US-amerikanische Geheimdienste gingen bei Facebook, Google und Skype Daten sammeln. Das machte der britische Guardian vergangene Woche publik. In den USA beruhigte die Politik die Bürger damit, dass es nur um Daten von Ausländern gehe. Für deutsche Nutzer alles andere als erleichternd. Das deutsche Datenschutzrecht wird ihnen allerdings nicht viel helfen, meinen Daniel Nagel und Thomas Weimann.
1983 veröffentlichte The Police den Song "Every breath you take". Genau dreißig Jahre später ist das, was Sting damals sang, Realität und wird in einem Ausmaß praktiziert, welches sich wohl selbst George Orwell nicht erträumt hätte.
Ab Donnerstagnacht war im britischen Guardian nachzulesen, wie die 1952 von Präsident Truman ins Leben gerufene National Security Agency (NSA) – eine dem US-Verteidigungsministerium untergeordnete hochspezialisierte und zwischenzeitlich zur größte Überwachungseinrichtung der Welt gewachsene Einheit – die unter Ägide von Präsident Bush erweiterte Überwachungsgesetzgebung vollumfänglich ausschöpft. Publik gemacht hatte die Informationen die 29-jährige Edward Snowden, ein ehemaliger technischer Assistent der NSA.
Überwachung aufgrund des Patriot Act
Aus der dem Guardian vorliegenden internen Präsentation der NSA geht hervor, dass diese seit 2007 auf der Grundlage des United States Code die größten Internetserviceprovider, darunter Microsoft, Yahoo, Facebook, Apple, Google und Skype, im Rahmen des sogenannten "PRISM"-Programmes überwacht. Dies mag noch nicht sonderlich verwundern, ist doch die USA dafür bekannt, dass die nationale Sicherheit bei der Abwägung zwischen Privatheit und staatlicher Überwachung häufig den Ausschlag für letztere gab.
Der 2001 von Bush in der Folge der Anschläge auf das World Trade Center unterschriebene und vielfach kritisierte Patriot Act ergänzte unter anderem Titel 18 des United States Code in Bezug auf die Überwachung von elektronischer Kommunikation; darin sind seither sehr weite Befugnisse der Sicherheitsbehörden zur Überwachung des elektronischen Datenverkehrs enthalten, soweit sich daraus der Verdacht einer Straftat "ergeben oder erhärten" könnte. Aus Gründen der Terrorbekämpfung sollten ausdrücklich auch außerhalb der USA ansässige Verdächtige und US-Bürger überwacht werden können, die zu verdächtigen Personen im Ausland Kontakt halten.
Keine Chance gegenüber nationalen Sicherheitsinteressen
Besonders bemerkenswert ist das Ausmaß der bekannt gewordenen Überwachung. In der Präsentation wird ausdrücklich darauf Bezug genommen, dass nicht nur einzelne Verkehrsdaten, sondern vollumfänglich alle Inhalte überwacht werden. Das erschüttert selbst Miturheber des Patriot Act: So distanzierte sich Jim Sensenbrenner, der Vorsitzende des Justizausschusses in der Ära Bush war, von der Vorgehensweise der NSA und erklärte, dass dies über die Intention und über die Rechtsgrundlage des Patriot Act hinausgehe.
Schon aufgrund der betroffenen Provider ist davon auszugehen, dass nicht nur der US-amerikanische, sondern auch ein Großteil des europäischen Datenverkehrs im Speicher der NSA gelandet ist. Die datenschutzrechtlichen Bedenken sind daher groß, Rechtsmittel dagegen jedoch schwierig. Die USA ist ein Land, in dem trotz einer vergleichsweise starken Aufsichtsbehörde der kodifizierte Datenschutz in den Kinderschuhen steckt. Die derzeitigen Regelungen sind Stückwerk, lassen viele Bereiche ungeregelt und haben historisch gesehen stärker die Art der Daten, als die dahinterstehenden Personen im Auge.
Zwar hat das Weiße Haus letztes Jahr einen ersten Vorschlag gemacht, wie die Daten einzelner Bürger stärker geschützt werden können, die NSA bleibt aber vor allem eine US-Sicherheitsbehörde mit dem hehren Ziel der Terrorbekämpfung. Schutz vor Überwachung wird daher im US-Datenschutzrecht kaum zu etablieren sein oder zumindest immer hinter nationalen Sicherheitserwägungen zurücktreten müssen.
2/2: BDSG anwendbar, aber nicht durchsetzbar
Auch das nationale und europäische Datenschutzrecht können Deutsche kaum davor schützen, dass im elektronischen Datenverkehr die NSA künftig gleich cc gesetzt werden könnte, damit zumindest das Geld aus dem PRISM Programm für sinnvollere Zwecke ausgegeben werden kann.
Das Bundesdatenschutzgesetz (BDSG) ist zwar gemäß § 1 Abs. 5 auch auf Stellen anwendbar, die aus dem EU-Ausland heraus operieren, praktisch durchsetzbar sind die Grundprinzipien dieses Gesetzes aber nicht. Danach dürften eigentlich personenbezogene Daten nicht ohne Einwilligung des Betroffenen oder eine gesetzliche Erlaubnis erhoben, verarbeitet oder genutzt werden. In die Datenerhebung durch die NSA hat wohl kein Nutzer eingewilligt, eine gesetzliche Ermächtigung der Erhebung personenbezogener Daten durch die NSA kennt das Bundesdatenschutzgesetz ebenfalls nicht. Außerdem sind weder der Patriot Act noch z.B. der Sarbanes-Oxley Act, der an der NASDAQ gelistete Unternehmen zur Errichtung eines Whistleblowing-Systems verpflichtet, als Ermächtigungsgrundlage anerkannt. Eine direkte Erhebung von derartigen Daten durch die NSA in Deutschland ohne die Einwilligung der Betroffenen wäre daher klar datenschutzrechtswidrig.
Komplizierter wird die Situation aber dadurch, dass die NSA die Daten nur mittelbar, nämlich bei den jeweiligen Providern erhebt, die wiederum auf unterschiedliche Art und Weise in unterschiedlichen Staaten operieren. Auf das Verhältnis zwischen Nutzern in Deutschland und verschiedenen Providern kann zwar deutsches oder das Datenschutzrecht eines anderen EU-Staates anzuwenden sein. Das Verhältnis zwischen den Providern mit Sitz in den USA und der NSA unterliegt jedoch (auch) US-Recht und damit auch dem United States Code.
Das Recht kennt politische Grenzen, das Internet nicht
Dabei können wiederum zwei Konstellationen unterschieden werden: Soweit der Provider, der die Daten erhebt, aus den USA heraus agiert, gilt das BDSG direkt. Eine Weitergabe der Daten an die NSA ist dann eine Verletzung des deutschen Datenschutzrechts im Verhältnis zum deutschen Nutzer. Wird vom jeweiligen Provider dagegen ein deutsches oder europäisches Tochterunternehmen eingesetzt, dass dann die Daten an die Mutter in den USA weiterleitet, muss mit der Muttergesellschaft ein Vertrag über die Auftragsdatenverarbeitung geschlossen werden, der deutschen oder europäischen Standards entspricht, damit die Übermittlung zulässig ist. Durch die Herausgabe der Daten würde die amerikanische Mutter diesen Vertrag verletzen, um nicht mit dem US-Recht in Konflikt zu kommen.
Wenig überraschend ist daher die Hinweisklausel in den Datenschutzbedingungen etwa von G-Mail, dass eine Datenweitergabe erfolgt, wenn dies "vernünftigerweise notwendig ist, um anwendbare Gesetze einzuhalten". Es ist jedoch zweifelhaft, ob solche Klauseln wirksam sind. Da also das Recht, nicht aber das Internet politische Grenzen kennt, wird es knifflig: Nach deutschem und europäischem Recht wäre es nicht zu rechtfertigen, dass die Provider Daten an die NSA weitergeben; nach US-Recht eventuell schon. So darf sich der Provider gegebenenfalls nicht einmal einem Informationsersuchen der NSA verweigern, will er Sanktionen in den USA vermeiden.
US-Gericht entschied bewusst entgegen deutschem Datenschutzrecht
Auf einen Schutz durch US-Gerichte, die das deutsche oder europäische Datenschutzrecht berücksichtigen, ist ebenfalls nicht zu hoffen. Wie sehr sich die Gerichte in den USA für deutsches Datenschutzrecht interessieren, dürfte spätestens seit der Entscheidung des US District Court of Utah klar sein. Dieser verurteilte im Januar 2010 die Beklagte zur Herausgabe von Daten, obwohl das Gericht erkannt hatte, dass deutsches Datenschutzrecht anwendbar war und der Herausgabe entgegenstand (AccessData Corp. v. Alste Techn. Gmbh, 2010 WL 318477). Ein europäisches Gericht würde dies sicherlich anders sehen.
In der Zwickmühle sind damit auch die Provider – wenig verwunderlich ist also, dass diese einhellig bekunden, PRISM nicht gekannt zu haben. Da der Datenhunger von Geheimdiensten unbegrenzt ist, dürften nicht nur die genannten Provider, sondern auch Cloud-Anbieter in ihr Visier geraten (sofern sie das nicht schon lange sind).
Es bleibt nur zu hoffen, dass die NSA, die ja zum Schutze der Freiheit errichtet wurde, es auch sonst mit Sting hält und sich nicht nur für die Daten, sondern auch für die dahinterstehenden Personen und deren Freiheit interessiert.
Der Autor Dr. Thomas Weimann ist Fachanwalt für Informationstechnologierecht und Partner bei BRP Renaud und Partner am Standort Stuttgart. Der Autor Daniel Nagel ist Rechtsanwalt bei BRP Renaud und Partner am Standort Stuttgart. Beide beschäftigen sich schwerpunktmäßig mit IT-Recht, Datenschutzrecht, AGB-Gestaltung und internationalem Recht.
Dr. Thomas Weimann und Daniel Nagel, Das Überwachungsprogramm der NSA: Every breath you take . In: Legal Tribune Online, 10.06.2013 , https://www.lto.de/persistent/a_id/8889/ (abgerufen am: 02.05.2024 )
Infos zum Zitiervorschlag