Datenschutz, Netzpolitik & Grundrechte

Vorratsdaten und Datensicherheit – Was wir von der NSA (nicht) lernen können

Eine der ersten Enthüllungen im Zuge des NSA-Skandals betraf die massenhafte Sammlung und Auswertung des Kommunikationsverhaltens von US-Bürgern. Ein Evaluierungsbericht im Auftrag des Weißen Hauses zeigt nun wie unmöglich es ist, die Sicherheit derartiger Daten sicher zu stellen. Ein Vergleich mit Österreich lohnt dennoch.

In Vorbereitung meines Vortrags (PDF) bei der Veranstaltung "Grundrechte im Netz von Ökonomie und Politik" von Arbeiterkammer und GPA-djp am 09.01.2014, habe ich mich auch mit dem Untersuchungsbericht der NSA Expertengruppe des Weißen Hauses (PDF) beschäftigt.

Darin wird neben einiger umfassender Kritik an den Praktiken des Geheimdienstes auch über das sogenannte "Metadaten"-Programm berichtet, in dessen Rahmen US Telekoms täglich Verbindungsdaten sämtlicher Telefonverbindungen bei der NSA abliefern müssen.

Ein umfassendes NSA-Kontrollsystem
Besonders interessant sind dabei die Datensicherheitsmaßnahmen, die das geheime Gericht FISC (Foreign Intelligence Surveillance Court) dem Geheimdienst zum Schutz der Daten auferlegt hat.

So musste beispielsweise sichergestellt werden, dass die Daten nur in einer sicheren Netzwerkumgebung der NSA verarbeitet werden. Der Zugriff war nur für speziell geschultes Personal (nicht mehr als insgesamt 22 Personen) ausschließlich zu Zwecken der Auslandsaufklärung gestattet. Wobei der Zugriff nur erlaubt war, wenn zwei dieser Analysten unabhängig voneinander zu dem Ergebnis kamen, dass ein nachvollziehbarer begründeter Verdacht (reasonable articulable suspicion) besteht, dass eine bestimmte Telefonnummer in Verbindung zu einer Terrororganisation steht, die vom FISC als solche anerkannt ist.

Dieser Verdacht musste weiters vor dem Datenzugriff von einem von insgesamt zwei Supervisoren überprüft und bestätigt werden. Im Anschluss daran war noch eine Prüfung durch eine dritte Stelle erforderlich, die bestätigen musste, dass keine US-Personen von dem Zugriff betroffen wären. Erst nach dieser Bestätigung konnte die Abfrage schließlich unter entsprechender Protokollierung durchgeführt werden.

Über diese Abfragen musste die NSA alle 30 Tage an das FISC berichten und auch dem Justizministerium und dem Senat entsprechende Berichte vorlegen. Die laufende Aufsicht dieser Aktivitäten wurde durch die NSA und das Justizministerium gemeinsam besorgt, wobei sogar das Schulungsmaterial für die 20 Analysten einer Prüfung unterlag. Alle 90 Tage wiederum mussten NSA und Justizministerium dem FISC einen gemeinsamen Evaluierungsbericht vorlegen um eine Verlängerung des Metadaten-Programms zu erreichen.

Nun handelt es sich bei der NSA um eine militärische Organisation. Befehle und Anordnungen werden dort also sicherlich deutlich ernster genommen als in der zivilen Welt. Man könnte also meinen, dass die beschriebenen Kontrollmaßnahmen auf Punkt und Beistrich erfüllt wurden.

Tatsächlich jedoch stellte FISC Richter Reggie Walton im März 2009 im Rückblich auf 2,5 Jahre Metadaten-Überwachung fest, dass die Datensicherheitsmaßnahmen "so häufig und systematisch verletzt wurden, dass man ruhigen Gewissens sagen kann, dass dieses kritische Element … niemals effektiv funktioniert hat." (Seite 105ff des Berichts)

Die Vorratsdaten-Kontrolle in Österreich
Hierzulande werden die Vorratsdaten, die inhaltlich weitgehend mit den NSA-Metadaten identisch sind, nicht beim Staat sondern bei den Providern gespeichert. Diese haben auch für entsprechende Datensicherheit zu sorgen und dürfen die Daten nur unter klaren rechtlichen Voraussetzungen an staatliche Stellen herausgeben.

Wie aber wird die Einhaltung dieser Vorschriften kontrolliert?

Im Gegensatz zum ausgeklügelten – aber offensichtlich nicht funktionierenden – US-System ist die Kontrolle der Datensicherheitsmaßnahmen bei uns in einem einzigen Satz des § 102c (1) TKG 2003 definiert, der da lautet:
"Die Kontrolle über die Einhaltung dieser Vorschriften obliegt der für die Datenschutzkontrolle … zuständigen Datenschutzbehörde".

So weit, so gut? Nein, gar nicht gut.

Die österreichische Datenschutzbehörde (DSB) verfügt über keine eigene technische Expertise. Für jegliche technische Überprüfung müssen daher externe Sachverständige beauftragt werden, damit sich die Behörde einen Überblick über die Lage verschaffen kann.

Eine umfassende Überprüfung der 140 zur Vorratsdatenspeicherung verpflichteten Provider scheitert aber nicht nur an den Kosten für diese externe Expertise, sondern bereits am eigenen Personalstand der Behörde.

Wie in den Datenschutzberichten der letzten zwanzig Jahre nachzulesen ist, leidet die DSB seit zwei Jahrzehnten unter akutem Personalmangel.

Von den derzeit 20,5 Planstellen sind 12 für die Führung des Datenverarbeitungsregisters erforderlich.

Es bleiben also 8,5 Planstellen übrig, die für die

  • Durchsetzung des Datenschutzrechts in ganz Österreich
  • Aufgaben der Stammzahlenregisterbehörde im E-Government und
  • Kontrolle der Datensicherheit der Vorratsdaten

zuständig sind.

Was man daraus lernen kann
Aus diesem direkten Vergleich zwischen dem NSA-Programm und der österreichischen Kontrolle der VDS-Datensicherheit kann man unmittelbar einen Schluss ziehen: Während beide Kontrollsysteme offensichtlich nicht funktionieren, hatte das US-System zumindest eine theoretische Chance tatsächlich wirksam zu sein. Das österreichische Kontrollsystem war hingegen von Anfang an zum Scheitern verurteilt.

Eine der dringendsten Maßnahmen muss es also sein, die Datenschutzbehörde zu einer voll funktionsfähigen Aufsichtsbehörde auszubauen. Dies erfordert sowohl eine massive Erhöhung des Personalstandes als auch den Aufbau technischer Expertise in der Behörde.

Kritiker führen an dieser Stelle gerne an, dass mehr Personal nicht leistbar wäre. Diesen halte ich entgegen, dass es in den letzten zwanzig Jahren sehr wohl möglich war eine Rundfunk- und Telekom-Regulierungsbehörde (RTR) mit 100 Mitarbeitern ins Leben zu rufen, deren Aufgabenbereich weit weniger weitreichend ist, als der einer bundesweiten Datenschutzbehörde.

Wo ein politischer Wille ist, findet sich eine Finanzierung. Von entsprechender Umwegrentabilität kann dabei getrost ausgegangen werden. Es ist Zeit für eine effektive Rechtsdurchsetzung im Datenschutz. Jetzt.

Flattr

Creative Commons Lizenzvertrag