Interview mit Giovanni Buttarelli: „Wir dürfen nicht alle Menschen zu Verdächtigen machen“

Wann ist digitale Kommunikation vertrauenswürdig? Warum brauchen wir Vertrauen in der digitalen Kommunikation?

Giovanni Buttarelli: Da gibt es zunächst unsere gesetzlichen Regeln. Das Brief- und Postgeheimnis gehört zu den wesentlichen Grundrechten – von der Allgemeinen Erklärung der Menschenrechte der UN über die Europäische Menschenrechtskonvention bis zu den Verfassungen der einzelnen EU-Mitgliedsstaaten. Das Recht auf vertrauliche digitale Kommunikation ist das Äquivalent des traditionellen Briefgeheimnisses.

Aber auch außerhalb des Gesetzes ist die Vertraulichkeit von Kommunikation für das Funktionieren moderner Gesellschaften und Volkswirtschaften wesentlich. Wir müssen uns darauf verlassen können, dass Mitteilungen an die vorgesehenen Empfänger ausgeliefert werden; dass sie unterwegs nicht für andere Zwecke verwendet werden; dass sie nicht an Dritte weitergegeben werden; dass der Inhalt unverändert bleibt und dass die Nachrichten weitergeleitet und die Lieferung nicht verzögert wird. Ohne solche Zusicherungen könnten viele private und geschäftliche Aktivitäten nur von Angesicht zu Angesicht geführt werden.

Denken Sie, dass in Anbetracht der Datenlecks und Enthüllungen über die Massenüberwachung der Geheimdienste in den vergangenen Jahren die gesetzlichen Schutzmaßnahmen ausreichend sind?

GB: Ich glaube, dass die Erwartungen der Bürgerinnen und Bürger zur Datensicherheit zu hoch sind und wir noch viel in Bezug auf Transparenz und Kontrolle tun müssen. Wir befinden uns im Augenblick mitten in der sogenannten vierten industriellen Revolution. Daten werden maschinell zwischen unterschiedlichen Teilnehmern transportiert, als Benutzer verwalten wir unser ganzes Leben mit dem Smartphone, wir bewegen uns von einer Sekunde zur anderen von einer Plattform auf die nächste. Überall hinterlassen wir Datenspuren. Wer was damit macht und wer was über mich weiß, ist dabei den Menschen nicht klar.

Ursprünglich bedeutete Vertraulichkeit der Kommunikation, vorsätzliche Eingriffe und den rechtswidrigen Zugang durch Dritte zu ahnden – dazu gehören auch, aber nicht nur, die Strafverfolgungsbehörden. So ist es immer noch in vielen Mitgliedsstaaten. Aber heute ist Vertraulichkeit der Kommunikation anderer Natur. Wenn Sie im Netz unterwegs sind, fallen automatisch Daten an – niemand muss sich Zugriff verschaffen. Das bedeutet, Sie müssen besser darüber informiert sein, was mit Ihren Daten geschieht. Was sind die Bedingungen für die Nutzung eines Services, eines Sozialen Netzwerks oder eines Messengers? In der Praxis wissen das die wenigsten Menschen.

Nehmen wir WhatsApp als Beispiel: Die App wird von Millionen von Menschen verwendet. Sie ist auf den ersten Blick kostenlos, aber in Wirklichkeit bezahlen Sie mit Ihren Daten, die viel wichtiger sind als Geld. Dadurch kann der Anbieter Profile erstellen, er kann vorhersagen, was Sie tun und was Sie kaufen, relevante Werbung einblenden, die Aktivitäten vorhersagen. Dadurch verwandelt sich der Nutzer in eine Quelle wichtiger Informationen.

Was können die EU und die Justiz im Allgemeinen tun, um das Vertrauen der Nutzer in die Kommunikation zu erhöhen?

GB: Wir müssen uns bemühen, die kommende Datenschutzrichtlinie der EU vollständig umzusetzen. Damit einher geht die E-Privacy- Richtlinie, die die Integrität und Sicherheit von Datensystemen und Netzwerken erhöhen soll. Außerdem brauchen wir einen neuen Ansatz dafür, Sicherheitsverletzungen von Computersystemen zu erkennen. Zu wissen, was in Netzwerken passiert, ist der Schlüssel, um ihre Zuverlässigkeit zu erhöhen. Systeme und Daten können nie vollständig sicher sein, wir können auf jeden Fall mehr zur Prävention tun.

Dazu gehört auch, die Arbeit der Strafverfolgungsbehörden zu regeln. Die Idee, privatwirtschaftliche Service-Provider zu zwingen, Daten auf Vorrat zu speichern, weil sie möglicherweise irgendwann in der Zukunft von den Strafverfolgungsbehörden verwendet werden könnten, steht im Widerspruch zu den Grundsätzen der Menschenrechtscharta und des Vertrags von Lissabon. Wir dürfen nicht alle Menschen zu Verdächtigen machen. Deshalb brauchen wir einen rechtlichen Rahmen, der regelt, wann Menschen gezielt und berechtigt überwacht werden können.

Aus diesem Grund ist der Ansatz einiger Mitgliedsstaaten, weiterhin Vorratsdatenspeicherung zu betreiben, umstritten. 2014 hat der Europäische Gerichtshof entschieden, dass die allgemeine und anlasslose Vorratsdatenspeicherung unzulässig ist. Das Urteil ist auch für die einzelstaatlichen Gesetzesregelungen relevant.

Es gibt technische Lösungen, um die Vertraulichkeit der Kommunikation zu sichern, zum Beispiel Verschlüsselung. Sollte die EU so etwas stärker unterstützen?

GB: Die Debatte wird oft fälschlicherweise darauf reduziert, dass mehr Privatsphäre der Sicherheit entgegensteht. Das ist aber faktisch nicht so. Die neue Datenschutzrichtlinie verbietet es ausdrücklich, in der digitalen Kommunikationskette eine Soft- oder Hardware-Hintertür einzubauen, die es Dritten erlaubt, Zugang zur Kommunikation zu erlangen. Das betrifft sowohl die Anbieter von Verschlüsselungssoftware, die Service-Provider, die Betriebssystem-Betreiber und so weiter. Nutzer müssen ihre Kommunikation ohne Einschränkungen schützen können. Wir sind der Auffassung, dass die Entschlüsselung, das Reverse Engineering oder die Überwachung der durch Verschlüsselung geschützten Kommunikation verboten ist. Das ist auch der Standpunkt aller nationalen Datenschutzbehörden. Die Nutzung von Ende-zu-Ende- Verschlüsselung sollte nach dem Prinzip von Privacy by Design erfolgen.

Es ist technisch unmöglich, eine solche Hintertür oder Verschlüsselung so zu konstruieren, dass nur die Strafverfolgungsbehörden dazu Zugang haben. Jeder Kriminelle, jeder Terrorist – also diejenigen, die die Ziele der Maßnahmen sind – können diese Sicherheitslücken für ihre Zwecke missbrauchen. Das Einzige, was durch solche Hintertüren erreicht wird, ist, dass unsere Geräte unsicherer werden. Solche Überwachungsmaßnahmen gefährden selbst die Sicherheit unserer Daten und die kritischen Infrastrukturen vieler Mitgliedsstaaten. Deshalb dürfen wir die Datensicherheit nicht schwächen, nur um in einigen Fällen mehr Überwachung zuzulassen.

Giovanni Buttarelli

Foto: EDPS

Giovanni Buttarelli

Giovanni Buttarelli (geb. 1957) ist seit Dezember 2014 der Europäische Datenschutzbeauftragte. Er wurde auf gemeinsamen Beschluss des Europäischen Parlaments und des Europäischen Rats für fünf Jahre eingesetzt. Zuvor war er von 2009 bis 2014 bereits stellvertretender Europäischer Datenschutzbeauftragter. Von 1997 bis 2009 arbeitete er als Generalsekretär der italienischen Datenschutzbehörde. Er ist Richter am obersten Gerichtshof in Italien und ist an zahlreichen Datenschutzinitiativen und -komitees auch auf internationalem Gebiet beteiligt.