Datenschutz in der Cloud 19. Dezember 2012 von

Jan Philipp Albrecht: „Die EU und die USA sind in der Bringschuld, Standards zu setzen”

Bild-10351

Die Cloud kennt keine Grenzen, der europäische Datenschutz schon. Mit den USA will die EU ein Abkommen schließen, das auch den Behörden-Zugriff auf Cloud-Daten regelt. Jan Philipp Albrecht (Grüne), zuständiger Berichterstatter im EU-Parlament, kritisiert den Stillstand in den Verhandlungen.

Zur Person

Jan Philipp Albrecht ist seit 2009 Grünen-Abgeordneter im EU-Parlament. Das Parlament hat Albrecht 2010 zum Berichterstatter für das geplante Datenschutzrahmenabkommen zwischen der EU und den USA ernannt. Seit Frühjar 2012 ist Albrecht außerdem Berichterstatter für die geplante EU-Datenschutz-Grundverordnung. Albrecht ist Mitglied im Innenausschuss und stellvertretendes Mitglied im Rechtsausschuss. Seine Schwerpunkte sind der Datenschutz und die Netzpolitik.

iRights.info: Anfang Dezember stellte eine Studie des Instituts für Informationsrecht der Universität Amsterdam fest, dass US-Behörden weitreichende Möglichkeiten haben, europäische Datenschutzbestimmungen zu umgehen, wenn sie in der Cloud auf Daten von EU-Bürgern zugreifen. Wie bewerten Sie die Lage?

Jan Philipp Albrecht: Es ist tatsächlich so, dass heutzutage US-Behörden auf Daten von EU-Bürgern zugreifen können, ohne sich an europäisches Recht halten zu müssen. Das gilt zum Beispiel für Cloud-Dienste wie Google und Microsoft, auch wenn die Daten in Europa liegen. Hier soll die geplante Datenschutzgrundverordnung der EU Abhilfe schaffen. Demnach müssen Unternehmen sich in jedem Fall an EU-Datenschutzrecht halten, wenn sie es mit EU-Verbrauchern zu tun haben. Es darf nicht sein, dass zum Beispiel der amerikanische „Patriot Act“ zur Terrorbekämpfung europäisches Recht einfach aushebeln kann.

„Die Zugriffe sind tendenziell sehr weitreichend”

iRights.info: Nun geht es bei solchen Datenzugriffen um die Terrorabwehr und die USA sind ein enger Verbündeter der EU. Ist da Misstrauen angebracht?

Jan Philipp Albrecht: Beim Datenschutz hat das Vertrauen in die USA sehr gelitten. Ohne Rechtsgrundlage griffen sie  jahrelang auf Bank- und Fluggast-Daten von EU-Bürgern zurück. Erst jetzt regeln wir diese Praxis mit dem SWIFT- und dem PNR-Abkommen. In Europa kann man heute eigentlich nicht genau sagen, was die Amerikaner mit EU-Daten machen. Allerdings weiß ich, dass die Zugriffe tendenziell sehr weitreichend sind. Ich war zum Beispiel mehrmals im Analysezentrum in Virginia, das die Fluggastdaten derjenigen verarbeitet, die in die USA einreisen. Da können schnell auch Bekannte der Einreisenden ins Visier geraten, die mit ihnen in Telefon- oder Email-Kontakt stehen oder auf Facebook mit ihnen befreundet sind.

„Über die Datenweitergabe haben die Europäer keine Kontrolle”

iRights.info: Auch in den USA gelten Datenschutzregeln…

Jan Philipp Albrecht: Ja, allerdings nur eingeschränkt. Bei Bedrohungen der nationalen Sicherheit können US-Behörden ohne richterliche Beschlüsse oder normale Rechtshilfe-Verfahren mit den europäischen Kollegen auch auf Daten der EU-Bürger zugreifen. Der amerikanische Privacy Act von 1974, der die staatliche Datenverarbeitung regelt, gilt nur für US-Bürger und Menschen, die in den USA leben.

iRights.info: US-Vertreter sagen, dass auch Menschen aus Drittstaaten den Privacy-Act vor US-Gerichten geltend machen können. Reicht das nicht für einen angemessenen Datenschutz von EU-Bürgen gegenüber amerikanischen Behörden?

Jan Philipp Albrecht: So einfach ist das nicht. EU-Bürger haben die Zusicherung der US-Regierung, wonach sie analog zum Privacy Act Rechte wahrnehmen können. Doch zu so einem Fall ist es noch nie gekommen. Das Informations- und das Widerspruchsrecht werden in der Regel dadurch ausgehebelt, dass aus Gründen der nationalen Sicherheit geheim bleibt, ob Daten gespeichert werden oder nicht. Mir scheint auch eine Klage in den USA wenig erfolgversprechend, weil ein europäischer Kläger sich eben nur auf eine Zusicherung berufen könnte, das ist nichts wirklich Belastbares. Auf der anderen Seite haben US-Behörden viele Möglichkeiten, auf Daten von EU-Bürgern zuzugreifen. Viele Telekommunikationsunternehmen und Internetprovider haben zumindest Dependancen in den USA. Das bedeutet, sie müssen den US-Behörden helfen. Über die Datenweitergabe haben die Europäer keine Kontrolle.

Datenschutzrahmenabkommen: „Das war eine Art Bedingung”

iRights.info: Das Europarlament fordert bereits seit Jahren ein Rahmenabkommen mit den USA, das gemeinsame Regeln beim Datenschutz einführt. Sie sind der zuständige Berichterstatter. Was ist daraus geworden?

Jan Philipp Albrecht: Das Abkommen mit den USA ist 2012 von der Tagesordnung verschwunden, was wohl auch am US-Wahlkampf lag. Die Obama-Regierung hat sich nicht mehr auf Verhandlungen eingelassen. Was jetzt nach der Wahl passiert, bleibt unklar. Ich habe momentan den Eindruck, die US-Regierung will das Thema aussitzen. Washington signalisiert eher, ein Gentleman’s Agreement zu wollen und kein echtes internationales Abkommen. EU-Kommissarin Viviane Reding hält offenbar die politischen Widerstände in den USA für so gravierend, dass sie keine Erfolgschancen mehr sieht. Wir müssen wohl feststellen: Das Abkommen liegt derzeit auf Eis.

iRights.info: Das EU-Parlament hat stets auf eine gemeinsame Rechtsgrundlage mit den USA gepocht. Zunächst schien es auch zu klappen. Fühlen Sie sich getäuscht?

Jan Philipp Albrecht: Die Mehrheit der Abgeordneten im Europäischen Parlament hat der Weitergabe von Bank- und Fluggastdaten an US-Behörden zugestimmt. Parallel haben wir als Parlament aber auch immer gesagt, wenn wir das machen, müssen wir die Regeln für den Datenzugriff in einem Rahmenabkommen gesetzlich verankern. Das war eine Art Bedingung. Die Europäische Kommission hat ein entsprechendes Verhandlungsmandat bekommen und die USA haben sich zunächst darauf eingelassen. Jetzt, da das SWIFT- und das PNR-Abkommen das EU-Parlament passiert haben, scheint das Interesse der USA an einem Rahmenabkommen deutlich gesunken. Zugespitzt könnte man sagen, die USA haben bekommen, was sie wollten, und jetzt ist der Druck raus.

Regelungsbedarf: Weitergabe, Zweckbindung, Fristen

iRights.info: Welche Fragen müsste ein solches Abkommen regeln?

Jan Philipp Albrecht: Es geht um drei Dinge: Wir müssen beim Datenzugriff durch Behörden die Rechte der europäischen Betroffenen auf Privatsphäre und Datenschutz in den USA rechtswirksam gestalten. Aus europäischer Sicht ist es nicht hinnehmbar, dass Grundrechtspositionen nicht vor Gericht eingeklagt werden können. Wer Grundrechte nicht gewährleistet, fällt übrigens hinter die Standards des Europäischen Gerichtshofs für Menschenrechte (EGMR) und des Europarats zurück, die selbst Länder wie Russland und die Ukraine akzeptieren. Die Ausweitung des US-Datenschutzes auf alle Menschen weltweit muss gesetzlich verankert werden.

Das Zweite ist die Zweckbindung. Wenn die Europäer Daten für den Zweck der Terrorabwehr weitergeben, kann das nicht bedeuten, dass alle US-Behörden in allen möglichen Zusammenhängen darauf zugreifen können. Doch der Datenaustausch zwischen US-Behörden ist derzeit gängige Praxis.

Schließlich muss über die Fristen geredet werden. US-Behörden dürfen personenbezogene Daten bis zu 70 oder 90 Jahre lang aufheben. Das ist aus europäischer Sicht vollkommen inakzeptabel. Das widerspricht sowohl der Rechtsprechung des Bundesverfassungsgerichts als auch des EGMR.

„Die EU und die USA sind in der Bringschuld”

iRights.info: Derzeit werden die Machtverhältnisse im digitalen Raum immer misstrauischer diskutiert, etwa wenn es um die dominante Stellung einzelner US-Konzerne wie Google geht. Muss Europa fürchten, dass die USA auch einen wirtschaftlichen Vorteil aus der Datenhoheit ziehen oder geht es zu weit, wenn man etwa Industriespionage fürchtet?

Jan Philipp Albrecht: So etwas konnte noch nicht nachgewiesen werden. Es gab allerdings Verdachtsmomente, etwa die Frage, ob US-Behörden dem US-Luftfahrtunternehmen Boeing im Wettbewerb mit dem europäischen Konkurrenten Airbus durch Wirtschaftsspionage geholfen haben. Wir sollten hier nichts unterstellen. Anderseits müssen wir wissen, dass Daten auch zu anderen Zwecken missbraucht werden können, wenn wir einer weitgehenden Überwachung der Bürger und Unternehmen im Kampf gegen den Terror zustimmen.

iRights.info: Der US-Botschafter bei der EU versucht, Ängste zu zerstreuen und spricht von Mythen, die in Europa über den amerikanischen Datenzugriff herrschen. Überzeugt Sie das?

Jan Philipp Albrecht: Natürlich verteidigen US-Vertreter ihr Rechtssystem. Gerade wir Europäer sollten uns auch auf unterschiedliche Rechtskulturen einlassen können, weil sie auch in Europa verschieden sind. Wir Deutsche müssen auch nicht immer gleich denken, die andere Rechtskultur sei automatisch schlechter. Am Ende zählt das Ergebnis. Hier müssen wir den USA allerdings klar sagen, dass es Defizite gibt, die sich nicht einfach aus der Welt reden lassen. Was Behörden nach US-Recht mit Daten deutscher Bürger tun können, wäre in Deutschland verfassungsrechtlich nicht möglich. Die EU und die USA sind in der Bringschuld, Standards zu setzen.

„Bürgerrechtler müssen konstruktiv an Lösungen mitarbeiten”

iRights.info: Angesichts der Internetbespitzelung in autoritären Staaten beschleicht viele Beobachter ein ungutes Gefühl. Das Internet als großes Instrument der Freiheit könnte sich als der perfekte Überwachungsapparat entpuppen. Sehen Sie diese Gefahr?

Jan Philipp Albrecht: Die Gefahr ist real. Wir sehen das bei den Streitigkeiten zur globalen Internetregulierung, etwa innerhalb der internationalen Fernmeldeunion ITU. Staaten, die eher ein repressives Regierungsmodell verfolgen, wollen Entscheidungshoheit über die digitale Welt. Auch in Demokratien sehen wir eine gewisse Sammelwut, wenn es um frei verfügbare Daten geht. Beispielsweise analysiert das FBI auch Daten von Nicht-US-Bürgen, etwa durch das so genannte Buzzword-Tracking, also die automatisierte Suche nach Schlüsselwörtern im Netz. Der Datenschutz ist hier nicht berührt, weil die Informationen frei verfügbar sind, doch zeigt sich hier eine Richtung, in die es geht.

Wer verhindern will, dass aus dem Internet eine Überwachungsinfrastruktur wird, muss jedoch konstruktiv an Lösungen mitarbeiten. Auch von Bürgerrechtlern und Datenschützern müssen Impulse zur Frage kommen, wie eine Rechtsdurchsetzung legitimer Interessen im Netz aussehen kann. Sie müssen Alternativen zur Komplettüberwachung formulieren.

Zum Thema bei iRights

Zum Thema im Internet

2 Kommentare

  • 1 Wolfgang Ksoll am 19. Dez, 2012 um 11:03

    Das liest sich aber recht irritierend. In Deutschland dürfen die Geheimdienste seit den Schily-Paketen völlig ohne Kontrolle auf Daten in der Cloud, in nicht vercloudeten Rechenzentren usw. ohne jede Nachricht oder Kontrollmöglichkeit Einsicht nehmen. Im Gegensatz zum US-Patriot Act haben die deutschen Bürger keinerlei Rechte. Sie dürfen nicht verlangen, in Kenntnis gesetzt zu werden bei einem Zugriff. Sie haben keinerlei Kontrolle, an wen die Daten weitergegeben werden (z.B. an die USA oder Iran wegen angeblicher Terrorbekämpfung).

    Wenn die USA in ihrem Patriot Act (in dem sich US-Bürger Rechte erstritten haben) auf das deutsche Level herabgesenkt werden sollen, dann ist das im Datenschutz ein Rückschritt für die Amerikaner.

    Hinzukommt, dass die deutschen Dienste nicht nur weniger kontrolliert werden können bei Zugriff auf personenbezogene Daten der Bürger als US-Bürger, sondern auch noch als Geheimdienste vollständig versagen wie wir bei der NSU gesehen haben, wo trotz umfangreicher Rechte ohne Datenschutz Mörder 10 Jahre in trauter Kooperation mit den Geheimdienste schreckliche ausländerfeindliche Morde begehen konnten.

    Wenn man an die USA Forderungen wegen Patriot Act stellt, sondern man die Bürger in Deutschland erst einmal auf das in USA gebotenen Schutzniveau heben. Das heisst, dass zum Beispiel der Vollzug der Schily-Pakete vollständig ausser Kraft gesetzt werden muss, bis der Saustall bei den Geheimdiensten aufgeräumt ist. Und wenn es danach noch Geheimdienste geben sollte, dann muss evaluiert werden, was der Verzicht auf Datenschutz bei den Schily-Paketen gebracht hat.

    Ohne diese Vorarbeiten mache sich Deutsche, die Forderung an die USA erheben, die sie bei sich nicht erfüllen wollen, nur lächerlich.

  • 2 Wolfgang Ksoll am 19. Dez, 2012 um 11:50

    In Österreich diskutiert man offener über Dienste und mangelhaften Datenschutz auch in Europa:
    http://futurezone.at/netzpolitik/11607-cloud-auch-in-europa-lesen-geheimdienste-mit.php

Was sagen Sie dazu?