Snowden und der Kindergarten des elektronischen Zeitalters

Regierungsvertreter in allen Länderun und insbesondere im Nachbarland Deutschland beteuern mit Engelszungen, die Behörden hielten sich streng an die Vorschriften der Datenschutzgesetze. Aber was bedeutet das eigentlich? Wer legt fest, jemanden wegen eines potenziellen kriminellen Delikts zu verfogen? Auch in Österreich?

Eins ist sicher: Diejenigen, die diese Fragen beantworten, haben sich in den letzten Jahren europaweit immer häufiger entschieden, dass Überwachung nötig ist. In Deutschland haben Sicherheitsbehörden in 2012 sieben Millionen Anfragen an die Bundesnetzagentur zur Identifizierung von Bürgern gestellt; das heißt die Aktivitäten von rund neun Prozent der deutschen Bevölkerung wurden in 2012 aktiv von Behörden ins Visier genommen. In Wien Pötzleinsdorf kursieren Gerüchte über einen NSA Außenposten. Ist das nicht alles ein bißchen viel? Ist Deutschland bereits in einen Überwachungsstaat abgerutscht? Wie sieht es in Österreich aus? Und müssen wir uns als ordentliche Bürger jetzt ernsthaft auch auf einer persönlichen Ebene bedroht oder beobachtet fühlen?

Wenn man solche Fragen im eigenen Umfeld diskutiert, dann wird immer wieder argumentiert, dass wir in einem gut funktionierenden Rechtsstaat wie in Österreich kein Problem haben sollten. Ein guter Bürger bedroht die Sicherheit und Interessen seines Landes nicht. Man mag sich zwar etwas wundern, dass jenseits der Grenze neun Prozent der Deutschen als schwarze Schafe eingestuft werden, aber gerne verdrängt man diese Verwunderung. Diese Verdrängung ist allerdings nicht gut. Die Zeit ist reif, dass wir stattdessen drei Probleme konfrontieren und adressieren:

Drei Probleme

Erstens wird unterschätzt, dass es in der Überwachungsmaschinerie zu Fehlern kommen kann oder zu ‚Rastern’, die dazu führen, dass auch Unschuldige als Terroristen oder Kriminelle verdächtigt werden. Untersuchung zeigen, dass in jeden 1000 Zeilen Code im Durchschnitt 15-50 Fehler stecken. Und jeder, der in seiner Firma schon mal mit einem Computer gearbeitet hat, hat schon mitbekommen, wie leicht man sich selbst mit dem Computer verrechnet oder Ergebnisse bekommt, die man nicht richtig einordnen kann; von Prozessproblemen ganz zu schweigen. Sind Geheimdienste und Kriminalpolizei vor solchen Fehlern gefeit? Wohl kaum. Aber wo sind die Stellen und Zuständigen, die man als Bürger in einem solchen Fall von Falschverdächtigung um Hilfe anrufen könnte?

Das zweite Problem mit der staatlichen Sicherheit ist, das nicht genau geregelt ist, wo dieselbige eigentlich beginnt und wo sie aufhört. Es fehlt an einer Definition des Begriffs „Sicherheit“ und klaren, demokratisch hergeleiteten akzeptierten Regeln, die wir alle akzeptieren und die helfen festzulegen, ab wann es sich wirklich um die Verfolgung eines Terroristen handelt, den man im Interesse dieser Sicherheit überwachen muss.

Selbst wenn es aber solche Regeln gäbe, gibt es immer noch ein drittes Problem mit der „Sicherheit“ und das ist, dass es keine neutralen Stellen gibt, die überprüfen, ob die Regeln eingehalten werden. Es fehlt komplett an Transparenz, wer eigentlich im Namen der staatlichen Sicherheit wen überwacht und in welchem Umfang. Und es gibt auch niemanden, der dann auf Basis einer solchen Transparenz den Finger hebt bzw. sanktioniert.

Schutzrechte klarer regeln

Aus diesen drei Problemen kann man konkrete Verbesserungsvorschläge ableiten: Zum einen sollte Überwachung im Namen der staatlichen Sicherheit etc.“ nicht (wie geplant...) aus der neuen europäischen Datenschutzverordnung ausgeklammert und separat geregelt werden. Ganz im Gegenteil: Das neue europäische Datenschutzgesetz sollte die Schutzrechte des Bürgers gegenüber dem Staat aufnehmen und klarer regeln als das bisher der Fall war. Diese Regeln sollten definieren, ab wann es sich überhaupt um einen Fall für die staatliche Sicherheit“ handelt bzw. um „legitime Interessen“ die allesamt über unserer Privatsphäre stehen sollen. Alle abgeschlossenen Überwachungsvorgänge, wo das Interesse der staatlichen Sicherheit zulasten des Datenschutzes angewendet worden ist, sollten detailliert registriert werden und im Sinne der Transparenz durch ein Datenbanksystem im Internet jährlich im Nachgang veröffentlicht werden: Warum nicht? Welche Stellen (Bundesland, Ort) haben wann Überwachungsanweisungen gegeben? Und wer wurde überprüft?

Eine unabhängige Institution könnte damit beauftragt werden, die registrierten Überwachungsvorgänge jedes Jahr im Nachgang zu prüfen und feststellen, ob diese ordnungsgemäß waren. Ihre Aufgabe wäre auch, die zahlenmäßige Entwicklung von Überwachungsvorgängen scharf zu beobachten und solche Stellen zu überprüfen, die überdurchschnittlich viele Überwachungsaufträge vergeben. Ganz wichtig: Für Bürger die angeben, falsch verdächtigt zu werden, sollte es eine Berufungsstelle geben.

Erst am Anfang

Nun könnten beruhigende Stellen argumentieren, dass kein Grund zur Sorge besteht, da Bürger ja nicht nur Datenschutzgesetze zur Verfügung haben, um sich zu schützen, sondern im Zweifelsfall auch ein Menschrecht auf Privatsphäre haben. In Deutschland etwa wird das Recht auf „informationelle Selbstbestimmung“ als ein allgemeines Persönlichkeitsrecht aus dem Grundgesetz abgeleitet. In der EU-Grundrechtecharta gibt es ein Recht auf den Schutz persönlicher Daten. Das scheint Hoffnung zu geben. Allerdings gibt es leider viele konservative Stimmen die sagen, dass informationelle Selbstbestimmung eine „Idylle aus vergangenen Zeiten“ sei. Der ehemalige Sun-Chef, Scott McNeal prophezeihte schon vor zehn Jahren „Privacy is dead. Get over it.“ Das Argument, Privatsphäre sei nicht mehr wichtig, weil ja ohnehin so viele Leute auf Facebook sind, ist ebenso verbreitet. Könnte sich solch eine Haltung trotz aller Schutzgesetze doch durchsetzen? Was ist von ihr zu halten?

Obwohl diese Haltung in Zeiten von Facebook und Big Data zunächst plausibel erscheint, so ist sie doch naiv und gefährlich pessimistisch, denn man darf nicht vergessen: Wir befinden uns derzeit ganz sicher noch im Kindergarten des elektronischen Zeitalters. Trozt allem was schon an Überwachungsinfrastruktur geschaffen worden ist, werden in den nächsten Jahrzehnten sehr viele Weichen dahingehend gestellt, wer wen in welchem Grad überwachen kann. Und warum sollte da bereits alles entschieden sein? Insbesondere die Abschaffung von einem so bedeutsamen Menschenrecht wie dem auf elektronsiche Privatsphäre und informationelle Selbstbestimmung?

Informationelle Selbstbestimmungen wichtiger denn je

Ganz im Gegenteil: Es ist wichtiger denn je, dass die Bedeutung der informationellen Selbstbestimmung besser verstanden wird und dass Fehler der Vergangenheit unterbunden werden. Der Grund dafür ist, dass wir – ganz abgesehen von Geheimdienstaffären - in einer Zeit leben, in der viele Firmen, mit denen wir tagtäglich interagieren, sich mittlerweile in gigantischen Netzwerken engagieren, in denen sie die gesammelten Daten ihrer Kunden kommerzialisieren. Märkte für personenbezogene Daten (zu Englisch „Personal Data Markets“) haben sicherlich ein Volumen und vor allem eine Qualität erreicht, dass Herr Snowdens Enthüllungen erblassen.

Auf diesen Märkten verkaufen Firmen Informationen, die wir ihnen tagtäglich zur Verfügung stellen und deren Weiterverkauf wir oft unwissentlich durch das Unterzeichnen der kleingedruckten AGBs erlauben. Unsere Daten sind unterschiedlich viel wert. Eine Postleitzahl beispielsweise, nach der uns die Verkäuferin an der IKEA Kasse fragt, würde wohl nur ein paar Cent pro Person bringen. Auch Haushaltseinkommen und Familienstand kosten nicht viel: bei der amerikanischen Firma RapLeaf $ 0,01. Gesundheitsinformationen, die österreichische Ärzte in den letzten Jahren an die US Firma IMS Health regelmäßig verkauften, brachten schon mehr: pro Stück im Jahr 432 EUR. Die Namen derjenigen, die in Deutschland gespendet haben, das verkauft die Firma avarto in Deutschland für einen Preis von 135 EUR pro tausend Spendernamen (Stand Dezember 2011). Haben Sie sich noch nie gefragt, was Sie mit dem Kleingedruckten alles unterschreiben? Oder warum Sie die VerkäuferInnen und Verkäufer in den Geschäften dauernd nach Ihrer Kundenkarte oder nach Ihrer Postleitzahl fragen?

Unbekannte Mitleser

Die Beispiel zeigen, dass nicht nur die Menschen erfasst werden, die im Internet präsent sind. Dort ist es allerdings noch schlimmer: Wenn man dieser Tage einen Internetbrowser öffnet und dort Informationen liest oder sucht, beobachten dies im Durchschnitt 56 Stellen, von denen man in der Regel nicht weiß, wer diese überhaupt sind. Die Namen hat noch nie jemand gehört. Aber die unbekannten Mitleser ermöglichen es den großen Werbenetzen, dass für über 45 Millionen Internetuser allein im deutschsprachigen Raum pro Nutzer rund 2500 Information (z.B. Alter, Geschlecht, Autokaufwunsch...) zur Verfügung stehen, mit denen er oder sie im Hinblick auf Soziodemographie und Psychographie charakterisiert werden; angeblich anonym. Der WU Student Roman Abashin stellte kürzlich fest, dass die Schutzsoftware abine, die er sich Anfang März 2013 installiert hat, bis Mitte Mai 2013 in 21/2 Monaten 175.000 Verfolgungsanfragen geblockt hat. Und das betrifft nur diesen einen WU Studenten.

Wohl wissend um diese kommerziellen Entwicklungen sagte die europäische Kommissionärin Meglena Kuneva unlängst: “Persönliche Daten sind das neue Öl des Internet und die neue Währung der Digitalen Welt.” Und es ist daher überhaupt nicht verwunderlich, dass in den letzten Monaten über 1000 Lobbyisten über 4000 Vorschläge in Brüssel gemacht haben, um das neue europäische Datenschutzgesetz zu beeinflussen. Immerhin versprechen sich allein europäische Unternehmen bis 2020 330 Milliarden EUR Gewinn von so genannten „Identitätsdaten“. Vorausgesetzt natürlich, dass wir Bürger, Internetnutzer und Kunden ihnen weiterhin all unsere Informationen umsonst zur Verfügung stellen.

Vor diesem Hintergrund ist ‘informationelle Selbstbestimmung’ ganz sicher keine Frage der „Idylle vergangener Zeiten“. Im Gegenteil: Sie ist wichtiger denn je. Wir müssen darüber nachdenken, wie wir in im elektronischen Zeitalter diese Selbstbestimmung auf rechtlichem und technischen Weg wiedergewinnen können, denn die menschliche Selbstbestimmung generell wird in Zukunft immer mehr mit der „informationellen“ Selbstbestimmung zusammen fallen. Wenn wir die eine verlieren, werden wir auch die andere einbüßen.

Eigentumsähnliches Recht auf Daten

Vielleicht könnte man rechtlich darüber nachdenken, ob man Bürger nicht mit einem eigentumsähnlichen Recht auf ihre Daten versehen sollte, damit sie an diesen „Personal Data Markets“ wenigstens finanziell partizipieren können. Wenn die Sprache der Grundrechte nicht verstanden wird, dann vielleicht die des Eigentums. Datenschützer sind natürlich gegen solch eine Lösung. Führende amerikanische Rechtsexperten diskutieren jedoch offen darüber. Fraglich ist, ob Datenmärkte verboten werden müssten, wenn die „Datensubjekte“ nicht partizipieren dürfen. Das Mindeste was sein müsste ist, dass Firmen ihre Kunden in Europa nicht mehr zwingen dürfen, einer Datenverarbeitung zuzustimmen. Heute ist es ja so, dass man einen Internetdienst schlichtweg nicht nutzen kann, wenn man nicht den Haken unter die AGBs setzt, die die Weiterverwendungsklauseln enthalten. Diese Koppelung müsste verboten werden.

Ein finaler Punkt noch: Viele „Experten“ argumentieren, dass informationelle Selbstbestimmung gerade deswegen nicht möglich sei, da es so viele Daten gebe, dass man diese unmöglich alle technisch kontrollieren könne. Praktisch sei also informationelle Selbstbestimmung nicht umzusetzen. Diese Aussage ist falsch. Bereits heute sind viele junge Unternehmen in der Entstehung oder erfolgreich unterwegs, die daran arbeiten, Kunden und Bürgern wieder Kontrolle über ihre Daten zu geben. Die oben genannte Schutzsoftware abine ist nur ein Beispiel. So genannte „Datenbrieftaschen“ (zu Englisch „Data Vaults“), die als Apps auf dem Heimcomputer und dem Mobiltelefon laufen, sollen Abhilfe schaffen. Es gibt Vorschläge, dass alle Daten, die den eigenen Rechner verlassen, im Hintergrund mit Lizenzbedingungen versehen werden könnten (zu Englisch „Sticky Policies“), die genau festlegen für welche Zwecke eine Firma die bei ihr ankommenden Daten weiterverwenden darf und für wie lange.

Technische Lösungen vorhanden

Wissenschaftler und Firmen arbeiten daran, wie man Daten effektiv anonymisieren kann. Wenn sie den Heimrechner oder das Mobiltelefon verlassen geben sie nichts mehr über den Sender preis oder sind verschlüsselt. So etwa die Berliner Firma GSMK, die Mobiltelefone verkauft, welche es schon heute jedem erlauben, abhörsicher zu telefonieren; auch gegenüber der NSA. Die Firma, die von führenden Köpfen des deutchen Chaos Computer Club geleitet wird, verschlüsselt jedes Telefonat und alle SMS auf dem Telefon. Das empfangende Telefon entschlüsselt. Voraussetzung ist zwar leider das beide miteinander telefonierenden Parteien so ein ‚Kryptotelefon’ haben und diese derzeit mit einem Stückpreis von über 1500 Euro leider nur für Wohlhabende und Geheimdienste selbst erschwinglich sind.

Das Beispiel zeigt aber, dass technische Lösungen vorhanden sind und es nur eine Frage der Weiterentwicklung und Konkurrenz ist, dass jeder solche Selbstbestimmungstechnologien zu einem fairen Preis nutzen kann. „Die unsichtbare Hand des Marktes“, also wir Bürger sollten Ausschau halten nach solchen Technologien und das Geld und die Zeit aufbringen, die jungen Firmen zu unterstützen. So gewinnen wir unsere informationelle Selbstbestimmung zurück. Dann werden die Karten neu gemischt.

Sarah Spiekermann steht dem Institut für BWL und Wirtschaftsinformatik an der Wirtschaftsuniversität Wien vor. Sie ist seit zehn Jahren auf das Thema Datenschutz und E-Marketing spezialisiert, ist Mitglied des Verwaltungsrats der Stiftung Datenschutz der deutschen Bundesregierung und regelmäßig an internationalen Standardisierungsverfahren im Bereich des Datenschutzes beteiligt.