Helmpflicht für das Internet?
Vor kurzem hat der Bundesgerichtshof entschieden, dass Radfahrer bei unverschuldeten Unfällen auch dann einen vollen Anspruch auf Schadenersatz haben, wenn sie ohne Helm unterwegs waren. Die Diskussion über die Einführung einer Helmpflicht für Fahrradfahrer ist damit zunächst vom Tisch. Dafür wird derzeit über den Vorschlag diskutiert, eine Verschlüsselungspflicht im Internet einzuführen. In einem Interview plädieren die für den Verbraucherschutz zuständigen Staatssekretäre im Bundesministerium der Justiz und für Verbraucherschutz, Ulrich Kelber und Gerd Billen dafür:
„iRights.info: Sollte man überlegen, ob man E-Mail-Anbieter dazu verpflichtet, als Standardeinstellung eine Ende-zu-Ende-Verschlüsselung anzubieten? Oder greift das zu sehr in die Autonomie der Unternehmen ein?
Ulrich Kelber: Das ist einer unserer Vorschläge für die europäische Datenschutz-Grundverordnung. Das läuft unter dem Stichwort Datenschutz oder privacy by design. Der Anbieter muss als Voreinstellung eine nach dem Stand der Technik sichere Variante anbieten – die der wissende Kunde, wenn er möchte, für sich unsicherer machen kann. Das hat bei WLAN-Routern funktioniert: Alle Router, die verkauft werden, müssen ein voreingestelltes sicheres Passwort und Verschlüsselung haben. Das kann ein zusätzliches Geschäftsfeld für Anbieter sein, das durchaus lukrativ ist und mit dem sie werben könnten.
Gerd Billen: Der Sicherheitsgurt bei Autos ist auch einmal vorgeschrieben worden. Das hat wunderbar gewirkt, die Zahl der Toten und Verletzten ist zurückgegangen. Bei elementaren Fragen von Sicherheit muss man schauen, was schreibt man vor. Wenn wir vorschreiben, dass wir in neuen Wohnungen überall Feuermelder haben müssen, dann kann man auch mit gutem Recht rechtfertigen, dass bei einem alltäglich genutzten Dienst wie E-Mail eine Verschlüsselung grundlegend ist.“
Die Initiative aus dem Justiz- und Verbraucherschutzministerium stößt auf Widerspruch, etwa bei dem Bundesminister des Inneren Thomas de Maizière, der unter Bezugnahme auf die geringe Bereitschaft von Betroffenen, ihre Daten zu verschlüsseln, in einer Rede am 23. Juni in Berlin ausführt:
„Hier muss sich etwas ändern! Aber das können und wollen wir nicht staatlich verordnen. Hier setzen wir – nicht zuletzt auch aus grundsätzlichen ordnungspolitischen Erwägungen heraus – auf die Selbstorganisation von Wirtschaft und Gesellschaft im Sinne einer Hilfe zur Selbsthilfe.“
Offenbar besteht auch in der Frage der Datenverschlüsselung die aus anderen Bereichen bekannte Gefechtslinie zwischen den Befürwortern einer Regulierung und dem Ansatz der freiwilligen Selbstregulierung. Allerdings ist in den letzten Jahren überdeutlich geworden, dass die Erwartung, allein durch Selbstorganisation und Selbstregulierung der Wirtschaft gesetzliche Regelungen zum Datenschutz und zur Datensicherheit entbehrlich zu machen, eine Illusion ist: Der Datenschutzkodex für Geodatendienste, der im Anschluss an die Diskussion über Google Street View nach mehreren Jahren endlich ins Werk gesetzt wurde, bleibt hinter den Zusagen zurück, die Google der zuständigen Hamburger Datenschutzbehörde gegeben hatte – und seine praktische Bedeutung ist gering. Der Ansatz zur Selbstregulierung sozialer Netzwerke ist völlig gescheitert. Warum sollte es bei der Datenverschlüsselung anders laufen? Schon jetzt zeigt sich etwa, dass Unternehmen, deren Geschäftsmodelle auf der Auswertung der Meta- und Inhaltsdaten der Nutzer basieren, an einer umfassenden Verschlüsselung nicht interessiert sind.
Bei dem aus dem Justiz- und Verbraucherschutzministerium angekündigten Vorschlag geht es – anders als bei der Helmpflicht – nicht um eine Bevormundung des Nutzers, sondern um eine Gewährleistungspflicht der Anbieter von elektronischen Kommunikationsdiensten. Eine zentrale Erkenntnis aus den Snowden-Veröffentlichungen darf nicht in Vergessenheit geraten: Nur öffentlich dokumentierte, sauber implementierte und sorgfältig eingesetzte Verschlüsselungsverfahren machen es Lauschern und Überwachern schwer bis unmöglich, die übertragenen Daten mitzulesen. Verschlüsselung bleibt also das Mittel der Wahl, um vertrauliche Daten zu schützen – wenn der Rahmen stimmt.
Wer heutzutage E-Mail- und sonstige Telekommunikationsdienste anbietet, muss den aktuellen und absehbaren Gefahren für die Vertraulichkeit und Integrität der Informationen Rechnung tragen. Auf die exzessiven Praktiken zur umfassenden Registrierung und Auswertung der Kommunikation – sowohl der Inhalte als auch der Metadaten – muss mit verbessertem Schutz geantwortet werden. Für dessen Gewährleistung sind in erster Linie diejenigen verantwortlich, die entsprechende Dienste anbieten. Der Rahmen für derartige Angebote muss allerdings für sämtliche Anbieter gleich sein („level playing field“) und die Nutzer müssen sich darauf verlassen können, dass Ihre Daten nicht abgehört, kopiert oder zu Profilen zusammengefasst werden.
Die Ende-zu-Ende Verschlüsselung muss dabei flankiert werden durch eine sichere Verbindungsverschlüsselung. Während die Verbindungsverschlüsselung das Auslesen der Metadaten (insbesondere wer mit wem kommuniziert) durch Dritte verhindert, sichert die Ende-zu-Ende Versicherung die Kommunikationsinhalte. Nur wenn beides gewährleistet ist, kann man von einem zeitgemäßen Schutz der elektronischen Kommunikation reden. Der Staat hat – darauf hat das Bundesverfassungsgericht wiederholt hingewiesen – einen Schutzauftrag gegenüber den Bürgerinnen und Bürgern. Diesem Schutzauftrag entspricht es, die gesetzlichen Rahmenbedingungen an den Stand der Technik anzupassen. Vorgaben zur Datenverschlüsselung sind deshalb dringend erforderlich – möglichst auch auf europäischer Ebene.
Allerdings kann eine solche gesetzliche Regelung nicht jedes Detail festlegen. Vieles spricht dafür, die konkreten Vorgaben und Standards mittels Selbstregulierung zu definieren. Regulierung und Selbstregulierung könnten sich auf diese Weise sinnvoll ergänzen.
Unabhängig von Regelungen – welcher Art auch immer – sollten Unternehmen und Nutzer nicht untätig bleiben und die bestehenden Ansätze für einen verbesserten Schutz der Kommunikation einsetzen und ausbauen.
Ihr
Peter Schaar