USA PATRIOT/FREEDOM Act vs. Schutz geistigen Eigentums und personenbezogener Daten

Im Nachgang zu den Terroranschlägen vom 11. September 2001 haben die US-Regierungen unter den Präsidenten George W. Bush und Barack Obama zwei Bundesgesetze erlassen – den USA PATRIOT Act (ab 2001) und den USA FREEDOM Act (seit 2015) – die den Schutz des geistigen Eigentums und personenbezogener Daten durch Ausweitung der Befugnisse von US-Bundesbehörden, wie FBI, CIA und NSA, auch außerhalb der Grenzen der USA massiv beeinträchtigen.

Dieser Artikel informiert unter weitestgehender Bezugnahme auf Daten und Fakten über die Hintergründe und erklärt, warum weder der EU-US Privacy Shield, noch die EU „Datenschutz-Grundverordnung“, die beide in 2016 in Kraft getreten sind, die Risiken aus dieser Bedrohung reduzieren.

Der USA PATRIOT Act ist ein US-amerikanisches Bundesgesetz, das am 25. Oktober 2001 vom US-Kongress als direkte Reaktion auf die Terroranschläge des 11. September 2001 und die wenig später erfolgten Milzbrand-Anschläge verabschiedet wurde. USA PATRIOT Act steht als Apronym für Uniting and Strenghtening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Act of 2001.

Das Gesetz schränkte die US-amerikanischen Bürgerrechte ein und hat Auswirkungen auf USA-Reisende, da die Einreisebestimmungen verschärft wurden. Der USA PATRIOT Act sollte die Ermittlungen der US-Bundesbehörden im Fall einer terroristischen Bedrohung vereinfachen.

Die USA erweiterten die Befugnisse ihrer Geheimdienste und Ermittlungsbehörden im Jahr 2001 durch den USA PATRIOT Act beträchtlich. Wenn das FBI zur Terrorbekämpfung oder Spionageabwehr ermittelt, kann es nach Section 215 „Access to Records and Other Items Under the Foreign Intelligence Surveillance Act“ den Foreign Intelligence Surveillance Court (FISC) anrufen und über ihn Zugang zu Daten aller Art erhalten. Das Gericht erlässt hierzu einen Beschluss gegen eine Telefongesellschaft, einen Internet-Provider oder auch einen Cloud-Anbieter, der dann die bei ihm gespeicherten Daten herausgeben muss.

Um Daten zu erhalten, muss das FBI jedoch nicht unbedingt ein Gericht bemühen, sondern kann selbst einen so genannten „National Security Letter (NSL)“ erlassen und damit Internet-Provider sowie andere Unternehmen, die Daten erfassen, speichern, übertragen oder verarbeiten, verpflichten, diese Daten zu übermitteln – und zwar ohne den Betroffenen hiervon zu informieren.

National Security Letters haben in der Praxis größere Bedeutung als Zugriffe durch ein Gericht. Nach einer Statistik des Electronic Privacy Information Center (EPIC) wurden im Jahre 2010 circa 1.600 Gerichtsbeschlüsse nach dem FISA erlassen, die Zahl der National Security Letters soll dagegen bei rund 24.000 liegen.

Die Bestimmungen des USA PATRIOT Act erlauben US-Bundesbehörden, wie dem FBI, der NSA oder CIA, nicht nur den Zugriff ohne richterliche Anordnung auf die Server von US-Unternehmen. Auch ausländische Töchter der US-Unternehmen sind nach dem US-Gesetz verpflichtet, Zugriff auf ihre Server zu gewähren – selbst dann, wenn lokale Gesetze dies untersagen, d. h. der USA PATRIOT Act beinhaltet einen exterritorialen Geltungsanspruch (man stelle sich vor, jedes Land würde so verfahren).

Der US-Kongress soll die Aktivitäten der US-Bundesbehörden überwachen. Zwei Mitglieder des zuständigen Ausschusses, die Senatoren Wyden und Odall, berichteten, es gebe eine geheime Richtlinie des Justizministeriums. Danach seien die Befugnisse der US-Bundesbehörden weitergehend als in der Öffentlichkeit bekannt (vergleiche: https://www.wired.com/2011/05/secret-patriot-act/). Darüber leugneten und relativierten maßgebliche US-Politiker und Repräsentanten der US-Bundesbehörden, wie z. B. Mike Rogers, der Vorsitzende des Geheimdienstausschusses im Repräsentantenhaus der USA (also auf dem Papier einer der wichtigsten Kontrolleure der NSA), den Umfang der Überwachung, z. B. in einer offiziellen Anhörung vor dem Ausschuss für Bürgerliche Freiheiten, Justiz und Inneres (LIBE) des EU-Parlaments am 17.12.2013 (vergleiche: http://www.zeit.de/digital/datenschutz/2013-12/nsa-eu-mike-rogers). James Clapper verneinte in seiner damaligen Funktion als Director of National Intelligence (und als solcher Koordinator der Geheimdienste der USA) bei einer Anhörung vor dem Intelligence Committee des US-Senats, dass die NSA „wissentlich“ Daten von hunderten von Millionen oder hunderten von Millionen von US-Amerikanern sammelt (http://www.businessinsider.com/james-clapper-lied-congress-nsa-surveillance-collection-spying-2013-7?IR=T).

Vor den Veröffentlichungen des Whistleblowers Edward Snowden (vergleiche: https://edwardsnowden.com/de/) ging die Öffentlichkeit davon aus, dass Abhörmaßnahmen nur gezielt und in Einzelfällen erfolgt. Anfang Juni 2013 wurde jedoch bekannt, dass die US-Bundesbehörden in weitaus größerem Maße als bisher bekannt oder angenommen Daten abgreifen (vergleiche: http://www.spiegel.de/politik/ausland/obama-baut-usa-zum-ueberwachungsstaat-aus-a-904285.html und http://www.spiegel.de/netzwelt/netzpolitik/projekt-prism-nsa-spioniert-weltweit-internet-nutzer-aus-a-904330.html). Nach diesen Berichten werden seit 2007 die Server großer Unternehmen wie Microsoft, Google, Yahoo und vieler Telefonprovider kontinuierlich abgegriffen.

Auch eine qualitative Ausweitung hat stattgefunden: Es werden nicht nur E-Mails, sondern auch Telefongespräche, Videokonferenzen etc. kontinuierlich als Quellen abgeschöpft. Die Daten werden bei der NSA in einer speziellen Datenbank gespeichert und bei Bedarf mit Methoden des Data-Mining nach relevanten Datenmustern durchsucht. Auf Anordnung des Foreign Intelligence Surveillance Court (FISC), eines Gerichts, dessen Sitzungen und Urteile geheim sind, werden seit 2003 alle Bestands- und Verkehrsdaten von internationalen Nutzern durch die Telefongesellschaften und seit 2007 die der US-amerikanischen Internetunternehmen an die NSA übermittelt.

In ihrer Datenschutzerklärung (Privacy Declaration) bekräftigen diese Unternehmen häufig, dass nur dann Daten weitergegeben werden, wenn ein Gerichtsurteil vorliege. Da aber der FISC ein geheimes und zugleich umfassend wirkendes Urteil zum Zugriff durch die NSA erlassen hat, ist davon auszugehen, dass potentiell alle Daten internationaler Nutzer durch US-Provider an die NSA weitergeleitet werden.

Neben dem Schutz personenbezogener Daten wird in der Literatur auch auf die Gefahr verwiesen, dass der USA PATRIOT Act zur Wirtschaftsspionage missbraucht werden könne. Bereits 1993 und damit noch vor dem Inkrafttreten des USA PATRIOT Act hatte Präsident Bill Clinton erklärt, CIA und NSA sollten amerikanischen Firmen bei internationalen Geschäften behilflich sein (vergleiche: http://www.sueddeutsche.de/digital/streit-um-echelon-wirtschaftsspionage-1.101852). Durch die Enthüllungen von Edward Snowden wurde auch die Diskussion über mögliche Wirtschaftsspionage auf der Grundlage des USA PATRIOT Act verstärkt.

Teile des USA PATRIOT Act sind am 1. Juni 2015 abgelaufen und wurden tags darauf am 2. Juni 2015 durch die Bestimmungen des USA FREEDOM Act ersetzt. Dieser Begriff ist wiederum ein Apronym und bedeutet Uniting and Strengthening America by Fulfilling Rights and Ending Eavesdropping, Dragnet-collection and Online Monitoring Act (vergleiche: https://www.heise.de/newsticker/meldung/Freedom-Act-beschlossen-NSA-darf-auch-wieder-US-Telefone-ueberwachen-2678152.html).

Leider hält der Inhalt des USA FREEDOM Act nicht, was die Überschrift verspricht, denn das Gesetz erlaubt der National Security Agency (NSA) auch weiterhin, die Festnetz- und Handyanschlüsse von Millionen US-Amerikanern Tag für Tag zu überwachen. Allerdings darf die NSA die Daten künftig nicht mehr selbst speichern, sondern muss diese Aufgabe nach einer Übergangsfrist von sechs Monaten an die Telefongesellschaften abgeben. Nur bei begründetem Terrorverdacht und nach Beschluss des Geheimgerichts FISC darf die Behörde die Daten abfragen. Die NSA muss ihre Arbeit zudem transparenter gestalten. Die Spionage im Ausland ist von der Reform nicht betroffen.

Wer darauf gehofft hatte, dass die am 12. Juli 2016 von der EU-Kommission verabschiedete endgültige Fassung des „EU-US Privacy Shield“-Abkommens der Sammelwut der US-Bundesbehörden wirksam Einhalt gebietet, wurde enttäuscht. Die Regelungen des EU-US Privacy Shield treten an die Stelle des „Safe Harbor“-Abkommens – einer Entscheidung der Europäischen Kommission aus dem Jahr 2000, die es Unternehmen ermöglichen sollte, personenbezogene Daten in Übereinstimmung mit der europäischen Datenschutzrichtlinie aus einem Land der Europäischen Union in die USA zu übermitteln. Das Safe Harbor-Abkommen wurde vom Gerichtshof der Europäischen Union (EUGH) in seinem Urteil vom 6. Oktober 2015 aus formalen Gründen für unwirksam erklärt.

Das „EU-US Privacy Shield“-Abkommen – die amerikanische Presse sprach von einem „Deal“ – war von Anfang an erheblicher Kritik ausgesetzt. Maximilian Schrems, der Kläger in dem Ausgangsverfahren, durch das das Safe-Harbor-Abkommen zu Fall gebracht worden war, kritisierte, dass es nach seinem Dafürhalten nach dem Inkrafttreten des  EU-US Privacy Shield-Abkommens keine wesentlich andere Rechtslage gebe, als zuvor unter der Geltung von Safe-Harbor: „Da steht genauso drin, US-Recht hat Vorrang, wenn US-Recht sagt, die Daten dürfen abgefangen werden, dann dürfen die abgefangen werden.“

Nach Prüfung der veröffentlichten Unterlagen wurde der EU-US Privacy Shield auch von 27 Bürgerrechtsorganisationen und von Datenschützern abgelehnt. Moniert wurde vor allem, dass das Abkommen rechtlich nicht verbindlich sei, weil es sich dabei um keinen Vertrag, sondern lediglich um eine Sammlung von Briefen handele. Auch blieben Massenüberwachungsmaßnahmen durch die amerikanische Regierung weiterhin zulässig und die Betroffenen könnten ihre Rechte weiterhin nicht wirksam verfolgen, weil sie von der Überwachung gar nicht erführen.

Last but not least bietet auch die 24. Mai 2016 in Kraft getretene EU „Datenschutz-Grundverordnung“ (General Data Protection Regulation, GDPR), mit der die Regeln für die Verarbeitung von personenbezogenen Daten durch private Unternehmen und öffentliche Stellen EU-weit vereinheitlicht werden, keinen wirksamen Schutz vor Ausforschung durch die US-Bundesbehörden. Die Datenschutz-Grundverordnung ersetzt die aus dem Jahr 1995 stammende Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, um einerseits den Schutz von personenbezogenen Daten innerhalb der Europäischen Union sicherzustellen und andererseits den freien Datenverkehr innerhalb des Europäischen Binnenmarktes zu gewährleisten.

Fazit:
Die Kombination folgender Faktoren ist ein absolutes Desaster sowohl für die Glaubwürdigkeit und Vertrauenswürdigkeit datenverarbeitender US-amerikanischer Unternehmen (wie z. B. wie Apple, Google, Microsoft, Amazon, HP, IBM, Accenture, Oracle, Cisco, AT&T, Verizon oder General Electric), als auch der US-amerikanischen Regierung:

• Massenüberwachungsmaßnahmen, die ohne Gerichtsbeschluss  von US-Bundesbehörden auch außerhalb der Landesgrenzen der USA durchgeführt werden dürfen (exterritorialer Rechtsanspruch),
• Verpflichtung der datenverarbeitenden US-Unternehmen unter Strafandrohung zur Verschwiegenheit gegenüber den Betroffenen und der Öffentlichkeit,
• Leugnung und Relativierung der Überwachungsmaßnahmen durch US-Politiker und Repräsentanten von US-Bundesbehörden in der Öffentlichkeit und gegenüber Kontrollgremien,
• die nicht auszuschließende Existenz geheimer Richtlinien des US-Justizministeriums, die den US-Bundesbehörden weitergehende Befugnisse zugestehen,
• und die mögliche Weitergabe von geistigem Eigentum, das die US-Bundesbehörden im Rahmen ihrer Überwachungsmaßnahmen gesammelt haben, an die US-amerikanischen Wettbewerber ausländischer Unternehmen

Die Risiken durch den potenziellen Missbrauch personenbezogener Daten bzw. Diebstahl geistigen Eigentums sind für europäische Unternehmen so groß, dass die Auftragsvergabe an US-Unternehmen oder die Nutzung US-amerikanischer Cloud-Services zumindest für kritische Anwendungsfälle nicht geboten erscheint, solange Gesetze, wie der USA FREEDOM Act, geltendes Recht verkörpern.

Umso erstaunlicher ist es, dass die Öffentlichkeit in Deutschland und der EU sowie die Verantwortlichen in den meisten deutschen bzw. europäischen Unternehmen kaum Notiz von diesen gravierenden Fehlentwicklungen und den damit einhergehenden Risiken nehmen, geschweige denn dagegen aufbegehren – wenn nicht gerade das Mobiltelefon der Bundeskanzlerin durch die Abhöraktionen betroffen ist (oder die Forschungs- und Entwicklungsabteilung des eigenen Unternehmens).

Bei allem Verständnis für das traumatische Schockerlebnis, das die Anschläge vom 11. September 2001 mit ca. 3.000 Toten für die US-Amerikaner und den Rest der Welt bedeuteten, so muss man doch die Frage nach der Verhältnismäßigkeit der Mittel stellen.

Zwischen 2001 und 2013 kamen laut Statistik 406.496 US-Amerikaner in den USA durch Schusswaffen ums Leben (davon ca. zwei Drittel Selbstmörder) und 3.380 durch Terroranschläge auf der ganzen Welt (vergleiche: http://www.faz.net/aktuell/politik/waffengewalt-in-amerika-die-ernuechternde-sprache-der-zahlen-13838146.html) – das ist eine Relation von 100 zu 1. Rechnet man die Zahl der Terroropfer des 11. September 2001 als einmaliges Ereignis heraus, so kommen sogar rund 1.000 Tote durch Schusswaffen in den USA auf ca. 1 US-amerikanisches Terroropfer auf der ganzen Welt. In den 26 Jahren zwischen 1990 und 2016 starben insgesamt 9.480 US-amerikanische Soldaten in Kriegen und bewaffneten Konflikten (vergleiche: https://de.statista.com/statistik/daten/studie/72801/umfrage/kriege-der-usa-nach-anzahl-der-soldaten-und-toten/) – das ist weniger als ein Drittel der US-Amerikaner, die durch Schusswaffen in den USA ums Leben kommen – und zwar jedes Jahr.

Angesichts dieser Zahlen fällt es schwer zu glauben, dass die mehr als 50 Milliarden US-Dollar, die die US-Regierung jährlich für ihre Geheimdienste ausgibt, ausschließlich der Terrorbekämpfung dienen (vergleiche: http://www.zeit.de/digital/datenschutz/2013-08/geheimdienste-haushalt-snowden-nsa-cia).

Mehr als 15 Jahre nach den Terroranschlägen vom 11. September 2001 ist es an der Zeit, die gravierenden politisch-juristischen Fehlentwicklungen endlich zu korrigieren und den USA PATRIOT/FREEDOM Act dorthin zu verbannen, wo er hingehört: Auf den Müllhaufen der Geschichte.