Neues Cybersicherheitsgesetz: Erdogans Staat übernimmt die vollständige Kontrolle über unsere persönlichen Daten!

Levent Kenez/Stockholm

Ein ehrgeiziger Gesetzentwurf zur Cybersicherheit, der kürzlich im türkischen Parlament eingebracht wurde, löst heftige Reaktionen aus. Kritiker äußern Bedenken hinsichtlich möglicher Bedrohungen für Menschenrechte und individuelle Freiheiten. Während dieser Text darauf abzielt, die Abwehrkräfte des Landes angesichts zunehmender Cyber-Bedrohungen zu stärken, werfen seine Bestimmungen Bedenken hinsichtlich Überwachung, Datenschutz und Machtkonzentration innerhalb staatlicher Institutionen auf.

Der Nationale Verteidigungsausschuss des Parlaments hat den Gesetzentwurf am 20. Januar angenommen und zur Genehmigung vorgelegt. Der Text sollte zügig geprüft werden, um eine Rechtsgrundlage für die am 8. Januar von Präsident Recep Tayyip Erdoğan gegründete Direktion für Cybersicherheit zu schaffen.

Die vorgeschlagene Gesetzgebung verleiht dieser neuen Direktion weitreichende Befugnisse, einschließlich der Möglichkeit, große Datenmengen von öffentlichen Einrichtungen und Anbietern kritischer Infrastrukturen zu sammeln und zu speichern. Artikel 6 erlaubt die Erfassung von Anmeldedaten und deren Übertragung an ihre Systeme, was Ängste vor unkontrollierter Überwachung weckt.

Darüber hinaus ermöglicht Artikel 8 Vor-Ort-Inspektionen und Hausdurchsuchungen mit wenigen Garantien. In Fällen, die als „dringend“ gelten, könnten diese Maßnahmen ohne vorherige richterliche Genehmigung durchgeführt werden, was Bedenken hinsichtlich möglicher Missbräuche und Verletzungen von Datenschutzrechten aufkommen lässt.

Schlüsselbegriffe wie „Cyberbedrohung“ und „kritische Infrastruktur“ bleiben im Gesetzestext vage. Kritiker sagen, diese Unklarheit könnte zu willkürlicher und missbräuchlicher Anwendung des Gesetzes führen und Einzelpersonen, Organisationen oder Unternehmen, die in diese Kategorien fallen, unverhältnismäßig stark beeinträchtigen. Journalisten und zivilgesellschaftliche Gruppen haben ihre Besorgnis über Artikel 16 geäußert, der harte Strafen, einschließlich Gefängnisstrafen, für die Verbreitung „falscher Informationen“ über Datenlecks oder die gezielte Ausrichtung auf Institutionen mit unbestätigten Behauptungen vorsieht. Sie glauben, dass diese Bestimmung unter dem Vorwand des Schutzes der nationalen Cybersicherheit dazu genutzt werden könnte, Whistleblower, investigativen Journalismus oder andere abweichende Stimmen mundtot zu machen.

Text des dem Parlament vorgelegten Cybersicherheitsgesetzes:

Cybersicherheit tbmm

Gemäß den Artikeln 5 und 6 wird das Management als zentrale Instanz für die Umsetzung und Durchsetzung von Cybersicherheitsmaßnahmen positioniert. Das Fehlen eines unabhängigen Aufsichtsmechanismus gibt jedoch Anlass zur Sorge hinsichtlich unangemessener Befugnisse. Die gerichtlichen Garantien scheinen begrenzt zu sein, insbesondere durch Bestimmungen, die in Notfällen die Datenerhebung und eingreifende Maßnahmen ohne ausreichende gerichtliche Aufsicht ermöglichen.

Ein weiterer umstrittener Aspekt des Gesetzes ist seine Bestimmung zum Datenaustausch mit internationalen Unternehmen (Artikel 6). Kritiker warnen vor dem Fehlen expliziter Datenschutzmaßnahmen, wodurch sensible Informationen dem Missbrauch durch ausländische Regierungen oder Organisationen ausgesetzt sein könnten.

Obwohl der Gesetzentwurf in Artikel 4 ein Bekenntnis zu Menschenrechten und Rechtsstaatlichkeit enthält, hat das Fehlen spezifischer Schutzmaßnahmen für Privatsphäre und Meinungsfreiheit erhebliche Kritik hervorgerufen. Befürworter bürgerlicher Freiheiten fordern einen ausgewogeneren Ansatz, der nationale Sicherheitsbedenken berücksichtigt, ohne demokratische Grundsätze zu gefährden.

Alev Sezen, Abgeordneter der Wohlfahrtspartei, kritisierte den neuen Gesetzentwurf scharf und verwies auf seine umstrittenen Maßnahmen. Sezen schrieb weiter: „Die Beschlagnahmung und Vervielfältigung von Daten ohne ausreichende gerichtliche Aufsicht stellt einen gefährlichen Präzedenzfall dar“, fügte er hinzu: „Dieser Gesetzentwurf überträgt wesentliche richterliche Befugnisse auf eine politisch verbundene Institution und untergräbt die Integrität unseres Rechtssystems.“

Auch der Verein für freie Meinungsäußerung äußerte ernsthafte Bedenken gegen das Gesetz. In einer öffentlichen Erklärung vom 16. Januar erläuterte der Verband die schwerwiegenden Risiken, die der Gesetzentwurf für grundlegende Menschenrechte mit sich bringt, darunter die Meinungsfreiheit, den Schutz personenbezogener Daten und die Privatsphäre. Obwohl die Aufgabe des Gesetzes darin besteht, die nationale Cybersicherheit zu stärken, führt es Bestimmungen ein, die an einen „Orwellschen“ Ansatz erinnern und der Direktion für Cybersicherheit weitreichende und unregulierte Befugnisse einräumen. Der Verband warnte, dass diese Bestimmungen die Rechte und Freiheiten des Einzelnen direkt einschränken könnten.

Sie betonte, dass die Abhängigkeit des Gesetzentwurfs von vagen Konzepten wie „kritische Infrastruktur“ und „kritische öffentliche Dienstleistungen“ in Verbindung mit unverhältnismäßigen gerichtlichen und administrativen Sanktionen gegen den Grundsatz der Rechtssicherheit verstoße. Die Übertragung der Befugnis zur Definition dieser Begriffe an das Management (gemäß Abschnitt 5) schwächt die parlamentarische Kontrolle und könnte zu willkürlichen Klassifizierungen von Institutionen, einschließlich autonomer Einheiten wie Universitäten, führen. Diese Machtkonzentration wirft erhebliche verfassungsrechtliche Bedenken auf, einschließlich Verstößen gegen den Grundsatz der Legalität gemäß Artikel 123 der Verfassung. Der Verband forderte das Parlament auf, den Gesetzentwurf zum Schutz der Grundrechte und demokratischen Grundsätze grundlegend zu überarbeiten oder ganz zurückzuziehen.

Der Gesetzentwurf kommt zu einer Zeit, in der die Bedrohungen der Cybersicherheit lokal zunehmen. Die Besorgnis über die Sicherheit personenbezogener Daten in der Türkei hat nach einer Reihe aufsehenerregender Enthüllungen in den Medien und zunehmenden Vorwürfen über Verstöße gegen staatliche Datenbanken zugenommen. In Medienberichten wurde hervorgehoben, dass die persönlichen Daten von Bürgern, einschließlich sensibler Daten aus Regierungsdatenbanken, online für nur 20 bis 30 US-Dollar zum Verkauf angeboten wurden. Oppositionsabgeordnete haben dem Parlament sogar dokumentierte Beweise vorgelegt, die die weitverbreitete Verfügbarkeit dieser Daten belegen. Zu den alarmierendsten Vorwürfen gehören diese wiederholten Verstöße gegen die Datenbank des Obersten Wahlrats (YSK) und die angeblich mangelnde Sicherheit der Aufzeichnungen des Gesundheitsministeriums.

In einer eindrucksvollen Demonstration dieser Schwachstellen veröffentlichte der Journalist İbrahim Haskoloğlu im Jahr 2022 Kopien von Ausweisdokumenten, die angeblich Präsident Recep Tayyip Erdoğan und dem Anführer der Nationalen Geheimdienstorganisation (MİT), Hakan Fidan, gehörten. Haskoloğlu teilte diese Bilder am 12. April 2022 in den sozialen Medien und deutete darauf hin dass er von einer Hackergruppe kontaktiert worden sei, die behauptete, Daten von der Regierungsseite gestohlen zu haben E-Devlet, in dem Bürgerinformationen sowie andere staatliche Plattformen gespeichert werden. „Vor etwa zwei Monaten kontaktierte mich eine Gruppe von Hackern während einer Sendung“, schrieb Haskoloğlu. „Sie behaupteten, auf Daten von E-devlet und anderen staatlichen Websites zugegriffen zu haben, und gaben diese Informationen weiterhin weiter. Sie teilten sogar Einzelheiten über einige Beamte mit, darunter auch neue Ausweise.“ Das Briefing von Haskoloğlu machte stark auf systemische Schwachstellen in der Datensicherheit aufmerksam, führte aber auch zu seiner Verhaftung am 19. April 2022. Er wurde acht Tage lang festgehalten, bevor er zur Verhandlung freigelassen wurde.