Dossierbild Democracy

Meinung: Europas Datenschutz schützt nicht vor der NSA


10.11.2017
Die EU hat nach den Snowden-Enthüllungen den Datenschutz nicht verbessert. Im Gegenteil, findet der Internetexperte und Blogger Michael Seemann. Dennoch ist das Netz seiner Ansicht nach sicherer vor Geheimdiensten geworden.

"Thank you Snowden""Thank you Snowden" - Szene aus dem Film "Democracy" (© INDI Film)

Als die Verhandlungen zur Europäischen Datenschutz-Grundverordnung im Jahr 2013 vor dem Scheitern standen, passierte so etwas wie ein Wunder. Zu dieser Zeit waren viele Akteure unterschiedlicher europäischer Länder nicht sonderlich überzeugt von dem Reformentwurf. Der Berichterstatter und maßgebliche Autor der Reform, Jan Philipp Albrecht, hatte seine datenschutzfreundliche Handschrift deutlich durchscheinen lassen, für viele zu weit. Zudem hatte die Internetwirtschaft große Lobbyanstrengungen in Bewegung gesetzt, um die Abgeordneten davon zu überzeugen, dass der Entwurf dringend abgeschwächt werden müsse.

Die Verhandlungen hatten sich festgefahren, ein Zeitplan nach dem anderen wurde zur Makulatur. Das Wunder geschah im Juni. Edward Snowden, Ex-Mitarbeiter eines Vertragsunternehmens des US-amerikanischen Auslandsgeheimdienstes National Security Agency (NSA), enthüllte der Welt ihre massenweise Ausspähung. Er nannte Namen, Zahlen und Methoden und belegte die Existenz verschiedenster Überwachungsprogramme. Der Skandal, der Medien, Politik und Öffentlichkeit über ein Jahr lang in Atem hielt, veränderte den Ton der Debatte. Die Angst vor totaler Überwachung und die damit einhergehende Aufwertung der Themen Datenschutz und Privatsphäre gaben Albrechts Position Rückenwind. Er schaffte es, seinen Datenschutzentwurf als die Lösung des Überwachungsproblems zu präsentieren. In diesem einmaligen politischen Klima konnte die Verordnung fast unbeschadet die Ausschüsse passieren. Und wurde schon im März 2014 mit überwältigender Mehrheit im EU-Parlament angenommen. Verbindlich in Kraft tritt sie im Mai 2018.

Die politische Heldengeschichte hat einen Haken



Es ist eine politische Heldengeschichte, die im Dokumentarfilm "Democracy – Im Rausch der Daten" verewigt wurde. Leider hat die Geschichte einen kleinen Haken: Die Datenschutz-Grundverordnung schützt gegen Geheimdienstüberwachung wie ein Regenschirm gegen Mückenstiche: gar nicht.

Nichts, was in der Grundverordnung steht, schränkt irgendeinen Geheimdienst in seinen Befugnissen und Möglichkeiten ein. Keine einzige geheimdienstliche Datensammlung wird verunmöglicht oder auch nur ein EU-Bürger besser vor Massenüberwachung geschützt. Das liegt an dem Umstand, dass die Verordnung nur private Akteure wie Unternehmen und staatliche Akteure innerhalb der EU reguliert. Geheimdienste sind davon allerdings nicht betroffen: die NSA genauso wenig wie der Bundesnachrichtendienst (BND) oder der britische Nachrichtendienst Government Communications Headquarters (GCHQ).

Die Europäische Datenschutzreform wird daher weder das massenhafte Abfischen von Daten an den Überseekabeln des GCHQ in Großbritannien unterbinden (Tempora) [1] noch die Datensammlung der NSA in Zusammenarbeit mit dem BND in Bad Aibling (Operation Eikonal). [2] Sie wird keine Einschränkung der mächtigen Abfragesoftware "XKeyScore" erzwingen können, mit der die NSA und befreundete Dienste ihre Datenmassen durchkämmen.

Edward Snowdens Enthüllungen. Ausschnitt aus "Democracy - Im Rausch der Daten" (© INDI Film GmbH)

EU-Recht macht keinen Unterschied bei PRISM



Wenn man mit Datenschützerinnen und -schützern über diesen Umstand spricht, wird vor allem ein Thema genannt, in dem zumindest die Chance besteht, dass die Datenschutz-Grundverordnung einen Einfluss haben kann: PRISM. PRISM ist die Abhörschnittstelle, mit der die NSA an die Daten amerikanischer Internetfirmen kommt. Es war eine der ersten Snowden-Enthüllungen und auf den zugehörigen Dokumenten tauchen alle bekannten Namen auf: Yahoo, Google, Apple, Microsoft, Facebook, Twitter und einige mehr. PRISM steht unter der Ägide des FISC (Foreign Intelligence Surveillance Court), des geheimdienstlichen Spezialgerichts für Auslandsüberwachung in den USA. [3] Mit einem entsprechenden Beschluss dieses Gerichts kann die NSA an die Unternehmen herantreten und Zugriff auf Daten ihrer Nutzerinnen und Nutzer verlangen. Datenschützer argumentieren, dass diese Vorgehensweise durchaus gegen das neue europäische Datenschutzrecht verstoßen wird – da es um private Firmen geht, ist die Verordnung zuständig. Hier also könnte europäisches Datenschutzrecht durchaus einen Unterschied machen.

US-Unternehmen geraten damit allerdings in das Dilemma, ob sie entweder nach amerikanischem Recht handeln und so EU-Recht brechen sollen oder andersherum. Im besten Fall, so wenden Datenschützer ein, werden amerikanische Firmen anfangen, ihre Server nach Europa zu verlegen. Dann würden die Daten nicht nur unter den europäischen Datenschutz fallen, die amerikanischen Behörden hätten auch rechtliche Schwierigkeiten, auf die Daten zuzugreifen.

Das zeigt etwa der Fall Microsoft gegen die Vereinigten Staaten. [4] In letzter Instanz entschied ein US-Gericht, dass US-Behörden Microsoft nicht zwingen können, Daten über Nutzerinnen und Nutzer herauszugeben, wenn diese auf Servern in Irland gespeichert sind.

US-Behörden hätten es dadurch schwerer, auf Daten zuzugreifen. Aber es ist ja nicht so, als gäbe es in Europa keine Geheimdienste und Strafverfolgungsbehörden, die Interessen an den Daten hätten. Diese wiederum hätten es einfacher, wenn die Server nach Europa zögen.

Beim Datenschutz geht es um die Macht des Staates



Wer nun sagt, dass ihr das europäische Datensammeln lieber ist, als wenn es die Amerikanerinnen und Amerikaner tun, hat den Sinn des Datenschutzes nicht verstanden. Im Datenschutz geht es darum zu verhindern, dass ein Staat Daten seiner Bürgerinnen und Bürger nutzt, um Macht über diese auszuüben. Deswegen ist es aus dieser Perspektive eigentlich schlimmer, wenn europäische Dienste Zugriff haben. Was sich also erst gut anhört, würde die Situation de facto verschlechtern.

Die Datenschutz-Grundverordnung wird niemanden wirksam vor den von Edward Snowden enthüllten Überwachungsprogrammen schützen. Die einzige Möglichkeit, das zu tun, wäre direkt die Gesetze anzugehen, die die Kompetenzen der Geheimdienste regeln. Und hier zunächst die gute Nachricht: Dieses Gesetz wurde tatsächlich im Nachklapp der Snowden-Affäre gründlich reformiert. Es handelt sich um das BND-Gesetz und die Bundesregierung hat es, nachdem ein Bundestagsuntersuchungsausschuss illegale Kooperationen des BND mit der NSA aufgedeckt hatte, umgehend reformiert.

Die schlechte Nachricht ist: Die enthüllten illegalen Tätigkeiten des BND wurden mit der Reform nicht unterbunden, sondern legalisiert. Die Rechtsverstöße wurden einfach zu "keine Rechtsverstöße" umdefiniert, indem die Befugnisse und Mittel des BND entsprechend ausgeweitet wurden.

US-Firmen werden Server nach Europa auslagern



Das politische Resultat nach Snowden sieht in Deutschland also folgendermaßen aus: US-amerikanische Firmen werden vermutlich, um den europäischen Datenschutzstandards zu genügen, ihre Server für europäische Bürgerinnen und Bürger sukzessive nach Europa auslagern. Dort erwarten sie die mit neuen Vollmachten und Befugnissen ausgestatteten europäischen Geheimdienste, die von der EU-Datenschutz-Grundverordnung unbehelligt operieren können. Europäische Regierungen bekommen letztlich eine größere Kontrolle über die Daten ihrer Bürgerinnen und Bürger.

Kurz: Das politische Ergebnis der Snowden-Enthüllungen ist ein Lose-Lose-Lose-Szenario des Datenschutzes. Die Verordnung ist nicht komplett effektlos. Für Unternehmen wird es schwieriger, personalisierte Werbung auszuspielen, Internetnutzerinnen und -nutzer werden ein paar Mal öfter klicken müssen und Häkchen setzen, um sich irgendwo zu registrieren und ein paar sinnvolle Regeln gibt es auch. Aber eben nichts bezogen auf staatliche Überwachung.

Ende-zu-Ende-Verschlüsselung gilt heute als unerlässlich



Doch es ist nicht alles schlecht nach Snowden. Unter dem Strich sind Bürgerinnen und Bürger heute geschützter vor Massenüberwachung als sie es 2013 waren. Doch das ist kein Verdienst der Politik, sondern ausgerechnet der Internetwirtschaft. Ab 2013 setzte ein Boom sicherheitsrelevanter Software ein. Neue Messenger kamen auf den Markt, die Ende-zu-Ende-verschlüsselt waren. Das bedeutet, dass fortan niemand außer Sender und Empfänger ihre Nachrichten lesen kann– auch die Betreiber der jeweiligen Plattformen nicht.

Firmeninterne Datentransfers werden nicht mehr unverschlüsselt von Rechenzentrum zu Rechenzentrum verschickt, seit herauskam, dass die NSA sich im Rahmen des Programms "Muscular" bei Google und Yahoo! in die Firmenleitungen gehackt hatte. Zudem haben viele Firmen an ihrer Transparenz gearbeitet und geben nun regelmäßige Reports heraus, wie viele Regierungsanfragen sie bekommen und beantwortet haben. Und sie investieren viel Geld, diese Abfragen im Zweifel mit juristischen Mitteln abzuwehren.

Der wohl größte Schlag gegen die Massenüberwachung ist aber, dass die starke Verschlüsselung von Web-Verbindungen inzwischen zum globalen Standard geworden ist. Heute gibt es kaum mehr eine größere Website, die nicht durchgehend das grüne SSL-Häkchen in der Adresszeile des Browser stehen hat. Bereits 2014 hatte sich als Reaktion auf die Snowden-Enthüllungen der verschlüsselte Datenverkehr verdoppelt. [5] Anfang 2017 verkündete die digitale Bürgerrechtsorganisation Electronic Frontier Foundation (EFF), dass nunmehr die Hälfte des globalen Webtraffics verschlüsselt sei. [6] Die Cybersecurity-Firma NSS Labs schätzt sogar, dass dies bis 2019 bei 75 Prozent des Webtraffics der Fall sein wird. [7] All das sind Daten, mit denen auch Geheimdienste nichts mehr anfangen können, wenn sie sie abfangen. Doch nicht nur die Unternehmen, auch NGOs, Aktivistinnen und Aktivisten haben daran einen Anteil. So verteilt die Initiative "Let’s Encrypt" beispielsweise kostenlos SSL-Zertifikate, die vorher teuer bei Unternehmen gekauft werden mussten.

Fazit: Wir sind heute sicherer vor Massenüberwachung, als wir es zur Zeit der Snowden-Enthüllungen waren. Daran hat aber keine Datenschutzreform oder gar die Politik einen Anteil, ganz im Gegenteil. Die Politik hat alles getan, die Überwachung noch weiter anzufeuern und mit der Datenschutz-Grundverordnung bestenfalls ein Placebo verabreicht. Was die Nutzerinnen und Nutzer tatsächlich sicherer gemacht hat, sind die Bemühungen der Internetwirtschaft, für die Snowden ein Weckruf war. Ironischerweise ist es eben jene Internetwirtschaft, die immer als der Privatsphäre schlimmster Feind verschrien ist, die einen großen Anteil an der Verbesserung unserer Sicherheit hat.

Das reicht jedoch nicht aus. Neue Herausforderungen stehen auf dem Plan. Ein Großteil der Geräte des sogenannten "Internet der Dinge" ist mit schlechter und unsicherer Software ausgestattet und auch die restlichen Bereiche des Internets sind längst nicht dort, wo wir von wirklicher „Sicherheit“ sprechen können. Es ist aber falsch, sich auf die Institutionen des Staates in diesen Bereichen zu verlassen. Die Erfahrung zeigt leider viel zu oft, dass er alles nur noch schlimmer macht.


Fußnoten

1.
Ewen MacAskill, Julian Borger, Nick Hopkins, Nick Davies und James Ball: GCHQ taps fibre-optic cables for secret access to world's communications, in: The Guardian, 21.06.2013. Online unter: https://www.theguardian.com/uk/2013/jun/21/gchq-cables-secret-world-communications-nsa (Stand: 14.09.2017)
2.
vgl. Beschlussempfehlung und Bericht des 1. Untersuchungsausschusses gemäß Artikel 44 des Grundgesetzes, Deutscher Bundestag, 18. Wahlperiode, Drucksache 18/12850, 23.06.2017. Online unter: http://dip21.bundestag.de/dip21/btd/18/128/1812850.pdf (Stand: 14.09.2017); vgl. André Meister: Geheimdienst-Untersuchungsausschuss: Wir veröffentlichen das Fazit, das die Große Koalition geheim halten will, auf: Netzpolitik.org, 21.06.2017. Online unter: https://netzpolitik.org/2017/geheimdienst-untersuchungsausschuss-wir-veroeffentlichen-das-fazit-das-die-grosse-koalition-geheim-halten-will/ (Stand: 14.09.2017)
3.
vgl. Thema FISC, auf: Netzpolitik.org. Online unter: https://netzpolitik.org/tag/fisc/ (Stand: 14.09.2017)
4.
Microsoft Corp. v. United States, in: Havard Law Review, 09.12.2016. Online unter: https://harvardlawreview.org/2016/12/microsoft-corp-v-united-states/ (Stand: 14.09.2017)
5.
Klint Finley: Encrypted Web Traffic More Than Doubles After NSA Revelations, in: WIRED, 16.05.2014. Online unter: https://www.wired.com/2014/05/sandvine-report/ (Stand: 14.09.2017)
6.
Gennie Gebhart: We're Halfway to Encrypting the Entire Web, 21.02.2017. Online unter: https://www.eff.org/deeplinks/2017/02/were-halfway-encrypting-entire-web (Stand: 14.09.2017)
7.
NSS Labs: NSS Labs Predicts 75% of Web Traffic Will Be Encrypted by 2019, 09.10.2016. Online unter: https://www.nsslabs.com/company/news/press-releases/nss-labs-predicts-75-of-web-traffic-will-be-encrypted-by-2019/ (Stand: 14.09.2017)
Creative Commons License Dieser Text ist unter der Creative Commons Lizenz veröffentlicht. by/4.0
Der Name des Autors/Rechteinhabers soll wie folgt genannt werden: by/4.0
Autor: Michael Seemann für bpb.de
Urheberrechtliche Angaben zu Bildern / Grafiken / Videos finden sich direkt bei den Abbildungen.

 

Dossier Datenschutz

Meine Daten gehören mir!

Nicht jeder kann seine Daten so umfangreich schützen wie Edward Snowden, als er Dokumente aus der NSA ans Licht brachte. Doch wie die Dokumente zeigen, ist heute jeder mehr oder weniger von der Überwachung über das Internet betroffen. Wo anfangen, wenn man die eigenen Daten besser schützen will? E-Mails und Festplatten lassen sich verschlüsseln, Datenspuren im Web minimieren. Weiter... 

Dossier Innere Sicherheit

Freiheit und Sicherheit

Ohne ein Mindestmaß an Freiheit und Sicherheit ist keine Gesellschaftsbildung möglich. Umgekehrt kann es in einem Gemeinwesen weder grenzenlose Freiheit noch vollständige Sicherheit geben, sagt Christoph Gusy. Weiter... 

Mediathek

Die geheimen Staaten von Amerika - Teil 1

Mai 2013. NSA-Mitarbeiter Edward Snowdon ist nach Honkong gereist in der Hoffnung, dass ihn die Cinesen nicht an die USA ausliefern. In seinem Gepäck hat er eine große Zahl streng geheimer Dokumente aus dem internen Computernetzwerk der NSA ... Weiter... 

Freunde vor dem Schlüsseloch? Deutschland und die NSA

Seit März 2014 gibt es einen Untersuchungsausschuss im Bundestag zur NSA-Affäre, der „Ausmaß und Hintergründe der Ausspähungen durch ausländische Geheimdienste in Deutschland aufklären“ soll. Neuerdings will der Ausschuss sogar Edward Snowden selbst vernehmen in Deutschland. Politisch ist diese Entscheidung umstritten. Im Kern schlummert die grundsätzliche Frage, inwiefern Geheimdienste demokratisch reguliert werden können, die eigenen wie die der anderen. Und welche Bedrohung größer ist: die durch die NSA oder die durch die Cyberangriffe? Weiter... 

Dossier

Datenschutz

Was bedeutet Datenschutz? Wie ist er gesetzlich geregelt? Was steckt hinter den Begriffen informationelle Selbstbestimmung und Privatsphäre? Wie können persönliche Daten im Internet geschützt werden? Das Online-Dossier Datenschutz klärt über Hintergründe auf und gibt praktische Handlungsanleitungen zum Thema. Weiter...