Es ist schon traurig: Die EU-Bürger interessieren sich nicht für den Datenschutz, halten ihn jedenfalls nicht für so wichtig wie etwa Zuwanderung oder Arbeitslosigkeit. So zitierte der Dekan der Rechtswissenschaftlichen Fakultät der Uni Luxemburg, Professor Stefan Braum, während einer Podiumsdiskussion am vergangenen Montag eine Studie zu Themen, bei denen EU-Bürger politischen Handlungsbedarf sehen.
Das (ausschließlich männlich besetzte) Expertengespräch mit dem viel versprechenden Titel „Les défis en matière de protection de la vie privée dans un monde interconnecté“ hatte das Interdisciplinary Centre for Security, Reliability and Trust der Uni Luxemburg auf Kirchberg zum Europäischen Datenschutztag am 28. Januar organisiert. Es war nicht die einzige Veranstaltung zum Datenschutz. Viviane Reding lud pflichtschuldig am Montag Journalisten zu einer Pressekonferenz ein. Die EU-Kommissarin verantwortet die europäische Datenschutzverordnung, um die Europas Abgeordnete, EU-Kommission, EU-Regierungen und nicht zuletzt Tausende von Lobbyisten derzeit in Brüssel ringen und die auch auf Kirchberg Diskussionsgegenstand war. Redings Mandat als Kommissarin geht im April zu Ende, als CSV-Spitzenkandidatin bei den Europawahlen im Mai hofft sie, punkten zu können.
Doch während Reding ein berufliches Interesse am Datenschutz hat und die gewiefte Politikerin von sich zu Recht sagen kann, Position für mehr Privatsphäre bezogen zu haben, hat der Eifer, mit dem sich diese Woche IT-Experten und Verbraucherschützer zu Wort meldeten, einen Beigeschmack. Wo waren der Luxemburger Datenschutzbeauftragte, als die ersten Enthüllungen des Ex-NSA-Mitarbeiters Edward Snowden das Ausmaß der Überwachung deutlich machten, denen sich Millionen von EU-Bürger ausgesetzt sehen? Wo war er, als sich im November 2012 bestätigte, dass der Luxemburger Geheimdienst über Jahrzehnte politische Verdächtige beschattete und dies offenbar bis in die Gegenwart hinein? Wo waren die Juristen und Verbraucherschützer, die jetzt besorgt davor warnen, das Grundrecht auf Privatsphäre und das Recht auf informationelle Selbstbestimmung seien durch die zunehmende Informatisierung persönlicher Daten in Gefahr, als die automatische Vorratsdatenspeicherung eingeführt wurde? Und, nicht zuletzt: Wo sind die Politiker, die den Schutz des Einzelnen gegen amerikanische, britische und andere Spione verteidigen und sich nicht nur empören, wenn es ins politische Klima passt und man sich vom politischen Gegner abzusetzen hofft?
Inzwischen weiß fast jeder, dass Smartphones, Laptops, Online-Bankkonten, soziale Netzwerke von Geheimdiensten und Polizei, und nicht nur von ihnen, genutzt werden, um an persönliche Daten zu kommen. Nur etwas mehr als ein Viertel der Nutzer sozialer Netzwerke und sogar noch weniger Online-Käufer (18 Prozent) haben den Eindruck, die vollständige Kontrolle über ihre Daten zu haben, ergab eine Datenschutz-Spezialausgabe des Eurobarometers. Um ihre Identität im Alltag zu schützen, geben rund 62 Prozent der befragten Europäer an, nur die minimal erforderlichen Informationen ins Netz zu stellen.
Das war 2011, vor den Enthüllungen eines Edward Snowden. Während Viviane Reding versucht, die gestiegene öffentliche Aufmerksamkeit zu nutzen, um die Datenschutzverordnung voranzutreiben, die auch US-Firmen verpflichten würde, sich an europäische Mindeststandards zu halten, schließt derweil die deutsche Bundeskanzlerin Angela Merkel aus, die Verhandlungen über ein Freihandelsabkommen der EU mit den USA abzubrechen, um so Druck für ein No-Spy-Abkommen zu erzeugen. Sie will mit der Kraft der Worte überzeugen.
So energisch und überzeugend war ihr Protest (und der anderer Politiker) darüber, dass sie abgehört wurde und die Daten Millionen EU-Bürger ohne konkreten Tatverdacht jahrelang von den USA gespeichert wurden, dass der US-Präsident Barack Obama kürzlich bekräftigte, er werde die Befugnisse der Geheimdienste nicht spürbar einschränken. Will heißen: Das Absaugen und Speichern von millionenfachen Daten auch ausländischer Bürger soll der NSA weiterhin erlaubt sein. Es könnte ein Terrorist oder sonst ein interessantes Profil darunter sein.
Europa braucht europäische Regeln, betonen Politiker wie der Grüne Claude Turmes vor zwei Wochen gegenüber Schülern im Lycée Aline Mayrisch, auch er, wie Reding, auf Sympathietour. Es sind – neben den Piraten – die Grünen, die bisher am konsequentesten für mehr Datenschutz eingetreten sind. Der grüne Abgeordnete und Berichterstatter der umstrittenen EU-Datenschutzverordnung, Jan Philipp Albrecht, reist derzeit durch verschiedene Mitgliedstaaten, um auf die Bedeutung der Abstimmung im Europäischen Parlament aufmerksam zu machen.
Déi Gréng waren die einzigen, die 2005 gegen die Vorratsdatenspeicherung stimmten. Alle anderen, auch die damalige liberale Opposition, stimmten für das Gesetz. Es verpflichtet Luxemburger Telekommunikationsanbieter wie die Post dazu, Verbindungsdaten von tausenden Luxemburger Bürgern provisorisch zu speichern. Die CSV-LSAP-Regierung hatte es eilig, die umstrittene und noch gar nicht verabschiedete EU-Richtlinie in nationales Recht umzusetzen. Derzeit ist ein Verfahren vor dem Europäischen Gerichtshof anhängig, bei dem entschieden werden soll, ob das massenhafte Speichern von Daten ohne konkreten Verdachtsmoment überhaupt zulässig ist.
Die luxemburgische Vertretung der EU-Kommission scheint von dem grünen Wirken nichts zu wissen – oder es bewusst zu ignorieren. Sie lud zu ihrem Rundtischgespräch diesen Donnerstag neben dem obersten Datenschützer Gérard Lommel lediglich Vertreter der christlichen Parteien ein. Darunter der Luxemburger Abgeordnete Frank Engel (CSV), der der Bürgerplattform www.lobbyplag.eu dadurch auffiel, dass er mit seinen Änderungsvorschlägen im Justizausschuss schärfere Datenschutzbestimmungen abschwächen will.
Dass Internetfirmen sich mehr oder weniger direkt und bewusst zu Handlangern von Geheimdiensten machen, wissen Luxemburger spätestens, seitdem der hiesige Datenschutzbeauftragte einer Beschwerde eines Wiener Bürgers gegen die in Luxemburg ansässige Unternehmen Skype und Microsoft nachging. Eine erste vage Antwort stellte den Wiener nicht zufrieden, auf die zweite Antwort von der Datenschutzkommission wartet er noch immer.
Die engen, mitunter dubiosen Verstrickungen zwischen Firmen und Geheimdiensten, und die Rolle des Konsumenten darin, werden hierzulande kaum hinterfragt. Verbraucher- und Datenschützer warnen Kunden zwar davor, zu viele persönliche Angaben ins Netz zu stellen, einige geben brauchbare Tipps zur Verschlüsselung. Mega-Datenklau durch Phishing-Attacken oder kriminelle Hacker, wie zuletzt in Deutschland oder Südkorea, wo Millionen Email- und Kreditkontendaten angezapft wurden, zeigen: Die Bedrohung ist real. Trotzdem findet eine breite gesellschaftliche Auseinandersetzung zu den umwälzenden Veränderungen, die die Kommunikationstechnologien für Luxemburg, Europa und die Welt gebracht haben, nicht statt. Außer dem Datenbeauftragten, der sich oft umständlich technisch und abseits in Hinterzimmern oder auf Fachkonfernzen äußert, bezieht kaum jemand Position. Weder aus der Wirtschaft, noch aus der Politik. Der DP-Abgeordnete Eugène Berger hatte 2013 die schwierige Sicherung von Neutralität in Datennetzen thematisiert. Die Grünen hinterfragten das Sammeln von Schülerdaten. Das war es auch schon fast.
Es mangelt nicht an Themen: Der Zugang zu und die Zukunft der Srel-Akten ist noch nicht geklärt (und soll im parlamentarischen Kontrollausschuss künftig ohne ADR und déi Lénk besprochen werden), Luxemburgs neue Regierung unterstützt, wie die vorige, eine EU-weite Datenschutzverordnung: „Ainsi nous renforcons la protection actuelle de nos citoyens et nous redonnons confiance“, heißt es in einer Notiz des Kommunikationsministeriums, die dem Land vorliegt. Die vorige Regierung hat immer so getan, als sei Luxemburg zu klein und unbedeutend, um Begehrlichkeiten ausländischer Geheimdienste zu erregen. Aber Luxemburg macht mit beim Brüsseler IntCen, dem europäischen Intelligence Analysis Center, wo es nicht nur Daten empfängt, sondern Land-Informationen nach auch beisteuert. Welche, ist unklar. Kenner gehen davon aus, dass 80 bis 90 Prozent der Daten, mit denen Geheimdienste heute arbeiten, aus dem Open source kommen, also im Netz verfügbar sind. Es gibt also genügend Anlass, sich Sorgen zu machen – und skeptisch nachzuhaken.
Dabei gibt es hierzulande IT-Experten zuhauf. Der Bankenplatz braucht sie, schon um ihre sensiblen Finanz- und Kundendatenbanken abzusichern. Forscher von Security and Trust betonten am Montag, es gebe einen „großen Markt“ für Verschlüsselungstechnologien und preisten die Vorzüge des Luxemburger Standorts an. Aber vielleicht sollten sie zunächst ihr eigenes Haus besser absichern: Anfang November stahlen Einbrecher Laptops aus dem Block F des Campus Kirchberg.
Darauf, dass Gschäft mit den Daten durch Firmen, die diese verkaufen oder per Verschlüsselungstechnologie schützen wollen, eine Kehrseite hat, wies Rechtsdekan Stefan Braum am Montag hin: Was, wenn sich später nur jene vor Schnüffelei und Datenraub schützen können, die das nötige Geld für Verschlüsselungstechnologien haben? Daran knüpft eine weitere wichtige Frage an: Wem gehören die Daten? Wenn Firmen Kundendaten speichern, die Kundin aber nicht weiß, was mit ihnen geschieht, sie sie nicht einmal wirksam löschen kann, wenn sie die Geschäftsbeziehung zum Unternehmen beenden will, dann ist das in der Europäischen Menschenrechtscharta verbriefte Recht auf informationelle Selbstbestimmung nicht das Papier wert, auf dem es steht. Die geplante Datenschutzverordnung sieht daher ein „Recht auf Löschung“ vor.
Zumal immer mehr Menschen mehr oder weniger bereitwillig ihre Daten hergeben, beziehungsweise Werbung in Apps akzeptieren (müssen), um gewisse Online-Dienste gratis zu nutzen, weil sie sich die werbefreie Version nicht leisten können. Auch das ist eine bedenkliche Entwicklung, über die in Luxemburg niemand laut nachdenkt. Mittels Facebook, Twitter, Linkedin und so weiter, auf dem Smartphone per Ortungsdienst, der dem Benutzer auf Schritt und Tritt folgt, lassen sich ausführliche Nutzerprofile erstellen. Apps analysieren das Konsum- und Schlafverhalten, Fernseher liefern bald schon personalisierte Werbung direkt ins Wohnzimmer.
Im April tagt in Luxemburg die Medetel, das internationale „eHealth, Telemedicine and Health ITC Forum for Education, Networking and Business“. E-Health verspricht bessere Diagnosemöglichkeiten, wenn Mediziner künftig per Knopfdruck in Sekundenschnelle Krankheitsbilder aus digital gespeicherten Patientendatenbanken vergleichen können. Aber was geschieht, wenn der Krankenversicherer die Daten in die Hände bekommt, oder der Arbeitgeber etwas von einem erhöhten Krebsrisiko erfährt und einen Bewerber daraufhin nicht einstellen will? Die Konferenzteilnehmer kommen aus über 50 Ländern, zu den Medetel-Sponsoren zählen Firmen wie Orange, der Pharmakonzern Sanofi, Software-Unternehmen Medweb aus den USA, Mitla aus Japan und Contec aus China. Auch Luxemburger Firmen hoffen, sich hier profilieren zu können.
Schalt’ doch ab, steig’ aus, wenn’s dich stört, raten die einen. Wir haben nichts zu verbergen, beteuern die anderen. Aber ist das nicht naiv angesichts von Überwachungsprogrammen, die heute per Knopfdruck aus der Ferne aktiviert werden? Ja, das Internet soll kein rechtsfreier Raum sein (zu oft ist es genau das), aber wo verläuft die Grenze zwischen notwendiger, legaler und effektiver Verbrechensprävention und Strafverfolgung auf der einen Seite und einer totalen Überwachung auf der anderen? Und was bedeutet es überhaupt, Bürger in einer digitalen Gesellschaft zu sein, in der Teilnahme und Interaktion immer öfters voraussetzt, einen Internetanschluss und ein Smartphone zu besitzen und sie einzuschalten?
Während in Berlin und anderswo Hacker wie Jacob Applebaum, IT-Forscher wie Evgeny Mozorov, Politiker wie Jan Philipp Albrecht und interessierte Bürgerinnen über diese dringenden Fragen nachdenken, nach Gegenstrategien in Zeiten wachsender digitaler Kontrolle suchen, scheint Luxemburg noch im Tiefschlaf zu liegen. Außer vielleicht die Piraten, die aber auch weiterhin davon träumen, anonym im Web surfen zu können und oft recht bedenkenlos Daten-Transparenz und Open data fordern. Der Komplexität der Herausforderungen einer durchdigitalisierten Gesellschaft haben aber auch sie programmatisch wenig entgegenzusetzen.