind gut, man kann sich auch zertifizieren lassen und diese Ausgestaltung, das soll die Wirtschaft, das sollen all jene, die Daten bearbeiten selbst übernehmen können. Aber wie kann das Datenschutzrecht, wenn etwas schiefläuft, durchgesetzt werden, eben auch von den direkt betroffenen Personen. Was könnt ihr unternehmen, ihr verlangt Auskunft, ihr kriegt keine Auskunft oder die Auskunft ist falsch oder ihr seht: okay die Auskunft, die stimmt, ich will meine Daten löschen lassen, die machen das aber nicht. Darauf setzen wir unseren Schwerpunkt. Deshalb haben wir zahlreiche Forderungen und sehr wichtig: diese Sanktionen und zwar Verwaltungssankktionen, soll es direkt gegen Unternehmen geben und nicht eben eine strafrechtliche Verfolgung von privaten Personen. Wieso? Die Erfahrung zeigt, wenn es Strafrecht gibt gegen einzelne, private Personen, dann wird ein Sündenbock gesucht. Wir hatten den Fall der Bank Coop. Die hat in der Schweiz mehrere zehntausend Kontoauszüge an die falschen Personen geschickt. Das ist eine grobe Datenschutzverletzung. Nun was hat man gemacht? Man hat das untersucht. Am Schluss war niemand schuld, aber im internen Bericht der Bank wurde dann eine Auszubildende verantwortlich gemacht. Also war die ganze Kette, die IT, Intern, Extern und am Schluss hatte man da die junge Frau, die musste dann intern den Kopf hinhalten. Es war niemand verantwortlich, sie wurde nicht bestraft, aber das ist typisch. Man sucht sich einen Sündenbock und das sind selten die verantwortlichen Personen. Dann die Bussgelder, 250'000 Franken. In der Schweiz ist alles etwas teurer, hier genau das Gegenteil. Es ist viel günstiger als in der EU. Das sollte nicht so sein, diese Bussgelder sollten erhöht werden. Auch hilfreich wäre eine kollektive Rechtsdurchsetzung. Klagen in der Schweiz ist aufwendig und teuer. Da wäre es doch schön, wenn z.B. eine Organisation wie wir, die Digitale Gesellschaft, Betroffene unterstützen könnten. Wenn wir eine Art Sammelklage machen könnten. Ist natürlich hoch umstritten. In die gleiche Richtung geht die Beweislastumkehr. Wieso muss man immer beweisen, dass man im Datenschutz verletzt wurde?Wieso kehrt man das nicht um in schweren Fällen? Denn häufig hat man gar nicht Informationen, um das beweisen zu können, wenn man betroffen ist. Und schliesslich, das Marktortprinzip. Dass man nicht diskutieren muss: welches Datenschutzrecht gilt für Personen in der Schweiz? Sondern es gilt das Schweizerische Datenschutzrecht. Im Parlament geht es los, es finden Anhörungen statt, z.B in der Staatspolitischen Kommission des Nationalrates. Und bereits am Anfang Jahr geht es dann los im Parlament. Wir gehen von einem Eintreten aus, dass dann im Detail beraten wird, obwohl es viel Kritik gibt. Die kantonalen Datenschutzbeauftragten die sind für den staatlichen Datenschutz in den Kantonen zuständig, nicht für den Privaten, die üben heftige Kritik und sagen: zurück damit, noch ein Anlauf. Auch die Datenschützer, in Anführungszeichen, bei Konzernen und grossen Wirtschaftskanzleien, die wehren sich vehement. Die wollen den Entwurf weiter abschleifen. Aber vermutlich wird man es rasch umsetzen, eben mit Blick auf das Europäische Datenschutzrecht, damit die Schweiz da weiterhin kompatibel bleibt, damit es nicht zu Reibereien mit der EU kommt. Ja, das war unser Überblick über unsere aktuellen Themen. Vielen Dank für eure Aufmerksamkeit. Einige Hinweise wie es nun hier am Kongress für uns weitergeht, danach könnt ihr auch noch Fragen stellen. Gleich im Anschluss hier an den Vortrag und an die Fragen im Saal lade ich euch herzlich ein, uns in der "Rights & Freedom Assembly" im Saal 3, gleich da drüben, zu besuchen, uns anzuschliessen. Da können wir weiter diskutieren, können wir weitere Fragen stellen über die Netzpolitik in der Schweiz heute und in Zukunft. Ebenfalls im Saal 3 haben wir unseren Stand, da seid ihr herzlich eingeladen auch z.B. um gegen das neue Geldspielgesetz, um gegen die Netzsperren noch zu unterschreiben. Oder ihr könnt euch dort auch ganz altmodisch mit Papier und Stift für den Newsletter anmelden. Und schliesslich seid ihr alle herzlich eingeladen, unseren ersten Winterkongress zu besuchen. Der findet am 24. Februar in Zürich statt, ist ein kleiner Kongress an einem Samstag, ist schon ziemlich gut gebucht aber es hat noch einige Plätze. Da seid ihr herzlich Willkommen. Vielen Dank und wer jetzt noch Fragen hier im Saal hat: Gern! Applaus Herald: Recht herzlichen Dank, Mercie für den Vortrag. Fragen: zuerst einmal vielleicht an den Mikrofonen bitte aufreihen. Und die erste Frage, falls es eine gibt, aus dem Internet. Signal- Angel: Im Internet gab es leider nur sehr wenige Fragen weil der Stream nicht funktioniert hat, aber eine habe ich doch von Mürion: "Das Auszählprozedere kann jetzt schon nicht nachvollzogen werden, warum soll das plötzlich relevant sein?" Martin: Ja, das kann ich beantworten. Ich bin anderer Meinung. Zumindest bei der heutigen Abstimmungen kann das gut nachvollzogen werden. Ich habe jahrelang in einem Wahlbüro gearbeitet, habe also mitgeholfen bei der Auszählung auf Papier. Ja, da ist nicht alles perfekt, aber es arbeiten sehr viele Personen mit, alles ist sehr kleinteilig das heisst, man kann bei Bedarf zuschauen, es ist papierbasiert, wenn man einen Fehler vermutet kann man neu beginnen. Das passiert auch ab und zu und die Wahrscheinlichkeit, dass eine Einzelperson manipulieren kann, relevant manipulieren kann, die ist verschwindend klein. Es bräuchte eine richtige Verschwörung, da sind einfach zu viele Leute dabei, dass es funktionieren könnte. Beim E-Voting hingegen ist es letztlich eine Blackbox, da kann man machen was man will, man kann Open Source nutzen, man kann das unter die Lupe nehmen, am Schluss versteht es kaum jemand. Es ist eine Blackbox und man kriegt ein Ergebnis. Selbst wenn man verifizieren kann, was ist wenn ich sage: "Hey ich habe anders abgestimmt! Da wurde falsch gezählt!", muss ich dann mein Stimmverhalten offenlegen? Und dann sagt man: "Ja, jemand von der Digitalen Gesellschaft der gesagt fällt gezählt, okay, ist nicht so relevant.". Das Vertrauen ist einfach leider sehr schnell weg, während man das beim heutigen System viel besser gewährleisten kann. Aber klar, auch heute sind Verbesserungen möglich, gerade auch bei der brieflichen Stimmabgabe. Herald: Mikrofon 1 bitte schön. Mikrofon1: Danke für den Vortrag. Ich habe eine Frage zum Thema Netzneutralität und zwar tut das den Amerikanern ja so unglaublich weh, weil die keinen Markt haben was das Netz angeht. Da gibt es diese lokalen Anbietern, da gibt es nur Einen da kann man nicht auswählen, die Glasfasern und alle Netze die sind in privater Hand, was bei uns in Europa in vielen Ländern nicht der Fall ist, oder noch nicht der Fall ist. Und da verstehe ich die Argumenation schon ein stückweit, dass eine gesetzliche Regulierung in dem Sinne nicht dringlich ist, aber wie stellt man sich dann diese gesetzliche Regulierung von der DigiGes her vor? Paki murmelt etwas zu Kire Kire: Die Verletzungen auf der letzten Meile, Verletzungen auf der letzten Meile was Zero-Rating betrifft, gibt es schon im Mobilfunk ziemlich stark, und eigentlich von allen Providern. Also da kann ich bereits heute nicht mehr wirklich auswählen, dass ich wirklich einen Provider habe der das auch gar nicht verfolgt, dieses Thema, oder keine Zero- Rating im Angebot hat. Und gerade bei Zero-Rating ist es halt das Problem, dass es in erster Linie aus der Konsumentensicht eigentlich als Vorteil angesehen wird. Weil gewisse Dienste halt eben nicht zum meinem Datenvolumen gezählt werden. Und daher wird das so schleichend dann eingeführt. Und eigentlich tut mir das gar nicht weh im ersten Moment. Und genau darum braucht das eigentlich eine Regulierung, damit halt diese Einschränkungen nicht so schleichend kommen. Paki: Das Problem ist, wenn es ein Zero- Rating für Netflix z.B. gäbe in der Schweiz und hätte ein zweiter Anbieter es dann extrem schwer da überhaupt in den ganzen Markt heran zu kommen. Das ist das grosse Problem dort. Herald: Gibt es noch eine weitere Frage aus dem Internet? Signal-Angel: Nein, leider keine. Herald: Hier auch keine Fragen mehr? Dann recht herzlichen Dank an Kire, Paki und Martin aus der Schweiz. Martin: Vielen Dank. Applaus 34c3 Abspannmusik Untertitel erstellt von c3subtitles.de im Jahr 2018. Mach mit und hilf uns!