Deutschsprachige CAcert Support Liste

[Sven Anderson <sven AT anderson.de>]

Hi,

Robert M. Albrecht, 29.03.2006 14:08:
>> * Datenschutz (Ordentlich gelagertes Papier wird nicht so einfach im
>> Internet kopiert oder von Trojanern eingesammelt)
> 
> Das Wort Datenschutz würde ich nicht fallen lassen.

Das ist schon gut, das fallen zu lassen. Wichtiges Thema.

> Nach §1 Absatz 2 ist CAcert eine nicht-öffentliche Stelle im Sinne des
> BDSG.
> 
> Nach §3 müsste man mal klären, ob die CAPs überhaupt aufgehoben werden
> dürfen. Datenvermeidung heißt, daß die Daten nach Ende der Notwendig
> (also der Vorgang der Assurance) umgehend zu löschen sind.

Ich habe jetzt keine Zeit den Gesetzestext zu lesen aber:
Die Notwendigkeit des CAPs ist doch nicht die Assurance selbst, sondern
die Dokumentation und ein späterer Nachweis (oder besser ein Indiz), dass
man sich tatsächlich persönlich getroffen hat. (Beide Unterschriften mit
einem Datum) Um einem Assurer später eine falsche Assurance nachzuweisen,
müsste man das CAP allerdings bei einem Treuhänder aufbewaren.

> §4a Absatz 1
> 
> Es wird keine Einwillig des Users eingeholt. Solch eine Erklärung ist
> auf dem CAP nicht vorgesehen. D.h. alle Anwender, die unter das deutsche
> BDSG fallen, können eine sofortige Löschung ihrer Daten verlangen.

Guter Hinweis! Sollte man auf jeden Fall machen. (Den Hinweis)

>> Nach den 7 Jahren kann man die Dokumente weiter aufbewahren,
>> ordentlich vernichten, oder an CAcert übersenden.
> 
> Das mit dem übersenden würde ich mir nach dem Lesen des BDSG noch mal
> genau überlegen.

Sind ja Daten, die der User schon selber freiwillig in eine Datenbank im
Ausland eingetragen hat. Mehr steht auf dem CAP ja auch nicht drauf.

>>>     * Eine Unterschrift auf Papier ist wesentlich schwieriger zu
>>>       fälschen als eine Unterschrift auf einem Scan.
> Was soll denn da gefälscht werden ?
> 
> Der Assurer: Der fälscht ein CAP. Ob er es hinterher einscannt oder
> nicht, spielt doch keine Rolle.

Stimmt schon. Wie ich oben geschrieben habe: eigentlich müsste auf das CAP
eine deutlichere Erklärung, dass der Assurer nach bestem Wissen und
Gewissen die Identität überprüft hat, und er dürfte erst Punkte vergeben
dürfen, nachdem er das CAP an eine Treuhandstelle gesendet hat. Dann hat
nämlich CAcert was gegen den Assurer in der Hand, falls der Blödsinn
assured. Nur ist das so kaum zu bewältigen organisatorisch.

Im Moment dient das CAP nur zur _Verteidigung_ des Assurers, nicht zu
dessen _Belastung_.

Gruß,

Sven

-- 
sven anderson             "If you think technology can solve your security
http://sven.anderson.de   problems, then you don't understand the problems
tel:    +49-551-9969285   and you don't understand the technology."
mobile: +49-179-4939223                                   (Bruce Schneier)

Attachment: smime.p7s
Description: S/MIME Cryptographic Signature