Datenschutz:

Freiheit, Sicherheit, Datenschutz – Anforderungen an öffentliche IT

von am 22.10.2013 in Archiv, Datenschutz, Gastbeiträge, Infrastruktur, Internet, Medienpolitik, Medienregulierung, Netzpolitik, Rede, Regulierung

<h4>Datenschutz:</h4>Freiheit, Sicherheit, Datenschutz – Anforderungen an öffentliche IT
Dr. Alexander Dix

22.10.13 von Dr. Alexander Dix, Berliner Beauftragter für Datenschutz und Informationsfreiheit

Beitrag zur Fachdiskussion „Öffentliche IT: IT-Grundversorgung als staatliche Verantwortung“ des Kompetenzzentrum Öffentliche IT vom Fraunhofer-Institut FOKUS

1. Der Staat (Bund und Länder) hat nach dem Grundgesetz eine Verantwortung für die öffentliche informationstechnische Infrastruktur, der er bisher nicht gerecht wird. Sie beschränkt sich nicht auf kritische Infrastrukturen, sondern erstreckt sich auf alle öffentlichen Telekommunikationsnetze. Vor der Liberalisierung der Telekommunikationsmärkte ergab sich dies unmittelbar aus Art. 10 GG. Die Verfassung enthält allerdings auch eine „Privatisierungsfolgenverantwortung“ (W. Hoffmann-Riem), der der Gesetzgeber dadurch versucht hat gerecht zu werden, dass er auch die privaten Telekommunikationsanbieter auf das einfachgesetzliche Fernmeldegeheimnis verpflichtet hat. Das genügt allerdings heute nicht mehr.

2. Öffentliche IT-Versorgung (Internet-Zugang) ist ebenso Teil der Grundversorgung (früher „Daseinsvorsorge“) wie die Versorgung mit Strom, Gas und Wasser (public utility). Das wird besonders augenfällig dort, wo die öffentliche Energieversorgung zunehmend auf intelligente, vernetzte Zähler (smart meter) zurückgreift oder die Energienetze insgesamt netzbasiert verwaltet werden (smart grids). Aber auch der jederzeitige Zugang zu allgemeinen Informationen und zu elektronischen Kommunikationsmöglichkeiten muss heute als Teil der Grundversorgung angesehen werden. Der BGH hat in seinem Urteil vom Januar 2013 das Internet als ein die Lebensgestaltung entscheidend mitprägendes Medium bezeichnet, dessen Ausfall Schadensersatzansprüche auslöst.

3. Die Infrastrukturverantwortung des Staates kann nicht so weit gehen, den Internetzugang als solchen selbst (als staatliche Aufgabe) zu erfüllen. Dies ist mit Recht privaten Unternehmen überlassen worden. Allerdings beschränkt sich die verfassungsrechtliche Pflicht zur Gewährleistung des Telekommunikationsgeheimnisses nicht darauf, die privaten Provider abstrakt zur Einhaltung dieses Geheimnisses zu verpflichten. Vielmehr muss der deutsche Staat durch rechtliche Rahmenbedingungen sicherstellen, dass das Telekommunikationsgeheimnis, die informationelle Selbstbestimmung und das Grundrecht auf Vertraulichkeit und Integrität informationstechnischer Systeme auch dann gewährleistet werden, wenn innerdeutsch versandte Nachrichten über Server im Ausland geleitet werden oder wenn zumindest ein Teilnehmer der grenzüberschreitenden Kommunikation in Deutschland sitzt.

4. Das BVerfG hat in seinem Urteil zur Online-Durchsuchung vom Februar 2008, in dem es das Grundrecht auf Vertraulichkeit und Integrität informationstechnischer Systeme aus dem allgemeinen Persönlichkeitsrecht abgeleitet hat, auch das Internet selbst als „informationstechnisches System“ bezeichnet. Dennoch ist das Urteil natürlich nicht so zu verstehen, als sei die Bundesrepublik verpflichtet, das gesamte Internet „vertraulich“ zu machen. Das kann ein Nationalstaat nicht. Wohl aber ist die Bundesrepublik verfassungsrechtlich verpflichtet, ihre Bürgerinnen, Bürger und Unternehmen vor der systematischen Ausspähung durch ausländische Nachrichtendienste und Kriminelle zu schützen. Das bezieht sich insbesondere auf die anlasslose und umfassende Speicherung sämtlicher Metadaten von Kommunikation, die über US-amerikanische Server oder durch transatlantische Unterseekabel läuft.

5. Dieser Schutz könnte rechtspolitisch dadurch erreicht werden, dass international Einvernehmen darüber erzielt wird, welche Überwachungsmaßnahmen zur Erzielung größtmöglicher Sicherheit für die Bürgerinnen und Bürger in einer demokratischen Gesellschaft notwendig sind. Die Maßnahmen der NSA und des GCHQ sind es jedenfalls nicht. Wünschenswert sind möglichst präzise völkerrechtliche Vereinbarungen darüber, was vertrauliche Kommunikation im Internetzeitalter konkret bedeutet. Terrorbekämpfung ist auch möglich (und wahrscheinlich sogar effektiver), wenn man keine Heuhaufen an Metadaten aufschichtet, um die kriminelle Stecknadel zu finden. Die gezielte, verdachtsbezogene Infiltration von Endgeräten unter engen Voraussetzungen ist zulässig. Die pauschale, verdachtsunabhängige Überwachung der weltweiten Telekommunikation zur Verdachtsgewinnung ist es nicht. Die von der US-Rechtsprechung entwickelte „third party doctrine“, wonach niemand vernünftigerweise erwarten kann, dass die Metadaten (Adresse und Absender auf einem Brief) in der digitalen Welt vertraulich behandelt werden, entspricht nicht dem europäischen Rechtsverständnis. Es ist auch mehr als zweifelhaft, ob der US Supreme Court sie heute noch aufrecht erhalten würde.

6. Unabhängig von einer internationalen Verständigung über die Grenzen der Überwachung, die über ein No-Spy-Abkommen zwischen den Nachrichtendiensten hinausgehen müsste und die jedenfalls kurzfristig nicht realistisch ist, ergibt sich aus der grundrechtlichen Infrastrukturverantwortung des Staates die Pflicht, technikrechtliche Vorgaben für eine vertrauliche Kommunikation zumindest innerhalb Deutschlands zu machen. Dementsprechend hat die Konferenz der Datenschutzbeauftragten die Bundesregierung aufgefordert zu prüfen, ob das Routing von innerdeutscher Kommunikation ausschließlich über Netzknotenrechner in Deutschland erfolgen kann. Dem entspricht der jüngste Vorschlag der Deutschen Telekom, der gegenwärtig von anderen Anbietern geprüft wird. Selbst wenn man das Internet nicht „renationalisieren“ kann, halte ich diesen Vorschlag für unterstützenswert. Auch wenn innerdeutsche Mailkommunikation bisher (in unbekanntem Umfang) aus Kosten- und Performanzgründen über US-Server geleitet wurde, ist jetzt deutlich geworden, dass die grundrechtlichen „Kosten“ hierfür zu hoch sind. Wenn die deutschen Telekommunikationsanbieter nicht freiwillig einem innerdeutschen Routing zustimmen, sollte der neu gewählte Bundestag sie dazu gesetzlich verpflichten.

7. Schließlich muss die Vertraulichkeit der Kommunikationsinhalte verstärkt über Verschlüsselung gewährleistet werden. Die Tatsache, dass die NSA auch verschlüsselte Kommunikation überwachen kann, entwertet Verschlüsselung nicht insgesamt. Auch hier gilt: wenn die Netzbetreiber nicht von sich aus Verschlüsselung nach dem neuesten Stand der Technik in ihrem Verantwortungsbereich standardmäßig vorsehen, sollten sie gesetzlich dazu verpflichtet werden. Außerdem sollte der Staat (Deutschland und die EU) Forschungs- und Entwicklungsprojekte zur nutzerfreundlichen Ende-zu-Ende-Verschlüsselung fördern und deren Nutzung in den Schulen zum Bestandteil der Lehrpläne machen.

Print article

Kommentieren

Bitte Pflichtfelder ausfüllen