9/11: Her mit den Daten!

Vor den Anschlägen des 11. September 2001 gab es vage Vorstellungen vom Überwachungsstaat. Geprägt waren sie von der totalitären Vision eines George Orwell und den konsumdiktatorischen Dystopien eines Aldous Huxley. Im realen Leben erlebten Bürger sozialistischer Staaten eine effiziente Unterdrückung von Oppositionskräften durch eine nahezu flächendeckende Ausspähung im Privaten. Bürger demokratischer Staaten wurden hingegen aus politischen Gründen dann überwacht, wenn sie links- oder rechtsextremistischen Ansichten nachhingen.

Relikte des Kalten Kriegs
Lange gingen Bürger westlicher Staaten selbstverständlich davon aus, dass staatliche Überwachung nur mit Augenmaß vorgenommen würde. Dieser Eindruck bröckelte zehn Jahre nach dem Ende der Sowjetunion: Im Sommer 2001 stellte ein Untersuchungsausschuss des Europäischen Parlaments fest, dass der ominöse Datenstaubsauger in der Welt der Satelliten, bekannt geworden unter dem Codenamen Echelon, tatsächlich existierte. Echelon war ein Relikt des Kalten Kriegs: Die angelsächsischen Staaten Großbritannien, Kanada und Neuseeland hatten unter der Ägide der USA jahrzehntelang die gesamte, über Satelliten geleitete Kommunikation weltweit abgehört, auch Seekabel wurden angezapft.

Ursprünglich war Echelon gegen die Ostblock-Staaten gerichtet, nach dem Mauerfall wurde das System jedoch nicht mangels Aufträgen abgeschaltet, sondern neuen Aufgaben zugeführt: Es wurde auch zur Konkurrenzspionage verwendet, um „das Spielfeld zu ebnen“. Gemeint war damit: Die Wettbewerbsvorteile, die Unternehmen wie Siemens durch Bestechung erzielten, durch einen Informationsvorteil auszugleichen. Das soll leidlich funktioniert haben. Bekannt war das den betroffenen europäischen Unternehmen übrigens durchaus, doch öffentlich beschwert man sich darüber bis heute nicht. Man ist ja unter Freunden.

„Her mit den Daten!“
Im Sommer 2001 mahnte das Europäische Parlament diplomatische Verhandlungen mit den USA an, einen besseren Rechtschutz für europäische Bürger und natürlich einen effektiveren Selbstschutz durch kryptografische Werkzeuge. Die Verhandlungen kamen später anders zu Stande wie gedacht: Unter dem Vorzeichen des „Kriegs gegen den Terror“ wurden die umfassenden Datentransfers schrittweise über Rechtsakte legalisiert. Sie betreffen nicht mehr nur Unternehmen, sondern jeden einzelnen Bürger.

Die Vorratsdatenspeicherung etwa wurde EU-weit durchgesetzt – interessanterweise nicht in den USA selbst. Dort war es auch nicht nötig, da die Betreiber anders als die europäischen Unternehmen von sich aus viel länger die Daten speicherten und mit den Behörden über geheime Vereinbarungen teilten. Ohne richterliche Genehmigung wurden nicht nur Internetverkehre, sondern auch Telekommunikationsgespräche erfasst, kopiert und gefiltert.

wurde dies durch den Whistleblower Mark Klein, der für den Telekomkonzern AT&T gearbeitet hatte. Das Mantra der Sicherheitsbehörden lautete damals, so erzählt der ehemalige NSA-Mitarbeiter Thomas Drake schlicht: „Her mit den Daten!“

Der biometrische Ausweis ist heute internationaler Standard: Biometrische Daten von Gesicht und Fingern sollen die Fälschungssicherheit in der neuen Ausweisgeneration gewährleisten. Ursprünglich dachte man aber daran, dass bei Grenzkontrollen diese Daten aus den Ausweisen ausgelesen werden sollen. Dass dies nicht klappte, hat etwas mit der Datenschutz-Affinität europäischer Staaten zu tun. Die amerikanischen Grenzschutzbehörden erfassen die Merkmale daher nun selbst bei den Einreisenden. Bei den ausländischen Personen von Interesse, zu denen noch keine Merkmale vorliegen, werden entsprechende Beschaffungsmaßnahmen eingeleitet, wie geheime Depeschen des US-Außenministeriums zeigten.

Wertvolles Logistikwissen
Auch Logistikprozesse werden durchleuchtet: Mit der Soll-Sicherheitsinitiative zum Schutz der EU-Außengrenzen müssen Unternehmen seit 2007 ihre Waren für den Im- und Export elektronisch voranmelden. Dass das System im Prinzip funktioniert, wurde nach den Terroranschlägen von Oslo klar: Lieferungen von chemischen Substanzen, die der Attentäter bei einer polnischen Firma bestellt hatten, waren auf dem Radar der Sicherheitsbehörden aufgetaucht. Nur hatte niemand Schlussfolgerungen gezogen, weswegen die norwegische Polizei jetzt in Kritik geraten ist. Entsprechende Regelungen gibt es auch für Im- und Exporte in die USA.

Wie detailliert die Angaben sind, die europäische Unternehmen an die US-Zollbehörden liefern, zeigte sich 2006, als bekannt wurde, dass das US-amerikanische Marktforschungsunternehmen „Port Import and Export Report Service“ (Piers) über das amerikanische Informationsfreiheitsgesetz Zugriff auf eben diese Daten hat - und sie in einer kostenpflichtigen Datenbank weiterverwertet. Die Daten gaben nicht nur Einblick in den Umfang von Exporttätigkeiten, sondern auch in Geschäftsgeheimnisse von Unternehmen, da sie nicht nur aufzeigten, was geliefert wurde, sondern auch wie viel an wen und über welche Häfen.

Kontrolle ist eine Standortfrage
Doch nicht nur Waren und Unternehmen werden durchleuchtet, auch jeder Reisende ist im Visier. Das von der amerikanischen Behörde für Reisesicherheit entwickelte Flugpassagier-Kontrollsystem stufte Passagiere mit einem Farbsystem in verschiedene Risikokategorien ein: „Grün“ für „minimales Risiko“, „Gelb“ für „erhöhte Sicherheitsmaßnahmen“ und „Rot“ für „Sicherheitspersonal alarmieren und etwaige Festnahme einleiten“. Innerhalb von fünf Sekunden soll das System im Abgleich mit US-Geheimdienstdaten eine Analyse und Risikoabschätzung erstellen und Terroristen identifizieren können. Inzwischen will auch die Europäische Union ein solches System einsetzen, Großbritannien drängt darauf, auch die Daten von Bahn- und Schiffsreisenden zu erfassen.

Erst acht Jahre nach Beginn der Flugpassagierdaten-Auswertung durch die Amerikaner begann die Europäische Kommission mit den US-Behörden über ein Mindestmaß an Datenschutz zu verhandeln. Auch im Jahr 2011 gibt es keine wesentlichen Verhandlungsfortschritte. Die USA bestehen darauf, die Daten selbst von den Servern der Buchungssysteme zu ziehen, während die Europäer den Datenfluss umkehren wollen: Die Amerikaner sollen anfordern, die Europäer wollen nach erfolgter Kontrolle liefern.

Die USA werden sich wohl durchsetzen, denn anders als bei den Bankdaten haben die Europäer die schlechteren Karten in der Hand: Die Server des Amadeus-Buchungssystems stehen in den USA. Erfolg werden die Verhandlungen zu den Flugpassagierdaten vermutlich erst dann haben, wenn die betreffenden Amadeus-Server auf europäischen Boden stehen. Das zeigt die Geschichte der Bankdaten.

Der Zugriff der Amerikaner auf europäische Bankdaten erfolgte seit 2001 klandestin, ohne jede rechtliche Grundlage. Erst 2010 konnten die Europäer die Regelung durchsetzen, dass die Amerikaner anfordern, und die Europäer liefern - nachdem 2009 die Server, über welche die europäischen Transaktionen abgewickelt wurden, auf Betreiben europäischer Datenschützer auf europäischem Boden verlagert wurden.

Der Verhandlungserfolg ist damit nicht von der jeweiligen Rechtslage, sondern schlicht von den Server-Standorten abhängig. Auch der jüngste Streit um die Auslieferung kubanischer Waren durch europäische Online-Shops, die über das amerikanische Bezahlsystem Paypal bezahlt werden, zeigt, dass es Standortfragen sind, die über die Durchsetzung von Recht im weltweiten Netz entscheiden. US-Recht sticht EU-Recht.

Faustrecht und Kontrollverlust
Aufklärerisch-demokratische Prinzipien wie die Gewaltenteilung wurden in Sachen Vorratsdatenspeicherung, Flugpassierdaten und Finanztransferdaten ignoriert: Die Sicherheitsbehörden preschten mit klandestinen Maßnahmen vor, die Jahre später aufgedeckt wurden und wieder Jahre später in Regelwerken eingefangen werden, die aber den rechtstaatlichen Grundsatz der Unschuldsvermutung und gängige Datenschutzstandards aufweichen, wenn nicht gar ignorieren. Einmal eingeführt, werden die Maßnahmen zum Kampf gegen den Terror zur Ahndung aller möglichen Straftaten verwendet. Faustrecht wird so alltägliche Rechtspraxis. Sogar reine Vermutungen können zur scheinbaren Wahrheit werden: So fanden sich auf der Terrorliste der Vereinten Nationen Personen , die keine Gelegenheit hatten, sich gegen die existenzvernichtenden Vorwürfe zu wehren. Was früher allein das Metier der Geheimdienste war, erledigen diese heute Hand in Hand mit Polizei und Zoll.

Die USA sind zum Datenimperium geworden. Sie holen den Rohstoff Daten in der Europäischen Union ein, verarbeiten und analysieren ihn in eigenen Datenfarmen, kondensieren und verfeinern ihn zu Sicherheitsberichten. Ausgegeben wird er als Warnmeldung oder Handlungsanforderung. Doch wie diese Meldungen und Anforderungen zu Stande kommen, wie die Sicherheitslage tatsächlich bewertet wird, bleibt hegemoniales Wissen.

Der aufgeblähte Sicherheitskomplex der Supermacht USA hat jedoch, wie die Washington Post zeigte, längst die Kontrolle über sich verloren. Auf dem Weg dahin wurden Grundrechte ignoriert, wie sie vor tausend Jahren in der „Magna Charta“ festgehalten wurden. Völkerrecht wurde ausgehebelt, befreundete Staaten wurden wie Vasallen behandelt. Ein Verlust an zivilisatorischer Selbstkontrolle, aus dem Norwegen vielleicht gelernt hat. Nach den Terroranschlägen in Oslo beschworen Bürger wie Politiker, dass man an der freiheitlichen Verfasstheit des Landes nicht rütteln werde.

Wie Ideen ungeteilter Informationsmacht Forschungsprojekte beflügeln, die an der Fusion unterschiedlichster Datenbestände arbeiten, darüber berichtet morgen der vierte Teil der Futurezone-Serie zu den Folgen der Anschläge vom 9.11.

• Serie Teil Eins: Der Anfang vom Ende der Anonymität
• Serie Teil Zwei: Folge den Netzwerken