Dienstag, 10. September 2013

Datenschutz nach Prism und Tempora

Vortrag von Thilo Weichert, Leiter des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein

bei der 
Konferenz der Initiative D21
Verbraucher- und Datenschutz in der digitalen Welt – Perspektiven für den mündigen Verbraucher

10. September 2013, Bayerische Landesvertretung, Berlin

 

Wenn es so etwas für den Datenschutz gibt, wie es „NineEleven“ für die Sicherheitspolitik war, also der Al-Quaida-Angriff auf die Twintowers in New York und das Pentagon in Washington, dann sind dies die NSA- und GCHQ-Angriffe auf das Internet, die uns der Whistleblower Edward Snowden seit über drei Monaten enthüllt. Nichts ist so wie zuvor. Die Enthüllungen haben weit über die tatsächlichen Bespitzelungen durch Programme wie Prism und Tempora hinausgehende Wirkungen. Diese können vergleichbar gravierende Konsequenzen für den Grundrechtsschutz mit sich bringen, wie dies bei der terroristischen Angriffen Anfang dieses Jahrtausends für die Sicherheitspolitik der Fall war. Es ist mehr als Ironie des Schicksals, dass zwischen beiden Vorgängen eine direkte Verbindung besteht:

Die Verschärfung der Sicherheitsgesetze, die gewaltige Automatisierung und der massive Ausbau der Sicherheitsapparate insbesondere in den USA, aber auch bei uns in Europa zu Beginn dieses Jahrhunderts, war eine direkte Folge von NineEleven. Damit wurden Dienste wie die National Security Agency – die NSA – oder das Government Communications Headquarters – das GCHC – technisch und personell zum stattfindenden globalen Generalangriff auf die elektronische Privatsphäre in die Lage versetzt.

Eine weitere Parallele zwischen beiden Ereignissen ist frappierend: Die Bedrohung unserer modernen Gesellschaften durch den islamistischen Terrorismus bestand schon vor NineEleven, wurde aber erst durch den Anschlag global wahrgenommen. Auch die Bedrohung der Privatsphäre durch Internetfirmen und Geheimdienste hat weit zurückliegende Wurzeln und wird erst jetzt vielen durch Edward Snowdens Dokumente richtig bewusst.

Zweifellos waren viele Reaktionen nach NineEleven irrational und überzogen. Ich will gar nicht verhehlen, dass dies nun auch manchmal bei Prism/Tempora der Fall ist. Aber einen großen Unterschied zwischen den beiden Ereignissen gibt es: Während nach NineEleven die Regierungen legislativ, personell, organisatorisch und technisch in hektischen Aktionsmus verfielen, versuchen sie diesmal, diesen Frontalangriff auf die informationellen Grundrechte der Menschen herunterzuspielen und Forderungen nach Änderungen abzuwiegeln.

Ich denke, dass dieses Abwiegeln keinen Erfolg haben wird. Dies ist meine optimistische Botschaft: Aus dem Umfeld von Snowden gibt es das relativ plausible Gerücht, dass bisher noch nicht einmal die Hälfte der entwendeten Informationen zu NSA und GCHQ über die Presse geleakt wurde. Selbst wenn dies nicht zuträfe, hat der Skandal Konsequenzen, die weder die US- noch die deutsche Regierung bisher wahrnehmen möchten: Hatten diese noch über die demokratischen Segnungen des Internet im sog. arabischen Frühling jubiliert, so werden sie nun mit diesen Segnungen selbst konfrontiert. Die Reaktionen der Verantwortlichen in den USA wie in Deutschland sind nicht problemadäquat: Repression und Weiterwurschteln. Die Repression trifft stellvertretend einzelne Whistleblower. Die 35jährige Haftstrafe für Bradley Manning ist aus bürgerrechtlich-demokratischer Sicht genauso irrational und unverhältnismäßig wie die von den USA ausgelöste diplomatische und mediale Hetze auf den“ Verräter“ Snowden. Zugleich weigern sich die Regierungen, Konsequenzen in Bezug auf ihre Geheimdienste zu ziehen. Die gesellschaftliche Relevanz dieser Vorgänge geht weit über das individuelle Schicksal der Whistleblower hinaus. Diese Vorgänge haben Auswirkungen auf die Gewährleistung unserer digitalen Grundrechte und unserer freiheitlich-demokratischen Ordnung sowie auf die Selbstbestimmung von Verbraucherinnen und Verbrauchern.

Zu den digitalen Grundrechten gehören die Meinungsfreiheit im Internet, der Anspruch auf Informationszugang sowie zwei vom deutschen Bundesverfassungsgericht aus dem Persönlichkeitsschutz abgeleitete Rechte: das Recht auf informationelle Selbstbestimmung und das Recht auf Gewährleistung der Integrität und Vertraulichkeit informationstechnischer Systeme. Diese beiden Grundrechte können – etwas verkürzend – mit dem Begriff „Datenschutz“ umschrieben werden.

Wir stehen nun vor der historischen Entscheidung, welchen weiteren Weg unsere modernen Informationsgesellschaften gehen wollen. Zugespitzt gibt es zwei Alternativen: das angloamerikanische Laissez-Faire oder der zentraleuropäische Grundrechtsschutz. Natürlich sind Zwischenlösungen denkbar. Doch stehen sich diese Alternativen derzeit derart kompromisslos gegenüber, dass klare Entscheidungen gefordert sind.

Das Laissez-Faire äußerte sich schon lange vor Snowden insbesondere in dem angloamerikanischen Ignorieren der Datenschutzverletzungen von US-Unternehmen wie Google, Facebook, Apple, Amazon, Microsoft und anderen, mit denen diese ihre globale Dominanz auf dem IT-Markt verteidigen. Die Nachsicht der irischen Aufsicht gegenüber Facebook ist nur eines von vielen Beispielen für diese Realität. Das Laissez-Faire zeigt sich auch in den informationellen Eingriffen von US-Sicherheitsbehörden, die durch den SWIFT-Datendeal oder die Erfassung der Passenger Name Records öffentliche Aufmerksamkeit fanden, für die es aber viele, teils weit zurückliegende Beispiele gibt. Vielleicht erinnern wir uns noch an Echelon, TIA – die „Total Terrorist Information Awareness“ oder Carnivore. Die Sicherheitsdatensammlungen in den USA basieren auf einem Sicherheitsverständnis, das auf Repression und präventiver Vollüberwachung basiert. Sie sind zugleich Ausdruck des US-amerikanischen globalen Dominanzstrebens im Sicherheitsbereich.

Dass wir derzeit einen transatlantischen Kulturkampf in Sachen Datenschutz erleben, ist alles andere als eine Selbstverständlichkeit, wenn wir uns die Geschichte des Datenschutzes anschauen: Es waren zwei US-Juristen, davon einer später Supreme-Court-Richter, Samuel D. Warren und Louis D. Brandeis, die 1890 den modernen Datenschutz mit ihrem Aufsatz „Right to Privacy“ mit einem „Right to be let alone“ begründeten. Und es war 1967 der US-Jurist Alan F. Westin, der vor wenigen Monaten verstorben ist, der mit seinem Buch „Privacy and Freedom“ aus der US-Verfassung die Grundprinzipien unseres modernen Grundrechts auf Datenschutz, er nannte es „Data Privacy“, ableitete. Seine Ableitungen aus mehreren Amendments der US-Verfassung, aus den politischen und den Kommunikations-Grundrechten, dem Schutz der privaten Wohnung und dem Recht, sich nicht selbst belasten zu müssen, sind heute ebenso gültig wie vor fast 50 Jahren. Sie sind naheliegender als die Ableitung, die das deutsche Verfassungsgericht knapp 20 Jahre später aus dem allgemeinen Persönlichkeitsrecht erarbeitete. Ohne darauf Bezug zu nehmen, finden sich sämtliche Erwägungen von Westin im Volkszählungsurteil des Bundesverfassungsgerichts wieder und dies in einer Entscheidung, die – wenig zentraleuropäisch – als Case Law eher nach den Grundsätzen des angloamerikanischen Common Laws erging.

Wir haben also in den westlichen Staaten einen einheitlichen kulturell-juristischen Hintergrund. Dieser konnte sich aber weder in den USA gegen den sicherheitsbehördlich-industriellen Komplex durchsetzen noch im United Kingdom, das lange Jahre durch den nordirischen Konflikt gebeutelt wurde.

Niemand kann behaupten, in den USA gäbe es keinen Datenschutz. Dieser ist aber ein Flickenteppich als gesetzgeberische Reaktion auf einzelne Problempunkte. Weitgehend ausgenommen blieben dabei Grundrechtseingriffe durch Internetunternehmen und durch die Sicherheitsbehörden. Eine grundrechtliche Begründung hat sich beim US-Supreme Court mit seinem Kriterium der „reasonable expectations of privacy“ nicht wirklich durchgesetzt.

Derweil konsolidierte sich in Europa das Grundrecht auf Datenschutz. Auch wir hatten hier – vor allem in den 70er Jahren – unseren „war on terrorisme“. Doch hatten wir mit wirkungsvollen außerparlamentarischen Bewegungen sowie den friedlichen Revolutionen in Osteuropa bis Ende der 80er Jahre in den 90er Jahren erheblich günstigere Bedingungen für die Entwicklung eines informationellen Grundrechtsschutzes. Mit NineEleven war diese liberale Entwicklung auch bei uns in Europa kurzfristig in Gefahr, als selbst in Deutschland unter Rotgrün die sicherheitsgesetzlichen Schrauben mit den Otto-Paketen angezogen wurden. Diese Tendenz wurde zusätzlich befeuert durch terroristische Anschläge, u. a. in London und Madrid. Doch waren die zivilgesellschaftlichen Kräfte stark genug, um sich mit dem Abflauen des Terrorismus durchsetzen zu können.

Segensreich sind insofern die integrierende Kraft Europas sowie die Erinnerungen an die autoritären Überwachungsstrukturen in Osteuropa. Die Entwicklung des europäischen Binnenmarktes und die dadurch notwendig gewordene Vereinheitlichung über die Europäische Datenschutzrichtlinie 1995 spielte ebenso eine Rolle, wie die zögerliche und nicht bruchlose, aber letztlich konsequente Übernahme der Rechtsprechung des deutschen Bundesverfassungsgerichtes durch den Europäischen Gerichtshof für Menschenrechte und den Gerichtshof der Europäischen Union. Mit der Europäischen Grundrechtecharta wurde im Jahr 2009 das Grundrecht auf Datenschutz europaweit verbindlich schriftlich fixiert. Diese Erfolgsgeschichte kann nun gekrönt werden durch die Europäische Datenschutz-Grundverordnung.

Interessanterweise vollzogen Großbritannien und in einem gewissen Maße Irland diese Entwicklungen nicht oder nur zögerlich nach, so wie der Europaskeptizismus dort weiterhin weit verbreitet ist. Selbst die Geltung der Grundrechtecharta steht im United Kingdom zur Disposition. An Liberalisierungsbestrebungen wie z. B. dem Schengen-Abkommen nahm Großbritannien keinen Anteil. Schon vor Snowden zeichnete sich eine absonderliche Spaltung – nicht durch den Atlantik, sondern durch den Ärmelkanal – ab, die für uns Kontinentaleuropäer unverständlich blieb: Während sich Großbritannien erfolgreich und mit Vehemenz gegen einheitliche Identifikationspapiere zur Wehr setzte, entwickelte sich der Sicherheitsapparat völlig ungehemmt durch Datenschutzerwägungen. Eine gnadenlose Videoüberwachung ist hierfür nur ein äußerlich sichtbares Zeichen. Wie tief fundiert dies geschah und weiterhin geschieht, erfahren wir derzeit von Edward Snowden. Die britische Verweigerung des Datenschutzes geht soweit, dass vor wenigen Tagen Viviane Reding, die EU-Justizkommissarin, meinte, bei weiteren Datenschutzbestrebungen in Europa auf Großbritannien verzichten zu müssen. Die Briten agierten nur noch mit den US-Amerikanern und wollten keine europäischen Gesetze.

Die deutsche Bundesregierung meint dagegen weiterhin, beides – die Treue zu den USA und den digitalen Grundrechtsschutz – bewahren zu können. Dies mag langfristig möglich sein, wenn sich die USA bewegen. Solange dies aber nicht der Fall ist, ist im Interesse des Grundrechtsschutzes die offene Konfrontation zur Obama-Administration alternativlos.

In diesem Zusammenhang ist hervorzuheben, dass die Ausflucht, die Enthüllungen von Snowden seien nicht bewiesen, ein bürgerrechtliches Armutszeugnis darstellt. Zweifellos gilt im Strafrecht die Unschuldsvermutung. Geht es aber um den Schutz von Grundrechten, so müssen diese im Zweifel Vorrang haben. Die Authentizität der Snowden-Dokumente wurde bisher von den Quellen nicht in Frage gestellt, geschweige denn widerlegt. Beweis- und transparenzpflichtig sind diejenigen, die im Namen des Gemeinwohls unsere digitalen Freiheiten offensichtlich einschränken, nicht die diese abzuwehren versuchen.

Vor den Problemfeldern können wir die Augen nicht verschließen: Der Zugriff der US-Sicherheitsbehörden wie die ungenierte Nutzung durch US-Firmen auf Daten aus dem Cloud Computing, aus sozialen Netzwerken oder aus sonstigen Internetdiensten und deren Auswertung mit Hilfe von Big-Data-Instrumenten ist mit den Grundsätzen einer freiheitlichen und selbstbestimmten demokratischen Informationsgesellschaft nicht vereinbar. Dies bedeutet, dass radikale Maßnahmen ergriffen werden müssen, die ich hier nur stichwortartig aufzählen kann.

  • Verbot des behördlichen und unternehmerischen Cloud Computings in den USA und Großbritannien,
  • Vollständiger Verzicht auf die weitere Nutzung von US-amerikanischen sozialen Netzwerken durch staatliche Stellen,
  • Kündigung des Safe-Harbor-Abkommens, das den ungehinderten Datenaustausch mit US-Unternehmen nach einer nicht validen Selbstzertifizierung ermöglichte,
  • Neuverhandlung sämtlicher Abkommen mit den USA über den Datenaustausch für Sicherheitszwecke wie z. B. zu SWIFT oder PNR,
  • Kein Freihandelsabkommen zwischen EU und USA, solange europäische Datenschutzgrundrechte nicht gewährleistet werden,
  • Nutzung der Möglichkeiten des Völkerrechts, des Straf- und des Datenschutzrechts, die Verantwortlichen für die Datenschutzverletzungen zur Verantwortung zu ziehen,
  • Entwicklung und Angebot europäischer technischer Lösungen zum Selbstschutz, etwa der Ende-zu-Ende-Verschlüsselung bei der E-Mail-Kommunikation, und Förderung von anonymen datensparsamen und datenschutzkonformen Angeboten, z. B. im Bereich der Internet-Suche.

Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder hat erst kürzlich alle Verantwortlichen aufgefordert, die Aufklärung der nachrichtendienstlichen Überwachung mit Nachdruck voranzutreiben und die notwendigen Konsequenzen zu ziehen, weil es um nichts weniger geht als das Grundvertrauen der Bürgerinnen und Bürger in den Rechtsstaat.

Es wäre mehr als ein symbolischer Akt, wenn die Europäische Union und speziell Deutschland Edward Snowden das Signal geben würden, dass er hier Schutz vor politischer Verfolgung durch die US-Administration finden kann. Wir müssen der britischen wie der US-Regierung klar machen, dass eine Umkehr bei deren Überwachungspolitik in deren ureigenem rechtsstaatlichen Interesse liegt. Dass deren paternalistisches Sicherheitskonzept nicht aufgeht, dafür ist die Sicherheitslage in diesen Ländern der tägliche Beweis. Sicherheit lässt sich nicht gegen die Bevölkerung und durch deren Überwachung, sondern nur mit der Bevölkerung verwirklichen. Dass letztlich auch die IT-Unternehmen am Datenschutz an Transparenz und Datenschutz ein Interesse haben, das zeigen selbst die bei der Überwachung vollständig eingespannten US-Firmen wie Google oder Microsoft, die zur US-Regierung vorsichtig auf Distanz gehen, um die europäischen Kundinnen und Kunden nicht noch mehr zu vergraulen.

Prism und Tempora sind zunächst insofern eine große Gefahr für den Datenschutz bei uns, dass es Unternehmen, vom Einzelhändler bis zum IT-Dienstleister, in Deutschland nur schwer vermittelt werden kann, weshalb eklatante Datenschutzverstöße hingenommen werden, während deren geringere Verletzungen der deutsche Datenschutzgesetze rigide sanktioniert werden.

Zugleich können Prism und Tempora eine gewaltige Chance für deutsche und europäische Unternehmen sein, die einem validen Datenschutzregime unterworfen sind, das den Verbrauchern Vertraulichkeit und Kontrolle zusichert. Die deutsche und europäische Politik würde eine einzigartige ökonomische Chance für die eigenen Unternehmen verspielen, wenn sie nicht auf Grundrechts-, sondern auf Bündnistreue setzen würde. Dass wir vor dieser Alternative stehen, ist nicht die Schuld von uns Datenschützern oder Edward Snowden, sondern von Teilen der staatlichen Apparate, die sich von rechtsstaatlichen und grundrechtlichen Fesseln befreit haben.

Die Auseinandersetzung zwischen Laissez-Faire und Grundrechtsschutz hat mit Prism und Tempora eine neue Zuspitzung gefunden. Sie steht noch ganz am Anfang. Wer sich für den Grundrechtsschutz einsetzen will, muss sich auf einen lang dauernden Konflikt