Axel Spies

Deutsch-amerikanischer Cyber-Dialog


Deutsch-amerikanischer Cyber-Dialog: Verlorengegangenes Vertrauen wiedergewinnen

ZD-Aktuell 2014, 4100     Das renommierte American Institute of Contemporary German Studies (AICGS) hat am 12.3.2014 einen transatlantische Cyber-​​Dialog als ganztägigen Workshop abgehalten. Kernpunkte waren die weiter bestehenden Herausforderungen für beide Länder, die im vergangenen Jahr auf den Gebieten Datenschutz und Datensicherheit entstanden sind. An dem Treffen haben Experten aus Politik, Wirtschaft und Zivilgesellschaft aus Deutschland und den Vereinigten Staaten teilgenommen.

 

Cyber-​​Fragen stehen nach den Enthüllungen von Edward Snowden und den bislang aufgedeckten Aktivitäten der National Security Agency (NSA) in der letzten Zeit weit oben auf der politischen Agenda. Sie belasten weiterhin die Beziehungen zwischen beiden Ländern und haben eine emotionale Debatte in Deutschland ausgelöst.

 

Keine „große Lösung“ in Sicht

Die Diskussion i.R.d. Cyber-Dialogs zeigte einmal mehr, dass die amerikanische und die deutsche Regierung sowie Unternehmen unterschiedliche Auffassungen haben, um den Schutz der Privatsphäre mit dem exponenziellen Anstieg der Internet-Nutzer und der ständig wachsenden Datenfluss zwischen den Staaten in Einklang zu bringen. Experten schätzen, dass der globale Datenverkehr mehr als 30% pro Jahr zunimmt. Dies ist allerdings nicht nur ein deutsch-amerikanisches Problem, aber beide Länder sind entscheidend für die Bewältigung der damit verbundenen Probleme – auch wenn sie unterschiedliche Datenschutzregelungen und Traditionen haben. Die Teilnehmer des Workshops wiesen darauf hin, dass viel Vertrauen durch die Spionageaffaire verlorengegangen ist („Freunde spionieren nicht bei Freunden") - insb. in Deutschland. Es wird lange Zeit für die Vereinigten Staaten dauern, um dieses Vertrauen zurückzugewinnen. Die Europäer erwarten eine deutliche Bewegung auf Seiten der USA, um das Problem in den Griff zu bekommen.

 

Vermutlich wird dieses Bestreben, zerbrochenes Porzellan zu kitten, nicht zu einer transatlantischen „großen Lösung" für den Datenschutz führen. Einer der wichtigsten Problemkreise, die im Workshop diskutiert wurden, ist, ob die USA und Deutschland zu einer breiten Einigung über Regelungen zum Datenschutz zu kommen. Die Antwort muss wohl gegenwärtig „nein" lauten. Die Ausgangspunkte sind zu verschieden. In den Vereinigten Staaten werden die Daten eher als „Ware“ (commodity) angesehen, wenn eine Person ihre Informationen in die Öffentlichkeit zur Kenntnisnahme bringt. „Privacy“ als Konzept wird vor allem verwendet, um Angriffe von der Regierung unter Anwendung des Vierten Verfassungszusatzes zu vermeiden. In Deutschland hingegen definiert sich Datenschutz als ein Grundrecht, das die Öffentliche Gewalt i.R.d. verfassungsrechtlichen Vorgaben des GG auch zwischen Unternehmen und Verbraucher schützen muss. Dieses Fehlen eines gemeinsamen Konzepts der Privatsphäre macht die Diskussion über die Datenübertragungen zwischen beiden Ländern kompliziert.

 

Neue Ansätze zur Adressierung der europäischen und deutschen Interessen auf europäischer Datenschutzvereinigung i.R.d. angelaufenen US/EU-Handelsgespräche (TTIP) und der angelaufenen transatlantischen Diskussion über das US/EU-Safe Harbor-Framework werden nach Auffassung der Teilnehmer wohl eher zu eng begrenzten „kleinen“ Lösungen für den transatlantischen Datenschutz führen - zumindest mittelfristig. Daher ist es zum gegenwärtigen Zeitpunkt wichtig, dass beide Länder ein Signal setzen, dass die derzeitigen Handelsgespräche (TTIP) nicht durch das emotional beladene Thema Datenschutz blockiert werden. Möglichst schnell muss verlorengegangenes Vertrauen gerade von der US-Seite wieder aufgebaut werden, um globalen Bedrohungen der Cyber-Sicherheit gemeinsam zu lösen. Die Frage ist, wie und ob die Regierungen dazu überhaupt in der Lage sind.

 

Die Workshop-Teilnehmer diskutierten in diesem Zusammenhang über die Verschiebung von Kompetenzen im IT-Bereich der Regierung zu privaten Dienstleistern (das Schlagwort der Teilnehmer hierfür lautet „Googlement "). Diese Kompetenzverlagerung beinhaltet so gut wie alle IT-Bereiche wie Datenübertragung, Speicherung, Suche und andere Datenverarbeitung. Staatliche Stellen verwenden häufig die Privatwirtschaft für die Zwecke der Effizienz. Allerdings ist  häufig nicht klar, wie das Outsourcing dieser Funktionen die Kontrolle über die Daten beeinflusst. Die Gesetze des US-Kongresses sind typischerweise „technik-neutral", was aber häufig von Politikern als Entschuldigung verstanden wird, sich nicht umfassend über neue Technologien und deren konkrete Auswirkungen auf die Gesetzgebung umfassend zu informieren. Jede neue Technologie schafft neue Anforderungen, mehr und mehr Daten zu sammeln. Die Frage ist, wie die Regierungen diesen Prozess und dessen Auswirkungen wirksam kontrollieren können und wie geeignete Partner des Privatbereichs gefunden werden können, die zuverlässig sind und zugleich die bürgerlichen Freiheiten schützen. Dieser Komplex stellt Deutschland und die USA vor ähnliche Herausforderungen.

 

Vermischung von Cyber-Sicherheit und Datenschutz

Die Teilnehmer meinten weiterhin, dass in Deutschland häufig Cyber-Sicherheitsfragen mit Datenschutzfragen vermischt werden, obwohl deren Zielrichtung nicht immer dieselbe ist. Nicht alles, was i.S.d. Cyber-Sicherheit sinnvoll ist, ist auch datenschutzrechtlich zulässig. Die Regierung muss in der Lage sein, die Bürger und ihre Daten gegen Bedrohungen von außerhalb wirksam zu schützen. Darüber hinaus muss sie die Herausforderungen an den Austausch von Informationen zwischen den zuständigen Stellen und bei der Aktualisierung ihre eigenen Gesetze bei einer Datensammlung adressieren. Der freie Datenverkehr über die Grenze weg ist ein wichtiger Faktor für eine globale Wirtschaft. Dies müsse die Debatte mehr berücksichtigen.

 

In den Vereinigten Staaten stehen die Befugnisse der NSA zur Speicherung und Analyse von Daten in den Mittelpunkt der Debatte. Der Vertreter der NSA betonte im Workshop, dass die NSA-Beamten ihre Arbeit und ihren Eid sehr ernst nehmen. Die Frage ist, wie der schon bestehende Rechtsschutz gegen eine Massenspeicherung auf  Nicht-US-Bürger erweitert werden kann. Hierzu gibt es weiterhin unterschiedliche Ansichten. Einigkeit bestand, dass die NSA einiges besser machen könne, um den Bürgern und dem Ausland zu erklären, z.B. durch mehr Transparenz, warum die NSA bestimmte Daten speichert und warum dies angesichts der Bedrohung verhältnismäßig ist. Politiker und Strafverfolgungsbehörden müssen entscheiden, ob eine Datensammlung wirklich notwendig ist, um kriminelle Aktivitäten abzuwehren („Nur weil wir es tun können, sollten wir es tun?“). Auch in den USA scheint sich die Ansicht durchzusetzen, dass der bloße Zweck (z.B. Schutz vor Terrorismus ) nicht alle Datensammlungen als Mittel heiligt.

 

Wie lautet das „End Game“?

Die Workshop-Teilnehmer waren sich bei allen Differenzen  darüber einig, dass die politische Führung in beiden Ländern klar aufzeigen muss, wohin die transatlantische Debatte über den Datenschutz führen soll. Dies würde eine stärker fokussierte und technisch fundierte Debatte erleichtern. Eine Vereinbarung wie ein „No-Spy-Agreement“ oder eine Überarbeitung des Safe Harbor-Framework zum Datentransfer in die USA könnten mehr Vertrauen in beiden Ländern schaffen. Es gab allerdings auch einige Meinungsverschiedenheiten unter den Teilnehmern, ob eine deutsch-amerikanisches „No-Spy-Agreement" nützlich oder realistisch sei. Es wurde angeführt, eine solche Vereinbarung sei zu einer „emotionalen Entlastung " für die Deutschen wichtig. Eine solche Vereinbarung und mehr Transparenz zwischen den alliierten Geheimdiensten könnten zu besseren Möglichkeiten führen, um Informationen über Bedrohungen in Echtzeit zu teilen.

 

Die Datenübertragungen in die USA werfen außerdem das Thema der „technologischen Souveränität" für Deutschland auf. Deutschland ist besorgt, dass das Land die Hoheit über die persönlichen Daten seiner Bürger verliert, wenn die Daten anderswo gesammelt oder gespeichert werden. Dies mache es einfacher für ausländische Geheimdienste, die deutsche Regierung oder Industrie auszuspionieren. Einige europäische Unternehmen der Branche sind deshalb für die Schaffung eines wie immer gearteten deutschen Netzes („Schlandnetz“) oder eine „Schengen-Cloud.“ Die Teilnehmer des Workshops meinten jedoch überwiegend, eine Schengen-Cloud (wie immer sie in der Praxis aussähe) sei wenig realistisch, da sie zu massiven Veränderungen an der bestehenden Infrastruktur und enormen volkswirtschaftliche Kosten führen würde.

 

Eine Reform oder zumindest die Aktualisierung der US/EU-Safe Harbor-Framework sind ein eher naheliegender nächster Schritt. Beide Seiten müssen dazu zuerst dahingehend zusammenkommen, dass das langjährige US/EU-Safe Harbor-Framework und der NSA-Fragenkomplex nicht miteinander verbundene Themenkreise sind. Dies würde eine offene Diskussion darüber, was nach dem aktuellen Safe Harbor-Agreement funktioniert und was nicht, erleichtern.

 

Workshop: Questions for Further Debate

  • Do Americans and Europeans have fundamentally different values when it comes to data privacy and protection?
  • Are there better ways of identify and sharing information about threats to the economies and societies on both sides of the Atlantic?
  • If government is increasingly dependent on the private sector, who should ultimately be in control of collecting and using data?
  • What are the economic incentives for business to join the public forum on these issues?
  • How can policymakers learn more about technical issues in order to make sound decisions?
  • What privacy issues should be prioritized in order to rebuild trust and confidence across the Atlantic? Should there be increased integration or privacy? Do you improve existing infrastructure or rebuild it in a different way?
  • What should be the final goal and how should it be articulated?

 

Weiterführende Links

Vgl. im Einzelnen zum Themenkreis des internationalen Datentransfers das neue englische AICGS Issue Paper: Spies, German/U.S. Data Transfers: Crucial for Both Economies, Difficult to Regain Trust - abrufbar unter:  http://www.aicgs.org/publication/germanu-s-data-transfers-crucial-for-both-economies-difficult-to-regain-trust/ 

 

Dr. Axel Spies ist Rechtsanwalt bei Bingham McCutchen in Washington DC und Mitherausgeber der ZD.