Nun ist es amtlich: US-Ermittlungsbehörden und -Geheimdienste, allen voran die National Security Agency (NSA), setzen seit Jahren Spähprogramme ein, die es ermöglichen, Dokumente jeglicher Art (Kurznachrichten, Mails, Texte, Bild- und Verbindungsdaten), die auf Servern US-amerikanischer Konzerne wie AOL, Apple, Facebook, Google, Microsoft, PalTalk, Skype, YouTube oder Yahoo gespeichert werden, auszuwerten.
Die Empörung ist groß
Während in den USA hauptsächlich problematisiert wird, dass selbst US-Amerikaner von PRISM – so der Name der Spähprogramme – betroffen sind, ist die Betroffenheit in Europa plötzlich recht groß.
Nach einer Meldung der Tagesschau vom 11.6.2013 sind selbst die Bundesregierung und deutsche Nachrichtendienste vom Ausmaß der weltweiten Datensammlung durch US-Geheimdienste im Anti-Terror-Kampf überrascht worden. Bundesinnenminister Hans-Peter Friedrich sagte in Berlin, alle Informationen, die er bislang über PRISM habe, stammten aus den Medien. Auch der Chef des Verfassungsschutzes, Hans-Georg Maaßen, erklärte, seine Behörde habe von PRISM keine Kenntnis gehabt.
Ein Blick ins US-Gesetz
So groß die Empörung über PRISM ist, so überraschend ist aber auch Ihr Zeitpunkt. Dabei hätte ein Blick ins US-Gesetz durchaus weitergeholfen.
Rechtsgrundlage der umfangreichen Datenauswertung ist ein Zusatz im Foreign Intelligence Surveillance Act (FISA 1881a), der es US-Ermittlungsbehörden und -Geheimdiensten seit einigen Jahren ermöglicht, über gezielte Anfragen hinaus Cloud-Daten automatisch und verdachtsunabhängig zu durchsuchen, beispielsweise nach bestimmten Schlagwörtern. FISA machte in Zusammenspiel mit dem Patriot Act schon bisher die massenhafte Überwachung von ausländischer Kommunikation möglich: Das Abhören von Emails und Telefongesprächen von Nicht-US-Staatsbürgern bedarf keines richterlichen Beschlusses; es genügt eine allgemeine Ermächtigung des FISA-Courts – dies ist ein nicht öffentlich tagendes und entscheidendes Sondergericht. Eine weitere Möglichkeit, mit denen IT-Dienstleister ohne richterliche Ermächtigung verpflichtet werden können, US-Ermittlungs-behörden TK-Verbindungsdaten zur Verfügung zu stellen, sind National Security Letters (NSL).
Auch die Geheimhaltung der Abhörmaßnahmen ist geregelt: Durch Sec. 215 Patriot Act werden Unternehmen durch sogenannte Gag-Orders verpflichtet, über die Herausgabe der Unterlagen zu schweigen, hierüber hatten wir bereits Mitte letzten Jahres berichtet.
Cloud Computing, Datenübermittlung im Konzernverbund
Was bedeuten diese Erkenntnisse für deutsche bzw. europäische Unternehmen, die Personal- oder Kundendaten, aber auch sensible Unternehmensdaten auf US-amerikanischen Servern speichern, sei es im Rahmen eines Konzernverbunds auf Mail- oder File-Servern oder im Rahmen von Cloud Computing?
Um es auf den Punkt zu bringen: Daten, sofern sie nicht verschlüsselt gespeichert oder transportiert werden, werden von US-Ermittlungsbehörden mitgelesen und automatisch gescannt. Dies mag aus US-amerikanischer Sicht durchaus verständlich sein, für Unternehmen stellt sich zum einen die Frage, ob die Verlagerung von Daten in eine Cloud oder die Übermittlung von Daten in die USA datenschutzrechtlich zulässig ist und ob sie zum anderen aus unternehmensstrategischer Sicht sinnvoll ist.
Fangen wir mit der rechtlichen Bewertung an: Aktuell dürfen personenbezogene Daten nur dann in die USA übermittelt werden, wenn das Daten empfangende Unternehmen entweder
- den Safe Harbour Prinzipien beigetreten ist, ohne dass die Einhaltung der zugesicherten Prinzipen nachgewiesen werden muss,
- eine unternehmensinterne Richtlinie den EU-Datenschutz-standard konzernweit zusichert und die Unternehmensrichtlinie von den für den Konzern jeweils zuständigen Datenschutz-aufsichtsbehörden geprüft wurde (so genannte Binding Corporate Rules) oder aber
- EU-Standardvertragsklauseln zwischen den europäischen Datenabsendern und den Daten empfangenden US-Unternehmen abgeschlossen wurden.
Es mag sein, dass die neuesten Veröffentlichungen um PRISM eine erneute Diskussion um die Qualität und die Anerkennung von Safe Harbour einleiten werden. Solange jedoch die Europäische Union die Anerkennung von Safe Harbour nicht widerruft, stellt Safe Harbour eine notwendige Rechtsgrundlage für die Übermittlung von personenbezogenen Daten in die USA dar. Angesichts der von der US-Regierung zum Ausdruck gebrachten „2-Klassengesellschaft“ (Grundrechte von US-Amerikanern müssen geachtet werden, von Nicht-US-Amerikaner eher nicht) gehört diese Safe-Harbour-Fiktion allerdings dringend abgeschafft.
Und auch die EU-Standardvertragsklauseln stellen trotz PRISM eine Rechtsgrundlage für eine Übermittlung dar, heißt es doch dort in Klausel 5 d) I), bezogen auf die Datenauswertung und das Schweigegebot: „Der Datenimporteur erklärt sich bereit und garantiert, dass er den Datenexporteur unverzüglich informiert über alle rechtlich bindenden Aufforderungen einer Vollstreckungsbehörde zur Weitergabe personenbezogener Daten, es sei denn, dies wäre anderweitig untersagt, beispielsweise durch ein strafrechtliches Verbot zur Wahrung des Untersuchungs-geheimnisses bei strafrechtlichen Ermittlungen.
„Nun zu der unternehmensstrategischen Sicht: Unabhängig von der datenschutzrechtlichen Bewertung sollten europäische Unternehmen die Diskussion um PRISM zum Anlass nehmen und aus strategischer Sicht überlegen, ob sie ihre Personal- oder Kundendaten oder auch andere sensible Unternehmensdaten in die USA übermitteln wollen. Diese Überlegungen sollten aus ureigenem Unternehmens-interesse geführt werden, aber auch im Interesse der betroffenen Mitarbeiter oder Kunden, deren Daten im Falle einer Datenübermittlung in die USA per PRISM automatisch ausgewertet werden.
Europäische Cloud als Lösung?
Das Problem kann nicht dadurch gelöst werden, dass die Daten in einer europäischen Cloud eines nordamerikanischen Unternehmens gespeichert werden. Das US-Recht geht von der sog. Personal Jurisdiction aus. Hierbei kommt es nicht darauf an, wo sich auf der Welt Beweismittel oder Daten physikalisch befinden – wenn man im Zusammenhang mit Cloud Computing überhaupt von physikalisch sprechen kann. Eine US-Gesellschaft, die eine separate EU-Cloud betreibt, könnte in diesem Sinne weiterhin mit einem NSL oder einer FISA-Order konfrontiert werden, selbst wenn sich die Server in einer EU-Cloud, also auf europäischem Boden befinden.
Wer ausschließen möchte, dass Personal- oder Kundendaten oder auch andere sensible Unternehmensdaten in den USA durch dortige Ermittlungsbehörden automatisch ausgewertet werden, sollte die Daten entweder selbst speichern oder in einer europäischen Cloud eines europäischen Anbieters hosten, die nicht dem Zugriff durch US-amerikanische Ermittlungsbehörden unterliegen.
Darüber hinaus sollten Verträge zur Auftragsdatenverarbeitung detaillierte Klauseln zur Einschaltung bzw. zur Nicht-Einschaltung von US-amerikanischen Subunternehmern beinhalten. Was nützt es, wenn europäische IT-Dienstleister beauftragt werden, die dann wieder ohne Wissen des Auftraggebers sich weiterer Dienstleister im EU-Ausland bedienen.
Dr. Uwe Schläger | | Allgemein |