Meine Merkliste Geteilte Merkliste PDF oder EPUB erstellen

Meinung: Europas Datenschutz schützt nicht vor der NSA | Democracy - Im Rausch der Daten | bpb.de

Democracy - Im Rausch der Daten Der Film Filmbesprechung Interview mit David Bernet Links Hintergrund Was steht in der DSGVO? Datenschutz in der EU und den USA Interview mit Jan Philipp Albrecht Interview mit Viviane Reding Debatte Bringt die Grundverordnung zu viel oder zu wenig Datenschutz? Zu bürokratisch, zu wenig Impulse Datenschutz für Innovationen Ist Lobbyismus eine Gefahr für die Demokratie in Europa? Politiker entscheiden nicht im luftleeren Raum Zu viel Einfluss in der Europäischen Union Meinung: Datenschutz schützt nicht vor der NSA Arbeitsblatt und Unterrichtsvorschläge Redaktion

Meinung: Europas Datenschutz schützt nicht vor der NSA

Michael Seemann

/ 7 Minuten zu lesen

Die EU hat nach den Snowden-Enthüllungen den Datenschutz nicht verbessert. Im Gegenteil, findet der Internetexperte und Blogger Michael Seemann. Dennoch ist das Netz seiner Ansicht nach sicherer vor Geheimdiensten geworden.

"Thank you Snowden" - Szene aus dem Film "Democracy" (© INDI Film)

Als die Verhandlungen zur Europäischen Datenschutz-Grundverordnung im Jahr 2013 vor dem Scheitern standen, passierte so etwas wie ein Wunder. Zu dieser Zeit waren viele Akteure unterschiedlicher europäischer Länder nicht sonderlich überzeugt von dem Reformentwurf. Der Berichterstatter und maßgebliche Autor der Reform, Jan Philipp Albrecht, hatte seine datenschutzfreundliche Handschrift deutlich durchscheinen lassen, für viele zu weit. Zudem hatte die Internetwirtschaft große Lobbyanstrengungen in Bewegung gesetzt, um die Abgeordneten davon zu überzeugen, dass der Entwurf dringend abgeschwächt werden müsse.

Die Verhandlungen hatten sich festgefahren, ein Zeitplan nach dem anderen wurde zur Makulatur. Das Wunder geschah im Juni. Edward Snowden, Ex-Mitarbeiter eines Vertragsunternehmens des US-amerikanischen Auslandsgeheimdienstes National Security Agency (NSA), enthüllte der Welt ihre massenweise Ausspähung. Er nannte Namen, Zahlen und Methoden und belegte die Existenz verschiedenster Überwachungsprogramme. Der Skandal, der Medien, Politik und Öffentlichkeit über ein Jahr lang in Atem hielt, veränderte den Ton der Debatte. Die Angst vor totaler Überwachung und die damit einhergehende Aufwertung der Themen Datenschutz und Privatsphäre gaben Albrechts Position Rückenwind. Er schaffte es, seinen Datenschutzentwurf als die Lösung des Überwachungsproblems zu präsentieren. In diesem einmaligen politischen Klima konnte die Verordnung fast unbeschadet die Ausschüsse passieren. Und wurde schon im März 2014 mit überwältigender Mehrheit im EU-Parlament angenommen. Verbindlich in Kraft tritt sie im Mai 2018.

Die politische Heldengeschichte hat einen Haken

Es ist eine politische Heldengeschichte, die im Dokumentarfilm "Democracy – Im Rausch der Daten" verewigt wurde. Leider hat die Geschichte einen kleinen Haken: Die Datenschutz-Grundverordnung schützt gegen Geheimdienstüberwachung wie ein Regenschirm gegen Mückenstiche: gar nicht.

Nichts, was in der Grundverordnung steht, schränkt irgendeinen Geheimdienst in seinen Befugnissen und Möglichkeiten ein. Keine einzige geheimdienstliche Datensammlung wird verunmöglicht oder auch nur ein EU-Bürger besser vor Massenüberwachung geschützt. Das liegt an dem Umstand, dass die Verordnung nur private Akteure wie Unternehmen und staatliche Akteure innerhalb der EU reguliert. Geheimdienste sind davon allerdings nicht betroffen: die NSA genauso wenig wie der Bundesnachrichtendienst (BND) oder der britische Nachrichtendienst Government Communications Headquarters (GCHQ).

Die Europäische Datenschutzreform wird daher weder das massenhafte Abfischen von Daten an den Überseekabeln des GCHQ in Großbritannien unterbinden (Tempora) noch die Datensammlung der NSA in Zusammenarbeit mit dem BND in Bad Aibling (Operation Eikonal). Sie wird keine Einschränkung der mächtigen Abfragesoftware "XKeyScore" erzwingen können, mit der die NSA und befreundete Dienste ihre Datenmassen durchkämmen.

Edward Snowdens Enthüllungen

Ausschnitt aus Democracy - Im Rausch der Daten

Edward Snowdens Enthüllungen

Ausschnitt aus dem Film Dokumentarfilm "Democracy - Im Rausch der Daten". Eine fesselnde Geschichte über die Entstehung der Europäischen Datenschutzrichtlinie. Gleichzeitig ein spannender Einblick in den Gesetzgebungsprozess der Europäischen Union. Ab dem 1. Juli 2018 auf bpb.de/democracy

EU-Recht macht keinen Unterschied bei PRISM

Wenn man mit Datenschützerinnen und -schützern über diesen Umstand spricht, wird vor allem ein Thema genannt, in dem zumindest die Chance besteht, dass die Datenschutz-Grundverordnung einen Einfluss haben kann: PRISM. PRISM ist die Abhörschnittstelle, mit der die NSA an die Daten amerikanischer Internetfirmen kommt. Es war eine der ersten Snowden-Enthüllungen und auf den zugehörigen Dokumenten tauchen alle bekannten Namen auf: Yahoo, Google, Apple, Microsoft, Facebook, Twitter und einige mehr. PRISM steht unter der Ägide des FISC (Foreign Intelligence Surveillance Court), des geheimdienstlichen Spezialgerichts für Auslandsüberwachung in den USA. Mit einem entsprechenden Beschluss dieses Gerichts kann die NSA an die Unternehmen herantreten und Zugriff auf Daten ihrer Nutzerinnen und Nutzer verlangen. Datenschützer argumentieren, dass diese Vorgehensweise durchaus gegen das neue europäische Datenschutzrecht verstoßen wird – da es um private Firmen geht, ist die Verordnung zuständig. Hier also könnte europäisches Datenschutzrecht durchaus einen Unterschied machen.

US-Unternehmen geraten damit allerdings in das Dilemma, ob sie entweder nach amerikanischem Recht handeln und so EU-Recht brechen sollen oder andersherum. Im besten Fall, so wenden Datenschützer ein, werden amerikanische Firmen anfangen, ihre Server nach Europa zu verlegen. Dann würden die Daten nicht nur unter den europäischen Datenschutz fallen, die amerikanischen Behörden hätten auch rechtliche Schwierigkeiten, auf die Daten zuzugreifen.

Das zeigt etwa der Fall Microsoft gegen die Vereinigten Staaten. In letzter Instanz entschied ein US-Gericht, dass US-Behörden Microsoft nicht zwingen können, Daten über Nutzerinnen und Nutzer herauszugeben, wenn diese auf Servern in Irland gespeichert sind.

US-Behörden hätten es dadurch schwerer, auf Daten zuzugreifen. Aber es ist ja nicht so, als gäbe es in Europa keine Geheimdienste und Strafverfolgungsbehörden, die Interessen an den Daten hätten. Diese wiederum hätten es einfacher, wenn die Server nach Europa zögen.

Beim Datenschutz geht es um die Macht des Staates

Wer nun sagt, dass ihr das europäische Datensammeln lieber ist, als wenn es die Amerikanerinnen und Amerikaner tun, hat den Sinn des Datenschutzes nicht verstanden. Im Datenschutz geht es darum zu verhindern, dass ein Staat Daten seiner Bürgerinnen und Bürger nutzt, um Macht über diese auszuüben. Deswegen ist es aus dieser Perspektive eigentlich schlimmer, wenn europäische Dienste Zugriff haben. Was sich also erst gut anhört, würde die Situation de facto verschlechtern.

Die Datenschutz-Grundverordnung wird niemanden wirksam vor den von Edward Snowden enthüllten Überwachungsprogrammen schützen. Die einzige Möglichkeit, das zu tun, wäre direkt die Gesetze anzugehen, die die Kompetenzen der Geheimdienste regeln. Und hier zunächst die gute Nachricht: Dieses Gesetz wurde tatsächlich im Nachklapp der Snowden-Affäre gründlich reformiert. Es handelt sich um das BND-Gesetz und die Bundesregierung hat es, nachdem ein Bundestagsuntersuchungsausschuss illegale Kooperationen des BND mit der NSA aufgedeckt hatte, umgehend reformiert.

Die schlechte Nachricht ist: Die enthüllten illegalen Tätigkeiten des BND wurden mit der Reform nicht unterbunden, sondern legalisiert. Die Rechtsverstöße wurden einfach zu "keine Rechtsverstöße" umdefiniert, indem die Befugnisse und Mittel des BND entsprechend ausgeweitet wurden.

US-Firmen werden Server nach Europa auslagern

Das politische Resultat nach Snowden sieht in Deutschland also folgendermaßen aus: US-amerikanische Firmen werden vermutlich, um den europäischen Datenschutzstandards zu genügen, ihre Server für europäische Bürgerinnen und Bürger sukzessive nach Europa auslagern. Dort erwarten sie die mit neuen Vollmachten und Befugnissen ausgestatteten europäischen Geheimdienste, die von der EU-Datenschutz-Grundverordnung unbehelligt operieren können. Europäische Regierungen bekommen letztlich eine größere Kontrolle über die Daten ihrer Bürgerinnen und Bürger.

Kurz: Das politische Ergebnis der Snowden-Enthüllungen ist ein Lose-Lose-Lose-Szenario des Datenschutzes. Die Verordnung ist nicht komplett effektlos. Für Unternehmen wird es schwieriger, personalisierte Werbung auszuspielen, Internetnutzerinnen und -nutzer werden ein paar Mal öfter klicken müssen und Häkchen setzen, um sich irgendwo zu registrieren und ein paar sinnvolle Regeln gibt es auch. Aber eben nichts bezogen auf staatliche Überwachung.

Ende-zu-Ende-Verschlüsselung gilt heute als unerlässlich

Doch es ist nicht alles schlecht nach Snowden. Unter dem Strich sind Bürgerinnen und Bürger heute geschützter vor Massenüberwachung als sie es 2013 waren. Doch das ist kein Verdienst der Politik, sondern ausgerechnet der Internetwirtschaft. Ab 2013 setzte ein Boom sicherheitsrelevanter Software ein. Neue Messenger kamen auf den Markt, die Ende-zu-Ende-verschlüsselt waren. Das bedeutet, dass fortan niemand außer Sender und Empfänger ihre Nachrichten lesen kann– auch die Betreiber der jeweiligen Plattformen nicht.

Firmeninterne Datentransfers werden nicht mehr unverschlüsselt von Rechenzentrum zu Rechenzentrum verschickt, seit herauskam, dass die NSA sich im Rahmen des Programms "Muscular" bei Google und Yahoo! in die Firmenleitungen gehackt hatte. Zudem haben viele Firmen an ihrer Transparenz gearbeitet und geben nun regelmäßige Reports heraus, wie viele Regierungsanfragen sie bekommen und beantwortet haben. Und sie investieren viel Geld, diese Abfragen im Zweifel mit juristischen Mitteln abzuwehren.

Der wohl größte Schlag gegen die Massenüberwachung ist aber, dass die starke Verschlüsselung von Web-Verbindungen inzwischen zum globalen Standard geworden ist. Heute gibt es kaum mehr eine größere Website, die nicht durchgehend das grüne SSL-Häkchen in der Adresszeile des Browser stehen hat. Bereits 2014 hatte sich als Reaktion auf die Snowden-Enthüllungen der verschlüsselte Datenverkehr verdoppelt. Anfang 2017 verkündete die digitale Bürgerrechtsorganisation Electronic Frontier Foundation (EFF), dass nunmehr die Hälfte des globalen Webtraffics verschlüsselt sei. Die Cybersecurity-Firma NSS Labs schätzt sogar, dass dies bis 2019 bei 75 Prozent des Webtraffics der Fall sein wird. All das sind Daten, mit denen auch Geheimdienste nichts mehr anfangen können, wenn sie sie abfangen. Doch nicht nur die Unternehmen, auch NGOs, Aktivistinnen und Aktivisten haben daran einen Anteil. So verteilt die Initiative "Let’s Encrypt" beispielsweise kostenlos SSL-Zertifikate, die vorher teuer bei Unternehmen gekauft werden mussten.

Fazit: Wir sind heute sicherer vor Massenüberwachung, als wir es zur Zeit der Snowden-Enthüllungen waren. Daran hat aber keine Datenschutzreform oder gar die Politik einen Anteil, ganz im Gegenteil. Die Politik hat alles getan, die Überwachung noch weiter anzufeuern und mit der Datenschutz-Grundverordnung bestenfalls ein Placebo verabreicht. Was die Nutzerinnen und Nutzer tatsächlich sicherer gemacht hat, sind die Bemühungen der Internetwirtschaft, für die Snowden ein Weckruf war. Ironischerweise ist es eben jene Internetwirtschaft, die immer als der Privatsphäre schlimmster Feind verschrien ist, die einen großen Anteil an der Verbesserung unserer Sicherheit hat.

Das reicht jedoch nicht aus. Neue Herausforderungen stehen auf dem Plan. Ein Großteil der Geräte des sogenannten "Internet der Dinge" ist mit schlechter und unsicherer Software ausgestattet und auch die restlichen Bereiche des Internets sind längst nicht dort, wo wir von wirklicher „Sicherheit“ sprechen können. Es ist aber falsch, sich auf die Institutionen des Staates in diesen Bereichen zu verlassen. Die Erfahrung zeigt leider viel zu oft, dass er alles nur noch schlimmer macht.

Michael Seemann, Jahrgang 1977, ist Internetexperte. Der studierte Kulturwissenschaftler arbeitet als Autor, Dozent und Blogger.