Datenschutz und Pervasive Monitoring

- juristische, technische und praktische Herausforderungen -

Zeit: Fre­itag, 25.09.2015, 09.00 Uhr
Ort: Hör­saal 0.23
Mod­er­a­tion: RIGO WENNING, Justi­tiar, W3C
PROF. DR. CHRISTOPH SORGE, juris Stiftung­spro­fes­sur für Rechtsin­for­matik, Uni­ver­sität des Saar­lan­des
Ref­er­enten: CHRISTIAN HORCHERT, (aka Fuka­mi), Chaos Com­put­er Club

Mit Erich Möchel hat­te der EDV-Gericht­stag 2013 schon ein­mal einen inti­men Ken­ner der Inter­net-Abhör-Infra­struk­tur der Geheim­di­en­ste ein­ge­laden. Möchel hat ger­ade wieder für Auf­se­hen gesorgt als er die fünf NSA- Abhörstützpunk­te in Wien pho­togra­phierte und kar­togra­phierte.

Nun wird es Zeit, das The­ma der flächen­deck­enden Inter­netüberwachung neu zu betra­cht­en. Seit 2013 sind viele neue Details veröf­fentlicht wor­den. Die Diskus­sion ist von der ersten Phase der Aufre­gung in eine zweite, viel grundle­gen­dere Phase einge­treten. Wir ken­nen jet­zt die Namen von vie­len Pro­jek­ten wie “Xkey­store” und “Bull­run”. Wir wis­sen um die Desin­for­ma­tion-Kam­pag­nen rund um die Ver­schlüs­selung. Wir wis­sen, dass Ver­schlüs­selung funk­tion­iert, auch wenn man uns glauben machen will, dass dem nicht so ist.

Wir kön­nen nun Revue passieren lassen, über welche Kapaz­itäten die Geheim­di­en­ste ver­fü­gen und wie man sich effek­tiv dage­gen schützen kann. Dabei kann es nie um absolute Abhör­sicher­heit gehen. Denn absolute Abhör­sicher­heit würde voraus­set­zen, dass wir uns gegen den Staat wehren und per­for­man­ter sind als der Staat. Ein solch­es Ziel ver­fol­gt die Gegen­be­we­gung ger­ade nicht. Es geht also immer nur um die Ver­hin­derung der ein­fachen und flächen­deck­enden Überwachung. Das führt ins­ge­samt zu Sys­te­men mit wesentlich höher­er Sicher­heit, aber hil­ft nicht gegen gezielte Angriffe des Staates auf Einzelne oder gerichtlich verord­nete Überwachun­gen.

Im Arbeit­skreis disku­tieren wir mit dem Pub­likum die Maß­nah­men, die derzeit getrof­fen wer­den, um die Grund­sicher­heit des Inter­net zu erhöhen. Den Zuhör­ern sollen auch Hin­weise an die Hand gegeben wer­den, wie sie sich bess­er schützen kön­nen.

Aber die flächen­deck­ende Überwachung ist nicht nur ein tech­nis­ches The­ma, son­dern auch ein juris­tis­ches. Das Bun­desver­fas­sungs­gericht hat 2008 ein neues Grun­drecht auf Gewährleis­tung der Ver­traulichkeit und Integrität infor­ma­tion­stech­nis­ch­er Sys­teme for­muliert. Da war von Snow­den noch keine Rede. Aber das Bun­desver­fas­sungs­gericht hat in ein­er ger­adezu visionären Entschei­dung schon alle Aspek­te der Snowden’schen Veröf­fentlichun­gen abgedeckt. Das Abgreifen der Dat­en beim Über­mit­tlungsvor­gang falle unter Art. 10 GG. Art. 10 GG wiederum erfasse nicht die auf der ein oder anderen Seite des Über­mit­tlungsvor­gangs gespe­icherten Dat­en. Das bet­rifft nicht nur den Staat­stro­jan­er, um den es in der Entschei­dung vorder­gründig geht, son­dern auch die unvorstell­baren Daten­haufen, die auf den Server­sys­te­men des Inter­net abgelegt wer­den. Dort greife Art. 10 GG ger­ade nicht. In Rem­i­niszenz und zu Ehren des 2015 ver­stor­be­nen Cas­par Bow­den soll eine Kurzvorstel­lung des amerikanis­chen FISA-Acts erfol­gen. Cas­par Bow­den hat­te schon 2009 ange­fan­gen, vor den Auswirkun­gen dieses Geset­zes zu war­nen. Denn zusam­men mit dem Monopol-Sog der großen amerikanis­chen IT-Fir­men, erhält der FISA-Act eine eigene und neue Dimen­sion. Und während in den USA der FISA-Act unbean­standet blieb, hat das Bun­desver­fas­sungs­gericht mit dem Grun­drecht auf Gewährleis­tung der Ver­traulichkeit und Integrität infor­ma­tion­stech­nis­ch­er Sys­teme eine Lücke geschlossen und solche Ein­griffe unter strenge Aufla­gen gestellt. Das hat drama­tis­che Kon­se­quen­zen, ins­beson­dere für das Cloud Com­put­ing, das in aller Munde ist. Diese Kon­se­quen­zen sind allerd­ings im All­t­ag der deutschen Jus­tiz noch nicht so richtig angekom­men. Unsere Diskus­sion soll zur weit­eren Ver­tiefung anre­gen und zur Konkretisierung beitra­gen. Kann es eine Verpflich­tung der Anbi­eter zur Ver­schlüs­selung der Kom­mu­nika­tion geben?

Erwäh­nung find­en soll auch ein­er der wichtig­sten Fälle dieses Jahres, der eine gewisse sach­liche Nähe zur Prob­lematik rund um den FISA–Act aufweist. Ein New York­er Richter will Microsoft verpflicht­en, in Irland gespe­icherte E‑Mails ohne Recht­shil­feer­suchen her­auszugeben. Microsoft und Irland sind der Mei­n­ung, dass es eines Recht­shil­feer­suchens bedarf. Der Richter in New York ist der Mei­n­ung, ein amerikanis­ches Gericht habe Juris­dik­tion über eine amerikanis­che Fir­ma aus Seat­tle. Zwei Prinzip­i­en tre­f­fen aufeinan­der. Wir wollen über Vor- und Nachteile disku­tieren, die sich aus den ver­schiede­nen Lösungsmöglichkeit­en ergeben.

Das neue IT-Sicher­heits­ge­setz geht in eine ähn­liche Rich­tung. Welch­es Niveau tech­nis­ch­er Absicherung soll es geben und wie sollen wir mit Unsicher­heit­en umge­hen? Ger­ade in der Jus­tiz gehen wir ein­er­seits mit hoch sen­si­blen Dat­en um. Ander­er­seits sind die IT-Sys­teme der Jus­tiz nicht immer auf dem allerneuesten Stand. Welche Haf­tung entste­ht durch ver­al­tete und damit anfäl­lige Sys­teme? Und wie sollen wir die Haf­tung aus­gestal­ten? Denn Geheim­di­en­ste mit Daten­staub­sauger sind eine Seite, Sys­teme, die ein Absaugen der Dat­en ermöglichen, die andere Seite der­sel­ben Münze.

Nach der Affäre um die Eröff­nung eines Ermit­tlungsver­fahrens wegen Lan­desver­rats gegen Netzpolitik.org stellen sich auch Fra­gen nach dem deutschen Recht. Netzpolitik.org hat­te bekan­nter­maßen die Pläne des Ver­fas­sungss­chutzes zur Überwachung des Inter­net veröf­fentlicht. Es ist eine inter­es­sante Frage, ob und inwieweit der Ver­fas­sungss­chutz über­haupt so eine flächen­deck­ende Überwachung vornehmen darf. Die Anzeige zeigt einen Man­gel im Bere­ich des Schutzes von soge­nan­nten “Whistle­blow­ern”. Ob das falsch oder richtig ist, soll auch Gegen­stand unser­er Diskus­sion sein.

Aber nicht nur Whistle­blow­er sind in Gefahr, trotz ihrer gesellschaftlichen Nüt­zlichkeit an den Rand gedrängt zu wer­den. Deutsch­land hat ein beson­deres Sicher­heit­sniveau, weil es eine weltweit ein­ma­lige Land­schaft von IT-Experten, soge­nan­nten Hack­ern, hat. Anders als in vie­len Staat­en ist die Nüt­zlichkeit des Hack­ens in Deutsch­land anerkan­nt. Hack­ing läuft vielfach in geord­neten Bah­nen und viele Lebensläufe kon­nten im Nor­malen gehal­ten wer­den. Doch Gefahr dro­ht hier von ein­er gut gemein­ten Sicher­heits­ge­set­zge­bung, die an den falschen Schrauben dreht. Die Europäisierung des franzö­sis­chen Sys­tems des total­en Hack­ingver­bots durch IT-EU-Sicher­heit­srichtlin­ien und deren deutsche Umset­zung bergen die Gefahr, die Deutsche IT-Land­schaft in ihrem Kern zu zer­stören. Wegen der starken Ver­net­zung der IT haben auch die Regel­sys­teme rund um die Exportkon­trolle das Poten­tial uns langfristig zu schaden, indem gute Forsch­er in die Arme der Geheim­di­en­ste getrieben wer­den, um sich aus­tauschen und über­haupt forschen zu kön­nen.