Allseits bekannt ist mittlerweile, dass der Konzern Amazon (AWS, Alexa usw.) so, wie viele weitere US-Unternehmen, Daten an US-amerikanische Strafverfolgungsbehörden sowie Geheimdienste übermitteln müssen. Im konkreten Fall Amazon werden Daten, die über die eigenen Angebote zum Online-Shopping, den Amazon-Echo-Sprachassistentendienst Alexa, Kindle- und Fire-Tablets sowie den Heimsicherheitsgeräten gesammelt werden, nach rechtlicher Anordnung an die Behörden übermittelt.
Am Freitag veröffentlichte der Konzern Amazon in seinem Halbjahresbericht konkrete Zahlen zur Anzahl der Datenabfragen für das erste Halbjahr 2020. Auffallend ist, dass die Datenabfragen durch US-Strafverfolgungsbehörden im Vergleich zu den Vorjahren erheblich zugenommen haben.
Bevor die konkreten Zahlen dargelegt werden, stellt sich zunächst die Frage, auf welcher Grundlage eine Datenübermittlung überhaupt erfolgt.
Datenübermittlung nur mit rechtsverbindlicher Anordnung?
Amazon erklärt die Daten nicht auf eine „einfache“ Anfrage der US-Behörden zu übermitteln; dies würde nur erfolgen, sofern der Konzern aufgrund einer rechtsverbindlichen Anordnung verpflichtet ist, dem Begehren nachzukommen. Amazon gewährleistet grundsätzlich ebenfalls, die Nutzer über die Offenlegung der Informationen zu benachrichtigen, sofern dies nicht verboten oder eindeutige Hinweise auf ein rechtswidriges Verhalten im Zusammenhang mit der Nutzung der Dienste vorliegen. Bei den Datenabfragen der US-Behörden handelt es sich um Anfragen basierend auf Vorladungen, Durchsuchungsbefehlen sowie anderen gerichtlichen Anordnungen und nationalen Sicherheitsanfragen.
Welche Art und welchen Umfang haben die Informations- bzw. Datenabfragen?
Die Mitwirkung des Konzerns in der Übermittlung der Daten wird in drei Kategorien geteilt: „Full response“, „Partial response“ und „no response“. Bei einer „vollumfänglichen Antwort“ übermittelt Amazon, beruhend auf einem gültigen Rechtsverfahren bzw. einer rechtswirksamen Anfrage, alle angeforderten Informationen / Daten; bei einer „Teilantwort“ stellt der Konzern nur einen Teil der angeforderten Informationen / Daten bereit; „keine Antwort“ bedeutet logischerweise, dass keinerlei Informationen übermittelt werden.
Es stellt sich hier jedoch die Frage, anhand welcher Kriterien Amazon entscheidet, ob der Konzern den Anfragen vollumfänglich bis gar nicht nachkommt. Ferner stellt sich die Frage, welche Daten hier überhaupt betroffen sind.
Amazon unterscheidet zwischen „non-content“-Daten und „content“-Daten. Bei erstgenannten handelt es sich um Nutzerinformationen, wie Name, Adresse, E-Mail-Adresse, Rechnungsinformationen, Datum der Kontoerstellung und bestimmte Informationen zur Kaufhistorie und der Nutzung der Dienste. Die „content“-Informationen betreffen sämtliche Inhalte von Datendateien (Computerdatei, in der Daten gespeichert werden, die von einer Computeranwendung oder einem -system verwendet werden sollen ), die auf dem Kundenkonto gespeichert sind.
Aus dem Halbjahresbericht geht jedoch ebenfalls nicht hervor, welcher dieser beiden Kategorien in welchen Fällen tatsächlich an die US-Behörden übermittelt wird.
Demnach zeigt der Bericht zwar auf, wie viele Anfragen gestellt und wie viele auf irgendeine Art beantwortet wurden; er gibt jedoch wenig Auskunft darüber, welche Daten bei einer vollumfänglichen oder Teilantwort übermittelt werden; sowie keine Auskunft darüber, anhand welcher Kriterien entschieden wird – ob und in welchem Umfang Daten überhaupt übermittelt werden. Ebenfalls unklar ist, ob es sich bei der Übermittlung der Daten, lediglich um Daten von US-Bürgern oder auch von Nicht-US-Bürgern handelt.
Der Konzern legt dahingehend aber offen, wie viele Anfragen von nicht-US-Regierungen empfangen werden.
Datenabfragen von Nicht-US-Behörden?
Die Datenübermittlung durch Amazon hängt bei Nicht-US-Anfragen ebenfalls von der Art der Anfrage ab. Hierbei werden die Anfragen von Nicht-US-Regierungen berücksichtigt, die auf gesetzlichen Anordnungen beruhen, wie die gemäß zum Abkommen zur Rechtshilfe, Rechtshilfeersuchen oder dem CLOUD Act. Im Falle übermäßiger oder unangemessener Anfragen aus nicht-US-Ländern erhebt Amazon – nach seiner eigenen Erklärung – Einwände.
Aber auch hier stellt sich wieder die Frage, anhand welcher Kriterien sogenannte Einwände erfolgen.
Datenabfragen von US-Behörden gestiegen?
Die folgenden Zahlen stammen aus dem Halbjahresbericht 2020:
Amazon erhielt von US-Behörden (ohne AWS) 2416 Vorladungen / rechtliche Anordnungen, denen der Konzern mit 907 „full response“ und 792 „partial response“ nachgekommen ist.
543 richterlich genehmigte Durchsuchungsbefehle, die mit 214 vollumfänglich beantworteten Anfragen und 216 zum Teil beantworteten Fragen, erfolgt sind. Weitere gerichtliche Anordnungen waren insgesamt 146, wovon Amazon 67 vollumfänglich und 41 zum Teil beantwortet hat.
Amazon Web Services verzeichnete separat 269 Vorladungen, 37 Durchsuchungsbefehle sowie 38 weitere gerichtliche Anordnungen.
Nationale Sicherheitsanfragen der US-Behörden hat Amazon sowohl für Verbraucher- als auch für Cloud-Dienste gemäß vom Justizministerium festgelegten Berichtsregeln 0-249 erhalten.
Im Vorjahr verzeichnete der Konzern im ersten Halbjahr 1955 Vorladungen, 440 richterlich genehmigte Durchsuchungsbefehle, 113 weitere gerichtliche Anordnungen (siehe hier). Im ersten Halbjahr 2018 1736 Vorladungen, 344 richterliche Dursuchungsbefehle sowie 162 weitere gerichtliche Anordnungen (siehe hier).
Somit lässt sich – im Vergleich mit den Halbjahresberichten aus den Vorjahren – eine steigende Tendenz der Datenabfragen von US-Behörden feststellen.
Datenabfragen von Nicht-US-Behörden gesunken?
Die Ersuchen von ausländischen Behörden sind allerdings zurückgegangen. Insgesamt wurden hier 177 Anfragen gestellt, wovon vier vollumfänglich und 10 zum Teil beantwortet wurden. 173 blieben demnach unbeantwortet.
Woran der Rücklauf der Anfragen von Nicht-US-Behörden festgemacht werden kann, kann hier lediglich vermutet werden; möglicherweise stellt die Anzahl der überhaupt beantworteten Datenabfragen den Grund dafür dar.
Viele offene Fragen
Die Halbjahresberichte, die Amazon veröffentlicht, sind zwar ein guter Ansatz hinsichtlich der Transparenz des Konzerns; jedoch bleiben viele Fragen ungeklärt.
Die Datenabfragen steigen kontinuierlich von Jahr zu Jahr, wie der weiteren Presse zu entnehmen ist. Auch in Deutschland können Daten zur Abwehr von Gefahren für die staatliche oder öffentliche Sicherheit oder zur Verfolgung von Straftaten an staatliche Behörden übermittelt werden.
Der Halbjahresbericht gibt zwar einen Überblick darüber, wie viele Datenabfragen insgesamt gestellt werden; jedoch keine Übersicht darüber, nach welchen Kriterien eine solche Datenübermittlung erfolgt sowie welche Daten konkret in welchen Fällen betroffen sind („non-content“ oder „content“-Informationen).
Hierbei wird auch nicht deutlich, ob es sich bei den übermittelten Daten an die Behörden lediglich um Daten von US-Bürgern oder auch von nicht-US-Bürgern handelt.
Was bedeutet das für unsere Daten hier im europäischen Inland? Genießen wir denselben Schutz, wie in Europa, auch in den Vereinigten Staaten? Oder werden unsere Daten ohne Schutz ebenfalls an die US-Behörden weitergeleitet? Übermittelt Amazon die Daten nicht nur an US-Strafverfolgungsbehörden, sondern auch an deutsche?
Inwieweit der Bericht Aufschluss über den Zugriff und Umgang auf Daten von nicht-US-Bürgern liefert, bleibt demnach weiterhin fraglich. Insbesondere hinsichtlich des Urteils des EuGH „Schrems II“ wird hier auch nochmal deutlich, dass die Übermittlung – zumindest der Daten von EU-Bürgern – dahingehend – zum Schutz des jeweiligen Bürgers – geprüft werden sollte.
Der Konzern betont, diverse Anfragen der Regierung nach Nutzerdaten abgelehnt zu haben, die sie für nicht gerechtfertigt hielten; jedoch stellt sich – wie vorangestellt – genau hier die Frage, anhand welcher Kriterien solche Ablehnungen erfolgen. Amazon stellt klar, dass die Grundlage für eine Datenübermittlung zwar immer eine gesetzliche Anordnung, wie z.B. ein richterlicher Durchsuchungsbefehl, sein sollte; aber auch diesem Ansatz ist entgegenzuhalten, dass der Grundgedanke erst mithilfe eines richterlichen Beschlusses Daten zu übermitteln zwar gut ist, allerdings Anpassungen dahingehend erfolgen sollten, die gesetzlichen Anforderungen an das Erlangen solcher Anordnungen anzupassen; und den generellen Datenschutzstandard sowie den Schutz personenbezogener Daten einen höheren Stellenwert zu garantieren, als bisher in den USA üblich. Ob und wie die USA allerdings Schutzmaßnahmen für personenbezogene Daten ergreifen, bleibt fraglich.
Amazon teilt zwar mit, die Modernisierung veralteter Datenschutzgesetze im Kongress zu befürworten und sich für den Schutz der Nutzer einzusetzen; inwiefern eine Modernisierung der US-Datenschutzgesetze in naher Zukunft erfolgt, steht weiterhin offen.