10 Fragen über PRISM, Datenschutz und Cyber-Espionage an Jan Mönikes
10 Fragen über PRISM, Datenschutz und Cyber-Espionage an Jan Mönikes
1. Die Presse berichtet in jüngster Zeit über verschiedene Abhörprogramme, wie PRISM oder Tempora, und bezeichnet die Affäre entweder als eine Bedrohung für die Freiheit des Internets oder als eine Aushöhlung des Datenschutzrechts. Was trifft zu?
Inhalte
Termine
Das Ausmaß der Überwachung, das öffentlich geworden ist, lässt erkennen, dass erhebliche Teile der Kommunikation deutscher Staatsbürger von ausländischen Staaten überwacht, massenhaft E-Mails und Telefonate mitgeschnitten und Metadaten gespeichert und ausgewertet werden. Und das nicht etwa als Folge konkreter Verdachtsfälle gegen einzelne Personen, sondern anlasslos. Schon das Gefühl ständiger Beobachtung bedroht aber das Freiheitsgefühl des Einzelnen, gerade weil man nicht erkennen kann, wer da aus welchen Motiven heraus und mit welchen möglichen Nachteilen – bspw. bei einer Einreise in ein anderes Land – überwacht. Das Internet bleibt, so gesehen, zwar formal unverändert frei, der „chilling effect“ aber kann dazu führen, dass man diese Freiheit nicht einmal mehr in dem Maße zu nutzen bereit ist, wie es eigentlich rechtmäßig wäre. Soweit man Datenschutz vor allem als ein rechtliches Instrument versteht, ausufernden staatlichen Überwachungsmaßnahmen entgegenzuwirken, sind die deutschen Regelungen immer schon gegenüber fremden Staaten zahnlos gewesen, die kein vergleichbares rechtliches Schutzniveau für ihre Behörden haben. Deutsche Dienste aber bleiben dennoch daran gebunden und dürfen die deutschen Datenschutzregelungen auch nicht mit Hilfe ausländischer Partner umgehen.
2. Ebenfalls ist die Rede von einer Verletzung deutscher Grundrechte seitens der USA. Hat der deutsche Staat die Pflicht, deutsche Bürger vor solch einer Verletzung zu schützen?
Das Internet ist ein globales Medium. Die deutschen Grundrechte aber waren noch nie global durchsetzbar, so wünschenswert es vielleicht auch scheinen mag. Ein “Rechtsbruch” im juristischen Sinne durch die USA ist daher für mich nicht eindeutig - unterstellt, dass US-Recht eben nicht gebrochen wurde und der deutsche BND die Wahrheit sagt und nur im rechtlich erlaubten Rahmen Daten zuliefert und abfragt. Der Skandal um die NSA macht daher für mich vor allem etwas in seiner Bedeutung deutlicher, was auch in anderen Lebensbereichen gilt: Im völkerrechtlichen Maßstab hat das (Menschen-) Recht noch lange nicht über die (staatliche) Macht gesiegt. Und der deutsche Staat war und ist gar nicht in der Lage, sein Recht (einschließlich des Grundgesetzes) zwangsweise in und dort gegen fremde Staaten durchzusetzen, wenn sie das nicht wollen bzw. ein entgegenstehendes Recht haben. Wer das dennoch fordert, will in letzter Konsequenz Krieg. Wer die grundsätzliche Machtlosigkeit des Staates in anderen Zusammenhängen umgekehrt begrüßt, der darf sich jetzt nicht aufregen. Wer nicht, dem helfen m.E. nur kluge und entschiedene Politik, Verhandlung und Diplomatie langfristig weiter. Kurzfristig kann eine nationale IT-Sicherheitsinitiative, die der NSA und Anderen das Überwachen vielleicht etwas schwieriger macht, indem sie beispielsweise Verschlüsselung ab dem Layer 2 konsequent fördert, schon ein wenig weiterhelfen. Das zu erkennen, einzugestehen und dann entsprechend zu handeln, wäre in der Tat jetzt die Aufgabe einer verantwortungsvollen Regierung und einer Kanzlerin, die ihren Amtseid ernst nimmt und zudem aus eigener Biographie eigentlich wissen müsste, dass schon das Gefühl ständiger Beobachtung die Freiheit eines Menschen verletzen und die einer Gesellschaft insgesamt beseitigen kann. Aber ich war ja noch nie der Ansicht, man würde Frau Merkel unterschätzen. Ganz im Gegenteil!
3. EU-Kommissarin Viviane Reding hat mehrfach für eine starke EU-Datenschutzverordnung gegen PRISM plädiert: Wie könnte die EU-Datenschutzverordnung das leisten?
Meines Erachtens gar nicht. Die EU-Datenschutzgrundverordnung wäre weder in einem der bislang diskutierten Entwürfe auf die hier in Rede stehenden Aktivitäten von Geheimdiensten anwendbar, noch könnte sie gegen diese sonst irgendwie in der Praxis helfen – nicht einmal indirekt. Denn in der Verordnung soll der Datenschutz zwischen Privatleuten und Unternehmen geregelt werden. Weder dort, noch in der parallel diskutierten EU-Richtlinie, die sich mit Datenschutz im Bereich der Ermittlungsbehörden beschäftigt, würden die hier in Rede stehenden Handlungen staatlicher Stellen verboten, wenn sie dort nach nationalem Recht erlaubt sind. Das könnte die EU auch gar nicht, da sie für diesen Bereich bislang gar keine rechtlichen Kompetenzen hat. Das Plädoyer von Frau Reding und anderen Politikern hat meines Erachtens andere Gründe: Sie wollen die berechtigte Empörung über den Abhörskandal dazu nutzen, dass ein schon handwerklich misslungener und bürokratischer, aber eben auch gegen diese Bedrohungen völlig wirkungsloser Entwurf, möglichst unverändert und ohne die notwendige sachliche Debatte und Überarbeitung schnell „durchgewunken“ wird. Das aber wäre „weiße Salbe“ auf eine offene Wunde und kann nicht helfen, schadet vielmehr, denn wenn sich die Wirkungslosigkeit erweist, ist der Datenschutz insgesamt diskreditiert.
4. Safe Harbor ist eine besondere Datenschutz-Vereinbarung zwischen der USA und der EU, welche die Datenübermittlung von EU-Unternehmen an die USA regelt. Ist diese Vereinbarung im Datenschutzverordnungsentwurf berücksichtigt?
Auf Safe-Harbour oder andere Regelungen, die das Datenschutzniveau Europas in andere Länder exportieren wollen, kommt es im Kontext staatlicher Überwachungsmaßnahmen oder „legaler“ Auslandsspionage überhaupt nicht an. Es gibt diesbezüglich eine weit verbreitete Fehlvorstellung, man könnte die in Deutschland tätigen US-amerikanischen oder Internetunternehmen anderer Länder durch solche Regelungen dazu zwingen, staatliche Maßnahmen in ihrer Heimat, zu deren Befolgung sie nach dortigem Recht verpflichtet sind, zu verweigern. Datenschutz zwischen Privaten und Firmen lässt sich aber stets nur mit Hilfe des Staates und nicht etwa gegen ihn durchsetzen. Wir würden es ja auch für völlig irre halten, wenn sich beispielsweise Google Deutschland weigern könnte, in Deutschland den hiesigen Behörden rechtmäßige Auskünfte zu verweigern oder Urteile der Gerichte nicht befolgen, weil es das amerikanische Recht anders sieht. Es sind die Staaten, die untereinander Regeln aushandeln müssen, was künftig an Überwachung zwischen Freunden erlaubt und für ihre Bürger noch erträglich ist. Da darf man sich als Politik keinen schlanken Fuß machen und das Problem rechtlich auf Unternehmen abzuwälzen versuchen, die es gar nicht lösen können, weil sie sich sonst immer in einem Land rechtswidrig verhalten würden.
5. In den USA darf die NSA amerikanische Bürger nicht ausspionieren, dafür sind andere Behörden autorisiert. Wie verhält es sich in Deutschland?
In Deutschland ist das ähnlich geregelt: Nach § 1 des G-10-Gesetzes sind „nur“ die Verfassungsschutzbehörden, der Militärische Abschirmdienst und der Bundesnachrichtendienst zur Abwehr von drohenden Gefahren für die freiheitliche demokratische Grundordnung oder den Bestand oder die Sicherheit des Bundes oder eines Landes einschließlich der Sicherheit der in der Bundesrepublik Deutschland stationierten Truppen der nichtdeutschen Vertragsstaaten des Nordatlantikvertrages, im Inland und der Bundesnachrichtendienst im Rahmen seiner Aufgaben, die sich aus dem BND-Gesetz ergeben, bezüglich des Auslands berechtigt, die Telekommunikation zu überwachen und aufzuzeichnen und Post zu kontrollieren. Das unterliegt der Kontrolle durch die G-10-Kommission und die Parlamentarischen Kontrollgremien in Bundes- und Landesparlamenten.
6. Welche Regelungsmechanismen gibt es in Deutschland, um deutsche Spionage einzuschränken und zu kontrollieren?
Es gibt gesetzliche Schranken und in vielen Fällen neben richterlicher Kontrolle eben auch die von der G-10-Kommission ausgesprochenen Beschränkungen und Kontrollen. Der BND ist, was sein Recht zur Überwachung betrifft, insofern deutlich beschränkter, als es offensichtlich die NSA oder der britische Dienst GCHQ sind. Ob diese Regelungsmechanismen in der Praxis ausreichend sind und eingehalten werden, wäre zu prüfen und zu diskutieren. Die Frage kann aber nur von denjenigen beantwortet werden, die heute in diesen Gremien sitzen und damit ein Recht auf Auskunft und Kontrolle haben. Wenn man diesen Menschen nicht (mehr) vertraut, muss man sie abwählen und neue bestimmen – anders geht es nicht, öffentlich kann man das nicht verhandeln.
7. Inwiefern ermöglicht diese Regulierung ein „Outsourcen“ von Abhörmaßnahmen an andere, ausländische, Nachrichtendienste mit niedrigeren Restriktionen?
Soweit ich es übersehe, wurden zwischen den deutschen Diensten und ausländischen Organisationen regelmäßig keine „Rohdaten“, sondern lediglich die Ergebnisse von nachrichtendienstlichen Auswertungen ausgetauscht. Mir erscheint das auch glaubwürdig, denn es entspricht der Logik von Geheimdiensten, eigene Quellen und Möglichkeiten selbst seinen Freunden nicht offenbaren zu wollen. Da es sich ja nicht um gerichtsverwertbare „Beweise“ handelt, sondern um Informationen, die dann in Deutschland zu eigenen Ermittlungen und Maßnahmen führen können, ist das rechtlich nicht schon per se problematisch. Politisch und moralisch aber ist es natürlich schon ein Problem, wenn es sich um nach unserer Ansicht rechtswidrig erlangte Informationen handelt – egal ob nun durch nach unseren Maßstäben unzulässige Überwachung des Internets oder durch „Maßnahmen“ gegen Gefangene, die wir als Folter bezeichnen würden.
8. Hamadoun Touré, der Präsident der UN Sonderorganisation ITU, hatte vor etwa zwei Wochen erneut eine internationale Vereinbarung über ein gemeinschaftliches Verfahren vorgeschlagen, wodurch Spionageangriffe aufgespürt werden können. Sind völkerrechtliche Verträge eine praktikable Möglichkeit, Kontrollmechanismen im Bereich von Cyber-Spionage einzuführen?
Theoretisch ja, praktisch nein. Wer weiterhin entsprechend seines nationalen Rechts die Möglichkeiten von Auslandsspionage für sich nutzen will, wird einem solchen Vertrag einfach nicht beitreten. Man kann ihn auch nicht etwa rechtlich dazu zwingen. Es gibt keine globale Verfassung und keine Weltregierung! Und schon wenn eine Supermacht nicht unterschreibt, werden die anderen Staaten einem solchen Vertrag auch nicht beitreten können. Völkerrechtliche Vereinbarungen dieser Art wird es immer nur zwischen befreundeten Staaten und vertrauten Partnern geben können. Dass das aber keine Selbstverständlichkeit ist, belegt das Verhalten des EU-Mitglieds und deutschen Sicherheitspartners Großbritannien.
9. Welche völkerrechtlichen Überlegungen sprächen dagegen?
Selbst wenn es theoretisch denkbar wäre: Die ITU versucht seit einiger Zeit bereits, sich als zentrale Regulierungsinstitution für das Internet zu etablieren. Man muss sich aber klarmachen, dass die meisten Stimmen in diesem Gremium Staaten haben, die mit demokratischer Kontrolle und zivilgesellschaftlicher Freiheit wenig bis überhaupt nichts am Hut haben. Wenn aber selbst demokratische Staaten wie die USA schon in diesem Ausmaß überwachen und die Netze ausspionieren, will ich nicht erleben, wenn dann über die ITU auch noch etwa die Filterung und Unterdrückung von Inhalten im Internet dazukommt. Da ist es mir lieber, es bleibt beim bisherigen Multi-Stakeholder-Modell unter dem Dach der Internetsociety und anderer Organisationen und die ITU bleibt bei diesen Fragen nur ein Player und nicht etwa die zentrale Institution. Das sichert zumindest Vielfalt und damit dem Einzelnen Ausweichmöglichkeiten.
10. Welche Möglichkeiten bestehen, im Rahmen der Verhandlungen zum EU-US-Freihandelsabkommen das Thema Datenschutz und Cyber-Spionage anzusprechen?
Die Botschaft sollte meines Erachtens sein: „Freunde tun sich so etwas gegenseitig nicht an!“ Denn wenn kein Vertrauen mehr in die Fairness und Freundschaft besteht, warum soll dann ein solch weitreichender, freundschaftlicher Vertrag wie das Freihandelsabkommen funktionieren können – gerade dann, wenn man Wirtschaftsspionage befürchten muss und die Waren und Dienstleistungen künftig nicht einmal mehr an den Grenzen der EU abfangen könnte. Sprich: Entweder man findet eine funktionierende Lösung zwischen den USA und der EU und auch innerhalb der EU für diese Themen oder die transatlantische Partnerschaft wird sich auf absehbare Zeit nicht weiter intensivieren können.
Jan Mönikes | |
Jan Mönikes ist Vizepräsident der Internet Society (ISOC.DE) und Partner von SCHALAST & PARTNER Rechtsanwälte in Berlin. Er beschäftigt sich schwerpunktmäßig mit Themen des Internet-, Medien- und Telekommunikationsrechts. Davor war er, nach vielen Jahren der Tätigkeit als Parlamentarischer Mitarbeiter beim Bundestag, in Unternehmen wie Versatel Deutschland, AOL und IBM sowie Verbänden wie der Initiative Europäischer Netzbetreiber (IEN) an der Schnittstelle zwischen Recht, Politik und Kommunikation beschäftigt. Heute ist Jan neben seiner Anwaltstätigkeit unter anderem Justiziar des Bundesverbandes deutscher Pressesprecher (BdP), der European Association of Communication Directors (EACD) sowie des Bundesverbandes der Personalmanager (BPM) und engagiert sich im Ehrenamt politisch im Parteirat und Gesprächskreis Netzpolitik der SPD und als Sprecher des Managerkreises der FES in Baden-Württemberg. 3. Initiative 9. Initiative | Ohu Global Internet Governance |
Interview von: Lorena Jaume-Palasí
zurück zur Startseite der Global Internet Governance (GIG) Ohu