4.1.4 Bewertung

Im Hinblick auf den formulierten Grundsatz, dass Vertrauen der Nutzer in digitale Kommunikation in erster Linie dadurch hergestellt werden sollte, dass übermittelte sensible Daten geschützt werden, lassen sich aus den vorangegangenen Ausführungen die folgenden Schlüsse ziehen: Zunächst einmal zeigen die umfangreichen rechtlichen Rahmenbedingungen, dass die Sicherheit von und das Vertrauen in Kommunikationsmittel, die für (u. a.) sensible Kommunikationsvorgänge genutzt werden, bedeutend sind. Dies ist vom Gesetzgeber entsprechend auch so erkannt worden. Die von ihm geschaffenen gesetzlichen Grundlagen sind heterogen und über eine Vielzahl an Einzelgesetzen verstreut, davon abgesehen aber grundsätzlich als geeignet anzusehen, Sicherheit zu schaffen und damit Vertrauen zu stärken. Die genannten Gesetze, die verschiedene Aspekte der Sicherheit adressieren, machen eine Reihe von Vorgaben, die öffentliche Stellen und Unternehmen immer dann umzusetzen haben, wenn sie mit persönlichen Informationen von Nutzern umgehen. Zentral ist dabei das Gebot, Verschlüsselungsverfahren zur Sicherung der Inhalte selbst einzusetzen. Allerdings geht diese Pflicht ausdrücklich nur so weit, wie sie auch als verhältnismäßig zu bewerten ist. Sobald die Implementierung einer bestimmten Verschlüsselungstechnologie mit einem unangemessenen Kostenaufwand verbunden ist, ist die datenverarbeitende Stelle dem Gesetz nach nicht gezwungen, diese auch einzusetzen. Darüber hinaus macht der rechtliche Rahmen bewusst keine Vorgaben dahingehend, welche Art von Verschlüsselung zum Einsatz kommen soll. Den Behörden und Unternehmen verbleibt also stets ein erheblicher Spielraum, um die Sicherungsmaßnahmen den individuellen betrieblichen Umständen bzw. der jeweiligen Kommunikationssituation anzupassen. Vorgeschrieben ist damit lediglich, dass Kommunikation mit sensiblen Inhalten generell zu sichern ist. Dieser Vorgabe genügen im Grundsatz Sicherungsmaßnahmen jeder Art, also nicht nur Verschlüsselung, sondern auch beispielsweise Passwortschutz, Zwei-Faktor-Anmeldung sowie, im Bedarfsfall, das Vorsehen digitaler Signaturen. Daneben sind organisatorische Vorkehrungen zu treffen, anhand derer die technischen umgesetzt und überprüft werden.

Die angeführten Beispiele haben gezeigt, dass die meisten Anbieter sich innerhalb dieses Spielraums nicht dafür entscheiden, die Maßnahmen mit dem höchsten Sicherheitsniveau einzusetzen. Die Gründe hierfür werden unterschiedlich sein. Bei manchen Dienstleistern ist der Grund vermutlich darin zu suchen, dass eine vollständige Ende-zu-Ende- Verschlüsselung mit den Geschäftsinteressen des Unternehmens in Konflikt stehen würde, die darin bestehen, E-Mails zum Zwecke der zielgerichteten Werbung zu scannen.1 Doch selbst De-Mail-Dienste sowie der E-Postbrief der Deutschen Post, deren zentrales Geschäftsmodell gerade das hohe Datensicherheitsniveau darstellt, setzen nicht oder jedenfalls nicht standardmäßig auf die höchste erreichbare Sicherheitsstufe. Das liegt nicht zuletzt daran, dass ein höheres Verschlüsselungsniveau noch immer eine längere Verarbeitungszeit bedeutet und vor allem mit erheblich größerem Aufwand für die Kommunizierenden verbunden ist. Zudem kann es schwierig sein, bestimmte Funktionen im Rahmen einer Ende-zu-Ende- Verschlüsselung abzubilden.

Einem allgemein hohen Sicherheitsniveau in der digitalen Individualkommunikation abträglich ist zudem das Nutzerverhalten, das in gewisser Hinsicht paradox ist. Zwar äußern viele Nutzer Bedenken, wenn nach der Vertrauenswürdigkeit digitaler Kommunikation gefragt wird, was unter anderem auf die verschiedenen Datenschutzskandale der vergangenen Jahre zurückzuführen ist.2 Auffällig ist jedoch, dass der Großteil der Nutzer trotz dieses Bewusstseins um staatliche Überwachungstätigkeiten und kompromittierende Handlungen durch Kriminelle sich nicht selbst darum bemüht, Dienste zu nutzen, die eine höhere Sicherheit gewährleisten.3 Auch hierfür gibt es eine Vielzahl von Gründen. So scheint es vielen Nutzern einerseits trotz der genannten Bedenken geradezu gleichgültig zu sein, ob ihre Daten von unbefugten Dritten abgefangen und eingesehen werden.4 Andererseits ist vielen die Einrichtung sicherer Technologien entweder zu aufwendig, oder sie wissen schlicht gar nicht, dass und wie sie selbst – etwa durch Nutzung technisch besser abgesicherter Systeme als unverschlüsselter E-Mails – für die Sicherheit ihrer Kommunikation sorgen können.((Vgl. die Umfrage der Convios Consulting, S. 7.))

Ein wesentlicher Aspekt, der die Nutzer von der Verwendung von Kommunikationsdiensten mit einem höheren Sicherheitsniveau abhält, wird zudem darin liegen, dass mehr Sicherheit zumeist mehr Aufwand und weniger Nutzerfreundlichkeit bedeutet. Dieser Aspekt spiegelt auf Nutzerseite das Problem der Anbieter wider: Sichere Verschlüsselungstechnologien sind nicht nur schwierig zu implementieren, sondern bislang oft auch nur umständlich zu nutzen, was viele potenzielle Nutzer, zumal, wenn sie technisch weniger versiert sind, abschreckt. Solche Schwierigkeiten bestehen nicht nur bei verschlüsselter Kommunikation. Auch die Nutzung einer optionalen Zwei-Faktor-Anmeldung oder das Merken komplexer Passwörter vergrößern den Aufwand für die Kommunikation. Da Nutzerfreundlichkeit und einfache Bedienung gerade in der Individualkommunikation mit Endnutzern stets gegen die Sicherheit streiten werden, liegt in diesen Faktoren eine weitere ganz wesentliche Anforderung, um digitale Kommunikation letztlich sicherer zu machen und das Vertrauen hierin nachhaltig zu steigern.

  1. Dies war bislang Teil des Geschäftsmodells von Googles E-Mail-Dienst Gmail. Allerdings kündigte das Unternehmen im Juni 2017 an, von dieser Praxis künftig Abstand zu nehmen, vgl. Mark Bergen, Google Will Stop Reading Your Emails for Gmail Ads, Bloomberg, 23. Juni 2017, https://www.bloomberg.com/news/articles/2017-06-23/google-will-stop-reading-your-emails-for-gmail-ads; Anfang 2017 war zudem die Möglichkeit veröffentlicht worden, PGP bei Gmail einzusetzen, vgl. Fabian A. Scherschel, E2EMail: Google veröffentlicht PGP für GMail als Open-Source-Projekt, Heise Online, 28. Februar 2017, https://www.heise.de/security/meldung/E2EMail-Google-veroeffentlicht-PGP-fuer-GMail-als-Open-Source-Projekt-3638073.html. []
  2. Nur 4,4 Prozent der Befragten einer repräsentativen Umfrage von Convios Consulting gehen davon aus, dass ihre E-Mails nicht von Hackern, Geheimdiensten oder ihrem E-Mail-Provider mitgelesen werden, siehe Thomas Heuzeroth, Misstrauen gegen Amerikaner nutzt Web.de und T-Online, Welt Online, 21. Mai 2017, https://www.welt.de/wirtschaft/webwelt/article164778604/Misstrauen-gegen-Amerikaner-nutzt-Web-de-und-T-Online.html. []
  3. So nutzten im März 2017 nur 16,1 Prozent der Deutschen E-Mail-Dienste mit Verschlüsselung, siehe Convios Consulting, Datenschutz und Verschlüsselung, Repräsentative Umfrage im Auftrag von Web.de und GMX, März 2017, S. 8, https://www.slideshare.net/WEBDE_DEUTSCHLAND/der-trumpeffekt-das-digitale-misstrauen-wchst. []
  4. Vgl. Patrick Bernau, Daten gehackt? Mir doch egal!, Fazit – das Wirtschaftsblog, 10. September 2015, http://blogs.faz.net/fazit/2015/09/10/experiment-zudatenschutz-und-datensicherheit-6470/; das dort zitierte Experiment zeigte jedoch auch, dass Nutzer empfindlicher auf Datenschutzverstöße reagierten, je sensibler die Daten waren. []