Vier Jahre nach Snowden – Wird die EU-Datenschutzgrundverordnung uns vor der Überwachung retten?

/***** Die Bundeszentrale für politische Bildung hat die Onlineverbreitungsrechte für den Film „Im Rausch der Daten“ gekauft und zeigt ihn ab jetzt kostenfrei auf ihrem Portal. Im Zuge dessen haben sie von verschiedenen Autor/innen Beiträge zum Thema eingeholt, unter anderem von mir. Mein Beitrag wurde allerdings stark gekürzt, weswegen ich an dieser Stelle noch mal die Langfassung bringe. ******/

Es gibt diesen Witz. Ein Mann kriecht mitten in der Nacht unter einer Laterne herum. Ein Passant bleibt stehen und fragt den Mann, was er dort tue. „Ich habe meine Brille verloren“, antwortet der und da der Passant ein freundlicher Mensch ist, hilft er ihm bei der Suche. Nach einiger Zeit erfolglosen Suchens fragt der hilfsbereite Passant den Mann, wo er die Brille denn verloren hätte. „Dort drüben“, erwidert der Mann und zeigt auf eine rund 20 Meter weiter entfernte Stelle im Dunkeln. „Aber warum suchen wir denn hier?“ fragt der Passant verdutzt. Der Mann daraufhin: „Dort drüben ist es doch viel zu dunkel!“

Als die Verhandlungen zur EU-Datenschutzgrundverordnung im Jahr 2013 vollends ins Stocken gerieten, passierte so etwas wie ein Wunder. Zu dieser Zeit waren viele Akteure unterschiedlicher europäischer Länder nicht sonderlich überzeugt von dem Reformentwurf. Der Berichterstatter und maßgebliche Autor der Reform Jan Philipp Albrecht hatte seine datenschutzfreundliche Handschrift nur allzu deutlich im Entwurf durchscheinen lassen, was vielen Akteuren in seiner Strenge und Konsequenz zu weit ging. Zudem hatte die Internetwirtschaft massive Lobbyanstrengungen in Bewegung gesetzt, um die Abgeordneten davon zu überzeugen, dass der Entwurf dringend abgeschwächt werden müsse. Die Verhandlungen hatten sich festgefahren und Zeitplan um Zeitplan wurde zur Makulatur. Manche fürchteten schon, dass der Prozess nie zu einem Ende kommen würde.
Das Wunder geschah im Juni. Edward Snowden war ehemaliger Mitarbeiter eines NSA-Vertragsunternehmens und er enthüllte der Welt ihre massenweise Ausspähung. Er nannte Namen, Zahlen und Methoden und belegte die Existenz verschiedenster Überwachungsprogramme mittels PowerPoint-Präsentationen, die so hässlich waren, dass sie unmöglich gefälscht sein konnten. Der Skandal, der Medien, Politik und Öffentlichkeit über ein Jahr lang in Atem hielt, veränderte den Ton der Debatte. Die Angst vor totaler Überwachung und die damit einhergehende Aufwertung des Themas Datenschutz und Privatsphäre gab Albrechts Position Rückenwind. Er schaffte es erfolgreich, die vergleichsweise strenge Version seines Datenschutzentwurfs als die Lösung des Überwachungsproblems zu präsentieren. In diesem einmaligen politischen Klima konnte die Verordnung fast unbeschadet die Ausschüsse passieren und wurde schon im Oktober mit überwältigender Mehrheit im Parlament angenommen. Verbindlich in Kraft tritt sie Anfang 2018.

Es ist eine politische Heldengeschichte, die auch wunderbar im Dokumentarfilm „Democracy – im Rausch der Daten“ verewigt wurde. Leider hat die Geschichte einen kleinen Haken: Die Datenschutzgrundreform schützt gegen Geheimdienstüberwachung wie ein Regenschirm gegen Mückenstiche: Gar nicht.

Natürlich hört sich das erstmal logisch an: Hast du Überwachung, dann nimm doch etwas mehr Datenschutz. Denn sind die Daten geschützt, können sie ja nicht mehr überwacht werden, oder?

Doch wenn man genauer hinschaut, stellt man fest: Nichts, was in der Grundverordnung steht, schränkt irgendeinen Geheimdienst in seinen Befugnissen und Möglichkeiten auch nur einen Deut weit ein. Keine einzige geheimdienstliche Datensammlung wird verunmöglicht oder auch nur ein EU-Bürger besser vor Massenüberwachung geschützt. Das liegt an dem schlichten Umstand, dass die Verordnung nur private Akteure wie Unternehmen und öffentliche Stellen innerhalb der EU reguliert. Die NSA ist davon genauso wenig betroffen, wie der BND oder der britische GCHQ.

Die Europäische Datenschutzreform wird weder das massenhafte Abfischen von Daten an den Überseekabel des GCHQ in Großbritannien unterbinden (Tempora1), noch die Datensammlung der NSA in Zusammenarbeit mit dem BND in Bad Aibling (Operation Eikonal2). Sie wird keine Einschränkung der mächtigen Abfragesoftware XKeyScore erzwingen können, mit der die NSA und befreundete Dienste ihre riesigen Datenmassen durchkämmen. Die Datenschutzgrundverordnung ist eine Laterne, die überall aber eben nicht an dem Ort scheint, wo Snowden seine Brille verloren hat.

Den Sinn von Datenschutz nicht verstanden

Wenn man mit Datenschüzer/innen über diesen Umstand spricht, wird vor allem ein Thema angegeben, in dem zumindest die Chance besteht, dass die Datenschutzgrundverordung einen Einfluss hat: PRISM. PRISM ist die Abhörschnittstelle mit der die NSA an die Daten amerikanischer Internetfirmen kommt. Es war eine der ersten Snowden-Enthüllungen und auf den zugehörigen Dokumenten tauchen alle bekannten Namen auf: Yahoo!, Google, Apple, Microsoft, Facebook, Twitter und einige mehr. PRISM steht unter der Ägide des FISC (Foreign Intelligence Surveillance Court) – des geheimdienstlichen Spezialgerichts für Auslandsüberwachung in den USA.3 Mit einem entsprechenden Beschluss dieses Gerichts kann die NSA an die Unternehmen herantreten und Zugriff auf Daten ihrer Nutzer/innen verlangen. Datenschützer/innen argumentieren, dass diese Vorgehensweise durchaus gegen das europäische Datenschutzrecht verstoßen wird und da es sich hier um private Firmen handelt, ist die Verordnung eben auch zuständig. Hier also könnte europäisches Datenschutzrecht durchaus einen Unterschied machen.

Das stimmt zwar, jedoch ist die sich daraus ergebende Gemengelage nicht ganz einfach aufzudröseln. Schließlich dürfen sich die US-Unternehmen ja nicht einfach den Anordnungen des FISA-Courts widersetzen, nur weil es ein EU-Gesetz von ihnen verlangt. Sie geraten vielmehr in einen Zwiespalt, ob sie entweder nach amerikanischem Recht handeln und so EU-Recht brechen sollen, oder andersrum. Dieses Dilemma ist nicht leicht aufzulösen.

Im besten Fall, so wenden Datenschützer ein, werden amerikanische Firmen anfangen, ihre Server nach Europa zu verlegen. Dann würden die Daten nicht nur unter den europäischen Datenschutz fallen, sondern die amerikanischen Behörden hätten dann enorme rechtliche Schwierigkeiten, auf die Daten zuzugreifen. Das zeigt zumindest der Fall Microsoft gegen die Vereinigten Staaten.4 In letzter Instanz entschied ein US-Gericht, dass US-Behörden Microsoft nicht zwingen können, Daten über Nutzer/innen herauszugeben, wenn diese auf Servern in Irland gespeichert sind. Damit könnte die NSA effektiv ausgesperrt werden.

Das hört sich so lange gut an, bis man die Implikationen einer solchen Entwicklung durchdenkt. Denn, ja, die amerikanischen Behörden haben es dadurch schwerer, auf die Daten zuzugreifen. Aber es ist ja nicht so, als gäbe es in Europa keine Geheimdienste und Strafverfolgungsbehörden, die Interessen an den Daten hätten. Und diese hätten es einfacher, wenn die Server nach Europa ziehen.

Wer nun sagt, dass ihm/ihr das lieber ist, als wenn es die Amerikaner tun, hat den ganzen Sinn des Datenschutzes nicht verstanden. Im Datenschutz geht es darum, zu verhindern, dass ein Staat Daten seiner Bürger nutzt, um Macht über diese auszuüben. Deswegen ist es schlimmer, wenn europäische Dienste Zugriff haben. Die NSA hat schließlich weder das Interesse noch die Mittel, Deutschen mit den Daten zu schaden, der Verfassungsschutz oder das BKA hingegen schon. Und wir erinnern uns: Diese Behörden sind wiederum nicht durch die Datenschutzgrundverordnung eingeschränkt. Was sich also erst gut anhört, würde die Situation nur verschlimmern.

Neue Kompetenzen für Geheimdienste

Wie man es dreht und wendet, die Datenschutzgrundverordnung wird niemanden wirksam vor den von Edward Snowden enthüllten Überwachungsprogrammen schützen. Die einzige Möglichkeit, das zu tun, wäre direkt die Gesetze anzugehen, die die Kompetenzen der Geheimdienste regeln.

Und hier zunächst die gute Nachricht: Dieses Gesetz wurde tatsächlich im Nachklapp der Snowden-Affäre gründlich reformiert. Es handelt sich um das BND-Gesetz und die Bundesregierung hat, nachdem ein Bundestagsuntersuchungsausschuss illegale Kooperationen des BND mit der NSA aufgedeckt hatte, schnell gehandelt und es noch in der letzten Legislaturperiode reformiert.

Die schlechte Nachricht ist, dass es nicht in der Weise reformiert wurde, wie man sich das vielleicht gewünscht hätte. Die enthüllten illegalen Machenschaften des BND wurden nicht unterbunden, sondern legalisiert. Die Rechtsverstöße wurden einfach zu „keine Rechtsverstöße“ umdefiniert, indem die Befugnisse und Mittel des BND entsprechend ausgeweitet wurden.

Das politische Resultat nach Snowden sieht in Deutschland also folgendermaßen aus:
Amerikanische Firmen werden vermutlich, um den europäischen Datenschutzstandards zu genügen, ihre Server für europäische Bürger sukzessive nach Europa auslagern. Dort erwarten sie die mit neuen Vollmachten und Befugnissen ausgestatteten europäischen Geheimdienste, die – von der EU-Datenschutzgrundverordnung völlig unbehelligt – viel mehr tun und lassen können, was sie wollen. Europäische Regierungen bekommen eine größere Kontrolle über die Daten ihrer Bürger.

Kurz: Das politische Ergebnis der Snowden-Enthüllungen ist ein Lose-Lose-Lose-Szenario des Datenschutzes. Die Verordnung ist natürlich nicht komplett Effektlos. Unternehmen werden es schwerer haben, personalisierte Werbung auszuspielen, Internetnutzer/innen werden ein paar mal öfter klicken müssen und Häkchen setzen, um sich irgendwo zu registrieren und ein paar sinnvolle Regeln gibt es auch. Aber eben nichts bezogen auf staatliche Überwachung.

Hoffnung macht die Industrie

Doch es ist nicht alles schlecht nach Snowden. Trotz des politischen Desasters stelle ich hier die These auf, dass die Bürger heute unterm Strich geschützter vor Massenüberwachung sind, als sie es 2013 waren. Doch das ist kein Verdienst der Politik, sondern ausgerechnet der Internetwirtschaft.

Ab 2013 setzte ein Boom der Sicherheitsrelevanten Software ein. Neue Messenger kamen auf den Markt, die Ende-zu-Ende verschlüsselt waren. Threema und Signal zum Beispiel funktionieren so, dass niemand – auch die Betreiber nicht – die Nachrichten ihrer Nutzer/innen lesen können. Nur Sender und Empfänger.

Apple war das erste große Unternehmen, dass seinen Dienst iMessage an diesen neuen Standard angepasst hat. Facebook zog nach und verschlüsselte seine von über hundert Millionen Menschen genutzte Messaging-App WhatsApp. Damit war nun endgültig ein Industriestandard geschaffen. Ende-zu-Ende-Verschlüsselung gilt seitdem – zumindest als optionales Feature – als unerlässlich im Messenger-Markt.

Apple hat – nicht erst nach Snowden, aber seit dem viel massiver – die Sicherheit seiner Produkte verbessert. Das iPhone gilt vielen Sicherheitsexperten heute als so sicher, dass sie Leuten mit erhöhten Sicherheitsbedürfnissen empfehlen, vom Computer aufs iPhone zu wechseln. Auch Google führte wesentliche Verbesserungen seines Smartphonebetriebssystems Android ein, unter anderem eine Vollverschlüsselung aller Daten auf dem Gerät.

Google hat zudem mit seinem 2014 gegründeten „Project Zero“ wahrscheinlich den wichtigsten Beitrag zur Computer- und Kommunikationssicherheit der letzten 10 Jahre vollbracht. Jedes größere Unternehmen hat Teams, die die eigenen Produkte auf Sicherheitsschwachstellen testet. Google leistet sich aber ein Team hochspezialisierter Sicherheitsforscher, das auch alle möglichen Softwareprodukte anderer Hersteller unter die Lupe nimmt und diese zwingt, sicherheitskritische Fehler zu beheben. Seit ihrer Gründung hat das Team über tausend kritische Schwachstellen in Betriebssystemen, Antivierensoftware, Passwortmanagern, wichtigen Open-Source-Libraries und anderer Software gefunden.5 Es gibt heute wohl kaum mehr einen Internetnutzer, der dem Projekt keine wesentliche Steigerung seiner Sicherheit verdankt.

Firmeninterne Datentransfers werden nicht mehr unverschlüsselt von Rechenzentrum zu Rechenzentrum verschickt, seit herauskam, dass die NSA sich im Rahmen des Programms „Muscular“ bei Google und Yahoo! in die Firmenleitungen gehackt hat. Zudem haben viele Firmen an ihrer Transparenz gearbeitet und geben nun regelmäßige Reports heraus, wie viele Regierungsanfragen sie bekommen und beantwortet haben, und sie investieren viel Geld darin, diese Abfragen im Zweifel mit juristischen Mitteln abzuwehren.

Der wohl größte Schlag gegen die NSA-Massenüberwachung ist aber, dass starke Verschlüsselung von Web-Verbindungen inzwischen zum globalen Standard geworden sind. Bereits 2014 hatte sich als Reaktion auf die Snowden-Enthüllungen der verschlüsselte Webtraffic verdoppelt6 und Anfang 2017 verkündete die digitale Bürgerrechtsorganisation Electronic Frontier Foundation (EFF), dass nunmehr die Hälfte des globalen Webtraffics verschlüsselt sei.7 Die Cybersecurity-Firma NSS Labs schätzt sogar, dass bis 2019 75% des gesamten Webtraffics verschlüsselt sein wird.8 All das sind Daten, mit denen NSA, GCHQ und BND nichts mehr anfangen können, wenn sie sie abfangen. In ihren Schleppnetzen bleibt nur noch sinnfreier Datensalat hängen und nicht mal die Geheimdienste haben die Mittel, das wieder zu entschlüsseln. Heute gibt es kaum mehr eine größere Website, die nicht durchgehend das grüne SSL-Häkchen in der Adresszeile des Browser stehen hat. Doch nicht nur die Unternehmen, auch NGOs und Aktivist/innen haben daran einen Anteil. Die Initiative „Let’s Encrypt“ verteilt kostenlos SSL-Zertifikate, die vorher teuer bei Unternehmen gekauft werden mussten.

Fazit: Wir sind heute deutlich sicherer vor Massenüberwachung, als wir es zur Zeit der Snowden-Enthüllungen waren. Daran hat aber keine Datenschutzreform oder gar die Politik einen Anteil, ganz im Gegenteil. Die Politik hat alles getan, die Überwachung noch weiter anzufeuern und uns mit der Datenschutzgrundverordnung bestenfalls ein Placebo verabreicht. Das, was uns tatsächlich sicherer gemacht hat, sind die Bemühungen der Internetwirtschaft, für die Snowden ein Weckruf war. Ironischer Weise ist es eben jene Internetwirtschaft, die immer als der Privatsphäre schlimmster Feind verschrien ist, die den größten Anteil an der Verbesserung unserer Sicherheit hat. In Zusammenarbeit mit NGOs und Aktivist/innen weltweit haben die Internetfirmen unsere Computersysteme sicherer gemacht, den Großteil der Internetkommunikation verschlüsselt, sicheres Kommunizieren für alle möglich gemacht und insgesamt die Standards für Sicherheit weltweit deutlich angehoben.

Wir sind noch lange nicht am Ziel. Neue Herausforderungen stehen auf dem Plan. Ein Großteil der Geräte des sogenannten „Internet der Dinge“ ist mit katastrophal schlechter und unsicherer Software ausgestattet und auch die restlichen Bereiche des Internets sind noch lange nicht dort, wo wir von wirklicher „Sicherheit“ sprechen können. Es ist aber falsch, sich auf die Institutionen des Staates in diesen Bereichen zu verlassen. Die Erfahrung zeigt leider viel zu oft, dass er alles nur schlimmer macht.

  1. Wikipedia: Tempora: https://de.wikipedia.org/wiki/Tempora
  2. Wikipedia: NSA-Untersuchungsaussuss: https://de.wikipedia.org/wiki/NSA-Untersuchungsausschuss#Operation_Eikonal
  3. Wikipedia: United States Foreign Intelligence Surveillance Court: https://en.wikipedia.org/wiki/United_States_Foreign_Intelligence_Surveillance_Court
  4. Wikipedia: Microsoft (Corp.) v. United States: https://en.wikipedia.org/wiki/Microsoft_Corp._v._United_States
  5. Hackett, Robert: Google’s Elite Hacker SWAT Team vs. Everyone http://fortune.com/2017/06/23/google-project-zero-hacker-swat-team/ (23.06.2017)
  6. Finley, Klint: ENCRYPTED WEB TRAFFIC MORE THAN DOUBLES AFTER NSA REVELATIONS https://www.wired.com/2014/05/sandvine-report/ (16.05.2014)
  7. Gebhart, Gennie: We’re Halfway to Encrypting the Entire Web https://www.eff.org/deeplinks/2017/02/were-halfway-encrypting-entire-web (21.02.2017)
  8. NSS Labs: NSS Labs Predicts 75% of Web Traffic Will Be Encrypted by 2019 https://www.nsslabs.com/company/news/press-releases/nss-labs-predicts-75-of-web-traffic-will-be-encrypted-by-2019/ (09.10.2016)
Dieser Beitrag wurde unter Das Neue Spiel, extern, Kontrollverlust, Postprivacy veröffentlicht. Setze ein Lesezeichen auf den Permalink.

2 Kommentare zu Vier Jahre nach Snowden – Wird die EU-Datenschutzgrundverordnung uns vor der Überwachung retten?

  1. Pingback: Links der Woche – Enno Park

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.