Tag Archives: Snowden

EMRG: Massenhafte Überwachung durch britischen Geheimdienst verstieß gegen Europäische Menschenrechtskonvention

Am 13. September 2018 hat der Europäische Gerichtshof für Menschenrechte (EGMR) in Straßburg entschieden, dass die massenhafte Überwachung des britischen Geheimdienstes GCHQ (Government Communications Headquarters), die dieser in Zusammenarbeit mit dem US-amerikanischen Computer-Geheimdienst NSA (National Security Agency) durchgeführt hat, die Europäischen Menschenrechtskonvention (EMRK) verletzt.

Das Urteil erging fast auf den Tag genau fünf Jahre nach der Einreichung der Klage durch die Britische Bürgerrechtsorganisation Big Brother Watch und andere, darunter Amnesty International, den britischen PEN-Club und die Sprecherin des deutschen Chaos-Computer-Clubs Constanze Kurz.

 

1. Inhalt der Entscheidung

In dem Kammerurteil (ECHR 299 (2018)) stellte das Gericht fest, dass die Massenüberwachung gegen Artikel 8 EMRK (Recht auf Achtung des Privat- und Familienlebens bzw. der Kommunikation) und gegen Artikel 10 (Meinungs- und Pressefreiheit) verstößt.

Sowohl die Auswahl der überwachten Internetnutzer als auch die Filterung, Suche und Auswahl der abgefangenen Mitteilungen wurden nur unzureichend kontrolliert. Zudem fehlten Garantien für die Auswahl „verbundener Kommunikationsdaten“, insbesondere im Hinblick auf deren Nachprüfbarkeit.

Auch die Mechanismen, derer sich der GCHQ bediente, um an die von Kommunikationsdiensteanbietern gespeicherten Daten zu gelangen, verstößt gegen Artikel 8. Sowohl das Regime der Massenüberwachung als auch die die Beschaffung von Kommunikationsdaten von Kommunikationsdiensteanbietern verstießen zudem gegen Artikel 10 (Presse- und Meinungsfreiheit), da es keine ausreichenden Garantien in Bezug auf vertrauliches journalistisches Material gibt.

Nicht beanstandet hat der Gerichtshof den Austausch der erlangten Daten mit Diensten anderer Staaten. Zurückgewiesen wurden ferner Beschwerden, die sich gegen Mängel in der gerichtlichen Nachprüfbarkeit der Überwachungspraxis und gegen Verstöße gegen das Diskriminierungsverbot richteten.

2. Bewertung 

Es handelt sich um die erste Entscheidung eines höchsten Europäischen Gerichts, die sich direkt mit der durch den Edward Snowden aufgedeckten geheimdienstlichen Überwachungspraxis auseinandersetzt. Zusammen mit früheren Urteilen – etwa der Annullierung des Safe Harbour-Abkommens durch den Gerichtshof der Europäischen Union (EuGH) von 2015 – verdeutlicht die jüngste Entscheidung, dass staatliche Überwachungsmaßnahmen stets dort ihre Grenze finden, wo sie Grund- und Menschenrechte verletzen. Das ist stets dann der Fall, wenn unterschiedlos Daten sehr vieler Menschen betroffen sind, die keinerlei Bezug zu einer schweren Gefährdung der öffentlichen Sicherheit aufweisen. 

Von entscheidender Bedeutung ist auch die effektive Kontrolle des staatlichen Handelns  durch Gerichte, unabhängige Datenschutzbehörden und Parlamente. All dies war bei den 2013 aufgedeckten umfassenden Überwachungsaktivitäten nicht gegeben.

Die Bedeutung der Entscheidung ist erheblich und sie geht weit über die monierte Praxis der britischen Behörden hinaus.  Zwar stellte der Gerichtshof fest, dass nicht jede Regelung, die eine massenhafte Überwachung vorsieht, an sich gegen die EMRK verstößt. Zugleich stellte er aber fest, dass eine solche Regelung die in der EGMR-Rechtsprechung festgelegten Kriterien erfüllen muss. 

Großbritannien ist nun gehalten, die Überwachungspraxis der Geheimdienste deutlich zu begrenzen. Dies ist umso notwendiger, als die Überwachungsbefugnisse durch den Investigative Powers Act 2016 sogar noch ausgeweitet wurden. Seit dem Brexit-Referendum fordern Hardliner, dass das Vereinigte Königreich die EMRK verlässt. Zwar ist die Europäische Union als Institution nicht selbst der EMRK beigetreten, sie unterliegt jedoch den Vorgaben der Grundrechtecharta. Die Europäische Union muss bei den Austrittsverhandlungen klarmachen, dass jedwede „gütliche“ Regelung mit Großbritanniens ausgeschlossen ist, wenn sich das Land nicht mehr an die Menschenrechte gebunden fühlt und weder die Rechtsprechung des EMRG noch des Europäischen Gerichtshofs als bindend anerkennt.

Angesichts der fortdauernden geheimdienstlichen Massenüberwachung ist aber nicht nur in Großbritannien eine deutliche Einschränkung der Befugnisse der Nachrichtendienste erforderlich. Dies betrifft auch Deutschland, wo die Große Koalition mit verschiedenen 2016 beschlossenen Gesetzen die Befugnisse des Verfassungsschutzes ausgeweitet und die bis dahin illegalen Abhörpraktiken des Bundesnachrichtendienstes legalisiert hat.

Die EGMR-Entscheidung ist ein Weckruf, der uns dazu veranlassen sollte, die in den letzten Jahren weitgehend eingeschlafene Diskussion darüber, wieviel Überwachung eine freiheitliche Gesellschaft verträgt, wieder aufzunehmen.

America First: Datenschutz nur noch für (US-)Inländer

Die amerikanischen Technologie-Giganten Google, Facebook, Microsoft, Twitter und Amazon  werden womöglich die ersten Opfer der von Präsident Trump verfolgten „America First“- Politik sein. Trump unterzeichnete  am 25. Januar  2017 die Anordnung (Executive Order)  zur Verbesserung der öffentlichen Sicherheit. Schon jetzt ist deutlich, dass die Politik der Trump-Administration  einem gemeinsamen Datenschutz-Verständnis  zwischen den USA und der EU diametral  entgegen laufen.

Section 14 hat folgenden Wortlaut:

„Agencies shall, to the extent consistent with applicable law, ensure that their privacy policies exclude persons who are not United States citizens or lawful permanent residents from the protections of the Privacy Act regarding personally identifiable information.“

Auch wenn sich diese Bestimmung vermutlich zunächst gegen diejenigen Personen richten soll, die sich illegal in den Vereinigten Staaten aufhalten, hat sie doch auch erhebliche Auswirkungen auf den transatlantischen Datentransfer. Vor allem das Abkommen zwischen der Europäischen Union und der US-Regierung „Privacy Shield“ ist betroffen. Das  erst im letzten Sommer ausgehandelte  Abkommen gestattet es Unternehmen, welche die Einhaltung der Privacy Shield Prinzipien gewährleisten, personenbezogene Daten aus der Europäischen Union in die USA zu übermitteln.

Voraussetzung für die Übermittlung ist ein „angemessenes Datenschutzniveau“, also ein dem EU-Recht gleichwertiger Schutz für die in die USA transferierten personenbezogenen Daten. Die Europäische Kommission hat am 12. Juli 2016 auf Basis des US-Rechts und der Zusicherungen der Obama-Administration die Existenz eines gleichwertigen  Datenschutzes festgestellt (Angemessenheitsbeschluss). Privacy Shield trat damit an die Stelle des Safe Harbour Arrangements, welches der Europäische Gerichtshof am 6. Oktober 2015 annulliert hatte, da es  den in  Art. 8 der EU-Grundrechtecharta garantierten Schutz personenbezogener Daten nicht gewährleistete.

Zu den Zusicherungen der US-Seite gehörte die Auslegung des US-Rechts in der Weise, dass die US Datenschutzbestimmungen – soweit rechtlich zulässig –  auch für Daten von EU-Bürgern angewandt werden. Damit dürfte jetzt Schluss sein.

Eine wichtige Basis bildete auch der vom US-Kongress im Februar 2016 gebilligte Judicial Redress Act (JRA), der  die Grundlage dafür bereitstellt, dass sich EU-Bürgerinnen und Bürger an US-Behörden wenden können, wenn sie der Auffassung sind, dass US-Behörden ihre Daten zu Unrecht verarbeiten.  Allerdings räumt der JRA den EU-Bürgern solche Klagerechte nicht selbst ein, sondern macht dies von einer Anordnung des US-Justizministers (Attorney General) abhängig. Die scheidende Obama-Administration hat eine entsprechende Erklärung wenige Tage vor der Inauguration Donald Trumps herausgegeben, die neben der Europäischen Union als Ganzes, 26 ihrer Mitgliedstaaten und Zypern umfasst  Die oben zitierte Executive Order  könnte so verstanden werden, dass das Justizministerium die „Privilegierung“ der Bürger anderer Staaten zurücknimmt, welche am 1. Februar 2017 in Kraft treten soll.

Unabhängig davon ist zu befürchten, dass die – nach den Snowden-Enthüllungen   von US-Präsident Obama angeordneten – partiellen Sicherungen des Datenschutzes für Nicht-Amerikaner bei der geheimdienstlichen Überwachung außer Kraft gesetzt werden. Damit würden auch die Erklärungen des US-Geheimdienstkoordinators im Rahmen der Privacy Shield—Verhandlungen obsolet.

Vor diesem Hintergrund muss die EU-Kommission unverzüglich handeln. Sie darf mit der Prüfung, ob die Voraussetzungen für eine Fortgeltung des Angemessenheitsbeschlusses zum Privacy Shield  noch gegeben sind, nicht erst bis zur ersten, im Sommer d.J. vorgesehenen regulären Privacy Shield Review warten. Aber auch die europäischen Datenschutzbehörden sind gefragt. Der Europäische Gerichtshof hat Ihnen in seiner Safe Harbour-Entscheidung auferlegt, Zweifeln an einem angemessenen Datenschutzniveau selbstständig nachzugehen und damit nicht auf eine entsprechende  Feststellung der Kommission zu warten.

Brauchen wir eine Digitalcharta?

Am 1. Dezember 2016 veröffentlichten verschiedene Zeitungen ganzseitige Anzeigen unter der Überschrift „Wir fordern digitale Grundrechte – Charta der digitalen Grundrechte der Europäischen Union“. Bei dieser „Digitalcharta“ handelt es sich um die Zusammenstellung von Forderungen bzw. Vorschlägen, die sich nicht auf reine Individualrechte beschränken, sondern auch staatliches und unternehmerisches Handeln umfassen. Das erkennbare Ziel der Autorinnen und Autoren ist es, eine Diskussion darüber anzustoßen, wie unsere grundlegenden Werte, Grund- und Menschenrechte in einer zunehmend durch digitale Technik geprägten Welt bewahrt werden können. Sie greifen damit ein weit verbreitetes Unbehagen auf, das nicht auf die überschaubare Netzcommunity beschränkt ist. Zugleich setzen sie einen Kontrapunkt zu unreflektierter Technikbegeisterung und weltfremden Versprechungen einer Rückkehr in eine vermeintlich gute alte Zeit ohne Globalisierung und Digitaltechnik.

Immer lauter hört man aus dem Silicon Valley das hohe Lied der „Disruption“, die Begeisterung über die revolutionäre Veränderung der Wirtschaft und unserer Lebensverhältnisse durch digitale Technik. In der Tat lässt sich kaum leugnen, dass die von der Digitalisierung bewirkten Veränderungen vergleichbar sind mit denjenigen der industriellen Revolution des 18. und 19. Jahrhunderts. Bestehende gesellschaftliche Ungleichheiten und Konflikte verschärfen sich und sie werden überlagert von neuen, bisher unbekannten Fragestellungen.

Die mit der Digitalisierung verbundenen Problemstellungen gehen weit über den Datenschutz hinaus, der bereits in der EU verfassungs- und einfachgesetzlich normiert ist (Art. 8 EU-Grundrechtecharta, Datenschutzgrundverordnung). So wichtig der Datenschutz weiterhin bleibt, so bedeutsam ist es, dass wir uns – wie die Digitalcharta es tut – auch mit den anderen Folgen der Digitalisierung auseinandersetzen.

In den letzten Jahren ist es zu einer in der Geschichte unvergleichlichen auf Informationen und Daten basierenden globalen Machtkonzentration bei Unternehmen und staatlichen Stellen gekommen, welche die ungeheuren Informations- und Datenbestände kontrollieren. Gefahren für Freiheits- und Menschenrechte gehen längst nicht mehr allein vom staatlichen „Leviathan“ aus. Auch weltweit agierende Internetunternehmen setzen nach eigenen Interessen Regeln über den Zugang zu Informationen und den Umgang mit ihnen. Sie nutzen dabei Unterschiede zwischen den Rechtsordnungen und Steuersystemen aus.

Spätestens seit den Enthüllungen Edward Snowden ist nicht mehr zu leugnen, dass auch staatliche Stellen, insbesondere aus dem Kreis der Sicherheitsbehörden, an den enormen privatwirtschaftlich angehäuften Informations- und Datenschätzen partizipieren. Viele nachrichtendienstliche Überwachungsaktivitäten erfolgen im Ausland, um der Rechtsbindung durch nationale Verfassungen und Gesetze und der gerichtlichen und parlamentarischen Kontrolle zu entgehen. Grund zum Handeln gibt es also genug.

Dass kollektive Erfahrungen und neue Probleme zur Überprüfung gesellschaftlicher Sichtweisen und Regeln führen, ist kein einmaliges Phänomen. Zahlreiche Aufrufe, Verfassungsdokumente und Grundrechtskataloge belegen dies, etwa die Magna Charta aus dem Jahr 1215, die US-Verfassung von 1788, das westdeutsche Grundgesetz von 1949 bis hin zur Charta der Grundrechte der Europäischen Union aus dem Jahr 2001. Alle diese Dokumente sind in erster Linie (in juristische Sprache gekleidete) politische Manifeste, die teils fundamental mit der vorigen Rechtsordnung brechen oder sie fortschreiben sollen. In dieser Tradition versteht sich offenbar die Digitalcharta.

Ob die Vorschläge in absehbarer Zeit vom Europäischen Parlament beschlossen und Eingang in die EU-Grundrechtecharta finden werden, ist höchst unsicher. Unabhängig davon ist es aber an der Zeit, dass unser politisches System die digitalen Herausforderungen aktiv bearbeitet. Die Debatte darüber ist jedenfalls eröffnet!

Sollen Grundrechte auch vor Machtmissbrauch durch Private schützen?

Die Digitalcharta ist unmittelbar nach ihrer Veröffentlichung heftig kritisiert worden. Eine besonders heiß diskutierte Frage ist, ob Grundrechte nicht nur gegenüber staatlichen Stellen sondern auch gegenüber privaten Stellen gelten sollen, wie dies Art. 1 Abs. 3 vorsieht.

„(3)  Die Rechte aus dieser Charta gelten gegenüber staatlichen Stellen und Privaten.“

Juristen sprechen in diesem Zusammenhang von „Drittwirkung“. Die traditionelle deutsche Verfassungslehre verneint eine direkte Drittwirkung der Grundrechte des Grundgesetzes.

Historisch wurden die Grund- und Menschenrechte als Instrumente gegen staatliche Willkür erkämpft. Sie begrenzen staatliche Machtausübung gegenüber den Bürgern. Diese Funktion als „Abwehrrechte“  gegenüber dem Staat ist auch heute noch von herausragender Bedeutung. Aber sie wird überlagert von objektiv-rechtlichen Aspekten, insbesondere dem Menschen- und Gesellschaftsbild des Grundgesetzes, das selbst eine Drittwirkung nicht explizit ausschließt.

Die Rechtsprechung des Bundesverfassungsgerichts zur Menschenwürde und zum allgemeinen Persönlichkeitsrecht belegt die überragende Bedeutung des Grundgesetzes und insbesondere der Grundrechte bei der einfachen Gesetzgebung und bei der Auslegung von Gesetzen, die „im Lichte der Grundrechte“ zu erfolgen hat.

Besonders deutlich wird die Absicht des Grundgesetzes, privates Handeln zu steuern, beim Grundrecht auf Eigentum:

„Eigentum verpflichtet. Sein Gebrauch soll zugleich dem Wohle der Allgemeinheit dienen.“ (Art. 14 Abs. 2 GG)

Mir erscheint es sinnvoll, die Sozialpflichtigkeit des Eigentums im Hinblick auf die digitalen Herausforderungen zu konkretisieren. Wenn man den ungeheuren Einfluss und die überragende Definitionsmacht heutiger digitaler Plattformen berücksichtigt, wäre ist geradezu fahrlässig, die durch Grundrechte beabsichtigte Machtbegrenzung nur auf staatliche Akteure zu beziehen. Auch Unternehmen haben die Menschenwürde zu achten, sie haben bei den der Allgemeinheit zur Verfügung gestellten Diensten die Meinungsfreiheit zu garantieren, Diskriminierung zu unterlassen und für Transparenz zu sorgen.

Allerdings lassen sich derartige Rechtsfortbildungen sinnvollerweise nicht mehr allein durch nationales Recht realisieren, sondern auf internationaler oder zumindest europäischer Ebene. Deshalb halte ich es für richtig, dass die Digitalcharta einen EU-weiten Regelungsanspruch formuliert. Der Blick über den deutschen Tellerrand zeigt zudem, dass die Diskussion über die Drittwirkung von Grundrechten in der Europäischen Union weitaus weniger intensiv geführt wird als in der deutschen Rechtswissenschaft. Unter dem Begriff der „horizontalen Wirkung“ bejaht etwa der Europäische Gerichtshof die direkte Anwendbarkeit von EU-Recht – auch von Grundrechten – auf das Verhältnis zwischen Privaten, soweit eine EU-Rechtsvorschrift hinreichend präzise formuliert ist. Eine entsprechende Klausel, die klarstellt, dass bestimmte digitale Rechte (und Pflichten) auch gegenüber Privaten anzuwenden sind, wäre also durchaus konsequent und zulässig.

Verbesserungsbedarf

Die Autoren der Digitalcharta haben zur Diskussion ihrer Vorschläge aufgerufen. In der Tat sind nicht alle Artikel der vorgeschlagenen Digitalcharta gleichermaßen gelungen. Kritisch sehe ich insbesondere die widersprüchlichen Ausführungen zur Meinungsfreiheit und Öffentlichkeit in Art. 5:

„(1) Jeder hat das Recht, in der digitalen Welt seine Meinung frei zu äußern. Eine Zensur findet nicht statt.
(2) Digitale Hetze, Mobbing sowie Aktivitäten, die geeignet sind, den Ruf oder die Unversehrtheit einer Person ernsthaft zu gefährden, sind zu verhindern.
(3) Ein pluraler öffentlicher Diskursraum ist sicherzustellen.
(4) Staatliche Stellen und die Betreiber von Informations- und Kommunikationsdiensten sind verpflichtet, für die Einhaltung von Abs. 1, 2 und 3 zu sorgen.“

Für bedenklich halte ich die im zweiten Absatz vorgesehenen Einschränkungen der Meinungsfreiheit und des Zensurverbots. Es stellt sich die Frage, wie die Tatbestände der digitalen „Hetze und Mobbing sowie Aktivitäten, die geeignet sind, den Ruf oder die Unversehrtheit einer Person ernsthaft zu gefährden“ zu verstehen sind.

Wer einmal Ziel aggressiver Kritik, Anmache bis hin zum Shitstorm geworden ist, empfindet eine solche Situation als unangenehm. Trotzdem wäre es falsch, darauf mit einem generellen Verbot zu reagieren. In einer pluralen Demokratie müssen wir auch unsachliche Äußerungen und Wut anderer ertragen, ohne nach dem Staatsanwalt oder Foren-Zensor zu rufen.

Zudem darf nicht außer Acht gelassen werden, dass die Meinungsfreiheit vor dem Hintergrund unterschiedlicher historischer Erfahrungen international verschieden eingeschätzt wird. Die vorgeschlagenen Regelungen implizieren, dass nicht nur unzulässige, sondern auch nicht strafbare Meinungsäußerungen in der digitalen Welt zu verhindern seien. Dies wird der überragenden Bedeutung der Informations- und Meinungsfreiheit in der demokratischen Gesellschaft nicht gerecht.

Verschärft wird dieses Problem dadurch, dass nicht etwa eine nachträgliche Löschung verlangt wird, sondern die generelle Verhinderung solcher Äußerungen. Dies würde letztlich doch auf Zensur hinauslaufen.

Zudem sind die Adressaten entsprechender Verpflichtungen nicht zu Ende gedacht. So sollen nicht nur „staatliche Stellen“, sondern auch die Betreiber von Kommunikations- und Informationsdiensten für die Durchsetzung sorgen. Ich kann mir nicht vorstellen, dass die Autoren einer durchgängigen Inhaltskontrolle im Sinne von „deep packet inspection“ das Wort reden, aber leider lassen sich die Formulierungen genau so auslegen.

An Stelle der missverständlichen Regelungen sollte Art. 5 daher umformuliert werden:

„…(2) Dieses Recht kann durch gesetzliche Bestimmungen beschränkt werden, soweit dies zum Schutz berechtigter persönlicher oder gesellschaftlicher Interessen unerlässlich ist. … (4)

Die Betreiber von Plattformen, die dem öffentlichen Informations- und Meinungsaustausch dienen, sind verpflichtet, unzulässige Beiträge zu löschen, sobald sie von ihnen Kenntnis erlangt haben.“

Peter Schaar

Soziale Netzwerke sind keine Hilfsorgane der Sicherheitsbehörden

Innenpolitiker verschiedener Parteien, Vertreter des Bundesinnenministeriums und der Chef des Bundesamts für Verfassungsschutz fordern dieser Tage einen verbesserten Zugriff auf Daten aus sozialen Netzwerken. Sie berufen sich dabei auf den Amoklauf in München und auf terroristisch motivierte Straftaten in den letzten Wochen.

Facebook – so der Vorwurf – arbeite nur zögerlich mit den deutschen Sicherheitsbehörden zusammen. Deshalb seien Gesetzesänderungen notwendig, um etwa das Unternehmen zur Herausgabe von Nutzerdaten zwingen zu können. Unklar bleibt dabei, worauf sich diese Forderung im einzelnen bezieht: Auf die Herausgabe der Bestands- und Nutzungsdaten des Netzwerks oder auf die dort verbreiteten Informationen? Oder geht es um die vertrauliche Kommunikation mittels Messenger-Diensten wie Skype oder WhatsApp und die dabei ausgetauschten Inhalte?

Manchmal erleichtert ja ein Blick in die Gesetze die Rechtsfindung. Denn selbstverständlich sind die Betreiber sozialer Netzwerke an Recht und Gesetz gebunden und sie dürfen bzw. müssen Daten an Ermittlungsbehörden herausgeben, wenn die rechtlichen Voraussetzungen dafür gegeben sind. Bei sozialen Netzwerken handelt es sich um so genannte „Telemedien“ oder „Teledienste“ – für sie ist das Telemediengesetz (TMG) einschlägig, das Regeln für die Datenherausgabe an Behörden enthält. Zudem brauchen die Behörden eine gesetzliche Befugnis, die den Rahmen für deren Auskunftsverlangen absteckt, denn jede Übermittlung dieser Daten ist ein Eingriff in das Grundrecht auf informationelle Selbstbestimmungsrecht. Das Bundesverfassungsgericht spricht in diesem Zusammenhang von einem „Doppeltürmodell“, denn es verlangt sowohl eine gesetzliche Erlaubnis zur Datenherausgabe durch die Unternehmen als auch eine entsprechende Befugnis zur behördlichen Datenabfrage.

In § 14 Abs. 2 und § 15 Abs. 5 TMG ist festgelegt, dass Diensteanbieter wie Facebook den Polizeibehörden und den Nachrichtendiensten im Einzelfall Auskunft über bestimmte Daten des Nutzers erteilen dürfen, soweit dies für die Erfüllung der Zwecke der Strafverfolgung, zur Gefahrenabwehr und zur Terrorismusabwehr erforderlich ist und eine entsprechende Anordnung vorliegt. Die Anordnungsbefugnis ist in den für die jeweiligen Behörden geltenden Gesetzen festgelegt, insbesondere in der Strafprozessordnung, den Polizeigesetzen des Bundes und der Länder und im Bundesverfassungsschutzgesetz.

Die Strafprozessordnung und die Polizeigesetze von Bund und Ländern enthalten bereits umfangreiche Befugnisse zur Erhebung personenbezogener Daten, soweit es um die Aufklärung und Verhütung von Straftaten geht. Eine Regelungslücke kann ich hier nicht erkennen.

Auch der Verfassungsschutz darf gem. § 8a Bundesverfassungsschutzgesetz im Einzelfall Merkmale zur Identifikation des Nutzers eines Teledienstes, Angaben über Beginn und Ende sowie über den Umfang der jeweiligen Nutzung und Angaben über die vom Nutzer in Anspruch genommenen Teledienste verlangen. Die Auskünfte dürfen aber nur verlangt werden, soweit dies im Einzelfall für die Aufgabenwahrnehmung erforderlich ist. Sie dürfen sich nur gegen Personen richten, bei denen tatsächliche Anhaltspunktre vorliegen, dass von ihnen schwerwiegende Gefahren ausgehen. Auch hier sehe ich keinen Bedarf für das weitere Aufbohren der Überwachungsbefugnisse.

Soweit die Behörden die direkte, vertrauliche Kommunikation zwischen Nutzern sozialer Netzwerke bzw. Messenger-Diensten überwachen wollen, müssen sie sich an die Regeln zur Telekommunikationsüberwachung halten. Diese Kommunikationsvorgänge sind durch das Fernmeldegeheimnis (Art. 10 GG) geschützt. Deshalb sind die rechtlichen Hürden hier höher als bei den sozialen Medien. Gleichwohl ist der Zugriff auf Verkehrsdaten der Telekommunikation und sogar die Überwachung der übertragenen Inhalte zur Bekämpfung schwerer Straftaten oder zur Abwehr schwerwiegender Gefährdungen – etwa bei einem angekündigten Amoklauf – zulässig. Die Behörden müssen auch hier ein rechtsstaatliches Verfahren einhalten, was im konkreten Fall bedeuten kann, dass sie eine richterliche Überwachungsanordnung benötigen. Ein solches rechtsstaatliches Verfahren mag lästig sein, ist aber unverzichtbar, wenn man die Grundrechte ernst nimmt.

Die Forderung nach einer darüber hinausgehenden allgemeinen ‚Kooperationspflicht‘ der Internetunternehmen mit Geheimdiensten oder Polizeibehörden würde dazu führen, dass die sozialen Netzwerke zu einer Art Hilfsorgan der Sicherheitsbehörden würden. Keineswegs hinzunehmen wäre etwa die Weitergabe persönlicher Daten bloß auf „Zuruf“ oder die Auswertung und Weitergabe von Massendaten. Die Enthüllungen Edward Snowdens haben gezeigt, welche Konsequenzen ein solcher Kuschelkurs haben kann.

Dagegen halte ich die Forderung für sinnvoll, dass Facebook und andere international agierende soziale Netzwerke Ansprechpartner für Auskunftsersuchen der Sicherheitsbehörden zu bestellen haben. Allerdings wird damit nicht das Problem gelöst, dass beim Zugriff auf Daten, die ein soziales Netzwerk auf Servern außerhalb Deutschlands speichert, auch die gesetzlichen Vorgaben des jeweiligen Staates zu beachten sind. Eine ähnliche Frage – allerdings mit umgekehrten Vorzeichen – wird ja derzeit in den USA diskutiert. Dort fordern Sicherheitsbehörden von Microsoft die Herausgabe von Daten, die auf Servern außerhalb der USA gespeichert werden. Der Ausgang dieses Verfahrens ist bis heute offen. Auch und gerade für den Zugriff auf Daten bei transnationalen Internetangeboten müssen die Grundsätze der Rechtsstaatlichkeit und Verhältnismäßigkeit gelten.

Wer dies aus tagespolitischen Motiven ignoriert, könnte sich schon bald die Augen reiben. Mit welcher Begründung sollte ein Internetdienst etwa die Forderung einer türkischen Behörde nach der Herausgabe der Daten von Kritikern des türkischen Staatspräsidenten ablehnen, wenn andererseits eine sehr weitgehende Kooperation der Unternehmen mit den deutschen Behörden eingefordert wird? Und was sagen wir dem chinesischen Dissidenten, den ein Internetdienst den dortigen Behörden ausliefert?

Wir brauchen internationale Standards, die rechtsstaatlichen Grundsätzen entsprechen – bei der Strafverfolgung und auch beim Datenschutz im Internet. Was wir dagegen nicht brauchen, ist eine „lex München“ oder eine „lex Würzburg“, so schlimm die dortigen Amokläufe auch waren.

Mit freundlichen Grüßen

Peter Schaar

Nachtrag (16. August 2016)

In einer Stellungnahme betont eco, Verband der Internetwirtschaft e.V., er sehe keine Notwendigkeit, Telemediendienstanbieter, insbesondere Social Media Plattformen, dazu zu verpflichten, Nutzerdaten im Rahmen von Terror-Abwehr- oder –Ermittlungsmaßnahmen schneller an Behörden zu übergeben. Eine solche neue Herausgaberegelung sei „überflüssig und darüber hinaus aus datenschutzrechtlicher Perspektive problematisch“, betonte eco Vorstand Politik & Recht Oliver Süme.

Safe Harbor – No Future?

Keynote on the conference „New Directions in Cyber Security“

Berlin, 1 October 2015

Safe Harbor – No Future? How the General Data Protection Regulation and the rulings of the Court of Justice of the European Union (CJEU) will influence transatlantic data transfers
Ladies and gentlemen,

One week ago, the Advocate General at the Court of Justice of the European Union (CJEU) issued his vote on the Safe Harbor case of Max Schrems vs. the Irish Data Protection Commissioner.

Since 1995 when the General European Directive on Data Protection came into force, data transfers from the European Union and its member states to non-EU countries have been subject to specific privacy and security restrictions. Such restrictions do not exist only in Europe.

For example in the US several legal acts and decisions of regulatory authorities constitute the obligation to store specific data in the own country, in particular data, which have been generated by public bodies and providers of critical infrastructures. The US Federal Trade Commission has stated that a company subject to privacy obligations under US law is not allowed to avoid such obligations by outsourcing their data processing activities to offshore service providers.

The key message of Art. 25 of the 1995 GD is that transfer of personal data to a third country may take place only if the recipient in question ensures an adequate level of data protection. The adequacy shall be assessed in the light of all the circumstances surrounding the data transfer operation.

The main road to adequacy are the so-called adequacy decisions of the European Commission, that the said country ensures an adequate level of data protection. These decisions are binding for the member states. They shall take the measures necessary to comply with the Commission’s decision.

One of the most discussed adequacy decisions concerns the United States – the decision on Safe Harbor, although the Commission was of the opinion, that the US in general failed to provide an adequate level of data protection for the private sector, because of the lack of any comprehensive data protection legislation.

The Safe Harbor principles, negotiated between the Commission and the US government in the late 1990s should bridge this obstacle. The SH arrangement has been aimed at guaranteeing the adequate level of protection required by EU law for those companies, committing themselves to comply with the SH principles.

From the beginning, since the Safe Harbor was agreed in the year 2000 there has been some criticism against it. The main critical argument was that the principles do not meet the high EU data protection standards defined by the General Directive.

A scientific implementation study on SH done 2004 on behalf of the Commission came to the result that „Key concepts such as ‚US organization‘, ’personal data’,’deceptive practices’ lack clarity. Moreover, the jurisdiction of the FTC with regard to certain types of data transfers is dubious.“ (p.18)

It also has been criticized, that companies which declare compliance with the principles at once may profit from the Safe Harbor privileges, even if their privacy practices were not yet subject to an independent audit.

These issues remain important until our days. But after the vote the Advocate General at the CJEU (GA) issued recently, the focus lays on another question: How far practices and powers of US authorities have been ignored in the adequacy assessments.

At the first glance, law enforcement authorities, police and intelligence do not fall within the scope of the Safe Harbor agreement and therefore they do not have to be subject to the assessment. But this first impression is wrong.

As Art. 25 of the GD is pointing out, the assessment is to be done in the light of „all circumstances“ surrounding a data transfer to the third country. Even activities of authorities in the third country have to be examined. It is unclear how far this happened during the Safe Harbor assessment in the late 1990s.

But even if such assessment once took place, the result may be invalid today, because things changed dramatically after 9/11 2001. As we have learnt from Edward Snowden and other whistleblowers, US government has obtained broad access to private companies’ databases, telecommunications and Internet services.

Many companies which have co-operated with the NSA – voluntarily or based on legal obligations – have been safe harborists and there is no doubt that NSA and other services have got access to big amounts of data stemming from Europe or related to EU citizens.

The USA PATRIOT ACT and secret Presidential Orders, issued after 9/11 provided intelligence and law enforcement agencies with a lot of new powers and simultaneously demolished many safeguards which have been introduced in the 1970s to protect civil rights and privacy.

For years it seemed that many of these changes were not on the screen of the European Commission and other European stakeholders. The implementation study on SH of 2004 came to the conclusion: „Since the new US legislation only rarely contradicts the SH principles for data covered by SH, these conflicts do not appear to undermine the level of protection for any significant flows of personal data to the United States. The controversial provisions of the USA PATRIOT ACT are essentially irrelevant for SH data flows.“ (p. 101)

But 2013, after the the beginning of the Snowdon revelations, nobody can ignore any more, that the practices of NSA, CIA and FBI introduced after 9/11 have impact on the level of data protection in the United States: The legal provisions on Government access to personal information, especially the Foreign Intelligence Surveillance Act (FISA), do not meet the basic standards of the rule of law at least so far data of non-US-persons are concerned. The practices disclosed in the last two years and the commitments of US officials on mass surveillance provided the public with loads of evidence that the NSA and others are involved in bulk collection of personal data coming from Europe. Therefore it seems evident, that these practices have to be taken into account by the CJEU.

Another change happened in Europe: The Lisbon Treaty came into force in 2009, and at least since then privacy and data protection, including the independent oversight, have been fundamental rights of the European Union, as parts of the European primary law. European secondary law and European Commission’s decisions have to fulfill these requirements. Even older legislation, agreements with third countries as to PNR or TFTP and Commission’s decisions have to be reviewed in the light of Art. 7 and 8 of the EU Charter of Fundamental Rights.

Acknowledging this, the vote of Advocate General Bot (AG) in the case of Maximilian Schrems versus the Irish Data Protection Commissioner, issued last week, is not really surprising. The vote touches two big points:

Even if the Commission decides that the level of data protection in a country is adequate, this does not prevent national data protection authorities from suspending the transfer of the data, it they are of the opinion, that in the concrete case adequacy criteria are not met by the recipient. As we have learnt from the Snowden revelations, Facebook and other Internet companies cooperated closely with the NSA and provided them with broad access to personal data stored on their servers.
The AG is of the opinion that the Safe Harbor arrangement itself is invalid, because the US, especially the intelligence services, do not provide adequate protection for the personal data coming from Europe. Therefore he proposes to suspend the Safe Harbor.

Nobody knows how the European Court of Justice will decide the case. The ruling is expected on 6 October. Perhaps you know the sentence „How the judge decides depends what he ate for breakfast“. It is correct: The vote of the advocate general is only an opinion and it does not bind anybody.

But for me it seems likely that the judges will acknowledge the vote, at least in the result. In two earlier cases, the court decided last year, on data retention and on the right to be forgotten, the judges underlined the high importance of European fundamental rights on privacy and data protection. In these cases the court went beyond the Advocate general’s vote. In the Schrems’ case the AG adapted this recent orientation of the judges.

If the CJEU will decide as proposed by the AG, this does not mean automatically the end of Safe Harbor. But the Safe Harbor arrangement must be renegotiated and at the end there might be a better safe Harbor System, meeting the principles of fundamental rights and complying with the new EU Data Protection Regulation.

Art. 41 of the Commissions proposal contains criteria, conditions and procedures for adequacy assessments, more specific than the current Art. 25 of the GD from 1995: The criteria which shall be taken into account for the Commission’s assessment of an adequate or not adequate level of protection include expressly the rule of law, judicial redress and independent supervision. The new article confirms explicitly the possibility for the Commission to assess the level of protection afforded by a territory or a processing sector within a third country.

My conclusion for today: Safe Harbor will be possible even in the future. But such a „happy end“ requires changes in the SH arrangement. And it requires effective legal guarantees for EU citizens in the US.

Also necessary is a new thinking in Europe, in particular on the fields of law enforcement and intelligence. If we urge the US to respect our privacy, European secret services have to respect fundamental rights of all EU citizens and citizens of third countries as well.

Mazzini und Snowden

1844 bewegte eine Abhöraffäre die Londoner Öffentlichkeit – ein Skandal, der interessante Parallelen zu der aktuellen Snowden-Affäre aufweist. Der italienische Polit-Aktivist Giuseppe Mazzini setzte sich von seinem Londoner Wohnort aus für die staatliche Einigung Italiens ein und korrespondierte intensiv mit Gleichgesinnten im In- und Ausland. Diese Aktivitäten erregten das Misstrauen des österreichisch-ungarischen Kaiserreichs, das Teile Italiens besetzt hielt. Um dem für die Donaumonarchie abträglichen Treiben entgegenzuwirken, wandte sich der österreichische Botschafter in London an die britische Regierung und verlangte, die Post Mazzinis zu überwachen – mit Erfolg. Die von Mazzini geschriebenen und die an gerichteten Briefe wurden im Royal Post Office geöffnet, kopiert und der Inhalt den Österreichern mitgeteilt.

Die Überwachung flog auf, nachdem Mazzini und seine Freunde misstrauisch geworden waren und durch einige Tricks herausfanden, dass ihre Briefe geöffnet wurden. Mazzini ging an die britische Öffentlichkeit. Die Empörung war groß – Politiker verlangten von der Regierung eine Erklärung, die diese zunächst unter Berufung auf das Staatswohl und die notwendige Geheimhaltung ablehnte. Das britische Parlament gab sich mit dieser Erklärung nicht zufrieden und richtete einen Untersuchungsausschuss ein, der das ganze Ausmaß der Überwachung sichtbar machte: Nicht nur Mazzini, sondern auch viele andere Personen standen unter Überwachung. Ihre Briefe wurden ausgesondert und geöffnet.

Warum regte sich die Öffentlichkeit auf? War nicht aus der britischen Vergangenheit durchaus bekannt, dass in Großbritannien wie in vielen anderen Staaten Postsendungen überwacht wurden? Die Kritik war besonders deshalb so scharf, weil wenige Jahre zuvor die „Penny Post“ – ein allgemein gegen geringes Entgelt zugänglicher Dienst der Royal Mail eingeführt worden war. Der Umfang des Brieftransports war daraufhin stark angestiegen und die Fernkorrespondenz gehörte inzwischen zum Alltag vieler Menschen und beschränkte sich nicht mehr auf Aristokraten, Fernhändler, Diplomaten und sonstige herausgehobene Persönlichkeiten. Die Überwachung der Briefpost, die man zuvor hinzunehmen bereit gewesen war, war damit zu einem Massenphänomen geworden, das prinzipiell jeden betraf.

Die Affäre hatte schließlich ein Happy End: Angesichts der anhaltenden Empörung wurde das für die Überwachung verantwortliche „Inner Office“ aufgelöst und die britische Regierung versprach, das Postgeheimnis zukünftig einzuhalten. Jedenfalls wurde die Überwachung drastisch reduziert und britische Briefschreiber konnten über Jahrzehnte in aller Regel sicher sein, dass ihre mit der Royal Post abgewickelte Korrespondenz nicht von Dritten mitgelesen oder kopiert wurde.

Bei der heutigen Überwachung durch den britischen Geheimdienst GCHQ und die amerikanische NSA sind wir von einem solchen Happy End noch weit entfernt. Die Mazzini-Affäre, wie bedeutsam eine kritische Öffentlichkeit ist, wenn es um die Bewahrung von Bürgerrechten geht. Dies gilt auch heute – für Großbritannien wie für den Rest der Welt!

Mit freundlichen Grüßen

Peter Schaar

P.S. Auf die Mazzini-Affäre hat mich – am Rande einer Konferenz zum Datenschutz und zur IT-Sicherheit – Reinhard Posch hingewiesen, der im österreichischen Bundeskanzleramt als CIO tätig ist. Herzlichen Dank!

Europäische Sollbruchstelle „nationale Sicherheit“?

Spätestens seit dem Vertrag von Amsterdam von 1997 ist es ein erklärtes Ziel der Europäischen Union, sich zu einem gemeinsamen „Raum der Freiheit, der Sicherheit und des Rechts“  weiterzuentwickeln. Seither ist in einer Vielzahl von EU-Rechtsakten die polizeiliche Zusammenarbeit zwischen den europäischen Mitgliedstaaten verbessert worden. Zudem wurden europäische Institutionen gebildet, die in Fragen der öffentlichen Sicherheit zusammenarbeiten, etwa das europäische Polizeiamt Europol  und die europäische Justizbehörde Eurojust.

Auch wenn der Datenschutz bei  diesen Initiativen nicht immer gewährleistet wurde, was zu berechtigter Kritik der Datenschützer und Bürgerrechtsorganisationen Anlass gab, zeigt sich erst jetzt, nach Bekanntwerden der globalen geheimdienstlichen Überwachung, wie wenig Europa beim Grundrechtsschutz in diesem Feld vorangekommen ist.  Angesichts der  ungeheuerlichen Überwachungsaktivitäten des  amerikanischen Computergeheimdienstes NSA wäre eigentlich eine entschiedene Reaktion Europas angebracht. Davon ist allerdings wenig zu sehen. Zwar haben sich führende  Repräsentantinnen und Repräsentanten der Europäischen Union, allen voran Justizkommissarin Viviane Reding, mit deutlichen Worten von den exzessiven US-Praktiken abgegrenzt. Zu vergleichbaren entschiedenen Handlungen hat sich die EU allerdings bisher nicht durchringen wollen.  Anders als vom europäischen Parlament gefordert, wurde nicht einmal der  massenweise Transfer von Finanzinformationen in die USA im Rahmen des SWIFT-Abkommens ausgesetzt.

Ein wichtiger Grund für die Zurückhaltung ist Tatsache, dass auch der britische Geheimdienst GCHQ massiv an den weltweiten Überwachungsaktionen beteiligt ist. Im Rahmen seiner – wie wir jetzt wissen, weit entwickelten – technischen Fähigkeiten  greift der britische Dienst die Internetkommunikation ab, insbesondere indem er die über Großbritannien laufenden Überseekabeln anzapft.  Ein Geheimdienst eines EU-Mitgliedstaats ist also maßgeblich für das völlig inakzeptabel ausspähen vertraulicher Kommunikationsverbindungen verantwortlich, die  die meisten EU-Bürger betreffen.

Hier zeigen sich die Konsequenzen davon, dass sich viele Mitgliedstaaten weigern, auch nur grundrechtliche europaweite Mindeststandards zu garantieren, wenn es um die Arbeit der geheimdienste geht. Die Gewährleistung der „nationalen Sicherheit“ fällt auch nach dem Inkrafttreten  des Vertrags von Lissabon in die ausschließliche Zuständigkeit der Mitgliedstaaten. Darauf beruft  sich etwa die britische Regierung, wenn sie den EU-Gremien jegliche Mitsprache hinsichtlich der Geheimdienstaktivitäten abspricht.

Hier ist jetzt vor aller Augen die Beschränktheit des politischen Anspruchs der Europäischen Union sichtbar geworden, in zentralen Fragen des Grundrechtsschutzes und der Wahrnehmung gemeinsamer europäischer Interessen gegenüber den Vereinigten Staaten mit einer Stimme aufzutreten.

Schlimmer noch: Die für die Arbeit der Nachrichtendienste einschlägigen nationalen Gesetze, etwa das deutsche G10-Gesetz, das die nachrichtendienstliche Telekommunikationsüberwachung regelt, enthalten besondere Schutzvorkehrungen für die Telekommunikation der eigenen Staatsbürger. Vergleichbare Schutzvorkehrungen hinsichtlich ebenfalls betroffener Staatsangehöriger anderer Mitgliedstaaten bestehen allerdings nicht. Insofern müssen Unionsbürger aus anderen Mitgliedstaaten aus Geheimdienstsicht nicht anders behandelt werden als Bürger beliebiger Drittstatten, etwa Nordkoreas oder der USA.

Wenn sich die Europäische Union gegen Überwachungsmaßnahmen  und Spionageaktivitäten der USA, Russlands, Chinas oderer anderer Drittstaaten ernsthaft schützen will, müssen die Mitgliedstaaten  zumindest bereit sein,  den Bürgern der übrigen  europäischen Staaten denselben Schutz einzuräumen wie den eigenen Staatsbürgern. Ohne ein solches, durch verbindliche Verträge abgesichertes System gegenseitiger Grundrechtsgewährleistung wird Europa weiterhin kaum in der Lage sein, sich wirksam  und glaubwürdig gegen Spionage und Überwachung aus Drittstaaten zur Wehr zu setzen.

Nur wenn Europa mit dem Schutz der Grundrechte in allen Politikfeldern endlich ernst macht, kann es wirklich zu einem Raum der gemeinsamen Freiheit, der Sicherheit und des Rechts werden.

Mit freundlichen Grüßen

Peter Schaar

No Spy – No Fun?

2012, kurz nach seiner Ernennung gab der Chef des Bundesnachrichtendienstes (BND) Gerhard Schindler einen Einblick in die Philosophie der Spionagewelt: „Wir müssen die guten operativen Fähigkeiten noch verbessern und ausbauen“, sagte er dem Magazin FOCUS. Dabei müssten „gut kalkulierte Risiken“ häufiger eingegangen werden: „Auch hier gilt: No risk, no fun.“ Schindler befreite damit – so die FAZ gut ein Jahr später – den Dienst von einer „angstvoll vorauseilenden Zurückhaltung“ – in welcher der BND nach diversen Affären erstarrt gewesen sei.

Sicherlich hatte Schindler seinerzeit nicht unbedingt an die Aufdeckung der weltweiten Spionageaktivitäten gedacht. Andererseits dürfte es ihn kaum überrascht haben, dass das „No-Spy-Abkommen“, das die Bundesregierung mit den USA anstrebte, nicht auf ungeteilte Gegenliebe in Washington stieß. Denn wer verzichtet schon freiwillig auf die „fun“, die mit dem weltweiten Spionieren angeblich verbunden ist?

Als Reaktion auf die Snowden-Veröffentlichungen hatte die Bundesregierung in einem Acht-Punkte-Plan versprochen, sich für ein „No Spy“-Abkommen mit Mindeststandards bei der nachrichtendienstlichen Arbeit einzusetzen.
Am 14. August 2013 wussten  das Bundeswirtschafts- und das Bundesinnenministerium zu berichten, man werde mit den Vereinigten Staaten von Amerika eine Vereinbarung schließen, die sicherstelle, dass es

  • keine Verletzung der jeweiligen nationalen Interessen,
  • keine gegenseitige Spionage,
  • keine wirtschaftsbezogene Ausspähung

gebe. Mit der  US-Seite – offensichtlich mit Vertretern der Nachrichtendienste – seien entsprechende Zusicherungen bereits mu?ndlich verabredet worden. Noch im Novermber letzten Jahres zeigte sich der damalige Kanzleramtschef Pofalla zuversichtlich, dass ein solches Abkommen zu Stande kommt.

Angesichts der aktuellen Berichte über das Scheitern der Bemühungen um ein No Spy-Abkommen wird zu Recht die Frage aufgeworfen, wie realistisch diese Bemühungen zur Selbstbegrenzung überhaupt waren. Nun zeigt sich, dass es einfach nicht ausreicht, gebetsmühlenartig zu wiederholen „Ausspähen unter Freunden – das geht gar nicht!“ und zugleich business as usual zu demonstrieren – schließlich wolle man die Beziehungen zu den Vereinigten Staaten nicht unnötig belasten.

Jeder, der sich etwas eingehender mit der amerikanischen Außenpolitik beschäftigt, wird bestätigen: Die USA reagieren auf moralische Vorhaltungen allein nicht, soweit eigene Interessen entgegenstehen. Deshalb ist es an der Zeit, dass Deutschland und Europa hier sehr viel deutlicher machen, dass gute Beziehungen keine Einbahnsstraße sind. Insofern bestehen durchaus Zusammenhänge zwischen den Spähaktivitäten der NSA einerseits und der den laufenden Verhandlungen über eine transatlantische Freihandelszone, dem Safe-Harbor-System zum Datenschutz und der Übermittlung von Daten über Finanztransaktionen (SWIFT) an US-Behörden anderseits. Europa darf nicht länger zögern, dies den Freunden auf der anderen Atlantikseite zu verdeutlichen.

Dabei darf nicht vergessen werden: So wünschenswert es ist, dass Politikerhandys nicht mehr gezielt überwacht werden, so unzureichend wären entsprechende Zusicherungen. Es geht um das massenweise Ausspähen unserer Alltagskommunikation – auch hier brauchen wir verbindliche Regeln, deren Einhaltung überprüft werden kann.

Bei alldem kann uns der Gemütszustand der Agenten reichlich egal sein, für wen sie auch tätig sind!

Ihr

Peter Schaar

Prism, XKeyscore, Muscular .. Sind die USA zur Selbstkorrektur fähig?

Angesichts der globalen Überwachung, die maßgeblich vom US-Computergeheimdienst NSA ausgeht, stellt sich die Frage, ob die westlichen Demokratien, allen  voran die USA zur Selbstkorrektur fähig sind.

Der Rechtsrahmen für die US-Dienste, mit deren Überwachungshybris wir uns heute auseinanderzusetzen haben,  war einmal selbst Antwort auf massiven Machtmissbrauch und überbordende Überwachung in den 1970er Jahren. Damals wurde in der US-Öffentlichkeit nach der Aufdeckung der breit angelegten Bespitzelung von Vietnamkriegsgegnern und anderen Oppositionellen durch FBI, CIA und NSA intensiv über die Praktiken von diskutiert. Ausgangspunkt der Debatte war auch damals ein Leak in der NSA. Die Medien berichteten darüber, dass die NSA über Jahre routinemäßig den Nachrichtenverkehr von und nach den Vereinigten Staaten überwachte.  Auch damals versuchten die Verantwortlichen die Begrenzung der Überwachung  mit allen Mitteln zu verhindern. Ihr Argument schon damals: Wenn die Öffentlichkeit Details der NSA-Aktivitäten erfahre, schade dies der nationalen Sicherheit und gefährde laufende Ermittlungsverfahren. Und wenn die Überwachung begrenzt werde, gefährde dies die vitalen Interessen der Vereinigten Staaten.

Damals hatten die Sicherheitsbehörden über mehr als 300.000 Personen Dossiers angelegt, die sie „subversiver“ Aktivitäten verdächtigten.  Der unter dem Vorsitz des demokratischen Senators Frank Church mit der Aufklärung dieser Überwachungspraktiken beauftragte parlamentarische Untersuchungsausschuss stellte 1976 fest:
„Die Regierung hat vielfach Bürger nur wegen ihrer politischen Überzeugungen heimlich überwacht, auch wenn auf Grund dieser Überzeugungen weder Gewalt noch illegale Handlungen zu befürchten waren. … Ermittlungsen gegen Gruppen, die als potenziell gefährlich eingestuft wurden und von Gruppen, die mit potenziell gefährlichen Organisationen zusammengearbeitet hatten, wurden über Jahrzehnte fortgesetzt, obwohl diese Gruppen nicht in rechtswidrige Aktivitäten verwickelt waren.“

 

Es liege in der Natur staatlicher Überwachungsprogramme, dass sie in die Privatsphäre, die Versammlungsfreiheit und das Recht auf freie Meinungsäußerung eingreifen. Zudem bestünde eine natürliche Tendenz, dass „nachrichtendienstliche Aktivitäten den ursprünglichen Rahmen überschreiten und immer weiter gehende Forderungen nach neuen Daten erzeugen.“ Schließlich gebe es „starken Druck, einmal gesammelte Informationen auch zu verwenden.“ Zugleich sei der wirkliche Nutzen dieser Aktivitäten höchst fragwürdig. Aus diesen Gründen plädierte die Kommission für klare rechtliche Standards und eine effektive Aufsicht über die Geheimdienste. Nur so ließe sich verhindern, dass diese das demokratische System unterminieren, zu dessen Schutz sie eingerichtet worden seien.

Als Konsequenz der Feststellungen des Church-Ausschusses untersagte Präsident Gerald Ford es 1976 der CIA, elektronische Mittel gegen inneramerikanische Aktivitäten einzusetzen. Zugleich verbot er der NSA, die Kommunikation innerhalb, aus oder in die USA zu überwachen. Weitere parlamentarische Untersuchungen enthüllten das ungeheure Ausmaß der NSA-Aktivitäten. In einem Dokument aus dem für die Geheimdienstüberwachung zuständigen Unterausschuss des US-Kongresses von 1977 ist etwa über die unter dem Codenamen „Shamrock“ laufende Überwachungsaktion der NSA nachzulesen,
die NSA verfüge über „außerordentliche Fähigkeiten zur Telekommunikationsüberwachung … keine andere US-Behörde unternimmt derartige Aktivitäten in so gewaltiger Größenordnung.“ Die wichtigsten amerikanischen Fernmeldegesellschaften, etwa die Western Union, lieferten auf  Basis eines mit der NSA geschlossenen Abkommens illegaler Weise täglich Kopien aller in den USA abgesandten oder empfangenen Telegramme an den Geheimdienst.

Deutlich wurde dabei auch, dass unter dem Banner der Auslandsüberwachung durchaus auch US-Bürger und Firmen ins Visier der NSA geraten können. Eine weitere, nach dem damaligen Vizepräsidenten genannte „Rockefeller“-Kommission bestätigte 1978 die durch Parlamentsausschüsse gesammelten Erkenntnisse. Auf diese Weise entstand ein breiter politischer Konsens, die Aktivitäten der NSA, die sich zu einer Art Staat im Staate entwickelt hatte, gesetzlich zu begrenzen und einer verbesserten Aufsicht zu unterwerfen.

Mit dieser Absicht verabschiedete der Kongress 1978 den Foreign Intelligence Surveillance Act (FISA), der die wesentlichen Forderungen des Church-Ausschusses aufnahm, sowohl hinsichtlich der Grenzen der Überwachung als auch hinsichtlich des Genehmigungsverfahrens. Fortan mussten derartige Maßnahmen gerichtlich, durch den FISA-Court (FISC) genehmigt werden – eine Anweisung des Präsidenten reichte nicht mehr aus. Da der FISC auf vertrauliche Informationen angewiesen ist, wurde vorgesehen, dass das Gericht unter strikter Geheimhaltung tagt und entscheidet.

Schon damals waren aber zwei wesentliche Schwachpunkte in dem System enthalten, die – wie wir heute wissen – fatale Konsequenzen haben:
Die Beschränkung von FISA auf inneramerikanische Aktivitäten der US-Sicherheitsbehörden. Die Überwachung ausländischer Kommunikationsbeziehungen und Bürger durch NSA und CIA unterlag keinen vergleichbaren Restriktionen.
Da die Verfahren vor dem FISC unter striktester Geheimhaltung stattfinden, können Argumente, die gegen die Überwachung sprechen, nicht von einer wie auch immer gearteten „Gegenseite“ vorgebracht und vom Gericht geprüft werden. Damit liegt die Definitionsmacht für die Notwendigkeit von Überwachungsmaßnahmen allein bei den Sicherheitsbehörden. Zudem fehlt jede öffentliche Kontrolle.

Die ursprünglich strikten FISA-Regeln wurden in der Folgezeit – bereits  vor 9/11 –  aufgeweicht. Der Patriot Act von 2001 und der FISA-Amendmends Act von 2008 markieren Wegmarken bei der Aushöhlung von Schutzmechanismen, die ursprünglich vor überbordender Überwachung schützen sollten.

Diese schlechten Erfahrungen sollten nicht davon abhalten, die Bändigung nachrichtendienstlicher Aktivitäten weiterhin und erneut anzugehen. Dies gilt für die USA – dies gilt aber auch für Europa, und es gilt für Deutschland.

Ihr

Peter Schaar