Donnerstag, 16. Januar 2014

Safe Harbor kündigen: it's a trap

In einigen Medien ist zu lesen, dass viele Politiker als Reaktion auf die NSA-Affäre fordern, den Safe Harbor-Entscheid mit den USA zurückzunehmen. Die Reaktion in den Sozialen Netzwerken ist dazu tendenziell bestätigend.
Diese Reaktion zeigt einmal wieder, wie gut es der Politik bereits jetzt gelungen ist, den Widerstand gegen die Überwachung entgleisen zu lassen und für eigene Zwecke zu nutzen. Denn das grosse Problem, wegen welchem die Menschen auf die Strasse gingen, ist ja, dass wir quasi von allen Seiten jederzeit überwacht werden und die Politik beinahe wöchentlich neue Vorschläge bringt, wie die Einwohner noch besser und flächendeckender überwacht werden können.
Stattdessen ist es den Volksvertretern mit gespielter Empörung gelungen, eine Art «Wir gegen die» anzuzetteln. Man erinnere sich an die empörte Rede Thomas Oppermanns: «Wer die Kanzlerin abhört, der hört auch die Bürger ab.» (Was im spezifischen Fall ziemlich offensichtlich war.) Man tut so, als ob die NSA die einzigen seien, die alle überwachen, und ignoriert den ganzen Rest dieses Problems gigantischen Ausmasses.
Das populistische Argument, den Safe Harbor-Entscheid zurückzunehmen, geht nun noch einen Schritt weiter. Die Sorgen der Bürger werden hierbei sogar noch gegen die Bürger selbst verwendet, während zugleich der Eindruck entsteht, etwas gegen die Situation zu unternehmen.

Was ist eigentlich Safe Harbor?

Bei Safe Harbor handelt es sich um eine Entscheidung der EU-Kommission, den USA eine Ausnahmeregelung zur Richtlinie 95/46/EG (Datenschutz) zu erteilen. Die USA und die Schweiz verfügen über keine der EU ebenbürtigen Datenschutzstandards, so dass Firmen, welche in der EU agieren, nach Richtlinie 95/46/EG eigentlich keine Daten aus der EU in den USA oder in der Schweiz verarbeiten dürften.
Da die Handelsbeziehungen zwischen den USA, der EU und der Schweiz historisch jedoch sehr wichtig waren und es ein starkes wirtschaftliches Interesse in diese Richtung gab und immer noch gibt, hat die EU-Kommission in Zusammenarbeit mit den USA und der Schweiz eine Reihe von Datenschutzrichtlinien ausgearbeitet, welchen sich Firmen freiwillig unterwerfen können um dafür im Austausch Daten von EU-Einwohnern in den USA oder in der Schweiz verarbeiten zu dürfen. Somit gelten die Datenschutzbestimmungen der EU auch in den USA und der Schweiz, zumindest was die Datenverarbeitung der Firmen betrifft, welche diese Vereinbarung eingehen.
Eine häufige Kritik an den in den USA eingeführten Gesetzen zur Nationalen Sicherheit, welche weitgehende Überwachungsbefugnisse für die meisten Organe der Exekutive festschreiben und dabei teilweise eine Zwei-Klassen-Datenschutzgesellschaft zwischen US-Bürgern und dem Rest der Welt schaffen, war, dass diese die Einhaltung der Safe Harbor-Bestimmungen erschwert bis verunmöglicht wird, wenn die Unternehmen gezwungen sind, den Überwachungsdiensten der USA Zugriff auf ihre Daten zu gewähren. Besonders gravierend ist, dass die Betroffenen aufgrund der Gesetze zur Nationalen Sicherheit nicht darüber informiert werden dürfen, dass ein Zugriff auf ihre Daten stattgefunden hat.
Würde man die Safe Harbor-Ausnahme von der Richtlinie 95/46/EG zurück nehmen, hätte dies vor Allem zu folge, dass einigen Firmen aus den USA und der Schweiz der Zugang zum EU-Markt erschwert würde, da es nun notwendig wäre, die Daten von EU-Einwohnern in der EU zu behalten. Dies bedeutet auch für EU-Einwohner, dass sie auf Auslandsreisen einen schlechteren Service bekämen, da die Daten immer in der EU gehalten und erst aufwändig um die Welt zum Endanwender übertragen werden müssten.
Dem Recht auf Datenschutz der EU-Einwohner wäre damit allerdings nicht signifikant geholfen. Die Datenschutzrichtlinien der EU gelten ja bereits für die Unternehmen, welche sich nach Safe Harbor verpflichtet haben, diese einzuhalten.

Datenschutz ist nicht das Problem

Das Problem, gegen welches sich die Einwohner weltweit auflehnen, ist ja nun aber nicht, dass die Datenschutzbestimmungen nicht eingehalten würden und sich die fraglichen Firmen an den Daten vergehen würden. Davon hört man allerdings vergleichsweise selten. Was aufgedeckt (oder für manche bestätigt) wurde, ist, dass es Geheimdienste auf dieser Welt gibt, welche sich zum Teil sogar ohne das Wissen der betroffenen Firmen Zugriff auf Daten von Einwohnern anderer Länder verschaffen und sogar Produkte dahingehend manipulieren, dass diese Eingriffe in die Privatsphäre ermöglicht werden.
Dabei wurden die USA speziell durch Edward Snowden als Beispiel aufgeführt; es ist jedoch von sehr vielen anderen Geheimdiensten der Welt bekannt, dass sie sehr ähnliche Verfahrensweisen einsetzen. Dabei müssen sie sich nicht einmal unbedingt in der Illegalität bewegen: viele Länder haben in den letzten Jahren ebenfalls Gesetze eingeführt, welche ihren Exekutivorganen (Polizei, Kriminalämter, Geheimdienste, etc.) erlauben, sehr einschneidende Eingriffe in die Privatsphäre beliebiger Personen zu machen. Oft fällt dabei heute der Richtervorbehalt einfach weg.
Der Punkt bei der derzeit stattfindenden Massenüberwachung ist jedoch, dass diese nicht auf die USA beschränkt ist und auch nicht allzu viel damit zu tun hat, was die Datenschutzgesetze sagen. Erstens gibt die NSA in ihren Dokumenten damit an, in Systeme auf der ganzen Welt einzubrechen und dort ihre Daten abzugreifen. Zweitens tun es ihr viele andere Geheimdienste gleich. Offenbar setzen ja auch einige Deutsche Landeskriminalämter Trojaner ein um an Beweise für ihre Gerichtsverfahren zu kommen, obwohl diese Praktik vom Bundesverfassungsgericht explizit untersagt worden ist. Auch hier wurden die meisten von der Untersuchung betroffenen nicht darüber informiert. Die Parallelen zur NSA-Überwachung sind offensichtlich. Zudem ist für die Überwachung heute längst kein Verdachtsmoment mehr notwendig, weshalb das Wort Schleierfahndung seinen Weg in das Neusprech-Wörterbuch gefunden hat.
Das Problem, welches die Leute im Zusammenhang mit der NSA-Überwachung auf die Strasse geholt hat, war nicht, dass sich Firmen nicht an die geltenden Datenschutzgesetze gehalten haben, sondern dass die Regierungen dieser Welt seit Jahren ihre eigenen Grundrechte aushöhlen, um zu ermöglichen, legal jeden einzelnen zu überwachen ohne einen quantifizierbaren Grund zu brauchen oder dafür Rechenschaft ablegen zu müssen. Die sogenannte NSA-Affäre ist lediglich die logische Implementation dessen, worauf die Gesetzgeber seit Jahren hinarbeiten.

Wem nützt die Abschaffung von Safe Harbor?

Da Safe Harbor somit extrem wenig mit dem eigentlichen Problem der generellen Überwachung zu tun hat, sollte man es wagen, die Frage zu stellen, was denn die Folgen wären, wenn Safe Harbor heute ersatzlos abgeschafft würde, wie es EPP-Politiker fordern.
Zuerst einmal werden Diensteanbieter aus den USA (und der Schweiz) ziemlich offensichtlich benachteiligt. Diese müssten nicht nur massiv Kapazitäten in der EU aufbauen; US-Anbieter wären ja den Gesetzen der USA immer noch verpflichtet, so dass sie unter Umständen ihre Dienste in der EU gar nicht mehr anbieten können. Es gibt aber oft keine vergleichbaren Dienste innerhalb der EU, welche einem plötzlichen Andrang von EU-Einwohnern stand halten könnten. Der Aufbau von Kapazitäten und Know-How könnte hierbei einige Zeit in Anspruch nehmen. Das bedeutet, dass Verfügbarkeit und Dienstqualität für viele EU-Einwohner über längere Zeit hinweg drastisch sinken, ganz zu schweigen von massiven Migrationsprojekten von Privatpersonen und Firmen, welche durch eine solche Massnahme notwendig würden. Kopierten zum Beispiel alle ihre Mails, Dokumente und Kalender aus den grossen Clouds der US-Anbieter auf Server in der EU, wäre es denkbar, dass die Leitungen in Europa für längere Zeit massiv verstopft wären.
Immerhin würden viele EU-Firmen massiv an Kunden gewinnen, ohne mit der Qualität und Leistung der bisher verbreiteten Dienste mithalten zu müssen. Dieser Aspekt kommt einer Marktförderungsmassnahme für lokale Unternehmen gleich.
Zwingt man alle Daten der Europäer in europäische Dienste, wird der Zugriff aussereuropäischer Geheimdienste vermutlich nicht schwinden. In letzter Zeit gab es einige Entwicklungen, Hintertüren direkt in die Hardware oder Firmware zu implementieren. Wenn man einfach nur die Geheimdienste aus dem Markt aussperrt, ohne weitergehende Massnahmen zu ergreifen, provoziert man geradezu, dass die digitale Aufrüstung in der IT-Sicherheitsbranche vorangetrieben wird. Doch selbst wenn man davon absieht, war es traditionell so, dass Geheimdienste einander die Informationen einfach verkauft haben. Wenn eine Regierung nun versucht, andere Geheimdienste aus ihren Informationsbeständen auszusperren, scheint das als ob versucht wird, die Einnahmequellen für die lokalen Geheimdienste zu festigen, da die Informationen künftig nur noch durch diese Geheimdienste verbreitet werden können. Der Versuch einer lokalen Datenhegemonie auf dem Informationsmarkt sozusagen.
Das hat weitergehende Konsequenzen. Wenn künftig mehr Informationen direkt in der EU verarbeitet werden, bedeutet das, dass die Geheimdienste und Exekutivorgane der EU-Mitgliedsstaaten künftig mehr Daten selbst abfangen und verarbeiten können müssen, womit wir wieder beim Thema digitale Aufrüstung sind. Statt sinkender Steuern durch mehr Geheimdiensteinnahmen ist somit nämlich zu erwarten, dass die Geheimdienstausgaben in den USA nach einer Safe Harbor-Abschaffung eher explodieren werden. Viele neue Infrastruktur müsste angeschafft werden und endlich könnten auch die EU-Geheimdienste zeigen, was in ihnen steckt.
Genau dasselbe hat der Chef der Deutschen Polizeigewerkschaft DPolGe, Rainer Wendt, bereits in einem Videointerview mit der Deutschen Bundeszentrale für politische Bildung angekündigt. In diesem Video fordert Wendt direkt die Schaffung einer europäischen (nicht deutschen) NSA, da wir uns, wie er sagt, in Zukunft nicht mehr darauf verlassen könnten, unsere Informationen direkt von der NSA zu erhalten.

Der EU-Einwohner verliert

Zusammenfassend kann man also sagen, dass ein EU-Einwohner im Falle einer Abschaffung von Safe Harbor der Verlierer ist. Zunächst einmal bekommt man aufgrund einer künstlichen Marktknappheit schlechtere Dienstqualität und muss sich wie in früheren Tagen mit ewig ladenden Seiten und Mails herumschlagen, wenn man einmal im Ausland unterwegs ist.
Weniger überwacht wird der durchschnittliche EU-Bürger nach der Massnahme auch nicht. Die EU-Geheimdienste werden weiterhin die Daten abschöpfen wo sie können und die Polizeien in der EU werden weiterhin Schleierfahndungen betreiben. Aussereuropäische Geheimdienste werden sich mittels eingekaufter Daten, Angriffen auf Server und manipulierter Hardware weiterhin im System halten. Das berechtigte Gefühl, dass täglich viele unbekannte Leute in den privaten Mails, Terminen und Notizen herumwühlen, bleibt erhalten.
Durch die steigenden Geheimdienstetats, welche für den Auf- und Ausbau eines europäischen Überwachungsapparates notwendig sind, gibt es jedoch auf der anderen Seite höhere Staatsausgaben und somit langfristig höhere Steuern, um die «innere Sicherheit» zu finanzieren. Also dürfen die EU-Einwohner als Reaktion auf ihre Proteste gegen die ausufernde, verdachtsunabhängige Überwachung dann künftig mehr Geld dafür bezahlen, dass sie noch mehr überwacht werden. Es ist kaum vorstellbar, dass das im Sinne der Demonstranten war.