Der bekannte IT-Experte und Blogger Felix von Leitner aka Fefe hält den aktuellen Datenskandal, bei dem persönliche Informationen von zahlreichen Prominenten und Politikern veröffentlicht wurden, nicht für einen Betriebsunfall, sondern für ein Symptom eines Systemversagens. Die Politik habe die Probleme mit Datenmissbrauch, die sich nun zeigen, jahrezehntelang selbst herbeigeführt. Politiker, so Fefe, seien hier nicht die Opfer, sondern die Täter.

In Deinem Blog hast Du geschrieben, dass Du es gar nicht interessant findest, wo die via Twitter veröffentlichten Daten herkommen und was der oder die Täter damit bewirken wollen. Warum nicht?

Felix von Leitner: Weil das eine Suggestivfrage ist. Sie tut so, als sei das mysteriös. Sie suggeriert, sichere Datenhaltung sei grundsätzlich ein gelöstes Problem und jetzt hätte es einen Fehler gegeben. Wenn wir den gefunden haben, ist wieder alles gut. Das Gegenteil ist der Fall. Jede Ebene des Problems ist entweder ungelöst oder wird aktiv in die falsche Richtung optimiert. Wir haben das falsche Ziel vorgegeben, wir erheben sinnlos Daten, wir speichern sie unsicher in der Cloud, und unsere Software ist auch unsicher. Aber auch das greift noch zu kurz. Es sind nicht Fehler in der Umsetzung, es sind Fehler in der Zielsetzung!

Die Politik verkündet seit Jahren Slogans wie „Daten sind das Öl des 21. Jahrhunderts“ — trotz Datenschutz und Privatsphäre und obwohl das Bundesverfassungsgericht ihnen aus Mangel ans Respekt vor der Intimsphäre der Menschen ein Gesetz nach dem anderen zerreißen musste. Welches Signal setzt denn das? „Sammelt weniger Daten“? Wohl kaum! Wenn die Daten nicht gesammelt worden wären, hätten sie nicht wegkommen können. In der Privatwirtschaft gibt es auch einen Trend zu mehr Datensammeln (Stichwort „Big Data“), obwohl in der Praxis niemand weiß, was man mit den Daten anstellen soll. Das will man aber vor der Konkurrenz nicht zugeben, und so sammeln alle fleißig und speichern alles weg, aber keiner tut damit sinnvolle Dinge. „Künstliche Intelligenz“ soll jetzt helfen. Der Innenminister ist natürlich auch sofort aufgesprungen und macht Feldversuche mit Gesichtserkennung.

Diese Verlogenheit ärgert mich. Du kannst nicht die Opferrolle für dich einfordern, wenn du selbst Täter bist. Hört auf, Daten über mich zu sammeln; dann habe ich auch Mitleid, wenn jemand eure Daten sammelt.

Gibt es auch so etwas wie einen „alltäglichen Datenmissbrauch“ durch Firmen, Institutionen oder die Politik?

Die Politik versucht nicht mal, die Meldedaten ihrer Bürger abzusichern, sondern verkauft sie weiter. Wer in einem Hotel übernachtet, muss seine persönlichen Daten hinterlassen, inklusive Geburtsdatum. Die dem ausgesetzten Bürger haben verstanden, dass die Politik nicht am Sichern ihrer Privatsphäre interessiert ist sondern an möglichst umfassender Massendatenerhebung. Das merkte man gut bei der Mautsystem-Debatte, wo niemand glauben wollte, dass es nicht um die Daten aller Autos geht.

Versuch mal, dich anonym von A nach B zu bewegen! Fliegen ohne Namensnennung geht nicht. Beim Autofahren gibt es anlassloses Kennzeichen-Scannen. Bei der Bahn kauft man die Tickets online mit Account und Kreditkarte und ist auch nicht mehr anonym. Selbst der öffentliche Nahverkehr wechselt stetig zu Apps und damit zur Deanonymisierung. Und man müsste auch das Mobiltelefon zuhause lassen, denn das hinterlässt auch Datenspuren, auf die u.a. die Polizei gerne zugreift. Die Botschaft an die Bürger ist klar: Es geht hier nicht darum, euch eure Privatsphäre zu lassen. Ihr werdet vermessen und in Datenbanken abgelegt, wo ihr auch hingeht und was ihr auch tut. Überall gibt es Datenbanken, und die Bürger haben so gut wie keinen Einblick darin, wer was über sie gespeichert hat.

In der Cloud gespeicherte Daten kommen jetzt mit solcher Regelmäßigkeit weg, dass man Multi-Millionen-Datensätze verlieren muss, um überhaupt in der Presse Erwähnung zu finden. Die DSGVO hat Meldepflichten eingeführt — aber das wird nicht der Presse oder den Kunden gemeldet sondern dem BSI (Bundesamt für Sicherheit in der Informationstechnik; Anm.d.Red.), und das tut das dann in eine Datenbank und schweigt. So viel schwarzen Humor hätte man sonst eher bei Monty Python erwartet. Die Politik hat sich jahrelang der Beratung von Datenschützern aktiv widersetzt und erfolgreich in die Richtung optimiert, in der Daten halt verlorengehen. Und jetzt sind sie selbst betroffen. Insofern: Ja, die Frage, wo die Daten hergekommen sein könnten, stellt sich meiner Ansicht nach nicht. Wenn man nicht will, dass Menschen Opfer von Schusswaffen werden, dann muss man dafür sorgen, dass Schusswaffen nicht überall einfach verfügbar sind. Mit Daten ist das genau so.

Warum wird dieser Fall öffentlich so hoch aufgehängt, während „alltäglicher Datenmissbrauch“ etwa durch Werbe-Anrufe oder Spam-Mails kaum noch jemanden aufzuregen scheint?

Meine Mutmaßung: Weil Politiker betroffen waren. Die haben einfach eine andere Perspektive auf viele Probleme, weil sie anders betroffen sind als Bürger. Der typische Politiker ist ständig unterwegs und hat eine Bürohilfe. Die Spamanrufe zuhause kriegt der Ehepartner ab, und die Spam-Mails filtern die Büroangestellten heraus. Das sieht der gar nicht. Und natürlich hat man auf staatliche Datenbanken eine andere Perspektive, wenn man sich selbst als den Chef sieht. Aus der Perspektive sieht das nicht aus wie „der Staat sammelt Daten über mich“ sondern wie „meine Angestellten führen eine Datenbank über Gefährder“. Als Abgeordneter muss man sich auch wenig Sorgen machen, eine spontane Hausdurchsuchung erdulden zu müssen, wie es in letzter Zeit leider unter normalen Bürgern ein Trend zu werden scheint.

Mal ganz plakativ gesprochen: Abgeordnete haben ein sicheres Gehalt, Krankenversicherung und Rente. Das sind für die gelöste Probleme. Entsprechend geringer fällt die Energie aus, die in die Lösung dieser Probleme für andere gesteckt werden wird. Das ist ein ganz natürlicher, menschlicher Mechanismus, man muss (und sollte!) da gar keine böse Absicht unterstellen. Ungelöste Probleme, die einen selber betreffen, haben immer höhere Priorität.

Es ist die Rede davon, die Veröffentlichung sei ein „Anschlag auf die Demokratie“ – was ist davon zu halten?

Das zeigt deren Weltbild. Niemand betrachtet sich selbst als Täter. Aus Sicht der Abgeordneten sind sie die Guten, die für die Demokratie arbeiten, und wichtige und notwendige Datenbanken über die Bevölkerung führen, damit man im Notfall was tun kann. Wenn sie ihre IT-Leute fragen, ob man die Sicherheit der Daten garantieren kann, werden die das mit dem Brustton der Überzeugung bejahen — das ist schließlich deren Selbstbild. Aber am Ende kommt so eine Formulierung heraus, die eine erschütternde Abwesenheit von Mitgefühl für die Millionen von Bürgern erkennen lässt, die von ähnlichem Mobbing oder Doxing (das Zusammentragen und Veröffentlichen von persönlichen Daten aus dem Internet; Anm.d.Red.) betroffen sind, und denen niemand hilft. Die Formulierung hat mich echt geärgert. Das war ein „der Kaiser hat keine Kleider“-Moment, fand ich.

Inwieweit steht die Politik hier in der Verantwortung? Was wurde versäumt, was wären richtige und wichtige Reaktionen?

Die Politik hat aus meiner Sicht das Problem vollständig selbst herbeigeführt, und zwar über Jahrzehnte. Erst hat die Politik unsere IT-Industrie gegen die Wand gefahren. In Deutschland wird so gut wie keine Hardware mehr hergestellt, alles kommt aus China. Manche Hersteller setzen die Teile noch in Deutschland zusammen, aber das sind dann häufig Fördermodelle mit Langzeitarbeitslosen und 1-Euro-Jobs. Auch bei Software ist Deutschland stark ins Hintertreffen geraten. Als dann die skrupellose Industrie kam, und der Politik erzählte, man könnte ja Geld damit verdienen, indem man Daten über wildfremde Menschen erheben, auswerten und die Erkenntnisse verkaufen, da hat die Politik sofort nach dem Strohhalm gegriffen – um nicht das Ausmaß ihres Versagens vorher thematisieren zu müssen. Das sah für die Politik so aus, als löse sich das Problem jetzt von selbst. Win-Win!

Und so haben wir einen atemberaubenden Wachstum an Datenhalden mit Daten über irgendwelche Leute, die nicht nur nie zugestimmt haben, sondern dazu erpresst werden mussten („wenn du nicht zustimmst, darfst du unseren Service nicht nutzen“) oder wo die „Zustimmung“ hinter seitenlangem Kleingedruckten versteckt wurde. Zu jedem Zeitpunkt hätte die Politik gegensteuern können. Hat sie aber nicht. Im Gegenteil! Die Politik hat fleißig mitgemacht, und immer neue Datenbanken und Behörden mit Datenbanken geschaffen.

Aber nicht nur das muss man ihnen vorwerfen. Sie haben sich aktiv über entsprechende Beratung durch Datenschützer und NGOs hinweggesetzt, die genau vor diesen Szenarien gewarnt haben, die wir jetzt alle der Reihe nach sehen. Daher ärgert mich das Narrativ gerade, das die Politiker als Opfer darstellt. Aus meiner Sicht ist die Politik nicht Opfer, sondern Täter, und zwar mit Vorsatz. Und das war auch kein einzelner Fehltritt sondern die Kulmination einer langen Tradition aus sinnloser Datenerhebung und bewusstem Ignorieren der eigenen Hybris und Unfähigkeit, die Daten dann

auch sicher zu lagern.

Trügt der Eindruck, dass die Datenschutzgrundverordnung nicht dazu beiträgt, Datenmissbrauch zu verhindern oder wenigstens einzudämmen?

Ja, der Eindruck trügt. Der Chaos Computer Club hat vor vielen Jahren die Forderung aufgestellt, dass Bürger jährlich einen „Datenbrief“ kriegen sollen. Alle Firmen und Behörden, die Daten über mich haben, müssen mir jährlich einen Brief schreiben, wo sie mir sagen, was sie über mich gespeichert haben, wozu sie das erhoben haben, und wie lange sie das noch zu speichern gedenken, und dann sollte ich eine Möglichkeit haben, sie zum Löschen aufzufordern.

Das haben wir nie bekommen, aber die DSGVO hat immerhin einen einmaligen Datenbrief herbeigeführt. Die Bürger haben jetzt erstmalig gesehen, wer alles Daten über sie gespeichert hat oder zu speichern gedenkt. Das Ausmaß war für viele Bürger so augenöffnend, dass sie direkt zur Resignation übergegangen sind. Man stelle sich mal vor, wir hätten die DSGVO früher bekommen, rechtzeitig. Als man noch etwas hätte tun können! Das ist schon ein Riesenerfolg. Aber es ist halt am Ende auch wieder nur ein fauler Kompromiss. Wenn die Politik ein Gesetz macht, das sinnlos Daten über mich erhebt, dann habe ich nach wie vor keine realistische Handhabe. Ich kann höchstens bei der nächsten Wahl anders wählen oder jahrelang Klagen führen.

Wie gehen die Medien Deiner Wahrnehmung nach mit dem Fall um?

Die Medien wirkten auf mich etwas hin- und hergerissen. Auf der einen Seite haben viele Reporter (besonders aus dem Politik-Segment ihrer Zeitungen) Doxing und Mobbing aus dem Internet schon mal am eigenen Leib miterlebt. Die haben auch gesehen, dass die Politik ihnen nicht geholfen hat, und nicht mal an der Eindämmung des Problems gearbeitet hat. Die waren prädisponiert, der Politik das mal zu gönnen, dass sie betroffen sind. Die meisten Medien haben aber das Narrativ der Politik direkt übernommen. Ich vermute: Aus Gewohnheit. Jahrelang heißt es jetzt immer, wir werden von den Russen oder den Chinesen gehackt. Jetzt heißt es halt, wir wurden von einem 20-Jährigen gehackt, der noch bei seinen Eltern wohnt. Da verwendet man einfach die alten Textbausteine weiter und ändert in der Mitte ein paar Wörter. Ich hätte mir da viel mehr Kritik an der Politik gewünscht. Aber vielleicht sieht man das nicht so deutlich, wenn man den ganzen Tag so nah an denen dran ist. Dann färbt deren Weltbild ab.

Im Podcast von Gabor Steingart hat Bild-Chef Julian Reichelt noch am Dienstagmorgen die Theorie verbreitet, dass staatliche Akteure hinter dem Leak stecken würden. Wie beurteilst Du die Aussagen Reichelts?

Das sind haltlose Verschwörungstheorien. Das sagt, wie häufig bei sowas, mehr über ihn aus als über die Leute, die er damit belasten wollte. Die Daten im Internet sind im Moment wie eine saftige Wiese. Wer sich Zeit zum Grasen nimmt, wird Daten finden. Die wahrscheinlichste Variante war die ganze Zeit, dass das einer oder mehrere Einzeltäter sind. So funktioniert heutzutage Freiwilligenarbeit. Jemand hat eine Idee, arbeitet los, findet im Internet vielleicht Sympathisanten, die mithelfen, oder er macht es halt alleine fertig. Ob das jetzt einer in Vollzeit war, oder zwei in Teilzeit und drei Kumpels aus Messageboards, die unterstützt haben, das spielt aus meiner Sicht keine Rolle. Ich frage mich auch, woher der Reichelt sein Insider-Wissen darüber haben will, wie man Daten hackt. Gibt es da etwas, das er uns mitteilen möchte? Wenn die Bild Daten sucht, geht sie dann zu einer befreundeten staatlichen Stelle? Ich würde das nicht weiter ernst nehmen.

Die Fragen an Felix von Leitner wurden via Mail gestellt.