Deutschsprachige CAcert Support Liste

[Philipp Gühring <pg AT futureware.at>]

Hallo,

> > (Bist du dir sicher, daß es seit 1990 keine neuere Fassung gibt?)
>
> Das ist die Website des Bundesministeriums der Justiz, die werden das
> aktuelle Gesetz veröffentlichen.

Naja, die werden aber unter einer URL der alten Fassung auch die alte Fassung 
noch liefern, wenn es eine Änderung gegeben hat.


> >> §4 Absatz 3
> >> Gegen jede einzelne dieser Vorschriften wird verstossen.
> >
> > Die Privacy Policy ist direkt auf der Webseite, und die wichtigsten
> > Bestimmungen über die Daten auf dem Formular sind auf dem Formular
> > abgedruckt.
> > Was genau fehlt dir an Dokumentation?
>
> a) Sie kommt erst hinterher.
> b) Der User stimmt nicht explizit zu.

Hmm, auf der Webseite stimmt man explizit zu. Beim CAP hingegen nicht.
Ok, was schlägst du für einen Text für das CAP vor? 
(Bitte auf Englisch, daß wir ins Original hineinbekommen)

http://bugs.cacert.org/view.php?id=186

> c) Inhaltlich ? Keine Ahnung, habe ich nicht gelesen, wegen b :-O

;-)

Ok, wenn du auf diese Email antwortest, bestätigst du, daß du es inzwischen 
gelesen hast.

> >> §4b Übermittlung ins Ausland
> >
> > Kannst du bitte detaillierter werden? Mit allgemeinen Aussagen dieser Art
> > fange ich wenig an.
>
> Übermittlung personenbezogener Daten ins Ausland sowie an über- oder
> zwischenstaatliche Stellen

> (2) ... Die Übermittlung unterbleibt, soweit der Betroffene ein
> schutzwürdiges Interesse an dem Ausschluss der Übermittlung hat,
> insbesondere wenn bei den in Satz 1 genannten Stellen ein angemessenes
> Datenschutzniveau nicht gewährleistet ist.

> Gibt es diese Einschätzung irgendwo ? 

Nein, eine Einschätzung gibt es noch nicht. Kannst du diese 
anfertigen/anfertigen lassen?

> Gibt es ein Papier welches die 
> australischen und die deutschen Vorschriften vergleicht ?

Nein, im Bereich Datenschutz ist mir ein derartiges Papier noch nicht 
bekannt. 
Nur im Bereich Kryptographieverbote.

> (4) In den Fällen des § 16 Abs. 1 Nr. 2 unterrichtet die übermittelnde
> Stelle den Betroffenen von der Übermittlung seiner Daten.

> Passiert das ?

Nein, kannst du einen entsprechenden Vorschlag liefern, wie wir das praktisch 
am besten umsetzen?

> (6) Die Stelle, an die die Daten übermittelt werden, ist auf den Zweck
> hinzuweisen, zu dessen Erfüllung die Daten übermittelt werden.
>
> Passiert das ?

> >> §4f/g Beauftragter für den Datenschutz
> >> Gegen jede einzelne dieser Vorschriften wird verstossen.
> >
> > In welcher Art und Weise?
>
> Gibt es einen ? Wer ist das ?

Nein, es gibt derzeit in Deutschland noch niemanden, der sich um CAcert 
kümmert, oder CAcert offiziell repräsentiert. (Mit Ausnahme eines 
Organisations-Assurers, aber der hat nichts mit Personenbezogenen Daten zu 
tun)

> > Ja, die Frage ist berechtigt. Wenn es nur um die Assurance gehen würde,
> > dann wäre es nicht notwendig, das Formular aufzubewahren. Aber nachdem
> > die CA für die Ausstellung von richtigen Zertifikaten haftet,

> Das sehe ich anders. In Deutschland haftet der Assurer persönlich.

Für die Assurance, ja.
Bei den ausgestellten Zertifikaten haftet der Assurer im Falle einer 
regelwiedrigen Assurance, und anderenfalls CAcert.

> > Das passt eigentlich nicht hierher, aber hast du die Fragen eingentlich
> > mal Thawte gestellt?
> > Welche Antworten hat Thawte gegeben?

> Nein. Keine Ahnung. Thawte interessiert mich aber auch nicht sonderlich.

Ok.

> > Wobei ich gehört habe, daß Thawte geographisch bezogene unterschiedliche
> > Regelungen haben soll. (Je nach Land soll man automatisch die jeweilig
> > angepassten Regeln serviert bekommen)

> Das wird auch nciht anders gehen.

Naja, das Problem ist, daß die Sache leicht kompliziert wird.
Wenn ich als Österreicher einen Bulgaren auf der CeBIT in Deutschland treffe 
und für CAcert in Australien assure, die CAPs dann wieder nach Österreich 
mitnehme.
Welche Regeln gelten dann?

> Sicher. Chinesen haben von Verträgen eine andere Auffassung als wir.
> Habe ich live schon erlebt.
> Wer das ignoriert, wird auf dieser Welt nicht glücklich werden.
> Welchen Wert hat ein schriftlicher Vertrag mit einem Chinesen ?

Ok, kannst du mir das persönlich näher erzählen, das ist hier etwas off-topic.

> > In Österreich und Deutschland sind einige Leute zu mir bekommen, und
> > haben versucht, darauf zu bestehen, daß ich deren Ausweisnummern auch in
> > den CAPs eintrage, da es sonst für sie nicht vertrauenswürdig genug ist.

> Nett. Ein Blick ins Gesetz ?

> Gesetz über Personalausweise(PAuswG)
> § 3Datenschutzrechtliche Bestimmungen,

> (4) Die Seriennummern dürfen nicht so verwendet werden, daß mit ihrer
> Hilfe ein Abruf personenbezogener Daten aus Dateien oder eine
> Verknüpfung von Dateien möglich ist.

Ja, das ist bei Thawte meinem Wissensstand nach auch so gelöst, daß die 
Ausweisnummer nur ein informatives Feld ist, nach dem nicht gesucht werden 
kann (zumindest im Web-Interface, was Thawte intern macht weiß ich nicht)

Schöne Grüße,
Philipp Gühring