Themenüberblick

„Patriot Act“ hebelt EU-Datenschutz aus

Nach den Anschlägen des 11. September 2001 hat die US-Regierung die Befugnisse ihrer Geheimdienste und Polizeibehörden massiv ausgeweitet. Eines der umstrittensten Fahndungsinstrumente sind die National Security Letters, mit denen die Bundespolizei FBI von Providern Kundendaten abfragen darf - ohne richterlichen Beschluss und meist ohne nachträgliche Information der Betroffenen.

Das US-Technologieportal ZDNet hat im April im Rahmen einer Serie nachgeforscht, ob sich solche Befugnisse zu verdeckten Nachforschungen im Netz auch auf Cloud-Computing-Systeme erstrecken, die in Europa angesiedelt sind.

Unter dem Marketingbegriff Cloud-Computing laufen mittlerweile eine ganze Reihe von Angeboten und Diensten im Netz. Ein Onlinespeicherdienst wie Dropbox kann genauso mit diesem Etikett versehen werden wie ein Softwaresystem, das auf einer Serverfarm läuft und im Webbrowser aufgerufen werden kann, wie beispielsweise Google Docs. Der Nutzer weiß dabei in der Regel nicht, wo die Daten liegen, mit denen er gerade arbeitet.

Auch Tochterfirmen betroffen

Anlässlich der Präsentation des Online-Bürosoftwarepakets Office 365 im Juni in London bestätigte der Chef der britischen Microsoft-Niederlassung erstmals, dass die von ZDNet angestellten Vermutungen im Rahmen dieser Recherchen korrekt sind.

US-Behörden können demnach nicht nur auf die Daten US-amerikanischer Unternehmen zugreifen, die in den Vereinigten Staaten gelagert sind, sondern auch auf vernetzte Rechen- und Speichersysteme, von denen sich Teile in den Mitgliedsstaaten der Europäischen Union befinden. Das betreffe nicht nur Konzerne wie Microsoft und Google, sondern auch deren europäische Tochterfirmen.

„Widersprüchliche Verpflichtungen“

Die heimischen Niederlassungen von Google und Microsoft bestätigten das gegenüber ORF.at. Apple, das seinen Kunden in der EU ebenfalls Onlinespeicherdienste anbietet, wollte dazu keine Stellung nehmen.

„Jedes Unternehmen mit einer Präsenz in den USA – wie beispielsweise Google, Apple, Amazon – oder auch Microsoft - ist gesetzlich verpflichtet, einer legitimierten Nachfrage der US-Regierung nachzukommen, wenn das Unternehmen entsprechende Daten verwahrt oder die Kontrolle über diese Daten besitzt“, so Thomas Lutz, Sprecher von Microsoft Österreich. „Das ist der Fall, unabhängig davon, wo die Daten gespeichert sind oder ob es widersprüchliche Verpflichtungen im Rahmen der Jurisdiktion gibt, in der sich diese Daten befinden.“

Regeln für die Datenübergabe

„Als eine gesetzestreue Firma folgen wir den vorgeschriebenen Regelungen“, heißt es seitens Google, „für uns als US-Unternehmen heißt das, dass auch Daten, die außerhalb der USA gelagert sind, dem Zugriff durch US-Regierungsbehörden unterworfen sind.“

Sowohl Google als auch Microsoft gehen mit dem Thema so offen um, wie es ihnen erlaubt ist. Beide Konzerne haben - auch um sich selbst zu schützen - interne Regeln aufgestellt, diese öffentlich zugänglich gemacht und Abläufe eingerichtet, im Rahmen derer Hausjuristen prüfen, ob die Anfragen der Behörden formal korrekt sind.

Zum Schweigen gezwungen

Google veröffentlicht regelmäßig eine weltweite Statistik behördlicher Zugriffe auf seine Systeme. Aber auch hier gibt es Einschränkungen, so das Unternehmen: „Aufgrund der restriktiven gesetzlichen Rahmenbedingungen stellen wir die Anfragen der Nationalen Sicherheitsbehörden nicht öffentlich zur Debatte, darunter fallen auch solche, die auf Grundlage des ‚Patriot Act‘ ausgestellt wurden.“

Google betont in seiner Antwort, dass das Unternehmen die von Nachforschungen der US-Dienste betroffenen Nutzer und Organisationen über den erfolgten Datenzugriff in der Regel informiere - außer in Notfällen und wo das Gesetz es verbiete. Die vom FBI ausgestellten National Security Letters, mit denen es die Daten von den Providern anfordert, enthalten in der Regel eine Klausel („Gag Order“), die es dem Dienstleister verbietet, seine Kunden über den Zugriff der Behörde zu informieren.

Auch Soziale Netzwerke betroffen

Der Bürgerrechtsorganisation Electronic Frontier Foundation ist es 2008 gelungen, im Rahmen eines harten Streits über die Herausgabe von Nutzerdaten des Internet Archive, sich das Recht zu erkämpfen, wenigstens in diesem Fall den Datenzugriff publik zu machen. Nach dem Wahlsieg von Präsident Barack Obama, so hofften die Bürgerrechtler, würden die umfassenden Rechte des FBI wieder beschnitten werden. Doch ihre Hoffnungen wurden bitter enttäuscht. Obama setzte die Politik von George W. Bush in diesem Bereich fort.

Auch Dienste im Sozialen Web sind von Anfragen seitens der US-Behörden betroffen. So forderte das US-Justizministerium im vergangenen Dezember die Daten und Kontakte von Twitter-Nutzern an, die es für Unterstützer der Whistleblower-Website WikiLeaks hielt. Die betroffenen User wie der niederländische Unternehmer und Internetaktivist Rop Gonggrijp oder die isländische Parlamentsabgeordnete Birgitta Jonsdottir erfuhren von der Aktion nur, weil die Rechtsabteilung von Twitter es auf sich nahm, sie über die Aktion der US-Behörden zu informieren.

„Das ist Datenimperialismus“

Die Position der EU in diesem Bereich ist eher schwach. Es existiert zwar das Safe-Harbour-Abkommen mit den USA, im Rahmen dessen sich US-Unternehmen verpflichten können, das EU-Datenschutzrecht einzuhalten, und damit die Daten von EU-Bürgern in den Vereinigten Staaten verarbeiten zu können. Auch Google und Microsoft sind in der entsprechenden Liste des US-Handelsministeriums registriert. Doch der „Patriot Act“ steht für die US-Behörden über dem Safe-Harbour-Abkommen.

„Das ist Datenimperialismus“, sagt Thilo Weichert, Landesbeauftragter für den Datenschutz des deutschen Bundeslandes Schleswig-Holstein gegenüber ORF.at. Er hält den Zugriff von US-Behörden auf Rechenzentren in Europa für datenschutzrechtlich problematisch. „Dass die Nutzer von den Zugriffen nicht informiert werden, ist weniger das Problem, denn solche Bestimmungen gibt es auch in EU-Mitgliedsstaaten“, so Weichert, „aber der Grundsatz, dass die Daten vertraulich behandelt werden müssen, wird damit verletzt.“

Gespräche mit der Industrie

Weichert sucht derzeit das Gespräch mit der Industrie. „Es würde uns schon weiterbringen, wenn man dem Nutzer deutlich anzeigen würde, wo seine Daten sich derzeit in der Cloud befinden“, so der Jurist. Microsoft speichert die Daten seiner europäischen Kunden in Datenzentren in Irland und Amsterdam, wie das Unternehmen auf Anfrage von ORF.at mitgeteilt hat.

Google ist mit Antworten auf Fragen nach dem Standort seiner Datenzentren traditionell zurückhaltend und behandelt letztere als Geschäftsgeheimnis - aus Sicherheitsgründen, wie es heißt. „Die Daten unserer Nutzer sind gleichzeitig in mehreren Verarbeitungsanlagen an verschiedenen Standorten untergebracht“, so eine Sprecherin des Unternehmens, „auf diese Weise sind Ihre Daten jederzeit für Sie - und nur für Sie - von überall her zugänglich.“

Austausch von Polizeidaten

Sowohl Microsoft als auch Google verweisen darauf, dass sie sich im Rahmen des Safe-Harbour-Abkommens an das EU-Datenschutzrecht halten. Weichert will keine Datenwolke, sondern klare Verhältnisse: „Die Unternehmen wissen genau, wo sich die Daten ihrer Nutzer befinden.“ Folglich, so der Schluss des Datenschützers, sollten sie es ihren Kunden auch mitteilen.

Das Büro des obersten EU-Datenschützers Peter Hustinx übt sich auf Anfrage von ORF.at in diplomatischer Zurückhaltung. Man habe keinen Zweifel daran, die Ergebnisse der Recherchen von ZDNet anzuzweifeln, heißt es knapp. Allgemein scheinen die Anfragen der US-Behörden durch das Safe-Harbour-Abkommen gedeckt zu sein, allerdings müsse man im Zweifelsfall genauer hinsehen, welche Behörde zu welchem Zweck auf die Daten zugegriffen haben. Bezüglich der Anwendbarkeit des EU-Rechts sei klar: „Wenn es sich um die Daten einer EU-Tochter eines US-Unternehmens handelt, ist EU-Recht anzuwenden.“

Internationale Lösung angestrebt

Hustinx’ Sprecherin verweist auf die laufende Überarbeitung des EU-Datenschutzrechts, im Rahmen derer deutlicher gemacht werden solle, in welchen Fällen beim Cloud-Computing die europäischen Regeln gelten sollen. Das Thema sei auch Gegenstand der laufenden Verhandlungen über gemeinsame Datenschutzregeln für den Austausch von Polizeidaten zwischen der EU und den USA. „Auf lange Sicht streben wir aber einen weltweiten Konsens in dieser Frage an“, heißt es.

Einen solchen hält auch Eva Souhrada-Kirchmayer, Geschäftsführerin der Österreichischen Datenschutzkommission (DSK), für sinnvoll. Das Problem sei nur auf internationaler Ebene zu lösen, Anfragen oder Probleme bezüglich Zugriffs von US-Behörden auf Daten österreichischer Bürger habe die DSK bisher noch nicht bearbeiten müssen. Auch das Büro Hustinx schreibt, man habe noch nicht mit solchen Anfragen zu tun gehabt. Das liegt freilich in der Natur der verdeckten Anfragen.

Industrie vs. Sicherheitsapparat

Cloud-Computing ist ein wichtiger Wachstumsmarkt der IT-Branche. Die EU-Kommission hat im Mai eine Umfrage zu diesem Thema gestartet. Sie erwartet, dass der EU-Markt für Cloud-Dienste bis 2014 immerhin 35 Milliarden Euro umfassen wird. Weltweit, so schätzt das Beratungsunternehmen Gartner, wird der Markt dann 104,9 Milliarden Euro wert sein. Die Cloud-Systeme sorgen nicht nur dafür, dass die Kunden ihre Daten über das Netz weltweit verfügbar halten können, sie sollen durch die zentrale Wartung durch den Dienstleister auch Geld sparen helfen.

Industrie und EU-Bürger würden von klareren Regeln zum Datenschutz im transatlantischen Cloud-Computing deutlich profitieren. Rechtssicherheit ist dem Geschäft zuträglich. Die US-Fahnder allerdings haben keinen Anreiz dafür, ihre Position aufzugeben. Die Situation ist hier durchaus mit jener in den Verhandlungen über die Übermittlung von EU-Flugpassagierdaten (PNR) in die USA zu vergleichen. Hier sickerte zuletzt durch, dass die US-Vertreter schlicht keinen Grund für weitere Verhandlungen sähen, weil die Daten ohnehin auch auf den Servern von Buchungssystemen in den USA vorlägen.

Dem Nutzer, der trotzdem nicht auf Cloud-Computing-Dienste verzichten will, bleibt angesichts dieser Lage nur eins. „Daten, von denen man nicht möchte, dass Unbefugte sie lesen, sollte man nur verschlüsselt in solche Systeme hochladen“, empfiehlt der auf Datenschutzrecht spezialisierte Wiener Anwalt Rainer Knyrim.

Günter Hack, ORF.at

Links: