Frei, offen und sicher

Die Snowden-Enthüllungen bieten Anlass für ein grundlegendes Nachdenken darüber, wie das deutsche Recht auf informationelle Selbstbestimmung im digitalen Zeitalter umsetzbar ist. Hier geht es zunächst um die wohlbekannte Abwägung zwischen Freiheit und Sicherheit. Der amerikanische Präsident Barack Obama hat es so formuliert: „Es kann nicht 100 Prozent Sicherheit und 100 Prozent Privatsphäre und null Unannehmlichkeiten geben.“ Daneben geht es um die Rolle von Unternehmen wie Google, Facebook und Telefondienstleistern, die über ständig wachsende Datenmengen ihrer Kunden verfügen. Welche Verantwortung haben Unternehmen, wenn sie von staatlichen Stellen zur Herausgabe von Daten aufgefordert werden oder sich diese Stellen durch eine Hintertür dauerhaft Zugang zu Nutzerdaten verschaffen? Welche Datenschutzstandards sollen für deutsche und europäische Kunden global operierender Digitalplattformen gelten? Diese Fragen stellen sich mit besonderer Dringlichkeit angesichts des ständig wachsenden „digitalen Fußabdrucks“ der Nutzer sowie neuer Möglichkeiten der Verknüpfung großer Datenmengen („Big Data“).

Wie eine Balance zwischen Privatsphäre und Nutzerrechten sowie Sicherheit und Bequemlichkeit für staatliche Stellen und Unternehmen gefunden werden kann, muss auf nationaler wie internationaler Ebene verhandelt werden. In den USA spiegelt sich das insbesondere nach 9/11 gesteigerte Schutzbedürfnis in den Regeln für Überwachung und Datenschutz wider. Politiker nutzen technische Möglichkeiten zur Abschöpfung und Auswertung von Daten, um sich gegen Vorwürfe abzusichern, nicht alles zur Verhinderung von weiteren Terroranschlägen zu unternehmen.

Auch Deutschland hat sich bislang nicht als Vorreiter digitaler Bürgerrechte profiliert – weder unter CDU- noch unter SPD-geführten Regierungen. Die Regulierung hinkt den sich rapide entwickelnden technologischen Realitäten hinterher; das Konzept eines „nationalen Raumes“ wird angesichts globaler Datenflüsse hinfällig. Die Ansage von Bundeskanzlerin Angela Merkel, auf deutschem Boden habe man sich an deutsches Recht zu halten, klingt zwar entschlossen, doch sie offenbart auch die Grenzen nationalstaatlichen Handelns. Was heißt schon „deutsches Recht auf deutschem Boden“, wenn Emails, die innerhalb Deutschlands verschickt werden, über Knotenpunkte in den USA oder Großbritannien geleitet werden? Wenn Daten deutscher Nutzer in europäischen Ländern gespeichert werden, in denen ein anderes Datenschutzrecht gilt? Dann sind sie der Gerichtsbarkeit der jeweiligen Länder unterworfen, und diese sieht für Daten von nicht ansässigen Personen deutlich weniger Schutz vor – ähnlich wie Nichtstaatsbürger in Deutschland weniger Schutz vor der Abschöpfung von Daten genießen.

Weg von Wunschvorstellungen

Deutschland sollte den Grenzen nationalen Handelns Rechnung tragen und rein symbolische Reaktionen vermeiden. Dazu gehört der Versuch, die Transatlantic Trade and Investment Partnership (TTIP) für Fragen der digitalen Überwachung zu instrumentalisieren. Die Forderung, Europa solle die Verhandlungen wegen der Späh­affäre aussetzen, sind widersinnig. Europa verfolgt die TTIP-Verhandlungen aus Eigeninteresse (zur Erweiterung des Marktzugangs und aus geopolitischen Gründen) und würde sich mit einem Aussetzen nur selbst schaden. Wenig sinnvoll sind auch die Vorschläge, gemeinsame Datenschutzstandards zum Thema der Verhandlungen zu machen. Das würde fast zwangsläufig zu niedrigen Standards führen, denn die Unterhändler in Handelsfragen gehören gemeinhin nicht zu den größten Verfechtern des Datenschutzes.

Mit Vorsicht zu genießen sind auch die Forderungen, Europa solle quasi über Nacht eigene digitale Großkonzerne aufbauen, um Google, Facebook & Co. Paroli bieten zu können. Die Gefahr der Verschwendung von europäischen Steuergeldern für überambitionierte Projekte ist groß. Es stellt sich die Frage, über welche digitalen Fähigkeiten (Sicherheitstechnologie, Software, Hardware) Europa verfügen will. Auch europäische Unternehmen werden auf eine Antwort drängen, denn sie befürchten, dass das Mitschneiden digitaler Daten zu Zwecken der Industriespionage erfolgt. Mit einer Bestandsaufnahme der vorhandenen Kapazitäten sollten Deutschland und Europa entscheiden, welche Fähigkeiten daheim neu oder wieder aufgebaut werden müssen und wieviel private, geschäftliche und staatliche Nutzer dafür zu zahlen bereit sind. Dafür taugt der deutsch-französische Staatskonzern Airbus kaum als Modell. Vielmehr sollten durch Gründungs- und Investitionsförderung neue marktfähige Lösungen für Europa geschaffen werden, wo dies nötig und möglich ist.

Globale Vereinbarungen

Internationale Abkommen zum Datenschutz und zu den Überwachungspraktiken wären die richtige Antwort auf die Unzulänglichkeit nationaler Regelungen. Ben Scott, vormals Berater von Hillary Clinton zu Fragen globaler Internetpolitik, regt an, internationale Standards zu verhandeln, „welche Arten der Überwachung notwendig und angemessen sind, um Sicherheit mit möglichst minimaler Einschränkung der Freiheit zu gewährleisten“. Ex-Spiegel-Chef Georg Mascolo fordert ein „transatlantisches Freiheitsabkommen“. Der ehemalige BND-Chef Hansjörg Geiger plädiert für einen Kodex für „korrektes nachrichtendienstliches Arbeiten“ – ohne Ausspähen unter Freunden und großflächiges Datenabschöpfen. Und Bundeskanzlerin Merkel hat sich Forderungen angeschlossen, den UN-Pakt für bürgerliche und politische Rechte um ein Zusatzprotokoll zum Datenschutz zu ergänzen.

Jeder dieser Vorschläge wäre ein großer Fortschritt – wenn er denn effektiv umgesetzt würde. Doch angesichts der Tatsache, dass es noch nicht einmal in Europa ein gemeinsames Verständnis über die notwendigen Standards gibt, sind die Aussichten auf eine transatlantische oder gar globale Einigung gering.

Zudem ist unklar, ob die deutsche Regierung wirklich bereit ist, sich mit allen verfügbaren politischen Mitteln für globale Vereinbarungen einzusetzen. Merkels Forderung nach einem Zusatzprotokoll könnte wenig mehr sein als eine Nebelkerze für die innerdeutsche Debatte, wie es 2009 ihr Vorschlag eines „Weltwirtschaftsrats“ als Reaktion auf die globale Finanzkrise war. Deshalb sollte sich Deutschland zunächst auf gemeinsame europäische Regelungen konzentrieren, denn ohne eine gemeinsame EU-Position lohnt der Gang in weiterreichende Verhandlungen kaum.

Gemeinsame EU-Regelungen

Deutschland sollte sich für zwei EU-weite Regelungen einsetzen: für eine ambitionierte und gleichzeitig realistische Datenschutzgrundverordnung sowie für ein Abkommen zu Abhöraktionen durch Geheimdienste.
Beim Datenschutz gehen die Verhandlungen in eine entscheidende Phase. Angela Merkel will in Brüssel einen „qualitativ hochwertigen EU-Datenschutzstandard“ durchsetzen. Das ist in der Tat ein Ziel, für das es sich zu kämpfen lohnt. Aber es ist noch nicht sicher, dass es 2014 zu einem solchen Abschluss kommt. Zumal der Kommissionsentwurf zum Teil unrealistische Forderungen wie das „Recht auf Vergessenwerden“ (right to be forgotten) enthält, die schlicht nicht umsetzbar sind.

Einige Unternehmen wollen einen niedrigen Datenschutzstandard durchsetzen, der nur minimale Hürden für profitable Verwertung von Nutzerdaten durch Digitalunternehmen zulässt. So haben einige Konzerne in Brüssel viel Geld in Lobbyaktivitäten gegen die neue Verordnung investiert. Hier sollte ein Lobbyregister dringend notwendige Transparenz über eingesetzte Mittel herstellen. Außerdem sollten alle in der EU tätigen Unternehmen einer Informationspflicht unterliegen, falls sie außerhalb der Union von staatlichen Behörden zur Herausgabe von EU-Kundendaten gezwungen werden.

Sollte sich die EU trotz aller Hindernisse auf einen hohen und realistischen Datenschutzstandard einigen, hätte dieser gute Chancen, Wirkung über die Grenzen der EU hinaus zu entfalten und für global operierende Digitalkonzerne wie Facebook verbindlich zu werden. Dies trifft zumindest auf Bestimmungen zu, bei denen es aufgrund verbundener Systeme technisch zu umständlich oder schwierig ist, diese nur in Europa und nicht weltweit umzusetzen.

Wichtig ist zudem, sich bei den Regulierungsbemühungen nicht nur auf Datendienstleister zu konzentrieren. Genauso wichtig ist die Regulierung der Bereitsteller von Netzinfrastruktur: der Betreiber von Glasfasernetzen, von Internetknotenpunkten sowie der Internetserviceprovider für den Endkunden. Hier gälte es, sich mit Firmen wie British Telecom, Verizon, VodafoneCable, Level3 und Interoute zu beschäftigen, da sie offenbar den Geheimdiensten weite Möglichkeiten des Daten­abschöpfens eingeräumt haben.

Ein Abkommen über die Geheimdienstarbeit sollte ebenfalls zur deutschen Prioritätenliste gehören. Der britische Geheimdienst GCHQ praktiziert wie die USA das großflächige Abschöpfen von Daten; Frankreich unterhält ähnliche Programme. Deutschland sollte mit gutem Beispiel vorangehen und, wie von Georg Mascolo vorgeschlagen, den BND veranlassen, den Schutz des Fernmeldegeheimnisses, der gegenwärtig nur für Deutsche gilt, künftig auf alle EU-Bürger anzuwenden: „Überwacht werden dürften EU-Bürger nur dann“, so Mascolo, „wenn es auch gegen einen deutschen Staatsbürger zulässig wäre. Die Charta der Grundrechte der Europäischen Union könnte dann durch eine entsprechende Schutzvorschrift ergänzt werden.“

Auch wenn gegenwärtig eine EU-weite Einigung auf hohe Standards für digitalen Datenschutz und Geheimdienstarbeit wenig wahrscheinlich ist, sollte sich Deutschland diplomatisch und politisch dafür einsetzen. Es geht beim digitalen Bürgerrechtsschutz um zentrale Grundwerte, für die sich der Einsatz lohnt – mit Leidenschaft und Augenmaß, ohne moralisierende Hybris. Dieser Einsatz sollte von deutschen Politikern und Diplomaten genauso erfolgen wie von zivilgesellschaftlichen Organisationen und mündigen Netzbürgern.

Die Rechtfertigung von flächen­deckender Überwachung aufgrund der Terrorgefahr klingt aus dem Munde westlicher Politiker oft nicht anders als das, was chinesische und russische Offizielle verkünden. Und wie sollen Anhänger eines freien und offenen Internets glaubwürdig gegen die Kontroll- und Überwachungspraktiken autoritärer Staaten angehen, wenn ihre Spitzenpolitiker Überwachung daheim mit ähnlichen Phrasen rechtfertigen? Das heißt in der Konsequenz auch, dass sich demokratische Gesellschaften offen ihrer Verwundbarkeit gegenüber Terroranschlägen stellen. In einem freien Land kann es kein Supergrundrecht auf hundertprozentige Sicherheit geben. Nur wenn demokratische Staaten mit gutem Beispiel vorangehen, sind sie als Verfechter eines freien, offenen und sicheren Internets glaubwürdig.

Thorsten Benner ist Direktor des Global Public Policy Institute (GPPi).