Aus dem Rechenzentrum

heise meldet:

Das Finanzgericht Köln hat in sieben Musterverfahren Klagen gegen die Steueridentifikationsnummer (Steuer-ID) abgewiesen. Der 2. Senat hat in den nun bekannt gegebenen Entscheidungen vom 7. Juli 2010 „erhebliche Zweifel“ an der Verfassungsmäßigkeit der Steuernummer geäußert (unter anderem 2 K 3093/08, 2 K 3986/08, 2 K 3265/08). Allerdings kam er nicht zu der Überzeugung, dass das Recht des einzelnen Bürgers auf informationelle Selbstbestimmung schwerer wiegt als das Interesse der Allgemeinheit an einer gleichmäßigen Besteuerung.

Die genannte 2 K 3265/08 war meine; insofern wird man sich denken können, dass ich im Ergebnis einigermaßen enttäuscht bin.

Erfreulich ist, dass der Senat in weiten Teilen der Argumentation der Kläger durchaus folgen konnte und bemerkt:

Ungeachtet dessen hat der Senat jedoch Bedenken daran, ob die Schwere des Eingriffs in das Recht auf informationelle Selbstbestimmung durch die Regelung der §§ 139a, 139b AO durch das Gemeinschaftsinteresse an der Gleichmäßigkeit der Besteuerung aufgewogen wird, wenngleich er diesbezüglich keine volle Überzeugung gewinnen konnte.

So begründet die Schaffung der steuerlichen Identifikationsnummer die Gefahr der Bildung eines „großen“ zentralen Datenpools durch den Staat.

[…]

Und diese Datenpools können mitunter auch Rückschlüsse auf Tatsachen zulassen, die keinen unmittelbaren steuerlichen Bezug haben. So können z.B. aus der Höhe des Krankenversicherungsbeitrags Rückschlüsse auf den Gesundheitszustand des Versicherungsnehmers oder gar dessen Ehefrau oder dessen Kinder gezogen werden […]

Zwar hat der Gesetzgeber die Bildung weiterer Datenpools unter der Steueridentifikationsnummer mit der Regelung des § 139b Abs. 2 Satz 2 Nr. 2 AO auf ein Minimum beschränkt, […]. Jedoch ändert dies nichts daran, dass – wenn auch auf ein bestimmtes Minimum beschränkt – weitere nach Steueridentifikationsnummern geordnete Datenpools entstehen, die möglicherweise miteinander vernetzt werden könnten.

Es ist also beileibe nicht so, dass meine bzw. unsere Sorgen bezüglich der „Personenkennziffer durch die Hintertür“ nicht ernst genommen worden wären – und das ist in einer Zeit, in der gesundes Misstrauen schnell als Paranoia interpretiert wird, nicht zu unterschätzen.

Ich möchte an dieser Stelle noch einmal betonen, dass vor dem Datenschutz erstmal die Datensparsamkeit kommt. Es ist fast als ungeschriebenes Gesetz anzusehen: Es wird Sicherheitslücken geben. Es wird Missbrauch geben. Keine noch so harsche Rechtsvorschrift wird das verhindern können, und dann wird das Geschrei groß sein. Daher noch einmal in aller Deutlichkeit: Der beste Schutz wäre, diese gigantische Datensammlung gar nicht erst anzulegen: Wo nichts ist, kann nichts kompromittiert und nichts missbraucht werden. Es ist ja nun nicht so, dass unser Staat im Moment nicht so recht wissen würde, wie er denn bitte seine Steuern eintreiben könnte. Es ist nur eben aufgrund fehlender Zentralisierung nicht ganz so einfach – und damit ist aber eben auch ein Missbrauch von Daten und eine Zusammenführung mit anderen Quellen ebenfalls nicht ganz so einfach. Ich persönlich halte das nach wie vor für eine gute Sache.

Und hier mag man mich dann doch als Paranoiker bezeichnen, aber ich prognostiziere neben Sicherheitslücken und Missbrauch noch etwas weiteres: Es wird Zusammenführungen mit anderen Daten geben. Die Steueridentifikationsnummer wird sich mittelfristig als Einstieg in die Personenkennziffer herausstellen, die das Bundesverfassungsgericht bereits als unzulässig gebrandmarkt hat. Es wäre wirklich eine große Überraschung, wenn angesichts der technisch fraglos bestehenden Möglichkeiten tatsächlich keinerlei Begehrlichkeiten geweckt würden. Wetten wir?

Zum guten Schluss möchte ich einfach noch einmal zitieren, wofür genau wir eigentlich in Kauf nehmen sollen, von der Wiege bis 20 Jahre nach der Bahre sämtliche Bundesbürger in einer riesigen Datei zu katalogisieren:

Der Zweck der Zuteilung und Verwendung der Steueridentifikationsnummer insbesondere zur Datenspeicherung nach §§ 139a, 139b AO besteht im Wesentlichen in der gleichmäßigen Besteuerung, die durch einen gleichmäßigen Gesetzsvollzug sichergestellt sein muss, und in der Vereinfachung des Besteuerungsverfahrens.

Gleichmäßiger. Einfacher. Das ist alles.

Wie gesagt: Dass ich mit dem Ergebnis nicht zufrieden bin, wird sich jeder denken können. In den nächsten Tagen werde ich mich daher erstmal intensiver mit der Urteilsbegründung auseinandersetzen und mich dann mit meinem Anwalt beraten, ob und wie wir weiter verfahren werden.

Um dir die Möglichkeit zu geben, auch außerhalb von Facebook nützliche Erfahrungen im sozialen Bereich machen zu können, sind wir gelegentlich gezwungen, anderen überprüften Webseiten und Anwendungen, die sich auf die Facebook-Plattform stützen, allgemeine Daten über dich zur Verfügung zu stellen, wenn du diese besuchst (wenn du noch bei Facebook angemeldet bist).

Quelle: (Offensichtlich ernst gemeinter) Vorschlag zur Neufassung der Facebook-Datenschutzrichtlinie, der ab April gelten soll.

Ich kann mir nicht helfen, aber mit „nützliche Erfahrungen im sozialen Bereich machen“ verbinde ich eher sowas wie „in der Kirchengemeinde bei der Obdachlosenspeisung helfen“. Und nicht mal da fühlt sich jemand gezwungen (gezwungen!), mir diese Erfahrungen dadurch zu ermöglichen, dass er meine Daten ungefragt an andere weitergibt.

Die Facebook-Nutzer können den Vorschlag zur Neufassung noch bis zum 3. April kommentieren. Nicht dass ich mit einem Quell der Entrüstung rechne; wer sich bei Facebook angemeldet hat, hat ja vermutlich – und das meine ich ausdrücklich nicht bewertend – ein lockeres Verhältnis zur Privatsphäre, was ja sein gutes Recht. Oder aber – das wäre die traurigere Variante – nicht viel Ahnung davon.

Ist das zu fassen? Meine deutliche Antwort an den Versender der ersten Mail, dass ich wohl kaum einem anonymen Dritten gegenüber Informationen über meine Geschäftsbeziehungen geben werde, war wohl nicht genug. Heute geht es weiter:

Vorausgesetzt auch Sie gehören zum großen Kreis derer, die Ihren unbezahlten Rechnungen nachtrauern, vermutete ich Interesse, an einer minimalen unterstützenden Zusammenarbeit, die dann auch bezahlt würde.
Bitte entschuldigen Sie, wenn ich Unmut in Ihnen auslöste. Dies war nicht meine Absicht.
Da die Klage noch in Vorbereitung ist, wähle ich diesen Kontakt über einen Drittaccount. Bei den gesuchten Informationen handelt es sich um keine staatsanwaltlich relevanten. Es wird eine zivilrechtliche Klage im unteren 4-stelligen Bereich, die außerhalb des Insolvenzverfahrens gegen $FIRMA liegt.

Bitte entschuldigen Sie nochmals die Verwirrung.

Habe ich das richtig verstanden und mir wurde hier – wenig unverhohlen – Bezahlung für eine „unterstützende Zusammenarbeit“ angeboten (die dann, ausgehend von der ersten Mail, wohl in der Preisgabe vertraulicher Informationen bestehen sollte)?

Interessanterweise wurde diese zweite Mail im Gegensatz zur ersten nicht über einen der großen Internetprovider versendet, sondern aus einem kleinen IP-Netz einer Firma, die in einer gut zu $FIRMA passenden Branche arbeitet. Ich gehe also mal ganz mutig davon aus, dass ich hier sowieso nicht mit dem Anwalt eines Geschädigten kommuniziere, sondern mit dem Geschädigten selbst. Es ist natürlich möglich, dass er dennoch auch Anwalt ist, beispielsweise aus einer hauseigenen Rechtsabteilung, aber mein Gefühl sagt mir etwas anderes …

Ich habe nun die Geschäftsführung der Firma, aus deren IP-Netz diese zweite anonyme Mail stammt, dazu aufgefordert, derartige anonyme Belästigung aus ihrem Haus bitte zu unterbinden.

Eben frisch in meiner Mailbox eingetroffen:

Sehr geehrter Herr Pasche,

ich bin auf der Suche nach Informationen über die Firma $FIRMA. Ein Mandant von mir klagt gegen diese wegen ausstehender Zahlungen.

Da uns leider noch Beweismaterial fehlt, recherchiere ich nun im Umfeld der Firma.
Mir wurde mitgeteilt, dass Sie die Homepage betreuen.

Stimmt das und wie stehen Sie zu dieser Firma?

Vielen Dank für eine Antwort!

Die Unterschrift habe ich nicht etwa weggekürzt – da war einfach keine. Auch ist der Absender eine nicht mit Klarnamen versehene Freemailer-Adresse. Da Absender ja den Eindruck macht, Rechtsanwalt zu sein, wenn er einen Mandanten vertritt, für den er eine Klage führt, erscheint das hoffentlich nicht nur mir reichlich fragwürdig. Was lässt denn ausgerechnet einen Rechtsanwalt (mal angenommen, das sei er wirklich) annehmen, ich würde freimütig einer anonymen Person Auskünfte über irgendwelche Kundenbeziehungen geben? Eine etwas merkwürdige Vorstellung von Datenschutz – aber man kann’s ja mal versuchen. Nur eben nicht bei mir.

Update: Es gibt inzwischen noch eine zweite Mail.

Zugegeben: In unserem von Kundenaufträgen bestimmten Arbeitsalltag spielt das Thema Datenschutz keine besondere Rolle. Mein Interesse daran ist eher privater Natur. Nichtsdestoweniger verfolge ich aktuelle Diskussionen mit Interesse und prüfe auch, inwieweit ich als Provider zu einem verbesserten Datenschutz beitragen kann oder gar Kunden das Thema schmackhafter machen kann.

Durch einen Bekannten wurde ich schon vor einiger Zeit auf die Aktion Wir speichern nicht aufmerksam gemacht. Vereinfacht gesagt geht es darum, die IP-Adressen von Website-Besuchern aus den Logfiles zu verbannen. Was mir selbst zunächst nicht klar war: §15 des Telemediengesetzes verbietet es sogar explizit, derartige Nutzungsdaten zu speichern, wenn diese nicht für Abrechnungszwecke, für die Ermöglichung des Zugangs oder zur Verhinderung von Missbrauch benötigt werden. Für alle drei Aspekte lassen sich im Website-Betrieb kaum stichhaltige Argumente finden.

Auf der Aktions-Website finden sich diverse Anleitungen für die Abschaltung von IP-Protokollierungen. Gegenüber Triviallösungen wie einem Script, das als Pipe fürs Logging funktioniert und dort IP-Adressen entfernt, haben Lösungen wie mod_removeip (dessen offizielle Website immer mal verschwindet) den Vorteil, dass diese nicht erst auf Logging-Ebene eingreifen, sondern schon vorher in den einer Applikation zur Verfügung stehenden Servervariablen die IP durch 127.0.0.1 ersetzen und somit jeglichen Zugriff anonymisieren. Auf diese Weise wird wirksam verhindert, dass auf Applikationsebene IP-Adressen geloggt werden könnten, selbst wenn das im access_log verhindert wird.

Drei Aspekte allerdings bereiten mir noch Kopfzerbrechen:

• Einige Mechanismen wie z.B. Session-Handling benutzen die IP-Adresse, um den Diebstahl einer Session (Übertragung auf einen anderen Rechner) dadurch zu verhindern, dass die Session an die IP gebunden wird. Dieser ohne Frage sinnvolle Mechanismus greift nicht mehr, wenn sowieso alle Zugriffe von 127.0.0.1 kommen.
• Logfile-Auswertungen, z.B. mit Webalizer, werden oftmals Zugriffe geografisch aus, und bei allem Wunsch nach Anonymität kann ich verstehen, dass insbesondere für international auftretende Unternehmen diese Informationen relevant und erhaltenswert sind.
• Schließlich dürfte eine „knallharte“ Durchsetzung von mod_removeip in Virtual-Hosting-Umgebungen wenig praktikabel sein. Schließlich hat nicht jeder Website-Betreiber die gleichen Datenschutzanforderungen; möglicherweise erfüllt der eine oder andere auch eins der Kriterien, unter denen eine Speicherung zulässig und erwünscht ist.

Aus diesem Grund habe ich mir einige Anforderungen überlegt, die ich persönlich an eine No-IP-Retention-Lösung hätte:

• Die Funktionalität soll pro virtuellem Host ein- oder ausstellbar sein, um die unterschiedlichen Anforderungen verschiedener Website-Betreiber abbilden zu können.
• Statt einer vollständigen Ersetzung der IP durch 127.0.0.1 könnte eine Kürzung der IP zum Einsatz kommen, bei der z.B. nur die letzte oder die letzten beiden Stellen der IP durch 0 ersetzt werden: Aus 1.2.3.4 würde zum Beispiel 1.2.0.0. Auf diese Weise wäre bereits Anonymität weitestgehend erreicht; die Ermittlung von Personendaten auf IP-Basis würde so bereits 256 bzw. 256^256 Ermittlungsverfahren bedingen. Gleichzeitig bliebe die Zugehörigkeit zum Class-C- oder Class-B-Netz erhalten, so dass zumindest eine grobe geografische Auswertung weiterhin möglich wäre. Last but not least würden Sicherheitsmechanismen wie IP-gebundene Sessions nicht mehr völlig wirkungslos sein: Ein Angreifer müsste nicht nur eine Session stehlen können, sondern noch dazu aus dem gleichen Netzbereich angreifen.
• Parallel dazu könnte die Top-Level-Domain des zugreifenden Hosts bestehen bleiben, in dem nur der Hostname selbst verschleiert wird, die TLD aber erhalten bliebe. Aus „dsl47110815.provider.se“ könnte so beispielsweise „anonymous.se“ werden, womit immer noch das Herkunftsland (Schweden) des Zugriffs dokumentiert wäre, ohne konkrete personenbezogene Daten vorzuhalten.

Ich höre mich derzeit nach weiterem Feedback zu dieser Fragestellung um und suche nach entsprechenden Möglichkeiten der Umsetzung. Da wir selbst hausintern keine Erfahrung mit der Erstellung von Apache-Modulen haben, würden wir ein entsprechendes Modul auch per Sponsoring (mit)finanzieren, solange das Ergebnis unter einer freien Lizenz veröffentlicht wird. Interessenten..?