Rainer Rehak

Das Beobachten auf Basis von Informationstechnologien im Rahmen ziviler Sicherheit gewinnt stetig an Bedeutung. Je mehr das Netz und seine Anwendungen den sozialen und wirtschaftlichen Alltag durchdringen und eine schier unendliche Vielzahl von Daten anfällt, desto stärker wächst einerseits das Interesse der Sicherheitsbehörden hieran, umso mehr verändern sich und entstehen andererseits aber auch neue Formen von Kriminalität – vom massenhaften Kreditkartenbetrug über illegalen Handel im Netz bis hin zur Nutzung von Online-Diensten für terroristische Aktivitäten. Grundsätzlich definiert der jeweilige Fall, welche Informationen für die Verhinderung und Aufklärung von Straftaten benötigt werden und wie diese genutzt werden dürfen. So kann in dem einem Fall in den zugänglichen wie nicht zugänglichen Bereichen des Internets nach verdachtserhärtenden Elementen gefahndet werden, etwa um im Zusammenhang mit Hehlerei über die Angebotsrecherche bei Ebay hinsichtlich eines bestimmten Diebesguts einer ganzen Gruppe von Diebesgütern an entsprechende Nachweise zu gelangen. In einem anderen Fall ist das Bewegungsbild auf Grundlage der Telekommunikationsdaten einer beschuldigten Person von Interesse; in einem weiteren Ermittlungsvorgang ist es möglicherweise erfolgversprechend, die gesamte Festplatte auf dem Rechner einer verdächtigten Person zu durchsuchen, um deren Kommunikationsverhalten zu analysieren. Die jeweilige Beobachtung respektive Analyse von Informationen muss dabei stets durch die konkrete bestehende Verdachtslage gefertigt sein.

Gleichzeitig lässt sich beobachten, dass Sicherheitsbehörden immer mehr Daten im Vorfeld sammeln bzw. sammeln lassen, um im Verdachtsfall darauf zugreifen zu können. Neben dem Zuwachs an polizeilichen Datenbanken für den Datenabgleich steht das Gesetz zur Vorratsdatenspeicherung gleichsam stellvertretend für diese Entwicklung. Prinzipiell könnte jede Information für die Prävention von Gefahren und im Kontext entsprechender Ermittlungen von Bedeutung sein, beispielsweise auch Fluggastdaten1, doch es bedarf auch hier entsprechender Rechtfertigungsgründe, damit auf die gespeicherten Daten auch zugegriffen werden kann. Voraussetzung ist, dass sich die zu ermittelnde bzw. nachzuweisende Straftat durch das Telekommunikationsverhalten der verdächtigen Person auch tatsächlich nachweisen lässt, weil die Kommunikation zur Planung der Tat über ein der Person eindeutig zuschreibbares und dem Anbieter auch bekanntes Gerät geführt worden ist. Es entsteht damit eine erhebliche Beweislast auf Seiten der Ermittlungsbehörden. Die Voraussetzung wird noch dadurch verschärft, dass eben nicht konkrete Inhalte der Kommunikation genutzt werden dürfen, sondern lediglich Verbindungsdaten. Der Einsatz von Beobachtungstechnologien muss also nicht nur durch die Tat bzw. den Ermittlungsfall gerechtfertigt sein, sondern es bedarf auch immer eines entsprechenden Nachweises, ob der Einsatz auch gerechtfertigt und korrekt erfolgt ist.

Dieses Gutachten ist eine sozialwissenschaftlich-technische Analyse der Möglichkeiten und Herausforderungen von Verfahren informationstechnisch vernetzter Beobachtung und wurde für das Büro für Technikfolgen-Abschätzung beim Deutschen Bundestag (TAB) angefertigt.

Since SARS-CoV-2 started spreading in Europe in early 2020, there has been a strong call for technical solutions to combat or contain the pandemic, with contact tracing apps at the heart of the debates. The EU’s General Data Protection Regulation (GDPR) requires controllers to carry out a data protection impact assessment (DPIA) where their data processing is likely to result in a high risk to the rights and freedoms (Art. 35 GDPR). A DPIA is a structured risk analysis that identifies and evaluates possible consequences of data processing relevant to fundamental rights in advance and describes the measures envisaged to address these risks or expresses the inability to do so.

Based on the Standard Data Protection Model (SDM), we present the results of a scientific and methodologically clear DPIA. It shows that even a decentralized architecture involves numerous serious weaknesses and risks, including larger ones still left unaddressed in current implementations. It also found that none of the proposed designs operates on anonymous data or ensures proper anonymisation. It also showed that informed consent would not be a legitimate legal ground for the processing. For all points where data subjects’ rights are still not sufficiently safeguarded, we briefly outline solutions.

On June 15, 2020, the official data protection impact assessment (DPIA) for the German Corona-Warn-App (CWA) was made publicly available. Shortly there- after, the app was made available for download in the app stores. This analysis concludes that the initially submitted DPIA had very significant weaknesses and provides examples for this claim. However since then, the quality of the of- ficial DPIA increased immensely. To illustrate the discussion and learning curve, the initial weaknesses are documented here. First in this paper, the pur- pose of a DPIA is recalled in a nutshell. According to Article 35 of the GDPR, this consists primarily of identifying the risks to the fundamental rights and freedoms of natural persons. This paper documents specific methodological, technical and legal shortcomings of the initial DPIA of the CWA: 1) Its focus only lies on the app itself, neither on the whole processing procedure nor on the infrastructure used. 2) It only briefly touches on the main data protection spe - cific attacker, the processing organization itself. And 3) The discussion of effec- tive safeguards to all risks such as the ones posed by Google and Apple are in - sufficiently worked out. This paper then documents the constructive comments and suggestions uttered before and after the initial release. As of now, some of those constructive contributions have been worked into the current DPIA, such as 1) and 2), but some central ones haven’t, such as 3).

The decentralized and open-source German CoronaWarnApp is often discussed as positive example with regards to data protection. We, a group of data protection researchers, anaylsed this aspect with the tool of a data protection impact assessment (DPIA) and found many insights that cannot be found by just looking at the source code. We show where the app is done right, but we also show, what's missing to be a showcase example in data protection. This talk gives a overview of the app discussion, explains the tool "DPIA" and also discusses the fundamental shortcomings of the official DPIA produced by Telekom and SAP.

The interaction of tech and eco activists gets more important every year we are heading deeper into the climate desaster. The talk explains the basic topics and shows past and current activities regarding our open movement as well as explaining our concrete demands.

So wie Farnpflanzen ihre Sporen aus der Kapsel mit bis zu 10m/s heraus in die Welt katapultieren, auf dass sie dort auf fruchtbaren Boden fallen, werden unsere 8 Expert*innen ihr Nerd- und Fach-Wissen weitergeben – spektakulär, wirkungsvoll und unterhaltsam. So bunt wie die besten Slams, so dicht wie die besten Lightning Talks: 8 Antworten auf die Frage, warum Techies und Ökos zusammengehören. Bei der Bits&Bäume 2018 kamen Aktivist*innen der Tech-Community und jene der Nachhaltigkeitsrichtungen zusammen, um einander ihre Fragen und Lösungsansätze zu erklären, sie zu diskutieren und gemeinsam eine bessere Zukunft zu erdenken. Wichtiger Teil war dabei auch einzutauchen in die jeweilig anderen Mikrokosmen, einander abzuholen und die Schnittstellen zu finden. Das erste "Sporangium" hat in diesem Sinne wichtige Themen beider Bereiche aufgegriffen. Für den C3 liegt nun der Fokus auf der Verbindung von Technologie und Nachhaltigkeit: Wie kann digitale Nachhaltigkeit, wie nachhalt...

A rant about liberty and autonomy for some! The Blockchain is celebrated for solving all the hard questions, trusted third-parties? Done! Supply-chain-control? Easy! Deliberation of the individual? Complete! But how come, that so many users move to Exchanges (Bitcoin), lawyers consider smart contracts not contracts (Etherium) and most other actually used Blockchains are either permissioned or private (read: databases). So, why does blockchain does not solve any problem and only grants liberty and autonomy for some – the techies themselves? Come hear my take on this and let's debate the present misunderstanding of what the blockchain technology actually can deliver.

Die Informatik ist scheinbar das neue Göttliche, das den Klimawandel, die Kriminalität, unser fehlendes Wissen über das Gehirn, den globalen Terror, dichter werdenden Stadtverkehr, die Energieprobleme und die Armut der Welt lösen kann; und zwar mit der Blockchain, mit künstlicher Intelligenz, mit der Cloud und mit Big-Data. Doch inwiefern ist die Informatik überhaupt in der Lage, derartige Probleme hoher gesellschaftlicher Relevanz anzugehen? In diesem Vortrag soll versucht werden, Teile der riesigen Wunschliste an die Informatik mit ihren tatsächlichen aktuellen Möglichkeiten in Einklang zu bringen sowie die ökonomischen Motivationen und Rahmenbedingungen einzubeziehen. Computer science seems to be the new divine element that can solve climate change, crime, our lack of knowledge about the brain, global terror, urban traffic, our energy issues and world poverty; with blockchain, with artificial intelligence, with the cloud and big data. But to what extent is computer science even a...

Zwei Teams mit rauchenden Köpfen und ein johlendes Publikum raten sich durch unsere dritte Wortspielhölle der IT, Informatik und digitalen Gesellschaft. Wer bei vielschichtigen (Anm. d. R.: "haarsträubenden"!) Assoziazionsbilderrätseln freudiges Synapsenfunkeln und feuchte Augen bekommt oder aber bei Gehirnschmerz und Um-die-Ecke-Denk-Beulen trotzdem feiert, ist bei uns zu Hause.

Beim Datenschutz geht es mitnichten um Privatsphäre, um das eigene Schlafzimmer oder um das Teilen privater Daten bei Facebook. Es geht gleichermaßen um den Erhalt einer demokratischen Gesellschaftsordnung wie um den Erhalt individueller Handlungsalternativen im digitalen Zeitalter. Wir dürfen also nicht so sehr über Einzelpersonen und ihre höchst subjektiven Privatheitswünsche sprechen, sondern viel mehr von Machtasymmetrien, Durchsetzungsmacht, sowie "starken" und "schwachen" Akteuren.

Mit (u. a.): Rainer Rehak, Anna Biselli, Andre Meister, ... Was für die Breitbandversorgung in Deutschland gilt, gilt auch für Transparenz: Überall Demokratie-Funklöcher, die man stopfen muss, am besten mit Klagen. Wir erzählen, was das Informationsfreiheitsgesetz in diesem Jahr für die Demokratie-Infrastruktur getan hat, welche Rolle dabei Klagen gespielt haben und was die IFG-Meisterschaften damit zu tun haben.

Since SARS-CoV-2 started spreading in Europe in early 2020, there has been a strong call for technical solutions to combat or contain the pandemic, with contact tracing apps at the heart of the debates. The EU's General Daten Protection Regulation (GDPR) requires controllers to carry out a data protection impact assessment (DPIA) where their data processing is likely to result in a high risk to the rights and freedoms (Art. 35 GDPR). A DPIA is a structured risk analysis that identifies and evaluates possible consequences of data processing relevant to fundamental rights and describes the measures envisaged to address these risks or expresses the inability to do so. Based on the Standard Data Protection Model (SDM), we present a scientific DPIA which thoroughly examines three published contact tracing app designs that are considered to be the most "privacy-friendly": PEPP-PT, DP-3T and a concept summarized by Chaos Computer Club member Linus Neumann, all of which proces...

In all areas of science communication, metaphors are a very important tool for explaining complex matters in everyday language. While in mathematics or physics, the domain language is visible as such, the notions used in the interdisciplinary field of artificial intelligence (AI) already seem like everyday language and therefore hide their inner complexity. AI vocabulary comprises many anthropomorphisms to describe seemingly cognitive-like computer functions. Considering terms such as “learning”, “deciding”, “recognizing” or even “intelligence” itself, purely descriptive conversations about the field are nearly impossible. Difficulties now arise when such charged vocabulary as in the field of AI is being directly transferred into other domains or back into everyday language used in political or public debates. Confusion expands even more, when such assumed capabilities hit the discourse concerning transhumanism, who wants to “enhance” humans technologically. However, “enhancement” is usually meant in a masculine and capitalist regime of enhancement: think faster, jump higher, live longer, be more productive.

This chapter makes the claim that present debates around AI and transhumanism are characterized by a general lack of sensitivity and critical distance to the various levels and contexts of metaphors used. As a consequence, questions regarding responsibility and potential use cases are greatly distorted. The chapter proves its claim by critically analysing core notions of the AI and transhumanism debates and is a conceptual work at the intersection of computer science/machine learning and the philosophy of language.

A lot of business and research effort currently deals with the so called decentralised ledger technology blockchain. Putting it to use carries the tempting promise to make the intermediaries of social interactions superfluous and furthermore keep secure track of all interactions. Currently intermediaries such as banks and notaries are necessary and must be trusted, which creates great dependencies, as the financial crisis of 2008 painfully demonstrated. Especially banks and notaries are said to become dispensable as a result of using the blockchain. But in real-world applications of the blockchain, the power of central actors does not dissolve, it only shifts to new, democratically illegitimate, uncontrolled or even uncontrollable power centers. As interesting as the blockchain technically is, it doesn’t efficiently solve any real-world problem and is no substitute for traditional political processes or democratic regulation of power. Research efforts investigating the blockchain sh...

Diese Arbeit hat die heimliche Online-Durchsuchung zum Thema, eine verdeckte staatliche Maßnahme zur Informationsgewinnung mittels Infiltration informationstechnischer Systeme. Sie wurde und wird aktuell von deutschen Behörden verwendet, wobei ihr Einsatz nach wie vor hoch umstritten ist. Die Arbeit umreißt zunächst die technischen, rechtlichen und gesellschaftlichen Rahmenbedingungen und fasst die Diskussion der letzten Jahre zusammen, um danach die technisch-gesellschaftlichen Implikationen dieser Maßnahme zu analysieren.

Methodisch werden aus Aussagen von Akteuren der Politik, den gesellschaftlich-rechtlichen Rahmenbedingungen und den Prinzipien der modernen Rechnerarchitektur die konzeptionellen Anforderungen, Funktionen und Eigenschaften der Software einer solchen Maßnahme entwickelt. Aus dieser konzeptionellen Beschreibung können konkrete technische Eigenschaften abgeleitet werden, weil die beschriebenen Konzepte in einer gegebenen Computersystemarchitektur nicht beliebig implementierbar sind. An der so konstruierten prototypischen Software können dann notwendige technisch-gesellschaftliche Folgen, Fähigkeiten und Auswirkungen analysiert werden.

Diese hergeleiteten Eigenschaften werden dann mit dem Verfassungsgerichtsurteil zur Online-Durchsuchung aus dem Jahre 2008 und den dort geforderten technisch-rechtlichen Beschränkungen zusammengeführt. So können vom Gericht formulierte Anforderungen in reale Konsequenzen transformiert werden. Die gefundenen Ergebnisse sind wie folgt zusammenzufassen:

1. Eine Funktionsbeschränkung der Software kann weder sichergestellt noch belegt werden, daher muss immer die maximale Eingriffshürde zur Anwendung kommen.
2. Erlangte Daten haben grundsätzlich keinen Beweiswert, sofern sie keinen eigenen intrinsischen Personenbezug aufweisen (z. B. Bilder, die Personen zeigen).
3. Die Trennung von Telekommunikationsund Nichttelekommunikationsdaten ist technisch nicht hinreichend lösbar, daher muss immer — auch für eine Quellen-TKÜ — die maximale Eingriffshürde zur Anwendung kommen.
4. Der Kernbereich privater Lebensgestaltung ist praktisch immer betroffen, technischer Kernbereichsschutz ist prinzipiell nicht möglich.

Diese Resultate widersprechen der aktuellen politischen Praxis und implizieren, dass Exekutive und Legislative ihr Verständnis der Online-Durchsuchung konsequent korrigieren müssen. Die Arbeit soll darüber hinaus die aktuelle Diskussion generell um notwendige technische Grundlagen bereichern.

In the interdisciplinary field of artificial intelligence (AI) the problem of clear terminology is especially momentous. This paper claims, that AI debates are still characterised by a lack of critical distance to metaphors like ‘training’, ‘learning’ or ‘deciding’. As consequence, reflections regarding responsibility or potential use-cases are greatly distorted. Yet, if relevant decision-makers are convinced that AI can develop an ‘understanding’ or properly ‘interpret’ issues, its regular use for sensitive tasks like deciding about social benefits or judging court cases looms. The chapter argues its claim by analysing central notions of the AI debate and tries to contribute by proposing more fitting terminology and hereby enabling more fruitful debates. It is a conceptual work at the intersection of critical computer science and philosophy of language.

Zusammenfassung Seit der Ausbreitung des SARS-CoV-2-Virus in Europa Anfang 2020 wir dan technischen Lösungen zur Eindämmung der Pandemie gearbeitet. Unter den verschiedenen Systementwürfen stechen jene hervor, die damit werben, datenschutzfreundlich und DSGVO-konform zu sein. Die DSGVO selbst verpflichtet die Betreiberïnnen umfangreicher Datenverarbeitungssysteme wie etwa Tracing-Apps zur Anfertigung einer Datenschutz-Folgenabschätzung (DSFA) aufgrund des hohen Risikos für die Rechte- und Freiheiten (Art. 35 DSGVO). Hierbei handelt es sich um eine strukturierte Risikoanalyse, die mögliche grundrechtsrelevante Folgen einer Datenverarbeitung im Vorfeld identifiziert und bewertet. Wir zeigen in unserer DSFA, dass auch die aktuelle, dezentrale Implementierung der Corona-Warn-App zahlreiche gravierende Schwachstellen und Risiken birgt. Auf der rechtlichen Seite haben wir die Legitimationsgrundlage einer freiwilligen Einwilligung untersucht und formulieren die begründete Forderung, dass d...

The second ‹Bits & Bäume› conference took place in Berlin in 2022. Once again, it provided a space for critical tech and sustainability communities to share ideas and collaborate towards the common goal of shaping digitalisation to foster sustainability. This companion book compiles the insights, work, research and opinions of more than 65 authors with a ‹Bits & Bäume› background, including practitioners, researchers and activists. The articles included in this journal demonstrate the progress made in merging ‹Bits› and ‹Bäume› (Trees) topics since our first publication in 2019 by addressing different sub-areas of the intersections between digitalisation and sustainability. Encompassing a wide range of topics, the articles delve into pressing challenges such as the resource consumption, power implications and democratic governance of digital infrastructures, AI, blockchains, mobile apps, and other software applications, as well as the need to address the unsustainable practices and paradigms of e.g., the platform economy. Offering not only transparency but also solutions, the journal presents practical approaches and concepts related to the necessary transformation, such as the Computer Science for Future programme. It also contains articles commenting on current political developments, such as the EU legislation on sustainability and freedom-related aspects of ICT devices. Further articles highlight the power of and need for an active civil society, aiming to inspire activism. This journal caters for everyone: Are you just getting into the topics around Bits & Bäume? Have you been involved in this field for many years, or are you an expert in one of the areas touched on here? In this journal you will find both introductory topics, such as illustrations on the challenges of today's digitalised society, and also advanced topics, such as conceptual and regulatory discussions. Whatever your background, we think you’ll enjoy the read, learn something new on the way, and get inspired. Ultimately, we are all united by the overarching goal of shaping digitalisation as part of a necessary socio-ecological change; one which contributes to a sustainable and just society.