Es entsteht eine immer größer werdende Lücke zwischen dem Recht auf Privatsphäre und aktuellen Überwachungsschemata. Als konkretes Beispiel kann die US-Überwachungsoperation PRISM und ihre Auswirkungen auf das Recht europäischer Bürger auf ihre Privatsphäre dienen, die Rikke Frank Jørgensen in ihrem Gastbeitrag reflektiert. Er zeigt nach wie vor, wie groß das Problem zwischen Realität und Regulierung ist.

Dieser Beitrag von Rikke Frank Jørgensen erschien zuerst im Februar 2014 im englischen Original auf policyreview.info, Justin Hanney hat die Übersetzung für netzpolitik.org beigesteuert.

Wir haben gesehen, wie neue Technologien die Verletzung von Menschenrechten mit der erschreckenden Effizienz des 21. Jahrhunderts erleichtern. Elektronische Überwachung und Datensammlung brechen mit internationalen Gesetzen und bedrohen sowohl individuelle Rechte als auch das freie Wirken einer lebendigen Zivilgesellschaft. (Pillay, 10. Dezember 2013)

Der Begriff der Internetfreiheit wird immer wieder von politischen Entscheidungsträgern benutzt, vor allem in Verbindung mit der Betonung des Potentials, das Internet für Menschenrechte und Demokratie einzusetzen. In der Deauville-Erklärung, dem Abschlussdokument des G8-Gipfels 2011, bezog man sich auf das Internet mit der Betonung, dass die führenden G8-Politiker „den Einsatz des Internets als Instrument zur Stärkung der Menschenrechte und der demokratischen Teilhabe weltweit fördern [möchten]“.

Im Jahr 2012 folgte die erste Resolution des UN-Menschenrechtsrats über die Förderung, den Schutz und die Inanspruchnahme von Menschenrechten im Internet. Darin wird bekräftigt, dass „die selben Rechte, die für Menschen offline gelten, auch online geschützt werden müssen“.

Im Jahr 2013 – also zu der Zeit als die Leaks von Edward Snowden veröffentlicht wurden – veröffentlichten die USA gemeinsam mit anderen OECD-Ländern ein neues OECD Privacy Framework, in dem der Bedarf an besserem Schutz der Privatsphäre im digitalen Raum betont wurde.

Unter Berücksichtigung dieser jüngsten politischen Verpflichtungen geht es in dieser Abhandlung um die sich vergrößernde Kluft zwischen dem Recht auf Privatsphäre und den gegenwärtigen Überwachungspraktiken. Als konkretes Beispiel dafür wird im Folgenden das US-amerikanische Überwachungsprogramm PRISM und sein Einfluss auf das Recht europäischer Bürger auf Privatsphäre diskutiert. Zunächst gibt es eine kurze Einführung zum Thema PRISM. Anschließend wird das Recht auf Privatsphäre umrissen, so wie es im Internationalen Pakt über bürgerliche und politische Rechte (kurz IPbpR oder UN-Zivilpakt) der Europäischen Menschenrechtskonvention und der EU-Direktive zum Datenschutz steht. Daraufhin wird diskutiert, inwiefern das internationale Menschenrecht eingesetzt werden kann, um der gegenwärtigen Massenüberwachung etwas entgegenzusetzen.

PRISM kurzgefasst

Am 5. Juni 2013 veröffentlichte der Whistleblower und frühere NSA-Mitarbeiter Edward Snowden erste Enthüllungen über die digitalen Überwachungsprogramme, die von Regierungsablegern der USA betrieben wurden. Die Enthüllungen bezogen sich insbesondere auf einen Codenamen: PRISM. PRISM (2007) ist eine „special source operation“ der NSA, mit der das Ziel verfolgt wird, eine vollständige Sammlung und Kategorisierung einer breiten Palette von Internetkommunikationsdaten und Metadaten anzulegen. PRISM beinhaltet eine Reihe von Überwachungsprogrammen mit den Namen Upstream, XKeyscore und BULLRUN.

Beim Upstream werden Daten aus öffentlichen wie privaten Netzwerken kopiert und an die NSA über internationale Glasfaserkabel oder zentrale Internetknotenpunkte weitergeleitet. Das System von XKeyscore ermöglicht die Durchsuchung sämtlicher Daten in einer Speicherung der vorangehenden drei Tage, die über 150 Internetseiten und 700 Datenbank-Server weltweit laufen. Das System verbindet die Daten, die auf Gebieten von US-Botschaften gewonnen werden, mit ausländischen Satellitenübertragungen und Kurzwellen-Übertragungen (aus dem Abhörverfahren, das früher als ECHELON bekannt war) sowie den Quelldaten aus dem Upstream-Programm.

BULLRUN ist der Codename für das „mehrgleisige Bemühen, die verbreiteten Verschlüsselungen zu knacken“. Dem US Foreign Intelligence Act (FISA, Sektion 702) zufolge muss die NSA auf Dienstleister zurückgreifen, „um die Regierung umgehend mit allen Informationen, Möglichkeiten oder der Unterstützung zu versorgen, die notwendig ist, um die Daten, die aus der auslandsgeheimdienstlichen Arbeit gewonnen wurden, zu nutzen“.

Das schließt grundsätzlich die Offenlegung von Zugängen zu sämtlichen Daten der großen Online-Firmen ein. Persönliche Daten, die durch PRISM und andere Programme gesammelt wurden, werden in ihrer Gesamtmasse zwischen den Geheimdiensten der USA, dem Vereinigten Königreich, Kanada, Australien und Neuseeland unter dem „Five Eyes“-Abkommen ausgetauscht. Andere geheimdienstliche Austauschabkommen gibt es in variierenden Ausprägungen zwischen diesen Ländern und EU-Ländern.

Das Recht auf Privatsphäre

Das Recht auf Privatsphäre wird im Artikel 12 der Universellen Menschenrechtserklärung der Vereinten Nationen von 1948 festgelegt und in Artikel 17 des IPbpR, die in 167 Staaten der Welt gültig sind. Weiterhin ist die Privatsphäre Teil zahlreicher internationaler und regionaler Menschenrechtserklärungen und ‑konventionen. Artikel 17 des IPbpR verbietet alle willkürlichen und rechtswidrigen Eingriffe in die Privatsphäre oder Korrespondenz eines jeden und stellt für alle Länder eine positive Verpflichtung dar, einen rechtlichen Rahmen für den wirksamen Schutz der Persönlichkeitsrechte gegen Eingriffe oder Beeinträchtigungen zu erstellen, unabhängig davon, ob diese vom Staat selbst, fremden Staaten oder privaten Akteuren kommen.

Das Recht auf Privatsphäre schützt bestimmte private Bereiche wie den Körper einer Person, ihre Familie, ihr Zuhause und ihre Korrespondenz. Gleichzeitig schränkt es die Sammlung, den Gebrauch und den Austausch persönlicher Daten über die Person ein, was auch als Recht auf informationelle Privatsphäre bezeichnet wird.

Im europäischen Raum ist das Recht auf Privatsphäre (Privatleben) in Artikel 8 der Europäischen Menschenrechtskonvention (EMRK) bindend für die Staaten des Europarats festgelegt. Der erste Paragraph regelt die Rechte, die dem Einzelnen durch den Staat gewährt werden müssen, während der zweite Teil die Bedingungen regelt, unter denen diese Rechte beschnitten werden dürfen.

Die Informationssammlung über ein Individuum ohne dessen Zustimmung fällt stets in den Rahmen von Artikel 8. Der Europäische Gerichtshof für Menschenrechte (EGMR) hat erklärt, dass der Schutz personenbezogener Daten von grundlegender Bedeutung für die Erfüllung des persönlichen Rechts auf Privatsphäre ist. Das Abhören von Korrespondenz und Telekommunikation fällt unter Artikel 8 und muss den Bedingungen des zweiten Paragraphen im Sinne des EGMR entsprechen.
Der EGMR hat akzeptiert, dass eine Person unter bestimmten Bedingungen davon ausgehen kann, durch deren bloße Existenz Gegenstand von geheimen Maßnahmen geworden zu sein, ohne beweisen zu müssen, dass die Maßnahmen tatsächlich auf ihn oder sie angewendet wurden.

Es wurde auch bestätigt, dass Staaten im Namen des Kampfes gegen den Terrorismus und Spionage nicht jede ihnen angemessen erscheinende Maßnahme ergreifen dürfen. Darüber hinaus hat das Gericht einige grundsätzliche Prinzipien formuliert, denen Gesetze, die verdeckte Maßnahmen zur Kommunikationsüberwachung durch staatliche Behörden regeln, zu folgen haben. Erstens muss das Gesetz der Öffentlichkeit zugänglich sein. Der davon betroffenen Person muss es möglich sein, die für sie daraus resultierenden Konsequenzen abzusehen. Das heißt, das Gesetz muss in ausreichender Klarheit und Präzision verfasst sein, um Bürgern eine angemessene Angabe zu den Umständen und Bedingungen zu geben, unter denen es Behörden erlaubt ist, einen potentiell gefährlichen Eingriff in ihre Privatsphäre vorzunehmen.

Zweitens muss es Mindestgarantien für die Diskretion staatlicher Behörden geben, was bedeutet, dass das Gesetz detaillierte Bestimmungen zur Art der Straftaten, die zu einer Überwachungsanordnung führen können, bieten muss. Drittens müssen diese Maßnahmen wiederum durch qualifizierte Behörden beaufsichtigt und überprüft werden, um eine effektive und angemessene Absicherung gegen Missbrauch zu bieten.

Datenschutz ist ein verbindliches Grundrecht aus dem Artikel 8 der Charta der Grundrechte der Europäischen Union, der genau den Artikel 8 der Europäischen Menschenrechtskonvention widerspiegelt und eine spezifische rechtliche Grundlage in Artikel 16 des Vertrags über die Europäische Union (EUV) hat. Darüber hinaus legt die EU-Datenschutzrichtlinie (Europäische Kommission, 1995) die Regeln für Datenschutz im privaten und öffentlichen Sektor basierend auf den Prinzipien der Datensparsamkeit, Zweckbindung und der Rechte des Individuums fest.

Sowohl der EU-Vertrag als auch die Datenschutzrichtlinie bieten Ausnahmen für die Wahrung der nationalen Sicherheit, dennoch müssen nationale Nachrichtendienste in voller Übereinstimmung mit der EMRK und der Rechtsstaatlichkeit stehen. Für die Übertragung von Daten an die USA wird dies in der Safe-Harbor-Entscheidung von 2000 geregelt, so zum Beispiel die Notwendigkeit der Datenübertragung unter den Gesichtspunkten der nationalen Sicherheit, dem öffentlichen Interesse und der Erfordernisse der Strafverfolgung. Die Datenschutzrichtlinie und die Safe-Harbor-Entscheidung werden derzeit überprüft. Insbesondere werden dabei die Aspekte der Ausnahmen für die nationale Sicherheit und das aktuelle Vorgehen zum Datenschutz begutachtet.

Wie beschrieben, werden die Rechte auf Privatsphäre und Datenschutz in Europa umfangreich geregelt, trotzdem gibt es verschiedene Instrumente, mit denen diese Gesetze auf europäischer wie nationaler Ebene umgangen werden können. Die EMRK ist für europäische Staaten bindend. Es kann über die nationalen Gerichte geltend gemacht werden oder in letzter Instanz über den Europäischen Gerichtshof. Die EU-Datenschutzrichtlinie ist ebenfalls verbindlich für EU-Mitgliedstaaten und wird in ihnen jeweils als nationales Datenschutzgesetz umgesetzt. Allerdings decken weder die EMRK noch die EU-Datenschutzrichtlinie Rechtsverletzungen ab, die außerhalb Europas stattfinden. EU-Staaten können versuchen, strengere Vereinbarungen zum Datenaustausch mit Drittländern auszuhandeln und/oder die EU Rechtsvorschriften erlassen, die Datenschutzstandards auf EU-Niveau für Internetunternehmen erzwingen, wie sie derzeit in der Revision der EU-Datenschutzgrundverordnung vorgeschlagen wird. Trotzdem haben EU-Staaten in der Praxis eingeschränkte Möglichkeiten bei der Durchsetzung von EU-Privatsphärestandards in den USA.

Der Fall PRISM beinhaltet zu großen Teilen den direkten amerikanischen Zugriff auf die persönlichen Daten von Europäern und anderen, die aufgrund der technischen Infrastruktur des Internets in den USA verarbeitet oder gespeichert werden, auch weil die größten Internetkonzerne (Google, Facebook, Yahoo etc.) in den USA beheimatet sind. In Bezug auf internationale Menschenrechte bleibt die Frage, inwiefern die PRISM-Programme US-amerikanische Verpflichtungen im IPbpR verletzen.

PRISM und Menschenrechte

Am 4. Juli 2013 verabschiedete das Europaparlament eine Resolution zum Überwachungsprogramm der NSA, in der große Sorge über PRISM und ähnliche Programme geäußert wurde, insbesondere darüber, wie diese auf die europäischen Grundrechte und Freiheiten wirkten. In dem Beschluss forderte das Europäische Parlament das Komitee für bürgerliche Freiheiten, Justiz und Inneres (LIBE) auf, eine Untersuchung der Angelegenheit bis Januar 2014 durchzuführen. Diese resultierte in 15 Anhörungen von Experten und Studien zum Thema.

Als Teil der Untersuchungen von LIBE verglich Martin Scheinin, ehemaliger UN-Sonderberichterstatter für Menschenrechte im Kampf gegen den Terrorismus, die rechtliche Legitimation des NSA-Überwachungsprogrammes mit den Verpflichtungen der USA im IPbpR. Auf der Grundlage des Artikels 17 des IPbpR, einem allgemeinen Kommentar zum Artikel 17 von 1988 und anderen Handlungsvorgaben des Menschenrechtskommitees, präsentierte Scheinin einen analytischen Test für die erlaubten Einschränkungen des Rechts auf Privatsphäre. Der Test beinhaltete die folgenden kumulativen Bedingungen für die Entscheidung, ob eine Einschränkung des Rechts auf Privatsphäre gerechtfertigt ist:

(a) Alle Einschränkungen müssen gesetzlich gerechtfertigt werden können.

(b) Das Wesen eines Menschenrechts darf nicht eingeschränkt werden.

© Die Einschränkungen müssen in einer demokratischen Gesellschaft notwendig sein.

(d) Einsichten, die während der Einschränkungen gewonnen werden, dürfen nicht öffentlich gemacht werden.

(e) Um eine Einschränkung zu erlauben, muss diese zwingend notwendig für das konkrete Ziel sein.

(f) Restriktive Maßnahme müssen verhältnismäßig sein.

(g) Alle Restriktionen müssen konsistent mit der Einhaltung der anderen Konventionen sein.

Mithilfe dieser Regeln argumentiert Scheinin, dass die Überwachungsarchitektur der NSA die Verpflichtungen der USA im IPbpR verletzt.

1. Die Überwachung entbehrt einer rechtlichen Basis, weil sie sich lediglich auf die vagen und weit gefassten Bestimmungen des Foreign Surveillance Act (FISA) beruft. Die notwendige Rechtsgrundlage lässt sich nicht auf eine Situation ausdehnen, in der weder das öffentlich verfügbare Gesetz – in diesem Falle FISA – vorliegt noch Geheimgesetze dem Einzelnen mitteilen, inwiefern in seine Korrespondenz und Privatsphäre eingegriffen wird. Im Einklang mit den Grundsätzen des oben erwähnten EGMR sind besonders die Zugänglichkeit und Vorhersehbarkeit der Rechtsgrundlage fundamentale Elemente der erforderlichen Rechtsgrundlage, so dass Betroffene ihr Verhalten den rechtlichen Erfordernissen anpassen können.

2. Das PRISM-Programm dringt allein durch die schiere Masse an gesammelten Metadaten erheblich in die Unverletzbarkeit der Privatsphäre ein. Ebenso wichtig ist, dass die Überwachung nicht nur auf Metadaten beschränkt ist. Die Analyse dieser Daten wurde lediglich dazu genutzt, Personen zu identifizieren, auf deren Inhaltsdaten in Folge zugegriffen werden sollte.

3. Der Schutz vor Terrorismus rechtfertigt nicht das massenhafte Eindringen in die Privatsphäre in einer demokratischen Gesellschaft. Beim Schutz der Privatsphäre der Nicht-US-Personen wurde schlicht versagt, genauso wie beim Schutz derer, die explizit kein Ziel waren. Das führt zu dem Schluss, dass das Programm das Verhältnismäßigkeitsgebot völlig außer Acht lässt. Darüber hinaus wird das Fehlen eines legitimen Ziels hervorgehoben, da FISA Überwachung nicht nur für den Schutz vor Terrorismus erlaubt, sondern auch der Außenpolitik der USA dient. „Dies ist von legitimem nationalen Interesse, das mit rechtlicher Absicherung verfolgt werden muss, ohne in Menschenrechte einzugreifen, aber kein dringendes gesellschaftliches Interesse, das das Eindringen in die Privatsphäre von gewöhnlichen Menschen rechtfertigen würde.“

4. Es gibt einen Mangel an gerichtlichen und parlamentarischen Mechanismen, welche die Missbräuche verhindern könnten. Weil die Operation auf weiten und vage formulierten Gesetzen aufbaut, konnte sie problemlos diskriminierend durchgeführt werden, was in einem Eingriff in Menschenrechte wie den Schutz vor Diskriminierung, der Meinungs- und Versammlungsfreiheit ohne angemessene Begründung resultierte.

Abschließend wurde die Frage der Exterritorialität angesprochen, da die staatliche Verpflichtung im IPbpR im gegenwärtigen Kontext in entscheidendem Maße vom räumlichen Geltungsbereich abhängig ist.

In Artikel 2, §2 des IPbpR legt die generelle Verpflichtung eines jeden Vertragsstaates fest, „die in diesem Pakt anerkannten Rechte zu achten und sie allen in seinem Gebiet befindlichen und seiner Herrschaftsgewalt unterstehenden Personen […] zu gewährleisten“. Entsprechend der Praxis des Menschenrechtsausschusses, enthält diese Formulierung einen extraterritorialen Effekt. Der Staat hat also die Pflicht, nicht nur die Personen auf seinem Hoheitsgebiet zu schützen, sondern alle, die sich in seinem Einflussrahmen befinden, unabhängig vom Hoheitsgebiet. Der Ausschuss hat diese Praxis in einem Allgemeinen Kommentar zu Artikel 2 im Jahr 2004 festgeschrieben.

10. Vertragsstaaten sind von Artikel 2, §1 verpflichtet, die Rechte des Abkommens allen Menschen auf ihrem Hoheitsgebiet und allen, die Teil ihrer Rechtsprechung sind, zu gewährleisten. Dies bedeutet, dass ein Vertragsstaat die Rechte des Abkommens auch dann zu respektieren und sicherzustellen hat, wenn sich die tatsächliche Macht und Kontrolle des Vertragsstaates über sein Gebiet hinaus erstrecken.

In Scheinins Intervention werden diese Beispiele benutzt, um die US-amerikanische Verletzung von Artikel 17 für Amerikaner wie Ausländer darzulegen, da die Regierung in der Tat die Verfügung über das Recht auf Privatsphäre von Menschen außerhalb der USA hatte – und zwar nur durch dessen Verletzung. Wie schon in Burgos betont, ist das Hauptproblem nicht der Ort, an dem die Verletzung stattfindet, sondern eher die Beziehung zwischen der Person und dem Staat im Verhältnis zur Verletzung von allen möglichen Rechten des Abkommens, wo auch immer sie geschähen.

Die Frage nach dem extraterritorialen Effekt ist dennoch rechtlich komplex. Scheinins Interpretation wird häufig bestritten und das nicht nur in den USA.

Die Verteidigung der Privatsphäre mit Menschenrechten

Als Reaktion auf die Anfragen innerhalb des Europäischen Parlaments erarbeitete LIBE-Berichterstatter Claude Moraes einen Berichtsentwurf. Dieser schlägt eine europäische, digitale Habeas Corpus-Akte für den Schutz der Privatsphäre vor. Diese basiert auf sieben Maßnahmen, einschließlich einer der Verabschiedung einer EU-Datenschutzreform im Jahr 2014, die sichere Mechanismen zur Abhilfe bietet, wenn die Daten von EU-Bürgern aus Gründen der Strafverfolgung in die USA übermittelt werden.
alle vorgeschlagenen Maßnahmen konzentrieren sich auf die Stärkung der bestehenden EU-Instrumente und die Abkommen zwischen der EU und den Vereinigten Staaten, ohne sich dabei auf das PRISM-Programm in Zusammenhang mit internationalen Menschenrechten zu verweisen. Trotzdem bleiben in dieser Hinsicht noch Optionen offen.

1. Jeder europäische Staat kann prinzipiell eine zwischenstaatliche Beschwerde gemäß Artikel 41 des Zivilpakts einlegen. Bis jetzt wurde die zwischenstaatliche Beschwerde noch nicht genutzt und aus politischen Gründen erscheint es auch unwahrscheinlich, dass die europäischen Staaten auf diese Option zurückgreifen werden.

2. Der Menschenrechtsausschuss der Vereinten Nationen untersucht Vertragsstaaten des IPbpR und wird sich den USA im März 2014 widmen, dabei wird die Frage der NSA-Überwachung thematisiert. Die Überprüfung und der abschließende Bericht werden höchstwahrscheinlich spezifische Empfehlungen bezüglich des PRISM-Programmes für die US-Regierung bereithalten. Das könnte sich als könnte sich später als nützlich bei der Festlegung für die konkrete Einhaltung von Artikel 17 des IPbpR durch die USA erweisen und auch von europäischer Seite aus ausschlaggebend für die Ergreifung von Folgemaßnahmen sein.

3. Der UN-Menschenrechtsrat wird der Frage als Teil des neu im Konsens angenommenen Beschlusses über den Datenschutz im digitalen Zeitalter nachgehen. Der Beschluss fordert Mitgliedstaaten dazu auf, ihre eigenen Praktiken und Rechtsvorschriften zur Überwachung und Sammlung persönlicher Daten, einschließlich der Massenüberwachung zu überprüfen, um die vollständige und wirksame Umsetzung ihrer Verpflichtungen aus internationalen Menschenrechtsnormen zu gewährleisten.

Er weist auch an, dass die UN-Hochkommissarin für Menschenrechte, Navi Pillay, einen Bericht über den Schutz und die Förderung des Rechts auf der Privatsphäre im Bezug auf nationale und exterritoriale Überwachung auf der 27. Tagung des in Genf ansässigen Menschenrechtsrat sowie auf dessen 69. Sitzung im September 2014 vorlegt. Schließlich werden weitere Analysen und Klarstellungen notwendig, um zu belegen, wie genau sich der exterritoriale Effekt auf Menschenrechtsprinzipien in den globalen Datenströmen auswirkt.

Eine solche Analyse und Ausarbeitung könnte eine längst überfällige Überarbeitung der Allgemeinen Bemerkung zu Artikel 17 von 1988 sein. Die technologischen Entwicklungen und aktuellen Herausforderungen des Rechts auf Privatsphäre müssten darin berücksichtigt werden.

Fazit

PRISM steht beispielhaft für die Verletzung des Rechts auf Privatsphäre im digitalen Zeitalter. Die unerwünschten Eingriffe in private Daten sind in ihrem Umfang ungeheuerlich und geschehen digital auf globaler Ebene außerhalb der Reichweite vom regionalen oder nationalen Schutz der Privatsphäre. Es gibt einen dringenden Bedarf an rechtlicher Analyse und Empfehlungen zur Vorgehensweise gegen exterritoriale Verletzungen der Privatsphäre zwischen Staaten, die Vertragspartner im internationalen Menschenrecht sind.

Wenn die zahlreichen politischen Verpflichtungen für ein freies und offenes Internet ernsthaft umgesetzt werden sollen, wird ein bestimmtes Vorgehen zum Schutz der Privatsphäre im Namen der Menschenrechte dringend gebraucht.