Die erste Cyber:Law-Kolumne des neuen Jahrtausends ist nur einem einzigen Thema gewidmet: dem Datenschutz.

Oft wird die Betonung von Datenschutz-Aspekten als ein typisch europäischer Sonderweg abgetan. Diese Auffassung wird man in Zukunft wohl revidieren müssen. Eine empirische Untersuchung über die Einstellung von Amerikanern zum Problem der Online-Privacy vom August 2000 zeigt, dass auch in der neuen Welt das Bewusstsein für Fragen des Datenschutzes wächst [1].

Der Titel des Internet Life Report spricht für sich: Why Americans want to rewrite the rules. Die überwältigende Mehrheit der Befragten ist nicht damit einverstanden, in welcher Weise die Internet-Unternehmen in ihre Privatsphäre eindringen. 86 Prozent aller Befragten plädieren nämlich für eine Opt-in-Lösung – Daten sollen also nur nach vorheriger Zustimmung gesammelt werden dürfen.

Es scheint einen breiten Konsens zu geben, dass bestimmte Praktiken des Sammelns von Informationen unakzeptabel sind. Trotzdem möchte man fast sarkastisch werden, wenn man die Einzelheiten, über die wir im Folgenden berichten, zu einem Gesamtbild zusammenfügt: Datenschutz? What Datenschutz?

Alle Jahre wieder …

wird der Big Brother Award, sozusagen die goldenen Zitrone der Datensammler-Branche, verliehen [2]. Hauptpreisträger ist die Initiatorin des Payback-Systems, die Firma Loyalty Partner. Nach eigener Aussage entwickelt und betreibt die Firma “branchen- und medienübergreifende Kundenmehrwertprogramme” [3]. Mit der Payback-Card von Loyalty Partner gehen mittlerweile “mehr als fünf Millionen aktive Kunden” shoppen und ziehen eine breite Datenspur hinter sich her. Davon träumen alle Werbemakler: wissen, wer wann was zu welchem Preis zu kaufen bereit ist. Nie war es leichter, die Werbung gezielt an die Frau, den Mann oder das Kind zu bringen.

Zu den Gesellschaftern der Firma gehören Branchenschwergewichte wie Lufthansa, die Unternehmensberatung Roland Berger, der Metro-Konzern (Kaufhof, Real, Sportarena) und der ehemalige Roland-Berger-Partner Alexander Rittweger. Letzterer hat früher das Miles & More-Programm der Lufthansa betreut, das die Geschäftsidee für die Payback-Karte lieferte. Kooperationspartner von Loyalty Partner sind unter anderen Apollo-Optik, DEA, Europcar, FTI Touristik, die UFA-Theater und natürlich die Unternehmen der Metro-Gruppe [4]. Wer gerne seine Fernsehgewohnheiten weitermelden möchte: Sat1 arbeitet inzwischen auch mit dem Payback-System [5].

Das Payback-System führt zum gläsernen Kunden

Wer immer fleißig Payback-Punkte sammelt, kann sie später in Prämien bei den beteiligten Kooperationspartnern umtauschen – und wird so nach und nach zum gläsernen Kunden. Solche Systeme mit den Rabattmarken der 50er Jahre zu vergleichen ist bestenfalls naiv. Damals wusste der ausgebende Händler zwar, dass der Kunde bei ihm gekauft hatte, aber er wusste nicht, was gekauft wurde. Die Konsumgewohnheiten verblieben weitgehend in der Privatsphäre.

Heute wird die Konsumüberwachung mit elektronischen Systemen immer weiter perfektioniert. Richtig ausgewertet (Stichwort Data Warehousing) lassen sich solche Informationen unmittelbar in Marktanteile umsetzen. Ganz klar, dass Kundendaten so zur begehrten Ware werden. Ob den Kunden das gefällt?

Wer fragt danach, wenn es ohnehein keine wirksamen Sanktionen gibt. Kundenfreundliche Datenschutzbestimmungen, wie sie im Teledienstedatenschutzgesetz (TDDSG) zu finden sind, werden konsequent ignoriert [6]. Es gibt wohl keine einzige Website im weiten Internet, die alle Forderungen aus dem TDDSG vollständig erfüllt. Auch die Vorzeige-Website der vereinten europäischen Datenschützer könnte noch einiges verbessern; aber dazu später.

Ins Bild passt, dass nach mehr als 15-jähriger Debatte die Bundesregierung einen Entwurf für die Novelle des Bundesdatenschutzgesetzes vorgelegt hat [7]. Man wird genau prüfen müssen, ob der 64-seitige “Entwurf eines Gesetzes zur Änderung des Bundesdatenschutzgesetzes und anderer Gesetze” das Interesse der Verbraucher am Schutz ihrer Privatsphäre im “offline-Bereich” besser zu schützen weiß als das geltende Recht.

Eine Auswahl der Big-Brother-Preisträger

Der Berliner Innensenator Dr. Eckart Werthebach erhielt ihn für seinen Wunsch, die Telefonüberwachung in Berlin entsprechend den wachsenden Bedürfnissen der “zuständigen Behörden” auszuweiten. Der Tag scheint nicht mehr fern, da allein in Berlin mehr Telefonate überwacht werden als in den USA insgesamt. Schon länger ist Deutschland Weltmeister der staatlichen Telefonüberwachung [8] mit zweistelligen jährlichen Zuwachsraten [9]. Schuld ist die fehlende Qualitätskontrolle: In Deutschland ist es im Gegensatz zu den USA nicht Praxis, die Wirksamkeit und den Aufwand von Telefonüberwachungen ins Verhältnis zu setzen.

Bei der Deutschen Bahn bekommt das Urlaubsvideo eine ganz besondere Note: Immer mehr Bahnhöfe werden durch Videokameras ständig überwacht. Dafür und für “die undurchschaubare Gemengelage” bei den Zuständigkeiten, bekommt Hartmut Mehdorn stellvertretend einen Big Brother.

Ein Preis ging an das Bundesverwaltungsamt in Köln, das im Ausländerzentralregister die Daten von rund zehn Millionen nicht deutschen Bürgern vorrätig hält und kontinuierlich erweitert.

Die Stadtwerke Bielefeld wurden ausgezeichnet, weil sie auf die unterhaltsame Idee kamen, die Fahrgäste in den Stadtbussen mit dem Programm von Radio Bielefeld zu berieseln. Wer das nicht hören will, muss umsteigen, ins eigene Auto vielleicht.

Auch GMX durfte einen Preis in Empfang nehmen. Dort wurden versehentlich alle E-Mails von 118 000 Kunden gelöscht. Der Vorfall wurde mit den Worten kommentiert: “Im Freemail-Bereich gibt es leider nur bedingt Datensicherungen.”

Last, but not least: Das Apache-Consortium hat einen Big Brother bekommen. Leider hat auch diese Preisverleihung ihre Berechtigung. Der Apache-Webserver, so wie er vom Konsortium angeboten wird, protokolliert in seinen Dateien access.log und error.log jeden Zugriff eines Clients auf eine Ressource der Website. Damit landen auch die IP-Adresse, der Browsertyp sowie Datum und Uhrzeit des Zugriffs beim Betreiber der Website, ohne dass der Nutzer darüber explizit informiert wird. Sind dann noch Module wie mod_log_ referer oder mod_usertrack (früher: mod_cookies) serverseitig im Einsatz, kann der Website-Betreiber wirklich Big Brother spielen und jeden Schritt eines Nutzers auf der eigenen Website verfolgen.

Zumindest dagegen kann man sich als Websurfer etwas schützen, wenn man zu Werkzeugen wie dem Internet Junkbuster [10] greift. Der filtert die Informationen darüber aus, von woher man auf eine bestimmte Webseite gekommen ist.

Umfassende InternetÜberwachung rückt näher

Was die Apache-Anbieter auf der technischen Ebene implementieren, das wollen die deutschen Länder-Innenminister auf der politischen Ebene durchsetzen. Auf einer Tagung Anfang Dezember einigte man sich auf eine umfassende Protokollpflicht für Internet-Anbieter. Sie sollen, so die Forderung, die Zugangsdaten der Internetsurfer (unter anderem IP-Adresse, Zugangszeit, Ressourcenabfrage) ein halbes Jahr lang aufbewahren.

Ausschnitt aus einem Access.log von Apache: Datenschützer bemängeln, dass der freie Webserver die IPs und Zugriffszeiten der Clients protokolliert.

Die Datenschutzbeauftragten laufen Sturm gegen diese Forderung. Unter der Überschrift “Das Internet ist kein datenschutzfreies Fahndungsnetz!” kritisieren sie die Position der Innenminister als “verfassungswidrig” [11]. Das Bundesverfassungsgericht habe wiederholt festgestellt, dass die Speicherung personenbezogener Daten nicht zu einer Rundumbeobachtung der Bürger führen darf. Das wäre aber im Bereich der Internetnutzung mit der angestrebten Regelung der Fall. Das vorgesehene Verfahren würde den mit den Vorschriften über Tele- und Mediendienste gewährleisteten Datenschutz in unvertretbarer Weise abbauen.

Der am 22. November 2000 beschlossene Entwurf für die Novellierung der Telekommunikationsdatenschutzverordnung (TDSV) berücksichtigt die Forderung der Innenminister bereits [12]. Wurde in der alten Fassung verlangt, nicht mehr Daten als absolut nötig und auch diese nicht länger als absolut nötig aufzubewahren, so beträgt die zulässige Speicherdauer jetzt ein halbes Jahr. Die Innenminister haben also gute Karten, ihre Forderungen nach und nach in der Praxis durchzusetzen [13].

Ein Vorbild für das Vorgehen kann man wahlweise in den britischen oder US-amerikanischen Verhältnissen sehen. In den USA hat das FBI nach richterlicher Genehmigung die Möglichkeit, mit dem Carnivore-System praktisch jede Internet-Kommunikation zu durchsuchen und gegebenenfalls mitzuschneiden [14]. Inzwischen liegt sogar eine umfangreiche Studie des Illinois Institute of Technology an den Generalstaatsanwalt der Vereinigten Staaten vor, die dem System eine Art Persilschein ausstellt [15].

In Großbritannien, dem Land der Magna Carta, geben sich die Behörden mit so wenig nicht zufrieden. Dort setzt man auf Zukunftsicherheit und will präventiv die Kommunikationsdaten (Telefon, E-Mail, Web) aller Teilnehmer für sieben (!) Jahre speichern [16]. Während das Carnivore-System bereits im Einsatz ist, wird in Großbritannien noch debattiert, ob die geforderte Überwachung eventuell gegen europäisches Recht beim Datenschutz oder die Menschenrechtskonvention verstößt.

Virtuelles Datenschutzbüro eröffnet

Hilfestellung zu allen Fragen des Datenschutzes soll künftig der Webserver der europäischer Datenschützer geben: http://www.datenschutz.de. Dort wurde das “Virtuelle Datenschutzbüro” kürzlich eröffnet. Die Organisatoren wollen eine zentrale Anlaufstelle im Internet institutionalisieren. Man findet unter der Regie verschiedener Datenschützer Informationen zur Gesetzeslage beim Datenschutz, FAQs, Hinweise zur verschlüsselten Kommunikation und News zum Datenschutz im In- und Ausland. Noch ist das Angebot auf den Webseiten recht übersichtlich, aber das ist ja erst ein Anfang.

Das “Virtuelle Datenschutzbüro” dient als Treffpunkt für alle Interessierten, auch in Englisch.

Stutzig machen allerdings zwei Dinge: Erstens findet die gesamte Kommunikation unverschlüsselt statt. Und zweitens vermisst man auch auf diesem Server eine Information darüber, ob – und wenn ja – welche Daten in welchen Log-Dateien gesammelt werden. Falls gar keine Daten gesammelt werden, so könnte und sollte das dem Nutzer kundgetan werden. Transparenz ist bei diesem Thema das oberste Gebot – und dabei gäbe es etwas zu verbessern. Vielleicht sollten sich die Macher des Datenschutzbüros am Beispiel des Thüringer Datenschutzbeauftragten orientieren, der den Besuchern seiner Webseite mitteilt, dass die Zugangsdaten gespeichert werden [17].

Internet bald nur noch lokal?

Nicht nur Datenschutzbelange werden durch das Internet auf die Tagesordnung gerückt. Auch andere Rechtsfragen gehören dazu. Immer mehr Staaten versuchen ihre Rechts- und Gesetzesvorstellungen in einem globalen Internet durchzusetzen.

Ein Beispiel ist das Urteil eines französischen Gerichts, das Yahoo mit Sitz in den USA verbot, Seiten zur Versteigerung von Nazi-Memorabilia im Internet so anzubieten, dass Franzosen darauf Zugriff haben können [18]. Es sei möglich, so befand das Gericht, Seiten exklusiv für Franzosen zu sperren. Wenn damit der Bruch französischen Rechts zu verhindern ist, muss Yahoo entsprechende Vorsorgemaßnahmen ergreifen [19]. 70 bis 80 Prozent der Franzosen könnten so gehindert werden, die in Frankreich illegalen Angebote wahrzunehmen. Und was, so kann man fragen, wird mit den restlichen 20 bis 30 Prozent? In jedem einzelnen Fall könnte Yahoo sich nach französischem Recht strafbar machen.

Nur kurze Zeit nach dem französischen Urteil gegen Yahoo hat der Bundesgerichtshof die Verurteilung eines australischen Staatsbürgers wegen Volksverhetzung bestätigt. Der Angeklagte namens Fredrick Töben oder auch Toben, ist Direktor des “Adelaide Institutes” in Australien. Er verfasste Rundbriefe und Artikel, in denen er “revisionistische” Thesen vertrat, die er auf die Homepage des Instituts bei einem australischen Server in das Internet brachte. Unter dem Vorwand wissenschaftlicher Forschung stellte Töben die unter der Herrschaft der Nationalsozialisten in den Konzentrationslagern begangene Ermordung als Erfindung “jüdischer Kreise” dar.

Diese Verbreitung der Auschwitz-Lüge sei in Deutschland auf jeden Fall strafbar, da die Webseiten auch von Deutschland abrufbar gewesen seien, also der Erfolg in Deutschland eingetreten sei. Der Ort, an dem der Server stehe, sei unerheblich für den Taterfolg, stellte der BGH fest [20].

Ein virtueller Zaun um jedes Land?

Trotz der Unappetitlichkeit solcher Versteigerungen und Publikationen sind die Urteile bedenklich. Mehr als hundert Länder sind ans Internet angeschlossen. In jedem dieser Länder gibt es andere Wertvorstellungen, Gesetze und Strafbestimmungen. Es dürfte für keinen Provider möglich sein, alle Vorschriften in seinen Angeboten umzusetzen [21]. Die einzige Chance, mit ihren Angeboten keine Vorschriften anderer Länder zu verletzen, wäre die physikalische Kappung aller existierenden Verbindungen an den Landesgrenzen. Satellitenübertragungen müssten selbstverständlich eingeschlossen sein.

Wann ist der Schaden größer? Wenn ein paar Unbelehrbare Nazisymbole (v)ersteigern oder falsche Behauptungen über den Holocaust verbreiten oder wenn um alle Länder eine Kommunikationsmauer gezogen würde? Und könnte man die – mancherorts – illegalen Handlungen damit wirklich unterbinden? Oder würden die Akteure nicht andere Kanäle suchen und auch finden?

Es ist sicherlich geboten, effektiv gegen die Ursachen menschenfeindlicher Ideologien vorzugehen. Äußerungen der Ignoranz oder der Handel mit Symbolen dürften aber eher eine Folge sein. Den Überbringer einer Nachricht zu schlagen ist bekanntlich immer billiger, als den Nährboden der Fehlentwicklungen auszutrocknen.

Einen Lichtblick gibt es auch

Doch zum Schluss eine gute Nachricht noch: IBM hat seit kurzem einen Chief Privacy Officer. Er ist in Zukunft für die Belange des Datenschutzes im gesamten Konzern zuständig. “The chief privacy officer is a trend whose time has come”, lässt sich der Gartner-Analyst Bill Malik zu diesem Thema zitieren [22].

Es bleibt also zu hoffen, dass Datenschutz in Zukunft mehr sein wird als ein Feigenblatt zur Abwehr von Bedenken. ( uwo)n