Der Bundesrat klärt ab, ob rückwirkend eine Karte mit Standortdaten von Mobilfunknutzer*innen angelegt werden kann. Dies ging aus der Pressekonferenz vom 21.03.2019 hervor. Erschreckend war dabei die Haltung des EJPD: Dort sieht man «aus Datenschutzoptik kein Problem» da es sich nicht um Personendaten handeln würde. Dabei ist es offensichtlich, das Mobilfunkdaten unzertrennlich mit einer Person verknüpft sind. Schliesslich gilt in der Schweiz seit 2004 eine Registrierungspflicht.
Auch wenn die Nummern von den Standortdaten getrennt werden, können bereits nach wenigen Tagen Arbeitsort, Wohnort, Transportmittel, Arztbesuche etc. abgeleitet werden. Daraus ergeben sich detaillierte Profile, die Personen eindeutig identifizieren. Wir erinnern uns an das Experiment mit den Vorratsdaten von Nationalrat Balthasar Glättli.
Doch das ist nicht das einzige Problem das uns aus «Datenschutzoptik» Sorge bereitet. Die IT-Abteilung des Bundes war mit dem Ansturm an Anfragen völlig überfordert. Nachdem die Webseite zeitweise gar nicht mehr erreichbar gewesen ist, hat man sich kurzerhand dazu entschieden, die Anfragen auf die Server des US-Konzerns Amazon umzuleiten:
$ dig www.admin.ch CNAME www.bag.admin.ch CNAME +short
d23vgpvjcg53nf.cloudfront.net.
d9s8vru4m2rpq.cloudfront.net.
Wir halten es für sehr problematisch, dass die Schweiz als souveräner Staat nicht selbst in der Lage ist, auch in Krisenzeiten auf eine eigene IT-Infrastruktur zurückgreifen zu können. Aus rechtlicher Sicht sind die USA ein problematischer Serverstandort. So befürchten wir z.B., dass der Zugriff aus bestimmten Ländern wie China, Iran, Kuba oder Venezuela nicht möglich ist, da von den USA aus dort gar keine Dienstleistungen oder nur unter speziellen Voraussetzungen angeboten werden dürfen.
Auch der Umwelt tut die Schweiz damit keinen gefallen, denn Amazon schneidet im Clicking Clean Bereicht von Greenpeace regelmässig schlecht ab. Über 80% der Energie stammen aus Kohle, Uran und Erdöl.
Zu guter Letzt gelten bei Amazon auch andere Sicherheitsstandards. So sichert der Bund normalerweise seine Domains mit DNSSEC, um die Abfrage der damit verknüpften IP-Adresse zu schützen. Bei Amazon ist das nicht möglich und die Überprüfung schlägt fehl. Auch die Verbindung selber wird nun von Amazon signiert und nicht mehr vom Bund. Theoretisch könnte der Konzern also die Daten abgreifen oder manipulieren. Der «Cloud Act» verpflichtet das Unternehmen sogar, diese Möglichkeit für die US-Regierung einzurichten. Auch bei der Verschlüsselung selbst setzt der Bund auf das TLS 1.2 Protokoll, während Amazon noch ein downgrade auch die weniger sicheren Vorgängerversionen TLS 1.0 und 1.1 zulässt. Das sind zwar mehr hypothetische Szenarien, aber es sind Indizien für eine sehr kurzfristige Handlung der IT.
Das die digitalen Ressourcen knapp sind oder die Digitalisierung noch gar nicht stattgefunden hat, zeigt sich auch in einem Artikel der Republik: https://www.republik.ch/2020/03/20/die-zahl-der-todesfaelle-haben-wir-aus-wikipedia-entnommen
Der Bund ist mit diesem Problem jedoch keineswegs alleine. Auch die Kantone und Unternehmen waren in den letzten Wochen mit den neuen Anforderungen überfordert und nicht wenige haben kurzerhand die Daten von Angestellten, Kund*innen, Schüler*innen und Student*innen zu Amazon, Apple, Dropbox, Google, Microsoft, Zoom & Co. in die Cloud geladen. Uns sind diverse Fälle bekannt und es liegen uns auch einzelne Berichte von Betroffenen vor, die gar nicht oder erst im Nachhinein darüber informiert wurden.
Wir erwarten von allen Beteiligten, trotz dieser schwierigen Situation nicht voreilig zu handeln. Den mit der Aufhebung des Notstands gelten auch wieder normale Datenschutzregeln und wie wir wissen lassen sich die Daten im Nachhinein nur sehr schwer wieder aus der Cloud löschen. Darum empfehlen wir Lösungen die dezentral, freie und verschlüsselt sind. Unsere Schwesterpartei in Österreich hat dazu eine Liste zusammengestellt: https://www.piratenpartei.at/lieber-doch-telearbeit-wir-helfen-euch/
Siehe dazu auch unsere Pressemitteilung mit der Forderung nach freier Kommunikation in Zeiten des Notstands.
Der Bundesrat klärt ab, ob rückwirkend eine Karte mit Standortdaten von Mobilfunknutzer*innen angelegt werden kann. Dies ging aus der Pressekonferenz vom 21.03.2019 hervor. Erschreckend war dabei die Haltung des EJPD: Dort sieht man «aus Datenschutzoptik kein Problem» da es sich nicht um Personendaten handeln würde. Dabei ist es offensichtlich, das Mobilfunkdaten unzertrennlich mit einer Person verknüpft sind. Schliesslich gilt in der Schweiz seit 2004 eine Registrierungspflicht.
Auch wenn die Nummern von den Standortdaten getrennt werden, können bereits nach wenigen Tagen Arbeitsort, Wohnort, Transportmittel, Arztbesuche etc. abgeleitet werden. Daraus ergeben sich detaillierte Profile, die Personen eindeutig identifizieren. Wir erinnern uns an das Experiment mit den Vorratsdaten von Nationalrat Balthasar Glättli.
Doch das ist nicht das einzige Problem das uns aus «Datenschutzoptik» Sorge bereitet. Die IT-Abteilung des Bundes war mit dem Ansturm an Anfragen völlig überfordert. Nachdem die Webseite zeitweise gar nicht mehr erreichbar gewesen ist, hat man sich kurzerhand dazu entschieden, die Anfragen auf die Server des US-Konzerns Amazon umzuleiten:
Wir halten es für sehr problematisch, dass die Schweiz als souveräner Staat nicht selbst in der Lage ist, auch in Krisenzeiten auf eine eigene IT-Infrastruktur zurückgreifen zu können. Aus rechtlicher Sicht sind die USA ein problematischer Serverstandort. So befürchten wir z.B., dass der Zugriff aus bestimmten Ländern wie China, Iran, Kuba oder Venezuela nicht möglich ist, da von den USA aus dort gar keine Dienstleistungen oder nur unter speziellen Voraussetzungen angeboten werden dürfen.
Auch der Umwelt tut die Schweiz damit keinen gefallen, denn Amazon schneidet im Clicking Clean Bereicht von Greenpeace regelmässig schlecht ab. Über 80% der Energie stammen aus Kohle, Uran und Erdöl.
Zu guter Letzt gelten bei Amazon auch andere Sicherheitsstandards. So sichert der Bund normalerweise seine Domains mit DNSSEC, um die Abfrage der damit verknüpften IP-Adresse zu schützen. Bei Amazon ist das nicht möglich und die Überprüfung schlägt fehl. Auch die Verbindung selber wird nun von Amazon signiert und nicht mehr vom Bund. Theoretisch könnte der Konzern also die Daten abgreifen oder manipulieren. Der «Cloud Act» verpflichtet das Unternehmen sogar, diese Möglichkeit für die US-Regierung einzurichten. Auch bei der Verschlüsselung selbst setzt der Bund auf das TLS 1.2 Protokoll, während Amazon noch ein downgrade auch die weniger sicheren Vorgängerversionen TLS 1.0 und 1.1 zulässt. Das sind zwar mehr hypothetische Szenarien, aber es sind Indizien für eine sehr kurzfristige Handlung der IT.
Das die digitalen Ressourcen knapp sind oder die Digitalisierung noch gar nicht stattgefunden hat, zeigt sich auch in einem Artikel der Republik: https://www.republik.ch/2020/03/20/die-zahl-der-todesfaelle-haben-wir-aus-wikipedia-entnommen
Der Bund ist mit diesem Problem jedoch keineswegs alleine. Auch die Kantone und Unternehmen waren in den letzten Wochen mit den neuen Anforderungen überfordert und nicht wenige haben kurzerhand die Daten von Angestellten, Kund*innen, Schüler*innen und Student*innen zu Amazon, Apple, Dropbox, Google, Microsoft, Zoom & Co. in die Cloud geladen. Uns sind diverse Fälle bekannt und es liegen uns auch einzelne Berichte von Betroffenen vor, die gar nicht oder erst im Nachhinein darüber informiert wurden.
Wir erwarten von allen Beteiligten, trotz dieser schwierigen Situation nicht voreilig zu handeln. Den mit der Aufhebung des Notstands gelten auch wieder normale Datenschutzregeln und wie wir wissen lassen sich die Daten im Nachhinein nur sehr schwer wieder aus der Cloud löschen. Darum empfehlen wir Lösungen die dezentral, freie und verschlüsselt sind. Unsere Schwesterpartei in Österreich hat dazu eine Liste zusammengestellt: https://www.piratenpartei.at/lieber-doch-telearbeit-wir-helfen-euch/
Siehe dazu auch unsere Pressemitteilung mit der Forderung nach freier Kommunikation in Zeiten des Notstands.