Seite 4: Datenschutz und Privatsphäre

Ihre Partei engagiert sich stark im Thema Vorratsdatenspeicherung. Weshalb gibt es in Ihren Augen keine Alternative zur deutschlandweiten Datenspeicherung sämtlicher Telefonverbindungen und Standortdaten auf Verdacht?

Thomas Jarzombek: Oft sind die bei der Internetnutzung anfallenden Verbindungsdaten die einzige Spur, zur Aufklärung von Verbrechen und Straftaten. Die vom Deutschen Bundestag beschlossene Regelung zur Einführung einer Speicherpflicht und Höchstspeicherfrist für Verkehrsdaten wahrt in meinen Augen die notwendige und gebotene Balance zwischen Freiheit und Sicherheit. Die angeordnete Speicherung und die im Einzelfall erfolgende Kenntnisnahme von Verbindungsdaten ist ein Grundrechtseingriff. Deshalb brauchen wir klare Regeln für den Umgang.

Aktuelle Terrorgefahr hin oder her, aber wo bleibt da der Datenschutz?

Thomas Jarzombek: Ein großer Fortschritt war, dass die Standortdaten bei Anrufen im Mobilfunknetz nur noch 4 Wochen statt 6 Monate gespeichert werden, für die anderen Daten gilt eine Speicherfrist von 10 Wochen. Die gespeicherten Daten enthalten keinerlei Inhalte. Das heißt, es werden keinerlei Daten von E-Mails oder Nachrichten aus Messenger-Dienste erfasst. Einzig die vom Internet-Provider vergebene IP-Adresse für einen bestimmten Zeitraum wird aufbewahrt. Schon jetzt speichern Anbieter diese Verkehrsdaten zu rechtlich definierten Zwecken, die Speicherpraxis und Dauer unterscheidet sich aber deutlich. Der Erfolg der Strafverfolgung darf aber nicht von den Entscheidungen eines Providers abhängen.

Es geht bei der Speicherung von Verkehrsdaten ausschließlich um die vorläufige Sicherung von Verbindungsdaten einschließlich Funkzellenangaben. Die Daten werden nicht etwa bei einer staatlichen Stelle zusammengeführt, sondern verbleiben ohne jegliche besondere Aufbereitung und dezentral bei den Providern, bei denen sie entstehen. Die Übermittlung und Verwendung der Daten durch staatliche Behörden setzt den Verdacht einer schweren Straftat - wie etwa Mord, Totschlag, Kinderpornografie oder terroristische Taten - voraus. Ohne einen solchen Anlass werden die Daten nach der festgesetzten Frist ohne weitere Nutzung schlicht bei den Providern gelöscht.

Eine Übermittlung von Verbindungsdaten an staatliche Behörden setzt im Einzelfall eine richterliche Entscheidung voraus. Die Verbindungsdaten von Berufsgeheimnisträgern werden von dem Abruf ausgenommen. Die Daten müssen unter hohen Sicherheitsanforderungen im Inland gespeichert werden. Betroffene sollen zudem grundsätzlich über eine Abfrage informiert werden.

Trotzdem steht die Vorratsdatenspeicherung auf der Kippe…

Thomas Jarzombek: Der Europäische Gerichtshof hat im Dezember 2016 gegen konkrete Gesetze aus Schweden und Großbritannien entschieden, eine anlasslose Vorratsdatenspeicherung verstoße gegen europäisches Recht. Im Juni 2017 entschied dann das Oberverwaltungsgericht Nordrhein-Westfalen (OVG NRW) in Münster zunächst in einem konkreten Einzelfall für den Internetzugangsanbieter Spacenet, das Verwaltungsgericht in Köln muss nun endgültig über die Klage entscheiden.

Ob das deutsche Gesetz zur Vorratsdatenspeicherung verfassungsgemäß ist, kann endgültig nur das Bundesverfassungsgericht entscheiden, hier sind mehrere Verfassungsbeschwerden anhängig aber noch nicht entschieden.

Aufgrund der Entscheidung des OVG NRW hat die Bundesnetzagentur aber am 28. Juni 2017 entschieden, dass sie aufgrund der über den Einzelfall hinausgehenden Begründung des Verfahrens zum einstweiligen Rechtsschutz bis zum rechtskräftigen Abschluss eines Hauptsacheverfahrens von Anordnungen und sonstigen Maßnahmen zur Durchsetzung der Vorratsdatenspeicherung gegenüber allen verpflichteten Unternehmen absieht.

Als die Bundesnetzagentur die Vorratsdatenspeicherung ausgesetzt hat, herrschte im Konrad-Adenauer-Haus kurzzeitig stillschweigen?

Thomas Jarzombek: Das hat, ehrlich gesagt, wenig Reaktionen hervorgerufen und man muss jetzt eben sehen was dies im Ergebnis bedeutet. Wir halten die Vorratsdatenspeicherung nach wie vor auch in der abgespeckten Version, wie es der Bundestag beschlossen hat mit der Reduzierung auf vier und zehn Wochen, für ein wichtiges Instrument.

Die CDU wird an einer gesetzlich verankerten Vorratsdatenspeicherung festhalten?

Thomas Jarzombek: Ja.

Abseits der Vorzüge der Vorratsdatenspeicherung, wo sehen Sie persönlich Probleme und Konfliktpotenziale?

Thomas Jarzombek: Also wenn man zurückschaut auf das Urteil des EuGH, das in die Richtung Neufassung der Vorratsdatenspeicherung ging, wurden die zuvor auch auf europäischer Ebene sehr langen Speicherfristen von zwei Jahren festgelegt, was nach meinem Dafürhalten viel zu lang ist, sowie die Sicherheitstandards, etwa zum Umgang mit Standortdaten, nicht klar genug festgeschrieben. Daher haben wir uns entschlossen, die Speicherfristen für Metadaten auf zehn Wochen und die Speicherfrist für Standortdaten auf vier Wochen zu reduzieren, Inhalte werden ja ohnehin nicht gespeichert. Ich halte das für eine datenschutzrechtliche Ausgestaltung, mit der man gut leben kann.

Wollen Sie Verschlüsselungsverfahren, die nach derzeitigem Sachstand nicht oder nur mit extremem technischem Aufwand überwunden werden können, in ihrer Anwendung beschränken?

Thomas Jarzombek: Wir wollen, dass Messenger-Dienste eine Ende-zu-Ende-Verschlüsselung haben, damit die Kommunikation unbescholtener Bürger ungestört und sicher ist. Trotzdem brauchen Sicherheitsbehörden, wie bei einer SMS auch, unter bestimmten Voraussetzungen Zugriffsmöglichkeiten. Deshalb hat sich die CDU schon immer dafür eingesetzt, dass es eine digitale Entsprechung zu analogen Ermittlungsinstrumenten geben muss. Deshalb kann es in bestimmten Ermittlungsfällen sinnvoll sein, Kommunikation - vor der Verschlüsselung bzw. nach der Entschlüsselung - auf dem Gerät eines Verdächtigen abzufangen.

Die notwendigen Instrumente wie die Online-Durchsuchung und Quellen-Telekommunikationsüberwachung waren deshalb überfällig und wurden endlich nach langem Widerstand der SPD noch im Juni verabschiedet. Gerade bei der Überwachung verschlüsselter Internet-Kommunikation müssen wir mit der technischen Entwicklung Schritt halten. Den rechtlichen Befugnissen müssen angesichts des rasanten technischen Fortschritts auch die technischen Fähigkeiten entsprechen.

Wie stehen Sie dem Umgang mit ZeroDay-Eploits gegenüber, sollten diese Sicherheitslücken an die Softwarehersteller gemeldet oder für die Quellen-Telekommunikationsüberwachung genutzt werden?

Thomas Jarzombek: Darüber haben wir zu Beginn der Periode lange diskutiert und uns schließlich entschieden, eine andere Politik als beispielsweise in den USA zu machen. Dort ist es ja so, dass Verschlüsselung gebrochen wird oder nicht mehr exportiert werden darf, wenn Schlüssellängen überschritten werden und es scheint auch immer wieder mit Backdoors gearbeitet zu werden. Wir haben aber gesagt, wir wollen weder eine Begrenzung der Schlüssellängen noch Backdoors einführen, weil Zugangsmöglichkeiten geben würde und nicht nur der Strafverfolgung nach richterlicher Anordnung. Daher steht in der Digitalen Agenda der Satz: "Deutschland soll Verschlüsselungsstandort Nummer eins werden."

Auf der anderen Seite hat der Bundesinnenminister gesagt, wenn wir das so handhaben bei über 1.000 Gefährdern, die teilweise in syrischen Terror-Camps waren, deren Empathie gebrochen wurde und die auch bereits Menschen getötet haben und die nun hierhergekommen und bereit sind zu töten, muss es Möglichkeiten geben, Kommunikation zu überwachen. Denn bei über 1.000 Gefährden ist keine effektive Überwachung rund um die Uhr möglich. Da besteht die einzige wirksame Möglichkeit mit einem Trojaner, möglicherweise unter Ausnutzung von ZeroDay-Exploits, auf ihre Geräte zuzugreifen.

Genau das ist auch das, was im Gesetz verankert ist. Bislang reden wir von etwa 20 Fällen im Jahr. Insofern glaube ich, hierbei handelt es sich um ein rechtsstaatlich sehr sensibel angewendetes Instrument, das auch immer nur im Kontext einer richterlichen Anordnung anwendbar ist. Im Übrigen wird auch kein Zugriff auf alles auf dem Gerät ermöglicht, es ist keine Onlinedurchsuchung. Zugegriffen werden kann nur auf verschlüsselte Kommunikationsinhalte und auch nur ab dem Zeitpunkt, ab dem die richterliche Anordnung es vorsieht.

Waren die Regelungen zur Quellen-Telekommunikationsüberwachung eine Folge des erstarkenden internationalen Terrorismus oder handelt es sich um grundlegende Fragen, deren Klärung überfällig war?

Thomas Jarzombek: Wie schon gesagt, wenn wir über das Thema von Gefährdern reden, so sind das Leute, die bereit sind in Deutschland Menschen zu töten. Wenn man das weiß, hat man natürlich eine andere Ausgangslage, als wenn man einen ganz abstrakten Sachverhalt betrachtet. Die Quellen-TKÜ ist denn ja auch nicht anlasslos, sondern anlassbezogen. Ich gehe allerdings davon aus, dass die Zahl von derzeit 20 Fällen im Jahr zukünftig ansteigen wird, ganz einfach, weil es heute mehr Terrorverdächtige gibt. Es wäre hier Fahrlässigkeit des Staates, wenn er tatenlos abwartet, bis etwas passiert. Denn wenn dann etwas passiert, können Sie das auch der Bevölkerung nicht mehr erklären.

Hilft eine staatlich verordnete Schwächung von Verschlüsselungsverfahren dabei den inter/nationalen Terrorismus zu bekämpfen? Beschreiben Sie Ihre Einschätzung.

Thomas Jarzombek: Leistungsfähige Verschlüsselungsprodukte sind heute unverzichtbar. Sie werden in der Wirtschaft, im Staat und von Bürgern eingesetzt, sei es bei Online-Finanztransaktionen oder sicheren Methoden zur Kommunikation. Eine staatlich verordnete Schwächung von Verschlüsselungsverfahren lehne ich ab.

Ist das EU-US Abkommen Privacy-Shield aufgrund Trumps Amtszeit bedroht?

Thomas Jarzombek: Die Europäische Kommission und die USA haben den sogenannten EU-US Privacy Shield (EU-US-Datenschutzschild) als Nachfolgemechanismus zum Safe-Harbor-Mechanismus der Kommission vereinbart. Ziel ist es, ein angemessenes Datenschutzniveau für die Bürgerinnen und Bürger der Europäischen Union beim transatlantischen Datenaustausch sicherzustellen. Täglich werden wie selbstverständlich Daten zwischen der Europäischen Union und den USA ausgetauscht. Ein rechtssicheres und praktikables Verfahren ist deshalb für beide Seiten von großer Bedeutung, um Rechtssicherheit für alle Bürgerinnen und Bürger und für alle Unternehmen beim dringend notwendigen transatlantischen Datenaustausch zu schaffen.

Die EU-Kommission beobachtet die Entwicklungen in den Vereinigten Staaten sehr genau, um den Schutz der Daten europäischer Bürgerinnen und Bürger sicherzustellen. Die bisherigen Dekrete des US-Präsidenten haben keinen Einfluss auf die Vereinbarungen des EU-US Privacy Shield. Ein Prüfstein für das Funktionieren des Mechanismus wird in jedem Falle die erste jährlich stattzufindende Überprüfung durch die Europäische Kommission und die US-Regierung, voraussichtlich im Herbst dieses Jahres sein.