Bericht der EU-US Ad-Hoc-Arbeitsgruppe zum Überwachungsskandal

world_trade-612x336Am Mittwoch wurde der Bericht der US-EU Arbeitsgruppe zum Überwachungsskandal veröffentlicht. Die Arbeitsgruppe traf sich mehrmals im Juli, September und November. Auf Europäischer Seite setzte sich die Gruppe aus Mitgliedern der Kommission, des Rates, der Artikel-29-Datenschutzgruppe, Anti-Terror Experten und Experten aus den Mitgliedsstaaten zusammen. Auf US Amerikanischer Seite waren es ranghohe Mitarbeiter des Department of Justice, Director of National Intelligence, State Department und des Department of Homeland Security.

Selbsternanntes Ziel der Arbeitsgruppe war es mehr über die rechtlichen Rahmenbedingungen der US Amerikanischen Überwachung und Auswirkungen auf EU Bürger zu erfahren. Obwohl keines dieser Ziele erreicht wurde, sind die Untersuchungen der Arbeitsgruppe und der daraus resultierende Bericht doch zu begrüßen.

1. Gesetze und Erlasse, die die Überwachung ermöglichen

  • Foreign Intelligence Surveillance Act (FISA) Section 702 von 1978, abgeändert 2008
  • USA PATRIOT Act Section 215 von 2001, abgeändert 2008
  • Executive Order 12333 von 1981, abgeändert 2008

Section 702 des Foreign Intelligence Surveillance Acts bildet die Grundlage für das massenhafte Abhören ausländischer Telekommunikation mit dem Ziel der Auslandsaufklärung. Das Gesetz ermöglicht die direkte Zusammenarbeit mit Telekommunikationsanbietern. Die gewonnen Daten werden durch die NSA in der PRISM Datenbank abgespeichert. Auch das Upstream Collection Programm operiert unter Section 702. Damit werden Glasfaserkabel und Internetknoten in den USA abgehört. Das Gesetz verlangt keine Begründung von der NSA gegenüber dem Geheimdienstgericht (FISA Court), warum eine Überwachung im einzelnen Fall notwendig sei.

Section 215 des USA PATRIOT Act ermöglicht es dem FBI ein Unternehmen durch ein Gericht anzuordnen Informationen, die in einer laufenden Ermittlung von Relevanz sein könnten, dem FBI zu übergeben. Section 215 bildet die Grundlage für das umfassende Abspeichern von Telefon-Verbindungsdaten. Unternehmen, die eine entsprechende Anweisung unter Section 215 erhalten haben, dürfen dies nicht veröffentlichen. Mittels Section 215 hat das Geheimdienstgericht einige US amerikanische Telekommunikationsanbieter dazu verpflichtet sämtliche Verbindungsdaten an das FBI weiterzuleiten. Diese werden in entsprechenden Datenbanken von der NSA abgespeichert und angeblich ausschließlich zur Terrorismus-Bekämpfung benutzt. Durch diese Programme werden US Bürger und Ausländer in gleichem Maße erfasst – allerdings gibt es gewisse Einschränkungen für US Bürger.

Executive Order 12333 bietet die größten Freiheiten für geheimdienstliche Arbeit und bildet den grundsätzlichen Rahmen für die gesamte In- und Auslandsaufklärung der USA. Im Gegensatz zu den vorherigen Gesetzen wird durch eine „Verfügung des Präsidenten“ die (ansonsten notwendige) Zustimmung des Kongresses umgangen. Unter anderem ermöglicht es diese Verfügung US amerikanischen Behörden Informationen, die unter Section 702 erfasst wurden, an ausländische Geheimdienste weiterzugeben. Jegliche Ausführungen, die das Vorhalten und Analysieren von personenbezogenen Daten einschränken, sind ausschließlich darauf ausgerichtet US Bürger zu schützen. In Bezug auf ausländische Kommunikation gibt es laut US Offiziellen keinerlei Einschränkungen. Jegliche unter Executive Order 12333 durchgeführten Programme unterliegen weiterhin keinerlei richterlicher Kontrolle. Lediglich auf exekutiver Ebene ist der Inspector-General der jeweiligen Behörde für die Aufsicht und Kontrolle verantwortlich.

Laut Bericht gibt es außerdem noch andere rechtliche Rahmenbedingungen, die als Grundlage für Auslandsaufklärung und Überwachung genutzt werden. Hierüber erhielt die Arbeitsgruppe allerdings keine weiteren Auskünfte.

2. Offensichtliche Probleme

Im Bericht werden einige – teils offensichtliche – Probleme angesprochen. In Bezug auf Section 702 FISA wäre hier zum einen die Geheimhaltung der jährlich ausgestellten Urteile bzw. Zertifikate des Geheimdienstgerichtes zu nennen. Dadurch weiß man nicht, was alles unter „Auslandsaufklärung“ fällt. Weiterhin fällt es nicht in den Aufgabenbereich des Geheimdienstgerichtes die Verhältnismäßigkeit der angeforderten Überwachungsmaßnahmen zu beurteilen – dazu wäre es auch nicht in der Lage, da unter Section 702 keinerlei konkrete Angaben zu Personen, Orten oder Unternehmen gemacht werden müssen. lediglich die Art der Auslandsaufklärung muss genannt werden. Mit diesen Zertifikaten können Telekommunikationsunternehmen dann angewiesen werden entsprechende Daten an die NSA weiterzugeben – ohne weiteren richterlichen Beschluss im konkreten Fall. Einmal in der PRISM Datenbank können die Daten mit entsprechenden Selektoren (Mail, Telefon, etc.) durchsucht werden. Außerdem gibt es Volltextsuche für Verbindungsdaten und Inhalte. Wie viele und welche Selektoren es gibt unterliegt der Geheimhaltung. Zur rechtmäßigen Durchsuchung bedarf es außerdem keines Anfangsverdachts, sondern lediglich, dass das Ergebnis sehr wahrscheinlich relevant für die Auslandsaufklärung sein wird. Der gesamte Prozess unterliegt keinerlei richterlicher Kontrolle. Auch hier gelten jegliche Einschränkungen ausschließlich dem Schutz von US Bürgern – nicht Ausländern. Die Daten werden mindestens 5 Jahre in der PRISM Datenbank gespeichert – 2 Jahre für das Upstream Collection Programm. Jegliche „responsive“ Datensätze (all jene, die Teil eines Suchergebnisses waren) werden unbegrenzt abgespeichert. Auch dies gilt wiederum nur für US Bürger – wie lange ausländische Kommunikation gespeichert wird (selbst, wenn sie „unresponsiv“ war) ist unklar. Letztlich können jegliche „responsive“ Daten mit anderen Behörden und Staaten geteilt werden – gerade auch, wenn es sich dabei nicht um Auslandsaufklärung handelt. Auch „zufällig erfasste“ Daten – all jene, die gar keinen Bezug zu Auslandsaufklärung haben – können weitergereicht werden. Betroffene werden weder darüber informiert, noch können sie dagegen klagen.

Auf den ersten Blick wirken die Überwachungsmaßnahmen, die durch das FBI unter Section 215 des USA PATRIOT Acts durchgeführt werden wesentlich verhältnismäßiger. So bedarf es eines hinreichenden Verdachtsmomentes, dass die gesuchten Daten „Relevanz“ zur Terrorismus-Abwehr oder der Sicherheit des Landes besitzen. Die Verbindungsdaten der Telefongespräche werden durch die NSA abgespeichert und analysiert. Größtes Problem ist hier die Interpretation des Wortes „relevant“: Dies ist wesentlich weniger, als „hinreichender Verdacht“. So muss nicht jeder einzelne Datensatz „relevant“ sein, sondern die Datenbank als ganzes. Weiterhin muss dies auch nicht jetzt der Fall sein, da ein momentan irrelevanter Datensatz sich in Zukunft als relevant herausstellen kann. Diese Argumentationskette bildet die perfekte Basis für umfassendes Abspeichern jeglicher Verbindungsdaten. Da der oberste US Amerikanische Gerichtshof schon vor etlichen Jahren bestätigt hat, dass man in Bezug auf Verbindungsdaten kein Recht auf Privatsphäre besitzt, ist der 4. Verfassungszusatz (Fourth Amendment) nicht anwendbar. So können die gewonnen Daten mit rund 300 „unique identifiern“ und über dis zu drei Ecken (der Freund eines Freundes eines Freundes) durchsucht werden. Daten werden mindestens 5 Jahre gespeichert. Wann „responsive“ Daten gelöscht werden unterligt letztlich der Willkür der jeweiligen Behörde. Auch hier gilt wieder, dass „responsive“ Daten mit anderen Behörden geteilt werden dürfen.

Weiterhin fällt die Aufsicht und Kontrolle unter den jeweiligen Gesetzen bzw. Verfügung sehr unterschiedlich aus. Wie erwähnt gibt es z.B. keine richterliche Kontrolle bei allen Programmen die auf Grundlage der Executive order 12333 operieren. Weiterhin können durch FISA Section 702 betroffene Unternehmen oder Personen nicht vor einem Gericht gegen das Vorgehen und die Überwachung klagen, da sie gar nicht wissen können, dass sie überwacht werden. Die Aufsicht durch den Kongress beschränkt sich auf das Intelligence Committee und Judiciary Committee. Beide werden regelmäßig lediglich über wichtige Entscheidungen und Interpretationen des Geheimdienstgerichtes unterrichtet.

3. Viele Unklarheiten, wenig Kontrolle und keine Auskünfte

Wenig überraschend steht so am Ende des Berichtes vieles, was man schon vorher vermutet hat. Und trotzdem ist es wichtig und gut dies von offizieller, diplomatischer Stelle zu hören:

  • Die US haben die meisten der in der Presse erwähnten Programme bestätigt.
  • Unter beiden Gesetzen und der Verfügung beziehen sich jegliche Einschränkungen ausschließlich auf den Schutz von US Bürgern.
  • Die USA haben eine sehr eigene Auffassung vom Begriff der „Datenerfassung“. So ist das bloße Abhören und Abspeichern von Daten noch keine Erfassung – erst wenn die Daten durch einen Mitarbeiter weiterverarbeitet bzw. durchsucht werden.
  • Vor allem in Bezug auf die Executive Order 12333 gibt es weit mehr Fragen, als Antworten. Dies ist besonders kritisch, da es vermutlich die Verfügung ist, die den US amerikanischen Geheimdiensten den größten Handlungsspielraum gewährt.
  • Weder auf administrativer, noch auf rechtlicher Ebene gibt es für Betroffene – ganz gleich, ob US amerikanische oder europäische – die Möglichkeit Einblick in die erfassten Daten zu erlangen, oder gegen die Überwachung vorzugehen.

4. Die Spitze vom Eisberg

Der Bericht verdeutlicht vor allem, dass es noch ein langer Weg zur internationalen Verständigung bezüglich Telekommunikationsüberwachung ist. Dies fängt schon bei Begrifflichkeiten an: Was bedeutet „Datenverarbeitung“ und „Datenerfassung“? Werden Daten schon „erfasst“, wenn sie automatisiert abgespeichert werden? Was bedeutet in diesem Zusammenhang „Relevanz“ und wie weit dürfen Informationen entfernt sein, um sie noch als „relevant“ einstufen zu können? Welche Rechte haben „Ausländer“ in Bezug auf Telekommunikationsüberwachung? Wie kann man in einem globalen Netzwerk überhaupt sinnvoll zwischen ausländischer und inländischer Kommunikation unterscheiden? Vor diesem Hintergrund ist es besonders bedenklich, dass die EU-Mitgliedsstaaten in einem „Second Track“ alleine mit den USA sprechen. Hier sollte man als EU auf ein einheitliches Verständnis beharren. Und genau hier kommt uns wiederum teuer zu stehen, dass wir genau das nicht haben.

Abschließend drängt sich beim Lesen des Berichtes der Gedanke auf, dass bei stetig wachsenden technischen Möglichkeiten, zur Überwachung zwischenmenschlicher Kommunikation, die Regierung eine immer größere Pflicht besitzt über gesetzliche Grundlagen und Prozesse aufzuklären. Es kann nicht sein, dass Regierungen in Bezug auf geheimdienstliche Prozesse und Vorgehen (nicht Daten) immer wieder mit „geheim weil geheim“ argumentieren können.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

5 Ergänzungen

  1. Weiterhin muss dies auch nicht jetzt der Fall sein, da ein momentan irrelevanter Datensatz sich in Zukunft als relevant herausstellen kann.

    Das ist der Blankoscheck für jegliche beliebige Handlung.
    Man kann nie wissen, ob in Zukunft nicht u. U. irgendetwas in irgendeinem Zusammenhang wichtig, also relevant, ist.
    Entsprechend wäre alles in der Gegenwart zulässig, v. a. natürlich eine Sammlung.
    Vermüllungssyndrom par excellence. Nichts mehr wegwerfen. Nie.

  2. Wenn es irgendwann „OneWorld“ geben sollte, dann gibt es keine konventionellen Kiege mehr, nur noch den „ewigen Krieg gegen den Terror“ ™. Ohne Chance auf Exil, gibt es dann auch nicht mehr.

    Terrorist ist, wer den Herrschenden nicht in den Kram passt. Und ITler wie wir werden wie heute schon die Koordinaten für die Drohnen liefern.

    Wollen wir das? Wenn nein müssen wir dieses in Enstehung befindliche Systgem heute politisch bekämpfen. Bevor die Hellfire Raketen auch bei uns einschlagen.

    Skynet hat eine ordentliche Fehlgeburt verdient. :)

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.