Bundesinnenminister De Maizière hat im Tagesspiegel vom 28.02.2010 den Gastbeitrag Digitaler Datenverkehr veröffentlicht, den man – da als Meinung und Kommentar deklariert – wie andere Statements zuvor, als seine persönlichen "Eckpfeiler der Internet- und Netzpolitik" bezeichnen kann oder in Anlehnung an die Arbeitsliste, die der CCC vor den Koalitionsverhandlungen ausgestellt hatte, als aktuelle Sammlung der Punkte, die er gerade auf seinem "Spickzettel" notiert hat.

Was davon in die tatsächliche Internet- und Netzpolitik der Bundesregierung einfließen wird, steht noch auf einem anderen Blatt, denn dazu wird der Koalitionspartner FDP auch ein Wörtchen mitreden wollen, es gibt jenseits von De Maizière in der CDU auch noch andere Leute wie Uhl und Bosbach und die Realpolitik sieht dann auch wieder anders aus, wie zum Beispiel De Maizière Abstimmungsverhalten zur SWIFT-Geschichte zeigte. Aber wenn wir mal davon absehen und uns an den reinen Wortlaut dieser Veröffentlichung halten, was steht denn so in diesem Spickzettel?

Zuerst einmal, dass der Bundesinnenminister nichts von "Internet-Führerscheinen" und einem "Internet-TÜV" hält.

Der Begriff des "Internet-Führerscheins" hat aus meiner Sicht zwei Ausformungen: Im Zusammenhang mit einem "Internet-TÜV" eine zwingend vorgeschriebene oder freiwillige Ausbildung "am Gerät", sprich die Erlernung des Umgangs mit dem Computer, der Software im Zusammenhang mit der Nutzung von Internetanwendungen und -diensten, mit anschließender Prüfung und Auffrischungen erworbener Kenntnisse und Ausstellung einer "Nutzungs- und Betriebserlaubnis". Auf Anbieter von Internetinhalten bezogen, könnten das Kennzeichnungspflichten oder gar Anmeldepflichten wie in China sein, mit Kontrolle durch staatliche Behörden, die regelmäßig nachschauen, ob auch alles seine Richtigkeit hat.

Über die erste Ausformung könnte man sogar in anderer Gestalt nachdenken. An einigen Schulen laufen ja bereits Projekte, um Schülern die nötige Kompetenz im Umgang mit dem Computer, dem Internet, den Medien und den eigenen Daten zu vermitteln, besonders auf "Silver Surfer" abgestellte Kurse oder Kurse für interessierte Bürger an Volkshochschulen vermitteln "Senioren" und "Newbies" Kenntnisse und Tipps für den Umgang mit dem Internet. Das kann man ruhig ausbauen und wenn Teilnehmer am Ende ein nett gestaltetes Zertifikat mit dem Titel "Internet-Führerschein" erhalten, dass sie sich an die Wand pinnen oder abheften können, warum nicht. Da man es in Deutschland gerne mit Zwängen, Verordnungen, Prüfung und Kontrolle hat, verbunden mit der Absage, auch daraus wieder ein Fach zu machen, für das es Noten, Bestrafung oder staatliche Sanktionen und Kontrolle für diejenigen gibt, die nicht in das Bild des korrekten Internetnutzers passen. Es wäre auch absurd und nicht umsetzbar, die Internetnutzung jedes Bürgers vom Erhalt eines staatlichen "Internet-Führerscheins" oder "Internet-Zeugnisses" abhängig zu machen. Das wären mit den Worten des Innenministers gesprochen die "Karten", "Navigationssysteme", "Orintierungshilfen" und "Aufklärung", die sich die Bürger "selbtbestimmt" in "Privatautonomie" aneignen können.

Über die zweite Ausformung denke ich gar nicht nach, sondern lehne es ab, bis vielleicht auf die bekannten und expliziten "ab 18 Bereiche". Zwangskennzeichnungen, Anmeldepflichten wie in China und Betriebsprüfungen von Inhalteanbietern wären auch in Deutschland entweder Vorstufen und Vorbereitungen oder Bestandteile von Zensur-Infrastrukturen.

Die zweite Form des "Internet-Führerscheins", so wie er zum Beispiel auch von Leuten aus den Branchen für Biometrie- und Netzwerksicherheit-Lösungen oder Bereichen der Cyber-Kriminalitätsbekämpfung immer wieder angedacht wird, wäre die technische Umsetzung einer Identifizierungs- und Authentifizierungs-Infrastruktur, die vor jedem Internet-Zugang und bei jeder Nutzung von Internet-Diensten den permanenten Identitäts-Nachweis und die Möglichkeit der jederzeitigen Rückverfolgbarkeit und Aufdeckung der Identität zwingend voraussetzt – u. a. mittels eines "Identitäts-Token" wie dem auch vom Bundesinnenministerium geförderten elektronisch-biometrischen Personalausweises (ePA) oder "neuen Personalausweises" (nPA), wie er jetzt im Neusprech-Sprachgebrauch heißt und kontrollierter Internet-Dienste wie der De-Mail.

Ob sich der Einzug biometrischer Identifizierungsmittel und elektronischer Identitäts-Dokumente nicht in diese Richtung mit den möglichen Kollateralschäden in Gestalt weiterer Eingriffe in das Telekommunikationsgeheimnis und Aushebelung anonymisierter Nutzungsmöglichkeiten des Internets auswirken wird, kann auch der aktuelle Bundesinnenminister weder garantieren, noch ausschließen. Es bleibt auf lange Sicht gesehen fraglich, ob es in Zukunft dabei bleiben wird, dass "die Bürger selbstbestimmen, ob und in welchem Umfang sie diesen elektronischen Identitätsnachweis nutzen" und ob staatlich kontrollierte und reglementierte Dienste, wie es die De-Mail nun mal ist, langfristig nur "zusätzlichen Möglichkeiten" bleiben.

Zum Komplex Datenschutz, Rechtsschutz Datenkontrolle nehme ich mal die Diskussion um den Datenbrief heraus, einer Idee des CCC, die De Maizière nach seinem "Dialog mit der Netz-Community" auch in diesem Spickzettel aufgreift.

Zuerst einmal ist positiv zu vermerken, dass der Bundesinnenminister feststellt, dass "die Nutzer eine echte Wahl haben müssen, ob sie etwa die Weitergabe ihrer Daten akzeptieren oder nicht", denn wenn dieser Feststellung gefolgt wird, bedeutet sie die grundsätzliche Absage an jede Opt-Out Stategie und das grundsätzliche Opt-In, sprich es können Daten nicht erst erhoben, gesammelt und weitergegeben werden und der Kunde, Nutzer muss seine Verneinung äußern, sondern es ist immer die Einwilligung des Kunden und Nutzers nötig. Würde aber auch bedeuten, dass Opt-In in vollem Umfang gilt und man keine Ausnahmen gewährt, wodurch sich wieder Schutzlücken auftun und Datenschutz verwässert wird. Das kennen wir ja bereits.

Ob er sich damit immer gegen Lobbys wie die der Werbeindustrie und die Kollegen der eigenen Partei und des Koalitionspartners durchsetzen wird, bleibt abzuwarten. Ich würde auch nicht defensiv darauf warten und setzen, dass sich auf Seiten der Datensammler aller Art "freiwillig" und "selbstverpflichtend" in der Hinsicht etwas bewegt. Das mag dem eigentlich positiven Grundtenor entsprechen, zuerst den Dialog zu suchen und Überlegungen anzustellen, anstatt alles sofort mit Gesetzen und Verordnungen regeln zu wollen und es entspricht auch den politischen Prinzipien der CDU und FDP, den privatwirtschaftlichen Bereich möglichst nicht zu behelligen und erst einmal selbst wurschteln zu lassen. Aber ich kann mich leider nicht an positive Entwicklungen und Resultate erinnern, die auf Selbstverpflichtungen und den Willen basierten, sich freiwillig zu reglementieren und zu beschränken. Das bleibt nicht zielführend und erfolgversprechend.

Was mir zu diesem Punkt, wie auch zum Punkt der nachträglichen Datenschutzkontrolle per Datenbrief in den Ausführungen De Maizières fehlen, sind eindeutige Positionen zur staatlichen Datensammelei und Kontrolle der Daten, die staatliche Stellen gesammelt haben. Die Prinzipien der Datensparsamkeit und Datenvermeidung werden zwar angetippt, aber sie zu Eckpfeilern staatlichen Handelns zu machen und darzustellen, wo und wie sie umgesetzt werden sollen, war für mich nicht erkennbar. Dabei wäre es gerade im Angesicht der SWIFT-Debatten, dem Flugpassagierdatenaustausch, der Vorratsdatenspeicherung und auch dem von De Maizière verfolgtem Ziel, den europäischen und internationalen Datenaustausch und Vernetzungsgrad der Sicherheitsbehörden weiter voranzutreiben, äußerst interessant gewesen, wie dazu De Maizières Positionen aussehen.

Was den Datenbrief angeht, zeichnen sich De Maizières Ausführungen wiederum dadurch aus, dass er zu gleichartigen Verpflichtungen von Stellen und Behörden des Bundes, der Länder und Kommunen nichts ausführt. Ich kann mich an die Veröffentlichungen von Datenschutz-Checkheften der Landesdatenschutzbehörden erinnern, in denen der Bürger Karten finden kann, mit denen er bei einzelnen Stellen manuell anfordern muss, welche Daten von ihm gespeichert wurden. So sollte es nicht weitergehen, sondern die staatliche Sektoren müssen auch in das Datenbrief-Konzept integriert sein – wenn es zu einer Umsetzung des Datenbrief-Konzeptes kommen würde.

Generell finde ich die Idee des Datenbriefs positiv. Schon alleine deshalb, weil an die Stelle der Holschuld des Bürgers und Kunden, um an die Auskunft zu den Daten zu gelangen, die erhoben, gespeichert, gesammelt und weitergegeben wurden, die Bringschuld des Staates und der Wirtschaft gesetzt würde. Das betrifft zum Beispiel auch die Daten einer Schufa, die man sich ab dem 1. April einmal im Jahr selbst abholen muss.

Beim Datenbrief steckt laut De Maizière "der Teufel im Detail". Es werden mehrere Teufel sein.

Ein Teufel wäre die Frage, wie ich an den oder die Datenbriefe komme? Ein zentraler Datenbrief, der alle Datensätze, Quellen und Ziele von der Datenerhebung bis zur Datenweitergabe in sich vereinigen würde, verbietet sich schon von selbst, denn ein besseres Gesamtprofil könnte man sich nicht vorstellen. Datenbriefe dürften nicht zu neuen Möglichkeiten führen, direkt oder über Verknüpfungen Gesamtprofile zu erstellen. Ein zentraler Datenbrief-Index, ähnlich wie man es uns bei den Antiterrordatenbanken vorgemacht hat, der Querverweise zu den eigentlichen Datenbriefen oder Meldungen zu neuen Datenbriefen enthält, die aber so gestaltet wären, dass sich trotzdem ein Dritter, der Einsicht haben könnte, kein Gesamtprofil erschließen kann, sondern nur der eigentliche Datenbriefempfänger (pseudonyme Kennungen, die der Datenbrief-Empfänger zu Klartext-Verweisen entschlüsselt?), schon eher, wenn dieser Index technisch so abgesichert werden kann, dass er nur dem Datenschutz-Empfänger zugänglich ist.

Oder setzt man sofort oder besser auf vollständige Dezentralisierung? Dann würde man entweder von jedem Unternehmen und jeder staatlichen Stelle entweder postalisch per Brief oder per signierter und verschlüsselter E-Mail die jeweiligen Datenbriefe zugestellt bekommen. Eigentlich eine der möglichen "Killer-Anwendungen" für die De-Mail und De-Datentresore, wenn man denn vom nPA und den De-Mail und De-Datentresor Konzepten überzeugt ist.

Daraus dann aber die Wege und Weitergaben wirklich nachzuvollziehen, was ja auch ein Anstoß des Datenbriefs war, dürfte sich schwierig gestalten, genauso wie das Management aller erhaltenen Datenbriefe. Geht man den elektronischen Weg, wären dafür neue Anwendungen nötig, aber aus meiner Sicht auch möglich. Geht man den Papierweg, sind volle Aktenordner und Aktenwälzen angesagt.

Für den Staat, aber auch für den Bürger, ist auch hier die Frage der Ausnahmen von Interesse. In den Sicherheitsgesetzen und innerhalb der politischen Kontrollstrukturen gibt es ja Regelungen, die für den Erfolg von Ermittlungen und nationalen Sicherheitsinteressen, Geheimhaltungspflichten und -möglichkeiten den Zugang zu Daten behindern, einschränken oder versagen. Hier den Ausgleich zwischen legitimen Sicherheitsinteressen des Staates und der Gefahr, dass sich der Staat zu sehr von einer Datenbrief-Pflicht herausnimmt, zu finden, wäre ein weiteres Teufelchen. Das war nur eine kleine Auswahl von Teufeln, die mir auf Anhieb einfielen. Es gibt mit Sicherheit mehr davon, aber keine Teufel, die man aus meiner Sicht nicht im Dialog, mit den vom CCC angesprochenen Beratungen mit Datenschutz- und Datensicherheitsexperten, politisch wie auch praktisch-technisch bewältigen könnte.

Doch, einen dicken "Teufel" in Sachen Datenbrief gibt es noch und das ist die sogenannte "Bürgerrechtspartei" FDP. Deren innenpolitische Sprecherin der FDP-Bundestagsfraktion, Gisela Piltz, ist im Ergänzungsartikel CDU: Mehr Kontrolle von Internetdaten (warum hat man ihr nicht die Gelegenheit einer ausführlichen und differenzierten Gegen-Meinung gegeben?) mit den Statements zu vernehmen, dass "'ein solcher bürokratischer Aufwand, der mit hohen Kosten für die Unternehmen verbunden ist, durch nichts gerechtfertigt ist.' Zwar teile sie die Forderung des Innenministers nach mehr Transparenz, aber 'man muss prüfen, ob es nicht weniger bürokratische und effektivere Wege als den Datenbrief gibt'. Piltz forderte, in erster Linie müssten die Unternehmen möglichst kostenlos Daten zur Verfügung stellen, diese sollten aber von den Firmen nicht ungefragt und automatisch versendet werden müssen."

Es überrascht mich natürlich nicht, dass die FDP dort mit Bürgerrechten und Datenschutz Halt macht, wo die Interessen ihrer Klienten anfangen. Zu den Statements von Gisela Piltz ist zu sagen, dass "Unternehmen" auch keine Kosten und keinen bürokratischen Aufwand scheuen, wenn es darum geht, für Werbezwecke, Kundenprofile, Verbesserungen der Marktpositionen und Erhöhung des Profits Daten zu erheben, zu speichern, zu sammeln, weiterzugeben oder zu verschachern. Und ohne vorherige Klärung des tatsächlichen Umsetzungaufwandes eines Datenbriefes oder den Möglichkeiten, Datenbrief-Funktionen in bestehende Strukturen zu integrieren, sofort von einem ungerechtfertigten Aufwand loszuplärren, spricht genauso eine deutliche Sprache wie ihr Bild vom Bürger und Kunden, der weiterhin als Bittsteller mit Holschuld seiner Daten habhaft werden soll. Und wo sie gerade von Transparenz spricht, sei an dieser Stelle an den von ihr eingebrachten Bundesparteitagsbeschluss Datenschutz im nicht-öffentlichen Bereich verbessern der FDP von Mitte 2008 erinnert. Wie heißt es dort so schön: Ich denke, eine Umsetzung des Datenbrief-Konzepts würde gehörig zu einer "größtmöglichen Transparenz der Datenverarbeitung" beitragen und "zentral" für die Information der Verbraucher sein. Aber schöne Worte und Forderungen kann man für die Profilierung als "Bürgerrechtspartei" vor Wahlen und Teilhabe an der politischen Macht immer aufstellen, danach gelten das Gegenteil und die Interessen anderer Kreise.

Siehe auch:
tageszeitung (CCC) - Denn sie sagen nicht, was sie tun (12.03.2010)
FDP-Bundestagsfraktion - Piltz: Klares "Ja" für mehr Transparenz (01.03.2010)
tageszeitung - Kritik aus Wirtschaftsflügeln, vier Minister für Datenbrief (04.03.2010)