In einer vernetzten Welt sind unsere Daten ständig unterwegs – gespeichert in der Cloud, verarbeitet von internationalen Konzernen, oft außerhalb unseres Rechtsraums. Doch mit der Abhängigkeit wächst auch die Gefahr: ökonomisch, juristisch, politisch.
Wir erinnern uns noch lebhaft an den Tag von Donald Trumps zweiter Angelobung im März 2025. Irritierend dicht hinter ihm standen in Reih und Glied Amerikas Tech-Milliardäre, darunter Facebook-Chef Mark Zuckerberg, Google-CEO Sundar Pichai, Amazon-Gründer Jeff Bezos oder Apple-Boss Tim Cook. Sie sind die Herren über zig Milliarden personenbezogener Kunden- und Nutzerdaten der halben Weltbevölkerung. Böse Zungen behaupten, es musste ein Proktologe gerufen werden, um die Herrschaften wieder vom Präsidenten zu entfernen. Diese IT-Giganten verdanken ihre globale Marktmacht zu einem Gutteil den weitreichenden Steuererleichterungen, die ihnen bis dato noch von jeder US-Administration gewährt wurden. Gesetzt den Fall, Trump würde zu ihnen sagen: Im Interesse der nationalen Sicherheit will ich alle Eure Daten. Was würden sie dann tun?
Unter dem Eindruck schwerer Terroranschläge in Madrid und London mit insgesamt 250 Todesopfern kam es auch in Europa zu einer massenhaften „Vorratsdatenspeicherung“ aller Telekommunikationsdaten, wenn auch in deutlich moderaterer Form als in den USA. Die EU-Richtlinie 2006/25/EG schrieb vor, dass Telekomanbieter die Daten aller Kund:innen – bei Telefonaten die Telefonnummern und Standortdaten der Gesprächspartner, bei Internetbenutzung die Zeit und benutzte IP-Adresse – für mindestens sechs Monate zu speichern hatten, damit Sicherheitsbehörden sie bei Bedarf rückwirkend auswerten können. Kommunikationsinhalte sollten dabei aber ausdrücklich nicht gespeichert werden. Trotzdem lassen sich anhand dieser Daten exakte Persönlichkeits- und Bewegungsprofile rekonstruieren, auch die Analyse von Aktivitäten in sozialen Netzwerken wird möglich.
Erklärter Zweck der Vorratsdatenspeicherung war die Bekämpfung und Aufklärung von Terrorismus und schweren Straftaten. Trotzdem war sie äußerst umstritten. Juristen sahen in der „anlasslosen“ Überwachung einen Sündenfall vor elementaren rechtsstaatlichen Prinzipien, denn unbescholtene Bürger würden so quasi einer prophylaktischen Permanentobservation preisgegeben und a priori als potenzielle Kriminelle behandelt. Und Datenschützer warnten vor den mannigfachen Möglichkeiten des Missbrauchs dieser massenhaft und wahllos gesammelten Informationen über alle Bürger:innen.
Begehrter Datenschatz
Tatsächlich ist ein solch umfassender Datenschatz auch kommerziell hochinteressant – zum Beispiel für die Werbewirtschaft. Und er hat denn auch in Österreich sofort neue Begehrlichkeiten geweckt. Das Innenministerium schlug vor, den Datenzugriff auf Delikte auszuweiten, die mit einem Strafrahmen ab drei Jahren bedroht sind, also weit unter das Niveau von Terrorismus und Kapitalverbrechen. Auch bei der Suche nach vermissten Personen würde man gern auf die Vorratsdaten zurückgreifen. Weitere Phantasien und Gedankenspiele von damals gefällig? Die Krankenkassen könnten mit ein paar Klicks überprüfen, was ihre Versicherten im Krankenstand so treiben.
Dementsprechend unterschiedlich und undurchsichtig fiel denn auch die Umsetzung der EU-Richtlinie in den einzelnen Mitgliedsstaaten aus. Immer wieder wurden dagegen Klagen bei Europäischen Gerichtshof eingebracht. 2014 schließlich kippte der EuGH die Richtlinie zur Vorratsdatenspeicherung wegen Verstoßes gegen die Europäische Grundrechtscharta (GRC). Die Grundrechte auf Achtung des Privat- und Familienlebens, auf Schutz der personenbezogenen Daten und das Prinzip der Verhältnismäßigkeit würden dadurch verletzt.
Wie sicher ist die Cloud?
Die Digitalisierung im Allgemeinen, besonders aber der revolutionäre Fortschritt bei Mobilfunk und Smartphones haben mehr oder weniger bereits uns alle zu Cloud-Anwendern gemacht. Viele Apps, die wir täglich nutzen, insbesondere die sozialen Netzwerke, auf denen wir Informationen mit Familie, Freunden, Geschäftspartnern oder Kunden teilen, basieren auf Cloud Computing. Unsere Daten werden in einem weltumspannenden, mit Hochleistungsglasfaserkabeln verbundenen Netzwerk riesiger Rechenzentren hin und her geschoben, gespiegelt und gesichert.
Auch das „Virtuelle Amt“ mit sensiblen Diensten wie Justiz online oder Finanz online, auf die wir über die „Digitale Signatur“ zugreifen, ist eine klassische Cloud-Anwendung, und wir müssen uns darauf verlassen, dass der Staat im Bundesrechenzentrum pfleglich und rechtskonform mit unseren heikelsten persönlichen Informationen umgeht. Wird der Bundestrojaner auch bei unseren digitalen Amtsgeschäften mitlesen können?
Als Privatpersonen haben wir uns vielfach schon damit abgefunden, dass wir keine Ahnung haben, wo genau sich unsere Daten befinden, wer sie zu welchem Zweck analysiert und weitergibt oder ob sie auch wirklich weg sind, wenn wir sie löschen, wie es die EU-Datenschutzgrundverordnung (DSGVO) klipp und klar vorschreibt. Im Geschäftsleben und als Unternehmen dürfen wir uns aber schon von Rechts wegen keineswegs mit Unwissen oder Zweifel abfinden.
Große Anbieter setzen voll auf Firmen-IT aus der Wolke
Cloud Computing gilt mittlerweile auch im Business als Zukunftskonzept schlechthin. Statt die Firmen-IT „on premise“, also im teuren, wartungs-, energie- und personalintensiven eigenen Rechenzentrum zu betreiben, können Unternehmen Rechenleistung, Speicherressourcen oder sogar zentrale Firmensoftwares virtuell von Dienstleistern aus großen Cloud-Rechenzentren über die Internetleitung beziehen. Vielfach haben Firmenkunden auch gar nicht mehr die Wahl, etwa bei Office-Software: „Microsoft 365“ ist in der Standardkonfiguration schon jetzt ein fast unentwirrbar verwobener Mix aus On-Premise- und Cloud-Anwendungen.
Auch die größten Anbieter von „Enterprise Resource Planning“ (ERP)-Systemen wie SAP oder Oracle, über die viele Unternehmen weltweit fast alle Geschäfts- und Produktionsprozesse steuern, forcieren ihre Cloud-Angebote heftig im Marketing und preisen die zu erzielenden Effizienzgewinne an, die tatsächlich nicht von der Hand zu weisen sind: Hard- und Softwareressourcen können bei Bedarf flexibel an die aktuellen Geschäftserfordernisse angepasst, neue Standorte schnell angebunden werden. Wenn sich viele Kunden virtuelle Ressourcen beim Anbieter teilen, sparen sie Energie- und sonstige Betriebskosten und nicht zuletzt auch teure IT-Expertise im eigenen Haus, die auf dem Arbeitsmarkt ohnehin schwer zu finden ist.
Kurzum: Unternehmen sind in der Cloud agiler, kundennäher und wettbewerbsfähiger. Klingt nach einem himmlischen Angebot. Aber was, wenn das Internet selbst durch ein technisches Gebrechen oder einen Cyberangriff großflächig lahmgelegt wird, wie es in der Vergangenheit immer wieder vorgekommen ist? Dann stehen Geschäft und Produktion auf einen Schlag still. Und in welchem Land befinden sich physisch alle meine Firmendaten, sensible Kundeninformationen wie Kreditkartendaten und dergleichen, und haben allenfalls auch Dritte Zugriff darauf, zum Beispiel im Namen der nationalen Sicherheit? Gerade US-Anbieter müssen sich da in puncto Informations- und Datensicherheit kritische Nachfragen gefallen lassen.
Firmen sind gesetzlich und vielfach auch vertraglich zum bestmöglichen Schutz aller personen- oder geschäftspartnerbezogenen Daten verpflichtet. Die DSGVO sieht bei Verstößen hohe Strafen bis zu zwei Prozent des Jahresumsatzes vor, von millionenschweren Schadenersatzklagen im Missbrauchsfall einmal ganz abgesehen. Große Datenleaks können leicht den Ruin einer Firma zur Folge haben.
Rechts- und Informationssicherheit sind Wettbewerbs- und Standortvorteile
Bei Betriebsansiedelungen sind rechtsstaatliche Verlässlichkeit und Datenschutz wesentliche Entscheidungskriterien. Im Umkehrschluss vertreiben Fragezeichen in diesen Bereichen potenzielle Investoren und wirken sich negativ auf Wirtschaftswachstum und Beschäftigung aus. Hier schließt sich der Kreis zum geplanten Bundestrojaner. Die Politik täte gut daran, die Überwachungs- und Spionageaktivitäten des Staates auf das für die Sicherheit der Bürger:innen unbedingt notwendige Mindestmaß zu beschränken. Die Zivilgesellschaft, die Medien, aber auch die wirtschaftlichen Interessensvertreter sollten daher genau beobachten, wie, in welchem Umfang und mit welchen Auswirkungen das neue Überwachungsgesetz angewendet wird. Und wir alle müssen uns grundsätzlich fragen, inwieweit wir uns im Namen der Sicherheit unter Generalverdacht stellen und als potenzielle Kriminelle behandeln lassen wollen.
Eines dürfen wir auch nicht vergessen: Welche Aktivitäten als „verfassungs- und staatsgefährdend“ eingestuft werden, ist eine politische Entscheidung. Derzeit haben wir eine Dreierkoalition mit enden wollendem gegenseitigen Vertrauen, in der einander die politischen Akteure auf die Finger schauen wie die sprichwörtlichen „Haftlmacher“. Aber das könnte sich spätestens nach der nächsten Nationalratswahl schnell ändern. Der Bundestrojaner wird sich dann immer noch im digitalen Werkzeugkasten der Sicherheitsbehörden befinden…
Die Erfahrungen aus der Geschichte haben uns eines gelehrt: Sobald persönliche oder geschäftliche Informationen in Datenbanken gesammelt und Überwachungsmöglichkeiten eröffnet werden, werden sie auch missbraucht. Von Gaunern, aber auch von staatlicher Seite. Das ist so sicher wie das Amen im Gebet und nur eine Frage der Zeit, meinen Sicherheitsexperten. Und ich bin geneigt, ihnen zu glauben. Denn auch in einer Behörde arbeiten nur Menschen wie Du und ich – potenzielle Kriminelle.
Text: Xenia Bauer-Neuhaus
Lesen Sie auch die weiteren Kommentare zum Thema:
Von Pegasus bis zur NSA: Was der digitale Überwachungsstaat wirklich bedeutet
Datensicherheit ist eine Mär – Warum der Bundestrojaner mehr zerstört als schützt
