Der ehemalige Bundesdatenschutzbeauftragte Peter Schaar stand LinuxUser am Rande eines Vortrags an der TU München Rede und Antwort zum Verhalten deutscher Behörden in der NSA-Affäre.
Am Rande eines Vortrags [1] zum Thema “Datenschutz – Technik, Recht und Überwachung” an der Fakultät für Informatik der TU München (Abbildung 1) hatten wir die Gelegenheit, mit dem ehemaligen Bundesbeauftragten für Datenschutz, Peter Schaar [2], ein Interview zu führen. Darin erläutert er seine Sicht der Dinge über geheimdienstliche Aktivitäten sowohl des BND als auch der NSA.
Schaar (Abbildung 1) engagiert sich in der Europäischen Akademie für Informationsfreiheit und Datenschutz (EAID) [3], der er seit September 2013 vorsitzt. Darüber hinaus ist er Mitglied der Deutschen Gesellschaft für Informationsfreiheit, der Hamburger Datenschutzgesellschaft, der Humanistischen Union und der Gesellschaft für Informatik.
LinuxUser:Was hat sich in Sachen Datenschutz aus Ihrer Sicht während Ihrer zehnjährigen Amtszeit geändert?
Peter Schaar: Vor allem hat sich die Technik drastisch geändert: Die verschiedenen kritischen Bereiche wachsen immer stärker zusammen. Wir sprechen heute von der Cloud und haben es mit Big-Data-Ansätzen zu tun. All das verwenden sowohl die Wirtschaft als auch die staatlichen Stellen. Teilweise gibt es da eine symbiotische Beziehung – das zeigt sich auch bei der NSA-Affäre.
“Firmen wie Google unterwandern Kontrollen, indem sie sich das System mit den wenigsten Restriktionen aussuchen.”
LU:Welchen Einfluss hatten Sie während Ihrer Tätigkeit als Bundesbeauftragter für den Datenschutz auf Staat und Wirtschaft?
PS: Den Datenschutzbehörden stehen nur begrenzte administrative Zwangsmittel zur Verfügung. Gerade gegenüber öffentlichen Stellen dürfen die Datenschutzbeauftragten Datenschutzverstöße nur beanstanden – eine Art formalisierter Kritik, auf die die Behörden reagieren oder eben nicht. Gegenüber nichtöffentlichen Stellen haben die Landesdatenschutzbeauftragen immerhin die Möglichkeit, Bußgelder zu verhängen oder auch eine unzulässige Verarbeitung zu untersagen.
Als Bundesbeauftragter wurde mir sogar dieses Instrument vorenthalten, obwohl ich für die Kontrolle der Telekommunikationsunternehmen zuständig war. Wenn ich dort Datenschutzverstöße feststellte, musste ich mich an die Bundesnetzagentur wenden. Ob die letztlich ein Bußgeld verhängte, lag ausschließlich in deren Entscheidungskompetenz – und damit letztlich dem Bundeswirtschaftsministerium. Ein unhaltbarer Zustand, an dem auch die jetzige Bundesregierung offenbar nichts ändern will.
Außerdem beeinflusst die Globalisierung die Möglichkeiten der Datenschutzaufsicht. Gegenüber international agierenden Unternehmen ist die Rechtsdurchsetzung sehr viel schwieriger als gegenüber Unternehmen mit einem klaren Standort, wo die Daten dem nationalen oder zumindest dem EU-Datenschutzrecht unterliegen. Unternehmen, die sich aussuchen können, wo sie aktiv sind, unterwandern eine solche Kontrolle.
Das nennt sich “Forum Shopping”: Die Firma sucht sich das System mit den wenigsten Restriktionen aus. So ist es kein Wunder, dass eine Vielzahl von Gesellschaften innerhalb von Europa sich in Irland und Großbritannien ansiedeln und dass sich Google immer wieder darauf beruft, ausschließlich kalifornischem Recht zu unterliegen, obwohl das Unternehmen in Europa größere Umsätze macht als in Nordamerika.
“Bei den Nachrichtendiensten fehlt weitestgehend eine richterliche Kontrolle, wie sie sonst aus rechtsstaatlichen Gründen greift.”
LU:Können Behörden die Informationsrechte des Datenschutzbeauftragen grundsätzlich mit dem Totschlagsargument der “nationalen Sicherheit” abbügeln?
PS: Nein. Es gibt zwar diese eine Ausnahme im Bundesdatenschutzgesetz, die bei Fragestellungen, die die nationale Sicherheit betreffen, die Prüfungskompetenzen einschränken kann. Darauf hat sich aber in meiner Amtszeit weder die Bundesregierung noch eine andere Bundesbehörde berufen.
Ein größeres Problem stellt die institutionelle Beschränkung durch das G10-Gesetz dar. Danach besitzen die Datenschutzbeauftragten gegenüber den Nachrichtendiensten dort, wo diese Eingriffe in das Fernmeldegeheimnis vornehmen, keine Prüfkompetenzen: Das ist das ausschließliche Feld der G10-Kommission des Bundestags. Diese zersplitterten Kontrollstrukturen der parlamentarischen Kontrollgremien und der Datenschutzbehörden im Bereich der Nachrichtendienste erweisen sich zunehmend als problematisch. Außerdem fehlt hier weitestgehend eine richterliche Kontrolle, wie sie ansonsten in der Verwaltung aus rechtsstaatlichen Gründen greift.
“Beim Abhören im Ausland handelt der BND ohne klare gesetzliche Kompetenz. Das widerspricht der Grundrechtskonformität.”
LU:Bewegt sich der BND momentan außerhalb der Rechtsstaatlichkeit?
PS: Was jetzt an Spionage gegen Deutschland bekannt wurde, kann man dem BND sicherlich nicht direkt vorhalten. Wenn fremde Nachrichtendienste BND-Mitarbeiter anwerben, sie quasi zu Doppelagenten machen, ist das ein klassisches Spionagewerkzeug der anderen Seite. Problematisch erscheinen allerdings manche eigenen Aktivitäten des BND – jedenfalls dort, wo er im Ausland agiert und dabei in das Fernmeldegeheimnis eingreift.
Das Grundrecht nach Artikel 10 des Grundgesetzes, also das Post- und Fernmeldegeheimnis, löst sich ja im Ausland nicht einfach in Luft auf. Renommierte Verfassungsrechtler haben gerade vor dem NSA-Untersuchungsausschuss des Bundestags darauf hingewiesen, dass das Post- und Fernmeldegeheimnis eben nicht nur Deutsche schützt oder nur im Inland gilt. Dementsprechend handelt der BND hier ohne klare gesetzliche Kompetenz. Das widerspricht meinem Verständnis von Grundrechtskonformität.
LU:Vor dem NSA-Untersuchungsauschuss beschrieb der ehemalige NSA-Mitarbeiter Thomas Drake den Ringtausch von Daten als “Routinepraxis robuster Geheimdienstkooperationen.”
PS: Er sagt das nicht als Einziger, das wissen wir schon seit Echelon. Mit diesem globalen System zum Überwachen der Satellitenkommunikation beschäftigte sich das europäische Parlament bereits vor 15 Jahren intensiv. Ein Ergebnis dieser Untersuchungen war, dass Geheimdienste systematisch außerhalb ihrer eigenen Rechtsordnung agierten und dann die Ergebnisse austauschten. Insofern umgingen sie die Begrenzungen der jeweiligen nationalen Rechtsordnungen und setzten sie damit de facto außer Kraft.
In welchem Ausmaß das auch heute noch geschieht, wird jetzt langsam deutlich. In Deutschland bestreitet ja nicht einmal die Bundesregierung, dass Daten und Erkenntnisse, die der BND im Ausland gewonnen hat, in großem Umfang an US-Dienste weitergegeben wurden und möglicherweise nach wie vor weitergegeben werden. Das erfolgt ohne eine ausdrückliche gesetzliche Befugnis.
Gerade in dieser Pauschalität ähnelt das Verhalten des BND demjenigen der NSA, die ja auch im Ausland massiv überwacht. Selbst zu Hause in den USA hält sich die NSA offensichtlich ebenfalls nicht an das amerikanische Recht. Inwieweit das umgekehrt auch auf den BND zutrifft, ist mir nicht bekannt. Bei der Auslandsüberwachung sind die Parallelen allerdings unübersehbar.
“Jetzt zeigt sich, wie naiv der Glaube in das Rechtsbewusstsein der amerikanischen Geheimdienste war. Die Bundesregierung trägt bisher reichlich wenig zur Aufklärung der skandalösen Massenüberwachung bei.”
LU:Im Disput mit Gregor Gysi konterte der Bundestagspräsident Norbert Lammert kürzlich auf die Frage, ob ihm klar sei, dass er auch abgehört werde, mit der Antwort “Im Gegensatz zu Ihnen trage ich das mit Fassung”.
PS: Ich möchte solche Bundestagsscharmützel nicht kommentieren. Aber eines ist klar: Die Bundesregierung hat die Aktivitäten der NSA lange Zeit nicht wirklich ernst genommen. Jetzt zeigt sich zunehmend, wie naiv der Glaube in das Rechtsbewusstsein der amerikanischen Geheimdienste war und wie weit die Selbsttäuschung ging. Hier sehe ich aber gerade in letzter Zeit durchaus Bewegung: Dazu trägt nicht zuletzt die Aufregung über das Abhören des Merkel-Handys bei.
Jetzt haben wir neue Fälle, bei denen offenbar US-Dienste in Deutschland Spionage betreiben. Nichts spricht dafür, dass das die einzigen bleiben – sie kamen bisher nur als einzige nachweisbar ans Licht. Dessen ungeachtet bleibt es bei dem eigentlichen Skandal: der Massenüberwachung – und hier trägt die Bundesregierung bisher reichlich wenig zur Aufklärung bei.
“Für die Entscheidung des Generalbundesanwalts gegen entschiedene Aufklärungsmaßnahmen zur Massenüberwachung waren wohl politische Erwägungen ausschlaggebend.”
LU:Der Generalbundesanwalt Range meinte noch vor Kurzem, es gäbe keine Indizien dafür, dass NSA oder GCHQ systematisch überwachen.
PS: Diese Aussage hat mich auch sehr erstaunt. Indizien gibt es in Hülle und Fülle. Die Frage lautet: Reichen sie im strafrechtlichen Sinne aus, um einen Beweis zu führen, der dann letztlich zu einer Verurteilung führt?
Es stimmt zwar, dass es schwierig sein dürfte, amerikanische Beteiligte zu vernehmen oder im Falle eines Schuldspruchs zur Rechenschaft zu ziehen. Aber diese Schwierigkeiten gibt es ja auch in anderen Bereichen der Kriminalität. Sie rechtfertigen nicht den Verzicht auf formelle Ermittlungen, bei denen dann der Staatsanwaltschaft und Polizei ganz andere Möglichkeiten zur Verfügung stehen als bei bloß informellen Vorermittlungen.
Insofern erweist sich das Ablehnen eines Ermittlungsverfahrens auch als Entscheidung gegen entschiedene Aufklärungsmaßnahmen zur Massenüberwachung. Der Anfangsverdacht lässt sich leicht begründen und wird in vielen anderen Fällen sehr viel schneller formuliert als hier. Insofern waren hier wohl auch politische Erwägungen ausschlaggebend.
LU:Kürzlich wurde bekannt, dass die NSA den Datenstrom nach Schlüsselworten wie “Tor”, “Vidalia” oder auch “Linux” durchsucht und entsprechende Nutzer als Extremisten klassifiziert.
PS: Inwieweit die USA alle, die entsprechende Begriffe benutzen, tatsächlich als Extremisten kategorisieren, das ist die eine Frage – aus meiner Sicht wäre das jedenfalls ziemlich dumm.
Dass diejenigen, die sich bestimmter Verschlüsselungswerkzeuge bedienen oder Anonymisierungsnetze verwenden, nicht nur seitens der NSA unter besonderer Beobachtung stehen, das ist nicht neu: Es war auch im Zusammenhang mit XKeyscore eine der ersten Erkenntnisse. Die entsprechenden NSA-Unterlagen nennen beispielsweise PGP-Nutzer als Überwachungsziel. Nur wird jetzt noch deutlicher, nach welchen Begriffen die NSA offensichtlich sucht.
Ich vermute, dass die genannten nicht die einzigen Zielbegriffe sind. Alleine darauf einen Extremismusverdacht zu begründen, wäre völliger Unsinn – für so dumm halte ich die NSA nicht. Immerhin konnte ich kürzlich noch ungehindert in die USA einreisen, obwohl ich PGP verwende. Natürlich gibt es keine Rechtfertigung dafür, Personen derart zu brandmarken, ohne dass irgendwelche anderen Verdachtsmomente vorliegen. Das wäre schon ein starkes Stück.
“Lassen Sie sich nicht beeindrucken, richten Sie Ihre Meinung nicht nach irgendwelchen Suchbegriffen aus, und bestehen Sie unbeirrt auf Ihren Rechten. Verschlüsseln Sie, und nutzen Sie keine US-Provider.”
LU:Was kann der einzelne Bürger tun, um seine verfassungsmäßig zugesicherten Rechte auch im Internet zu schützen, wenn schon das Verwenden von starker Kryptografie wie Truecrypt zu einem Anfangsverdacht führt?
PS: Die Tatsache, dass irgendwelche Geheimdienste meinen, wer verschlüsselt, führe Böses im Schild, ist für mich kein Grund, nicht zu verschlüsseln. Mir ist es wichtiger, dass meine Geheimnisse nicht bei irgendwelchen Organisationen wie der NSA landen. Ich denke, das geht auch vielen Unternehmen und anderen Privatpersonen so.
Es wäre geradezu unverantwortlich, nur wegen dieser behaupteten und vielleicht auch stattfindenden Auswahl auf Verschlüsselungs- und sonstige Sicherungswerkzeuge zu verzichten. Sie bauen ja auch nicht Ihr Türschloss aus, nur weil jemand behauptet, Sie hätten etwas zu verbergen, wenn Sie Ihre Tür sichern. Das wäre vollständig unsinnig. Statt ängstlicher Anpassung brauchen wir mehr Zivilcourage: Lassen Sie sich nicht beeindrucken, richten Sie Ihre Meinung nicht nach irgendwelchen Suchbegriffen aus, und bestehen Sie unbeirrt auf Ihren Rechten.
Genauso wichtig: Verhalten Sie sich auch im Internet möglichst vernünftig. Dazu gehören aus meiner Sicht auch ein angemessener Schutz der eigenen Kommunikation durch Verschlüsselung sowie die Wahl entsprechender Provider. Dabei gilt es, zu bedenken, dass US-Provider dem US-Recht unterliegen: Das stellt europäische und andere ausländische Nutzer viel schlechter als US-Bürger, sodass deren Daten sehr leicht in den Speichern der Geheimdienste landen.
“Falls der BND tatsächlich über Jahre hinweg pauschal alle gesammelten Daten an die NSA weitergegeben hat, dann wäre das rechtswidrig.”
LU:Kürzlich wurde bekannt, dass Geheimdienste auch deutsche Glasfaserkabel anzapfen.
PS: Dass die Kabel offenbar durch den britischen Geheimdienst GCHQ in enormem Umfang abgezapft wurden, war für mich neu. Allerdings enthält auch die deutsche Telekommunikationsüberwachungsverordnung Vorgaben, die eine technische Fernmeldeüberwachung ermöglichen – auch durch die Geheimdienste, und da speziell durch den BND. Wenn der wie behauptet über Jahre pauschal alle Daten, die er bei der sogenannten strategischen Überwachung sammelte, an die NSA weitergegeben haben sollte, wäre das aus meiner Sicht rechtswidrig. Das gehört unbedingt aufgeklärt. Ich denke, der NSA-Untersuchungsausschuss bietet dafür auch ein geeignetes Forum.
LU:Wie stehen Sie zur DE-Mail?
PS: Das scheint mir ein halbherziger Versuch, für mehr Sicherheit im Internet und speziell bei der Kommunikation mit Behörden zu sorgen. Halbherzig deshalb, weil das System die Ende-zu-Ende-Verschlüsselung nicht unterstützt: Weder sieht DE-Mail sie standardmäßig vor, noch lässt sie sich nach meinem Kenntnisstand ohne Weiteres nachrüsten. Hier liegt der schwerste Mangel, und es gilt, nachzubessern, damit das Projekt mehr Glaubwürdigkeit erlangt.
LU:Das BSI kam kürzlich wegen ihrer Zusammenarbeit mit anderen Geheimdiensten in die Schlagzeilen. Wie stehen Sie dazu?
PS: Für mich besteht bisher kein Anlass, an der Vertrauenswürdigkeit des BSI zu zweifeln. Es sorgt als Behörde für die Sicherheit speziell der Netze des Bundes und hat, anders als die NSA, nicht die Aufgabe, Dritte auszuspionieren oder systematisch für Schwachstellen in Geräten und Software zu sorgen, um diese auszuspionieren.
Die NSA trägt sozusagen zwei Hüte: Sie schützt einerseits die inneramerikanischen Netze – das, was das BSI auch hierzulande macht. Andererseits spioniert sie als Nachrichtendienst sowohl im In- als auch im Ausland – das macht das BSI nicht. Zwar gab es offenbar in Sachen IT-Sicherheit wohl Kontakte zwischen BSI und NSA, aber mir liegen keine Anhaltspunkte dafür vor, dass das BSI bei den Spionageaktivitäten der NSA mitgewirkt hätte.
LU:Wir danken Ihnen für das Gespräch, Herr Schaar.
Glossar
-
G10-Gesetz
-
Das im Zug der Notstandsgesetzgebung während des Kalten Kriegs erlassene “Gesetz zu Artikel 10 des Grundgesetzes vom 13. August 1968” regelt die Befugnisse der deutschen Nachrichtendienste zu Eingriffen in das verfassungsrechtlich garantierte Brief-, Post- und Fernmeldegeheimnis. Das G10-Gesetz musste mehrfach geändert werden, nachdem das Bundesverfassungsgericht 1999 Teile davon für verfassungswidrig erklärt hatte.
-
Echelon
-
Ein weltweites Spionagenetz der “Five Eyes”, also der Nachrichtendienste der USA, Großbritanniens, Australiens, Neuseelands und Kanadas. Echelon dient dem Abhören von satellitengestützten privaten und geschäftlichen Telefongesprächen, Faxverbindungen und Internetdaten. Den genauen Umfang der Abhörmaßnahmen halten die Betreiber geheim. Wegen erwiesener Wirtschaftsspionage gegen europäische Unternehmen schlossen die deutschen Behörden 2004 eine Echelon-Anlage der NSA im bayerischen Bad Aibling.
-
XKeyscore
-
Auswertesystem der “Five Eyes” für die durch Telekommunikationsüberwachung erfassten Daten. Laut den Snowden-Unterlagen bestand das linear skalierbare XKeyscore-Netz bereits 2008 aus 700 Servern an 150 Standorten. Allein im Dezember 2012 lieferte es 180 Millionen Einträge aus Deutschland.
Infos
[1] Peter Schaar, “Datenschutz – Technik, Recht und Überwachung”: http://www.tum.de/die-tum/aktuelles/pressemitteilungen/kurz/article/31649/
[2] Peter Schaar: http://www.eaid-berlin.de/?cat=8
[3] EAID: http://www.eaid-berlin.de
