Deutschsprachige CAcert Support Liste

[Philipp Gühring <pg AT futureware.at>]

Hallo,

> Das Wort Datenschutz würde ich nicht fallen lassen.

Soll ich eine Löschung aller Wort-bezogenen Daten veranlassen?

> Was CAcert im Moment treibt, ist nach deutschem Datenschutzrecht
> schlicht strafbar.

Hast du eine juristische Ausbildung?

> Kleiner Einblick gefällig ?

Gerne, bis jetzt hab ich mich hauptsächlich mit dem österreichischen 
Datenschutzgesetz beschäftigt, und bin davon ausgegangen, daß das relativ 
äquivalent zum BDSG ist.

> Bundesdatenschutzgesetz
> http://www.gesetze-im-internet.de/bdsg_1990/BJNR029550990.html#BJNR02955099
>0BJNG000102301

Danke.

(Bist du dir sicher, daß es seit 1990 keine neuere Fassung gibt?)

> Nach §1 Absatz 2 ist CAcert eine nicht-öffentliche Stelle im Sinne des
> BDSG.

(4) Nicht-öffentliche Stellen sind natürliche und juristische Personen, 
Gesellschaften und andere Personenvereinigungen des privaten Rechts

CAcert Incorporated ist eine Association nach New South Wales / Australischem 
Recht, fällt also wahrscheinlich nicht unter privates Recht. (IANAL)
Die Assurer in Deutschland sind natürliche Personen. (Und als solche dem BDSG 
unterstehend)

Wie sieht es mit ausländischen Staatsbürgern aus, die kurzzeitig auf 
Deutschem 
Territorium agieren (CeBIT zum Beispiel)? Sind die auch vom BDSG betroffen?

> Nach §3 müsste man mal klären, ob die CAPs überhaupt aufgehoben werden
> dürfen. Datenvermeidung heißt, daß die Daten nach Ende der Notwendig
> (also der Vorgang der Assurance) umgehend zu löschen sind.

Die CAPs sind für die Entlastung und Beweisführung des Assurers notwendig.

Die CAPs sind in Papierform keine automatisierte Datenverarbeitung, und genau 
das war die Zielsetzung dabei, die Datenvermeidung in der Art und Weise zu 
betreiben, daß nur die notwendigen Daten automatisiert verarbeitet werden 
(die Einträge in der Datenbank), und die Beweismittel nicht-automatisiert 
archiviert werden.

> §4 Absatz 3
>
> Gegen jede einzelne dieser Vorschriften wird verstossen.

Die Privacy Policy ist direkt auf der Webseite, und die wichtigsten 
Bestimmungen über die Daten auf dem Formular sind auf dem Formular 
abgedruckt.
Was genau fehlt dir an Dokumentation?

> §4a Absatz 1
>
> Es wird keine Einwillig des Users eingeholt. Solch eine Erklärung ist
> auf dem CAP nicht vorgesehen. D.h. alle Anwender, die unter das deutsche
> BDSG fallen, können eine sofortige Löschung ihrer Daten verlangen.

Ja, an dem Punkt bin ich noch am überlegen, ob es sinnvoll ist, die Leute 
eine 
unwiderrufbare Zustimmung unterschreiben zu lassen, oder nicht. Die X.509 
Industrie drängt relativ stark in die Richtung Non-Repudiation, aber ich bin 
mir noch nicht sicher, ob das wirklich sinnvoll ist.

> §4b Übermittlung ins Ausland
>
> Gegen jede einzelne dieser Vorschriften wird verstossen.

Kannst du bitte detaillierter werden? Mit allgemeinen Aussagen dieser Art 
fange ich wenig an.

> §4d und e Meldepflicht
>
> Ist CAcert beim Bundesdatenschutzbeauftragen gemeldet ?

Nein, nachdem CAcert den Australischen Gesetzen untersteht, sehe ich da keine 
direkte Notwendigkeit dazu.
Die Frage, die sich mir stellt, ist ob sich die Assurer in Deutschland melden 
müssen, oder nicht.

> §4f/g Beauftragter für den Datenschutz
>
> Gegen jede einzelne dieser Vorschriften wird verstossen.

In welcher Art und Weise?

> §6 Unabdingbare Rechte des Betroffenen
>
> Nicht realisiert.

(1) Die Rechte des Betroffenen auf Auskunft (§§ 19, 34) und auf Berichtigung, 
Löschung oder Sperrung (§§ 20, 35) können nicht durch Rechtsgeschäft 
ausgeschlossen oder beschränkt werden.

Ah, dachte ich es mir ja. Es hilft also nichts, wenn man die Leute eine 
Verzichtserklärung unterschreiben läßt.

> §7 Schadensersatz
>
> Lieber gar nicht erst lesen.

> > Nach den 7 Jahren kann man die Dokumente weiter aufbewahren, ordentlich
> > vernichten, oder an CAcert übersenden.
>
> Das mit dem übersenden würde ich mir nach dem Lesen des BDSG noch mal
> genau überlegen.

Naja, sollte sich jemand außerstande sehen, die Dokumente ordentlich zu 
vernichten, wäre das vielleicht eine sinnvolle Alternative.

> > Dem gegenüber stehen natürlich Anwendungen in der Industrie, die 30 Jahre
> > mindestens Aufbewahrung brauchen. Da nimmt CAcert derzeit das Risiko für
> > die restlichen 23 Jahre auf sich.

> Zumindest in Deutschland sehe ich diese Forderung nicht, 

Die Forderung bekam ich sowohl in Deutschland als auch in Österreich von der 
Industrie zu hören. Im Bereich der digitalen Signatur macht es wenig Sinn, 
wenn daß die Signaturen nach 7 Jahren auf einmal ungültig werden.

> ganz im 
> Gegenteil lässt sich aus dem BDSG die Frage ableiten, ob die CAPs
> überhaupt aufbewahrt werden dürfen.

Ja, die Frage ist berechtigt. Wenn es nur um die Assurance gehen würde, dann 
wäre es nicht notwendig, das Formular aufzubewahren. Aber nachdem die CA für 
die Ausstellung von richtigen Zertifikaten haftet, und die Ausstellung von 
der korrekten Zertifikate von den Assurances der Assurer abhängt, 
verpflichtet CAcert die Assurer dazu, die Assurance richtig zu machen, macht 
den Assurer für falsche Assurances und deren Auswirkungen haftbar, und gibt 
dem Assurer mit den CAPs die Möglichkeit, die Einhaltung der Regeln durch das 
Vorweisen des CAPs zu beweisen, um dadurch aus der Haftung rauszukommen.

Die Frage der Notwendigkeit der Datenerhebung hat sich CAcert seit langer 
Zeit 
immer wieder gestellt, und auch immer wieder Änderungen am System 
vorgenommen, um die Daten besser zu schützen. Es ist insgesamt eine große 
Herausforderung, Regeln und eine Umgebung zu schaffen, die international 
funktioniert (und nicht nur in Deutschland ;-), die extrem unterschiedlichen 
Kulturen berücksichtigt, und gegen jegliche Art von Betrug, Diebstahl, ... 
gefeit ist.

Das passt eigentlich nicht hierher, aber hast du die Fragen eingentlich mal 
Thawte gestellt? Die speichern meinem Wissensstand nach zusätzlich noch 
Ausweisnummern von Reisepässen (Datenvermeidung?!?), und ganze Schwarz/Weiß 
Kopien der Dokumente ab. (Die Ausweisnummern automatisationsunterstützt, die 
Schwarz/Weiß Kopien in Papierform, soweit ich mich erinnere)
Welche Antworten hat Thawte gegeben?

Wobei ich gehört habe, daß Thawte geographisch bezogene unterschiedliche 
Regelungen haben soll. (Je nach Land soll man automatisch die jeweilig 
angepassten Regeln serviert bekommen)

Macht es Sinn, für die verschiedene Kulturen unterschiedliche Regeln zu 
machen?
Welche Aussage hat ein Zertifikat dann, das aus einer anderen Kultur kommt?

In Österreich und Deutschland sind einige Leute zu mir bekommen, und haben 
versucht, darauf zu bestehen, daß ich deren Ausweisnummern auch in den CAPs 
eintrage, da es sonst für sie nicht vertrauenswürdig genug ist. 
(Das hat sich in letzter Zeit glücklicherweise wieder gegeben, aber es hat 
mich trotzdem sehr zum Nachdenken gebracht)

Schöne Grüße,
Philipp Gühring