Der europäische Internetuser ist vieles gewohnt. Auch an der Möglichkeit einer Überwachung aus den USA stört er sich nicht. Oder doch? Womöglich könnte 2013 zum Jahr werden, in dem endlich Bewegung in die Debatte um den Umgang mit den beiden amerikanischen Anti-Terrorgesetzen Patriot Act und Foreign Intelligence and Surveillance Amendments Act (FISA) kommt. Das Europaparlament diskutiert einen Zusatz in der EU-Datenschutzverordnung, der die Weitergabe von europäischen Daten an die US-Behörden verbietet.
Zwei Studien haben in jüngster Zeit noch einmal deutlich gezeigt, dass das Thema Europäer stärker betrifft, als viele annehmen. Juristen der Universität Amsterdam veröffentlichten im November 2012 eine Untersuchung, wonach der Patriot Act, der US-Geheimdiensten umfangreiche Zugriffsrechte auf Kommunikations- und Nutzerdaten einräumt, viel weiter interpretiert werden kann als zunächst vermutet.
Demnach müssen nicht nur amerikanische Cloud-Anbieter wie Google oder Amazon die Daten ihrer Kunden auf Anfrage (optional mit der Verpflichtung zur Geheimhaltung) herausgeben - egal, ob diese auf Servern in Europa oder den USA stehen.
Vielmehr könnten auch europäische Firmen betroffen sein, die schlicht in den USA geschäftlich in nennenswertem Ausmaß tätig sind. "In einem Zeitalter, in dem immer mehr unserer Daten ins Netz wandern, ist das verheerend", sagt Ko-Autor Axel Arnback.
Niederländische Fingerabdrücke für US-Geheimdienste?
So mussten niederländische Sicherheitsbehörden eingestehen, dass theoretisch auch die Fingerabdrücke ihrer Bürger nicht vor solchen Zugriffen sicher sind. Die niederländischen biometrischen Pässe produziert die Firma Morpho, die wiederum Teil eines französischen Rüstungsunternehmens Sanfran-Group ist, das in den USA Geschäfte macht.
Ein amerikanischer Zugriff auf die Morpho-Datenbanken, so zitiert die liberale Partei D66 niederländische Geheimdienstmitarbeiter, sei deshalb nicht auszuschließen. Die Regierung verhandelte daraufhin die Verträge nach, um eine solche Weitergabe zu verhindern. "In der Praxis nützt das jedoch wenig", glaubt D66-Europaabgeordnete Sophie in 't Veld.
Kaum Rechte für Nicht-Amerikaner
Die zweite Studie, aus der in dieser Woche auch das amerikanische Online-Portal Slate zitierte, fertigte ein Think Tank vor einiger Zeit für das Europaparlament an. Sie kommt zu dem Schluss, dass die FISA-Gesetze aus dem Jahr 2008 Nicht-Amerikaner kaum vor Datenzugriff schützen.
FISA, für das auch der damalige Senator Barack Obama stimmte, diente eigentlich der nachträglichen Legalisierung der Abhörmaßnahmen unter der Bush-Regierung. Erst Ende Dezember vergangenen Jahres wurde es bis 2017 verlängert. Es ermöglicht den Sicherheitsbehörden unter Geheimhaltung ebenfalls den Zugriff auf Cloud-Daten von US-Unternehmen.
Ausländer sind hierbei im Gegensatz zu Amerikanern vor unverhältnismäßigen Datenzugriffen nicht durch den vierten Verfassungszusatz geschützt, der Durchsuchungen theoretisch einen engen rechtlichen Rahmen setzt, schreiben die Autoren. Zudem weisen sie darauf hin, dass als Zielgruppe "im Ausland tätige politische Gruppen" genannt werden. Dies sei ein "Blankoscheck" für amerikanische Geheimdienste, das ursprüngliche Terrorabwehr-Gesetz in ein Instrument für Spionage-Aktionen aller Art zu verwandeln.
"Die USA sind der Meinung, dass sich ihre Rechtsauffassung jenseits ihres Territoriums ausweiten lässt", sagt in't Veld, die auch stellvertretende Vorsitzende des Bürgerrechts-Ausschusses des Europaparlaments ist. Europäische Regierungen und die EU haben den Patriot Act zwar immer wieder kritisiert, getan hat sich aber wenig. Ein von EU-Kommissarin Viviane Reding vorangetriebener Vorstoß, ein Rahmenabkommen zur Datenübermittlung zwischen EU und USA zu verhandeln, verharrt schon lange auf der Ebene von Absichtserklärungen.
Die USA sträuben sich offenbar und pochen darauf, dass bestehende amerikanische Gesetze nicht berührt werden dürften. Nun könnte die neue EU-Datenschutzverordnung für langsame Veränderungen sorgen. Vor wenigen Tagen legte der Berichterstatter des Europaparlaments, der Grünen-Abgeordnete Jan Philipp Albrecht, seine Änderungsvorschläge für das Dokument vor ( pdf hier).
Dabei fügte er den Artikel 43a wieder in den Entwurf ein, den die EU-Kommission - nach starkem Druck der US-Regierung, wie es in Brüssel heißt - aus ihrem Ursprungsvorschlag gestrichen hatte. Artikel 43a sieht vor, dass Unternehmen sensible Daten von EU-Bürgern nur noch dann an ausländische Sicherheitsbehörden übermitteln dürfen, wenn dies durch ein entsprechendes Rechtshilfeabkommen gedeckt ist. Übersetzt: Solange sich USA und Europa nicht auf Regeln für den Datenaustausch einigen, müssen Unternehmen den Amerikanern die Herausgabe verweigern.
Das wiederum bringt die Firmen in Bedrängnis: Folgen sie der Aufforderung der Amerikaner, machen sie sich in Europa strafbar. Verweigern sie die Weitergabe, droht ihnen Ärger in den USA. Eine solche Rechtsunsicherheit ist durchaus gewünscht, so ist aus Brüssel zu hören: Facebook und Co. könnten so die amerikanische Regierung dazu drängen, in Verhandlungen mit der EU einzusteigen.
Verordnung kommt frühestens 2016
Ob allerdings Artikel 43a wirklich in der endgültigen Datenschutzverordnung stehen wird, ist ungewiss: Bis Ende dieses Jahres wollen die Justizminister der Einzelstaaten und das EU-Parlament einen endgültigen Entwurf vorlegen, der dann 2014 verabschiedet und 2016 in Kraft treten könnte. Der Umgang mit den Anti-Terror-Gesetzen ist dabei nicht der einzige umstrittene Punkt - unter anderem geht es auch um das Recht auf digitales Vergessen, also weitgehende Löschrechte für Internet-Nutzer, wenn es um ihre Daten geht.
Echter Datenschutz für EU-Bürger im Zeitalter des Cloud-Computing wird also womöglich noch Jahre auf sich warten lassen. Europaparlamentarierin in't Veld konstatiert auf politischer Ebene eine "Mischung aus Ignoranz, fehlendem Bewusstsein, Bindung an einen wichtigen Verbündeten und Zynismus", wenn es um das Thema geht.
Totalüberwachung oder Angst-Hype?
Das hängt womöglich auch damit zusammen, dass das Ausmaß des Datenzugriffs aufgrund der Geheimhaltungspflicht unklar ist. "Sie finden davon nichts in irgendwelchen Statistiken wie dem Google-Transparency-Report", sagt Jurist Arnback. Während der US-Botschafter bei der Europäischen Union, William E. Kennard, vor einigen Wochen von "Mythen" und "falschen Vorstellungen von den US-Gesetzen" sprach, berichtete das Magazin Wired im vergangenen Frühjahr vom Bau eines riesigen Überwachungszentrums in der Wüste von Utah, das die weltweite Kommunikation detailliert sammeln und auswerten soll.
"Theoretisch könnten Patriot Act und Co. nur einige wenige Menschen in Europa betreffen", folgert Arnback. "Vielleicht aber begegnen die Folgen aber auch jedem Internet-Nutzer, jede Minute - ohne, dass er davon weiß."