Anfang November stellte  die UNESCO ihren Bericht “Weltweite Trends – Meinungsfreiheit und Medienentwicklung” vor. Die Erkenntnis: Im Jahr 2017 gab es weltweit bereits 61 Blockaden des Internets durch Regierungen. Das sind im laufenden Jahr drei Mal so viele „Shutdowns“ des Internets wie noch im Jahr 2015 mit 18. Die meistens Sperren wurden jedoch im vergangenen Jahr mit weltweit 116 Internetblockaden registriert. Die meisten davon wurden in asiatischen Ländern umgesetzt. Der Bericht führt als Spitzenreiter Indien mit 54 und Pakistan mit 11 Blockaden an. Eine Entspannung der Meinungs- und Medienfreiheit scheint in Bezug auf die globale Entwicklung nicht in Sicht. Die Autoren warnen vor der Einschränkung der Informations- und Kommunikationsfreiheit nicht nur durch Massenüberwachung, sondern auch durch die mangelnde Unabhängigkeit von Medien und der steigenden Algorithmus-basierten Gewichtung von Nachrichten in sozialen Netzwerken.

Ein Land, das in deutschen Medien in den letzten Jahren prominent mit dem Sperren, zwar nicht des gesamten Internets, dafür aber von Plattformen war, ist die Türkei. Dort waren beispielsweise 2015 Twitter und YouTube zeitweise nicht erreichbar, vorgeblich um die Verbreitung von Bildern einer Geiselnahme zu verhindern, 2016 im Zuge des Putschversuchs zusätzlich noch Facebook. Erst vergangene Woche berichtete jedoch das Portal netzpolitik.org über den Verlust von Freunden und Followern bei Personen und Seiten bei Facebook, die sich kritisch über die Türkei äußerten. Die Antwort des Netzwerks auf Nachfrage: Man sei gegen Fake-Accounts unter den jeweiligen Followern vorgegangen. Auch wenn gegenteilige Berichte, viele als Menschen identifizierte. Auch wenn es nicht bewiesen werden kann, erweckt es den Anschein, dass das soziale Netzwerk in vorauseilendem Gehorsam Maßnahmen ergreift, um in autoritären Staaten, indem Fall der Türkei nicht weiter von staatlicher Seite reguliert zu werden.

Über die kritikwürdige und undurchsichtige Lösch- oder Sperrpraxis der sozialen Netzwerke, besonders von Facebook und Twitter, haben wir auch bei politik-digital in den letzten Jahren mehrfach (bspw. 2015 und 2017) berichtet. Das Technik-Portal t3n versuchte Mitte des Jahres, die Kennwerte aufzuschlüsseln, natürlich aus ihrer Beobachter-Perspektive. Über die Algorithmen der Netzwerke und somit die Kriterien nach denen diese Beiträge anzeigen oder eben verbergen, kann nur spekuliert werden. Somit entwickelt sich neben den Social Bots eine mögliche Gefahr für den demokratischen Diskurs im Internet. Während die Maßnahmen zur Enttarnung von Social Bots noch in den Kinderschuhen stecken, und auf der Arbeitsebene der Politik erste Schritte – wie beispielsweise eine Kennzeichnungspflicht für Social Bots – anlaufen, ist das Phänomen der unbekannten Algorithmen der sozialen Medien zwar medial erkannt, in den Reihen von Politik und Verwaltung jedoch – aufgrund der  transnationalen Konzernen – noch keine umsetzbaren Lösungsvorschläge aufgekommen. Es bedarf deshalb der steten Begleitung und aufmerksamen Analyse, um die Gefahr für Meinungs- und Medienfreiheit weltweit zu zurückzuhalten.

Titelbild: Block Page by Global Voices Online via Flickr, CC-BY 2.0, bearbeitet

Nach Safe Harbor nun also ein Privacy Shield. Im Safe Harbor-Abkommen von 2000 wurde von der EU-Kommission festgelegt, dass personenbezogene Daten auch in den USA in einem „sicheren Hafen“ liegen. Damit wurde die Übermittlung solcher Daten in die USA legal. Das Abkommen wurde 2015 von Max Schrems, österreichischer Jurist und Datenschützer, vor den europäischen Gerichtshof gebracht. Der EUGh erklärte das Abkommen für nicht ausreichend. Als Nachfolgeregelung soll der in zwei Teile gegliederte EU-US Privacy Shield in Kraft treten. Im ersten Abschnitt werden die Konditionen, zu denen Unternehmen Daten transferieren dürfen festgelegt. Im zweiten Teil äußert sich die USA zum Thema Überwachung von Daten durch US- Behörden. Keines der beiden Elemente kann wirklich überzeugen.

Was steht überhaupt im Privacy Shield?

Im ersten Abschnitt des Privacy Shields geht es um den Schutz von Daten, die aus der EU in die USA transferiert werden. Unternehmen können sich, wie schon beim „Safe Harbor“-Abkommen, freiwillig zertifizieren. Das heißt, sie versprechen, sich an die Regeln des Privacy Shields zu halten. Dazu gehört unter anderem eine weitgehende Informationspflicht gegenüber den Kunden. Unternehmen verpflichten sich, im Zuge dieser Selbst-Zertifizierung eine konkrete Anlaufstelle für Kunden auszuschreiben, an die sich der Einzelne für Anfragen wenden kann. Diese Anfragen müssen innerhalb von 45 Tagen von den Unternehmen beantwortet werden. Für den Anfragenden dürfen dabei keine unangemessenen Kosten anfallen. In Zukunft soll auch abgefragt werden können, welche Daten wann zu welchem Zweck gesammelt wurden. Der Betroffene soll die Chance haben, die Daten bei Bedarf zu ändern, zu ergänzen oder die Löschung zu beantragen.

Versäumt es ein Unternehmen, innerhalb der 45-Tage-Frist die Anfrage zu beantworten, kann der Betroffene sich an seine nationale Datenschutzaufsichtsbehörde wenden. Diese kontaktiert dann das  Department of Commerce in den USA, das die Privacy Shield-zertifizierten Unternehmen kontrolliert.  Die höchste Strafe, die einem Unternehmen in diesem Fall droht, ist der Ausschluss von der Zertifizierung. Nur in besonders schweren Fällen kann die EU-Kommission dem Unternehmen einen weiteren Datentransfer aus der EU in die USA untersagen. Da allerdings das gesamte Prinzip des Privacy Shields auf Freiwilligkeit beruht, hat die EU-Kommission gegenüber nicht zertifizierten Unternehmen keine Handhabe. Erst ab 2018, mit der Datenschutzgrundverordnung, könnte sich das ändern. Dann greift EU-weit das Marktortprinzip und auch amerikanische Unternehmen müssen sich an die europäischen Grundsätze halten.

Massenüberwachung „nur noch“ in sechs Fällen erlaubt

Der zweite Teil des Entwurfs widmet sich der Überwachung und Auswertung von Daten durch US- Sicherheitsbehörden. Laut US- Geheimdienstkoordinator James Clapper werden Daten zukünftig nur noch auf Basis der präsidialen Direktive PPD 28 ausgewertet. In dieser Direktive, die von Obama 2014 verabschiedet wurde, werden sechs mehr oder viel mehr weniger spezifische Zwecke genannt, für die Daten ausgewertet werden dürfen. Die Auswertung erfolgt ohne Information und Zustimmung des Betroffenen. Zu den Zwecken gehört neben der Bekämpfung des Terrorismus und der Verbreitung von Massenvernichtungswaffen auch die Bekämpfung transnationaler krimineller Bedrohungen. Des Weiteren sollen durch die Maßnahmen Aktivitäten fremder Mächte, v.a. Spionage, entdeckt und Bedrohungen für US-Streitkräfte oder verbündete Streitkräfte aufgedeckt werden.

Dass die Daten nicht missbraucht werden, soll dann einerseits von James Clapper und andererseits von einer Ombudsperson überwacht werden. Die Ombudsperson, Catherine A. Novelli, ist theoretisch zwar unabhängig von der Intelligence Community. Novelli ist aber gleichzeitig Untersekretärin des Staates und damit dem Außenministerium angegliedert. Zudem ist sie Senior Coordinator for Internal Information Technology Diplomacy und arbeitet eng mit den Verantwortlichen für die Bekämpfung der Internetkriminalität zusammen. Inwieweit also eine Person, die bereits eng mit Verantwortlichen zusammenarbeitet und deren Stelle dem US-Außenministerium angegliedert ist, als „unabhängig“ bezeichnet werden kann, darf man hinterfragen.

Wenig Hoffnung auf Entgegenkommen

Schon während der NSA-Affäre und bei der Frage nach einem No-Spy-Abkommen wurde klar, dass die USA die Datenauswertung als notwendig für die nationale Sicherheit erachten. Dass sie dabei wenig kompromissbereit sind, zeigt sich auch im jetzigen Entwurf: „Während die USA und die europäische Union das Ziel, den Privatsphären-Schutz für ihre Bürger zu verbessern, teilen, haben die USA eine andere Herangehensweise daran als die Europäische Union.“

Damit wollen sich europäische Datenschützer nicht abfinden. Der österreichische Jurist Max Schrems, der schon gegen Safe Harbor vorging, postete auf Twitter, dass es sich um rein kosmetische Verbesserungen handle. Auch Jan Philipp Albrecht, Europaabgeordneter der Grünen äußerte sich bereits kritisch: „Dasselbe (wie Safe Harbor) in Grün“. Schrems kündigte bereits an auch gegen das Privacy Shield vor den EUGh zu ziehen.

Der ehemaliger Datenschutzbeauftragter des Bundes Peter Schaar, mahnt dagegen Realismus an.  Er betont, dass wir internationale Abkommen zum Datenschutz brauchen. Und zwar nicht nur mit den USA, sondern auch mit anderen Staaten. Dabei müsste man versuchen, ein möglichst hohes Niveau zu halten. Es müsse einem aber klar sein, dass dabei nicht einfach die EU-Standards übernommen würden, sondern das in Verhandlungen Kompromisse gefunden werden müssten.

Bild: geralt unter Lizenz: CC0 Public Domain

Nach den Anschlägen auf die Redaktion des französischen Satiremagazins „Charlie Hebdo“ und einen jüdischen Supermarkt in Paris zu Beginn des Jahres, wurde jetzt in Frankreich ein Gesetz aus der Schublade geholt, mit dem den französischen Geheimdiensten zur Abwehr von Gefahren umfangreiche Überwachungsmöglichkeiten eingeräumt werden. Der Senat hat das Gesetz in dieser Woche nun ebenfalls beschlossen, nachdem die französische Nationalversammlung bereits Anfang Mai mit großer Mehrheit zugestimmt hatte. Frankreichs Präsident François Hollande will das Gesetz nun dem Verfassungsrat zur Prüfung vorlegen und reagiert damit auf die Kritik von Verfassungsrechtlern. Sobald die Prüfung abgeschlossen ist, können die Maßnahmen in Kraft treten. Gleichzeitig haben Bürgerrechtler angekündigt, vor dem Europäischen Gerichtshof für Menschenrechte gegen das Gesetz zu klagen.

Sollte auch der Vermittlungsausschuss dem finalen Gesetzestext aus beiden Häusern zustimmen, dürfen die französischen Geheimdienste und die Anti-Terroreinheiten der Polizei ab Juli in großem Umfang auf Mobil- und Bewegungsdaten aller Bürger zugreifen. Ohne richterliche Anordnung können dann Autos und Handys in Echtzeit geortet, Wohnungen abgehört, IP-Adressen ausgelesen und zugeordnet und Verbindungsdaten erhoben werden. Den Behörden wird darüber hinaus erlaubt, eigene „Black Boxes“ bei den Telekommunikationsanbietern zu installieren, um in Echtzeit Metadaten nach bestimmten Algorithmen auswerten zu können. Daten aus dem Ausland, die Frankreich durchqueren, sind davon ebenso eingeschlossen. Auch die gezielte Auswertung von Schlüsselbegriffen oder auffälligen Kommunikationsstrukturen soll so ermöglicht werden.

Eine Tradition der Überwachung und neue Befugnisse

Die neuen Befugnisse sollen in erster Linie der Terrorabwehr dienen, haben aber allgemein den Schutz der nationalen Sicherheit zum Ziel. Darunter fallen auch die Sicherung der nationalen Unabhängigkeit und der territorialen Integrität Frankreichs, die Wahrung der essentiellen Interessen der französischen Außenpolitik, sowie der ökonomischen, industriellen und wissenschaftlichen Interessen Frankreichs, der Schutz der öffentlichen Ordnung vor kollektiver Gewalt und die bessere Verfolgung des organisierten Verbrechens und der Kriminalität. Diese sehr weitgefassten Kriterien lassen den Behörden einen großen Auslegungsspielraum und wurden von Bürgerrechtlern und Verfassungsschützern heftig kritisiert. Die dehnbaren Formulierungen geben den Behörden die Möglichkeit, auch politische Gruppierungen, Protestgruppen oder Journalisten zu überwachen. Eine richterliche Anweisung ist für die Datenabfrage nicht notwendig, stattdessen genügt eine einfache Abfrage bei der neu eingerichteten nationalen Kommission zur Kontrolle der Geheimdiensttechniken (CNCTR), die allerdings nur beratend tätig wird. Der Premierminister kann das Gremium überstimmen und auch ohne Rückkopplung mit der Kommission Anweisungen erteilen.

Frankreich hat bereits eine lange Geschichte der staatlichen Überwachung: die Vorratsdatenspeicherung gilt dort seit über zehn Jahren, die umfangreiche Videoüberwachung des öffentlichen Raums gehört längst zum Alltag, und auch der Zugriff auf Daten ohne richterlichen Beschluss wird von den Geheimdiensten seit längerem praktiziert. Das neue Gesetz legalisiert somit nur eine ganze Reihe bereits angewendeter Maßnahmen, von denen einige durch die Snowden-Dokumente erst im letzten Jahr bekannt geworden waren. Die Regierung hatte die massive Überwachung des amerikanischen Geheimdienstes NSA damals noch kritisiert, gleichzeitig wurde im vergangenen Sommer mit der Arbeit an dem jetzt beschlossenen Gesetz begonnen. Die Terroranschläge von Paris bildeten, wie bereits die Anschläge auf New York und Washington im Jahr 2001, einen guten Anlass zur umfangreichen Ausweitung der staatlichen, anlasslosen Überwachung aller Bürger.

Vorbild USA?

Die USA hatten kurz nach Anschlägen vom 11. September den US Patriot Act verabschiedet, mit dem FBI und CIA weitreichende Befugnisse zur Überwachung der amerikanischen Bevölkerung ohne richterliche Kontrolle eingeräumt wurden. Der Patriot Act wurde in der vergangenen Woche durch den Freedom Act abgelöst, der nach 14 Jahren die unkontrollierte Handlungsfreiheit der NSA etwas einschränken soll. In Deutschland ist nach dem Attentat auf Charlie Hebdo die Debatte über die erneute Einführung der Vorratsdatenspeicherung wieder aufgeflammt und soll möglichst schnell zu einem neuen VDS-Gesetz führen. Das Vorhaben ist höchst umstritten, gerade erst hat der Wissenschaftliche Dienst des Bundestages den neuen Gesetzentwurf als verfassungswidrig und nicht mit dem europäischen Recht vereinbar kritisiert.

Doch viele Länder, in denen die Vorratsdatenspeicherung bereits eingeführt wurde, rudern inzwischen zurück. Im März wurde in den Niederlanden das Gesetz zur Vorratsdatenspeicherung außer Kraft gesetzt und auch in Tschechien und Rumänien hoben Verfassungsgerichte entsprechende Gesetze wieder auf. Das irische Verfassungsgericht hat das Gesetz zur Vorratsdatenspeicherung dem Europäischen Gerichtshof zur Prüfung vorgelegt. Erst in dieser Woche wurde in Paraguay eine bereits im November 2014 gestartete Gesetzesinitiative zur Einführung einer Vorratsdatenspeicherung gestoppt, die zuvor bereits vom Senat beschlossen worden war. In Belgien erklärte das Bundesverfassungsgericht die geltende Regelung der Vorratsdatenspeicherung gestern für ungültig.

Dass der massive Einsatz von staatlichen Überwachungsinstrumenten nur bedingt zur Erhöhung der Sicherheit der Bürger beiträgt, haben die Anschläge von Paris gezeigt. Die Attentäter standen bereits lange vor dem Angriff der Redaktion unter polizeilicher Beobachtung, die Behörden erkannten jedoch keine erhöhte Bedrohung und auch die Vorratsdatenspeicherung trug nicht zur schnelleren Aufklärung des Anschlags bei. Die zentrale Frage bleibt also, ob die massive Beschränkung der Freiheit des einzelnen Bürgers für eine subjektive Erhöhung des Sicherheitsgefühls Rechtfertigung genug ist. Die Garantie der öffentlichen Sicherheit und der Schutz der Bürger sind natürlich Grundaufgaben des Staates, aber ob dafür jedes Mittel recht ist, sollte nicht im Affekt beschlossen sondern gründlich abgewogen werden. Freiheit und informationelle Selbstbestimmung wurden zu hart erkämpft, als das sie im Vorbeigehen abgeräumt werden sollten.

Bild: imgki erdenpol (CC BY-NC-SA 2.0)

Was wird die EU unternehmen?

Doch die Geheimdienstkompetenz liegt bei den Regierungen der Mitgliedsstaaten, auf dessen jeweilige Leitungen die EU bisher keinen direkten Einfluss hat. Besonders wichtig erscheinen daher die Ziele, die das EP der EU selbst setzt. Erneut wird die Aussetzung des SWIFT-Abkommens gefordert, welches die Verarbeitung von Zahlungsverkehrsdaten und deren Übermittlung zwischen EU und USA regelt. Bereits im Oktober 2013 hatte das EP die Kommission aufgefordert, das SWIFT-Abkommen auszusetzen.

Für den Schutz von Grundrechten, Whistleblowern und der Pressefreiheit

Beschlossen wurde auch ein „Habeas-Corpus-Grundsatz“, der die Grundrechte der Menschen im digitalen Zeitalter schützt und mit acht Aktionen eingeführt werden soll. Zum Beispiel soll das in Ausarbeitung befindliche Datenschutzpaket noch dieses Jahr angenommen, ein Rahmenabkommen zwischen EU und USA zum Schutz der Grundrechte von EU-Bürgern abgeschlossen und ein erweiterter Schutz für Informanten gewährleistet werden. Außerdem fordert das EP die Bildung einer „hochrangigen Gruppe“, die eng mit dem EP zusammenarbeiten und Empfehlungen für weitere Schritte ausarbeitet solle, um Geheimdienste auf EU-Ebene besser kontrollieren und die Zusammenarbeit „insbesondere hinsichtlich der grenzüberschreitenden Dimension“ verbessern zu können.