NSA, Snowden & Co: Wie sicher sind Daten in der Schweiz?

Die Enthüllungen von Edward Snowden haben in schonungsloser Klarheit offengelegt, was viele seit langem befürchteten: Staaten – an vorderster Stelle die USA – überwachen auf breiter Ebene und rund um die Uhr Personen und Unternehmen. Dabei erlaubt es die US-amerikanische Gesetzgebung, Rasterüberwachungen durchzuführen. Das bedeutet, dass auch Personen bespitzelt werden, gegen die kein Verdacht und erst recht kein richterliches Urteil vorliegt. Inwiefern bzw. inwieweit können bzw. dürfen solche Staaten, in denen oftmals Macht vor Recht gilt, auch auf unserem Territorium Daten von unbescholtenen Bürgern und Unternehmen überwachen?

Edward Snowden arbeitete bis Mai 2013 als Systemadministrator für das Beratungsunternehmen «Booz Allen Hamilton» in einem Operation Center der NSA. Snowden hatte Einblick in US-amerikanische Programme zur Überwachung der weltweiten Internetkommunikation («PRISM» und «Boundless Informant») sowie in das noch umfassendere britische Überwachungsprogramm «Tempora». Seine geheimen Informationen übermittelte er an den Guardian-Journalisten Glenn Greenwald, der sie im Juni 2013 ohne Angabe einer Quelle in Teilen veröffentlichte. Privatpersonen und Unternehmen wurde mit einem Schlag klar, dass es neben Hackern weitere Gruppen von Eindringlingen in elektronische Netzwerke gibt: Geheimdienste, Terrorismusbekämpfungsorganisationen, Steuerfahnder oder Wirtschaftsspione. Deren Motive und deren Vorgehensweise sind dabei ganz ähnlich. Den Schweizer Bürgern stellt sich nun die Frage, wie sie die Privatsphäre vor staatlicher Willkür schützen können. Das Thema ist es wert, grundsätzliche Überlegungen zum Datenstandort Schweiz anzustellen.

Das Geschäft mit den Daten

In den letzten Jahren konnte sich die Schweiz erfolgreich als ein weltweit bedeutender Hort für Daten und IT-Systeme etablieren. Sie verfügt über eine gut ausgebaute Infrastruktur. Stromausfälle sind rar, und das Land ist mit einem dichten Glasfasernetz ausgestattet. Neben all diesen Vorzügen hat aber auch die Datenschutzgesetzgebung grosses Gewicht. Im Gegensatz zu vielen anderen Ländern ist eine willkürliche Überwachung in der Schweiz verboten. Immer mehr Grosskonzerne aus dem Ausland – vorwiegend aus den USA –, die Zweigstellen in Europa eröffnen wollen, interessieren sich dafür, ihre Daten in der Schweiz zu verwalten.

Dieser Trend könnte zu der Annahmen verleiten, dass neben den seriösen auch zwielichtige Unternehmen angezogen würden, um ihre «heissen Daten» in der Schweiz zu verstecken – so wie die Banken früher unversteuerte Gelder anlockten. Bisher sind allerdings keine Anfragen von dubiosen Firmen bekannt geworden, und die Rechenzentrumsbetreiber werden sich hüten, solche Unternehmen zu umwerben.

Das Datenschutzgesetz der Schweiz verlangt bei vorliegendem Verdachtsmoment und richterlichem Beschluss eine Offenlegung der Daten. Betreibern von Schweizer Rechenzentren ist es erlaubt, Websites mit widerrechtlichen Inhalten umgehend von ihren Servern zu löschen. Zusätzlich sind sie gesetzlich dazu verpflichtet, den Inhaber einer solchen Website zu melden und seine Daten offenzulegen. Ist ein Rechtshilfebegehren eingeleitet, arbeiten Schweizer Provider eng und gut mit den Behörden zusammen. Diese Bestimmungen ermutigen nicht dazu, fragwürdige Daten in der Schweiz zu verstecken. 

Sorglosigkeit und freiwillige Exponierung

Edward Snowden hat nun aufgedeckt, dass sich die Geheimdienste wie Hacker in Datennetze einschleichen. Dies tun sie jedoch typischerweise nicht im Rechenzentrum, sondern sie fangen die Daten sozusagen auf dem Weg ab. Am effizientesten funktioniert dies an den Datenaustauschknoten, den sogenannten Internet Exchanges oder IEX, wo die Telekommunikationsgesellschaften ihre Daten aneinander übergeben. Jedes Land besitzt solche IEX; in Zürich ist es das Gebäude an der Hardstrasse 235, in Genf das Cern. Auch die besten Sicherheitsmassnahmen in den Rechenzentren haben leider keine Auswirkungen auf das, was am IEX passiert. Es liegt vollständig in der Verantwortung der Unternehmen und Privatpersonen, ihre Daten während des Transfers zu schützen. Aus Bequemlichkeit, Sorglosigkeit oder Kostengründen werden Daten jedoch meistens entweder gar nicht oder lediglich mit 128 Bit verschlüsselt, was keinen wirksamen Schutz bietet. Empfohlen werden heute 256-Bit-Verschlüsselungen, möglich wären sogar 2048 Bit. Praktisch hundertprozentig sicher ist man, wenn man einen herkömmlichen, staatlich registrierten Schlüssel zusätzlich mit einem privaten Schlüssel überlagert – es würde Monate oder sogar Jahre dauern, eine solche Verschlüsselung zu knacken. Der grosse Nachteil dieses Verfahrens ist allerdings, dass es die Übermittlung der Daten deutlich verlangsamt.

Mit entsprechenden Massnahmen lassen sich die eigenen Daten also durchaus vor ungewolltem Zugriff schützen. Ein anderer Aspekt sind jedoch die Informationen, die wir bereitwillig zur Verfügung stellen: Cloud-Anbieter wie Google, Apple, Facebook und YouTube, aber auch Banken, Versicherungen, Detailhändler, Kreditkarteninstitute und Behörden nutzen riesige Datensammlungen, um Benutzerprofile zu erstellen. Manchen von uns ist gar nicht bewusst, wie viele Informationen wir tatsächlich preisgeben. So weiss Google heute auch ohne eingeschaltetes GPS jederzeit, wo sich ein Smartphone-Benutzer gerade befindet, wie und wie schnell er zur Arbeit kommt, wo er sich gern aufhält und wer zu seinem geschäftlichen und privaten Umfeld zählt. Diese Daten sammeln die Cloud-Anbieter vollkommen legal, sobald der Anwender die Nutzungsbestimmungen akzeptiert hat.

Falsch verstandener Datenschutz

Jedes Land hat Datenschutzbeauftragte, deren Aufgabe im Grunde darin besteht, zu verhindern, dass Unternehmen oder Staaten Daten über die Bürger anlegen. Wo die Informationsbeschaffung aus irgendeinem Grund notwendig ist, setzen sie sich für den rechtmässigen Umgang mit den Daten ein. Dieser Ansatz ist jedoch nicht mehr zeitgemäss. Tatsächlich sammeln Unternehmen heute von ihren Kunden in gigantischem Ausmass Daten, über die sie frei verfügen können. Damit sind die Bestrebungen der Datenschützer zur Farce geworden. Sie müssten sich heute vielmehr dafür einsetzen, dass der Benutzer oder Käufer selber über die Verwendung seiner Daten entscheiden kann. Eine solche Verlagerung der Souveränität über die Daten könnte durchaus positive wirtschaftliche Folgen haben: Unternehmen wären mit dem Einverständnis der Kunden in der Lage, ihre Produkte viel spezifischer zu gestalten und zu vertreiben und könnten sich möglicherweise neue Geschäftsfelder erschliessen.

Inzwischen setzt sich die EU-Justizkommissarin Viviane Redig für ein starkes und einheitliches Datenschutzgesetz ein. Konkret sollen Kunden für die Verwendung von Informationen ihr Einverständnis geben müssen und zudem einfordern können, dass persönliche Daten im Internet gelöscht werden. Hinzu kommt, dass Unternehmen Daten von EU-Bürgern nur mit einer rechtlichen Grundlage an Behörden aushändigen dürfen.

Im Gegensatz zur EU hat die Schweiz diesen Paradigmenwechsel noch nicht erkannt und debattiert stattdessen über erhebliche Erweiterungen der staatlichen Überwachungsmöglichkeiten. So sollen die Kundendaten statt wie bisher sechs künftig zwölf Monate gespeichert werden, und die Regierung soll sowohl bei Unternehmen wie auch bei Privatpersonen Trojaner einschleusen dürfen. Die Befürworter dieser Gesetzesänderung versprechen sich einen besseren Schutz vor Terror- und Gewaltakten. Die Kritiker hingegen weisen auf zwei schwerwiegende Konsequenzen hin: Zum einen werden die Kompetenzen des Staats im Hinblick auf die Überwachung seiner Bürger ausgedehnt. Zwar sind weiterhin Verdachtsmomente erforderlich; doch solche sieht das Schweizerische Strafgesetzbuch bereits in 158 Fällen als gegeben. Zum andern wären Unternehmen zu erheblichen Investitionen gezwungen, um die Daten künftig über einen doppelt so langen Zeitraum zu speichern. Gerade für Rechenzentren wären diese Vorschriften folgenreich und würden, da kleinere Anbieter die erforderlichen Investitionen nicht tätigen könnten, zu einer Marktkonsolidierung führen. Die Schweiz setzt ihre hervorragenden Rahmenbedingungen aufs Spiel, obschon die jetzige Gesetzgebung die Daten ausreichend schützt. Statt einen florierenden Markt mit grosser Nachfrage und hohen Wachstumsraten zu fördern, würde ihn die geplante Revision massiv einschränken.

Landesgrenzen sind im Umgang mit Daten und ihrem Austausch im Netz ohnehin unbedeutend. Bisher gibt es jedoch noch keine bilateralen Verträge oder gar eine international gültige rechtliche Grundlage zum Datenschutz. Für eine sinnvolle Lösung zeichnen sich drei Voraussetzungen ab: Erstens bieten die Rechenzentren Unternehmen und Privatpersonen physischen Schutz für ihre Daten. Zweitens räumen die Cloud-Anbieter ihren Kunden die Souveränität über ihre Daten ein. Und drittens schafft der Staat vernünftige Rahmenbedingungen, die Unternehmen und Bürger vor einer willkürlichen Überwachung schützen.

Die Schweiz kann im internationalen Datengeschäft auch in Zukunft eine wichtige Rolle einnehmen. Dazu muss sie neben einer guten Infrastruktur und stabilen Verhältnissen aber an einer soliden, restriktiven gesetzlichen Grundlage festhalten.