Hadmut Danisch

Ansichten eines Informatikers

Zum Stand des Datenschutzes, der Kryptographie und der Datenschützerignoranz gegenüber der USA

Hadmut
27.1.2022 22:57

Weitere Puzzlestücke und blankes Versagen.

Ich habe das schon vor Jahren beschrieben, ich weiß auswendig nicht mal mehr genau, wann. Es gibt eine ganze Reihe von – auch höchstrichterlichen – Entscheidungen in den USA, wonach die amerikanischen Grundrechte (Verfassungsanhänge) wegen einer Formulierung (ich glaube, es war das we, the people) dahingehend ausgelegt werden, dass sie nur für Bürger der USA und für Menschen auf US-amerikanischem Boden gelten. Deshalb betreibt man Lager wie Guantanamo oder lässt in Ägypten foltern, weil es aus juristischen Gründen wichtig ist, dass der Betroffene a) kein Amerikaner ist und b) keinen Fuß auf amerikanischen Boden setzen kann, weil er sonst ja Rechte hätte und klagen könnte. Soweit ich weiß, ist das auch einer der Gründe, warum die USA, anders als andere Staaten, auch die Passagiere kontrollieren und gegebenfalls ablehnen, die gar nicht in die USA fliegen, sondern sie nur überfliegen.

Es gab auch mal diesen Fall russischer Hacker, die sich von Russland aus in den USA eingehackt hatten, aber bemerkt wurden. Irgendwer, weiß nicht mehr, FBI oder sowas, hatte zurückgehackt und deren Rechner ausgeforscht, um herauszufinden, wer die Angreifer sind. Dann hat man extra für sie in Kanada eine Scheinfirma aufgebaut, und sie per Headhunter mit dickem Gehalt geködert, um sie zum Bewerbungsgespräch nach Kanada zu holen, dort festnehmen und in die USA ausliefern zu lassen. Deren Pflichtverteidiger argumentierte, dass man die Beweise nicht verwerten dürfe, weil man deren Computer ohne gerichtliche Verfügung durchsucht hätte, was gegen die Grundrechte verstoße und deshalb zu einem Beweisverwertungsverbot führe. Die Gerichte befanden aber, dass das hier nicht gelte, weil sie zu dem Zeitpunkt der Durchsuchung weder US-Amerikaner, noch auf US-amerikanischem Boden gewesen seien, die Behörden mit ihnen also einfach tun und lassen konnten, was sie wollten. Irgendwo in den unendlichen Tiefen meines Archives habe ich die Entscheidung, finde ich jetzt aber nicht auf Anhieb.

Wer nicht US-Amerikaner oder auf US-Boden ist, der ist aus Sicht der Amerikaner völlig schutz- und rechtlos.

Deshalb läuft das mit Kryptologen in und außerhalb der USA völlig unterschiedlich. In den USA sind sie dort durch die Grundrechte geschützt, unterliegen aber dortigen Gesetzen. Wenn man also in den USA Kryptoforschung betreibt, die gegen deren Interessen verstoßen, bekommt man einen Brief vom Staat, dass man das zu unterlassen hat, genauer gesagt, nur geheim und nach Maßgabe der Behörden tun darf. Und weil bereits dieses Schreiben geheim ist, darf man noch nicht mal sagen oder zugeben, so ein Schreiben bekommen zu haben.

Außerhalb der USA, wie bei mir, läuft es genau umgekehrt. Jemandem wie mir kann man so ein Schreiben nicht schicken, weil wir nicht amerikanischen gesetzlichen Zwängen unterliegen. Aber weil wir auch keine amerikanischen Grundrechte haben, kann man uns einfach so sabotieren und absägen. Ob man Leute in Ägypten foltert, in Guantanamo einsperrt oder in Karlsruhe absägt, ist aus US-Sicht juristisch dasselbe: Nämlich unbeachtlich.

Das ist ein wesentlicher Punkt, auf den ich in meiner beruflichen Praxis immer wieder – und stets zum Missfallen des Warnungsempfängers, aber nicht über den Zustand, vor dem ich gewarnt habe, sondern darüber, dass man überhaupt warnt – hingewiesen habe. Wer nämlich seine Daten in die US-Cloud hochlädt oder Software von Microsoft verwendet oder Office365 oder sowas ist damit faktisch rechtsschutzlos. Da kann man erzählen, so viel man will, es nutzt einem alles nichts, weil das US-Recht da praktisch immer auf diese Amendments zurückgeht, und die für uns Europäer schlicht nicht gelten.

Was Spionage, Sabotage, Durchsuchung, durch die USA angeht, sind wir hier einfach schutzloses Freiwild. Die können mit uns machen, tun und lassen, was sie wollen.

Man darf das nur nicht laut sagen, weil das politisch und politisch korrektlich nicht erwünscht ist. Sagt man das, kriegt man Ärger. Das war einer der Gründe, warum ich neulich ein großes, deutsches Unternehmen verlassen habe. Man hatte, ohne das mit den jeweils zuständigen Geschäftsführungen und Zuständigen abzusprechen, einfach Konzernweit beschlossen und verfügt, die Kommunikation nach Azure, in Office365 und in Microsoft Teams auszulagern. Und das nicht nur für die Zukunft, sondern einschließlich der Migration aller bestehenden Mailboxen auch mit jahrealten Inhalten. Ohne die Leute um Zustimmung zu fragen. Personenbezogene Daten. Also habe ich meinen Job als Information Security Officer, Datenschutzkoordinator und Compliance-Onkel getan und die Konzernleitung darauf hingewiesen, dass das so nicht geht. Und noch dazu, dass die, die diese Migration begeleitet haben und dort als für Security zuständig auftreten (Quotenweibchen), dazu auch noch falsche Aussagen treffen, und nicht mal das konzerneigene Sicherheitshandbuch fehlerfrei wiedergeben können – weil sogar das Konzernsicherheitshandbuch eine solche Migration verboten hätte. Weil aber sowohl die Konzerndatenschutzbeauftragte, als auch die Konzerncompliancebeauftragte zwar quotig, aber wenig sachkundig und vor allem desinteressiert waren und da gar nichts gemacht haben, außer die Klappe zu halten und mir eine Antwort zu schicken, dass sie das gar nicht so sähen wie ich, und auch ein ein Konzern-CISO, der durch hohe Position und permanente Untätigkeit auffiel, mir beschied, dass sei alles nicht meine Angelegenheit (als ISO, Datenschutzkoordinator und Compliance-Officer, wohlgemerkt, es war also genau meine Aufgabe) und bereits entschieden und disktuiert, aber natürlich nicht dokumentiert, und ich dann auch dem Standpunkt stand, dass ich Dinge nicht vertreten könne, die ich als unvertretbar kategorisiert hatte, war das dann einer der Gründe, warum man dann überein kam, künftig getrennte Wege zu gehen. Ich fand das überaus seltsam und hochgradig dubios, warum man urplötzlich alles in die Microsoft-Cloud verschoben hat, damit dann per Home-Office auch noch in die Privatnetze der Mitarbeiter eingedrungen ist, der ganze Teams-Kram immer zwangsweise startete, und gleich eine ganze Reihe von Leuten – ein CISO, die Konzerndatenschutzbeauftragte, die Konzerncompliancebeauftragte, und die die Migration begleitenden Damen – komplett versagt, sich über geltendes Recht hinweggesetzt und Mitarbeiter bei Einwänden sogar falsch informiert haben. Ich habe sogar darauf hingewiesen, dass die Datenschutzkonferenz Office365 für datenschutzrechtswidrig befunden hatte – das sei unbeachtlich, weil ja nicht alle dieser Meinung seien.

Konzerne dieser Größe müssen ja sogar eine Korruptions-Hotline betreiben, um „compliant“ zu sein, über die man im Notfall die Konzernleitung informieren kann. Das habe ich getan. Habe darauf hingewiesen, was da wie und warum schiefläuft. Dass man da gerade das Heiligtum Post- und Fernmeldegeheimnis verletzt. Und es passierte: Exakt gar nichts. Bis auf den Umstand eben, dass ich nicht mehr im dem Konzern tätig bin. Da ging mit Sicherheit sehr viel Geld an Microsoft, und auch sehr viel „Vorarbeit“ der Migration voraus.

Irgendwie habe ich so ein Talent, immer in die allertiefste Sch… zu greifen.

Aber irgendwie habe ich dann auch die Gabe, offenkundige Probleme als einziger zu sehen, worauf dann viele andere mit „Jetzt, wo Du es sagst…“ reagieren.

Macht man das Maul auf, hat man Ärger am Hals. Hält man aber das Maul, hat man seinen Job nicht gemacht, steht gegenüber denen, die sich auskennen, als Pfeife da, und ist dann verantwortlich, fällig und wegen Unterlassung/Fahrlässigkeit usw. dran, wenn es schief geht.

Es gibt natürlich Leute, deren ganze beruflichkeit darin und aus nichts anderem besteht, das Maul zu halten. Man hatte mir vor 20 Jahren sogar mal explizit so einen Job angeboten, Datenschutz, Gehalt nur für’s Maulhalten, kein Problem, wenn ich dem Arbeitsplatz fern bliebe, Golf spielen gehe oder sowas. Inzwischen sind diese Jobs aber durchgehend für die Quotenfrauen und Politgünstlinge reserviert, da passt das dann gut.

Das Gutachten

Nun weist mich ein Leser auf eine aktuelle Neuigkeit im Datenschutz hin.

Die Datenschutzkonferenz nämlich habe bei dem US-Juristen Stephen I. Vladeck ein Gutachten in Auftrag gegeben, das zu dem Schluss komme, dass eigentlich alle, auch in Europa gespeicherte Daten den USA zugänglich seien. (Zusammenfassung der wesentlichen Punkte, Deutsch, Englisch).

Und das ist schön.

Also eigentlich ist es schrecklich, was drin steht, aber es ist schön, dass es das bestätigt, was ich seit Jahren sage (und eigentlich auch schon damals an der Uni in den Vorlesungen und Übungen gesagt habe).

Auf den Anwendungsbereich von Abschnitt 702 des FISA (das Kernstück des FISA Amendments Act von 2008) gehe ich in den Ziffern 39-43 des Vladeck Schrems Report ein. Um es kurz zu machen: Abschnitt 702 ist in dem Sinne verbindlich, dass, wenn die Vereinigten Staaten einem Anbieter von elektronischen Kommunikationsdiensten eine Anweisung erteilt haben, die durch ihre jährliche Zertifizierung vor dem FISA-Gericht gemäß Abschnitt 702 genehmigt wurde, der Anbieter entweder (1) die Anweisung befolgen oder (2) die Anweisung vor dem FISA-Gericht anfechten muss.

Anders ausgedrückt: Eine gemäß Abschnitt 702 erlassene Anweisung kann den Anbieter elektronischer Kommunikationsdienste, der sie erhält, dazu verpflichten, Daten an einen US-Geheimdienst weiterzugeben oder ihm Zugang zu den Daten zu gewähren. Aber es ist die Anweisung, die die Offenlegung erzwingt. Abschnitt 702 an sich verpflichtet die Anbieter elektronischer Kommunikationsdienste nicht zur proaktiven Offenlegung von Daten oder zur Gewährung eines allgemeinen Zugangs zu Daten für US-Geheimdienste.

2. Falls die Antwort auf Frage 1 lautet, dass die Anbieter elektronischer Kommunikationsdienste verpflichtet sind, Daten offenzulegen oder Zugang zu ihnen zu gewähren: Verfügen die US-Behörden über Mittel zur Durchsetzung dieser Verpflichtung? Wenn ja, beschreiben Sie bitte diese Mittel.

Abschnitt 702 geht speziell auf diese Frage ein. Wenn der Anbieter die Anweisung vor Gericht anfechtet und verliert, kann die Nichtbefolgung der daraufhin ergangenen gerichtlichen Anordnung ausdrücklich mit Missachtung geahndet werden, was erhebliche (ansteigende) Geldstrafen nach sich ziehen kann, siehe 50 U.S.C. § 1881a(i)(4)(G). Wenn der Anbieter die Anweisung nicht vor Gericht anfechtet, sondern sich ebenfalls weigert, sie zu befolgen, kann der Attorney General vor dem FISA-Gericht ein kontradiktorisches Gerichtsverfahren zur Durchsetzung der Anweisung anstrengen, siehe id. § 1881a(i)(5).

Da steht zunächst mal nicht, dass das nur für amerikanische Anbieter oder amerikanische Kommunikation gilt.

3. Welche Arten von Daten kann die Regierung von Anbietern elektronischer Kommunikationsdienste gemäß FISA 702 anfordern? Erlaubt das Gesetz der US-Regierung, die Metadaten und den Inhalt der Kommunikation zu erfassen? Erlaubt das Gesetz der US-Regierung, andere Arten oder Formen von Daten zu erfassen?

Der Wortlaut des Gesetzes sagt nichts über die spezifischen Arten von Daten aus, die gemäß Abschnitt 702 erfasst werden können. Wir wissen jedoch, dass das FISA- Gericht die Erfassung von Metadaten und Kommunikationsinhalten gemäß Abschnitt 702 zumindest unter bestimmten Umständen genehmigt hat – was bedeutet, dass es die Auslegung des Gesetzes durch die US-Regierung, die eine solche Erfassung zulässt, formell bestätigt hat. Nach den Bestimmungen des Gesetzes ist die US- Regierung nicht befugt, andere Arten oder Formen von Daten zu erheben – was aber nicht unbedingt bedeutet, dass die Regierung nicht befugt ist, solche Daten zu erheben. Wie bei den Inhalten und Metadaten ist dies in erster Instanz eine Frage der Gesetzesauslegung durch das FISA-Gericht. Das Gesetz bezieht sich nur auf den “Inhalt” von Kommunikationen, 50 U.S.C. § 1881a(f)(3)(A), und “Inhalt”, wie in 18 U.S.C. § 2510(8) definiert, “wenn er in Bezug auf eine drahtgebundene, mündliche oder elektronische Kommunikation verwendet wird, schließt alle Informationen über den Inhalt, den Sinn oder die Bedeutung dieser Kommunikation ein”. (Hervorhebung hinzugefügt).

Also eigentlich alles.

4. Gilt FISA 702 für Daten im Übermittlungsstadium und/oder für Daten im Ruhezustand? Umfassen diese beiden Begriffe zusammen alle Daten, die verarbeitet werden können?

Abschnitt 702 wurde sowohl auf Daten im Übermittlungsstadium als auch auf Daten im Ruhezustand angewandt. Die Erhebung im Übermittlungsstadium wird als “vorgelagerte” Erhebung bezeichnet, die Erhebung im Ruhezustand wird oft als “nachgelagerte” Erhebung beschrieben. (Das PRISM-Programm ist ein Beispiel für Letzteres.)

Das ist genau das, was ich in besagtem Konzern separat und besonders gerügt hatte: Man geht nicht nur für die Zukunft in die Azure-Cloud und nutzt Office365, sondern man migriert auch die bestehenden Mailboxen dorthin, in denen die Leute teils jahrealte Kommunikation abgelegt hatten. Ohne ein Einverständnis der Leute einzuholen.

Schlimmer noch: Es ging ja nicht nur um konzerninterne Kommunikation, sondern auch um private (die Nutzung von Mailboxen auch für kleinere private Angelegenheiten war gestattet), und um dienstlich bedingte Außenkommunikation, bei der also Leute Mail an den Konzern schicken und sich darauf verlassen, dass der damit ordentlich umgeht, zumal der Konzern dem Briefgeheimnis besonders verpflichtet ist.

Ich fand das überhaupt nicht lustig, dass ich als ISO und Datenschutzkoordinator auch vertrauliche Dinge in der Mailbox hatte, und trotzdem keinen Weg zu verhindern, dass diese Daten in die Microsoft-Cloud gepumpt wurden. Und man mir nicht mal zuhört, wenn ich als nicht einfach nur normaler Mitarbeiter, sondern als ISO und Datenschutkoordinator darauf hinweise, dass das rechtlich nicht geht.

5. Welche Personen oder Einrichtungen fallen unter den Begriff “Anbieter elektronischer Kommunikationsdienste” in 50 U.S.C. § 1881(b)(4)?

Die Definitionen in § 1881(b)(4) sind erschöpfend, aber auch recht umfangreich, einschließlich:

(A) ein Telekommunikationsunternehmen, wie dieser Begriff in Abschnitt 153 von Titel 47 definiert ist; 3
(B) ein Anbieter von elektronischen Kommunikationsdiensten, wie dieser Begriff in Abschnitt 2510 von Titel 18 definiert ist; 4
(C) ein Anbieter eines Ferncomputerdienstes, wie dieser Begriff in Abschnitt 2711 von Titel 18 definiert ist; 5
(D) jeder andere Anbieter von Kommunikationsdiensten, der Zugang zu drahtgebundener oder elektronischer Kommunikation hat, entweder während der Übertragung oder während der Speicherung solcher Kommunikationen; oder

(E) ein leitender Angestellter, ein Angestellter oder ein Beauftragter einer unter Buchstabe A, B, C oder D beschriebenen Einrichtung.

Das ist etwas holprig übersetzt, im Original heißt es bei C remote computing service.

Damit sind also sämtliche Cloud-Provider, aber auch Office365 und dergleichen voll erfasst.

Beachtlich ist auch, wenngleich auch zu komplex, um es hier zu zitieren, die Diskussion der Frage, ob das nur für Anbieter gilt, die ihre Dienste der Öffentlichkeit anbieten. Das ist nicht immer so, auch Firmen, die ihren eigenen Mitarbeitern Mail-Dienste zur Verfügung stellen (und wer tut das heute nicht?), fallen darunter.

Ich habe mich schon gefragt, ob der Konzern, bei dem ich war, überhaupt freiwillig in diese Cloud gegangen ist, oder ob die das gar nicht selbst entschieden haben, sondern deren Kommunikationsdienste einfach eingezogen wurden.

Nichtamerikaner

Und dann kommt sogar die Sache, die ich oben schon angesprochen und schon so oft erläutert hatte, nämlich dass die Amendments nur für Amerikaner und Leute auf amerikanischem Boden gelten:

Wenn die fraglichen Daten ausschließlich von Nicht-US-Personen außerhalb der Vereinigten Staaten gespeichert werden, fallen sie möglicherweise überhaupt nicht unter Abschnitt 702 – und können stattdessen den weniger regulierten (und weitaus geheimnisvolleren) Überwachungsbefugnissen des EO 12.333 unterliegen.

EO 12.333 ist die Executive Order 12333, zu der Wikipedia sagt:

Die Executive Order 12333 ist ein Präsidialerlass des US-Präsidenten Ronald Reagan vom 4. Dezember 1981, mit dem er die Befugnisse und Verantwortlichkeiten der nationalen Geheimdienste ausweitete. Zudem wies Reagan die Leiter der US-amerikanischen Bundesbehörden zu einer Kooperation mit dem Auslandsgeheimdienst CIA an, die eine Weitergabe von Daten vorsah.

Im Dezember 2013 erklärte die NSA, dass sie aufgrund dieses Erlasses zur globalen Überwachung von Mobiltelefonen berechtigt sei.

Und das ist dann die Order, gegen die ich damals mit dem Bau des digital verschlüsselten Telefons 1994 unwissentlich verstoßen habe und mit an Sicherheit grenzender Wahrscheinlichkeit der Grund, warum mein „Doktorvater“ Beth damals so hoch gegangen ist und angeordnet hat, das alles sofort zu vernichten, und nur noch die unsichere analoge Sprachverschlüsselung zu verwenden. Ich hatte ja beschrieben, dass NSA und BND viele europäische Behörden abgehört haben, indem sie ihnen Behördenfunkgeräte mit schwacher analoger Verschlüsselung (Sprachscrambler) untergejubelt hatten. Und Beth war – obwohl eigentlich nicht kompetent – irgendwie in die Entwicklung der analog verschlüsselnden Funkgeräte für die britische Polizei involviert, und hatte mich damals nach dem Eklat mit dem digital verschlüsselten Telefon die Anweisung gegeben, dass wir das so zu machen hätten, wie „er“ es damals für die britische Polizei gemacht habe – also geschwächt.

Und dem Ding bin ich dann wohl mit meiner Promotion zum Opfer gefallen.

Ich erinnere nochmal daran, dass die Kryptokriege der 1990er Jahre auf ein amerikanisches Gesetz zurückgingen, wonach alle Telekommunikationsdienste so zu bauen sind, dass die USA sie abhören kann – gemacht vom Politiker Joe Biden.

7. Kann ein US-amerikanischer Anbieter elektronischer Kommunikationsdienste und/oder eine Nicht-US-Tochtergesellschaft eines solchen Anbieters die Anwendung von FISA 702 mit dem Argument verhindern, dass eine solche Anwendung gegen das Recht der EU oder eines EU-Mitgliedstaats verstoßen würde?

Nicht als solche, nein. Abschnitt 702 selbst macht keine der darin vorgesehenen Befugnisse davon abhängig, ob die Erhebung mit dem Recht der EU oder der EU- Mitgliedstaaten vereinbar ist; im Gegenteil, es heißt ausdrücklich, dass die Erhebung, zu der er ermächtigt, “Ungeachtet anderer gesetzlicher Bestimmungen”. 50 U.S.C. § 1881a(a). Der einzige Vorbehalt ist hier die Presidential Policy Directive 28 (“PPD- 28”), die ein gewisses Maß an Schutz für bestimmte Daten von Nicht-US-Personen bietet, siehe Vladeck Schrems Report ¶ 62-64. Die Grenzen der PPD-28 hängen jedoch nicht davon ab, ob die Erhebung mit dem Recht der EU oder der EU
Mitgliedstaaten vereinbar ist oder nicht (sie richten sich stattdessen nach dem Zweck der Erhebung). Und in jedem Fall schafft die PPD-28 keine einklagbaren Rechte, die
ein US-amerikanischer Anbieter elektronischer Kommunikationsdienste oder eine nicht-amerikanische Tochtergesellschaft eines solchen Anbieters vor Gericht durchsetzen könnte.

Auch darauf hatte ich den Konzern hingewiesen. Weil es doch hieß, die hätte da extre sichere Clouds für deutsche Unternehmen. Wollte man nicht hören und nicht wahrhaben.

Komisch

Ich finde das etwas komisch, dass man dafür ein Gutachten einholt, und zum Beispiel netzpolitik.org, getarntes Außenpropagandaorgan von Rot/Grün, da jetzt ein großes Ding draus macht.

Denn abgesehen von dieser Executive Order 12.333, die ich noch nicht kannte, sind das alles Dinge, die ich seit Uni-Zeiten, also seit den 1990er-Jahren, immer wieder beruflich gesagt und gelegentlich auch im Blog beschrieben hatte – ohne Gehör zu finden. Oder, wie in besagtem Konzern erst neulich, negatives Gehör.

Wie tief schlafen die Landes- und Bundesdatenschutzbeauftragten eigentlich, wenn sie etwas, was – jedenfalls mir – seit Jahren und Jahrzehnten bekannt ist, jetzt erst per Gutachten aus den USA in Erfahrung bringen müssen?

Ein wesentliches Problem dürfte wohl sein, dass Datenschützer meistens Juristen und nur sehr selten Informatiker sind, und Juristen an dem Thema einfach auch scheitern, und das dann oft per Arroganz, Ignoranz, Überheblichkeit machen wollen oder machen zu können glauben.

Ich saß ja in einem früheren Job mal ein paar Jahre in einer Rechtsabteilung. Das war das Schrecklichste, was ich beruflich je getan habe.

Ein Jurist, der von IT kaum Ahnung hatte und sich auch nicht bewusst war, dass Festplatten kaputt gehen können und man deshalb Backups macht, war auf einem einwöchigen Datenschutzlehrgang, und bildete sich dann ein, sich mit IT besser auszukennen als ich. Das führte dann dazu, dass der eine Anweisung herausgab, dass jedesmal, wenn jemand datenschutzrechtlich die Löschung seiner Daten beantragte, diese nicht einfach nur in der Datenbank gelöscht werden durften, sondern die gesamte Datenbank angehalten werden und per dump rausgeschrieben, dann die Platten komplett ausgenullt werden müssen, und dann die Datenbank aus dem Dump wieder eingespielt werden muss, weil ja ein Löschen von Daten per SQL (ähnlich wie beim Löschen von Dateien) noch nicht dazu führt, dass die Daten auch aus den Sektoren der Platten gelöscht sind.

Dass so einen Dump raus- und wieder reinzuspielen, und das Nullen der Platten aber einen Tag oder mehr dauert, allein das Neuerstellen der Indexe einige Stunden dauert, kam dem überhaupt nicht in den Sinn. Dass man dann die Datenbank erst gar nicht mehr einspielen muss, weil man sie bei Millionen Kunden auch gar nicht mehr benutzen kann, wenn man sie jeden Tag den ganzen Tag lang raus und reinnudeln muss, um die Platten täglich durchzuputzen, war dem nicht beizubringen. Juristische Anweisung, wie ein Richter, und die Umsetzung interessierte den nicht.

Solche Leute machen den Datenschutz, und deshalb haben wir die Webseiten voller dämlicher Datenschutzeinverständniserklärungen, die kein Mensch mehr liest.

Und aufgrund ihrer Arroganz und Beschränktheit nehmen Datenschützer als Juristen sowas auch erst dann zur Kenntnis, wenn ihnen das ein Jura-Professor als Gutachten schreiben. Anderen Leuten glauben sie schlicht nichts. Mir als Informatiker glauben juristische Datenschützer schlicht nichts.

Und das Ergebnis sind dann solche Datenschutzgroßkatastrophen wie die USA. Das wissen wir seit den Kryptokriegen in den 1990ern, eigentlich schon seit der PROMIS/INSLAW-Affäre in den 1980ern, aber das war halt alles Informatiker-Wissen. Das ist zu den Juristen nie durchgedrungen. Die glauben nichts, was ein Nicht-Jurist erzählt.

Wollen wir mal hoffen, dass das noch richtig anbrennt.