Der NSA-Skandal, Google und Ihre Daten

Seit im Sommer 2013 die Veröffentlichung der von Edward Snowden entwendeten geheimen Dokumente der National Security Agency (NSA) ihren Anfang nahm, hat der größte Überwachungsskandal der Geschichte längst ungeahnte Dimensionen erreicht – wenngleich ein Ende der Enthüllungsmeldungen nicht absehbar ist. Während die Veröffentlichung der geheimen Informationen anfangs Reaktionen massiver Empörung über die Macht, Unkontrollierbarkeit und Intransparenz der Geheimdienste hervorriefen, scheinen neue „skandalträchtige“ Meldungen nun immer mehr an medialem Aufreger-Potenzial zu verlieren – wohl weil sie den eigentlichen Erkenntnisprozess kaum mehr maßgeblich beeinflussen. Denn längst steht fest: Das erlangte Wissen über die weltweite Überwachungsinfrastruktur hat die Sicht auf Datensicherheit in digitalen Sphären nachhaltig verändert.

Eine generelle Skepsis ist im Kontext der Digitalisierung zwar nicht neu, doch ist sie infolge der NSA-Affäre mit voller Wucht ins Bewusstsein der Anwender eingedrungen. Im Mittelpunkt stehen – im privaten wie im geschäftlichen Kontext – die Themen Datenschutz und Datensicherheit im Netz. Gekoppelt an die diffuse Informationslage im Skandalgeschehen, wirkt bei den Nutzern von Online-Diensten vor allem Verunsicherung nach: Was bedeutet Überwachung für den Anwender von Online-Diensten (wie Google Apps for Business)?

Rechtliche Autorisierung der NSA-Überwachung

Die geheimdienstlichen Aktivitäten spielen sich selbstverständlich weiterhin im Verborgenen ab, eine effektive Kontrolle und parlamentarische Überwachung wird als nahezu unmöglich eingeschätzt, obwohl verschiedenen Regierungszweigen die Aufsicht über die Programme und das Vorgehen der NSA obliegt. Doch was darf die NSA überhaupt aus rechtlicher Sicht? Die NSA agiert nach Aussage ihres Direktors getreu dem Prinzip, „wer die Nadel finden will, braucht eben auch den Heuhaufen.“ Als Rechtfertigung für die weltweite Massenüberwachung wird jedenfalls stets der Kampf gegen den Terrorismus (und den Waffenhandel) hervorgehoben.

Die geheimdienstliche Informationssammlung wird mit einer Vielzahl an Programmen und (rechtlich erzwungenen) Kooperationen mit Internet- und Telekommunikationsdienstleistern vorgenommen – rechtliche Autorisierung für ihre Vorgehensweise und eingesetzten Programme erhält die NSA durch komplexe Gesetzes-Mechanismen. Diese wurden vornehmlich nach dem 11. September 2001 geschaffen oder entsprechend ausgeweitet. Die wichtigsten Rechtsgrundlagen bieten der USA PATRIOT Act sowie der Foreign Intelligence Surveillance Act (FISA), die jeweils Grundrechte betreffende Gesetze einschränken. Der USA PATRIOT Act soll die Vereinfachung von Ermittlungen durch die Bundesbehörden im Fall einer terroristischen Bedrohung gewährleisten. Im Rahmen dieses Gesetzes können zum Beispiel anhand der National Security Letter (NSL) der Federal Bureau of Investigation (FBI) ohne richterlichen Beschluss Auskunftsersuchen zu Nutzern an Unternehmen wie Google gerichtet werden, sofern Ermittlungen zur nationalen Sicherheit durchgeführt werden. Herausgegeben werden müssen dann Metadaten (Adresse, Dauer des Dienstes oder Abrechnungsunterlagen) der Nutzer, aber keine Kommunikationsinhalte. Die Herausgabe der Inhalte kann dann im Rahmen des Abhörgesetzes FISA eingefordert werden – durch Anordnungen, die von einem speziellen FISA-Gerichtshof erteilt werden. Dies ist nur ein kurzer Abriss zum gesetzlichen Hintergrund des Überwachungsapparats der NSA, der noch viel größere Bogen spannen kann. Ebenso verfügen auch andere westliche Geheimdienste über ähnliche Rechtsmittel, mit denen sie aus Gründen der nationalen Sicherheit die Offenlegung von Informationen fordern können.

Google: Reaktionen und Transparenzbemühungen

Besonders geriet die amerikanische Internet-Branche unter Erklärungsdruck, nachdem veröffentlichte Dokumente den Eindruck erweckten, die NSA könne nach Belieben direkt auf Nutzerdaten zugreifen. Inwieweit ein unautorisierter Zugriff auf die großen Internet-Konzerne tatsächlich stattgefunden hat, kann nur bedingt nachvollzogen werden – Google und Co. reagierten empört, die NSA dementierte die Zugriffe. Google, Facebook, LinkedIn, Microsoft und Yahoo hatten unter anderem Ende 2013 gemeinschaftlich auf das Recht geklagt, ihre Kunden detaillierter über das Ausmaß der Anfragen von Seiten der NSA informieren zu dürfen. Ende Januar 2014 wurden ihnen Zugeständnisse bezüglich der Herausgabe von Informationen eingeräumt: In seinen Transparenzberichten darf Google nun etwas genauere Angaben darüber machen, wie oft Behörden die geheime Herausgabe von Nutzerdaten verlangt haben oder auf welcher rechtlichen Grundlage dies geschehen ist. In Bezug auf NSLs war dies bereits vorher möglich, neu ist die Auskunft über die FISA-Anfragen. Dabei werden den Konzernen zwei Varianten der Informationsweitergabe zur Auswahl gestellt: Es kann die Gesamtzahl aller Behörden-Nachfragen mit Bezug zur nationalen Sicherheit mit Schritten von jeweils 250 Anträgen genannt werden oder es darf aufgeschlüsselt werden, worauf die Anträge rechtlich beruhen (NSLs oder FISA-Anordnungen). Dabei dürfen die Zahlen der Nachfragen aber weiterhin nur in 1000er-Schritten angeben werden. Grundsätzlich darf die Veröffentlichung erst sechs Monate nach Stellung der Anfrage erfolgen.

Die fünf Internetkonzerne haben nach ihrem jüngsten Teilerfolg angekündigt, sich stetig vor Gericht für mehr Transparenz stark zu machen. Sie fordern außerdem innerhalb einer gemeinsamen Kampagne die Reform der staatlichen Überwachung.

Ferner gibt Google längst nicht nur Auskunft über die Anträge seitens amerikanischer Geheimdienste, sondern veröffentlicht Statistiken, die detailliert über Auskunftsersuchen von Strafverfolgungsbehörden aller Länder informieren. Denn weltweit können Behörden mithilfe von Gesetzen Nutzerdaten von Google fordern, um kriminelle Aktivitäten zu untersuchen. Google überprüft jedes Ersuchen, um sicherzustellen, dass es dem Gesetz entspricht. In einigen Fällen so Google, könne man die Herausgabe von Informationen ablehnen oder den Umfang des Ersuchens eingrenzen. Ein Beispiel: Deutschland rangiert nach den USA und Indien an dritter Stelle, wenn es um das Ersuchen von Nutzerkontendaten geht. Google hat in nur 48% der Fälle von Auskunftsersuchen Daten vorgelegt.

Fragen die sich Entscheider / Unternehmen als Nutzer von Google Apps for business in Bezug auf Sicherheitsbedenken stellen:

Haben amerikanische Behörden Zugriff auf meine Daten ohne dass ich davon etwas mitbekomme?

    • Ja, genauso, wie deutsche Behörden auch, wenn z.B. eine Straftat vorliegt. Google informiert seine Nutzer normalerweise über Rechtsersuchen, sofern dies nicht per Gesetz oder gerichtlicher Verfügung untersagt ist. Über FISA-Ersuchen darf nicht informiert werden, und auch als Empfänger eines NSL kann Google zum Stillschweigen verpflichtet werden.

Sind meine Daten bei Google Apps for business sicher?

    • Ja, im technischen Sinne ist Google so ziemlich der sicherste Ort der Welt. Denn kaum ein Unternehmen investiert in Datensicherheit so viel wie Google. Dieser hohe Standard ist auch mehrfach zertifiziert.

Muss ich meinen deutschen Kunden und Partnern mitteilen, dass ich meine Daten bei Google Apps for Business speichere?

    • Grundsätzlich ja, das Bundesdatenschutzgesetz schreibt vor, dass beim Speichern von personenbezogenen Daten eine Informationspflicht vorliegt. Allerdings lässt sich die Frage nicht immer pauschal beantworten. Da wir keine Rechtsanwälte sind und keine Rechtsberatung leisten können, sollten Sie sich im konkreten Fall von einem Anwalt beraten lassen.

Sicherheit als höchste Prioriät

Der unerlaubte Zugriff auf sensible Daten – gerade in Unternehmen ist diese Befürchtung seit Bekanntwerden der Ausspäh­aktivitäten inter­nationaler Geheim­dienste größer denn je. Gleichzeitig wird es als positiver Trend bewertet, dass durch den Überwachungsskandal neue Impulse für eine intensive Auseinandersetzung mit Datensicherheit gegeben wurden. Die Technologie- und Kommunikationsunternehmen reagieren entsprechend mit noch größeren Sicherheitsmaßnahmen, fordern eine verschärfte Kontrolle der Geheimdienste sowie mehr Transparenz. Google hat zusätzliche Verschlüsselungen für den internen Datenverkehr eingeführt, um die Daten seiner Nutzer vor unautorisierten Zugriffen stärker zu schützen. Grundsätzlich misst Google dem Schutz von Kundendaten höchste Priorität zu – die Kunden profitieren entsprechend von der komplexen Sicherheitsinfrastruktur, die stets optimiert wird.

+++Update: Google erweitert Sicherheit++++

Bildquelle: http://pixabay.com/de/google-suchmaschine-76522/