Helmpflicht für das Internet?

Helmpflicht für das Internet?

Vor kurzem hat der Bundesgerichtshof entschieden, dass Radfahrer bei unverschuldeten Unfällen auch dann einen vollen Anspruch auf Schadenersatz haben, wenn sie ohne Helm unterwegs waren. Die Diskussion über die Einführung einer Helmpflicht für Fahrradfahrer ist damit zunächst vom Tisch. Dafür wird derzeit über den Vorschlag diskutiert, eine Verschlüsselungspflicht im Internet einzuführen. In einem Interview plädieren die für den Verbraucherschutz zuständigen Staatssekretäre im Bundesministerium der Justiz und für Verbraucherschutz, Ulrich Kelber und Gerd Billen dafür:

“iRights.info: Sollte man überlegen, ob man E-Mail-Anbieter dazu verpflichtet, als Standardeinstellung eine Ende-zu-Ende-Verschlüsselung anzubieten? Oder greift das zu sehr in die Autonomie der Unternehmen ein?

Ulrich Kelber: Das ist einer unserer Vorschläge für die europäische Datenschutz-Grundverordnung. Das läuft unter dem Stichwort Datenschutz oder privacy by design. Der Anbieter muss als Voreinstellung eine nach dem Stand der Technik sichere Variante anbieten – die der wissende Kunde, wenn er möchte, für sich unsicherer machen kann. Das hat bei WLAN-Routern funktioniert: Alle Router, die verkauft werden, müssen ein voreingestelltes sicheres Passwort und Verschlüsselung haben. Das kann ein zusätzliches Geschäftsfeld für Anbieter sein, das durchaus lukrativ ist und mit dem sie werben könnten.
Gerd Billen: Der Sicherheitsgurt bei Autos ist auch einmal vorgeschrieben worden. Das hat wunderbar gewirkt, die Zahl der Toten und Verletzten ist zurückgegangen. Bei elementaren Fragen von Sicherheit muss man schauen, was schreibt man vor. Wenn wir vorschreiben, dass wir in neuen Wohnungen überall Feuermelder haben müssen, dann kann man auch mit gutem Recht rechtfertigen, dass bei einem alltäglich genutzten Dienst wie E-Mail eine Verschlüsselung grundlegend ist.”

Die Initiative aus dem Justiz- und Verbraucherschutzministerium stößt auf Widerspruch, etwa bei dem Bundesminister des Inneren Thomas de Maizière, der unter Bezugnahme auf die geringe Bereitschaft von Betroffenen, ihre Daten zu verschlüsseln, in einer Rede am 23. Juni in Berlin ausführt:

“Hier muss sich etwas ändern! Aber das können und wollen wir nicht staatlich verordnen. Hier setzen wir – nicht zuletzt auch aus grundsätzlichen ordnungspolitischen Erwägungen heraus – auf die Selbstorganisation von Wirtschaft und Gesellschaft im Sinne einer Hilfe zur Selbsthilfe.”

Offenbar besteht auch in der Frage der Datenverschlüsselung die aus anderen Bereichen bekannte Gefechtslinie zwischen den Befürwortern einer Regulierung und dem Ansatz der freiwilligen Selbstregulierung. Allerdings ist in den letzten Jahren überdeutlich geworden, dass die Erwartung, allein durch Selbstorganisation und Selbstregulierung der Wirtschaft gesetzliche Regelungen zum Datenschutz und zur Datensicherheit entbehrlich zu machen, eine Illusion ist: Der Datenschutzkodex für Geodatendienste, der im Anschluss an die Diskussion über Google Street View nach mehreren Jahren endlich ins Werk gesetzt wurde, bleibt hinter den Zusagen zurück, die Google der zuständigen Hamburger Datenschutzbehörde gegeben hatte – und seine praktische Bedeutung ist gering. Der Ansatz zur Selbstregulierung sozialer Netzwerke ist völlig gescheitert. Warum sollte es bei der Datenverschlüsselung anders laufen? Schon jetzt zeigt sich etwa, dass Unternehmen, deren Geschäftsmodelle auf der Auswertung der Meta- und Inhaltsdaten der Nutzer basieren, an einer umfassenden Verschlüsselung nicht interessiert sind.

Bei dem aus dem Justiz- und Verbraucherschutzministerium angekündigten Vorschlag geht es – anders als bei der Helmpflicht – nicht um eine Bevormundung des Nutzers, sondern um eine Gewährleistungspflicht der Anbieter von elektronischen Kommunikationsdiensten. Eine zentrale Erkenntnis aus den Snowden-Veröffentlichungen darf nicht in Vergessenheit geraten: Nur öffentlich dokumentierte, sauber implementierte und sorgfältig eingesetzte Verschlüsselungsverfahren machen es Lauschern und Überwachern schwer bis unmöglich, die übertragenen Daten mitzulesen. Verschlüsselung bleibt also das Mittel der Wahl, um vertrauliche Daten zu schützen – wenn der Rahmen stimmt.

Wer heutzutage E-Mail- und sonstige Telekommunikationsdienste anbietet, muss den aktuellen und absehbaren Gefahren für die Vertraulichkeit und Integrität der Informationen Rechnung tragen. Auf die exzessiven Praktiken zur umfassenden Registrierung und Auswertung der Kommunikation – sowohl der Inhalte als auch der Metadaten  – muss mit verbessertem Schutz geantwortet werden. Für dessen Gewährleistung sind in erster Linie diejenigen verantwortlich, die entsprechende Dienste anbieten. Der Rahmen für derartige Angebote muss allerdings für sämtliche Anbieter gleich sein (“level playing field”) und die Nutzer müssen sich darauf verlassen können, dass Ihre Daten nicht abgehört, kopiert oder zu Profilen zusammengefasst werden.

Die Ende-zu-Ende Verschlüsselung muss dabei flankiert werden durch eine sichere Verbindungsverschlüsselung. Während die Verbindungsverschlüsselung das Auslesen der Metadaten  (insbesondere wer mit wem kommuniziert) durch Dritte verhindert, sichert die Ende-zu-Ende Versicherung die Kommunikationsinhalte. Nur wenn beides gewährleistet ist, kann man von einem zeitgemäßen Schutz der elektronischen Kommunikation reden. Der Staat hat – darauf  hat das Bundesverfassungsgericht wiederholt hingewiesen – einen Schutzauftrag gegenüber den Bürgerinnen und Bürgern. Diesem Schutzauftrag entspricht es, die gesetzlichen Rahmenbedingungen  an den Stand der Technik anzupassen. Vorgaben zur Datenverschlüsselung sind deshalb dringend erforderlich – möglichst auch auf europäischer Ebene.

Allerdings kann eine solche gesetzliche Regelung nicht jedes Detail festlegen. Vieles spricht dafür, die konkreten Vorgaben und Standards mittels Selbstregulierung zu definieren. Regulierung und Selbstregulierung könnten sich auf diese Weise sinnvoll ergänzen.

Unabhängig von Regelungen – welcher Art auch immer –  sollten Unternehmen und Nutzer nicht untätig bleiben und die bestehenden Ansätze für einen verbesserten Schutz der Kommunikation einsetzen und ausbauen.

Ihr
Peter Schaar

3 comments

  • Die Forderung nach Ende-zu-Ende Verschlüsselung plus Verbindungsverschlüsselung ist genau richtig. Logische Konsequenz ist dann aber auch die Festlegung der zu verwendenden Verfahren (i.e. PGP + TLS) und eine glasklare Ansage der Behörden, dass kommerzielle zero-knowledge Service Provider TKG-konform sind.

  • Michael Schwarz

    Der Grund für Ablehnung der Ende-zu-Ende-Verschlüsselung des Innenministers liegt sehr wahrscheinlich mit der De-Mail zusammen. Das Gesetz wurde nicht ohne Grund für die De-Mail angepasst.

    “Die Verschlüsselung der De-Mail sei unzureichend, sagen Kritiker. Statt der Technik will die Bundesregierung aber nur ihre Definition von “sicher” anpassen.”
    http://www.zeit.de/digital/datenschutz/2013-03/de-mail-sicher-bundesregierung/

  • Dirk

    “Die Ende-zu-Ende Verschlüsselung muss dabei flankiert werden durch eine sichere Verbindungsverschlüsselung. Während die Verbindungsverschlüsselung das Auslesen der Metadaten (insbesondere wer mit wem kommuniziert) durch Dritte verhindert, sichert die Ende-zu-Ende Versicherung die Kommunikationsinhalte. Nur wenn beides gewährleistet ist, kann man von einem zeitgemäßen Schutz der elektronischen Kommunikation reden.”

    Anmerkung:
    Ich verstehe diese Anforderung als ein “Qualitätsmerkmal” (Qualität = Anforderungen, die zu erfüllen sind), welches ich als Nutzer von IT-Technik als das Mindeste voraussetzen kann.
    Ein Auto wird auch nicht ohne Bremsen ausgeliefert, obwohl man es auch könnte…., aber man hat in der Lehrausbildung / Unität gelernt bekommen, dass man die Insassen irgendwie schützen sollte und Mittel und Werkzeuge in die Hand gegeben bekommen, den Schutz zu liefern.
    Die Mittel sind in der Informatik / Kybernetik… vorhanden, so dass diese *sichtbar* für jeden eingebaut werden können…

    Alles , was diese Grundeigenschaften nicht eingebaut bekam. kann nicht gekauft werden.

    Dadurch bleibt man bei der verschließbaren Briefpost, idealerweise durch Übersendung mittels privaten Botendienst.
    Es hat sich seit Jahrtausenden nichts geändert, den Siegelverwahrer, den gibt es heute immer noch. Und man weiß, warum das so ist. Privatheit muss erlebt werden können, damit man Privatheit wieder schätzen lernt.
    Momentan erleben wir (wir = damit meinte ich die Bürger dieses Landes, insbesondere in den Großstädten) Gegensätzliches: In der TRAM, S-Bahn, in den Zügen werden lauthals mitten in der “Öffentlichkeit” das innerste nach Außen getragen: man telefoniert derart lautstark in die Umgebung, das man sich über erzeugten Immissionswerte gedanken machen sollte…

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.