Gegen die Freiheit

Nichts weniger als das Internet wollen sie laut Geheimdossiers beherrschen, die größenwahnsinnigen Geheimdienste der USA und Großbritanniens mit ihren monströsen Überwachungsprogrammen, die man bis vor kurzem eher mit Schnüffelbehörden repressiver Staaten wie Saudi-Arabien, Russland oder China in Verbindung in Verbindung gebracht hätte. Als Ausrede dient mal wieder der Kampf gegen den Terror und die unfreie Welt.

Hintergrund

PRISM ist das milliardenschwere System des US-Geheimdienstes NSA zur weltweiten Überwachung der Onlinekommunikation. Eine hilfreiche Zusammenfassung über PRISM und seine Schwestersysteme hat die ZEIT online gestellt.

Mittlerweile wurde bekannt, dass auch Großbritannien ein weitreiches Spionagesystem mit Codenamen TEMPORA zur Überwachung des Internets unterhält. Auch hier sei auf einen Beitrag der ZEIT-Redaktion verwiesen.

Beide Systeme sind Teil eines gemeinsamen Geheimdienstprogramms. Die beteiligten Dienste rühmen sich in internen Papieren, sie seien dabei, "das Internet zu beherrschen". Dabei entzieht sich Betrieb und Verwendung der Daten weitgehend der demokratischen Kontrolle. Nach jetzigem Kenntnisstand ist davon auszugehen, dass sie nicht nur bei Fragen der Terrorbekämpfung , sondern auch zum Zweck der Wirtschaftsspionage verwendet werden.

Systemtechniker Edward Snowdon hat die geheimen Papiere der Öffentlichkeit zugänglich gemacht. Er befindet seit der Veröffentlichung auf der Flucht vor dem Zugriff der US-Behörden.

Der Bundesdatenschutzbeauftragte Schaar bringt die bisher bekannten Vorgänge in einer ersten Stellungnahme in Zusammenhang mit den Vorgaben des einstigen Stasi-Ministeres Erich Mielke: „Um sicher zu sein, muss man alles wissen“. Die Bundesjustizministerin spricht von einem „Albtraum“. Sogar die Bundeskanzlerin findet das alles nicht ganz in Ordnung und hat den US-Präsident freundlich um Beachtung der Verhältnismäßigkeit gebeten.

Es wird sich also empört - natürlich mit Recht! - oder zumindest wird so getan als ob.

Schon seit Jahren weisen Datenschützer, auch die tse, darauf hin, dass die Nutzung amerikanischer Onlinedienste nicht mit deutschen Datenschutzgrundsätzen konform sein kann, da Google & Co. den amerikanischen Behörden auskunftsverpflichtet und überdies zur Geheimhaltung verpflichtet sind. Eine neue Erkenntnis ist allerdings der monumentale Umfang der Überwachung durch PRISM. Zudem scheinen sich Vermutungen zu verdichten, wonach die Internetgiganten der NSA direkte Schnittstellen für den Datenzugriff zur Verfügung stellen (was diese allerdings offiziell dementieren.)

Wer also mit MS Office365 seine Vertragsentwürfe in der Datenwolke speichert, wer mit Google-Mail seine E-Mails versendet oder mit dem Apple-Kalender seine Termine verwaltet, der muss sich darüber im Klaren sein, dass ihm dabei über die virtuelle Schulter gesehen wird. Und wer zulässt, dass sein Smartphone selbstständig Kontakte, Ortungsdaten und sogar aktuelle Videobilder an Onlinedienste übermittelt, der muss damit rechnen, dass diese Daten in den NSA-Sammeltopf mit seinen Suchabfragen und Kreditkartenumsätzen geraten. Ihm bleibt dann nur die Hoffnung, nicht in die Fänge der Geheimdienstanalysten und Rasterfahndungsalgorithmen zu geraten. Denn alles, was von Standardverhaltensmustern abweicht, ist verdächtig.

Deutsche Unternehmen sollten sich auch mit den Berichten des Europäischen Parlaments zu früheren US-amerikanischen Überwachungsprogrammen auseinandersetzen, in denen darauf hingewiesen wird, dass die ermittelten Daten auch zur Wirtschaftsspionage gegen die EU verwendet werden. Wenn die Dollars klingen, hört die Freundschaft bekanntlich auf. Hinweise darauf gibt es seit über 10 Jahren. Dagegen unternommen wurde: nichts.

Verstoß gegen EU-Recht

Artikel 16 des europäischen „Lissabon-Vertrags“ bestimmt „Jede Person hat das Recht auf den Schutz der sie betreffenden personenbezogenen Daten.“ Bei Verstößen ist ein Vertragsverletzungsverfahren einzuleiten.

EU-Datenschutzverordnung

Zur Zeit wird über eine neue EU-Datenschutzverordnung verhandelt. Passagen, die einen ungeregelten Zugriff von US-Behörden verhindern sollten, sind erst vor wenigen Wochen auf Druck amerikanischer Lobby-Verbände aus dem aktuellen Entwurf gestrichen worden. Mittlerweile sprechen sich sogar die europäischen Konservativen dafür aus, datenschutzrechtliche Vorbehalte gegen US-Zugriffe auf europäische Daten in die neue europäische Datenschutzverordnung aufzunehmen.

Während in den USA schon seit vielen Jahren die Idee der Rechtsstaatlichkeit nur noch eine den macht- und wirtschaftspolitischen Interessen des Landes untergeordnete Rolle spielt, reißt das britische Geheimprojekt TEMPORA die letzten Reste der europäischen Idee ein und führt die europäischen Datenschutzvorgaben ad absurdum: Der britische Geheimdienst überwacht nicht nur den Datenverkehr zu Kommunikationsteilnehmern im Vereinigten Königreichs, sondern hackt sich in jede Datennutzung ein, die über das britische Glasfasernetz realisiert wird. Wenn z.B. eine E-Mail eines deutschen Nutzers zu einem Empfänger in Übersee durch britische Leitungen gesendet wird, werden mindestens deren Kontaktdaten erfasst. (Update: Mittlerweile ist bekannt, dass auch Inhaltsdaten für mehrere Tage gespeichert werden. ) Zusätzlich sollen laut der britischen Zeitung „The Guardian“ jeden Tag über 600 Millionen Telefonereignisse überwacht werden. Systematisch sind auf diese Weise auch deutsche Internetnutzer ausgespäht worden.

Die Daten werden im Zusammenhang mit Sicherheit, Terrorismus, organisiertem Verbrechen und – Obacht! - „wirtschaftlichem Wohlergehen“ analysiert und anschließend mit befreundeten Geheimdiensten ausgetauscht. Der BND gehört offenbar nicht dazu. Jedenfalls wollen weder er noch die Bundesregierung Kenntnis von den Programmen gehabt haben. Ist die Unkenntnis nun ein gutes Zeichen, weil Deutschland für die internationale Datenschmutzwäsche nicht gefragt wurde? Oder ein schlechtes, weil offenbar wird, wie wenig Einfluss unsere Staatsorgane auf die Überwachungspraktiken der „Partnerländer“ haben?

Überwachung zerstört Freiheit. Auch wenn die modernen Überwachungstechniken subtiler sind als im vorigen Jahrhundert, haben sie doch die Kraft, das Verhalten der Menschen zu beugen und damit die freie Gesellschaft zu zerstören. PRISM und TEMPORA fehlt die moralische Legitimität. Ihnen fehlt Transparenz. Ihnen fehlt Kontrolle.

Die zwischen Empörung und Verstörung changierenden Reaktionen der Öffentlichkeit sind ein Hoffnungsschimmer, dass einer Debatte über den Schutz unserer Persönlichkeitsrechte im Internetzeitalter auch Taten folgen könnten.

Update 1. Juli 2013

Mittlerweile wird klar, dass das Ausmaß der Überwachung alle Grenzen sprengt. Der SPIEGEL berichtet, dass die NSA monatlich eine halbe Milliarde Kommunikationsverbindungen in Deutschland überwacht. EU-Büros sind verwanzt, Deutschland wird als "Partner dritter Klasse" und Angriffsziel der Geheimdiensttätigkeit klassifiziert.

Die Bundesregierung ist seltsam teilnahmslos oder vielleicht paralysiert? Bundeskanzlerin und Innenminister sehen jedenfalls keine Notwendigkeit, die Öffentlichkeit darüber zu informieren, wie man diesem Zustand begegnen wird. Vermutlich ist man selbst planlos. Innenminister Friedrich zweifelt gar die Glaubwürdigkeit der Presseberichte an. Lediglich die Bundesjustizministerin bringt ihre Empörung deutlich zu Gehör. Sie fordert die EU-Institutionen auf, von den Amerikanern zu verlangen, die Überwachungsmaßnahmen abzustellen. Ihre Ansprache darf sie gerne auch an ihre Kabinettskollegen richten.

Betriebliche Reaktionen?

Angesichts der ausufernden Spionagetätigkeiten sollte man eigentlich davon ausgehen, dass Unternehmensleitungen und Betriebsräte zu gemeinsamen Positionen gelangen, um einen möglichst weitreichenden Schutz der Geschäftsgeheimnisse einerseits und die persönliche Integrität der Beschäftigten andererseits sicherzustellen. Gesetzliche Grundlage der Beteiligung ist neben §80 Abs. 1 Nr. 1 BetrVG (Einhaltung u.a des Datenschutzes als Aufgabe des Betriebsrats) vor allem § 87 Abs. 1 Nr. 6 BetrVG, wonach die Mitbestimmung bei Systemen erforderlich ist, die eine Mitarbeiterüberwachung ermöglichen.

Überprüfung bestehender Cloud-Anwendungen:
Die Datenhaltung in den USA gewährleistet keine Vertraulichkeit. US-Behörden greifen nach unserem derzeitigem Kenntnisstand auch auf europäische Serversysteme amerikanischer Unternehmen zu. Die meisten deutschen Cloud-Anbieter bieten eine Datenverarbeitung in deutschen Rechenzentren nach Maßgabe des deutschen Datenschutzrechts an. Nach Möglichkeit sind Daten verschlüsselt in der Cloud abzuspeichern, wobei eine Entschlüsselung nur durch den Auftraggeber selbst und nicht durch den Cloud-Anbieter vorgenommen werden kann.
Überprüfung bestehender E-Mail- und Telefonie-Lösungen:
Auch im Umgang mit Telefonie und E-Mail sind amerikanische Unternehmen an die dortigen Rechtsnormen gebunden. Da Kommunikationsinhalte und die sie begleitenden Informationen besonders schutzwürdig sind, sollten Alternativen mit Nachdruck diskutiert werden. Das gilt übrigens auch, falls der E-Mail-Verkehrs von Online-Anbietern im Hinblick auf Spam o.ä. gefiltert wird. Möglichkeiten zur Ende-zu-Ende-Verschlüsselung von E-Mail sollten erwogen werden. Auch die Nutzung von Internet-Telefoniediensten wie Skype ist zu hinterfragen.
Insourcing:
Einen eigenen Mail-Server zu betreiben ist kein Hexenwerk. Anwendungsprogramme können sowieso von der eigenen IT betrieben werden. Webanwendungen könnten über das Intranet statt über das Internet zur Verfügung gestellt werden.

Update 12. Juli 2013 - Überwachung von MS Skype, Outlook.com und Skydrive

Der Guardian vermeldet, dass u.a. Microsoft eng mit den US-Geheimdiensten zusammenarbeitet, um diesen die Entschlüsselung und Analyse von Skype-Gesprächen, E-Mails und Datenspeichern zu ermöglichen. Microsoft erklärt dazu, nur in konkreten Fällen den Datenzugriff zu ermöglichen. Einen früherer Überblick der tse über die datenschutzrechtliche Problematik finden Sie übrigens hier.

Dirk Hammann
tse GmbH