© Schreiber Dominik/kba

EU-Studie

Cloud: "US-Massenüberwachung der EU-Bürger"

Barbara Wimmer

US-Präsident Barack Obama hat vor kurzem die Verlängerung des "Foreign Intelligence Surveillance Act" (FISA) unterzeichnet. Für EU-Bürger bedeutet dies, dass alle Daten, die sie in Cloud-Diensten von Unternehmen wie Facebook gespeichert haben, von US-Geheimdiensten jederzeit abgerufen werden können. Das war auch bereits bisher möglich - doch einige weitere Zusätze wurden bisher unterschätzt, wie eine aktuelle EU-Studie zeigt.

Dieser Artikel ist älter als ein Jahr!

Eine EU-Studie des Centre D`Etudes Sur Les Conflits und des Centre for European Policy Studies (PDF) warnt davor, dass die größte Gefahr beim Cloud Computing nicht Cyberkriminalität sei, sondern Zugriffe durch Behörden. Vor allem FISA, ein Gesetz das die Abhörmaßnahmen der Bush-Regierung nachträglich legalisieren sollte und nun von Obama bis 2017 verlängert wurde, ermögliche Sicherheitsbehörden unter Geheimhaltung den Zugriff auf Cloud-Daten von europäischen Internet-Nutzern. Die Nutzer erfahren davon freilich nichts, eine richterliche Genehmigung auf den Zugriff ist nicht notwendig, auch die Inhaber der Datenbanken müssen nicht darüber informiert werden.

Auch "Patriot Act" gefährlicher als vermutet
Zusammen mit dem "Patriot Act", der es ermöglicht, dass Cloud-Daten aus der EU, die bei US-amerikanischen Unternehmen gespeichert werden, durch Behörden eingesehen werden können, stellt FISA ein wichtiges Tool der US-Geheimdienste dar, Kommunikation von Europäern zu überwachen. Denn auch der "Patriot Act" kann viel weiter interpretiert werden, als usprünglich vermutet, wie die "Süddeutsche Zeitung" unter Berufung auf einer niederländische Untersuchung schreibt.

Laut der Zeitung sei es in den Niederlanden theoretisch sogar möglich, dass die Fingerabdrücke der Bürger nicht vor derartigen Zugriffen vom US-Geheimdienst geschützt sein sollen, weil die Firma Morpho, die die biometrischen Pässe für die Niederlande produziert, Teil eines Rüstungsunternehmens sei, das in den USA Geschäfte macht. Gerechtfertigt würde ein Zugriff durch die "Patriot Act".

Daten dürfen auch nach Stichworten durchsucht werden
Während es sich beim "Patriot Act" allerdings um "gezielte Abfragen" handelt, ermöglicht ein Zusatz im FISA-Gesetz das Durchsuchen der Cloud-Daten nach Stichworten unabhängig von Personen - und zwar auch von Daten, die in Europa liegen und nicht in den USA. In der "Fighting Cybercrime and Protecting Privacy in the Cloud" -Studie heißt es: "Alle Daten, auch wenn sie in Europa verarbeitet wurden, fallen darunter, sobald sie in der Cloud gespeichert werden." Die Studie wurde übrigens im Auftrag des Ausschusses für Bürgerrecht, Justiz und Inneres erstellt.

Laut Co-Studienautor Caspar Bowden, der früher hauptverantwortlicher Datenschutz-Berater bei Microsoft Europe war, scheint man innerhalb der EU diesen Zusatz nicht gekannt oder übersehen zu haben. Laut Bowden sei damit eine "großkalibrige Massenüberwachung der Cloud" möglich. "Die Presse" schreibt gar, dass weder der EU-Kommission noch dem EU-Parlament oder nationalen Datenschützern der Zusatz bekannt gewesen sei. Die Studienautoren empfehlen der EU nun, ihre Bürger über den mangelnden Schutz ihrer Cloud-Daten zu informieren.

Keine Rechte für EU-Bürger
Laut der EU-Studie können sich Nicht-Amerikaner vor unverhältnismäßigen Datenzugriffen nicht schützen. Während US-Bürger durch den vierten Verfassungszusatz geschützt sind, gilt dies für Ausländer (und auch EU-Bürger) nicht. Der Vorstoß von EU-Kommissarin Viviane Reding, ein Abkommen zur Datenübermittlung zwischen EU und USA zu verhandeln, blieb bisher im "Verhandlungsstatus" stecken. Die Studienautoren hoffen nun darauf, dass die EU-Kommission wieder aktiv wird und darauf drängt, dass EU-Bürger rechtlich US-Bürgern gleichgestellt werden.

Trick durch EU-Datenschutzverordnung
Auch die geplante EU-Datenschutzverordnung könnte dabei eine Rolle spielen, dass die Gespräche zwischen den USA und der EU wieder aufgenommen werden. Ein Artikel, der zuvor bereits aufgrund "starken Drucks der US-Regierung" aus dem Entwurf wieder entfernt wurde, wurde nun im derzeit aktuellen Entwurf wieder aufgenommen. Dieser besagt, dass Unternehmen sensible Daten von EU-Bürgern nur dann an ausländische Behörden übermitteln dürfen, wenn dies durch ein entsprechendes Rechtshilfeabkommen gedeckt sei. Das würde bedeuten: ohne Abkommen zur Datenübermittlung keine Daten für die USA.

Ob dies als Druckmittel der Europäer ausreicht, um ihre Cloud-Daten vor Abfragen aus den USA zu schützen, bleibt abzuwarten. Zuerst müssen sich nämlich die Justizminister der Einzelstaaten sowie das EU-Parlament auf einen endgültigen Entwurf der EU-Datenschutzverordnung einigen. Es ist derzeit

unklar, wann die Datenschutzverordnung verabschiedet wird. Zuletzt hatte der Ministerrat die Arbeiten nämlich enorm verzögert.

Ausbau der Datenzentren
In den USA wird unterdessen weiter am Ausbau der Überwachungsmöglichkeiten der Behörden gearbeitet. Im US-Bundesstaat Utah werden derzeit beispielsweise

riesige Datenzentren der Sicherheitsbehörde NSA gebaut. "Der Zweck dieser Datencenter ist, uns massiv überwachen zu können", so Appelbaum. “Informationen werden dort hundert Jahre gespeichert werden. Und diese Datencenter werden nicht nur die Daten der US-Amerikaner speichern, sondern die Daten von uns allen."

Mehr zum Thema

  • Kompromisse bei EU-Datenschutzverordnung
  • Cloud: "Auch in Europa lesen Geheimdienste mit"
  • Wild Wild Cloud: Datenschutzkontrolle unmöglich
  • Besserer Datenschutz gegen alle Widerstände
  • Microsoft-Cloud berücksichtigt EU-Datenschutz
  • "Keine Dateneinsicht für Fluggastdaten"

Hat dir der Artikel gefallen? Jetzt teilen!

Stand: 15.01.2013, 6:00 Uhr

Barbara Wimmer

shroombab

Preisgekrönte Journalistin, Autorin und Vortragende. Seit November 2010 bei der Kurier-Futurezone. Schreibt und spricht über Netzpolitik, Datenschutz, Algorithmen, Künstliche Intelligenz, Social Media, Digitales und alles, was (vermeintlich) smart ist.

mehr lesen
Barbara Wimmer

Kommentare