Newer posts are loading.
You are at the newest post.
Click here to check if anything new just came in.

August 06 2013

Meine Daten auf großer Reise: Was ist Safe Harbor?

Kaum jemand, der Facebook & Co. nutzt, kennt die Safe-Harbor-Vereinbarung. Doch wie sie den Datenexport von Europa in die USA regelt, betrifft fast jeden, der sich im Internet bewegt. Jan Schallaböck vom Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein erläutert in einem Gastbeitrag die Grundzüge der Vereinbarung und die Aussichten der aktuellen Kontroverse darüber.

Informationen über Europäer dürfen nur dann ins EU-Ausland gelangen, wenn dort ein „angemessenes Datenschutzniveau” existiert. Eigentlich. So fordert es – vereinfacht ausgedrückt – das europäische Recht. Genauer gesagt, sind solche Daten geschützt, die auf eine Person bezogen werden können und in Europa erhoben worden sind.

Wie kann es also sein, dass überhaupt Daten in den Zugriffsbereich von US-Geheimdiensten gelangen? Die Antwort ist einfach: Die EU-Kommission hat vor über zehn Jahren entschieden, dass Unternehmen Daten exportieren dürfen, wenn sie sich an bestimmte Regeln halten. Für sie gilt eine Ausnahme.

Der amerikanische und der europäische Ansatz beim Datenschutz

Die Europäische Union und die USA verfolgen sehr unterschiedliche Herangehensweisen beim Datenschutz. In der EU wird der Schutz der Privatsphäre als Grundrecht betrachtet. Die informationelle Selbstbestimmung – zu wissen, wer was über einen weiß – hält das deutsche Bundesverfassungsgericht sogar für eine „Funktionsbedingung eines (…) demokratischen Gemeinwesens”, wie es im Volkszählungsurteil feststellte. Entsprechend gibt es hierzulande eine umfassende Gesetzgebung darüber, wie Datenverarbeiter mit personenbezogenen Daten umzugehen haben.

Anders in den USA: Zwar forderten auch in Washington Politiker in den vergangenen Jahren immer wieder, den Schutz der Privatsphäre besonders im Internet stärker zu regulieren. Umgesetzt sind bisher aber nur sehr punktuelle Regelungen. Es gibt zum Beispiel den „Video Privacy Protection Act”, der dafür sorgen soll, dass niemand erfährt, welche Filme man ausgeliehen hat. Einzelne Länder wie Kalifornien haben auch weitergehende Bestimmungen, etwa die Pflicht, Datenschutzerklärungen auf Internetseiten zu veröffentlichen.

Insgesamt setzt man bisher aber eher auf die sogenannte Selbstregulierung. Das heißt, Unternehmen verpflichten sich, sich an bestimmte Regeln im Umgang mit den Daten ihrer Kunden zu halten. Wer schlechte Praktiken etabliert, dem werden schon die Kunden ausbleiben – so der marktliberale Gedanke dabei. Auch ein Ansatz.

Wie funktioniert Safe Harbor?

Schwierig wird es jedoch, wenn die Kunden eines US-Dienstes in Europa sitzen: Der US-amerikanische und der europäische Ansatz prallen aufeinander. Europäische Verbraucher sollten damit rechnen dürfen, dass Anbieter, die sich an sie richten, auch europäisches Recht einhalten. Das ist ein anerkanntes Grundprinzip. Als Lösung für dieses Dilemma haben sich amerikanische Unternehmen eine besondere Form der Selbstregulierung ausgedacht: Sie behaupten, einen sicheren Hafen für europäische Daten geschaffen zu haben, die „Safe Harbor Principles”.

Die Safe-Harbor-Prinzipien sind einigen Grundregeln des europäischen Rechtes nachgebildet. So heißt es in den Prinzipien etwa:

  • Die Daten müssen technisch vor fremden Zugriffen geschützt sein.
  • Sie dürfen nur gesammelt werden, wenn der Betroffene zugestimmt hat und auch nicht ohne dessen Wissen weiter gegeben werden.
  • Es gibt Informationspflichten und Auskunftsrechte.
  • Sogar die Zweckbindung soll gelten: Daten dürfen nur für den Zweck verwendet werden, dem der Betroffene zugestimmt hat.

Ein Unternehmen, das sich öffentlich auf der Internetseite der US-Handelskommission FTC zur Einhaltung dieser Prinzipien bekennt, darf die Daten seiner europäischen Kunden in den USA verarbeiten. Gleichzeitig unterwirft sich das Unternehmen auch einer gewissen Kontrolle durch die FTC. Diese hat zwar nicht die gleichen Befugnisse wie Datenschutzbehörden hierzulande, kann aber im Einzelfall durchaus erheblichen Druck entfalten.

Grundlage hierfür ist übrigens kein Abkommen, wie es hin und wieder heißt, denn es gibt hierzu keinen Vertrag zwischen der EU und den USA. Die EU-Kommission kann vielmehr im Einzelfall anerkennen, dass ein Land ein angemessenes Datenschutzniveau hat, und die Daten dort verarbeitet werden können. Natürlich ist „Safe Harbor” selbst kein Land; eigentlich ist es noch nicht einmal ein sicherer Hafen, wie wir jetzt wissen. Aber die EU-Kommission hat im August 2000 unter erheblicher Dehnung der rechtlichen Vorgaben entschieden, dass die Safe-Harbor-Prinzipien ausreichen und ein angemessenes Schutzniveau für Europäische Verbraucher gewährleisten.

Zugriffe durch US-Behörden

Auch für Daten bei US-Anbietern gilt nach Safe Harbor also das Zweckbindungsprinzip. Wie ist der Zugriff durch US-Geheimdienste dann mit den Safe-Harbor-Prinzipien zu vereinbaren? Hier liegt die Antwort ebenfalls in einer Ausnahme: Das zugrundeliegende Dokument nimmt den Bereich der nationalen Sicherheit und der Strafverfolgung pauschal aus der Vereinbarung aus.

Das hat die Europäische Kommission im Jahr 2000 jedoch nicht von ihrer Entscheidung für die Vereinbarung abgehalten. Auch als die Entscheidung im Jahr 2004 überprüft wurde, kam man zum gleichen Ergebnis. Ob das so klug war, ist zweifelhaft: Kritische Studien hat die Kommission damals zwar in Auftrag gegeben, aber dann doch lieber nicht veröffentlicht.

Auch die Datenschutzbehörden des Bundes und der Länder haben mehrfach – zuletzt gemeinsam am 24. Juli – eine kritische Überprüfung dieser Entscheidung angemahnt. Zivilgesellschaftliche Initiativen wie Europe-v-Facebook oder der Datenschutz-Aktivist Alexander Hanff haben bereits die Aussetzung der Safe-Harbor-Vereinbarung gefordert. Selbst die EU-Justizkommissarin Viviane Reding hat mittlerweile Zweifel am „sicheren Hafen” formuliert. Offen ist, wie die Sache ausgeht.

Was wäre ohne Safe Harbor?

Über die Konsequenzen, falls die EU ihre Entscheidung zurücknimmt, kann nur spekuliert werden. Sie wären vermutlich durchaus weitreichend: Ohne Safe Harbor dürfte eine Vielzahl der in Europa angebotenen Internetdienstleiste nicht ohne weiteres zulässig sein. Facebook beispielsweise speichert zwar auch Daten in Europa, aber alle Daten liegen vermutlich ebenfalls in Rechenzentren in den USA. Ob das weltweit größte soziale Netzwerk kurzfristig seine Infrastruktur so anpassen könnte, dass entsprechende Datenbestände nur in Europa gespeichert sind, ist zweifelhaft.

Auf die Frage, wie die Datenschnüffelei amerikanischer und europäischer Geheimdienste eingehegt werden kann, liefert Safe Harbor also direkt keine Antwort: Der Zugriff durch US-Behörden wurde ja von vornherein ausgeklammert. Die Wirkung wäre vielmehr indirekt, indem diejenigen Internet-Unternehmen ins Visier geraten, bei denen die Geheimdienstprogramme dann andocken. Setzt die EU die Vereinbarung aus, würde sie deutlich machen, dass sie Daten europäischer Bürger bei US-Unternehmen nicht für sicher hält – im Extremfall müssten sich Anbieter wie Facebook vom europäischen Markt zurückziehen.

So oder so: Es rächt sich jetzt, dass man nicht schon früher intensiv versucht hat, eine datenschutzfreundlichere Infrastruktur und ein dazu passendes völkerrechtliches Regelsystem zu etablieren. Falls die Kommission ihre Entscheidungen pro Safe Harbor zurücknimmt, wäre das Thema jedenfalls ganz oben auf der politischen Agenda angekommen.

Jan Schallaböck ist seit 2006 Mitarbeiter am Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein (ULD) und arbeitet dort zu Fragen der internationalen Standardisierung.

August 05 2013

XKeyscore, Safe Harbor, Leistungsschutzrecht

Die NSA kann mit XKeyscore offenbar fast alle Netzaktivitäten überwachen, die EU-Kommission hat eine kritische Studie zum Safe-Harbor-Abkommen unveröffentlicht gelassen, das Leistungsschutzrecht für Presseverleger zeitigt erste Wirkungen. Außerdem im Wochenrückblick: E-Government-Gesetz in Kraft, Bradley Manning verurteilt, Kabel Deutschland für Übernahme durch Vodafone.

US- und UK-Geheimdienste überwachen von deutschem Boden aus

Mehrere Medien haben in der vergangenen Woche weitere Details zu Spionageaktivitäten der USA und Großbritannien veröffentlicht. Der Spiegel, die Süddeutsche, der Guardian und das ZDF meldeten, dass fremde Geheimdienste auch von deutschem Boden aus operieren: Teils über eine Kooperation mit dem deutschen BND, teils durch die Mitwirkung privater Telekommunikationsanbieter. Die eigens entwickelte Auswertungs-Software „XKeyscore” soll eine beinah vollständige Durchsuchung der weltweiten Kommunikationsdaten ermöglichen, auch anhand abstrakter Kriterien im Stil einer „Rasterfahndung”. Personenbezogene Daten seien nicht übermittelt worden, teilt der BND mit – angesichts der Berichte über die Fähigkeiten von XKeyscore scheint dies bestenfalls eine halbe Wahrheit zu sein. In jedem Fall fordert nun unter anderem die bayerische Piratenpartei Ermittlungen der Staatsanwaltschaft: Es sei gegen deutsches (Daten-)Strafrecht verstoßen worden.
Vorabmeldung des Spiegel.
Bericht des britischen Guardian.

Spiegel: EU-Kommission legte Studie zu Safe Harbor nicht offen

Die EU-Kommission hat im Jahr 2008 eine höchst kritische Studie zum Safe-Harbor-Abkommen nicht offengelegt. Dieses Abkommen soll den Schutz deutscher Daten im Ausland sichern und ist gleichzeitig Voraussetzung dafür, dass Daten überhaupt übermittelt werden dürfen – zum Beispiel in die USA. Wie aktuell der „Spiegel” berichtet, war die Einhaltung des Abkommens in den USA schon 2008 „völlig unzureichend”; so damals das Ergebnis der Gutachter. Die Kommission reagierte 2008 durch Nichtstun: Das Safe Harbor-Abkommen blieb in Kraft. Heute sieht es schon anders aus: Die EU-Kommission prüft eine Aufhebung des Abkommens. Und deutsche Datenschutzbehörden behaupten, das Abkommen habe hinsichtlich der USA seine Legitimationswirkung verloren: Die deutschen Datenschützer könnten die Datenübermittlung in die USA untersagen.
Vorabmeldung des Spiegel.

Leistungsschutzrecht für Presseverleger zeitigt erste Wirkungen

Am 1. August ist das Leistungsschutzrecht für Presseverleger in Kraft getreten. Das Recht gewährt nun „Presseverlegern” ein ausschließliches Veröffentlichungsrecht an „Presseerzeugnissen oder Teilen hiervon” (Paragraf 87f ff. Urheberrechtsgesetz). Ausgenommen sind nur „einzelne Wörter oder kleinste Textausschnitte”, die sogenannten Snippets. Die Tatbestandsmerkmale des Gesetzes sind hochgradig unbestimmt: Gerade deswegen steht noch nicht fest, welche Auswirkungen sich aus der Gesetzesänderung konkret ergeben. Der News-Aggregator Google holte in jedem Fall eine Einwilligung vieler betroffener Verlage ein – die diese offenbar auch ausnahmslos gewährt haben. Der Aggregator-Dienst Rivva demgegenüber hat Inhalte von circa 650 Verlagsangeboten aus dem eigenen Dienst entfernt. Hat die Gesetzesänderung also ihre Wirkung verfehlt, wie einige Beobachter nun behaupten? Wohl nicht: Die deutschen Verleger planen die Gründung einer Verwertungsgesellschaft. Eine solche Verwertungsgesellschaft könnte, gestützt durch zahlreiche rechtliche Privilegien, auch für Google zu einem ernsthaften Problem werden.
Telemedicus-Themenseite zum Leistungsschutzrecht für Presseverleger.
iRights.info: FAQ – Was ändert sich mit dem Leistungsschutzrecht für Presseverleger?

E-Government-Gesetz in Kraft getreten

Ebenfalls zum 1. August ist das E-Government-Gesetz in Kraft getreten. Das Gesetz enthält eine Reihe von Neuerungen bei der elektronischen Kommunikation mit Verwaltungsbehörden. So wird unter anderem die Nutzung eines De-Mail-Kontos für Bundesbehörden angeordnet, Bürgern und Wirtschaft sollen eine elektronische Bezahlmöglichkeit und weitere Online-Informationen zur Verfügung stehen. Auch sollen Bürger nun die e-ID-Funktion des neuen Personalausweises nutzen können. Das Gesetz fördert auch die Offenlegung von Verwaltungsdaten (Open Data).
Zusammenfassung bei Juris.

US-Gericht verurteilt Bradley Manning

Ein US-Gericht hat den berühmten Wikileaks-Informanten Bradley Manning vieler Anklagepunkte für schuldig befunden. Vom schwersten Vorwurf, der „Unterstützung des Feindes”, wurde Manning jedoch freigesprochen. Manning hatte duch die Offenlegung zahlreicher „Cables” amerikanischer außenpolitischer Vertretungen einen weltweiten Skandal ausgelöst. Auch die Veröffentlichung des Videos „Collateral Murder”, das ein Kriegsverbrechen des US-Militärs im Irak beweist, wird ihm zugeschrieben. Das US-Gericht hat bisher nur über den Strafgrund entschieden; über die Strafhöhe wird das Gericht erst noch verhandeln.
Bericht auf FAZ.NET.

Kabel Deutschland will von Vodafone übernommen werden

Vorstand und Aufsichtsrat von Kabel Deutschland haben am Freitag offiziell die Übernahme des Unternehmens durch Vodafone empfohlen. Spätestens damit sind die Weichen für die größte Übernahme der letzten Jahre im deutschen Telekommunikationssektor gestellt. Vodafone bietet Telekommunikationsdienstleistungen im Mobil- und Festnetzbereich an; Kabel Deutschland kommt ursprünglich aus dem TV-Kabelgeschäft, vermarktet aber mit großem Erfolg auch Telefonieangebote und Internet-Zugänge. Durch die Fusion entstünde ernsthafte Konkurrenz für die Deutsche Telekom. Vodafone wird nun zunächst versuchen, möglichst viele Aktien von Kabel Deutschland zu erwerben. Später muss das Unternehmen auch noch eine Freigabe der Kartellbehörden erlangen.
Bericht auf Heise Online.

Lizenz dieses Artikels: CC BY-NC-SA.

July 26 2013

Wolkendämmerung: Vertrauen in Clouddienste nach PRISM, Tempora & Co.

In den letzten fünf Jahren gab es einen Dauer-Trend in der Datenverarbeitung: Ab in die Cloud. PRISM, Tempora und Co. verpassen der Technik nun einen Dämpfer. 

„Ein umfassender und anlassloser Zugriff auf personenbezogene Daten kann daher durch Erwägungen zur nationalen Sicherheit in einer demokratischen Gesellschaft nicht gerechtfertigt werden.“ Mit einer gemeinsamen Erklärung hat die Konferenz der Datenschutzbeauftragten von Bund und Ländern am Mittwoch Konsequenzen aus der sogenannten Ausspähaffäre um den US-Geheimdienst NSA gezogen. Da Daten in Amerika nach aktuellem Stand der Erkenntnisse in den USA nicht sicher sind, soll das Land den privilegierten Status des sogenannten „Safe Harbor“-Grundsatzes verlieren – eine Vereinbarung, die den Export von Daten in die USA ermöglicht.

Der Beschluss ist ein Schuss vor den Bug der USA, die sich bisher offenbar weigern, substanzielle Zugeständnisse zum Schutz der Daten von Europäern zu machen. Die Drohung: Sollte die amerikanische Regierung auf ihrem Standpunkt bestehen, bricht Konzernen wie Google, Amazon und Microsoft ein Teil des lukrativen Geschäfts mit Daten weg, da die Europäer ihre Daten künftig selbst verwalten werden. Vorerst passiert jedoch nicht viel: Die Datenschützer wollen lediglich die Erteilung neuer Genehmigungen für Datentransfers aussetzen, bisher genehmigte Datentransfers können bis auf Weiteres weitergehen.

Ein Kampf gegen Windmühlen?

Cloud Computing ist seit Jahren der Trend im Netz. Für Firmen bedeutet es, dass sie Rechen- und Speicherkapazitäten in vielen Rechenzentren gleichzeitig nutzen können, flexibel und unschlagbar effizient. Für Konsumenten heißt es, dass ihre Daten quer über die Welt verstreut werden und damit überall verfügbar sind. Bequem, meist sogar kostenfrei – und offen für alle. Wer sich der Entwicklung entgegenstellt, wie zum Beispiel der Datenschützer Thilo Weichert mit seinem Vorgehen gegen die Praktiken von Facebook, musste sich wie in einem Kampf gegen Windmühlen vorkommen. Doch nun haben die Kritiker erstmals Rückenwind.

Ob die deutschen Datenschützer damit Eindruck machen können, ist allerdings nicht klar. Denn schon haben sich die irischen Datenschützer auf die umgekehrte Interpretation festgelegt: Trotz des Ausspähskandals will die Behörde, die unter anderem für Facebook und Apple zuständig ist, nicht an dem Safe-Harbor-Status rütteln. Ohnehin hätte ein solcher Eklat keine unüberwindlichen Folgen: Auch ohne Safe-Harbor-Status können Firmen Daten über Grenzen übertragen – es wird lediglich etwas komplizierter. Die europäische Konkurrenz freut sich trotzdem: „Wenn wir Deutschland als Standort für die Daten der Private Cloud ansprechen, fühlen sich Kunden in der Regel sicher“, sagt ein Telekom-Sprecher gegenüber iRights.info.

Viele Wege führen zu den Daten

Obwohl wir seit Anfang Juni fast täglich Neues aus den Spionagetätigkeiten der USA und ihrer Verbündeten erfahren, sind die genauen Details der Überwachungsprogramme und ihr Zugriff auf die verschiedenen Cloud-Dienste immer noch unklar – klar ist nur: die Datenschnüffler vom NSA hatten Mittel und Wege, massenhaft an private Daten heranzukommen.

Dazu haben die Geheimdienste eine ganze Reihe an Möglichkeiten: Zum einen das Programm Prism, das direkt an den Datenbanken von Unternehmen wie Google, Facebook und Apple ansetzt. Das Abhörprogramm Tempora greift am Übertragungsweg der Daten an und kann Daten auf dem Weg zwischen Cloud und Endnutzer abfangen. Selbst eine Verschlüsselung hilft hier nicht unbedingt. So wurde nun bekannt, dass US-Behörden den Zugriff zu den Zertifikaten der Unternehmen suchten, die ihnen potenziell Zugang zu den Daten gewährten – ohne Mitwirkung der betroffenen Unternehmen.

Weitere Quellen zu erschließen, ist für die Dienste praktisch möglich – von Sicherheitslücken bis zur systematischen Auswertung der bei Handy- und Laptopdurchsuchung durch Polizei und Einreisebehörden erlangten Daten, die auch viele Passworte der Durchsuchten offenbart. Viele Wege führen zu den Daten in der Cloud.

Zwar betonen zum Beispiel Google und Microsoft, dass man den Behörden keinen Vollzugriff gebe. Sie portraitieren die Geheimdienst-Programme als gewöhnlichen Polizeizugriff, bei dem die Unternehmen selbst noch die Anfragen auf Legalität überprüfen. Details verraten dürfen sie freilich nicht, da sie von der US-Regierung zum Schweigen verpflichtet worden sind. Hätte der NSA in den Rechenzentren ähnlich wie bei AT&T und Verizon eigene Anlagen, die alle Daten abzapfen könnten – niemand dürfte darüber reden. Die theoretische Höchststrafe: Der Tod. Praktisch werden Whistleblower systematisch ruiniert, wie zahlreiche Beispiele aus den vergangenen Jahren zeigen.

Die Cloud der Geheimen

Die Cloud ist nicht nur ein unerschöpflicher Datenschatz für Geheimdienste, sie hat den Geheimdiensten auch eine neue Arbeitsweise ermöglicht. Statt nur Verdächtige auszuforschen, ermitteln die Geheimdienste das ganze Umfeld der Verdächtigen. Im US-Justizausschuss schilderte ein NSA-Vertreter, dass die Datenanalysten sich „zwei bis drei hops“ von dem eigentlichen Ziel der Ausforschung entfernen.

Das heißt: Ruft ein Verdächtiger seinen Zahnarzt an, werden nicht nur alle anderen Patienten des Zahnarztes in die Analyse mit aufgenommen, sondern auch deren Kontakte. Möglich werden solche enormen Datenanalysen nur über die ständig neuen Rechenzentren der Geheimdienste wie das 1,7 Milliarden Dollar teure Utah Data Center, das derzeit südlich von Salt Lake City entsteht.

Der NSA-Skandal wird den Trend zur Cloud nicht umkehren – zu viel wurde in die Infrastruktur investiert, zu gering ist der Wille zum fundamentalen Wandel. Dennoch bietet die derzeitige Diskussion aber die Chance, die Praxis des allgegenwärtigen Datenspeicherns zu überprüfen und einige Stützbalken für Bürgerrechte einzuziehen – wie schwach diese verglichen mit den technischen Möglichkeiten auch sein mögen.

Older posts are this way If this message doesn't go away, click anywhere on the page to continue loading posts.
Could not load more posts
Maybe Soup is currently being updated? I'll try again automatically in a few seconds...
Just a second, loading more posts...
You've reached the end.

Don't be the product, buy the product!

Schweinderl