Daten­schutz und Per­va­si­ve Moni­to­ring

- juris­ti­sche, tech­ni­sche und prak­ti­sche Her­aus­for­de­run­gen -

Zeit: Frei­tag, 25.09.2015, 09.00 Uhr
Ort: Hör­saal 0.23
Mode­ra­ti­on: RIGO WENNING, Jus­ti­ti­ar, W3C
PROF. DR. CHRISTOPH SORGE, juris Stif­tungs­pro­fes­sur für Rechts­in­for­ma­tik, Uni­ver­si­tät des Saar­lan­des
Refe­ren­ten: CHRISTIAN HORCHERT, (aka Fuka­mi), Cha­os Com­pu­ter Club

Mit Erich Möchel hat­te der EDV-Gerichts­tag 2013 schon ein­mal einen inti­men Ken­ner der Inter­net-Abhör-Infra­struk­tur der Geheim­diens­te ein­ge­la­den. Möchel hat gera­de wie­der für Auf­se­hen gesorgt als er die fünf NSA- Abhör­stütz­punk­te in Wien pho­to­gra­phier­te und kar­to­gra­phier­te.

Nun wird es Zeit, das The­ma der flä­chen­de­cken­den Inter­net­über­wa­chung neu zu betrach­ten. Seit 2013 sind vie­le neue Details ver­öf­fent­licht wor­den. Die Dis­kus­si­on ist von der ers­ten Pha­se der Auf­re­gung in eine zwei­te, viel grund­le­gen­de­re Pha­se ein­ge­tre­ten. Wir ken­nen jetzt die Namen von vie­len Pro­jek­ten wie „Xkeysto­re“ und „Bull­run“. Wir wis­sen um die Des­in­for­ma­ti­on-Kam­pa­gnen rund um die Ver­schlüs­se­lung. Wir wis­sen, dass Ver­schlüs­se­lung funk­tio­niert, auch wenn man uns glau­ben machen will, dass dem nicht so ist.

Wir kön­nen nun Revue pas­sie­ren las­sen, über wel­che Kapa­zi­tä­ten die Geheim­diens­te ver­fü­gen und wie man sich effek­tiv dage­gen schüt­zen kann. Dabei kann es nie um abso­lu­te Abhör­si­cher­heit gehen. Denn abso­lu­te Abhör­si­cher­heit wür­de vor­aus­set­zen, dass wir uns gegen den Staat weh­ren und per­for­man­ter sind als der Staat. Ein sol­ches Ziel ver­folgt die Gegen­be­we­gung gera­de nicht. Es geht also immer nur um die Ver­hin­de­rung der ein­fa­chen und flä­chen­de­cken­den Über­wa­chung. Das führt ins­ge­samt zu Sys­te­men mit wesent­lich höhe­rer Sicher­heit, aber hilft nicht gegen geziel­te Angrif­fe des Staa­tes auf Ein­zel­ne oder gericht­lich ver­ord­ne­te Über­wa­chun­gen.

Im Arbeits­kreis dis­ku­tie­ren wir mit dem Publi­kum die Maß­nah­men, die der­zeit getrof­fen wer­den, um die Grund­si­cher­heit des Inter­net zu erhö­hen. Den Zuhö­rern sol­len auch Hin­wei­se an die Hand gege­ben wer­den, wie sie sich bes­ser schüt­zen kön­nen.

Aber die flä­chen­de­cken­de Über­wa­chung ist nicht nur ein tech­ni­sches The­ma, son­dern auch ein juris­ti­sches. Das Bun­des­ver­fas­sungs­ge­richt hat 2008 ein neu­es Grund­recht auf Gewähr­leis­tung der Ver­trau­lich­keit und Inte­gri­tät infor­ma­ti­ons­tech­ni­scher Sys­te­me for­mu­liert. Da war von Snow­den noch kei­ne Rede. Aber das Bun­des­ver­fas­sungs­ge­richt hat in einer gera­de­zu visio­nä­ren Ent­schei­dung schon alle Aspek­te der Snowden’schen Ver­öf­fent­li­chun­gen abge­deckt. Das Abgrei­fen der Daten beim Über­mitt­lungs­vor­gang fal­le unter Art. 10 GG. Art. 10 GG wie­der­um erfas­se nicht die auf der ein oder ande­ren Sei­te des Über­mitt­lungs­vor­gangs gespei­cher­ten Daten. Das betrifft nicht nur den Staats­tro­ja­ner, um den es in der Ent­schei­dung vor­der­grün­dig geht, son­dern auch die unvor­stell­ba­ren Daten­hau­fen, die auf den Ser­ver­sys­te­men des Inter­net abge­legt wer­den. Dort grei­fe Art. 10 GG gera­de nicht. In Remi­nis­zenz und zu Ehren des 2015 ver­stor­be­nen Cas­par Bow­den soll eine Kurz­vor­stel­lung des ame­ri­ka­ni­schen FISA-Acts erfol­gen. Cas­par Bow­den hat­te schon 2009 ange­fan­gen, vor den Aus­wir­kun­gen die­ses Geset­zes zu war­nen. Denn zusam­men mit dem Mono­pol-Sog der gro­ßen ame­ri­ka­ni­schen IT-Fir­men, erhält der FISA-Act eine eige­ne und neue Dimen­si­on. Und wäh­rend in den USA der FISA-Act unbe­an­stan­det blieb, hat das Bun­des­ver­fas­sungs­ge­richt mit dem Grund­recht auf Gewähr­leis­tung der Ver­trau­lich­keit und Inte­gri­tät infor­ma­ti­ons­tech­ni­scher Sys­te­me eine Lücke geschlos­sen und sol­che Ein­grif­fe unter stren­ge Auf­la­gen gestellt. Das hat dra­ma­ti­sche Kon­se­quen­zen, ins­be­son­de­re für das Cloud Com­pu­ting, das in aller Mun­de ist. Die­se Kon­se­quen­zen sind aller­dings im All­tag der deut­schen Jus­tiz noch nicht so rich­tig ange­kom­men. Unse­re Dis­kus­si­on soll zur wei­te­ren Ver­tie­fung anre­gen und zur Kon­kre­ti­sie­rung bei­tra­gen. Kann es eine Ver­pflich­tung der Anbie­ter zur Ver­schlüs­se­lung der Kom­mu­ni­ka­ti­on geben?

Erwäh­nung fin­den soll auch einer der wich­tigs­ten Fäl­le die­ses Jah­res, der eine gewis­se sach­li­che Nähe zur Pro­ble­ma­tik rund um den FISA – Act auf­weist. Ein New Yor­ker Rich­ter will Micro­soft ver­pflich­ten, in Irland gespei­cher­te E‑Mails ohne Rechts­hil­fe­er­su­chen her­aus­zu­ge­ben. Micro­soft und Irland sind der Mei­nung, dass es eines Rechts­hil­fe­er­su­chens bedarf. Der Rich­ter in New York ist der Mei­nung, ein ame­ri­ka­ni­sches Gericht habe Juris­dik­ti­on über eine ame­ri­ka­ni­sche Fir­ma aus Seat­tle. Zwei Prin­zi­pi­en tref­fen auf­ein­an­der. Wir wol­len über Vor- und Nach­tei­le dis­ku­tie­ren, die sich aus den ver­schie­de­nen Lösungs­mög­lich­kei­ten erge­ben.

Das neue IT-Sicher­heits­ge­setz geht in eine ähn­li­che Rich­tung. Wel­ches Niveau tech­ni­scher Absi­che­rung soll es geben und wie sol­len wir mit Unsi­cher­hei­ten umge­hen? Gera­de in der Jus­tiz gehen wir einer­seits mit hoch sen­si­blen Daten um. Ande­rer­seits sind die IT-Sys­te­me der Jus­tiz nicht immer auf dem aller­neu­es­ten Stand. Wel­che Haf­tung ent­steht durch ver­al­te­te und damit anfäl­li­ge Sys­te­me? Und wie sol­len wir die Haf­tung aus­ge­stal­ten? Denn Geheim­diens­te mit Daten­staub­sauger sind eine Sei­te, Sys­te­me, die ein Absau­gen der Daten ermög­li­chen, die ande­re Sei­te der­sel­ben Mün­ze.

Nach der Affä­re um die Eröff­nung eines Ermitt­lungs­ver­fah­rens wegen Lan­des­ver­rats gegen Netzpolitik.org stel­len sich auch Fra­gen nach dem deut­schen Recht. Netzpolitik.org hat­te bekann­ter­ma­ßen die Plä­ne des Ver­fas­sungs­schut­zes zur Über­wa­chung des Inter­net ver­öf­fent­licht. Es ist eine inter­es­san­te Fra­ge, ob und inwie­weit der Ver­fas­sungs­schutz über­haupt so eine flä­chen­de­cken­de Über­wa­chung vor­neh­men darf. Die Anzei­ge zeigt einen Man­gel im Bereich des Schut­zes von soge­nann­ten „Whist­leb­lo­wern“. Ob das falsch oder rich­tig ist, soll auch Gegen­stand unse­rer Dis­kus­si­on sein.

Aber nicht nur Whist­leb­lo­wer sind in Gefahr, trotz ihrer gesell­schaft­li­chen Nütz­lich­keit an den Rand gedrängt zu wer­den. Deutsch­land hat ein beson­de­res Sicher­heits­ni­veau, weil es eine welt­weit ein­ma­li­ge Land­schaft von IT-Exper­ten, soge­nann­ten Hackern, hat. Anders als in vie­len Staa­ten ist die Nütz­lich­keit des Hackens in Deutsch­land aner­kannt. Hacking läuft viel­fach in geord­ne­ten Bah­nen und vie­le Lebens­läu­fe konn­ten im Nor­ma­len gehal­ten wer­den. Doch Gefahr droht hier von einer gut gemein­ten Sicher­heits­ge­setz­ge­bung, die an den fal­schen Schrau­ben dreht. Die Euro­päi­sie­rung des fran­zö­si­schen Sys­tems des tota­len Hacking­ver­bots durch IT-EU-Sicher­heits­richt­li­ni­en und deren deut­sche Umset­zung ber­gen die Gefahr, die Deut­sche IT-Land­schaft in ihrem Kern zu zer­stö­ren. Wegen der star­ken Ver­net­zung der IT haben auch die Regel­sys­te­me rund um die Export­kon­trol­le das Poten­ti­al uns lang­fris­tig zu scha­den, indem gute For­scher in die Arme der Geheim­diens­te getrie­ben wer­den, um sich aus­tau­schen und über­haupt for­schen zu kön­nen.