Interview zum Thema Daten­schutz Meldung

test-Experte Dr. Gunnar Schwan.

Die Paranoiker haben Recht behalten, meint Dr. Gunnar Schwan. Im Interview mit politik-digital.de erklärt der test-Experte für Daten­schutz im Internet, was das Problem der verdachts­unabhängigen Vorrats­daten­speicherung ist, und warum ein guter Provider keinen Einblick in die Daten seiner Nutzer hat. Sein Plädoyer: Vor allem junge Internetnutzer sollten mehr Sensibilität für das Thema Privatsphäre entwickeln.

Verantwortung lässt sich nicht auslagern

Viele deutsche Unternehmen speichern ihre Kunden­daten welt­weit in Clouds und anderen Online-Daten­banken. Glauben Sie, dass die Unternehmen wissen, wie und wo ihre Kunden­daten auf Servern verschlüsselt werden?

Gunnar Schwan: Ehrlich gesagt, habe ich keine Ahnung. Wenn diese Unternehmen aber personenbezogene Daten, wie z.B. Kunden­daten, nicht selbst, sondern durch andere Anbieter verarbeiten lassen, sind sie auch dort für den ordnungs­gemäßen Ablauf verantwort­lich. Es wird nur die Abwick­lung ausgelagert, nicht die Haftung. Die sogenannte Auftrags­daten­ver­arbeitung ist in Deutsch­land streng geregelt. Sie beinhaltet nicht nur eine sorgfältige Auswahl des Anbieters, sondern auch eine regel­mäßige Kontrolle der beim ausgewählten Anbieter getroffenen tech­nischen und organisatorischen Maßnahmen zum Schutz der Daten. Diese Kontrollan­forderung kann nur erfüllt werden, wenn die Unternehmen entsprechend über Abläufe und Strukturen beim Anbieter informiert sind. Die Unternehmen müssen sich also so oder so mit dem Thema beschäftigen.

Ein guter Provider hat keine Einsicht in die Daten

Was raten Sie den Nutzern von Clouds? Können Sie z.B. aus dem Testbe­richt Daten in der Cloud der Stiftung Warentest einen besonders zuver­lässigen Provider hervorheben, der Daten­schutz gewähr­leisten kann?

Gunnar Schwan: Das eigentliche Problem scheint gerade nicht das Verhalten der Provider zu sein, sondern welchen Zugriff Dritte auf die vom Provider verwalteten Daten haben. Wenn der Provider Einsicht in die hoch­geladenen Daten hat, haben potenziell auch Dritte Einsicht. Dies kann durch richterlichen Beschluss legitim durch­gesetzt werden oder ist anscheinend im Rahmen von geheim­dienst­lichen Methoden (auch ohne konkreten Verdacht) möglich. Insofern ist ein guter Provider der, der keine Einsicht in die Daten hat. In unserem Test traf das nur auf LaCie Wuala zu. Bei diesem Dienst werden die Daten des Nutzers vor dem Upload zum Anbieter verschlüsselt, und zwar mit einem Schlüssel, den nur der Nutzer hat. Bei anderen Diensten ohne diese Verschlüsselungs­praxis bietet sich alternativ der Einsatz von Zusatz­software an. So kann man den bei LaCie einge­bauten Schutz bei anderen Diensten beispiels­weise mit BoxCryptor nach­rüsten.

Neben vielen tech­nischen Sicher­heits­mecha­nismen gibt das deutsche Bundes­daten­schutz­gesetz (BDSG) unter anderem die Daten­haltung in Deutsch­land vor. Hat das BDSG die juristische Möglich­keit, einen Riegel vor die Über­wachungs­programme der Amerikaner zu schieben?

Gunnar Schwan: Ob Deutsch­land oder nicht, ist gar nicht die zentrale Frage. Viel wichtiger ist, ob das in Deutsch­land geltende Daten­schutz­niveau erreicht wird. Als Nutzer sollte man darauf achten, dass die Anbieter­server ausschließ­lich im Europäischen Wirt­schafts­raum (EWR) stehen. Der EWR ist quasi eine erweiterte EU, Norwegen gehört beispiels­weise auch dazu.

Nutzerfragen zum Thema Datenschutz und Cloud - Chat mit den Experten der Stiftung Warentest

Die Paranoiker haben Recht behalten

Ist aus Ihrer Sicht mit den Enthüllungen Edward Snowdens der volle Umfang der Über­wachung durch Prism, Tempora und Xkeyscore auf dem Tisch oder vermuten Sie, dass uns noch weitere Über­raschungen bevor­stehen?

Gunnar Schwan: Die bisherigen Veröffent­lichungen sind dramaturgisch aufgebaut. Das jeweils neu veröffent­lichte Material ist immer brisanter bzw. erschre­ckender als das zuvor. Ich gehe davon aus, dass wir noch lange nicht alles gehört und gelesen haben. Interes­santer­weise sind die Paranoiker von gestern aus heutiger Sicht sehr hell­sichtig gewesen – womöglich sind sie sogar noch zu vorsichtig mit ihren Prognosen.

Vorhandene Daten werden auch genutzt

Wenn die Über­wachungs­programme selbst Opfer von Hacker­angriffen werden und die Daten somit in falsche Hände geraten, was wäre die Konsequenz für die Nutzer?

Gunnar Schwan: Das Problem der verdachts­unabhängigen Vorrats­daten­speicherung ist folgendes: Wenn die Daten erst einmal vorhanden sind, werden sie auch genutzt. Außerdem passieren ständig tech­nische oder organisatorische Fehler, egal wie zuver­lässig die Sicher­heits­mecha­nismen sein mögen. Die Daten sind dann auch noch gestreut, ein Zurück­holen ist unmöglich. Diejenigen, die argumentieren, dass sie nichts zu verbergen haben, werden sich dann vielleicht bei der nächsten Einreise in die USA wundern, warum sie intensiver als normal kontrolliert werden oder ihnen sogar die Einreise verwehrt wird – natürlich ohne eine Begründung.

Der Spiegel berichtete vor kurzem, dass ein Beamter aus Baden-Württem­berg fast seinen Job verlor, weil er sich in seiner Magister­arbeit mit dem Islam beschäftigt hat und dafür auch ein Interview mit einem Isla­misten führte. Der Landes­verfassungs­schutz bekam Kennt­nis, verfolgte die Spur und zog anscheinend falsche Schlüsse. Ein Bericht in den Stutt­garter Nach­richten hätte dann fast das berufliche Aus für den Beamten bedeutet, obwohl er sich nichts zuschulden kommen ließ.

Eigentlich sollte es so sein wie in der Wissenschaft üblich: Man fängt mit einer Hypothese oder wenigs­tens einer Fragestellung an und interpretiert die gesammelten Daten entsprechend. Erst die Daten zu sammeln und in diesen dann nach Mustern zu suchen, führt zu Miss­verständ­nissen. Das ist vergleich­bar mit einem längeren Blick in die Wolken. Irgend­wann sieht man Figuren, die eigentlich gar nicht da sind.

E-Mail-Allianz verspricht verbesserte Daten­sicherheit

Die nun geplante „E-Mail made in Germany“ der Anbieter Telekom und United Internet (u.a. Web.de und GMX) verspricht verbesserte Daten­sicherheit beim E-Mail-Verkehr. Das Problem ist, dass die E-Mails den ausländischen Providern weiterhin im Voll­text vorliegen. Wie könnte eine „Ende-zu-Ende-Verschlüsselung“ gewähr­leistet werden?

Gunnar Schwan:E-Mail made in Germany verkauft einen eigentlichen Stan­dard als angebliche Neuerung. Dass E-Mails auf dem Weg vom Absender zum Anbieter, zwischen den Anbietern und dann vom Anbieter zum Empfänger verschlüsselt über­tragen werden, gehört normaler­weise zum tech­nischen Stan­dard. Problematisch ist, dass die Anbieter jeder­zeit Einsicht in die Nach­richten haben. Bei Google Mail beruht das Geschäfts­modell sogar darauf, die Nach­richten auto­matisch nach Stich­worten zu durch­suchen. Am Seiten­rand der Nach­richt erscheint dann vermeintlich passende Werbung. Das ginge nicht, wenn Nach­richten per PGP oder S/MIME verschlüsselt wären. Denn dann können nur Absender und Empfänger Einsicht nehmen, so wie das bei Briefen Stan­dard ist und bei E-Mails auch sein sollte. Dummer­weise hat stärkerer Schutz momentan auch immer eine geringere Funk­tionalität zur Folge. Zum einen muss man auch seine Kommunikations­partner dazu bringen, sich mit Verschlüsselung/Entschlüsselung zu beschäftigen, anderer­seits fällt dann das schnelle Schreiben einer E-Mail im Browser­fenster aus. Man darf dann nur noch eine Mail-Software mit Verschlüsselung benutzen, z. B. Thunderbird mit der Erweiterung Enigmail.

Wie können deutsche Nutzer den eigenen Anbieter zu mehr Daten­sicherheit bewegen?

Gunnar Schwan: Besser ist es, selbst zu verschlüsseln – wie eben skizziert – und dem Anbieter gar nicht erst in die Situation zu versetzen, Daten einsehen zu können. Denn bei Ansätzen wie Tempora haben die Anbieter offen­bar auch gar keinen Einfluss auf die Daten­sicherheit und Daten­weitergabe. Einen guten Über­blick, wie man sich bei E-Mail schützen kann, gibt das Projekt Verbraucher sicher online der Tech­nischen Universität Berlin.

Internetnutzer sollten sich mehr mit dem Schutz der Privatsphäre beschäftigen

Seien Sie bitte einmal kurz visionär. Sagen Sie uns, welche Konsequenzen der Über­wachungs­skandal aus Ihrer Sicht länger­fristig für Nutzer und Politik haben wird bzw. sollte?

Gunnar Schwan: Im Augen­blick sieht es für mich so aus, als wenn die in Deutsch­land nicht geduldete Vorrats­daten­speicherung durch die Zusammen­arbeit der interna­tionalen Geheim­dienste eigentlich doch statt­findet. Leider sind viele recht­liche Vorgaben nur auf nationaler Ebene bindend, das Internet funk­tioniert aber interna­tional. Tatsache ist, Internetnutzer können sich nicht sicher sein, was mit ihren Daten passiert und wer sie irgend­wann aus welchem Grund auswertet und welche Interpretationen sich daraus ergeben. Welche Konsequenzen die Politik aus dem Über­wachungs­skandal zieht, hängt letzt­lich auch von den Bürgern ab. Wenn man aber aktuelle Umfragen ansieht, sind die Deutschen zwar nicht gerade glück­lich über die ganzen Daten­skandale, eine Auswirkung auf ihr Wahl­verhalten hat das aber anscheinend nicht. Ich würde mir wünschen, dass sich Nutzer mehr mit dem Schutz der Privatsphäre beschäftigen und vor allem sollten jüngere Menschen für das Thema sensibilisiert werden: in der Schule und in der Familie. Beim Thema Daten­schutz geht es schließ­lich immer auch um unsere Bürgerrechte, auf die unsere Demokratie fußt – das sollten sich die Bürger und die Politiker, aber auch die Unternehmen bewusst machen.

Das Interview mit Dr. Gunnar Schwan führte politik-digital.de. Wir danken für die freundliche Genehmigung, den Wort­laut auf test.de veröffent­lichen zu dürfen.

Dieser Artikel ist hilfreich. 17 Nutzer finden das hilfreich.