Datendelikte durch Konzerne, Regierungen oder Geheimdienste werden strafrechtlich so gut wie gar nicht sanktioniert. Dadurch entstehen rechtsfreie Räume – und viel Macht.
Daten sind wertvoll. Meinem Freund David ist neulich sein Laptop aus einem Auto gestohlen worden. Und leider auch die beiden Backups, die er in der Hektik beim Packen zusammen in eine Tasche gesteckt hatte. Er war am Boden zerstört. Zehn Jahre seiner digitalen Identität waren verloren. Korrespondenz, Dokumente, Aktivitäten, Ideen, Skizzen, Texte, Fotos, viele Kontakte, Zugänge, Erinnerungen und und und. Seine Freunde konnten nur betroffen dreinschauen, seinen Verlust aber kaum ermessen.
Es soll hier aber nicht um Kleinkriminalität gehen. Das Beispiel von Datenverlust zeigt auf, was wir alle schon ahnen: Unsere Datensphäre ist Teil dessen geworden, was uns als Person ausmacht. So wie ein antiker Dichter vergessen ist, wenn seine Schriften verloren gehen, so lebt auch ein Teil von uns in unseren Daten.
Jemand, der unseren gesammelten Datenschatz in den Händen hält, kann sich intimeren Zugang zu unserem Gehirn verschaffen, als wir selbst es haben. So kann der passende Algorithmus aus einem gewöhnlichen Instagram-Account einen möglichen Hang zu Depressionen herauslesen – und er kann den Zeitpunkt des nächsten Schubes zuverlässig voraussagen. Um nichts Geringeres als diese Dimension, diese Sphäre geht es, wenn wir das bürokratische Wort „Datenschutz“ (englisch: Privacy) in den Mund nehmen. Von Menschen, die mit diesem Teil von uns hantieren, erwarten wir, dass sie damit sorgsam umgehen und streng in dem von uns selbst erwünschten Rahmen.
Datendelikte sind keine Kavaliersdelikte
Hast es jemand bemerkt? Das Wort Datendelikt ist ungewohnt, es hat in der Google-Suche derzeit unter 800 Treffer. Datenstraftäter hat 14 Treffer, während Sexualstrafstäter über 7 Millionen hat. Man spricht von „Verstößen gegen den Datenschutz“, von „unberechtigten Datensammlungen“, von „Übergriffigkeit“. Dass es sich dabei manchmal um massive Entmündigungen und Gefährdungen unserer Sicherheit geht, klingt dabei nicht heraus. Entsprechend lasch sind die Sanktionen. Für die Datenverarbeiter gilt als schlimmstes – wenn auch unwahrscheinliches – Szenario die öffentliche Bloßstellung nebst einigen Auflagen. Unter Politikern gilt als Höchststrafe der Rücktritt von einem Amt. Das nennt man dann schon „Köpfe rollen“ lassen.
Die Datenschutzbeauftragten sind die Hanswurste der Neuzeit. Datenschutz gilt als nervige Formalie und Effizienzbremse, und nicht – wie es sein sollte – als unabdingbares Rüstzeug für eine selbstbestimmte Zukunft. So niedrig ist das Ansehen, so gering der Respekt vor unserer digitalen Persona, dass man mit ihr ungestraft umspringen kann:
Beim Ausspähen und Abfangen von Daten bewegt sich die Aufklärungsquote um 20 Prozent, bei Datenveränderung / Computersabotage je nach Aufkommen zwischen 10 und 40 Prozent. Ist ein*e Verdächtige*r ermittelt, liegt die Zahl der Aburteilungen um 4 Prozent. Zu diesen miserablen Quoten bei Datenvergehen schreibt der Fachblog Cives.de:
Zu einer Anklageerhebung kommt es fast nie. Dies lässt sich damit erklären, dass die meisten dieser Delikte bereits vor Anklageerhebung durch die Staatsanwaltschaft eingestellt werden. Dies kann sie dann tun, wenn sie das Delikt als Vergehen bewertet, die Schuld des Täters als gering bewertet oder kein öffentliches Interesse an der Verfolgung erkennen kann. Auch kann sie von einer Klage absehen, wenn der Tatverdächtige Schadensersatz leistet oder einen Geldbetrag entrichtet.
Die Zahl der Verurteilungen liegt in Deutschland jährlich im unteren zweistelligen Bereich. Und dabei dürfte es vor allem Geldtrafen geben, auf keinen Fall Existenzielles wie Sozialarbeit oder gar Haftstrafen.
Vier Beispiele
- Die Firma Cambridge Analytica aus dem Umfeld des rechtsradikalen Steve Bannon hat mit der Zustimmung von Facebook 50 bis 87 Millionen Datensätze (samt Freundeskontakten) zweckentfremdet, um die Präsidentschaft von Donald Trump sowie vermutlich den Brexit zu befördern. Auch wenn man einbedenkt, dass die Firma insolvent ging (inzwischen ist sie neu gegründet) und das Ganze einen ziemlichen Skandal für Facebook bedeutete, hat sich der Einsatz aus Sicht der Investoren gelohnt. Man darf davon ausgehen, dass viele der Betroffenen dieser Verwendung ihrer Daten vehement widersprochen hätten und unter den politischen Auswirkungen heute leiden.
.
Die juristische Aufarbeitung: Es gab peinliche Anhörungen von Mark Zuckerberg vor Ausschüssen des US-Kongresses und des EU-Parlaments. Doch auch die drohende Höchststrafe von 500.000 Pfund in Großbritannien konnte Facebook nicht zu voller Transparenz und Zusammenarbeit bewegen. Kein Wunder, der Betrag entspricht einer Kursschwankung der Facebook-Aktie um 0,000002 Prozent. Als nun in den USA die Handelsbehörde FTC eine Strafe von 5 Milliarden US-Dollar verhängte lies das aufhorchen – und den Aktienkurs wegen der nun gewonnenen Sicherheit in die Höhe schnellen. Was es nicht gab, waren Hausdurchsuchungen, Verhöre, Beugehaft oder Haftstrafen, wie das bei Wirtschaftsdelikten dieser Tragweite durchaus üblich gewesen wäre. Eine einzige, harmlose Klage auf Datenherausgabe läuft derzeit, um überhaupt noch etwas Licht ins Dunkel zu bringen.
.
- Die Herstellung und der Export von Spionagesoftware in Länder wie Saudi-Arabien, Brunei, Turkmenistan u.v.a. helfen den dortigen Regierungen, Oppositionelle ausfindig und für sie unschädlich zu machen. Dies ist mit der Herstellung und Lieferung von Waffen durchaus vergleichbar. Denn diese sogenannten Dual-Use-Güter sind, ob legal oder illegal, in jedem Fall nur für eines geeignet: das Ausspähen von Menschen. Schon das verschleppte Embargo ist ein Skandal, der die beteiligten Politiker disqualifizieren sollte. Aber auch ohne ein Embargo muss jedem klar sein, dass diese Software genutzt wird, um unerwünschte Personen ans Messer zu liefern.
.
Die juristische Aufarbeitung: Die an den fragwürdigen Deals beteiligten Firmen und sogar deren Vertreter-Protokolle sind auf Wikileaks veröffentlicht worden. In einer einzigen zugelassenen Anklage von Privacy International gegen die Gamma International UK Ltd. kam es zu einer Untersuchung durch die Nationale Kontaktstelle der OECD. Im abschließenden Bericht standen eine Reihe freundlicher Empfehlungen, sich künftig an „den allgemeinen Verpflichtungen zur Achtung der Menschenrechte“ zu orientieren und „die Standards der Leitlinien zu erfüllen“. Schon der Duktus des Berichts ist eine einzige Ohrfeige für die aufrechten Demokraten, die in bahrainischen Foltergefängnissen sitzen:
Die britische NKS ist ferner der Ansicht, dass das Gesamtengagement des Unternehmens für den NKS-Prozess unbefriedigend war, insbesondere angesichts der Ernsthaftigkeit der aufgeworfenen Fragen. Über seinen gesetzlichen Vertreter hat das Unternehmen Hindernisse für den Fortschritt der Beschwerde errichtet, ohne Informationen zur Verfügung zu stellen, die der NKS helfen würden, diese unverzüglich und fair zu bewerten. Die NKS ist der Ansicht, dass dies nicht den Anschein oder die praktische Wirkung hat, in gutem Glauben zu handeln und den NKS-Prozess einzuhalten.
- Eine Schule in Pennsylvania geriet 2010 in die Schlagzeilen, nachdem Schüler*innen über die Kameras und Screenshots von hunderten Schul-Laptops zuhause gezielt ausgespäht wurden. Das Interesse galt offenbar einem möglichen Drogenkonsumenten der Schüler*innen. Fotos von privaten Situationen wurden von den Angestellten gezielt erstellt, ausgetauscht und untereinander diskutiert.
.
Die juristische Aufarbeitung: Die Schule musste am Ende nach einer zivirechtlichen Sammelklage eine Geldstrafe von immerhin 610.000 US-Dollar Strafe zahlen, vor allem auch weil Nacktbilder involviert waren. Ein strafrechtliches Vergehen von Mitarbeitern wurde von den Gerichten aber nicht verfolgt, weil „kein Beweis für eine kriminelle Absicht“ erbracht sei. Das Ausspähen an sich wird also nicht als gesetzeswidrig bewertet.
. - Last, not least – was ist eigentlich aus den Snowden-Enthüllungen geworden? Kurz rekapituliert: Es handelte sich um diverse groß angelegte, von Parlamenten nicht kontrollierte und vor ihnen verheimlichte Überwachungsprogramme. Beteiligt waren vor allem die „Five Eyes“, Geheimdienste von Australien, Großbritannien, Kanada, Neuseeland und USA. Die Stasi hätte von solchen Möglichkeiten nur träumen können: Von der Erfassung sämtlicher Internetkommunikation (Full Take) über das Ausspähen befreundeter Politiker bis hin zum Rufmord an einzelnen Personen und die Einschüchterung der Presse wurde genau alles verbrochen, was man sich ausmalen kann. Angezapfte Laptopkameras, manipulierte Online-Abstimmungen, die Instrumentalisierung von Terrorgefahren, Wirtschaftsspionage, private Recherchen – außer den Grenzen des technisch Machbaren kannten und kennen die Geheimdienste keine Tabus.
.
Die juristische Aufarbeitung: Die beteiligten Staaten (wie auch die deutsche Bundesregierung), machten sich sogleich daran, die aufgedckten Praktiken zu überprüfen – und fast vollständig zu legalisieren. So verlegte man sich darauf, statt (gesetzwidrig) die eigene Bevölkerung einfach (gesetzeskonform) die jeweils verbündete Bevölkerung auszuspähen und die gewonnenen Daten danach auszutauschen. Fast alle aufgedeckten Praktiken verstoßen gegen Geist und Buchstaben jeder demokratischen Verfassung. Sie sollten dazu führen, dass dutzende Verantwortliche für Jahrzehnte hinter Gitter wandern. Stattdessen werden die Überbringer der Nachricht diskreditiert, kriminalisiert und eingesperrt.
.
Auf privacynotprism.org.uk bekommt man einen Eindruck, was der Rechtsweg in der Musterdemokratie Großbritannien erbracht hat: Ein volles Zugeständnis, dass die Überwachungspraxis der Europäischen Menschenrechtscharta widersprochen hat, eine Fortführung der Praktiken unter leicht veränderten – und damit legalisierten – Vorzeichen. Punkt. Zurzeit läuft die Verlängerung: Eine Anhörung durch den Europäischen Gerichtshof für Menschenrechte.
.
Im Vergleich zu allen anderen beteiligten Ländern sind dies Traumerfolge. Aber kein einziger Beamter ist zur Rechenschaft gezogen worden. Gegen Stasi-Chef Erich Mielke wurde nach dem Ende der DDR wegen „Hochverrats durch verfassungsfeindliche Aktionen“ und „Verbrechen gegen die Menschlichkeit“ ermittelt. Für die breite Palette an Vergehen durch das GCHQ wurde kein Mitarbeiter persönlich in Haftung genommen. Auch die Staatsanwaltschaft Köln hatte in Sachen GCHQ versus Stellar Ermittlungen „gegen Unbekannt“ eingeleitet. Von den Ergebnissen ist bis heute nichts zu hören.
Fazit: Den Tätern passiert genau nichts. In diesen Beispielen zeigt sich ein Rechtsverständnis, dass den Missbrauch von Daten oder das Verletzen der Privatsphäre als lässliche Versehen, wohlmeinende Kavaliersdelikte, wirtschaftliches Denken oder legitimen staatlichen Selbstschutz ansieht. Für ein paar Angestellte oder Geschäftsführer*innen ist es peinlich, wenn sie sich erwischen lassen. Aber es kostet im allerschlimmsten Fall Firmengeld und einen Rückschlag in der Karriere um ein bis zwei Jahre – dumm gelaufen halt.
Vergehen an Daten sind Vergehen an Personen
Normalerweise sind es rechte Stammtischredner, die immer härtere Strafen fordern. Als Genugtuung, aus Wut, damit die unsichere Welt wieder in Ordnung kommen möge. Als Humanist habe ich keine Freude daran, jemanden im Knast schmoren zu sehen. Kaum jemand wird dort schließlich „gebessert“. Und doch plädiere ich für härtere (oder besser angemessene, überhaupt wahrnehmbare) Strafen bei Datendelikten. Vor allem aus Gründen der Abschreckung, damit ein kriminelles Verhalten als kriminell wahrgenommen wird. Und weil ich es – im nun mal gegebenen Vergleichsrahmen unseres Justizsystems – für gerecht hielte.
Wenn jemand wiederholt viel zu schnell gefahren ist seinen Führerschein entzogen bekommt, so ist das eine spürbare Sanktion. Er muss dafür schon mehrere Warnungen ignoriert haben und unbeirrt seinem Antrieb gefolgt sein. Wenn er dabei andere konkret gefährdet hat, halten wir es für richtig, ihn strenger zu bestrafen. Und bei Körperverletzung hört der Spaß vollends auf.
Wenn jemand Daten von Millionen Menschen auf eine Weise vernetzt, dass sie zu gläsernen Bürgern werden und damit ihre Grundrechte massiv einschränkt, sie zu ängstlichen und entmündigten Staatsanhängseln macht, statt zum Souverän, was hat der zu befürchten? Widerspruch? Eine kritische Presse? Einen Rüffel oder Karrieredämpfer gar? Vernünftigerweise müsste er seines Amtes sofort enthoben werden und sich dann strafrechtlich für seine verfassungsfeindlichen Umtriebe rechtfertigen.
Das Signal ist eindeutig: An den Daten anderer Menschen kannst du herumfummeln, wie du willst, du hast wirklich nichts zu befürchten.
Es geht hier nicht um „Rübe ab“. Natürlich muss abgewogen werden. Das ist bei Ladendiebstahl nicht anders, da reicht das Spektrum von versehentlich-nicht-bezahlt bis zu bandenmäßigen Serientätern. Jemand der unwissentlich mit Daten schludert ist anders zu beurteilen als jemand, der böswillig aus persönlichen Motiven andere schädigt. Und jemand, der sich das Ausspähen zum Geschäftsmodell gemacht hat, ist wiederum anders zu beurteilen. Wichtig ist, dass es zu einem Urteil kommt und das dies dem Verurteilten sein (für andere womöglich existenziell schädliches) Verhalten spiegelt.
Vielleicht ist es auch die Psychologie, die uns ein Schnäppchen schlägt: In einen Laden zu gehen und etwas zu stehlen ist ein physischer Vorgang. Es hat den Ruch des Asozialen. Einen CumEx-Deal abzuschließen oder mit Daten Monopoly zu spielen ist ein quasi virtueller Vorgang, verübt am Rechner in einer klinisch sauberen Umgebung. Dieses „feine“ Image steht einer objektiven Bewertung im Wege. Ein Richter wird einer eloquenten leitenden Angestellten im gut sitzenden Blazer ihre Ausreden eher abnehmen, als dem radebrechenden Angehörigen einer Drückerkolonne. Hier brauchen wir ein Umdenken.
Wir hätten viel zu Gewinnen: Angemessene Strafen bei Datenmissbrauch könnten zu einer Welt führen, in der es sich okay anfühlt, seine gesamten Daten einer Cloud in irgendeinem funktionierenden Staat anzuvertrauen. Das hätte auch meinem Freund David geholfen.
//
Trackbacks/Pingbacks