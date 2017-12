Peter A. Winn, Datenschutzexperte im US-Justizministerium, will nichts davon wissen, dass die NSA ungezielt große Datenmengen etwa von Unterseekabeln abzapfe. Für ihn steht außer Frage, dass US-Strafverfolger an Server in der EU herankommen müssen.

Weil nicht sein kann, was nicht sein darf, hat Peter A. Winn, Leiter des Büros für die Privatsphäre und Bürgerrechte beim US-Justizministeriums, die Existenz eines Datenstaubsaugers bei der NSA abgestritten. Der US-Kongress habe nach den Snowden-Enthüllungen ein Jahr die Überwachung von Ausländern auf Basis des auslaufenden Paragrafen 702 des Foreign Intelligence Surveillance Act (FISA) überprüft, erklärte der Vertreter Washingtons am Dienstag beim "Transatlantischen Dialog" zur Option eines "digitalen Westfälischen Friedens" bei Microsoft in Berlin. Herausgekommen sei, dass es ein solches Instrument zur unterschiedslosen Massenspionage bei dem technischen Geheimdienst "nicht gibt".

Im materiellen Recht der Vereinigten Staaten sei ein rigoroser Schutz von US-Bürgern vor einer Ausspähung durch eigene Agenten festgeschrieben, erläuterte Winn. "Wenn es einen Staubsauger gäbe, würde dies das Gesetz verletzen." Die NSA könnte ein solches Werkzeug also gar nicht legal betreiben, da sie nie wissen könnte, welcher Betroffene sich im Internet wo befinde.

Peter Winn vom US-Justizministerium, John Frank von Microsoft und der ehemalige Bundesdatenschutzbeauftragte Peter Schaar (v.l.n.r.) auf Microsofts "Transatlantischen Dialog" zur Option eines "digitalen Westfälischen Friedens" (Bild: Stefan Krempl / heise online)

Helfershelfer

Die einschlägigen parlamentarischen Berichte drehten sich nur um sogenannte 702-Maßnahmen, hielt der Ex-Bundesdatenschutzbeauftragte Peter Schaar dagegen. Die NSA sei aber etwa auch im Rahmen des Upstream-Programms in Kooperation mit ihrem britischen Partner GCHQ tätig geworden und habe dabei große Mengen Datenkommunikation direkt an Unterseekabeln, vergleichbar durchsetzstarken Glasfaserleitungen, Netzknoten oder Rechenzentren von Firmen abgezapft und in die USA gebracht. In der abgesaugten Flut an Bits und Bytes sucht die NSA nach dem Prinzip der auch vom BND praktizierten "strategischen Fernmeldeüberwachung" mit Selektoren wie IP-Adressen und Stichwörtern nach Kommunikationsteilnehmern. Dem zuständigen US-Geheimgericht FISC war dies zu weit gegangen, sodass die NSA die Upstream-Rundumüberwachung im Frühjahr einschränken musste.

Die Sache mit den Datenzentren habe sich als falsch herausgestellt, behauptete Winn daraufhin. Er könne sich zudem nicht zu Tätigkeiten anderer Regierungen äußern. Zudem habe der US-Kongress auch die Transparenzanforderungen an die nationalen Geheimdienste deutlich erhöht, sodass dort künftig nicht mehr mit großen Überraschungen zu rechnen sei.

Nationale Souveränität vs. Datenabfrage

Trotz der 1648 mit dem Westfälischen Frieden festgeschriebenen Prinzips der nationalen Souveränität erschloss sich Winn zudem nicht, warum US-Strafverfolger nicht prinzipiell auch an Daten auf Servern in der EU mit einer ordentlichen Gerichtsanordnung herankommen sollten. Microsoft weigert sich in einem mittlerweile vom US Supreme Court behandelten einschlägigen Fall, E-Mails eines Kunden herauszugeben, die in Irland gespeichert waren.

Er dürfe zu der anhängigen Auseinandersetzung eigentlich nichts sagen, meinte der amtierende "Chief Privacy and Civil Liberties Officer" der US-Regierung. Trotzdem beklagte er, dass erst die Anwälte von Microsoft ein "großes Problem aus dem Ersuchen gemacht" hätten. Dabei seien die "individuellen Rechte" doch eh von den sich ähnelnden Systemen dies- und jenseits des Atlantiks geschützt. Bei 99 Prozent der begehrten Informationen gehe es "um die eigene Bevölkerung". Die Debatte werde oft viel zu abstrakt geführt und nicht geschaut, "was tatsächlich mit den Daten gemacht wird".

Direkte Wege

"Wir versuchen einen Rahmen zu schaffen, der für Kunden und Strafverfolger funktioniert", erwiderte John Frank, der bei Microsoft in Brüssel für die EU-Regierungsbeziehungen zuständig ist. Auch die Nutzer wollten sicher gehen, "dass ihre Rechte nicht verletzt werden". Die US-Regierung hätte daher den ganz normalen Weg beschreiten das bestehende Rechtshilfeabkommen mit Irland nutzen können. Stattdessen wolle sie "über uns direkt an die Daten dort kommen", was eben nicht legitim sei.

Selbst wenn das oberste US-Gericht die Ansicht Washingtons bestätige, "könnte es ein Problem mit dem EU-Recht geben", konstatierte auch Schaar. Die in Irland liegenden Mails seien nach dem EU-Datenschutzregime geschützt. Generell scherten sich US-Ermittler und Agenten bei eigenen Maßnahmen oft nicht um die Gesetze der Länder, in denen sie durchgeführt würden. Daraus erwüchsen viele gravierende Konflikte, was Winn jedoch als rein "potenzielle Fragen" abtat.

Privacy Shield

Einig waren sich der Konzern- und der Regierungsvertreter in ihrer Einschätzung, dass der umstrittene transatlantische "Privacy Shield" wichtig sei für den internationalen Datentransfer und deshalb aufrechterhalten werden sollte. Probleme mit dem seit Monaten nicht ganz funktionsfähigen "Privacy and Civil Liberties Oversight Board" (PCLOB) erklärte Winn mit den üblichen Verzögerungen bei einem Regierungswechsel.

Der von US-Präsident Donald Trump nominierte Vorsitzende Adam Klein, gegen den sich bereits eine Petition richtet, werde nun aber hoffentlich bald bestätigt. Schaar verwies dagegen darauf, dass die EU-Datenschutzbeauftragten die Vereinbarung skeptisch sähen und gerade gefordert hätten, sie neu zu verhandeln. Andernfalls stehe der Datenschutzschild kommendes Jahr vor dem Aus. (Stefan Krempl) / (jk)