Teilnehmer der Diskussionsrunde waren Paolo Balboni, geschäftsführender Direktor der European Privacy Association in Brüssel, der stellvertretende Bundesvorsitzende und Pressesprecher des Bundes deutscher Kriminalbeamter (BDK) Bernd Carstensen, Professor Dirk Heckmann, Inhaber des Lehrstuhls für Öffentliches Recht, Sicherheits- und Internetrecht an der Universität Passau sowie Andy Müller-Maguhn aus dem Vorstand des Chaos Computer Clubs (CCC).
Heckmann wies eingangs darauf hin, dass die überwiegende Zahl der Web-Nutzer beim Schutz ihrer Daten von der Technik einfach überfordert sei: "Wer nicht versteht, muss vertrauen." Dieses Vertrauen sei in letzter Zeit jedoch stark in Mitleidenschaft gezogen worden, sowohl durch Unternehmen aber auch durch staatliche Stellen. Nötig sei ein besseres Verständnis der im Web ablaufenden Prozesse, und dafür müsse man sich der Anstrengung des Lernens unterziehen. "Anders lassen sich die Vorteile der digitalen Welt nicht nutzen, ohne Schaden zu nehmen", so der Rechtsexperte. Dennoch kämen IT-Laien nicht ohne vertrauenswürdige Instanzen aus - wer auch immer letzten Endes diese Aufgabe übernehmen werde. Die heutige "Plug-and-Play-Gesellschaft" weise die Erwartungshaltung auf, dass technische Geräte jeder Coleur nur angeschlossen werden und sofort ohne Risiken und weitere negative Konsequenzen für den Anwender funktionieren sollten. Deshalb gelte in erster Linie der Grundsatz, dass "die Nutzer vor der IT geschützt" werden müssten.
Der Idee eines "Datenführerscheins", den das Publikum einwarf, erteilten Müller-Maguhn und Balboni eine klare Absage. Die Umsetzung sei zu komplex, es gebe kein zentrales Kontrollorgan im Netz und Sanktionen bei Verstoß gegen die "Führerscheinregeln" seien ebenfalls nicht einheitlich umzusetzen. Balboni unterstrich, dass es letztlich nur wieder auf die Selbstverpflichtung der Anbieter und eine bessere Medienkompetenz der Anwender hinauslaufen könne.
Mehr Möglichkeiten = mehr Gefahren
CCC-Vorstand Müller-Maguhn erinnerte daran, dass die Möglichkeiten für einen Missbrauch von Informationen durch die Entwicklung der vergangenen Jahre heute um ein Vielfaches höher seien als in der früheren analogen Welt, weil ganz andere Möglichkeiten für systematische Abfragen und das Herstellen von Verbindungen zwischen einzelnen Daten bestünden. Grundsätzlich seien nicht die IT selbst kritisch, sondern die von ihr unterstützten Prozesse. Vertrauen könne deshalb nicht dadurch entstehen, dass eine vertrauenswürdige Instanz eingeschaltet sei, sondern erst durch den Aufbau transparenter Prozesse. Das gelte sowohl für Unternehmen als auch für den Staat. Der Bürger müsse Einblicke haben, was mit seinen Daten geschehe. Nur auf dieser Basis könne von informationeller Selbstbestimmung geredet werden, und der Staat habe hier eine Vorbildfunktion einzunehmen.
Balboni stimmte der Bedeutung des Vertrauens bei der Sicherung der Privatsphäre grundsätzlich zu. Er vertrat dabei in einem stärker marktorientierten Ansatz die Auffassung, dass dafür keine zusätzlichen Regularien benötigt würden. Seiner Meinung nach werde die Sicherung der Privatsphäre auf Dauer zu einem Wettbewerbsfaktor werden. Wenn die Konsumenten entsprechend sensibilisiert seien, würden diejenigen Unternehmen im Vorteil sein, die Privacy auch in ihrem Geschäftsmodell berücksichtigten.
Carstensen forderte, es müsse in den wenigen Fällen, in denen eine Strafverfolgung auch im Web nötig sei, auch technische Möglichkeiten für die Behörden geben, die für eine Strafverfolgung nötigen Informationen zu erhalten.
Unternehmen nicht für alles haftbar machen
Heckmann zeigte sich skeptisch hinsichtlich der Möglichkeiten, Unternehmen dazu zu verpflichten, sichere Systeme zur implementieren. Man könne zwar die Produkthaftung entsprechend definieren, die Problematik würde sich damit aber auf andere Ebenen verschieben, beispielsweise auf die Nachweisbarkeit von Fehlern. Im Übrigen seien IT-Systeme sehr komplex und die Innovationszyklen auf Grund des Marktdrucks sehr kurz. Der Ruf nach zusätzlichen Regulationsmechanismen gehe daher an der Sache vorbei, meinte Heckmann. Wichtig sei vielmehr, dass die Akteure in den komplexen Umgebungen mit ausreichendem Know-how ausgestattet sind. Darüber hinaus könne man mit flankierenden Maßnahmen "Stellschrauben" verändern und beispielsweise in sozialen Netzen Standard-Einstellungen vorgeben, die die Privatsphäre besser berücksichtigen.
Herausforderung Cloud Computing
Ein zentrales Thema des Gesprächs war das Cloud Computing, über das in den vergangenen Monaten in Verbindung mit IT-Sicherheit in der Öffentlichkeit viel diskutiert worden ist. Balboni vertrat in dem Gespräch die Ansicht, dass das Problem nicht die unzureichenden rechtlichen Vorgaben seien. Es sei klar definiert, dass die Vorschriften des Landes gelten, in dem der jeweilige Auftraggeber ansässig sei. Die Problematik bestünde vielmehr darin, dass es in 27 EU-Ländern auch 27 unterschiedliche Vorschriften bezüglich des Datenschutzes gebe. Hier seien eine Harmonisierung und ein Cloud-Framework auf europäischer Basis dringend notwendig, was auch einen Rahmen für die Durchführung von verlässlichen Audits schaffen könne. Der Experte aus Brüssel ergänzte, dass es eine Illusion sei, zu meinen, dass Cloud-Kunden eigene Vorstellungen oder Anforderungen hinsichtlich der IT-Sicherheit in Vertragsverhandlungen gegenüber Providern durchsetzen könnten. Dies sei im Geschäftsmodell des Cloud Computing, das auf standardisieren Prozessen aufbaue, nicht vorgesehen.
Auch Müller-Maguhn betonte, dass die Anbieter von Cloud Computing den jeweiligen Gesetzen ihrer Länder unterlägen; er rechne daher in Zukunft mit strittigen Fällen wegen der in den USA und Europa unterschiedlichen Vorstellungen über die Handhabung von Daten. Das CCC-Vorstandsmitglied bezweifelte allerdings aufgrund des Kostenaspekts ebenfalls, dass es möglich sei, Sicherheitsfragen des Cloud Computing per SLAs zwischen Cloud-Anbietern und -Kunden individuell zu regeln. Es werde aber zu entsprechenden Differenzierungen der Anbieter kommen, also Anbieter geben, die über Zertifizierungen zum Datenschutz verfügten und solche, bei denen ein hohes Schutzniveau einfach nicht erwartet werden könne.
Staatstrojaner war ein Fehler
Carstensen betonte in diesem Zusammenhang, dass die Sicherheitsbehörden sich für die in der Cloud gespeicherten Informationen grundsätzlich nicht interessieren würden, und dass auch im Verdachtsfall die Durchsuchung eines IT-Systems nur gezielt erfolgen dürfe, beispielsweise um konkretes Beweismaterial aufzuspüren. Die Ergebnisse von Online-Durchsuchungen könnten in Hauptverhandlungen ohnehin nur dann verwendet werden, wenn ihre Erhebung in Übereinstimmung mit geltendem Recht erfolgt sei. Der Kriminalbeamte räumte ein, dass es ein Fehler gewesen sei, überhaupt auf die umstrittene Software der Firma Digitask zurückzugreifen, die unzulässige Maßnahmen wie das Anfertigen von Screenshots und das Steuern einer Webcam ermöglicht hatte. Hier müsse ein Umdenken erfolgen, das aber bereits eingeleitet sei, indem einige staatliche Stellen dazu übergingen, derart kritische Software in eigener Regie zu entwickeln.
Initiative zeigen!
Professor Heckmann legte zum Abschluss der Diskussionsrunde noch Wert auf eine grundsätzliche Feststellung: "Das Internet ist gut!" Es biete nach seiner Einschätzung trotz aller Risiken auf unterschiedlichen Feldern eine Fülle von Chancen und Möglichkeiten - gerade auch im Cloud Computing, das eine interessante Option für Unternehmen sei. Wichtig sei dabei, dass die Beteiligten gestaltend tätig würden. Es gäbe schon eine Reihe von Aktivitäten, die sich um eine entsprechende Weiterentwicklung von Cloud Computing und Recht bemühten, beispielsweise unter dem Stichwort "Trusted Cloud". Zu Pessimismus bestehe nach Heckmanns Auffassung daher kein Anlass. (sh)