Genau wie in der laufenden Debatte zum Thema Verschlüsselung und Verbrechensbekämpfung rechtfertigt die spanische Regierung neue Befugnisse zur Kontrolle des Cyberspace mit dem Verweis auf neue Bedrohungen wie Daten- oder Informationsdiebstahl, Cyber-Angriffe auf kritische Infrastrukturen und Hacking.
Verstärkte Regulierung wird durch diffuse Bedrohungen gerechtfertigt
In einer schwammigen Erklärung werden "jüngste und schwerwiegende Ereignisse, die sich in einem Teil des spanischen Territoriums ereignet haben" angeführt, um zu rechtfertigen, dass sich der Staat ein breites Spektrum von Befugnissen erteilt, die sowohl den öffentlichen als auch den privaten Bereich betreffen. Problematisch ist daran vor allem, dass diese Befugnisse auf Dauer angelegt sind, dass sie die Rechte der Bürger ernsthaft beeinträchtigen und dabei noch nicht einmal auf das Gebiet beschränkt sind, für das diese Änderung angeblich als dringende Maßnahme vorgesehen ist.
In zwei wesentlichen Bereichen hat die staatliche Verwaltung die Kontrolle übernommen: das Glasfasernetz, das die Regionalverwaltung von Katalonien in der gesamten Region ausgebaut hat, und IdentiCAT, ein selbstverwaltetes blockchain-basiertes System der digitalen Identität (self-sovereign digital identity - SSI) für die Bürger.
Im ersten Bereich überrascht, dass die im allgemeinen Telekommunikationsgesetz enthaltene bestehende Genehmigung als unzureichend und dringend modifizierungsbedürftig eingestuft wurde. Der Einsatz von vagen Begriffen in der neuen Gesetzgebung wie "öffentliche Ordnung", "öffentliche Sicherheit" oder "nationale Sicherheit" schafft einen inakzeptablen Rahmen der Rechtsunsicherheit. Wir sprechen von Befugnissen, die, wie im Text selbst betont, nicht nur ein elektronisches Kommunikationsnetz oder einen elektronischen Kommunikationsdienst umfassen, sondern sich auch auf die Elemente erstrecken, die notwendigerweise mit der Einrichtung eines Netzes oder der Bereitstellung eines elektronischen Kommunikationsdienstes einhergehen, wie die Infrastruktur, die öffentliche elektronische Kommunikationsnetze unterhalten kann, die damit verbundenen Ressourcen und im Grunde jedes Element oder jede Ebene des Netzes oder Dienstes.
Das Ministerium gibt sich selbst die Befugnis, das normale Verfahren auszuhebeln
Das neue Gesetz beschreibt auch eine Reihe von Situationen, in denen das Ministerium für Wirtschaft und Unternehmen Präventivmaßnahmen ohne Anhörung ergreifen kann, wobei auch hier wieder unbestimmte Gefahren für die öffentliche Ordnung und Sicherheit angeführt werden. Diese Maßnahmen könnten zahlreiche Bürgerrechte betreffen und würden ohne jegliche spätere gerichtliche Kontrolle direkt von der staatlichen Verwaltung ergriffen. Daraus folgt, dass die Einführung dieser Ermächtigung höchst fragwürdig ist, wenn sie als Gesetzesdekret verabschiedet wird.
Im Hinblick auf die neuen Modelle dezentraler digitaler Identität auf Blockchain-Basis legt das Gesetz ausdrücklich fest, dass Identifizierungssysteme, die auf diesen verteilten Registrierungstechnologien basieren, und darauf basierende Signatursysteme unter keinen Umständen zulässig sind und daher nicht genehmigt werden können, solange sie nicht einer spezifischen staatlichen Regelung innerhalb des EU-Rechtsrahmens unterliegen. Zusätzlich behält sich der Staat eine Aufsichtsfunktion für die Verwaltung als Zwischenbehörde vor, wenn eine solche Regelung bereits besteht.
Das Problem besteht darin, dass für diese Identifikationssysteme bereits mehrere Regelungen gelten, angefangen beim europäischen System zur Anerkennung elektronischer Identitäten (eIDAS) oder beispielsweise Regelungen wie die zum Schutz personenbezogener Daten.
Die Rechtfertigung für das Gesetz ist mehr als zweifelhaft
Wie schon im Urteil 55/2018 des Verfassungsgerichtshofes ist die Legitimität dieses Eingriffs in den Bereich der Selbstorganisationskräfte einer autonomen Verwaltung umstritten, insbesondere wenn er eine wichtige Zusatzverpflichtung beinhaltet, wie z.B. die Rolle einer Zwischenbehörde für diese Systeme in der Zukunft.
Das Gesetzesdekret wurde zwar im Hinblick auf das katalanische Projekt verfasst, aber auch andere Gebiete erwägen die Entwicklung ähnlicher Lösungen, und wir sprechen hier nicht von einer Technologie, die auf die Durchführung illegaler Handlungen ausgerichtet ist. Das EU Blockchain Observatory bezeichnet in seinen Berichten diese Technologien der selbst-souveränen Identität als einen Mechanismus, der es den Nutzern erlaubt, nicht nur ihre Benutzerkennung (den sogenannten 'Identifier'), sondern auch alle damit verbundenen Informationen zu kontrollieren.
Ein Verbot, das die Entwicklung einer neutralen und nützlichen Technologie beeinträchtigt und mit einem angeblichen Mangel an Regulierung gerechtfertigt wird, ist inakzeptabel, insbesondere wenn es durch ein Gesetzesdekret mit Dringlichkeitscharakter genehmigt wurde.
Die Behörden rechtfertigen das Gesetz damit, dass es aufgrund der Auflösung der Kammern unmöglich sei, rechtzeitig zu reagieren. Es gibt aber eine Reihe von Änderungsvorschlägen zu Normen, die in einigen Fällen bereits seit Jahren in Kraft sind oder die in anderen Fällen vollkommen unnötig sind, sowie neue Genehmigungen, die letztendlich zu einer Verletzung der Grundrechte führen können.
Dieses Gesetz darf nicht nur aus der Perspektive einer autonomen Region oder einer spezifischen Situation und Zeit analysiert werden. Die Aussagen über seine angebliche Zielsetzung sind dabei nicht das Wesentliche, denn sein Anwendungsbereich ist nicht auf die genannte Situation beschränkt. Letztlich stellt das Gesetz einen großen Eingriff in die Rechte der Bürger dar.
*Dieser Text wurde ursprünglich im Blog von Rights International Spain veröffentlicht.