Datenschutz "Man merkt, wo die Post abgeht"
Der Schweizer Staatsschutz hat wie wild Daten von scheinbar verdächtigen Bürgern gesammelt. Professor David Gugerli sagt, die Datenmassen gerieten bald völlig außer Kontrolle
DIE ZEIT: Herr Gugerli, Sie erforschen die Geschichte der Datenbanken und des gesellschaftlichen Umgangs mit Informationen. Nun wurde bekannt, dass der Schweizer Staatsschutz erneut massenhaft Personendaten sammelte. Was ist der Unterschied zum »Fichenskandal« von 1989?
David Gugerli: Es gibt eine Menge Unterschiede. Da wäre zunächst mal die Größenordnung: 1989 wurden fast eine Million Bürger erfasst, jetzt geht es um 200.000. Zweitens gibt es heute eine klare Regelung: Wir wissen zumindest, was der Staatsschutz hätte tun sollen und was nicht. Drittens haben wir es mit ganz anderen Bedrohungsszenarien zu tun als vor zwanzig Jahren.
Anzeige
ZEIT: Vor 1989 waren dies der Ostblock und der Kommunismus, heute sind es eher Terrorismus und Radikalismus.
Gugerli: Ja. Damals gab es die Blöcke des Kalten Krieges, und für Staatsschützer war klar, wo die Guten und wo die Bösen sind. Inzwischen erscheinen die wahrgenommenen Bedrohungen vielfältiger: Terrorismus, Handel mit Pornografie, Organisiertes Verbrechen, Waffenschmuggel, Geldwäscherei, Steuerflucht...
ZEIT: ...letzte Woche meldete Nachrichtendienst-Chef Markus Seiler, es gebe mehr Spionage im Zusammenhang mit der Finanzkrise.
Gugerli: Wir haben es mit einer breiteren und diffuseren Bedrohungslage zu tun. Da ist es fast erstaunlich, dass in den Datenbanken nicht noch mehr Personen erfasst wurden.
ZEIT: Eine nebulöse Lage verlangt nach umfassenderen Staatsschutz-Datenbanken?
Gugerli: Jedenfalls kommt die Größenordnung der 200.000 Überwachten damit in eine andere Perspektive. Es gibt noch einen vierten Unterschied zu 1989: Die Sammeltätigkeit privater Dienste und Firmen ist heute wesentlich umfangreicher und intensiver.
ZEIT: Sie denken an all die Phänomene, wo wir selber unsere Spuren hinterlassen, von Facebook bis zur Cumulus-Karte?
Gugerli: Genau. Daran hat man sich gewöhnt. Im Grunde zeigt der aktuelle Fichenskandal – wenn man das überhaupt so nennen will – doch auch, wie sehr die staatliche Regierungsweise an Bedeutung verloren hat.
ZEIT: Wie wirkt sich das konkret aus?
Gugerli: Ein Beispiel: Was ist relevant zur Beurteilung der Zahlungsfähigkeit einer Person? Heute geht man dafür doch nicht mehr aufs Betreibungsamt, sondern man beauftragt eine Inkassofirma mit der Überprüfung heikler Kunden.
ZEIT: Wir haben also inzwischen ein recht lockeres Verhältnis zu unseren Daten.
Gugerli: Ja, die Datenbank prägt uns. Wir setzen dieses Instrument heute immer voraus, es ist überall präsent in der alltäglichen Praxis.
ZEIT: Wie sehr spiegelt diese Lockerheit die zunehmend gesicherte Erfahrung mit der Demokratie? Als George Orwell in 1984 einen Kontrollstaat ausmalte, hatte er den Stalinismus vor sich. Heute hat man nicht mal mehr 1984 vor Augen.
Gugerli: Wir sind da vielleicht wirklich etwas sorglos geworden. Aber man merkt eben auch, dass die Post nicht dort abgeht, wo staatliche Behörden in einem halbwegs vertrauenswürdigen Rahmen handeln. Das Problem der Schweiz sind jedenfalls nicht wild gewordene Geheimdienste, das Problem sind höchstens unfähige oder überforderte Geheimdienste. Und wenn man schon Angst vor solchen Daten-Instanzen hat, so wohl vor Google oder vor irgendwelchen Kreditkartenunternehmen mit ihren Absuchmöglichkeiten. Häufig werden die Überwachungsängste auch weit weg projiziert. Dann fühlt man sich lieber bedroht durch die Kontrollmöglichkeiten irgendwelcher US-Dienste mit Kürzeln wie NSA, CIA und FBI.
ZEIT: Andererseits verleitet die Technik zwangsläufig dazu, Daten anzuhäufen. Denn durch Verknüpfung können ständig neue Fragen gelöst werden: je mehr Daten, desto mehr Antworten.
Gugerli: Das Muster zeigt sich im jüngsten Fall. Zwischen etwa 1995 und 2005 blieb es ruhig in diesem Bereich. Die Bundesbehörden bauten die neue Staatsschutz-Datenbank Isis auf; diese war hierarchisch strukturiert. Ab Ende 2004 wurde Isis in eine relationale Datenbank namens Isis-NT überführt. Das hatte ein paar fatale Konsequenzen. Erstens war die Überführung äußerst arbeitsintensiv; man musste alles Personal für die Erfassung von Daten einsetzen, niemand kümmerte sich um deren Qualität. Zweitens: Wenn man in einer relationalen Datenbank einen Eintrag über eine Person löscht, bleiben die Bezüge erhalten, die diese Person zwischen andern Personen gestiftet hat. Ist also jemand in einer Datenbank intensiv vernetzt, bringen Sie seine Spuren ohne großen Aufwand gar nicht mehr raus.
ZEIT: Wie kam es aber, dass der Nachrichtendienst DAP wieder irgendwelche Basler Großräte fichierte, nur weil sie kurdischer Abstammung sind? Oder einen Zürcher Lokalpolitiker, weil er eine bewilligte Demo mitorganisierte?
Gugerli: Man muss solche Betriebsunfälle in aller Form verurteilen. Aber erklären kann man sie trotzdem. In einem diffusen Bedrohungsszenario kann auch in den Köpfen der Leute vom Staatsschutz allerlei zusammenkommen: Hooligans, Randalierer, Neonazis, Nachdemo 1. Mai, PKK und so weiter. Das alles ist als Bedrohung unklar abgegrenzt, und dann schreibt man halt zur Sicherheit etwas auf – die entscheidenden Differenzen und die Ränder gehen verloren. Wenn dann noch die Qualitätskontrolle ausfällt, bleibt auch einmal ein Großrat in der Datenbank. Das extremste Beispiel, das die Geschäftsprüfungsdelegation ans Licht brachte, handelt ja von einer Person, die noch nach ihrem Tod zweimal als staatsschutzrelevant taxiert wurde. Wirklich eine intensive Karteileiche.
ZEIT: Es gibt ein weiteres Argument für die Sammlung großer Datenmengen: Bei gewissen Methoden der Fahndung muss man Muster bilden können – das erlaubt dann die sogenannte Rasterfahndung.
Gugerli: Ein schwieriges Feld. Wenn man nur schon sieht, welche Mühe private Organisationen mit ihren Dateien haben, so ahnt man, dass sich aus so vielen Daten nur schwer Sinn generieren lässt: Was weiß man, wenn eine Person heute in Filiale A ein Joghurt und ein Päckchen Gummibärchen kauft und sich zwei Wochen später ein Taschenmesser und ein Feuerzeug in den Einkaufswagen legt? Was haben Sie von dieser Information? Ist das ein Hinweis auf steigende Gewaltbereitschaft? Und wenn Sie jetzt noch die Zahl der Artikel, Einkäufe, Filialen und Kunden berücksichtigen, kriegen Sie schnell eine überkomplexe Informationslage. Das können Sie nicht mehr auswerten.
ZEIT: In Deutschland wurden im Gefolge des 11. September 8,3 Millionen Datensätze durchforstet, am Ende konnten die Fahnder mit dem Material ein einziges Ermittlungsverfahren einleiten, und auch das wurde am Ende eingestellt. Eine sehr produktive Maschine ist die Datenbank offenbar nicht.
Gugerli: Es ist schon so: Der Grenznutzen von Datenbanken kann mit ihrer Größe auch sinken. Ein historisches Beispiel dafür sind die Informationsmengen, die das deutsche BKA unter seinem Chef Horst Herold aufzubauen begann. Sie erlaubten Fahndungserfolge im Kampf gegen die RAF, aber letztlich wurde in Wiesbaden auch ein unglaublich großer Apparat aus Menschen und Maschinen aufgebaut. Und so konnte es passieren, dass der Zettel mit dem Hinweis auf die Wohnung, in der sich der entführte Arbeitgeberpräsident Schleyer befand, einfach verloren ging. Ganz simpel. Da zeigt sich, dass Geheimdienste bei ihrer Arbeit wohl besser mit der Pinzette vorgehen. Aber dies ist ja auch beruhigend.
ZEIT: Wo sind die Bedrohungen der Zukunft?
Gugerli: Cloud Computing, die Zusammenfassung von Datenmassen übers Internet, könnte zu einem gesellschaftlichen Problem werden. Da weiß niemand mehr so genau, wer was hat. Heute kann man noch eine Parlamentskommission auf eine Amtsstelle hetzen. Aber wer ist zuständig, wenn irgendwo in der sogenannten Cloud Daten abhandenkommen oder ein Eigenleben führen? Welche Kommission wollen Sie da vorbeischicken? Wen zur Rechenschaft ziehen? Darüber will ich gar nicht nachdenken müssen.
ZEIT: Heißt das auch: Zum Problem werden weniger die Datensammlungen, sondern eher die Lecks in den Datenbanken? Das trifft sich mit dem neuen Phänomen, dass das Bankgeheimnis durch Bankangestellte sabotiert wird, die ihre Kundendaten auf Disketten verkaufen.
Gugerli: Bei Lecks und bei Rückständen »gelöschter« Daten zeigt sich der Kontrollverlust. Wir bekommen es mit wild gewordenen Daten zu tun. Keiner weiß, wer sie hat, wo sie herkommen, wie sie abgelegt wurden. Sie sind einfach vorhanden. Daraus lassen sich schon Horrorszenarien ableiten. Es klingt paradox, aber das politische Problem rechnergestützter Datenbanken ist heute nicht die Überwachung der Bürger, sondern der Verlust der Kontrolle über Daten.
Das Gespräch führte Ralph Pöhner
- Datum 19.07.2010 - 17:20 Uhr
- Seite 1 | 2 | 3 | Auf mehreren Seiten lesen
- Quelle DIE ZEIT, 15.07.2010 Nr. 29
- Kommentare 8
- Versenden E-Mail verschicken
- Empfehlen Facebook, Twitter, Google+
- Artikel Drucken Druckversion | PDF
-
Artikel-Tools präsentiert von:
Herr Professor Gugerli nennt in diesem Interview eine sehr hohe Zahl von observierten und nachrichtendienstlich erfassten Personen, welche er mit der Zahl 200'000 von in der relationalen Datenbank generierten Personendatensätzen
des sogenannten militärischen Nachrichtendienstes(MND) angibt beziehungsweise beziffert, eine Zahl, welche insofern zu relativieren ist, dass davon nur etwas mehr als 1% auf schweizerische Staats- und Doppelbürger entfallen.
Hinzu kommt, dass die Streitkräfte der Schweiz in Osteuropa
diverse OSZE-Mandate vor Ort ausüben und spezifisch
Auslanddaten dortiger lokaler Personenrelationen registrieren, wie aus folgendem offiziellem Text
für den geneigten Leser einigermassen glaubwürdig hervorgeht:"Der Militärische Nachrichtendienst (MND) stellt in der Armee den Nachrichtendienst sicher und führt den Nachrichtenverbund. Er ist gleichzeitig oberstes Nachrichtenorgan von Armee und des Departementsbereiches Verteidigung wie auch Führungsgrundgebiet Nachrichtendienst des Führungsstabes der Armee. Der MND verfolgt die Lageentwicklung in den Bereichen Umwelt, ausländische Streitkräfte, zivile Partner und Phänomene der Gewalt unterhalb der Kriegsschwelle"(Militär-Departement, Schweiz).
... dumm und gefährlich, weil in den Köpfen der Geheimdienstler, Beamten und Politiker einiges zusammenkommt und sich niemand sicher sein kann, in ein diffuses grobmaschiges und zumeist unbekanntes Bedrohungs-Such-Raster zu fallen. Da müssen noch nicht einmal böse Absichten der Beamten dahinter stecken, sondern es ist sogar menschlich.
Dass einmal gesammelte Spuren nicht so einfach zu beseitigen sind und evtl. je nach Suchkriterium möglicherweise als Verdachtsmomente reaktiviert werden, zeigt im Grunde, dass die Existenz eines fälschlicherweise erfassten Datensatzes Existenzen ruinieren kann.
Gerade deshalb ist die Unschuldsvermutung ein so wichtiges Element in einer Demokratie und die wurde und wird fahrlässig - und man muss den Eindruck gewinnen, wissentlich - von der Politik torpediert. Seien es diese Schweizer Datenbank, das Swift-Abkommen, die Vorratsdatenspeicherung, oder die anderen nachrichtendienstlichen und polizeilichen Systeme die Alltagsdaten als Beifang oder in der Hauptsache verarbeiten.
Antwort auf das Argument: "dass die Existenz eines fälschlicherweise erfassten Datensatzes Existenzen ruinieren kann"["9.07.2010 um 20:22 Uhr, Kommentar
von oIo
2. Genau deshalb ist Speichern auf Vorrat... "].
Das Schweizerische Bundesgericht(BG) ist sich dieser
Möglichkeit einer Existenzvernichtung bewusst.
Die erste Referenz der BG-Literaturliste ist:
"Allgemeines Verfassungsrecht
Farer, Tom. – Confronting global terrorism and american
NEO-conservatism : the framework of a liberal grand
strategy / Tom Farer. – Oxford [etc.] : Oxford University
Press, 2008. – X, 257 S. ; 24 cm. – (Collected courses of
the Academy of European Law ; vol. XVI/2)
http://www.bger.ch/tf_a98...
Prof. Gugerli, seines Zeichens Geschichts- und Literaturwissenschaftler, macht an zwei Stellen technische Aussagen, die schlicht falsch sind.
Erstens ist es falsch, dass bei relationalen Datenbanken Bezüge zu gelöschten Daten immer erhalten blieben. Denn eine Datenbank ist nur dann brauchbar, wenn die Integrität ihrer Daten gesichert ist. Dazu definiert der entsprechende ISO-Standard Integritätsbedingungen. Eine solche Integritätsbedingung ist "ON DELETE CASCADE" und wird von relationalen Datenbanksystemen implementiert, um vollautomatisch alle Datensätze zu löschen, die sich auf einen gelöschten Datensatz beziehen.
Zweitens ist der Eindruck falsch, dass Daten in einer Cloud ganz ohne Zuständigkeiten irgendwo im Netz herumwabern würden. Cloud Computing wird jeweils von einem Anbieter angeboten - dieser ist selbstverständlich für die Cloud und die darin gespeicherten Daten verantwortlich. Zum Beipsiel sind zurzeit entsprechende Anbieter Amazon, Google und Microsoft, welche zudem eigene Rechenzentren für ihre Clouds betreiben.
Antwort auf Kommentar 4:
Nein, er hat recht, denn er meinte nicht die relationalen Bezüge der einzelnen Datensätze zum gelöschten, sondern die Relationen, die zwischen anderen Datensätzen aufgrund seines Datensatzes entstanden sind. Also z.B.: A kennt B, und C kennt B. Daraus kann entstehen: A kennt möglicherweise C. Und diese letzte Information wird bei einem kaskadierten Löschen des Datensatzes von B nicht zwingend automatisch mit gelöscht, da es eine generierte neue Relation ist.
Und auch die zweite Stelle ist nicht unbedingt falsch. Nur weil eine Cloud im Moment auf einen Anbieter beschränkt ist, heißt das noch lange nicht, dass diese Clouds später nicht auch miteinander verwoben werden.
Antwort auf Kommentar 4:
Nein, er hat recht, denn er meinte nicht die relationalen Bezüge der einzelnen Datensätze zum gelöschten, sondern die Relationen, die zwischen anderen Datensätzen aufgrund seines Datensatzes entstanden sind. Also z.B.: A kennt B, und C kennt B. Daraus kann entstehen: A kennt möglicherweise C. Und diese letzte Information wird bei einem kaskadierten Löschen des Datensatzes von B nicht zwingend automatisch mit gelöscht, da es eine generierte neue Relation ist.
Und auch die zweite Stelle ist nicht unbedingt falsch. Nur weil eine Cloud im Moment auf einen Anbieter beschränkt ist, heißt das noch lange nicht, dass diese Clouds später nicht auch miteinander verwoben werden.
Antwort auf Kommentar 4:
Nein, er hat recht, denn er meinte nicht die relationalen Bezüge der einzelnen Datensätze zum gelöschten, sondern die Relationen, die zwischen anderen Datensätzen aufgrund seines Datensatzes entstanden sind. Also z.B.: A kennt B, und C kennt B. Daraus kann entstehen: A kennt möglicherweise C. Und diese letzte Information wird bei einem kaskadierten Löschen des Datensatzes von B nicht zwingend automatisch mit gelöscht, da es eine generierte neue Relation ist.
Und auch die zweite Stelle ist nicht unbedingt falsch. Nur weil eine Cloud im Moment auf einen Anbieter beschränkt ist, heißt das noch lange nicht, dass diese Clouds später nicht auch miteinander verwoben werden.
Mit Ihrem Einwand zu meinem ersten Kritikpunkt haben Sie recht. Es ist dennoch fragwürdig, wenn Prof. Gugerli dies als zwingenden Nachteil relationaler Datenbanken hinstellt. Zusätzlich generierte Datensätze der Form "A kennt möglicherweise C" werden beim Löschen von B nur deshalb nicht gelöscht, da die Information, dass diese Beziehung von B vermittelt wurde, gar nicht erfasst wird. Werden die Datensätze stattdessen als "A kennt möglicherweise C vermittelt durch B" gespeichert, werden auch die gestiften Beziehungen wieder vollautomatisch mitgelöscht.
Mit Ihrem Einwand zu meinem ersten Kritikpunkt haben Sie recht. Es ist dennoch fragwürdig, wenn Prof. Gugerli dies als zwingenden Nachteil relationaler Datenbanken hinstellt. Zusätzlich generierte Datensätze der Form "A kennt möglicherweise C" werden beim Löschen von B nur deshalb nicht gelöscht, da die Information, dass diese Beziehung von B vermittelt wurde, gar nicht erfasst wird. Werden die Datensätze stattdessen als "A kennt möglicherweise C vermittelt durch B" gespeichert, werden auch die gestiften Beziehungen wieder vollautomatisch mitgelöscht.
Mit Ihrem Einwand zu meinem ersten Kritikpunkt haben Sie recht. Es ist dennoch fragwürdig, wenn Prof. Gugerli dies als zwingenden Nachteil relationaler Datenbanken hinstellt. Zusätzlich generierte Datensätze der Form "A kennt möglicherweise C" werden beim Löschen von B nur deshalb nicht gelöscht, da die Information, dass diese Beziehung von B vermittelt wurde, gar nicht erfasst wird. Werden die Datensätze stattdessen als "A kennt möglicherweise C vermittelt durch B" gespeichert, werden auch die gestiften Beziehungen wieder vollautomatisch mitgelöscht.
Gut, grundsätzlich haben Sie natürlich recht. Man kann eine relationale Datenbank auch so strukturieren, dass auch solche Fälle berücksichtigt werden. Allerdings zeigen meine Erfahrungen aus der Praxis, dass man schon froh sein kann, wenn wenigstens die essentiellen Fremdbezüge von Datensätzen überhaupt korrekt modelliert wurden. Die von Ihnen angesprochenen Feinheiten gehören normalerweise leider eher zur Kür und fallen gerne dem Rotstift zum Opfer.
Zusammenfassend möchte ich sagen: Gugerli hat zwar im Sinne der reinen Lehre nicht recht, seine Ausage spiegelt aber die Realität einigermassen treffend wider.
Gut, grundsätzlich haben Sie natürlich recht. Man kann eine relationale Datenbank auch so strukturieren, dass auch solche Fälle berücksichtigt werden. Allerdings zeigen meine Erfahrungen aus der Praxis, dass man schon froh sein kann, wenn wenigstens die essentiellen Fremdbezüge von Datensätzen überhaupt korrekt modelliert wurden. Die von Ihnen angesprochenen Feinheiten gehören normalerweise leider eher zur Kür und fallen gerne dem Rotstift zum Opfer.
Zusammenfassend möchte ich sagen: Gugerli hat zwar im Sinne der reinen Lehre nicht recht, seine Ausage spiegelt aber die Realität einigermassen treffend wider.
Gut, grundsätzlich haben Sie natürlich recht. Man kann eine relationale Datenbank auch so strukturieren, dass auch solche Fälle berücksichtigt werden. Allerdings zeigen meine Erfahrungen aus der Praxis, dass man schon froh sein kann, wenn wenigstens die essentiellen Fremdbezüge von Datensätzen überhaupt korrekt modelliert wurden. Die von Ihnen angesprochenen Feinheiten gehören normalerweise leider eher zur Kür und fallen gerne dem Rotstift zum Opfer.
Zusammenfassend möchte ich sagen: Gugerli hat zwar im Sinne der reinen Lehre nicht recht, seine Ausage spiegelt aber die Realität einigermassen treffend wider.
Wieso nicht einfach sachlich korrekt bleiben und schreiben, dass entsprechende Datenschutz-Überlegungen bei der Umsetzung oft keine Rolle spielen und nicht weiter beachtet werden? Warum sachlich falsch suggerieren, man dürfe keine relationalen Datenbanken verwenden, wenn man diese Funktionalität wolle?
Das ist, was mich stört. Es wird so getan, als ob es kein menschliches "Versagen", sondern eine unausweichliche, technische Notwendigkeit sei. Das schürt natürlich die Angst vor der Technik, ist aber schlicht falsch.
Wieso nicht einfach sachlich korrekt bleiben und schreiben, dass entsprechende Datenschutz-Überlegungen bei der Umsetzung oft keine Rolle spielen und nicht weiter beachtet werden? Warum sachlich falsch suggerieren, man dürfe keine relationalen Datenbanken verwenden, wenn man diese Funktionalität wolle?
Das ist, was mich stört. Es wird so getan, als ob es kein menschliches "Versagen", sondern eine unausweichliche, technische Notwendigkeit sei. Das schürt natürlich die Angst vor der Technik, ist aber schlicht falsch.
Wieso nicht einfach sachlich korrekt bleiben und schreiben, dass entsprechende Datenschutz-Überlegungen bei der Umsetzung oft keine Rolle spielen und nicht weiter beachtet werden? Warum sachlich falsch suggerieren, man dürfe keine relationalen Datenbanken verwenden, wenn man diese Funktionalität wolle?
Das ist, was mich stört. Es wird so getan, als ob es kein menschliches "Versagen", sondern eine unausweichliche, technische Notwendigkeit sei. Das schürt natürlich die Angst vor der Technik, ist aber schlicht falsch.
Bitte melden Sie sich an, um zu kommentieren