Nach Microsoft-Urteil: US-Regierung will Zugriff auf im Ausland liegende Daten durch Gesetzesänderungen erzwingen

Unlängst hat ein US-Gericht festgestellt, dass Microsoft in Irland lagernde Daten nicht an US-Ermittlungsbehörden übergeben muss. Doch für Jubel ist es noch zu früh, denn neue Gesetzentwürfe und Abkommen untergraben den Schutz der Privatsphäre.

Die US-Regierung setzt alles daran, an im Ausland liegende Daten zu gelangen. CC BY-NC 2.0, via flickr/Giuseppe Milo

Vor knapp zwei Wochen machte ein Urteil eines US-Bundesberufungsgerichtes die Runde, das als großer Erfolg für den Schutz der Privatsphäre bejubelt wurde. Demnach kann die US-Regierung private Unternehmen nicht dazu zwingen, Nutzerdaten herauszugeben, die auf Servern außerhalb der USA lagern.

Konkret hob das Gericht das Urteil der Vorinstanz aus dem Jahr 2014 auf, das von Microsoft verlangt hatte, E-Mails eines mutmaßlichen Drogenschmugglers an US-Ermittlungsbehörden auszuhändigen. Der IT-Riese aus Seattle weigerte sich jedoch, die in Irland gespeicherten E-Mails herauszugeben, da der von einem New Yorker Bezirksrichter unterschriebene Durchsuchungsbefehl im Ausland nicht gültig sei.

Stored Communications Act gilt nicht für im Ausland gespeicherte Daten

Nun gab die Richterin Susan Carney im jetzigen Urteil der Argumentation von Microsoft Recht, dass der aus dem Jahr 1986 stammende Stored Communications Act (SCA) nicht außerhalb der US-Landesgrenzen gelte. „Der Kongress hat nicht beabsichtigt, dass die vom SCA gedeckten richterlichen Anordnungen extraterritorial gelten sollen“, führte Carney in der Urteilsbegründung aus. „Der Fokus dieser Gesetzesklauseln liegt auf dem Schutz der Privatsphäre des Nutzers.“

Um an außerhalb der USA liegende Daten zu gelangen, müsse man sogenannte Rechtshilfeverträge (Mutual legal assistance treaty, MLAT) bemühen, selbst wenn sich der Prozess bisweilen umständlich gestalten könne. Üblicherweise richten Länder spezielle Abteilungen ein, etwa im Justizministerium, um einschlägige Anfragen zu prüfen und sie gegebenenfalls an heimische Gerichte weiterzugeben.

US-Gesetzesänderungen bereits auf dem Weg

Zwar begrüßte Microsofts Chefjustiziar Brad Smith die Entscheidung und betonte, damit sei sichergestellt, dass das Recht auf Privatsphäre durch die jeweiligen nationalen Gesetze geschützt ist. Zudem gewährleiste das Urteil, dass der Rechtsschutz, der in der physischen Welt gilt, auch in der digitalen Welt Anwendung findet.

Freilich ging es in dem Verfahren nur bedingt um diese Punkte. Wie sich in der Urteilsbegründung widerspiegelt, war letztlich ausschlaggebend, ob dieses US-amerikanische Gesetz auch im Ausland anwendbar ist. Das trifft beim SCA nicht zu. Zusätzlich untermauert ein aktuelles Urteil des Obersten Gerichtshofs in einem anderen Fall diese Ansicht: Demnach muss in Gesetzen ausdrücklich festgeschrieben sein, sollten sie auch für eine Anwendung im Ausland bestimmt sein. Das bedeutet jedoch im Umkehrschluss: Ändert sich die Gesetzeslage, könnte die US-Regierung in den USA angesiedelte Unternehmen jederzeit dazu zwingen, die verlangten Daten herauszurücken.

Suche nach besseren Lösungen

Genau das deutet auch Microsoft im erwähnten Blog-Posting an. Laut Brad Smith bereite das Urteil den Weg für bessere Lösungen, die die Bedürfnisse adressierten, die sich im Zusammenhang mit Privatsphäre und Ermittlungsbehörden stellen würden.

So begrüße man eine im Mai vorgestellte Gesetzesinitiative (International Communications Privacy Act, ICPA), die den 1986 verabschiedeten Electronic Communications Privacy Act (ECPA) aktualisieren soll. In der derzeitigen Entwurfsfassung steht ausdrücklich, dass unter bestimmten Umständen elektronisch gespeicherte Informationen, unabhängig davon, wo sie sich befinden, vom Diensteanbieter an US-Ermittlungsbehörden herausgegeben werden müssen.

Eine solche Lösung würde natürlich bestehende Rechtsunsicherheiten beseitigen, wenn auch vorrangig nur für US-Behörden. Nicht-US-Bürger wiederum müssten dann erst Recht davon ausgehen, dass US-Behörden wie das FBI oder die NSA Zugriff auf Inhalte erhalten würden, selbst wenn sie ein US-Anbieter in ausländischen Rechenzentren speichern sollte.

Eine von Access Now eingerichtete Übersichtsseite gibt Auskunft über aktuelle Rechtshilfeabkommen. (Grafik: )
Eine von Access Now eingerichtete Übersichtsseite gibt Auskunft über aktuelle Rechtshilfeabkommen.
(Grafik/Screenshot: mlat.info)

Bilaterale Abkommen sollen Zugriff in Echtzeit erlauben

Noch weiter gehen – auch von Microsoft ins Spiel gebrachte – bilaterale Abkommen, die Ermittlungsbehörden unterschiedlicher Länder gestatten würden, mit richterlichen Anordnungen direkt bei Plattformbetreibern anzuklopfen, die ihren Sitz im jeweils anderen Land haben. So berichtet das Wall Street Journal von konkreten Verhandlungen zwischen den USA und dem Vereinigten Königreich, die Behörden nicht nur den Zugriff auf gespeicherte Informationen wie E-Mails erlauben würden, sondern gegebenenfalls auch den Zugang zu den betroffenen Plattformen in Echtzeit.

Laut Brad Wiegmann, einem leitenden Beamten im US-Justizministerium, müssten dann britische Ermittlungsbehörden „nicht zur US-Regierung gehen, sondern direkt zu den Anbietern“, um die gewünschten Daten zu erhalten. Sollte das Abkommen in dieser Form zustandekommen und von den jeweiligen Gesetzgebern abgesegnet werden, könnte es als Blaupause für ähnliche Verträge mit anderen Ländern dienen. Aber nur dann, so Wiegmann, wenn die Partnerländer klare Regelungen zum Schutz der Grundrechte haben und gewährleisten, dass solche Durchsuchungsanordnungen nicht missbraucht werden.

Keine Initiativen in Deutschland geplant

Doch davon will die deutsche Bundesregierung nichts wissen, zumindest derzeit. Sowohl das Justiz- als auch das Innenministerium betonten auf Anfrage, dass ihnen in dieser Hinsicht „gegenwärtig nichts bekannt“ sei. Weder wäre die US-Regierung mit einschlägigen Plänen an die Regierung herangetreten noch gebe es Pläne, solche Abkommen voranzutreiben. Es handle sich um „hypothetische Fragen“, ob solche Abkommen überhaupt sinnvoll seien und ob sich die Problematik dadurch am besten klären ließe. „Im Übrigen ist dem Bundesjustizministerium nicht bekannt, welches Ziel und welchen Inhalt die genannten Abkommen haben sollen“, erklärte uns ein Ministeriumssprecher.

Solange keine Details der Verträge öffentlich bekannt sind, lässt sich natürlich nur spekulieren. Allerdings zeigen die bereits laufenden Verhandlungen mit Großbritannien, dass die Debatte nicht im luftleeren Raum stattfindet. Bereits im Vorjahr rief die Electronic Frontier Foundation (EFF) – die im Übrigen Microsoft im vorliegenden Verfahren unterstützt – zu einer Reform des MLAT-Systems auf. Allein dadurch, dass die beliebtesten Internet-Plattformen in den USA sitzen, Facebook etwa oder Twitter, sind die Vereinigten Staaten mit dem Problem deutlich umfassender konfrontiert als andere Staaten.

Rechtshilfeersuchen in Richtung USA steigen beständig an

Der EFF-Rechtsexperte Lee Tien. (Foto:  Electronic Frontier Foundation)
Der EFF-Rechtsexperte Lee Tien. (Foto: Electronic Frontier Foundation)

So dauert es laut EFF zwischen sechs und dreizehn Monaten, bis ausländische Ermittlungsbehörden die gewünschten Daten erhalten. Diese konkrete Zeitangabe konnte uns das BMJV nicht bestätigen, da die Dauer der Beantwortung von Rechtshilfeersuchen zur Herausgabe von elektronisch gespeicherten Daten variiere. Allerdings sei die Zahl der einschlägigen Rechtshilfeersuchen aus anderen Staaten an die USA in den letzten Jahren ständig gestiegen. „Die Ersuchen werden nach uns vorliegenden Informationen nach der Bedeutung der Straftat und der Eilbedürftigkeit priorisiert. Zudem hat das US-Justizministerium in letzter Zeit organisatorische und personelle Maßnahmen getroffen, die die Bearbeitungsdauer reduzieren sollen“, teilte uns ein BMJV-Sprecher mit.

Augenscheinlich dürften diese Reformen bloß an der Oberfläche kratzen, denn anders lässt sich der Umschwung hin zu speziellen Abkommen nicht erklären. Es fällt natürlich schwer, zu akzeptieren, wenn Ermittlungen unnötig lang aufgehalten werden. Freilich sollte dieser Missstand aber nicht dazu führen, dass ein jahrzehnte­lang erprobter und auf Rechtsstaatlichkeit fußender Prozess über Bord geworfen und durch und ein Verfahren ersetzt wird, das den Einfluss unabhängiger Richter zurückdrängen würde.

Direkte Kanäle zu Plattformbetreibern hebeln Kontrollinstanzen aus

„Es gibt einen sehr großen Unterschied zwischen MLATs, die die US-Regierung üblicherweise abgeschlossen hat, und dem vorgeschlagenen Vertrag zwischen den USA und Großbritannien“, sagte uns der leitende EFF-Anwalt Lee Tien. Im Rahmen eines normalen MLAT, so Tien, handle die US-Regierung als Mittelsmann. Denn zunächst müsste man die Rechtshilfeanträge ausländischer Regierungen prüfen, bevor sie an ein US-Gericht übergeben werden, erklärte Tien. Ein direkter Kanal zu den Plattformbetreibern würde diese Kontrollinstanzen jedoch übergehen.

Auch der oben erwähnte ICPA sowie der in die selbe Richtung weisende LEADS-Act (Law Enforcement Access to Data Stored Abroad) würde die Privatsphäre von Nutzern nicht schützen. Beide Gesetze zielen darauf ab, der US-Regierung Zugriff auf Daten zu erlauben, die im Ausland gespeichert sind. „Es ist jetzt schon schwierig für US-Bürger, benachrichtigt zu werden oder sinnvolle Rechtsmittel zur Verfügung zu haben, wenn sie von ihrer Regierung überwacht werden“, so Tien. Für Nicht-US-Bürger wären die Aussichten aber noch beängstigender, sollten diese Gesetze verabschiedet werden. „Wenn Du ein deutscher Bürger bist und die US-Regierung gelangt durch diesen Prozess an Deine Daten: Wie würdest Du diese gerichtliche Anordnung anfechten können?“, fragte Tien.

Anstatt in diese Richtung zu gehen sollten die bestehenden MLATs verbessert werden, fordert daher die EFF. Derzeit sei der Prozess tatsächlich langsam, schwerfällig und ineffizient. Das könnte man jedoch ändern, erklärte Tien, indem man mehr Ressourcen hineininvestiert und ihn stromlinienförmiger gestaltet, etwa durch eine Standardisierung der Kategorien, die bei einem einschlägigen Antrag in Frage kommen.

Die richtigen Fragen werden nicht gestellt

Für Joe McNamee, dem Executive Director von „European Digital Rights“ (EDRi), zeige der Schwenk hin zu bilateralen Abkommen, dass man am eigentlichen Problem vorbeidiskutiere. „Uns wird damit eine Antwort präsentiert, ohne dass die offensichtliche Frage gestellt wird: Warum funktionieren MLATs nicht?“, fragte McNamee händeringend. „Warum geht man davon aus, dass sie nicht in einer Art reformiert werden können, die sie schnell und effektiv machen würde?“ Zudem sei uns vor einem Jahrzehnt erklärt worden, wir würden eine Vorratsdatenspeicherung benötigen, weil MLATs so langsam wären, ärgerte sich McNamee.

Und selbst wenn wir den „großen logischen Gedankensprung“ machen und annehmen würden, dass solche bilaterale Abkommen gewissenhaft und glaubwürdig ausgestaltet wären, sie also Grundrechte respektieren würden, stelle sich laut McNamee eine tiefere Frage: „Wie groß wäre die Chance, dass eine solche Autorisierung jemals wieder rückgängig gemacht wird?“ Indirekt habe McNamee von angedachten Verträgen mit der Türkei und mit Indien gehört, aber noch keine überzeugenden Argumente, das erprobte, wenn auch verbesserungswürdige System aufzugeben.

EU-Rat und Kommission wollen Zusammenarbeit mit Diensteanbietern „verbessern“

Denn es ist beileibe nicht die US-Regierung allein, die eine Änderung in diese Richtung anstrebt. So stellte die EU-Justizkommissarin Věra Jourová in einer Rede im April entsprechende Gedankenspiele an und erklärte: „Wir müssen Wege finden, die es Ermittlungsbehörden erlauben, an außerhalb der EU liegende Daten zu gelangen, wenn der MLAT-Kanal nicht angemessen oder verfügbar ist.“ Eine Ratssitzung der EU-Justizminister im Juni griff das Thema auf und verlangte etwas verschleiert nach einer „Verbesserung der Zusammenarbeit mit den Diensteanbietern“. So müsse man – neben einer Beschleunigung der Rechtshilfeverfahren – mit solchen Anbietern einen gemeinsamen Rahmen ausarbeiten, wenn „spezifische Datenkategorien“ angefordert werden. Ergebnisse der Beratungen seien bis Juni 2017 zu erwarten.

Verträge wie der zwischen den Vereinigten Staaten und Großbritannien wären jedoch nicht der richtige Weg, wie uns Drew Mitnick von der Bürgerrechtsorganisation Access Now mitteilte. „Der Punkt bleibt bestehen, dass nach wie ungeklärt ist, wie mit dem Zugang zu digitaler Information über Landesgrenzen hinweg umgegangen werden soll“, sagte Mitnick. „Das kommende Jahr wird kritisch dabei sein, wenn man gewährleisten will, dass Regeln zum Schutz der Privatsphäre die Daten sichern, während das Internet offen, kompatibel und global bleibt“.

12 Ergänzungen

  1. „Das kommende Jahr wird kritisch dabei sein, wenn man gewährleisten will, dass Regeln zum Schutz der Privatsphäre die Daten sichern, während das Internet offen, kompatibel und global bleibt“.

    Regeln klingt so nach Spielregeln. Doch dann wollen manche Länder nicht mitspielen oder bevorzugen andere Spiele – oder bringen einen Ernst ins Spiel, der tödlich ist. Ja das kommende Jahr… klingt bedrohlich für all diejenigen, die Zukunftsängste haben. Die anderen spielen weiter ihre Spielchen. Und am Ende des Jahres war nichts anders, als all die Jahre zuvor und danach auch. Vielleicht bis auf ein paar überzeugende Bilder von Tagesgeschehen mehr…

  2. „Die US-Regierung setzt alles daran, an im Ausland liegende Daten zu gelangen.“

    LACH, ist das eine Neuheit?

    Während die Öffentlichkeit mit PR-Geschichten / Paragraphen-Verwirrspiele unterhalten und beschäftigt wird, kommen die US-Behörden, wenn nicht heute dann eben morgen, doch auf Zuruf an “ im Ausland“ oder sonstwo gespeicherte Daten.
    Ich würde gerne Unrecht behalten, gehe aber bis zum glasklaren Beweis des Gegenteils eher nicht davon aus.
    Die Datengenerierung, Verschlüsselung, Datenübertragung über Microsoftsysteme ist sowieso intransparent, kein Open-Source, da ist die Diskussion über Vertraulichkeit eh nahe an
    Voodoo.

    1. > LACH, ist das eine Neuheit?

      Nein. Wir sehen es aber als unsere Aufgabe an, möglichst genau zu dokumentieren, wie das geschieht bzw. geschehen soll.

  3. Ja, es funktioniert tadellos der Masterplan der USA, um die gesamte Welt abhören zu können. Man arbeitet zielstrebig genau daraufzu. Microsoft hat sich zu einer Art Superstasi entwickelt, die alles an Daten, was auf einem Windows 10 Rechner irgendwie interessant ist, einfach rausbläst. Bunte Buttons suggierieren dem Benutzer er sei sicher und die Mainstreampresse nervte monatelang, jetzt noch fix upgraden, das beste Windows aller Zeiten blablabla. Man muss schon sehr genau suchen, um wahre Artikel, die man selbst verifizieren kann, zu finden.

    Z.B. unter

    https://www.privacytools.io/

    Einfach mal den Bereich „Don’t use Windows 10 – It’s a privacy nightmare“ lesen. Und in dieser Weltstasisuppe schwimmen dann oh Wunder auch noch die ganzen Mainstream-Socialnetworks rum.

    Ich finde das nur noch eines, abartig.

  4. Nach dem 11. September hat die USA FISA702(Foreign Intelligence Surveillance Act) erlassen damit werden die US Geheimdienste berechtigt auf alle Daten von US Unternehmen die dort gespeichert oder bewegt werden wie Apple, Google, Facebook, Microsoft, Cloudflare(Sicherheitsfirma), Akamai(Inernetbeschleunigung durch man in the middle), CSC(Netzwerkfirma für BKA, Arbeitsagentur usw.) im Ausland zugreifen zu können selbst wenn die auf europäischen Clouds liegen wie Telekom. Zuerst gesagt hat das vor Snowden, Caspar Bowden ehemaliger Microsoftmanager der kein Handy, Internet mehr benutzte. Seitdem die Ausweitung der Zusammenarbeit der Geheimdienste in Deutschland beschlossen wurde wird es sicherlich egal sein ob deutsche Firma oder US Firma. Deutschland hält sich seit der illegalen Änderung des Artikel 10 1968 weil Artikel 79 Absatz 3 es verbietet nicht mehr an die Grundrechte. Die Unverletzlichkeit der Wohnung Artikel 13 wurde 1998 auf Veranlassung von Scheuble geändert. jedesmal wurde seit 1949 Artikel 79 Absatz 3 nicht eingehalten. Hier alle GG änderungen seit 1949. http://www.lexetius.com/GG/Quellen#B19901016 Der deutsche Staat heute entspricht etwa 1934.

  5. Microsoft mit WIndows 10 sichert sich schon per Linzenz den Zugriff und die bedingte Weitergabe an Dritte aller persönlichen Benutzerdaten zu. Das ist auch das Hauptproblen an WIndows 10 denn danach können se sagen der Benutzer hat zugestimmt ohne das der Benutzer aber daruf hingewiesen wird! Die Verbraucherzentrale NRW hat Microsoft deshalb verklagt. Microsoft versichert aber das se nicht drauf zugreifen wollen wie Inhalt von Emails, Bilder, Dokumente usw. , Microsoft sagt aber ganz klar das wenn so genannte Behörden darauf zugreifen müssen oder wollen sie Zugriff gewähren. Ich persönlich war mal Microsoft Fan und MCSE seit NT. Heute würde ich aus Sicherheitsgründen niemanden mehr die Benutzung weder von Microsoft noch Apple empfehlen. Das neue Linux 18 Mint ist so gut inklusive 100 Prozent Microsoft kompatiblen Office Paket, super Bildbearbeitung, einfach schneller, stabiler und funkt nicht nach Hause wie Microsoft. Weiterhin laufen unter Linux mint 18 Microsoft Spiele über Valve oder Playonlinux. Nicht ganz so schnell daher ein Spielesystem max. Windows 7 und alles andere mit Linux Mint 18. Ansonsten ist Linux mint 18 definitiv das bessere System.

      1. Da Windows so superlästig ist, Debian mit Luks und 4096Bit Key sowie Whonix sind der Zeit angemessen. Stasisoftware braucht eine freie Gesellschaft nicht :-)

      2. Linux Mint 18 ist nach meiner persönlichen Meinung das beste und schönste Linux System für Umsteiger die von Windows, Apple nach Linux wechseln wollen und nicht so die IT-Erfahrung haben weil es super funktioniert und fast so einfach wie Windows ist. Linux Mint 18 baut auf Ubuntu 16 auf was natürlich auch sehr gut ist aber Linux Mint 18 gefällt mir besser. Die Treiber für Drucker, Scanner, TV ist etwas schwerer, sind unter Linux Mint 18 sehr gut zu installieren ohne das man IT-Experte sein muss. Email, professionelle Bildbearbeitung und 100 Prozent kompatibeles Officepaket, PDF Leser, Drucker und über die Anwendungsverwaltung lassen sich PDF Bearbeitungsprogramme runter laden ansonsten wird die Hardware erkannt und mit mint 18 kann man sein Desktop grenzenlos einstellen kurzum es funktioniert, alles kostenlos und in 10 min installiert.

        1. Wenn jemand einen guten Linux Kurs benötigt würde ich diesen tollen http://www.linux-praxis.de/ empfehlen der erklärt plausibel die Grundlagen und alles was unter Linux für das Verstehen wichtig und allgemein wie ein Betriebssystem aufgebaut ist wenn man andere Linux Distributionen als Mint 18, Ubuntu 16 verwenden will muss man sowas wissen wie die Befehle unter Linux funktionieren und der Texteditor VI weil die komplette Konfiguration .unter Linux, Unix, html, php, perl usw. mittels Textdateien funktioniert.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.