Unternehmen im datenschutzrechtlichen Würgegriff der US-Behörden

Geschrieben am: | Geschätzte Lesezeit: 4 Minuten

Wie stark nutzen US-amerikanische Behörden eigentlich ihr Recht, personenbezogene Daten von Unternehmen zu kontrollieren? Angesichts der spektakulären Entscheidung des Europäischen Gerichtshofs (EuGH), den Datentransfer in die USA auf Grundlage des Safe-Harbor-Abkommens für unwirksam zu erklären, gewinnt diese Frage neue Brisanz. Immerhin führte das Gericht die massenhaften und unkontrollierten Überprüfungsaktivitäten US-amerikanischer Behörden als wichtiges Argument an. Denn dies sei nicht mit den datenschutzrechtlichen Regelungen der EU vereinbar, so der EuGH. Wie aktuelle Veröffentlichungen zeigen, lag der Gerichtshof mit seiner Urteils-Begründung noch näher an der Realität, als zu befürchten war.

Überwachung mittels Patriot Act (jetzt Freedom Act)

Nach den Anschlägen vom 11. September 2001 erlaubte der USA Patriot Act (mittlerweile durch den USA Freedom ACT abgelöst) amerikanischen Behörden von Unternehmen Informationen einzuholen, die von nationalem Interesse für die USA sein könnten. Dies betraf auch Informationen über Personen außerhalb der USA, da die Vereinigten Staaten in diesem Zusammenhang das Territorialprinzip nicht anerkennen.

Das Zugriffrecht auf diese Informationen konnten Behörden unabhängig ausüben, also ohne dass eine weitere, z. B. richterliche Prüfung vorgesehen war. Im Rahmen des Safe-Harbor-Urteils des EuGHs wurde unter anderem dieser Umstand als unverhältnismäßig gerügt, da damit eine vorbehaltlose und unkontrollierte Überprüfung von personenbezogenen Daten ohne jeglichen Zweckvorbehalt Tür und Tor geöffnet wurde. Die Richter des EuGHs sollten Recht behalten.

Datenüberwachung per „National Security Letter“

Inzwischen hat sich herausgestellt, dass US-amerikanische Behörden für ihre Überwachungsaktivitäten massenhaft sogenannte „National Security Letter“ (NSL) verschickt haben. Mittels dieser brieflichen Anordnungen werden Unternehmen zu Auskünften über ihre Kunden gezwungen. Selbst ein Konzern wie Microsoft scheiterte damit, gerichtlich gegen die Anordnungen vorzugehen, obwohl man mit der Unrechtmäßigkeit einer solchen Verfügung argumentierte.

Besonders heikel ist an den NSL, dass die betroffenen Unternehmen ihre Kunden über diese Anordnung nicht in Kenntnis setzen dürfen. Deshalb setzte sich im englischsprachigen Raum schnell die Bezeichnung „Gag Order“ – zu Deutsch etwa „Würge-Anordnung“ – durch.

Was fragt ein „National Security Letter“ alles ab?

Für die europäische Öffentlichkeit ist es besonders interessant, dass nun nach jahrelangem Rechtsstreit in den USA ein solcher „National Security Letter“ an einen kleinen Internet-Service-Provider veröffentlicht werden durfte. Der Inhalt des NSL macht die Ausmaße der Überwachung deutlich, denn angefragt wurden in diesem beispielhaften Fall äußerst umfassende Daten:

  • DSL-Account Informationen;
  • Radius Protokolle;
  • Teilnehmername und die dazugehörigen Teilnehmerinformationen;
  • Kontonummer;
  • Datum, an dem das Konto geöffnet oder geschlossen wurde;
  • Adressen im Zusammenhang mit dem Konto;
  • Teilnehmer-Telefonnummern (tags/abends);
  • Kontonamen oder andere Online-Namen im Zusammenhang mit dem Konto;
  • Bestellformulare;
  • Aufzeichnungen über Bestellungen und Versandinformationen der letzten 180 Tage;
  • alle Rechnungen in Bezug auf das Konto;
  • Internet Service Provider (ISP);
  • Alle E-Mail-Adressen verknüpft mit (IP)-Adressen des Kontos;
  • Alle Webseiteninformationen zu dem Konto;
  • Web Adressen (URL) des Kontos;

und, nicht zu vernachlässigen:

  • alle sonstigen Informationen, von denen der Provider glaubte, dass es sich um eine elektronische Kommunikation handelt.

An dieser Stelle sollte nicht unerwähnt belieben, dass der veröffentlichte NSL auf das Jahr 2004 datiert ist. Es entzieht sich jeglicher Kenntnis, was mittlerweile darüber hinaus noch alles abgefragt wird. Bekannt ist nur, dass allein zwischen 2003 und 2005 ca. 140.000 solcher Briefe verschickt wurden.

Fazit: Quo vadis internationaler Datenverkehr?

Natürlich handelt es sich bei den angeforderten Informationen ausschließlich um personenbezogene Daten. Nach EU-Regelungen und auch nach dem Verständnis des Bundesdatenschutzgesetzes (BDSG) dürfen solche Daten aber nur zweckbezogen verarbeitet werden und der Vorgang muss insgesamt verhältnismäßig sein. Zusätzlich steht die Erlaubnis, die personenbezogenen Daten einer Person (ohne deren Einwilligung) einzusehen, unter dem Vorbehalt einer richterlichen Prüfung.

Unter anderem wegen des Ausmaßes und der Unkontrollierbarkeit der Dateneinsicht kippte der EuGH die Regelungen zu Safe Harbor. Der veröffentlichte NSL zeigt auf, welche Arten von Daten US-amerikanische Behörden anfragen. Angesichts der schieren Menge – sowohl der Daten, als auch der versandten NSL – liegt der EuGH mit seinem Urteil über das Safe-Harbor-Abkommen sicher richtig.

Derzeit bemüht sich die Europäische Kommission um ein erneuertes Abkommen mit den USA, um den Datentransfer in die Vereinigten Staaten zu ermöglichen. Nach letzten Aussagen von EU-Justizkommissarin Věra Jourová soll der neue Beschluss noch im Januar 2016 verabschiedet werden. Dabei bleibt aus europäischer Datenschutz-Perspektive zu hoffen, dass die Erkenntnisse rund um die NSL bei den Verhandlungen berücksichtigt werden.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Eine Antwort hinterlassen

Ihre E-Mail wird nicht veröffentlicht. * Benötigte Felder.

Netiquette: Wir dulden keine grob unsachlichen Beiträge oder Werbung in eigener Sache und werden entsprechende Einträge nicht veröffentlichen, sondern löschen. Alle weiteren Informationen zum Umgang mit Ihren Daten finden Sie in unserer Datenschutzerklärung.