Hanno's blog

Im Frühjahr hatte ich die Thermen am Europa-Center in Berlin besucht - ein Luxus-Schwimmbad mit Sauna.

Ich habe in Sachen Videoüberwachung ja schon manches erlebt, aber das hat mich dann doch ziemlich erschrocken: In der Herrenumkleidekabine wurde per Kamera überwacht. Ich war zunächst ziemlich empört - und später dann auch ziemlich sicher, dass das kaum rechtlich zulässig sein kann. Eine kurze Google-Recherche zu ähnlichen Fällen bestätigte mir dies.

Erschwerend kam hinzu, dass man als Kunde das natürlich erst bemerkt, wenn man schon bezahlt hat. Ein Hinweisschild im Eingangsbereich oder ähnliches war nicht zu finden, wovon ich mich beim Gehen nochmals überzeugte.

Ich habe mich also folgerichtig an den Berliner Datenschutzbeauftragten gewandt. Vor wenigen Tagen erhielt ich nun einen dreiseitigen Brief mit dem - doch recht erfreulichen - Ergebnis.

Das Amt des Datenschutzbeauftragten hat eine datenschutzrechtliche Kontrolle der Räumlichkeiten vorgenommen. Sie sind zu dem Schluss gekommen, dass die Überwachung der Umkleide eindeutig gegen das Bundesdatenschutzgesetz verstößt. Weiterhin wurde festgestellt, dass die Überwachung im Eingangsbereich zwar zulässig ist, aber die Hinweise auf die Videoüberwachung unzureichend waren. Die Kameras in der Umkleide wurden entfernt und vor dem Eingang wurde ein Zusätzliches Hinweisschild angebracht.

Ich finde es doch erfreulich, dass man sich wenigstens manchmal noch gegen das Ausarten der Überwachung des öffentlichen Bereichs wehren kann. Ein ausdrückliches Lob an die Mitarbeiter der Berliner Datenschutzbehörde (mit denen ich schon in der Vergangenheit gute Erfahrungen gemacht habe).

Morgen findet die inzwischen schon traditionell zu nennende jährliche Demonstration „Freiheit statt Angst“ in Berlin statt. Seit 2007 gehen jährlich tausende Menschen unter diesem Motto für Datenschutz und digitale Bürgerrechte auf die Straße. Los geht es um 13:00 Uhr am Pariser Platz (Brandenburger Tor).

Angesichts der aktuellen Auseinandersetzungen – im Moment ist ja wieder die Vorratsdatenspeicherung ganz hoch im Kurs – möchte ich hier die Gelegenheit nutzen, zur Teilnahme aufzurufen.

Und für alle, denen Berlin zu weit ist, sei hier auch nochmals darauf verwiesen, dass zur Zeit eine Petition gegen die Wiedereinführung der Vorratsdatenspeicherung beim Bundestag läuft – die bislang leider mit etwa 20.000 Unterstützern noch nicht so gut läuft wie sie sollte. Aber es gibt auch gute Nachrichten: Einer Umfrage zu Folge spricht sich die Mehrheit der Bundesbürger gegen eine anlasslose Speicherung von Kommunikationsdaten aus.

Einen Kritikpunkt möchte ich hier aber noch loswerden. Im vergangenen Jahr wurde die Demonstration von übermäßig vielen 9/11-Verschwörungstheoretikern heimgesucht – das ging so weit, dass ein englischsprachiger Artikel die Situation so darstellte, als sei es insgesamt eine Protestaktion von Verschwörungstheoretikern gewesen (was Unfug ist, es war eine Handvoll unter Tausenden). Einen ähnlich gelagerten Fall gab es bereits 2008 in Köln, als eine Datenschutzdemo von einer christlichen Sekte geradezu okkupiert wurde. Angesichts dieser Vorgeschichte finde ich es mehr als unglücklich, ausgerechnet Esoqueen Nina Hagen zur diesjährigen Demonstration einzuladen. Die hat nämlich zu HAARP und UFOs auch eher interessante Ansichten und ist mir bislang nicht durch intelligente politische Analysen aufgefallen.

Aber nichtsdestotrotz: Die Themen sind verdammt wichtig, die Gegenseite schläft nicht. Also: Morgen auf die Straße!

Having used my PGP key 3DBD3B20 for almost eight years, it's finally time for a new one: 4F9F43A9. The old primary key was a 1024 bit DSA key, which had two drawbacks:
1. 1024 bit keys for DLP or factoring based algorithms are considered insecure.
2. It's impossible to set the used hash algorithm to anything beyond SHA-1.

My new key has 4096 bits key size (2048 bit is the default of GnuPG since 2.0.13 and should be fairly enough, but I wanted some extra security) and the default hash algorithm preference is SHA-256. I had to make a couple of decisions for my name in the key:
1. I'm usually called Hanno, but my real/official name is Johannes.
2. My surname has a special character (ö) in it, which can be represented as oe.

In my previous keys, I've mixed this. I decided against this for the new key, because both my inofficial prename Hanno and my umlaut-converted surname Boeck are part of my mail adress, so people should still be able to find my key if they're searching for that.

Another decision was the time I wanted my key to be valid. I've decided to give it an expiration date, but a fairly long one: 10 years from now.

I've signed my new key with my old key, so if you've signed my old one, you should be able to verify the new one. I leave it up to you if you decide to sign my new key or if you want to re-new the signing procedure. I'll start from scratch and won't sign any keys I've signed with the old key automatically with the new one. If you want to key-sign with me, you may find me on the 27C3 within the next days.

My old key will be valid for a while, at some time in the future I'll probably revoke it.

Update: I just found out that having a key without SHA-1 is trickier than I thought. The self-signatures were still SHA-1. I could re-do the self-signatures and revoke the old ones, but that'd clutter the key with a lot of useless cruft and as the new key wasn't around long and didn't get any signatures I couldn't get easily again, I decided to start over again: The new key is BBB51E42 and the other one will be revoked.
I'll write another blog entry to document how you can create your own SHA-256 only key.

Gerade gibt es ja eine ganz spannende Debatte über die Zukunft des gebührenfinanzierten Fernsehens und die GEZ.

Bislang ist es ja so, dass man Gebühren zahlen muss, wenn man ein Gerät besitzt, welches zum Emfang geeignet ist. Ob man es auch nutzt, um öffentlich-rechtliche Sender zu empfangen, ist dabei egal. Nun wird argumentiert, das sei so, weil die Sender einen Bildungsauftrag hätten, deshalb müssen auch die zahlen, die das Angebot garnicht nutzen.
Dabei gibt es zwei große Probleme: Es ist erstmal total unlogisch, wieso ausgerechnet der Besitz eines geeigneten Geräts kriterium sein soll. Wenn die Sender der Allgemeinheit dienen, wäre es nur logisch, wenn alle zahlen. Zweitens ist natürlich die GEZ geradezu berüchtigt für ihr rücksichtsloses Vorgehen und aus Sicht des Datenschutzes eine riesige Katastrophe.

Nun wird vorgeschlagen, das ganze, was eigentlich nur logisch ist, auf eine Haushaltsabgabe umzustellen. Jeder muss zahlen, die GEZ wird faktisch abgeschafft (zumindest deren fragwürdige Schnüffelabteilungen). Interessanterweise finden das scheinbar gerade alle von den Sendern über alle Parteien hinweg gut. Womit ich ein bißchen Bauchschmerzen habe ist allerdings die Tatsache, dass die Gesamthöhe der Gebühren gleich bleiben soll.

Die Begründung, warum es einen öffentlich-rechtlichen Rundfunk geben soll, Bildungsauftrag, Programm für Minderheiten, Gegenstimme zum Privatfernsehen etc., kann ich alle gut nachvollziehen. Das muss aber auch im einzelnen begründbar sein und Sinn ergeben. Keinen Sinn ergibt es für mich aber, wenn ARD/ZDF regelmäßig hohe Beträge für Fußballübertragungen oder Boxkämpfe ausgeben. Rein interessehalber wollte ich mal feststellen, was das denn so ausmacht und bin auf einen Artikel von 2005 im Handelsblatt über die WM-Übertragungsrechte für 2010 gestoßen: Die Kosten für die Übertragungsrechte sind ein Betriebsgeheimnis! Geschätzt werden sie etwa auf 180 Millionen Euro bei 90 Millionen Euro Werbeeinnahmen (zum Vergleich: Der Gesamthaushalt der ÖRs liegt bei etwa 7 Milliarden).

Hier hört für mich jedes Verständnis auf. Wenn die Öffentlich-Rechtlichen für sich in Anspruch nehmen, im Interesse der Allgemeinheit zu handeln, dann muss dieses Handeln zuallererst mal transparent sein. Weiterhin wünschenswert wäre, wenn es sowieso zu einer Reform kommt, eine Debatte: Was ist wirklich im Interesse der Allgemeinheit und was könnte man sich ebensogut sparen - und die Gebühren entsprechend senken.

Das Bundesverfassungsgericht hat heute entschieden. Die Vorratsdatenspeicherung, in ihrer jetzigen Form, ist Geschichte. Das ist natürlich erstmal erfreulich. Die völlig verdachtlose Speicherung aller Verbindungsdaten von Telefonen, E-Mails, SMS und Internetzugänge ist mit sofortiger Wirkung gestoppt und bereits erhobene Daten müssen gelöscht werden.

Leider ist das nicht die ganze Geschichte. Denn das Gericht sagt glasklar, dass es nichts grundsätzlich gegen die pauschale Datenspeicherung und damit pauschale Verdächtigung aller Menschen hat. Es legt nur enge Grenzen fest, in denen diese stattzufinden hat. Inwiefern das mit dem Grundsatz der informationellen Selbstbestimmung vereinbar sein soll, bleibt wohl das Geheimnis des Gerichts.

Richtig große Bauchschmerzen bekommt man aber bei einem weiteren Punkt: Das Verfassungsgericht stellt fest, dass für den Datenabruf nur schwere Straftaten in Frage kommen, meint aber, dass dies ausdrücklich nicht für IP-Adressen gilt. Hier soll sogar eine Ordnungswidrigkeit ausreichen, es müsse lediglich eine gesetzliche Bestimmung dazu geben. Heißt also ganz konkret: Datenschutz zweiter Klasse für Internetnutzer. Die Begründungen dafür, die ich bisher gelesen habe, erscheinen mir ziemlich abstrus und unverständlich (die taz hat etwas dazu). Der wirkliche Grund scheint ziemlich klar: Man will ein Lex Musikindustrie auf Basis der Vorratsdaten weiterhin zulassen. Das halte ich für wirklich erschreckend, denn dass sich kaum verhohlen das oberste Gericht Lobbyinteressen beugt, hätte ich so nicht für möglich gehalten. Der deutsche IFPI-Ableger freut sich schonmal vorsorglich.

Was bedeutet das Urteil nun politisch? Spannend ist ja erstmal, dass der Gesetzgeber nun aktiv werden muss. Das Gericht hat zwar theoretisch eine Vorratsdatenspeicherung unter anderen Vorzeichen erlaubt, aber es bleibt ja dem Gesetzgeber überlassen, ob er dies umsetzt oder bleiben lässt. Die FDP hat sich im Wahlkampf ziemlich deutlich gegen die Vorratsdatenspeicherung ausgesprochen. Eine Verabschiedung gegen die FDP (durch SPD und CDU) wäre zwar möglich, aber sehr unwarscheinlich. Die FDP kann hier beweisen, dass es ihr mit Bürgerrechten ernst ist.

Weiterhin erfreulich ist, dass auch die EU-Richtlinie immer stärker unter Beschuss gerät. Einige Länder weigern sich im Moment, die Vorratsdatenspeicherung umzusetzen, in anderen gab es ebenfalls Gerichtsentscheidungen dagegen (Schweden, Österreich, Ungarn, Irland, Rumänien). Und auch auf EU-Ebene gibt es stimmen, die die entsprechende Richtlinie lieber wieder kippen würden.

Dieses Blog wird ab sofort mit Zählpixeln der VG Wort versehen. Da ich das gerne möglichst transparent machen würde (es betrifft in gewisser Weise den Datenschutz meiner Besucher), gibt es hier ein paar Erläuterungen dazu.

Die VG Wort ist eine Verwertungsgesellschaft für Texte. In Deutschland gibt es Zwangsabgaben für die Hersteller diverser Geräte (Kopierer, Scanner, Drucker, PCs, CD-Brenner etc.), die zur Verfielfältigung urheberrechtlich geschützter Werke geeignet sind. Diese werden von Verwertungsgesellschaften (die bekannteste ist wohl die GEMA) an Urheber von Texten, Bildern, Musik etc. ausgeschüttet. Das ist nicht gänzlich unumstritten, aber viele sind der Ansicht, dass dies eine probate Alternative zu immer strikteren Urheberrechten darstellt. Es führt etwa dazu, dass zumindest in gewissem Rahmen Privatkopien legal möglich sind. Allerdings gibt es zwischen der GEMA und der VG Wort einen wichtigen Unterschied. Will man bei der GEMA mitmachen, muss man sich deren Regeln unterwerfen. So ist es etwa nicht möglich, als GEMA-Mitglied Musik unter Creative Commons-Lizenzen zu veröffentlichen. Die VG Wort macht einem Autor keine derartigen Vorschriften.

Für Internet-Texte gibt es von der VG Wort das System METIS (MEldesystem für Texte auf InternetSeiten). Dabei kann man Texte auf Webseiten mit sogenannten Zählpixeln auszustatten. Das sind im Prinzip winzige, unsichtbare Bilder, die von einem Server der VG Wort heruntergeladen werden und in Beiträge eingebunden werden. Und hierbei kann man Bauchschmerzen haben - denn dabei werden natürlich Daten meiner Besucher an die VG Wort übertragen. Allerdings muss man dazusagen: Dieses Blog ist auch mit Google Ads ausgestattet - das führt ebenfalls dazu, dass eine externe Firma theoretisch Zugriff auf die Daten meiner Besucher hat. Unterbinden kann man beides mit gängigen Tools zum Blocken von Werbung, etwa Adblock Plus für Firefox.

Die Piratenpartei ruft für den 17. September zum OptOutDay auf.

Damit soll ein Sachverhalt thematisiert werden, der vielen vermutlich nicht bekannt ist: Die Einwohnermeldeämter geben Daten unter bestimmten Umständen an Firmen oder Parteien weiter. Aber: Man kann dem Widersprechen. Deshalb sollen am 17.9. möglichst viele Menschen von dieser Möglichkeit gebrauch machen und auf ihren Meldeämtern der Weitergabe der eigenen Daten widersprechen.

Außerdem bei dieser Gelegenheit: Am 12. September ist wieder eine Großdemonstration unter dem Motto Freiheit statt Angst in Berlin gegen Vorratsdatenspeicherung, Internetzensur und zunehmende Überwachung.

Im Moment findet in Berlin die Blogger-Konferenz Re:publica statt. Heute früh wurde sie vom Bundesdatenschutzbeauftragten Peter Schaar eröffnet. Ich hatte Peter Schaar schon auf früheren Veranstaltungen erlebt und fand ihn etwas enttäuschend - fast ausschliesslich behandelte er die aktuellen Skandale in der Privatwirtschaft und erwähnte die zunehmenden Überwachungsbegehrlichkeiten des Staates (Vorratsdatenspeicherung, BKA-Gesetz etc.) nur am Rande. Ich überlegte, ob das wohl mit aktuellen Bestrebungen korreliert, allzu engagierte Datenschützer zu entsorgen.

Selbst hielt ich heute nach längerer Zeit mal wieder einen Vortrag über OpenStreetMap. Die Slides gibt es hier.

Außerdem noch einige Fotos von der Re:publica.

Ich hatte vor kurzem per eMail Kontakt mit der AOK Berlin.

Durchaus gross war meine Überraschung, als ich von dieser eine Mail bekam, die PGP-Verschlüsselt war. Wohlgemerkt, ich hatte nicht mit irgendeiner Security- oder Computerabteilung, sondern mit der gewöhnlichen Kundenbetreuung zu tun. Da mein Initialkontakt via Webformular stattfand, war auch keine Mailsignatur von mir dort angekommen, insofern kann ich nur annehmen, dass deren Mailsystem automatisiert auf einem Keyserver meinen Key gesucht hat und diesen verwendet. Oder ein motivierter Mitarbeiter hat diesen hier von der Webseite.

Dass sämtliche Mails an Mailadressen, für die Schlüssel existieren, automatisiert verschlüsselt werden, kann ich mir kaum vorstellen, weil hier erstens vermutlich ein erheblicher Supportaufwand entsteht (passiert mir selber ja oft genug dass ich Nachrichten der Form »bitte nicht verschlüsseln, ich hab meinen Key verlegt / grad nicht da«) und zweitens ja die Mailadressen in den Keys in keinster Weise verifiziert werden. Allerdings existiert beispielsweise das PGP Global Directory, in dem nur Keys mit regelmäßig verifizierten Mailadressen landen. Das erscheint mir im Moment die plausibelste Erklärung.

Auch wenn ich nicht genau weiss, wie die AOK an den passenden Key kam, lobenswert finde ich es allemal, dass sich zur Abwechslung mal jemand in einem aus Datenschutzgründen sehr sensiblen Bereich von selbst um verschlüsselte Kommunikation bemüht.

Ein paar Bilder der heutigen Demonstration in Berlin gegen Überwachung. Leider sind einige davon überbelichtet, weil ich zunächst noch, ohne es zu merken, mit einer Nachteinstellung fotografiert habe.

Tatsächlich waren es wohl noch ein paar mehr Menschen als im Vorjahr (wenngleich die teilweise verbreiteten Zahlen wohl etwas übertrieben waren), was ich schon als ziemlichen Erfolg empfinde und mich auch überrascht hat. Im Gegensatz zu letztem Jahr sind wir diesmal auch in der 20 Uhr Tagesschau. Da hat sich wohl der ein oder andere Redakteur der Peinlichkeit, letztes Mal die Demo komplett ignoriert zu haben, erinnert (was ihnen sicher auch einige böse Mails einbrachte).

International lief wohl auch einiges, wobei ich bislang kaum Berichte gefunden habe, aber es wurde von mehreren tausend Menschen in Den Haag, sowie auch mittelgroßen Demonstrationen in Prag, Paris und an einigen Orten mehr, die ich jetzt vergessen habe, berichtet. Links mit Berichten und Bildern dürfen gerne in den Kommentaren gepostet werden.

In a few days, on 11th October, there will be an international day of action against the growing surveillance.

Starting with 2009, the data retention law will become duty for everyone, also for internet providers (eMail, Dialup). The german constitutional court still has a big complaint running. It's important to set a sign now.

The main demonstration will be in Berlin, 14:00 at the Alexanderplatz.

freedom-not-fear.eu

Seit August trudeln sie ein, die Mitteilungsschreiben vom Bundeszentralamt für Steuern, die uns unsere lebenslang gültige Steuernummer zuteilen.

Die Steuernummer ist im Vergleich zu Vorratsdatenspeicherung und Co. sicher nicht das schlimmste Überwachungsvorhaben, aber eines mit hoher Symbolkraft.

Die juristischen Details sind wohl etwas komplizierter, weshalb man als Privatmensch erstmal wenig Handlungsoptionen hat. Die Humanistische Union hat die wichtigsten Informationen zur Steuer-ID zusammengefasst und bietet auch ein vorgefertigtes Protestschreiben. Zumindest das habe ich heute abgeschickt. Darin beruft man sich auf eine Musterklage der HU, sollte diese erfolgreich sein, kann man sich später auf das Schreiben berufen.

Unter fachmännischer Anleitung durfte ich mir heute einen eigenen RFID Zapper basteln.

Video vom 22C3 (RFID-Zapper-Teil startet ab 19:00)

It's the second day on the GPN7 (a local hacker event from the Chaos Computer Club Karlsruhe / Entropia).

Yesterday evening I hacked together a map based on openstreetmap showing surveillance cameras:
http://osm-cctv.hboeck.de/

As a basis, we could use some data provided by the chaos computer club cologne. I'm working on an importer to get that into the openstreetmap database. Will probably happen within the next days.

All cameras tagged with man_made=surveillance in germany.osm are already imported into the overlay. I'll keep a wiki-page up-to-date at:
http://wiki.openstreetmap.org/index.php/User:Hanno/CCTV

Normalerweise versuche ich aus Datenschutzgründen, nach Möglichkeit mit Bargeld und nicht mit EC-Karte zu bezahlen. Gestern jedoch merkte ich erst im Laden, dass ich viel zu wenig Bargeld bei mir hatte. Also doch mit Karte.

Beim rausgehen warf ich ein Stück überflüssige Verpackung gleich in den Müll und wollte schon mit dem Kassenzettel ebenso verfahren, hielt jedoch kurz inne. Steht da was möglicherweise sensibles drauf? Geschaut, tatsächlich, BLZ, Kontonummer (kein Name, sonst wär's noch problematischer). Ich weiss nicht ob das üblich ist, werde aber in Zukunft darauf achten.

Welche möglicherweise spannenden Datensätze man generieren könnte, durch schlichtes Wühlen in den Papierkörben vor großen Geschäften, das überlasse ich der Phantasie meiner Leser.