Interview 20. Juni 2013 von Henry Steinhau

Bundesdatenschutzbeauftragter Schaar: Klare Grenzen bei der Internetüberwachung

Der Datenschutzbeauftragte des Bundes, Peter Schaar, sieht durch PRISM das deutsche Recht auf informationelle Selbstbestimmung berührt. Außerdem sollte der Datenschutz auf europäischer Ebene sowie zwischen Europa und den USA neu geregelt werden. Aber trotz aller Abkommen und Gesetze: Verbraucher sollten ihre Daten verschlüsseln.

iRights.info: Was ist Ihnen bezüglich des Untersuchungsprogramms Prism in den letzten Tagen seitens Bundesregierung beziehungsweise US-Administration signalisiert worden? Hat sich die Sachlage verändert?

Peter Schaar: Ich habe den Medien eine Reihe von Appellen entnommen, die US-Regierung möge für Aufklärung sorgen. Auch ich selbst habe ja entsprechende Forderungen gestellt. Und Frau Merkel hat die Problematik der Internetüberwachung durch US-Behörden offenbar auch gegenüber dem US-Präsidenten angesprochen, der in seiner Berliner Rede darauf – wenn auch in allgemeiner Form – eingegangen ist. Die notwendige Aufklärung darüber, wie weit die Überwachung tatsächlich reicht, welche Daten erhoben und wie sie ausgewertet werden, steht aber noch aus.

Peter Schaar

iRights.info: Sie forderten im Vorfeld deutlich „Aufklärung und Klarheit“. Mit welchen konkreten rechtlichen oder politischen Mitteln ließe sich diese Forderung denn wirksam durchsetzen?

Peter Schaar: Um Aufklärung zu ermöglichen und Klarheit zu schaffen, ist es wichtig, dass das Thema in der öffentlichen Debatte bleibt und nicht – wie viele andere echte oder vermeintliche Skandale – schnell wieder vergessen wird. Von zentraler Bedeutung wird dabei sein, wie ernst die europäischen Regierungen und die Europäische Union die sehr weitgehende Internetüberwachung nehmen und ob hier die Bereitschaft besteht, klare Grenzen zu ziehen, und zwar durchaus auch hinsichtlich der Überwachungsaktivitäten der eigenen Geheimdienste. Auch die zwischen der Europäischen Kommission und der US-Administration vereinbarte transatlantische Arbeitsgruppe könnte hier die Diskussion voran bringen. Die Datenschutzbeauftragten der EU-Mitgliedstaaten haben die Europäische Kommission bereits aufgefordert, ihre Erkenntnisse weiterzugeben. Mit Sorge sehe ich allerdings einige Äußerungen, Europa solle seine Überwachung nach US-Muster ausbauen. Eine transatlantische Harmonisierung auf dieser Basis wäre sicher nicht im Sinne des Datenschutzes.

iRights.info: Im Interview mit der Mainpost skizzieren Sie ein Szenario, dass ein (US-)Grenzbeamter sich via Zugriff bei Facebook, Amazon und Google näher über privatisierte Personenprofile informieren könnte – eine bewusst drastische Überzeichnung oder gar Panikmache?

Peter Schaar: Vielleicht ist das aktuell noch ein Szenario, dass unwirklich scheint, weit weg sind wir davon aber nicht mehr. Bereits jetzt wird von Fällen berichtet, in denen bei der Einreisekontrolle die Amazon-Wunschlisten der Reisenden angesprochen wurden. Und welche Daten in den Background-Check des ESTA-Systems [elektronisches Reisegenehmigungssystem für die Einreise in die USA, Anm.d.Redaktion] einbezogen werden, wissen wir nicht. Angesichts der in den Internet-Formularen enthaltenen Fragen ist jedenfalls davon auszugehen, dass nicht bloß ein Abgleich mit der Fahndungsdatei oder der No-Flight-List erfolgt.

iRights.info: Die öffentliche Debatte dazu wird ja mittlerweile denkbar breit geführt – wie schätzen Sie die politische Meinungslage ein?

Peter Schaar: Der Wunsch, mehr über den Umfang der Internet-Überwachung insbesondere über das Programm PRISM zu erfahren, ist ganz einhellig, über alle Parteigrenzen und Interessengruppen hinweg. Auch deutsche Unternehmen sind sehr verunsichert, insbesondere im Hinblick auf die Inanspruchnahme von Internetdiensten, etwa zum Cloud Computing, die von US-Unternehmen angeboten werden. Besonders interessiert es hier naturgemäß, warum gerade deutsche Internetnutzer sehr intensiv überwacht werden, wie dies Medien berichten. Zu Recht werden vor dem Hintergrund der aktuellen Debatte auch die Tätigkeiten und Befugnisse deutscher Sicherheitsbehörden hinterfragt. In der öffentlichen Diskussion werden viele gute Fragen gestellt, aber noch kennen wir nur wenige überzeugende Antworten.

iRights.info: Europäische Nutzer schließen ja mit US-amerikanischen Firmen, beziehungsweise deren europäischen Niederlassungen, Verträge über Internet-Dienste ab. Wenn ihre Daten dann über Server laufen und dort gespeichert sind, die in den USA stehen, ist US-Diensten dann der Zugriff erlaubt? Wie eindeutig ist hier die Rechtslage?

Peter Schaar: Zunächst herrscht hier ein großes Informationsdefizit. Wer weiß denn schon, auf welchen Servern die Daten des eigenen Facebook-Accounts oder der Suchanfrage über Google laufen? Hier sind die Unternehmen in der Pflicht, verständliche und aussagekräftige Datenschutzerklärungen zu formulieren. Wichtig ist auch, dass das in der EU-Datenschutzgrundverordnung vorgesehene Marktortprinzip beibehalten wird. Dann können die Datenschutzaufsichtsbehörden in Europa den Bürgerinnen und Bürgern bei der Durchsetzung ihrer Datenschutzrechte effektiv helfen.

Unabhängig davon sehe ich bereits jetzt, dass US-Firmen, die US-Behörden gegebenenfalls auf in Europa befindlichen Servern gespeicherte Daten zur Verfügung stellen, gegen europäisches Recht verstoßen. Noch komplizierter ist die Lage hinsichtlich der in den USA gehosteten Daten. Soweit der Internet-Dienst aus Europa angeboten wird, wie etwa Facebook, ist das Unternehmen in der Pflicht, den Schutz europäischen Rechts zu gewährleisten. Da aber das Safe-Harbor-Abkommen diese Frage ausklammert, besteht hier große Rechtsunsicherheit.

iRights.info: Regten Sie deshalb in Ihrem Blog die Wiederentdeckung des „verlorenen Paragraphen 42“ für die EU-Datenschutzgrundverordnung an? Was würde dieser Paragraph, ganz einfach erklärt, neu oder besser regeln?

Peter Schaar: Der in einer Vorfassung der EU-Datenschutzgrundverordnung enthaltene Artikel 42 untersagte einer für die Datenverarbeitung verantwortlichen Stelle mit Sitz in der Europäischen Union personenbezogene Daten an staatliche Stellen außerhalb der Europäischen Union zu übermitteln. Eine solche Datenübermittlung sollte nur möglich sein, wenn entsprechende internationale Rechtsgrundlagen dies vorsehen oder eine Aufsichtsbehörde eingewilligt hat.

iRights,info: Und wie schätzen Sie im Echo der letzten Tage die Chancen für entsprechende Entscheidungen im Europäischen Parlament ein?

Peter Schaar: Ich hoffe, dass die Bemühungen um eine Reform des Europäischen Datenschutzrechts nicht ins Stocken geraten und vor allem, dass das Schutzniveau personenbezogener Daten in der Europäischen Union in den Verhandlungen nicht abgesenkt wird. Hier setze ich vor allem in das Europäische Parlament große Hoffnungen. In den letzten Tagen haben Mitglieder des Europäischen Parlaments, etwa der EVP-Abgeordnete Sean Kelly, sich für klare Grenzen bezüglich des Zugriffs staatlicher Stellen von Drittstaaten auf europäische Daten ausgesprochen. Ich bin deshalb optimistisch, dass es hierfür im Europäischen Parlament eine Mehrheit geben wird.

iRights.info: Berührt eigentlich die durch Prism offenkundig gewordene Problematik Ihrer Ansicht nach das in Deutschland verfassungsgerichtlich festgestellte Recht auf informationelle Selbstbestimmung?

Peter Schaar: Selbstverständlich. Der Staat, die Bundesregierung, ist in der Pflicht, für den Schutz der Grundrechte zu sorgen, auch soweit deutsche Nutzer Internet-Dienste in Anspruch nehmen oder telefonieren. Das gilt sowohl für Daten, die auf deutschen Servern gespeichert werden als auch für solche, die im Rahmen der hier angebotenen Dienste anfallen. Auf keinen Fall dürften sich deutsche Behörden über die „Auslandsaufklärung“ anderer Staaten mit Informationen versorgen, an deren Erlangung sie durch deutsches Recht gehindert wären.

iRights.info: Parallel zu Ihren Bemühungen um politische Entscheidungen fordern Sie auch „Angebote, die die Nutzer in die Lage versetzen, mit einfacher, handhabbarer, gleichwohl effizienter Verschlüsselungssoftware ihre Daten wirksamer schützen zu können“. Von wem sollen solche Angebote kommen, und wie wollen Sie den Wettbewerb für derlei Produkte oder Dienstleistungen anregen?

Peter Schaar: Vielen Bürgerinnen und Bürgern ist gar nicht bewusst, dass sie sensible Daten lieber verschlüsseln sollten. Insofern sehe ich meine Aufgabe darin, Sensibilität zu schaffen. Schon heute gibt es ja Anbieter entsprechender Verschlüsselungssoftware. Stellen, wie das Bundesamt für Sicherheit in der Informationstechnik, die ja in den letzten Jahren finanziell und personell außerordentlich verstärkt wurden, sollten dafür sorgen, dass nutzerfreundliche und effektive Schutzsoftware bereitgestellt wird und sie sollten den Nutzern Hilfestellung leisten, wie sie Daten verschlüsseln und wie sie Internet-Angebote anonym nutzen können.

[Das Interview wurde schriftlich geführt.]

Peter Schaar ist diplomierter Volkswirt und seit 2003 Bundesbeauftragter für den Datenschutz, seit 2006 ist er auch Bundesbeauftragter für die Informationsfreiheit.

Zum Thema bei iRights

Cloud-Dienste und Überwachung durch Geheimdienste. Netzschau

„Onion Pi”: Anonymes Internet zum Mitnehmen

Reaktionen auf Prism, Open-Data-Richtlinie, Filehoster als Gehilfe

Codename Prism, Kroes zur Netzneutralität, WLAN-Haftung im Bundestag

Datenschützer Peter Schaar: „Wir müssen wachsam sein“

Schaar zum Cloud Computing: EU-Datenschutz für EU-Bürger