Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

2.

Der Weg in die Informationsgesellschaft

2.1

Fernmeldegeheimnis und Telekommunikation

Das Brief-, Post- und Fernmeldegeheimnis gehört zu den traditionellen Garantien einer freiheitlichen Verfassung. Artikel 10 Grundgesetz gewährleistet nach der Rechtsprechung des Bundesverfassungsgerichts die freie Entfaltung der Persönlichkeit durch einen privaten, vor den Augen der Öffentlichkeit verborgenen Austausch von Nachrichten, Gedanken und Informationen und wahrt damit die Würde des denkenden und freiheitlich handelnden Menschen. In seiner grundlegenden Schutzfunktion wurde Artikel 10 Grundgesetz trotz der Beschränkungen durch das G 10-Gesetz aus dem Jahre 1968 seit Inkrafttreten des Grundgesetzes nicht geändert.

Geändert haben sich aber die realen Bedingungen des Brief-, Post- und Fernmeldeverkehrs, der sich im Zeitalter der internationalen Vernetzung zu einem umfassenden Datenaustausch entwickelt hat. Nicht nur die Zahl der Kommunikationsvorgänge hat rapide zugenommen, sondern auch die Qualität und Sensibilität der ausgetauschten Informationen. Kaum ein Lebensbereich, von der Versorgung mit Nachrichten über die Erledigung von Bank- und sonstigen Geschäften, über die Telemedizin bis hin zur Eheanbahnung und zur Erbringung von Arbeitsleistungen in Form von Telearbeit, der nicht "online" erledigt werden könnte. Die virtuelle Netzwelt wird immer mehr Abbild und Ersatz der realen Welt. Die Politik fördert diese Entwicklung nach Kräften, getrieben von der Angst, anderenfalls könnte der wirtschaftliche oder welcher Anschluß auch immer verpaßt werden. Schulen, Universitäten, Banken, Krankenhäuser, Verwaltungsbehörden, eben praktisch alle sollen so schnell wie möglich "ans Netz".

Gemeint ist in aller Regel das Internet, ein liebenswürdig-chaotisches Gebilde, das vieles bietet, nur eines nicht: Sicherheit und Vertraulichkeit. Im Gegensatz zur realen Welt gibt es im Internet kaum eine anonyme Transaktion. Auch sensibelste Daten werden, nicht anders als Belangloses und Banales, offen verbreitet, wenn nicht besondere Sicherheitsvorkehrungen getroffen werden. Da im Zuge der Privatisierung der Telekommunikation der Staat sein Post- und Fernmeldemonopol verloren hat, können Sicherheit und Wahrung der Vertraulichkeit gegenüber den vielen neuen Telekommunikationsanbietern auch nicht einfach per Gesetz und Verordnung durchgesetzt werden. Dies um so weniger, als Datennetze international sind und sich dem Zugriff nationaler Gesetzgebung weitgehend entziehen.

Die klassische Konstellation des Artikels 10 Grundgesetz, wonach die Post als Sachwalter der Bürger vor der Neugier anderer staatlicher Stellen zu schützen ist, existiert nicht mehr. Auch die privatrechtlich vermittelte Telekommunikation bedarf weiterhin des Schutzes gegen staatliche Abhörwünsche. Artikel 10 Grundgesetz ist als Abwehrgrundrecht gegen staatliche Eingriffe in das Fernmeldegeheimnis also keineswegs überflüssig geworden.

Damit sind die Bürger aber nicht ausreichend geschützt, denn es bleiben die Eingriffsmöglichkeiten der privaten Telekommunikationsbetreiber selbst und die unbefugter Dritter, seien es Hacker oder fremde Geheimdienste. Die Gesetzgebung hat zwar die Telekommunikationsanbieter zur Wahrung des Fernmeldegeheimnisses gesetzlich verpflichtet und nach wie vor ist das unbefugte Abhören des Fernmeldeverkehrs strafbar; das genügt aber für den Schutz der Bürger nicht. Schon die Internationalität der Datenströme zeigt die Begrenztheit derartiger Verbotsnormen. Welcher ausländische Geheimdienst, welche international organisierte Verbrecherbande, welcher Hacker in - sagen wir Neuseeland - wird sich von einem deutschen Abhörverbot beeindrucken lassen?

Die Veränderungen in der Telekommunikation verlangen erweiterte Schutzgarantien für das Brief-, Post- und Fernmeldegeheimnis. Die bloße Abwehr staatlicher Eingriffe genügt nicht mehr. Vielmehr müssen ergänzend staatliche Maßnahmen zum Schutz der in Artikel 10 Grundgesetz aufgeführten Geheimnisse gegen neugierige Dritte hinzutreten. Notwendig sind nicht nur Ge- und Verbote, sondern wirksame technische Vorkehrungen. Eine davon ist die effektive Verschlüsselung von Daten, die in offenen Netzen übertragen werden. In Deutschland ist die Verschlüsselung bislang gesetzlich nicht eingeschränkt (vgl. Tz. 7.4). In der Praxis wird von ihr allerdings noch wenig Gebrauch gemacht. Sie erscheint kompliziert und als lästige Zusatzaufwendung. Wegen der andauernden Kryptodebatte (vgl. Tz. 7.7) haftet ihr der Geruch einer unlautere Machenschaften vortäuschenden Maßnahme an. Im Ergebnis ist jedenfalls der Datenverkehr im Internet zum größten Teil gegen unbefugtes Mitlesen, Kopieren, Verändern oder Löschen nicht gesichert. Der E-Mail-Verkehr gleicht der traditionellen Post, nur leider ohne Briefumschlag.

Da Artikel 10 nach der Rechtsprechung des Bundesverfassungsgerichts nicht nur ein Abwehrgrundrecht ist, sondern ein objektives Ordnungsprinzip enthält, muß sich die staatliche Verpflichtung zur Grundrechtsgewährung vom bloßen Unterlassen von Eingriffen hin zu Beratungs- und Unterstützungspflichten gegenüber den Bürgern weiterentwickeln, damit diese sich selbst wirksam schützen können. Denkbar ist beispielsweise das staatliche Werben für starke Verschlüsselungsverfahren und die Bereitstellung von Servicefunktionen für die Verschlüsselung in der täglichen Praxis.

Bislang mußte man allerdings im Gegenteil befürchten, daß sogar das Recht auf Verschlüsselung zugunsten der staatlichen Sicherheitsbehörden eingeschränkt würde. Die Politik der Bundesregierung war in den vergangenen Jahren einseitig darauf ausgerichtet, im Zuge der Privatisierung der Telekommunikation auf keinen Fall Einbußen bei den staatlichen Abhörmöglichkeiten zuzulassen (vgl. Tz. 7.8). Die erklärte Absicht, nur ja keine "abhörfreien Räume" in der Telekommunikation entstehen zu lassen, führte zu einer kontinuierlichen Ausweitung der staatlichen Abhör- und Überwachungsmöglichkeiten bis hin zu grotesken Exzessen. Würden beispielsweise die in dem letzten Entwurf der Telekommunikationsüberwachungs-Verordnung vorgesehenen Verpflichtungen für alle Provider, Vorsorge für etwaige staatliche Überwachungswünsche zu treffen, tatsächlich realisiert, wären nach Schätzungen der Betroffenen Investitionen von über 40 Milliarden DM erforderlich, für die letztlich über Leistungsentgelte am Ende die Kunden, also die Überwachten selbst, aufzukommen hätten.

Die durch die Proteste der Telekommunikationsanbieter gegen den Verordnungsentwurf erzwungene Atempause sollte genutzt werden, um die einseitige Ausrichtung der staatlichen Telekommunikationspolitik in Deutschland auf Überwachung und Kontrolle zu beenden und statt dessen den legitimen und grundrechtlich geschützten Anspruch der Bürgerinnen und Bürger auf unbeobachtbare Kommunikation wieder in den Mittelpunkt zu rücken. Noch fehlt der Politik in Deutschland offenbar das Gespür für die überragende Bedeutung geschützter Telekommunikation unter den Bedingungen der neuen Informationsgesellschaft. Ein Abrücken von den Gedankenspielen über Möglichkeiten zur Einschränkung der Verschlüsselungsfreiheit allein genügt nicht. Notwendig sind vielmehr aktive Schritte zur Verbesserung des Schutzes der Privatsphäre in Netzen wie z. B.

• aktive Förderung der Verschlüsselung durch Privatpersonen und Wirtschaftsunternehmen;

• Erbringung von Serviceleistungen, die den Gebrauch von effektiven Verschlüsselungsprogrammen für jedermann erleichtern;

• Maßnahmen zum besonderen Schutz der Telekommunikation von Berufsgruppen, die besonderen Verschwiegenheitspflichten unterliegen wie Ärzten, Anwälten, Psychologen usw.;

• Unterstützung von Wirtschaftsunternehmen beim Schutz ihrer Betriebsgeheimnisse gegen Abhörversuche ausländischer Geheimdienste;

• Förderung von Projekten, die den Bürgerinnen und Bürgern das anonyme Surfen im Internet ermöglichen;

• Verbot von Geräten und Systemen, die ausschließlich zum unbefugten Abhören fremder Telekommunikation bestimmt sind;

• konsequente Anwendung der Bestimmungen zum Schutz des Fernmeldegeheimnisses und Verbesserung der Telekommunikationsgesetze.

2.2

Frist für die Umsetzung der Europäischen Datenschutzrichtlinie verpaßt

Am 24. Oktober 1995 wurde die "Richtlinie der Europäischen Union zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr" im Amtsblatt der Europäischen Gemeinschaften verkündet. Die Mitgliedstaaten hatten drei Jahre Zeit, ihr Datenschutzrecht an die Richtlinie anzupassen. Weder im Bund noch in den Ländern (außer Hessen und Brandenburg) wurde es aber bislang novelliert. Auch Schleswig-Holstein hat die Frist nicht eingehalten. Nunmehr sind Sanktionen der Europäischen Union nicht ausgeschlossen. Außerdem stellt sich die Frage, welche Teile der Richtlinie unmittelbare Geltung haben. Da insoweit auch Europarechtsexperten uneins sind, wächst die Verunsicherung darüber, in welchem Umfang das geltende Landesdatenschutzgesetz von unmittelbar anwendbaren Bestimmungen der Richtlinie überlagert wird.

Daß die Umsetzung der Richtlinie in drei Jahren nicht bewältigt werden konnte, kann nicht nachdrücklich genug kritisiert werden, zumal der "Rat für Forschung, Technologie und Innovation der Bundesregierung" bereits im Dezember 1996 in seinen Empfehlungen unmißverständlich klargestellt hatte, daß ein "konsequenter Datenschutz" zu den zentralen Akzeptanzvoraussetzungen der Informationsgesellschaft zählt. Offenbar mißt die Politik, wenn es um die Schaffung der Informationsgesellschaft geht, mit zweierlei Maß: Wenn die technische Infrastruktur zur Debatte steht, überschlägt sich das Vokabular geradezu mit Beschleunigungsfloskeln. Alles muß so schnell wie möglich ans Netz, kein Anschluß darf verpaßt werden, es gilt, keine Zeit gegenüber der Konkurrenz in Übersee zu verlieren, alle müssen schleunigst fit gemacht werden für die Informationsgesellschaft usw. Geht es um die notwendige soziale und rechtliche Infrastruktur, macht sich eine merkwürdige Zurückhaltung breit. Die Gesetzgebung kommt jahrelang nicht voran. Die Debatte über die datenschutzrechtliche Begleitmusik zur Informationsgesellschaft wird hinhaltend und ohne Schwung geführt.

Dabei wurden in Deutschland schon Erfahrungen mit anderen Großtechnologien gemacht, die ohne die Akzeptanz der Menschen auf Dauer keine Chancen haben. Zwar erwarten sich viele Nutzer von den Computern Hilfe und Erleichterung und wissen sie als willkommene Freizeitbeschäftigung zu schätzen. Aber wenn es ums Geld geht, beim E-Commerce über Internet beispielsweise, zeigen sie eine von großer Skepsis getragene Zurückhaltung. Die tatsächlichen Nutzerzahlen in diesem Bereich bleiben weit hinter den hochgesteckten Erwartungen und den Hochglanzgrafiken zurück. Aus Umfragen in der Europäischen Union und in Amerika kennen wir den Grund: Die Menschen haben kein Vertrauen in die Sicherheit des Internets. Sie befürchten die Ausspähung ihrer Privatsphäre und im schlimmsten Fall auch Opfer von Straftaten zu werden. Offenbar ist es ein Fehler zu glauben, die Nutzer würden im Internet geldrelevante Transaktionen genauso unbefangen vornehmen wie das Absurfen von Informationen oder das Chatten über Gott und die Welt.

Das Versäumen der Frist zur Umsetzung der EU-Richtlinie zeigt einmal mehr, daß die Politik selbst bei ihren Vorbereitungen auf die Informationsgesellschaft und insbesondere bei der Gestaltung der sozialen und rechtlichen Rahmenbedingungen beileibe noch nicht so "fit" ist, wie sie dies von anderen erwartet.