Löscht die Daten!

In dem jüngst von der ARD gesendeten Interview trifft Edward Snowden folgende Feststellung: „Jedes Mal, wenn Sie den Telefonhörer abheben, eine E-Mail schreiben, mit Ihrem Handy in der Tasche im Bus fahren oder eine Chipkarte verwenden, hinterlassen Sie Spuren. Und die Regierung hat entschieden, dass es eine gute Idee ist, alles zu sammeln. Alles.“ (Übersetzung J.S.)

Snowden fährt fort: „Traditionell haben Regierungen, wenn sie einen Verdächtigen im Blick haben, eine gerichtliche Entscheidung bewirkt, um anschließend mit all ihrer Macht die Ermittlungsarbeit voranzutreiben. Was wir jetzt sehen, ist, dass sie diese Macht im Voraus anwenden wollen.“

Wie weit der Ansatz „Alles sammeln“ tatsächlich schon umgesetzt wird, ist hier zweitrangig, weil die gesellschaftlichen Folgen dieses Ansatz sich bereits abzeichnen. Aber welches Verständnis von Datenschutz und „privacy“ (in der amerikanischen Diskussion) wird hier von Regierungen suspendiert, wie ist es entstanden?

1.) privacy in den USA: Von Kodak-Apparaten und Paparazzi

Der Ursprung des Datenschutzes in der Neuzeit wird in der Literatur oft auf einen berühmten Aufsatz der amerikanischen Juristen Samuel D. Warren und Louis D. Brandeis zurückgeführt. „The right to privacy“ wurde 1890 im Harvard Law Journal veröffentlicht und enthält einige bis heute hochgelobte Erwägungen, etwa die Verortung des Privatheitsschutzes als Persönlichkeits- und gleichzeitig als Eigentumsrecht.

Um die Genese dieses Aufsatzes zu verstehen, hilft es sich zu verdeutlichen, in welchem Umfeld von Ereignissen er entstanden ist. George Eastman hatte gerade zwei Jahre zuvor seine Firma Kodak gegründet und mit seinen Produkten, günstigen Fotoapparaten, der Boulevardpresse ganz neue Möglichkeiten eröffnet, die wiederum der High Society nicht behagten. Es wird angenommen, dass die Berichterstattung über die Hochzeit des Unternehmersohnes Samuel D. Warren mit der Tochter des Senators und späteren Außenministers Thomas Francis Bayard Auslöser für diesen Aufsatz war.

Möglicherweise fühlte man sich damals düpiert durch die presseseitige Charakterisierung des für die Hochzeit mit Blumen geschmückten Hauses der Bayards als „veritable Gartenlaube“. Jedenfalls wurde der ehemalige Kommilitone des Bräutigams, Louis D. Brandeis, herbeigerufen, um dieser Unverschämtheit mit dem heldenhaften Mittel juristischer Empörung entgegenzutreten.

Begründete Erwartung, nicht überwacht zu werden

Man könnte also zugespitzt sagen, dass der Datenschutz auf das Bedürfnis der höheren Gesellschaftsschichten nach Abschirmung gegen den neugierigen voyeuristischen Mob zurückgeht. Die Frage, die sich nun stellt, ist, ob das Datenschutzrecht unterdessen konzeptionell über den Schutz vor Paparazzi hinausgeht.

In den USA scheint selbst das noch nicht erreicht worden zu sein. Trotz der bis heute fortdauernden, zumeist wohlwollenden Rezeption seines Beitrages konnte sich Brandeis auch später in seiner Funktion als beisitzender Richter am Supreme Court mit seiner Meinung nicht durchsetzen. In die amerikanische Verfassungsrechtsprechung sollten seine diesbezüglichen rechtlichen Erwägungen lediglich als Minderheitsvotum Eingang finden. Der Oberste Gerichtshof indes folgt seit der Entscheidung „Katz vs. United States“ im Jahre 1967 bei der Bewertung staatlicher Überwachung dem Maßstab einer „reasonable expectation of privacy“.

Entscheidend für die Zulässigkeit einer Überwachung ist demnach vor allen Dingen, ob der Betroffene begründet erwarten durfte, nicht überwacht zu werden. Was dies nach Snowden bedeuten kann, müssen nun amerikanische Juristen bewerten. Es scheinen allerdings nicht viele Bereiche verblieben zu sein, bei denen man berechtigterweise davon ausgehen kann, dass sie nicht überwacht worden sind.

2.) Datenschutz in Europa: Alan Westin und die informationelle Selbstbestimmung

Für die Entwicklung des deutschen und europäischen Datenschutzrechtes ist indes der im Februar vergangenen Jahres verstorbene Professor für öffentliches Recht der fortschrittlichen Columbia School of Law, Alan Westin, von größerer Bedeutung. Kurioserweise ist vermutlich auch bei ihm die öffentliche Berichterstattung über seine Hochzeit Auslöser für seine Beschäftigung mit dem Thema.

Westin gilt manchen als Bewunderer von Brandeis, er geht jedoch über dessen Forderung nach einem „right to be let alone“ hinaus. Sein wegweisendes Werk „Privacy and Freedom“ fordert vor dem Hintergrund zunehmender staatlicher Überwachungskapazitäten einen expliziten gesetzlichen Schutz. Eine Maßgabe, der in Hessen im Jahr 1970 mit dem weltweit ersten Datenschutzgesetz entsprochen worden ist.

Der Bund folgte dem hessischen Beispiel mit dem ersten Bundesdatenschutzgesetz im Jahre 1977. Die Gesetze haben die Einrichtung von Datenschutzbeauftragten etabliert, enthalten aber noch nicht die Prinzipien, die die Datenschutzgesetze der nächsten Generation aufweisen. Ein „informationelles Selbstbestimmungsrecht“, wie es von Westin wohl als Erstem skizziert wurde, ließ damals noch auf sich warten. Bekanntlich wurde das 1983 durch das Bundesverfassungsgericht nachvollzogen.

Volkszählungsurteil: Transparenzprinzip, Zweckbindung und Verhältnismäßigkeit

Über das Volkszählungsurteil aus jenem Jahr ist bereits regalfüllend geschrieben worden. Allein seine zentrale Argumentation findet sich in über 20 juristischen Publikationen im Vollzitat wieder. Dennoch lassen sich einige Auffälligkeiten festhalten: Mit der Konstruktion eines informationellen Selbstbestimmungsrechtes als einer „elementaren Funktionsbedingung … des demokratischen Gemeinwesens“ spannte das Bundesverfassungsgericht prima facie einen Bogen zwischen der Konstruktion eines Freiheitsrechtes und dem Demokratieprinzip. Wer nun allerdings hofft, dass damit den Demokratiegefährdungen durch umfassende Datensammlungen adäquat Paroli geboten wird, muss enttäuscht werden.

Foto: Personenbogen der Volkszählung 1987, PD

Dennoch war das Volkszählungsurteil seiner Zeit voraus. Es ist wohl auch geprägt von dem beeindruckenden Widerstand in der Bevölkerung gegen die bereits für 1981 geplante Volkszählung und einem öffentlichen Diskurs, in dem die von George Orwell 1949 veröffentlichte Dystopie „1984“ erhebliche Präsenz genoss. Das Urteil bewertet schon die Speicherung von „persönlichen (sic!) Daten“ als Grundrechtseingriff, der einer gesetzlichen Rechtfertigung bedarf, und stellt darüber hinaus weitreichende Anforderungen an die Gesetze, die eine solche Rechtfertigung darstellen können. Etabliert werden das Transparenzprinzip, das Prinzip der Zweckbindung und das der Verhältnismäßigkeit bei der Sammlung solcher Daten.

Begründet wird die Herleitung dieser Anforderungen aus dem Grundgesetz mit der Annahme, dass schon ein Gefühl der Beobachtung Einfluss auf das selbstbestimmte Handeln nehmen könne. Geschützt wird damit durch die Verfassung also schon die subjektive Annahme einer möglichen Beeinträchtigung.

Datenschutz als Individualrecht

Um die Argumentation aus der Verfassung herleiten zu können – die ja selber weder die informationelle Selbstbestimmung und im Gegensatz zu etwa der europäischen Menschrechtscharta auch keinen Begriff der Privatheit kennt –, muss sich das Bundesverfassungsgericht eines dogmatischen Tricks bedienen: des Rückgriffs auf die Staatsfundamentalnorm des Artikel 20 Grundgesetz, der eben auch das Demokratieprinzip enthält. Denn nur wenn auf die Auffangbestimmung solcher Staatsprinzipien Bezug genommen wird, ist es in der Dogmatik des Bundesverfassungsgerichts möglich, zu Ergebnissen zu gelangen, die nach den Detailvorschriften – etwa also den konkret formulierten Grundrechten – nicht zu erzielen sind.

Das Bundesverfassungsgericht konstruiert die informationelle Selbstbestimmung damit als ein Grundrecht mit weitem Schutzbereich, bleibt aber trotz seiner Herleitung aus dem Demokratieprinzip in der Formulierung eines Individualrechtes stecken. Es folgt Westins Konzept von „privacy as control“. Das ist ein Dilemma.

Vorratsdaten-Urteil: Sündenfall des Bundesverfassungsgerichts

Ein Dilemma übrigens, für das das Bundesverfassungsgericht leider auch in seiner zumeist überschätzten Entscheidung zur Vorratsdatenspeicherung im Jahr 2010 keine Lösung findet. Im Gegenteil, es rudert zurück: Die Anforderung, dass eine Sammlung von Daten auf Vorrat zu unbestimmten Zwecken mit der Verfassung nicht zu vereinbaren sei, wird so interpretiert, dass die grundsätzliche Speicherung sämtlicher Kommunikationsbeziehungen zulässig ist – wenn es ausweislich eines Gesetzes dem Zweck der Strafverfolgung und der Terrorismusbekämpfung diene.

Es ist der historische Sündenfall des Bundesverfassungsgerichts in diesem Urteil, eine gesamte Bevölkerung unter Generalverdacht zu stellen. Der Grundsatz einer Zweckbindung wird damit zur leeren Formel. Die viel umjubelte Entscheidung, das konkrete Gesetz – nun aufgrund zu schwacher Anforderungen an die IT-Sicherheit – für nichtig zu erklären, könnte man auch als populistische Verhöhnung der mehreren Tausend Beschwerdeführer interpretieren.

Nun soll eine Art „Überwachungsgesamtrechnung“ geführt werden, nach der die Bürger in ihrer Freiheitswahrnehmung nicht total erfasst werden dürfen und die zudem Teil der „deutschen Verfassungsidentität“ sei – was wohl ein erhobener Zeigefinger in Richtung des europäischen Verrechtlichungsprozesses sein sollte. Kurz: Das Bundesverfassungsgericht ist auch nicht mehr das, was es einmal war. Und es ist, wie es vielleicht auch sein sollte: Die Politik ist gefragt. Doch was ist zu tun?

3.) Überwachung in der computerisierten Gesellschaft

Wenn Edward Snowden sagt, dass die Regierungen alles sammeln, dann kann er dabei auf das privilegierte Wissen eines Insiders zurückgreifen. Die Veröffentlichungen der von ihm autorisierten Pressevertreter geben naturgemäß ein weniger umfassendes Bild ab. Das macht aber nichts, denn wir können – und das tut zum Beispiel der Chaos Computer Club seit seinem Bestehen – uns der Aufgabe auf dem anderen Wege nähern, indem wir überlegen und davor warnen, was gespeichert werden könnte. Snowdens Verdienst besteht darin, zu belegen, dass diese Speicherung tatsächlich geschieht und jene Warner nicht mehr in die Schmuddelecke verrückter Verschwörungstheoretiker gestellt werden können.

Die letzten 20 Jahre haben einen gewaltigen gesellschaftlich-technologischen Umbruch gebracht. Der Soziologe Dirk Baecker stellt ihn auf eine Stufe mit der Einführung des Buchdrucks, will sogar die „nächste Gesellschaft“ in ihm entdeckt haben. Er mag damit nicht ganz unrecht haben. Für die soziologische Analyse sind aber andere Begriffe zielführender. Etwa – wie Baecker es selber auch nennt – die „Computergesellschaft“, die „Netzgesellschaft“ oder die „digitale Gesellschaft“. Sie beschreiben die Entwicklung besser als eine Einordnung als Zäsur. Nichtsdestoweniger ist Baeckers Begrifflichkeit verdienstvoll, zeigt sie doch die Grundsätzlichkeit des Wandels auf und eröffnet damit auch den diffizilen Raum, neue Grundwerte zu entwickeln anstatt alte lediglich fortzuschreiben.

Was die computerisierte Gesellschaft auszeichnet, ist, dass nahezu alle Vorgänge, nahezu jedes Handeln über den Computer vermittelt wird und damit digital vorliegt. Insoweit sind viele von uns bereits in der „nächsten Gesellschaft“ angekommen: Unsere Arbeit findet zumeist am Computer statt. Ein Großteil unserer Kommunikation erfolgt ebenfalls über das Netz. In die übrigen Bereiche ziehen zunehmend digitale Sensoren ein. Selbst das Schlafverhalten wird von Early Adoptern der Selbstoptimierung aufgezeichnet und ausgewertet.

Was durchs Netz wandert, wandert durch Utah

Es ist – zumindest derzeit – das Wesen der Netzgesellschaft, dass diese Daten in erheblichem Umfang auch das Netz durchwandern. Hier steckt ein wichtiger Teil des Problems, denn anders als die Computer der 1980er- und frühen 1990er-Jahre findet nicht nur eine lokale Sammlung statt, sondern nahezu immer auch eine Übermittlung. Zudem hat sich das Netz von einer ursprünglich dezentral organisierten Verbindung autarker Computersysteme zu einer weitreichend zentralisierten Infrastruktur entwickelt, in der große Plattformen die Datenspeicherung betreiben, anstatt eine lokale Vorhaltung der Daten zu unterstützen. Mit dieser Übermittlung der Daten entstehen zahlreiche Zugriffspunkte für Überwachung, und sie ermöglicht das Mitschneiden oder Abgreifen von Informationen.

Data Center der „Intelligence Community“ in Utah. Foto: Swilsonmc, CC BY-SA

Snowdens Enthüllungen deuten darauf hin, dass dies in einem totalen Sinne geschieht. Bereits vor Snowden berichtete das amerikanische Technologiemagazin „Wired“ von geradezu sagenhaften Speicherkapazitäten des im Bau befindlichen NSA-Rechenzentrums in Utah. Hätten diese Angaben gestimmt – die Zeitschrift hat später eingeräumt, dass die Zahlen wohl zu hoch angesetzt seien –, könnte man in Utah den gesamten Internetverkehr der kommenden 1000 Jahre (bei einer Zugrundelegung des antizipierten Aufkommens im Jahre 2015) speichern. Kalkuliert man erhebliche Effizienzgewinne ein, die zweifelsohne möglich sind, darf man sich bei „Wired“ um vier bis acht Größenordnungen verschätzt haben, und man kann immer noch davon ausgehen, dass jedes Bit, das durch das Netz geht, in Utah dokumentiert werden wird.

Die Tatsache, dass selbst Wired an solche Informationen gelangen kann, ohne dabei auf einen weltweit gesuchten Whistleblower angewiesen zu sein, legt nahe, dass man über diese Fähigkeit auch andernorts und schon seit einer geraumen Weile verfügt.

Big Data bei der NSA

Die Implikationen einer solchen Speicherung werden in der Debatte mitunter verkannt. Bedenken werden gerne mit dem Verweis auf die sprichwörtliche Nadel im Heuhaufen zerstreut. Doch Bürgerrechtler von der Electronic Frontier Foundation, Anonymitätsforscher und Datenschützer weisen seit Jahren darauf hin, dass dieses Bild eine Schimäre ist. Snowdens Enthüllungen zum Programm Xkeyscore belegen, dass die NSA längst in der Lage ist, nahezu alle Kommunikationssachverhalte gezielt einzelnen Personen zuzuordnen.

Auf eine einfache Formel gebracht heißt das: Wer einen Facebook-Account hat, hat auch einen bei der NSA. Jeder Internetnutzer hat vermutlich einen. Diese NSA-Accounts beinhalten große Teile des Computernutzungs- und das gesamte netzbasierte Kommunikationsverhalten einer Person. Schade: Das Passwort zu diesem Account kann leider nicht zur Übersendung per E-Mail angefordert werden!

Eine Einsichtnahme oder gar eine Löschung unter Berufung auf europäisches Datenschutzrecht zu verlangen, wäre derzeit wohl auch wenig aussichtsreich. Die beschriebenen technischen Fähigkeiten mögen für den Laien unglaublich klingen, sind aber einfach erklärbar und beruhen auf der Tatsache, dass es in einem Bestand von übermittelten Daten für die Wiedererkennung einer Person nur relativ wenige Anknüpfungspunkte braucht, die eingesetzten Protokolle aber zahlreiche davon im Datenstrom anbieten.

Nicht mitmachen geht nicht mehr

Es ist das Wesen des Digitalen, dass die Information berechenbar wird, automatisch ausgewertet und verarbeitet werden kann. Neben der Möglichkeit der Verknüpfung sind dabei aber vor allen Dingen jene Auswertungen interessant, die aktuell unter dem Titel „Big Data“ firmieren. Für Dienste wie private Anbieter ist nämlich nicht nur das spezifische Verhalten des Einzelnen interessant. Für ihre Entscheidungen spielen vielmehr die Trends, der Zeitgeist und die zugrunde liegenden menschlichen Verhaltensweisen eine Rolle. Sie haben dafür Datenbestände zur Verfügung, von denen die empirische Sozialforschung bisher kaum zu träumen wagt.

Auf den Auswertungen lassen sich per Korrelationsanalyse – so viel ist sicher – nicht nur zielgruppenspezifische Anzeigen schalten oder Kreditausfallrisiken bestimmen. Sehr viel mehr ist allerdings im Augenblick noch nicht bekannt, denn es gibt so gut wie keine veröffentlichte Forschung über konkret durchgeführte Auswertungen dieser Datenbestände und über ihre Potenziale. Es erscheint aber alles andere als gewagt, zu behaupten, dass es unser Verständnis von Demokratie beeinflussen könnte, wenn wir wissen, dass einzelne klandestine Organisationen exklusiv auf diesen Wissensschatz zurückgreifen und zur Grundlage ihres Handels machen können.

Vor dem Hintergrund dieser Umwälzungen wird hin und wieder die Frage gestellt, warum sich nicht mehr Protest regt. Vergleicht man die Teilnehmerzahlen der aktuellen Demonstrationen gegen Überwachung mit denen, die im Rahmen des Volkszählungsboykotts stattfanden, mag man sich in der Tat wundern. Doch im Vergleich zum Volkszählungsboykott ist die derzeitige Situation erheblich komplexer. Es lassen sich keine einfachen Antworten geben, wohl kaum jemand kann einfach sagen: „Da mach ich nicht mit!“ Dazu ist der Wandel zu weit fortgeschritten. Entsprechend findet die gesellschaftliche Debatte vorerst nicht primär auf der Straße statt.

4.) Was ist zu tun?

Es wird nicht ausreichen, sich auf die Einhaltung von Gesetzen zu verlassen, sondern es bedarf primär technischer Garantien. Zunächst ist es dringend an der Zeit, die Speicherungspraxis bei Diensten, aber auch bei Privaten signifikant einzudämmen. Auch wenn es auf nahe Zukunft kaum durchzusetzen sein wird, muss die Forderung lauten: Ein Großteil der bereits erhobenen Daten ist zu löschen. In technischer Sicht heißt das, sie mindestens 35-mal mit Zufallszahlen zu überschreiben und die Datenspeicher anschließend mit dem Bulldozer oder geeigneteren Werkzeugen zu pulverisieren. Dabei ist übrigens perspektivisch auch über Datensammlungen bei Privaten zu diskutieren.

Foto: Deutsche Fotothek, CC BY-SA

Die Spatzen pfeifen es von den Dächern: Das Netz muss (wieder) eine dezentrale Infrastruktur sein. Informationen müssen, wenn sie erhoben werden, möglichst unter der – im Idealfall physischen – Kontrolle der Betroffenen gespeichert werden. Die jüngst vom Unternehmensberater und Publizisten Christoph Kappes in den Raum geworfene Zahl eines staatlichen Investitionsbedarfes von einer Milliarde Euro öffnet die Augen, dürfte aber angesichts der betroffenen Güter – und der Tatsache, dass wir hier über Maßnahmen reden, die Berührungspunkte zum Wehretat haben – eher noch eine Größenordnung zu niedrig angesetzt sein. Auch hier haben die privaten Profiteure des Internetbooms zumindest eine moralische Verpflichtung, konstruktiv mitzuwirken. Vor allen Dingen wird es aber darum gehen, die typischen Fallen staatlicher Großprojekte zu vermeiden.

Völkerrecht sollte öffentliche Kryptografieforschung stützen

Um selbst unter diesen Bedingungen Kommunikation zu ermöglichen, muss die Technologie – ausgehend von den Verschlüsselungsverfahren – sicher sein. Es ist allerdings das Wesen einiger funktionaler Elemente der Kryptografie, dieser Anforderung nicht beweisbar genügen zu können. So beruht die asymmetrische Verschlüsselung stets auf der Annahme, dass bestimmte mathematische Verfahren eine bestimmte (hohe) Rechenkapazität erfordern. Solche Annahmen können aber jederzeit durch neuere Erkenntnisse widerlegt werden. Daher muss die Forschung in diesem Bereich öffentlich stattfinden. Ein Rückgriff auf das Recht ist hier unvermeidlich.

Soll das Netz ein echtes Internet und nicht eine lose Kopplung von „Schlandnetzen“ und anderen nationalen Netzen sein, muss dies mit einem starken völkerrechtlichen Anspruch ausgestattet sein. Mit anderen Worten: Das Betreiben geheimer staatlicher Kryptografieforschung muss als eine Völkerrechtsverletzung bewertet werden, die zur Repressalie berechtigt, also zur Erwiderung des Völkerrechtsbruchs mit einem erneuten, verhältnismäßigen Völkerrechtsbruch in die Gegenrichtung. Naheliegenderweise ist hier etwa an die Kappung der breitbandstarken Verbindungen zu solchen Staaten zu denken.

Es sind alle betroffen

Was aber bleibt, ist das Dilemma: Eine rein auf Individualrechten konstruierte digitale Rechtsordnung wird der demokratietheoretischen Probleme möglicherweise nicht Herr werden können. Für das Individuum kann es sich lohnen, „seine“ Daten preiszugeben. Betroffen von der Preisgabe sind aber unter Umständen andere Personen und die Gesellschaft insgesamt. Persönliche Daten können damit nicht (nur) Transaktionsgegenstand sein – wie es Eben Moglen, der andere große Datenschutzrhetoriker der Columbia School of Law, jüngst formulierte. Die Preisgabe entzieht sich demzufolge zumindest teilweise der Einwilligungsfähigkeit. Datenschutz ist damit nicht nur privacy – oder bestenfalls privacy im Sinne einer Zerstörung des alten Begriffs mit dem Ziel, zu einer weitgehenden völligen Neukonstruktion zu gelangen.

Vielleicht ist es aber eher an der Zeit, über neue Begriffe nachzudenken.

Dieser Beitrag wurde zuerst im Kursbuch 177/2014 veröffentlicht und erscheint hier in leicht gekürzter Fassung.