Das Überwachungsprogramm der NSA: Every breath you take

2/2: BDSG anwendbar, aber nicht durchsetzbar

Auch das nationale und europäische Datenschutzrecht können Deutsche kaum davor schützen, dass im elektronischen Datenverkehr die NSA künftig gleich cc gesetzt werden könnte, damit zumindest das Geld aus dem PRISM Programm für sinnvollere Zwecke ausgegeben werden kann. 

Das Bundesdatenschutzgesetz (BDSG) ist zwar gemäß § 1 Abs. 5 auch auf Stellen anwendbar, die aus dem EU-Ausland heraus operieren, praktisch durchsetzbar sind die Grundprinzipien dieses Gesetzes aber nicht. Danach dürften eigentlich personenbezogene Daten nicht ohne Einwilligung des Betroffenen oder eine gesetzliche Erlaubnis erhoben, verarbeitet oder genutzt werden. In die Datenerhebung durch die NSA hat wohl kein Nutzer eingewilligt, eine gesetzliche Ermächtigung der Erhebung personenbezogener Daten durch die NSA kennt das Bundesdatenschutzgesetz ebenfalls nicht. Außerdem sind weder der Patriot Act noch z.B. der Sarbanes-Oxley Act, der an der NASDAQ gelistete Unternehmen zur Errichtung eines Whistleblowing-Systems verpflichtet, als Ermächtigungsgrundlage anerkannt. Eine direkte Erhebung von derartigen Daten durch die NSA in Deutschland ohne die Einwilligung der Betroffenen wäre daher klar datenschutzrechtswidrig.

Komplizierter wird die Situation aber dadurch, dass die NSA die Daten nur mittelbar, nämlich bei den jeweiligen Providern erhebt, die wiederum auf unterschiedliche Art und Weise in unterschiedlichen Staaten operieren. Auf das Verhältnis zwischen Nutzern in Deutschland und verschiedenen Providern kann zwar deutsches oder das Datenschutzrecht eines anderen EU-Staates anzuwenden sein. Das Verhältnis zwischen den Providern mit Sitz in den USA und der NSA unterliegt jedoch (auch) US-Recht und damit auch dem United States Code.

Das Recht kennt politische Grenzen, das Internet nicht

Dabei können wiederum zwei Konstellationen unterschieden werden: Soweit der Provider, der die Daten erhebt, aus den USA heraus agiert, gilt das BDSG direkt. Eine Weitergabe der Daten an die NSA ist dann eine Verletzung des deutschen Datenschutzrechts im Verhältnis zum deutschen Nutzer. Wird vom jeweiligen Provider dagegen ein deutsches oder europäisches Tochterunternehmen eingesetzt, dass dann die Daten an die Mutter in den USA weiterleitet, muss mit der Muttergesellschaft ein Vertrag über die Auftragsdatenverarbeitung geschlossen werden, der deutschen oder europäischen Standards entspricht, damit die Übermittlung zulässig ist. Durch die Herausgabe der Daten würde die amerikanische Mutter diesen Vertrag verletzen, um nicht mit dem US-Recht in Konflikt zu kommen.

Wenig überraschend ist daher die Hinweisklausel in den Datenschutzbedingungen etwa von G-Mail, dass eine Datenweitergabe erfolgt, wenn dies "vernünftigerweise notwendig ist, um anwendbare Gesetze einzuhalten". Es ist jedoch zweifelhaft, ob solche Klauseln wirksam sind. Da also das Recht, nicht aber das Internet politische Grenzen kennt, wird es knifflig: Nach deutschem und europäischem Recht wäre es nicht zu rechtfertigen, dass die Provider Daten an die NSA weitergeben; nach US-Recht eventuell schon. So darf sich der Provider gegebenenfalls nicht einmal einem Informationsersuchen der NSA verweigern, will er Sanktionen in den USA vermeiden.

US-Gericht entschied bewusst entgegen deutschem Datenschutzrecht

Auf einen Schutz durch US-Gerichte, die das deutsche oder europäische Datenschutzrecht berücksichtigen, ist ebenfalls nicht zu hoffen. Wie sehr sich die Gerichte in den USA für deutsches Datenschutzrecht interessieren, dürfte spätestens seit der Entscheidung des US District Court of Utah klar sein. Dieser verurteilte im Januar 2010 die Beklagte zur Herausgabe von Daten, obwohl das Gericht erkannt hatte, dass deutsches Datenschutzrecht anwendbar war und der Herausgabe entgegenstand (AccessData Corp. v. Alste Techn. Gmbh, 2010 WL 318477). Ein europäisches Gericht würde dies sicherlich anders sehen.

In der Zwickmühle sind damit auch die Provider – wenig verwunderlich ist also, dass diese einhellig bekunden, PRISM nicht gekannt zu haben. Da der Datenhunger von Geheimdiensten unbegrenzt ist, dürften nicht nur die genannten Provider, sondern auch Cloud-Anbieter in ihr Visier geraten (sofern sie das nicht schon lange sind).

Es bleibt nur zu hoffen, dass die NSA, die ja zum Schutze der Freiheit errichtet wurde, es auch sonst mit Sting hält und sich nicht nur für die Daten, sondern auch für die dahinterstehenden Personen und deren Freiheit interessiert.

Der Autor Dr. Thomas Weimann ist Fachanwalt für Informationstechnologierecht und Partner bei BRP Renaud und Partner am Standort Stuttgart. Der Autor Daniel Nagel ist Rechtsanwalt bei BRP Renaud und Partner am Standort Stuttgart. Beide beschäftigen sich schwerpunktmäßig mit IT-Recht, Datenschutzrecht, AGB-Gestaltung und internationalem Recht.