Den Schweden, seit einiger Zeit durch das neue FRA-Gesetz zur Internet-Überwachung mehr oder weniger stolze Mitglieder der Top-10-Liste der bestüberwachten wedtlichen Länder, steht ein Weg, mit dem sich die Bürger vieler anderer Länder gegen allzu invasives Sicherheitstheater wehren können, nicht offen: Im Gegensatz zu beispielsweise Deutschland hat Schweden kein Verfassungsgericht, dass derartige Gesetze stoppen könnte.

Eine schwierige Situation für freiheitsliebende Schweden, die der Ansicht sind, dass den problematischen neuen Gesetzen Einhalt geboten werden muss. Dass es auch unter diesen Umständen noch Möglichkeiten gibt, sich für seine Rechte und die seiner Mitmenschen einzusetzen, beweist nun die schwedische Bürgerrechtsstiftung Centrum för rättvisa (Zentrum für Gerechtigkeit). Wie heise News vor Kurzem berichtete, gingen die Bürgerrechtler kurzerhand zum Europäischen Gerichtshof für Menschenrechte in Straßburg, um dort Beschwerde gegen das jüngst verabschiedete Gesetz, dass eine Überwachung sämtlicher über Schwedens Grenzen gehender Telefon- und Internetverbindungen vorsieht, einzulegen. Heise berichtet: In einer Mitteilung der Bürgerrechtler heißt es, das Gericht möge überprüfen, ob das Gesetz gegen Artikel 8 der Europäischen Menschenrechtskonvention verstoße, nach dem jede Person das Recht auf Achtung ihres Privatlebens hat. Dies untermauert das Centrum för rättvisa mit einem Verweis auf ein vom Menschenrechtsgerichtshof bereits gestopptes britisches Abhörgesetz (PDF-Datei), zu dem die neue schwedische Gesetzgebung Parallelen aufweise. Weiter heißt es: Die Bürgerrechtler sehen die im Gesetz verwendete Formulierung „äußere Bedrohung“, vor der es schützen soll, als zu unspezifisch an. Außerdem sei bei modernen Kommunikationsmitteln nicht immer korrekt zu unterscheiden, ob eine Kommunikation über die Grenzen Schwedens hinaus geführt werde. In dem Gesetz sei zudem der Umgang mit den erhobenen Daten nicht ausreichend geregelt, auch müssten Betroffene darüber informiert werden, wenn ihr Datenverkehr überwacht werde.

Es ist begrüßenswert, dass man in Schweden angesichts der unerfreulichen Situation nicht den Kopf in den sprichwörtlichen Sand (oder den dort, zumindest im Winter, weit eher vorhandenen Schnee) steckt oder nerdige Technikideen propagiert, die ohnehin nur einem Bruchteil der Menschen helfen, sondern Möglichkeiten sucht, die Privatsphäre aller Schweden nachhaltig vor dem Zugriff staatlicher Behörden zu schützen. Respekt dafür. Wir leben in Zeitendie es (leider) immer wieder erforderlich machen, für bestimmte Rechte entschlossen einzutreten und sie notfalls auch einzuklagen. Wer sich diese Mühe macht, verdient die Unterstützung und Anerkennung seiner Mitmenschen, für deren Schutz vor Totalüberwachung und ungesunder staatlicher Machtanhäufung er schließlich ebenso kämpft wie für seinen eigenen.

Ein weiterer Grundsatz, den man nicht oft genug betonen kann, wird an den geschilderten Ereignissen noch einmal deutlich. Privatsphäre ist Menschenrecht! Jeder hat das Recht auf, und das Bedürfnis nach, Freiräumen, die allein ihm gehören, nach einer Möglichkeit, bei bestimmten Handlungen keinerlei äußerer Kontrolle zu unterliegen. Ohne Privatsphäre kann es keine freie Meinungsäußerung, keine freie Persönlichkeitsentfaltung und letztlich keine uneingeschränkte Menschenwürde geben. Wer dies anzweifelt, wer glaubt, er habe „nichts zu verbergen“, der weiß nur nicht, was Totalüberwachung und Verlust der Privatsphäre letztlich bedeuten. Hier wird an Rechten gesägt, die für das Fortbestehen einer wirklich freien, demokratischen Gesellschaft auf Dauer essentiell sind. Genau deswegen sind Regelungen wie das FRA-Gesetz so problematisch- und genau deswegen ist es so wichtig, was das Centrum för rättvisa nun getan hat. Ich wünsche ihnen viel Inspiration und Ausdauer bei der Vertretung ihres Anliegens.

Bereits seit einiger Zeit geistert die Speicherung von Fluggastdaten (auch bezeichnet als Passenger Name Records, kurz PNR) immer wieder durch die Pläne einiger Politiker, durch Gesetze und Regelungen, und in Folge dessen durch die Alpträume von Datenschützern und Bürgerrechtlern. Nun wurde das Thema wieder einmal aktuell. Diesmal sind es Vertreter der Ermittlungsbehörden, konkret: Grenzpolizisten und Zollbeamte des Europarates, die mit einer Ausweitung der Pläne für diese für den Datenschutz extrem problematische Maßnahme liebäugeln.

Nach den Plänen der Ermittler soll die ohnehin mit 13 Jahren extrem lang ausgefallenen Speicherung von Fluggastdaten „deutlich ausgeweitet“ werden. Dies berichtet beispielsweise heise News unter Berufung auf ein Schreiben der Airport Group aus der Pompidou-Gruppe des Staatenbundes, in dem die Pläne auch näher erleutert werden. So sollen nach diesen Plänen künftig „auch Passenger Name Records(PNR) bei innereuropäischen Flügen aufgezeichnet werden. Dies sei nötig, da das Schmuggeln harter Drogen gerade auf Billigflügen innerhalb Europas stark zugenommen habe.“ Bisher war nur davon die Rede, nur bei Flügen aus der EU hinaus und in sie hinein (also über die EU-Grenzen) eine Fluggastdaten-Speicherung vorzunehmen.

Auch die Aufweichung der Kriterien für eine Nutzung der Daten will die Airport Group offenbar nach Kräften vorantreiben. Hat man die Bürger erst einmal unter Berufung auf die terroristische Bedrohung dazu gebracht, sich mit derartigen Verletzungen ihrer Privatsphäre zu arrangieren, gewöhnt man alle Beteiligten schrittweise an einen sehr viel großzügigeren Umgang mit den gesammelten Daten. So ist es leider nur allzu oft- Daten schaffen Begehrlichkeiten; sind sie einmal erfasst, zentral gespeichert und für die weitere Verwendung bereit, fallen auch allen Beteiligten Gründe ein, sie zu nutzen, und wo nicht von vorneherein auf Datensparsamkeit geachtet wird, verschiebt sich die Schwelle für eine Nutzung der gesammelten Daten schnell immer weiter zu Ungunsten der Betroffenen. Anstatt dieser gefährlichen Tendenz entgegenzuwirken, fördert die Airport Group sie auf das Heftigste. So fordert man, der Zugriff auf die PNR-Daten dürfe „nicht auf „organisiertes Verbrechen“ oder auf die Terrorabwehr beschränkt werden. Vielmehr sollte Ermittlern und ausdrücklich auch Zollbehörden der Zugang zu den Datenpools bei „schweren Straftaten“ offen stehen. Zudem wollen die Mitglieder der Gruppe online direkt auf die Reservierungssysteme der Fluggesellschaften zugreifen.“

Heise vermeldet unter Berufung auf Dokumente der inzwischen beendeten slowenischen Ratspräsidentschaft von Ende Mai, dass die EU-Innenminister Plänen für ein europaweites PNR-System positiv gegenüberstehen. Einmal mehr bewahrheitet sich hier wohl der Erfahrungswert, dass die Innenminister meist zu den Ersten gehören, die neue Fahndungs- und Präventionsmaßnahmen auch auf Kosten eines weiteren Teils unserer persönlichen Freiheiten befürworten. Innerhalb der zuständigen Ratsarbeitsgruppe hingegen ist man nach den ersten zwei Beratungen uneinig, was die Bewertung der neuen Pläne angeht. Laut heise haben „14 der 27 Mitgliedsstaaten wie Belgien, Italien oder viele osteuropäische Länder allgemeine Bedenken gegen das Vorhaben ausgesprochen.“

Selbst Bundesjustizministerin Brigitte Zypries (SPD), sonst ja teilweise nicht gerade zimperlich, wenn es beispielsweise um die Vorratsdatenspeicherung geht, äußerte sich „wiederholt sehr skeptisch“. Auch aus dem Parlament soll es Kritik gehagelt haben; „Auch fast alle Fraktionen im Bundestag sowie der Bundesrat protestierten heftig.“

Auf europäischer Ebene fantasiert man derweil schon über den nächsten Schritt in Richtung umfassende Kontrolle aller Reisenden. In besagtem Papier äußern einige Mitgliedsstaaten die Meinung, „dass das skizzierte PNR-System nur als „erster Schritt“ gesehen werden könne und künftig auch andere Reisedaten wie etwa aus dem Bahn- oder Schiffsverkehr einfließen sollten. Für den Einbezug innereuropäischer Flüge habe sich keine Mehrheit gefunden. Eine breite Mehrheit habe sich dagegen für dafür ausgesprochen, die Daten zunächst nur gegen die aufgeführten Risikofaktoren organisierter Kriminalität und Terrorismus abzugleichen, die weitere Nutzung der Informationen etwa auch für die Verfolgung anderer schwerer Straftaten dann auch zuzulassen.“ Alles klar? Geht es nach diesen Leuten, wird bald kein Verkehrsmittel mehr sicher sein vor der jahrelangen, verdachtsunabhängigen Speicherung der Daten aller Reisenden. Da es meist nicht zumutbar oder (beispielsweise aus beruflichen Gründen) schlicht unmöglich ist, auf Reisen ins Nicht-EU-Ausland komplett zu verzichten, könnten dann ohne größere Probleme Bewegungsprofile der Reisenden erstellt werden- eine Möglichkeit, die Datenschützer und Rechtsexperten (unter anderem das Bundesverfassungsgericht) schon seit Jahren mit großer Besorgnis betrachten.

Da beruhigt es auch nicht wirklich, dass über Datenschutz-Maßnahmen im Rahmen des PNR-Projekts diskutiert wird und die Erfassung gewisser besonders sensibler Daten strittig ist. Ab einem gewissen Ausmaß an mangelnder Datensparsamkeit können solche Maßnahmen keinen effektiven Schutz der informationellen Selbstbestimmung mehr darstellen, sondern nur noch Feigenblätter, die das Gewissen der Verantwortlichen ebenso wie die Gemüter der Betroffenen beruhigen sollen. Auf solche Beteuerungen sollte sich niemand verlassen, dem seine Freiheit und seine Privatsphäre am Herzen liegen. Datenschutz muss weit eher beginnen als bei derart halbherzigen Alibi-Aktionen- derartige Verletzungen unserer Privatsphäre und letztendlich unserer Bewegungsfreiheit müssen und sollten wir als Bürger Deutschlands und Europas nicht einfach hinnehmen. Hier zeichnet sich wohl für die Zukunft ein weiteres Betätigungsfeld für die europäische Datenschutzbewegung ab.

Auf besorgniserregende europaweite Pläne macht Markus von Netzpolitik aufmerksam. In einem Blog-Eintrag befasst er sich mit dem sogenannten Telekom-Paket, über das von der europäischen Union am 7. Juli abgestimmt werden soll. Obwohl das ja nicht mehr gerade lange hin ist, wurden die Planungen bisher weitgehend ohne öffentliche Berichterstattung durchgeführt (um nicht zu sagen totgeschwiegen); auch ich hörte davon heute zum ersten Mal. Daher zitiere ich hier einfach aus der Pressemitteilung von Netzpolitik:

Auf EU-Ebene wird seit Jahren das Telekom-Paket diskutiert. Dies soll einen vollkommen neuen Rahmen für die europäische Telekommunikationsrahmengesetzgebung schaffen. [...] Eine Woche vor der Abstimmung über das Telekommunikations-Gesetzespaket (”Telecom package”) verurteilt netzpolitik.org eine Reihe von Änderungsvorschlägen, die auf das Schließen der offenen Architektur des Internets zielen und Kontrolle und Überwachung der Nutzer zum Ziel haben.

Europäische Internetnutzer könnten durch verpflichtende Spyware von der legalen Nutzung des Internets abgehalten werden, im scheinbaren Interesse ihrer Sicherheit. Das Recht, freie Software für den Internetzugang zu verwenden, kann so nicht mehr aufrecht erhalten werden. Die Neutralität des Internets wird damit direkt angegriffen, und es wird eine Verpflichtung der technisch zwischengeschalteten Instanzen aufgebaut, eine vorbeugende Prüfungsaufsicht für Inhalte zu schaffen. Durch weitere Änderungen können verwaltende Autoritäten ISPs de facto zu Hilfspolizisten der Verwertungsindustrie machen, die einschüchternde Nachrichten schicken können, und das ohne gerichtliche oder regulatorischer Aufsicht. Diese Maßnahmen gehen noch weiter als die französischen “graduated response”-Pläne, die auf breite Ablehnung gestoßen war, auch am 10. April im Europäischen Parlament.

Einige der vorgeschlagenen Maßnahmen scheinen ein hohes Missbrauchspotential aufzuweisen und sollten daher nicht in eine EU-Gesetzgebung einfließen, auf der später auch nationale Gesetze aufbauen.

Daher regt sich mittlerweile Widerstand gegen die Pläne, maßgeblich vorangetrieben von der französischen Gruppe „La Quadrature du Net“, in deren Wiki man auch selbst mithelfen und/oder Ideen für Real Life-Aktivismus sammeln kann. Mithilfe ist dabei ausdrücklich erwünscht. Ich zitiere noch einmal Netzpolitik:

Es gibt eine Wiki-Seite, wo bisher in englischer und französischer Sprache Anleitungen stehen, wie man jetzt konkret Europaabgeordnete kontaktieren kann. Hier können wir noch eine deutsche Übersetzung gebrauchen. Ausserdem kann man direkt siene Europaabgeordneten kontaktieren. Auf der Wiki-Seite steht die Beschreibung. Eine Alternative zum mailen, faxen und anrufen ist Abgeordntenwatch, wo man auch die 99 deutschen Europa-Abgeordneten kontaktieren kann. Bloggt darüber und weist Eure Leser darauf hin, dass man jetzt die eigenen EU-Abgeordneten kontaktieren sollte. Am kommenden Montag ist eine wichtige Abstimmung im EU-Parlament. Die letzte Abstimmung wird dann vermutlich am 2. September sein

Um die deutsche Übersetzung der wichtigsten Punkte habe ich mich, zusammen mit ein paar Kollegen, bereits gekümmert, aber zu tun ist noch immer genug, also werdet aktiv. Gemeinsam ist Europa stark!

Laut einem Bericht von heise online wird es demnächst eine Modernisierung der europäischen Gesetzgebung in Sachen IT-Sicherheit geben. Erarbeitet werden soll der neue Gesetzesvorschlag von einer Expertengruppe der ITU (International Telecommunicaton Union). Laut einem Sprecher könne die Cybercrime-Konvention eine Richtschnur sein, allerdings gebe es neue Bedrohungen im Netz, an die man bei Abfassung der Konvention nicht gedacht habe. Im Gegensatz zum Internet sei die Konvention „nicht dynamisch“.

Das hört sich zumindest logisch und sinnvoll an. Gerade im Internet geht der technische Fortschritt meist sehr schnell, und auch die Spammer, Phisher, Trojanerbastler, Exploit-Händler und anderen Cyberkriminellen sind erfinderisch. Wie in vielen Bereichen gibt es auch bei den Bedrohungen im Internet immer neue Wellen und Trends. Für unerfahrene User ist es meist sehr schwer, sich angesichts der fast unüberschaubaren Vielfalt an Bedrohungen effektiv zu schützen, und auch für Experten ist das eine sehr herausfordernde Tätigkeit. Wer also eine Gesetzgebung haben will, die den Anforderungen der IT-Welt gewachsen ist, sieht sich in der Tat gezwungen, diese häufig zu überarbeiten und an die veränderte technische Situation und die neuen Taktiken der Kriminellen anzupassen. Immer neue Möglichkeiten, sich im Cyberspace destruktiv zu verhalten und andere zu schädigen, müssen in die Gesetzgebung einfließen, wenn diese noch eine sinnvolle Antwort auf die (virtuelle) Realität darstellen soll.

Dessen ist sich offenbar auch die ITU bewusst: Der im vorigen Jahr neu gewählte [Generalsekretär des ITU] Touré hatte unter dem Titel „Global Agenda on Cybersecurity“ das Thema Sicherheit zu einem Schwerpunktthema der ITU erklärt. Offenbar bemüht Touré sich auch, Angehörige verschiedener Gruppen (Vertreter der Mitgliedsstaaten, Personen aus der Wirtschaft, Wissenschaftler und „zivilgesellschaftliche Organisationen) an der Erarbeitung einer neuen Gesetzgebung zu beteiligen- zumindest brachte er sie mit an den Verhandlungstisch, was schon einmal positiv zu bewerten ist. So kann man auf eine ausgewogene und nicht allzu realitätsfremde neue Gesetzgebung hoffen, die die Sicherheit im Internet fördert (beziehungsweise die Leute, die diese zu schützen versuchen, in eine bessere rechtliche Position bringt) ohne in unverhältnismäßiger Art und Weise in die Freiheit der Internet-Nutzer einzugreifen. Auch auf destruktiven Aktionismus wie die deutschen „Hackerparagraphen“ wird man im europäischen Rahmen hoffentlich verzichten.

Dabei hat die Expertengruppe betont, dass es ihnen nicht um die Fortsetzung des von einigen Politikern gern beschworenen „Kampf gegen den Terror“ mit anderen Mitteln geht: Mit der „Global Agenda on Cybersecurity“ will Touré praktische Lösungen vorantreiben, politische Diskussionen dagegen meiden. Die Definitionen davon, was Terrorismus sei, variierten von Staat zu Staat. Das gleiche gelte für Pornographie. Was in dem einen Land verboten sei, falle in einem anderen unter die Meinungsfreiheit. Ideologische und politische Debatten könnten die von ihm geplanten Lösungen dagegen verzögern. Tony Rutkowski, Vice President Regulatory Affairs and Standards bei VeriSign, warnte davor, zu sehr auf das Thema Cybercrime zu starren, vielmehr solle man auf die Verbesserung der Netzsicherheit schauen.

Bleibt zu hoffen, dass der neue Gesetzesentwurf genau das hält, was er verspricht: Mehr Rechtssicherheit, insbesondere auch für Sicherheitspersonal, und Richtlinien für sinnvolle technische Maßnahmen anstatt weiteren Schritten in Richtung Totalüberwachung oder blindem Aktionismus (beides sah man in letzter Zeit leider viel zu häufig, was meines Erachtens die Situation in Sachen IT-Sicherheit alles andere als verbessert hat). Dann könnte man mal wieder zufrieden sein mit unseren Gesetzgebern.

Die Innenminister der europäischen Union haben erneut „schärfere Gesetze gegen mutmaßliche Terroristen“ beschlossen. Dies berichtet tagesschau.de. Wie in letzter Zeit so oft geht dabei wieder einmal die (angeblich oder tatsächlich effektivere) Terrorismusbekämpfung Hand in Hand mit einer weiteren Einschränkung der Privatsphäre der EU-Bürger und einer genaueren Kontrolle von deren Handlungen.

Möglicherweise ist doch etwas dran an der gelegentlich geäußerten Theorie, dass die meisten Innenminister früher oder später einen Hang zu Paranoia und übertriebenem Sicherheitsdenken entwickeln. Das würde jedenfalls erklären, wie die 27 Innenminister bei ihrem Treffen auf derart freiheitsfeindliche Vorschläge kommen.

So sollen persönliche Daten nicht nur gespeichert, sondern auch zentralisiert werden, unter anderem haben die Minister über eine Vernetzung von nationalen Datenbanken beraten. Würde das umgesetzt, gäbe es wieder eine größere Häufung von Daten an einem einzigen, zentralen Ort- zu kriminellen Aktivitäten in geradezu unanständiger Weise verlockend, den Begehrlichkeiten sämtlicher Mitgliedsländer unterworfen, kaum noch zu kontrollieren oder zu schützen. Ganz zu schweigen von der Frage, wer alles die Ehre haben wird, in einer solchen Datei erfasst zu werden…

Auch die allseits beliebte Serie „Wie beschütze ich die Freiheit, indem ich sie einschränke“ erhielt eine neue Episode: Um die Freiheit der Bürger in Europa zu schützen, sei zudem ein integriertes Grenzmanagement nötig. „Illegale Einwanderung, Menschenhandel, aber auch Terrorismus können auf diese Weise bekämpft werden“, sagte [der Ratsvorsitzende] Pereira.

Dabei nahmen sich die Europäer offenbar wieder einmal die leuchtenden Vorbilder in Sachen Datenschutz, USA und UK, zum Vorbild: Die portugiesische EU-Ratspräsidentschaft unterstütze auch die Absicht von EU-Justizkommissar Franco Frattini, die Daten von Flugreisenden mit Ziel Europa zu erfassen. Frattini will zugleich auch eine Art elektronisches Reisedokument für „vertrauenswürdige Reisende“ schaffen, um die Kontrollen für diese Gruppe zu verkürzen. Als Vorbild nannte Frattini ein System der Iris-Erkennung am Flughafen Heathrow, das dort auf freiwilliger Basis bereits von 100.000 Personen genutzt werde. Nach einigen aktionistischen und datenschutzrechtlich mehr als bedenklichen Vorschlägen in Sachen Internet-Zensur und -Überwachung hat sich Herr Frattini nun einen Rundumschlag in Sachen gesamteuropäisches Überwachungskonzept geleistet.

Dabei erhielt er, wie kaum anders zu erwarten, Unterstützung aus deutschen Landen: Auch Bundesinnenminister Wolfgang Schäuble sprach sich für die Datenbank aus. Ein elektronisches Register mit biometrischen Daten sämtlicher Nicht-EU-Bürger, die in die Gemeinschaft einreisten oder sie wieder verließen, biete die Möglichkeit, „größere Fälschungssicherheit mit einem schnelleren Ablauf der Kontrollen zu verbinden“. Zu dumm, dass in dem Paket nicht auch noch ein Mindestmaß an Schutz der informationellen Selbstbestimmung der EU-Bürger enthalten ist. Aber solche Kleinigkeiten pflegt Herr Schäuble, wie offenbar so einige seiner europäischen Amtskollegen, recht gerne zu ignorieren, wenn seine „Sicherheitskonzepte“ das erfordern.

Noch bleibt abzuwarten, wie viele der auf diesem Treffen erwogenen Maßnahmen wirklich in die Tat umgesetzt werden. Aber eines wird immer deutlicher: Eine Zusammenarbeit der europäischen Staaten in Sachen Terrorbekämpfung scheint nicht etwa wie man hoffen sollte zur Mäßigung zu führen. Statt dessen sieht es so aus, als würde die Minister der beteiligten Staaten sich eher noch anstacheln, immer umfassendere Überwachungskonzepte zu entwerfen. Ist das aus unserem gemeinsamen Traum von einem freien, einem weitgehend grenzenlosen Europa geworden?

Interessante Vorschläge zur Zukunft der Terrorismusbekämpfung in Europa hat offenbar EU-Justizkommissar Franco Frattini. Dies berichtet heise online unter Berufung auf die dpa. Wie schon einige der vorangegangenen Vorschläge Frattinis ist auch seine neueste Garnitur, vorsichtig ausgedrückt, alles andere als datenschutzrechtlich unbedenklich.

Die Rede ist unter anderem von einem „Register aller Ein- und Ausreisen in die Europäische Union“- kurz, jeder, der ins Nicht-EU-Ausland reist, würde dabei erfasst. Man kann sich vorstellen, was da an Daten zusammenkäme, schließlich liegen alleine viele der beliebtesten Ferienziele außerhalb der EU. Auch die befürchtete Zentralisierung der Datensammelei will Herr Frattini gern weiter vorantreiben: Alle vorhandenen Instrumente – wie die Schengen-Datenbank oder das Visa-Informationssystem – sollten miteinander vernetzt werden. „Die Idee dabei ist, alle Hilfsmittel zusammenzuführen und die vorhandenen Technologien besser zu nutzen“, sagte der Vizepräsident der Europäischen Kommission. Die Kehrseite der Medaille, ein kaum noch zu kontrollierendes zentralisiertes Datenaufkommen, das die Begehrlichkeiten aller möglichen Leute wecken dürfte (von staatlichen Stellen über Firmen bis hin zu Cyber-Kriminellen), verschweigt er dabei großzügig. Statt dessen heißt es beruhigend: „Die Technik ist extrem hilfreich, um die Sicherheit der Bürger zu schützen.“ Wahrscheinlich ist eher das Gegenteil der Fall, denn wer zu viele unserer privaten Daten kennt, erhält auf jeden Fall eine nicht zu unterschätzende Macht über uns. So naiv zu glauben, dass die Daten nicht in falsche Hände gelangen können, kann man kaum sein. Ich weiß, ich wiederhole mich hier, aber man kann es kaum oft genug sagen: Absolute Datensicherheit ist erwiesenermaßen unmöglich. Es gibt immer Lücken, und sehr häufig auch jemanden, der diese findet und nutzt. Wie sicher soll man sich also fühlen beim Gedanken an eine umfassende europäische Datenbank?

Auch eine weitere notorisch unsichere Technologie mit erheblichem Missbrauchspotential erhob Frattini in seinen Ausführungen zum Nonplusultra europäischer Terrorismusbekämpfung: Die Biometrie. „Wir müssen biometrische Daten besser nutzen.“ Für die Einführung digitaler Passbilder und Fingerabdrücke in EU-Pässen und anderen Dokumenten gebe es einen Zeitplan. „Eines Tages“ könne dabei auch die Augeniris erfasst werden, meinte der Kommissar. Sobald auch Visa biometrische Daten enthielten, könnten alle Ein- und Ausreisenden problemlos identifiziert werden.

Wer glaubt, damit wäre das Maximum an gesamteuropäischen Überwachungsfantasien bereits erreicht, wird eines besseren belehrt, wenn Frattini auch noch verkündet, bei der Erfassung der Fluggastdaten mit den USA gleichziehen zu wollen. Die USA, das leuchtende Vorbild in Sachen Bürgerrechte und Datenschutz. Fatalere Inspirationsquellen kann sich ein demokratischer Politiker kaum suchen.

Als Bonus gibt es noch ein paar weitere kleine Schnüffelvorhaben: In Lissabon will Frattini den EU-Ministern auch seine Pläne zur Fahndung nach terroristischen Aktivitäten im Internet darlegen. Webseiten mit Hass-Propaganda oder Anleitungen zum Bombenbau seien nicht akzeptabel. Solche Aktivitäten sollten EU-weit unter Strafe gestellt werden, sagte Frattini. Eine Datenbank über Sprengstoffe werde ebenfalls zu seinem Anti-Terror-Paket im November gehören. Weiterer Kommentar denke ich überflüssig.

Deutschland ist verglichen mit anderen Ländern in Sachen Datenschutz ein Stück bewusster und interessierter; hier gibt es einen organisierten Widerstand gegen zuviel staatliche Überwachung, wie man ihn in diesem Ausmaß anderswo nur selten findet. Auch die öffentliche Debatte über innere Sicherheit ist ein Schritt in die richtige Richtung und zeigt, dass hier durchaus ein demokratischer Dialog herrscht. Nun allerdings sieht es aus, als würde aus Europa bald weiterer Druck kommen, sich dem herrschenden Überwachungswahn weiter anzupassen. Dies ist eine sehr problematische Situation, denn selbst wenn es gelingt, der Bundesregierung Zugeständnisse abzuringen, bleiben europäische Richtlinien bestehen. Dies könnte in Zukunft durchaus zu einem ernstzunehmenden Problem für die Datenschutzbewegung werden.

Bundesinnenminister Schäuble zog was die innere Sicherheit angeht nach einer Meldung von heise online eine positive Bilanz der deutschen EU-Ratspräsidentschaft. „“Wir haben viele Dinge gut vorangebracht“, erklärte der CDU-Politiker in einer Mitteilung nach Absprache mit seinen Amtskollegen aus Portugal, Rui Pereira, und Slowenien, Dragutin Mate, Regierungsangehörigen der beiden folgenden Ratsführerschaften. Die drei Partner hatten sich Anfang des Jahres erstmals auf ein gemeinsames 18-Monate-Programm in der Sicherheitspolitik im Rahmen einer „Trio-Präsidentschaft“ verständigt. Schäubles Einfluss auf die Linie des Ministergremiums dürfte damit auch in den nächsten zwölf Monaten groß sein.“

Datenschützer dürften diese Sätze in jeder Hinsicht anzweifeln. „Gut“ wäre wohl so ziemlich das letzte Adjektiv, das Gegner einer immer weiter fortschreitenden staatlichen Überwachung für einige der von Schäuble durchgesetzten Neuerungen verwenden würden- dementsprechend hält sich auch die Begeisterung über Schäubles fortgesetzten Einfluss in Grenzen.

„Konkret lobt der Innenminister vor allem die politische Einigung zur Überführung des umstrittenen Vertrags von Prüm in den EU-Rechtsrahmen [...] Mit dem Prümer Übereinkommen gewähren sich die Strafverfolgungsinstanzen der Mitgliedsstaaten künftig gegenseitig automatisierten Zugriff auf ihre DNA- und Fingerabdruckdateien sowie die Fahrzeugregister.“ So begeistert Herr Schäuble von diesen Maßnahmen auch sein mag, unter Bürgerrechtlern werden sie heftigt kritisiert. Das Anlegen immer weiterer zentraler Datenbanken über alle Bürger (auch die vollkommen unbescholtenen) ist erstens ein inakzeptabler Eingriff in die Privatsphäre und zweitens auch vom Sicherheitsaspekt her alles andere als unbedenklich, ist es doch nicht sicher auszuschließen, dass Daten missbraucht werden oder durch technische Mängel oder menschliches Versagen in fremde Hände geraten.

Auch die Ausdehnung der Befugnisse von Europol bei der Bekämpfung grenzübergreifender Kriminalität wurde von Schäuble lobend erwähnt- und auch hier gilt wieder: Ihn mag es freuen, für die Bürger ist es alles andere als risikolos. „Kritiker sehen mit diesem Beschluss eine unkontrollierte Ausdehnung der Europol-Befugnisse einhergehen,“ schreibt heise folgerichtig. Wieder einmal werden Kontrollinstanzen ausgehebelt und Grenzen überschritten- zu Lasten der Bürgerrechte, zu Gunsten einer vermeintlichen Sicherheit, unter Ausnutzung der Angstgefühle innerhalb der Bevölkerung. Ein Muster, das sich leider immer weiter fortsetzt und auf immer mehr Lebensbereiche erstreckt, nicht nur in Deutschland, sondern auch in ganz Europa, wobei Deutschland jetzt und anscheinend auch in Zukunft eine Vorreiterrolle spielt. Der Überwachungsstaat als Exportartikel- kein Konzept, auf das ein freiheitlicher Rechtsstaat allzu stolz sein sollte.

Genau das aber scheint unser Bundesinnenminister zu sein. Neben all den „Erfolgen“, die er sich bereits auf die Fahnen schreibt, gibt es auch noch nicht minder beunruhigende Zukunftspläne: „So sei es wichtig, die Einführung des „SIS II“ weiter voranzutreiben. Die zweite Generation des Schengener Informationssystems bringe wesentliche „funktionale Verbesserungen wie die Möglichkeit der Speicherung und Übermittlung von Fingerabdrücken und Lichtbildern“. Es solle im Dezember 2008 starten. Darüber hinaus müssen laut Schäuble „natürlich die Überführungen von Prüm und Europol in den EU-Rechtsrahmen weiter begleitet werden“. Daneben seien die Verhandlungen zum Transfer von Flugpassagierdaten mit den USA abzuschließen. Der Innenminister hat sich hier im Vorfeld bereits mit dem US-Verhandlungspartner darauf geeinigt, dass die sogenannten Passenger Name Records (PNR) künftig standardmäßig 15 statt bislang dreieinhalb Jahre in den USA vorgehalten werden dürfen.“

Hochfliegende Pläne also, die die europäische Union da verwirklichen soll, und momentan sieht es nicht so aus, als würde man von diesen Plänen abrücken. Jetzt ist es an den Bürgern von ganz Europa, gegen diese Gesetze einzutreten und ihre Meinung klar zu machen.

Wie heise News berichtet, gibt es erhebliche Sicherheitsbedenken bei der ersten Generation der in Belgien ausgegebenen biometrischen Reisepässe. Diese wurden zwischen 2004 und 2006 verteilt und „weisen keinerlei Schutzfunktionen auf, um ein unautorisiertes Auslesen zu verhindern.“ Die Daten, die so problemlos ohne das Wissen oder die Zustimmung des Besitzers ausgelesen werden können, umfassen neben einem digitalisierten Passfoto auch die Unterschrift des Pass-Inhabers.

Eigentlich soll das Auslesen dieser Daten durch Kryptographie verhindert werden, jedoch weist deren Implementierung bei den betreffenden RFID-Ausweisen erhebliche Mängel auf, so dass kein wirksamer Schutz besteht. Einige dieser Fehler sind übrigens nicht auf Belgien beschränkt, sondern betreffen auch die Reisepässe anderer Länder wie beispielsweise die der Niederlande.

Solche Vorfälle sollten zu denken geben in einem Land, in dem biometrische Reisepässe vor Kurzem verbindlich gemacht wurden und gelegentlich auch über Biometrie im Personalausweis spekuliert wird. Wenn Vorfälle wie der in der Niederlanden wieder einmal nachdrücklich klar machen, wie groß die Risiken bei einer derartigen Technologie sind, sollte man sich eigentlich fragen, ob der gewählte Kurs der richtige ist. Gerade einmal drei Jahre hat es gedauert, das entsprechende System zu kompromittieren (wenn dies nicht sogar schon vorher geschehen ist und erst jetzt bekannt wird)- das erweckt nicht gerade Vertrauen, oder?

Man mag einwenden, dass es mittlerweile bessere Technologien gibt, um derartige Systeme zu schützen. Das ist ja auch vollkommen richtig. Aber jeder, der auch nur ansatzweise etwas von IT-Sicherheit versteht, weiß, dass es so etwas wie absolute Sicherheit nicht gibt. Besonders gefährdet sind dabei logischerweise Systeme, die sehr weit verbreitet sind und außerdem auch von Personen ohne technische Kenntnisse nutzbar sein müssen- sie sind naheliegende Ziele und meist in der Auswahl der Schutzmechanismen eingeschränkt. Kommt das irgendwem bekannt vor? Ja, genau, das liest sich wie die Beschreibung der biometrischen Reisepässe. Von denen werden womöglich Millionen im Umlauf und dauernd in Benutzung sein und kein Mensch wird mehr kontrollieren können, was damit passiert. Jedes Script-Kiddy wird sich ein solches Dokument besorgen und damit nach Herzenslust experimentieren können.

Erscheint es da wirklich wahrscheinlich, dass die eingesetzten Sicherheitsmechanismen nicht irgendwann umgangen werden? Nach zwei Monaten, zwei Jahren, notfalls auch nach zehn Jahren? Man muss schon extrem risikobereit sein, um bei solchen Quoten zu wetten.

Nichts anderes aber tut unsere Regierung momentan. Bin ich allein damit oder erscheint das nicht nur mir paradox? Wir haben es hier mit Personen zu tun, die tagtäglich betonen, dass ihnen unsere Sicherheit über alles geht und die aus genau diesem Grunde teils extrem weitgehende Opfer von uns verlangen. Wie ist es da zu erklären, dass eben jene Leute unsere Privatsphäre, unsere Sicherheit damit gefährden, sich auf einem anfällige Technologie festzulegen? Das geht doch beim besten Willen nur dann zusammen, wenn man vorher seinen Doktorgrad in Doppeldenk erworben hat.

Möglicherweise verlässst man sich bei der Regierung ja darauf, dass das vor kurzem verhängte „Hackertoolverbot“ eine Manipulation der RFID-Pässe verhindert. Auch bei den Schach spielenden Wahlautomaten ließ man ja kürzlich verlautbaren, dass ein einfaches Verbot ausreichte, um jegliche Manipulationen am Gerät zu verhindern.

Wenn es so weitergeht, sind wir im Bereich der Sicherheitskonzepte bald wieder bei Pentagrammen und toten Hähnen vor der Tür angekommen.