Vor zehn Jahren ließ Edward Snowden Tausende von Geheimdokumenten durchsickern und enthüllte das Ausmaß der Überwachung durch US-Geheimdienste.
Neben vielen anderen schwerwiegenden Folgen lösten die Snowden-Enthüllungen eine Reihe von europäischen Gerichtsverfahren aus, die zwei internationale Abkommen für ungültig erklärten – und die Möglichkeiten von US-Tech-Firmen, in der EU zu operieren, ernsthaft untergruben.
Die Snowden-Geschichte
Snowden arbeitete zwischen 2006 und 2009 für die CIA, unter anderem in einer Position, in der er unter diplomatischer Tarnung in Genf die Netzwerksicherheit aufrechterhielt. Im Jahr 2009 nahm er einen Job als NSA-Auftragnehmer bei Dell in den NSA-Büros auf einem japanischen US-Luftwaffenstützpunkt an.
Dell siedelte Snowden 2012 nach Hawaii um, wo er in dem kürzlich eröffneten
Hawaii Cryptologic Center
.
Quelle: https://web.archive.org/web/20150918033924/https://www.nsa.gov/public_info/press_room/2012/a4_hawaii_final.shtml
Snowden hat seine wachsende Desillusionierung über die US-Außenpolitik während seiner Arbeit für die Geheimdienste beschrieben, wo er von Praktiken wie Erpressung, Ermordung und – vor allem – Massenüberwachung erfuhr.
In einem von vielen Beispielen erfuhr Snowden, dass die NSA die Pornografie-Konsumgewohnheiten von mutmaßlichen Dschihadisten verfolgte – mit der Absicht, die Informationen zu veröffentlichen und die „Herabsetzung oder den Verlust (ihrer) Autorität“ zu bewirken.
Quelle:
https://www.huffingtonpost.co.uk/entry/nsa-porn-muslims_n_4346128#slide=3074349
Snowden beobachtete auch, wie die NSA routinemäßig private Daten mit Behörden in Israel und anderen Staaten austauschte.
Diese Informationen sollen angeblich
enthalten
Abschriften von Telefongesprächen zwischen palästinensischen Amerikanern und ihren Verwandten in Palästina, die später vom israelischen Militär verwendet werden konnten, um mutmaßliche Aufständische ins Visier zu nehmen.
Snowden behauptete, dass die NSA trotz der gesetzlichen Verpflichtung, Eingriffe in die Privatsphäre von US-Bürgern so gering wie möglich zu halten, wenig oder gar keine Anstrengungen unternommen hat, um die Identität von Personen zu verschleiern, wenn sie Daten mit ausländischen Regierungen austauscht.
2013 Snowden-Leaks
Snowden behauptete, er habe während seiner Arbeit auf Hawaii „Zugang zu allem“ gehabt. Er war auch der Meinung, dass die NSA nicht damit gerechnet hatte, dass ein abtrünniger Agent die Praktiken der Behörde auffliegen lassen könnte.
Nachdem er einen Job bei einem anderen NSA-Auftragnehmer, dem digitalen Beratungsunternehmen Booz Allen, angenommen hatte, nahm Snowdens Zugangsniveau – und seine Ernüchterung – noch weiter zu.
Bei Booz Allen erfuhr Snowden von einem NSA-Projekt, das als „
MonsterMind
„, das Schadsoftware erkennen sollte, die auf die US-Infrastruktur abzielte – und das, wie er glaubte, automatisch Vergeltungsmaßnahmen gegen den Absender ergreifen könnte.
Für Snowden stellte die Automatisierung dieses Prozesses ein erhebliches Risiko dar, da Cyberangriffe oft über unschuldige Drittländer geleitet werden.
Nachdem Snowden von MonsterMind und anderen NSA-Projekten erfahren hatte, war er der Meinung, dass die Welt das Ausmaß der US-Überwachungspraktiken kennen muss. Er lud Tausende von Geheimdokumenten auf tragbare Speichermedien herunter und flog nach Hongkong, um sie an Journalisten weiterzugeben.
Was hat Snowden aufgedeckt?
Die Snowden-Leaks enthüllten geheime Überwachungsprogramme, die von Geheimdiensten wie der NSA und ihrem britischen Pendant, dem Government Communications Headquarters (GCHQ), betrieben werden.
Snowden zeigte auch, wie die nationalen Sicherheitsgesetze der USA in der Praxis angewandt wurden. Aus europäischer Sicht sind vor allem die folgenden US-Gesetze relevant:
- Abschnitt 702 des Foreign Intelligence Surveillance Act („FISA 702“): Das wichtigste Gesetz, das regelt, wie Nachrichtendienste Daten über ausländische Geheimdienste auf US-Boden sammeln.
- Executive Order 12333 („EO 12333“), die die Überwachungsbefugnisse der Nachrichtendienste – auch im Hinblick auf die Auslandsüberwachung – stärkte. Der Erlass wurde von verschiedenen US-Präsidenten mehrfach geändert.
Für Nicht-Amerikaner betrafen die beiden wichtigsten Enthüllungen Snowdens die Überwachungsprogramme PRISM“ und Upstream“ der NSA.
PRISM
Das PRISM-Programm umfasst die Sammlung von Daten, die von privaten Unternehmen gespeichert werden:
- Meta (dann Facebook)
- Microsoft
- Yahoo
- Apfel
- AOL
Die PRISM-Enthüllungen werfen auch ein Licht darauf, wie die US-Geheimdienste ihre rechtlichen Befugnisse auslegen. Die Beweise
vorgeschlagen
dass die Sicherheitsvorkehrungen gegen übermäßige Überwachung schwach sind, nicht ausreichend genutzt und manchmal ignoriert werden.
Upstream
Das Upstream-Programm umfasst die direkte Erhebung von Daten „im Transit“ in Zusammenarbeit mit den Telekommunikationsunternehmen.
Die über Upstream erfassten Daten werden auf ihrem Weg durch die Glasfaserkabel abgefangen. In einer von Snowdens durchgesickerten Folien bezeichnete die NSA als „einzigartigen Aspekt“ von Upstream den „Zugang zu einer riesigen Menge an Daten“.
Snowden und die Schrems-Fälle
Nachdem der österreichische Datenschutzaktivist Max Schrems 2013 von den eingreifenden Überwachungsmaßnahmen der USA erfahren hatte, erhob er Klage gegen Facebook (und zunächst auch gegen Apple).
Schrems argumentierte, dass Facebook ihn durch die Übermittlung seiner persönlichen Daten von der irischen Tochtergesellschaft an die US-Muttergesellschaft dem Risiko der Überwachung durch das PRISM-Programm aussetzt.
Der Fall von Schrems wurde von der irischen Datenschutzkommission (DPC) abgewiesen.
„Es gibt ein Abkommen auf europäischer Ebene, das den freien Verkehr personenbezogener Daten zwischen der EU und den USA vorsieht“.
sagte
sagte der damalige Kommissar Billy Hawkes als Antwort auf Schrems‘ Beschwerde.
Hawkes verwies auf die „Safe Harbor Privacy Principles“ der EU und der USA, ein Zertifizierungssystem, das von der Europäischen Kommission im Jahr 2000 als „Angemessenheitsentscheidung“ angenommen wurde.
Das EU-Datenschutzrecht schreibt normalerweise vor, dass Organisationen Kontrollen durchführen müssen, bevor sie personenbezogene Daten in Länder außerhalb des Europäischen Wirtschaftsraums (EWR) übermitteln. Solche Übermittlungen werden jedoch standardmäßig als rechtmäßig angesehen, wenn sie durch eine Angemessenheitsentscheidung wie Safe Harbor abgedeckt sind.
US-Unternehmen, die sich im Rahmen von Safe Harbor selbst zertifizieren, wurden vertraglich verpflichtet, importierte personenbezogene Daten aus der EU nach einem hohen Standard zu schützen. Schrems argumentierte jedoch, dass eine vertragliche Vereinbarung die US-Geheimdienste nicht daran hinderte, auf seine persönlichen Daten zuzugreifen.
Der irische Datenschutzbeauftragte war jedoch der Ansicht, dass er sich nicht mit der Safe-Harbor-Entscheidung befassen könne und wies die Argumente von Schrems zurück.
„Ich bin an diese Entscheidung gebunden, und deshalb gibt es für mich in diesem Fall nichts zu untersuchen“, sagte Kommissar Hawkes.
Snowden und der irische High Court
Schrems legte gegen die Entscheidung des irischen Datenschutzbeauftragten vor dem irischen High Court Berufung ein. In den ersten Absätzen des Urteils des High Court aus dem Jahr 2013 wurden die Snowden-Enthüllungen als „Hintergrund“ des Falles beschrieben.
„Es stimmt zwar, dass die Snowden-Enthüllungen Aufsehen erregt haben und immer noch erregen, aber nur die Naiven oder Leichtgläubigen können wirklich sehr überrascht gewesen sein“, so der Richter.
Aber während die Snowden-Leaks vielleicht nicht viel über die
Art
der US-Überwachung enthüllt haben, stellte der irische High Court fest, dass Snowden Licht in das
Ausmaß
solcher Praktiken.
„… die Snowden-Enthüllungen zeigen, dass die Sicherheitsbehörden massiv über das Ziel hinausschießen und den Interessen der Bürgerinnen und Bürger an ihrer Privatsphäre nahezu gleichgültig gegenüberstehen. Ihre Datenschutzrechte wurden durch massenhafte und weitgehend unkontrollierte Überwachungsprogramme ernsthaft beeinträchtigt…
„Ich gehe daher davon aus, dass personenbezogene Daten, die von Unternehmen wie Facebook Irland an ihre Muttergesellschaft in den USA übermittelt werden, anschließend von der NSA im Rahmen einer massenhaften und wahllosen Überwachung dieser Daten eingesehen werden können.“
Das irische Gericht befand daher, dass der Gerichtshof der Europäischen Union (EuGH) die Safe-Harbor-Entscheidung überprüfen sollte, um sicherzustellen, dass sie nicht gegen die Grundrechte der Menschen in der EU verstößt.
Snowden und der CJEU
In der
Entscheidung
die jetzt als „Schrems I“ bekannt ist, bezog sich der EuGH auch auf die Snowden-Enthüllungen.
Das Gericht nannte Snowden als einen der Beweggründe von Schrems für die Klageerhebung und verwies auf den Standpunkt des irischen Obersten Gerichtshofs, dass Snowden die „erheblichen Übergriffe“ der NSA aufgedeckt habe.
Der EuGH hat in der Rechtssache Schrems I zwei wesentliche Feststellungen getroffen.
Zunächst befasste er sich mit der Behauptung der irischen Datenschutzbehörde, dass die nationalen Datenschutzbehörden nicht befugt seien, die von der Europäischen Kommission erlassenen Angemessenheitsbeschlüsse (in diesem Fall „Safe Harbor“) zu bewerten.
Der EuGH war anderer Meinung und stellte fest, dass die Datenschutzbehörden berechtigt sind, sich mit jeder Beschwerde einer Person zu befassen, die sich durch eine Angemessenheitsentscheidung in ihren Rechten verletzt fühlt.
Zweitens hat der EuGH die Aufgabe übernommen, Safe Harbor selbst zu bewerten. Das Gericht stimmte Schrems zu, dass die Entscheidung die von US-Unternehmen aus der EU importierten personenbezogenen Daten nicht wirksam schützt.
Damit hat der EuGH ein 16 Jahre altes internationales Abkommen zwischen der EU und den USA gekippt, das Milliarden von Datenübertragungen ermöglicht hatte.
Die Entscheidung veranlasste Tausende von Unternehmen, auf andere rechtliche Mechanismen auszuweichen, um ihre transatlantischen Geschäfte fortzuführen.
Schrems II
Nach dem Urteil in der Rechtssache Schrems I verhandelten Brüssel und Washington über einen Nachfolger von Safe Harbor, den so genannten „Privacy Shield“. Schrems hat das Privacy Shield aus ähnlichen Gründen wie Safe Harbor angefochten.
In der bahnbrechenden Rechtssache „Schrems II
Fall
befand der EuGH das Privacy Shield aus vielen der gleichen Gründe wie sein Vorgänger für unzureichend.
Das Gericht befand, dass der Rahmen den US-Geheimdiensten die wahllose Überwachung von Personen in der EU ermöglicht. Und wenn die NSA auf die Daten eines Europäers zugreift, hat der Einzelne aufgrund des schwachen Rechtsschutzes in den USA keine Möglichkeit, die Verletzung seiner Rechte anzufechten.
Darüber hinaus stellte der EuGH ähnliche Probleme bei anderen rechtlichen Mechanismen zur Erleichterung internationaler Datenübermittlungen fest, wie z. B. bei den „Standardvertragsklauseln“ (SCC), die in Vereinbarungen zwischen EU-Datenexporteuren und Nicht-EU-Importeuren aufgenommen werden können.
Das Gericht stellte fest, dass Gesetze wie FISA 702 und EO 12333 den US-Geheimdiensten weitreichende Befugnisse zur Überwachung von Nicht-Amerikanern einräumen – und dass die vertragliche Verpflichtung eines US-Unternehmens, EU-Daten sicher aufzubewahren, diese Befugnisse nicht beeinträchtigt.
Die Post-Schrems-II-Datenschutz-Landschaft
Da das Privacy Shield für ungültig erklärt wurde und die SCCs für die meisten Übermittlungen unzureichend sind, haben US-Unternehmen Schwierigkeiten, rechtmäßige Wege zu finden, um ihre Tätigkeit in der EU fortzusetzen.
Aber es überrascht vielleicht nicht, dass die Datenübermittlung in die USA weitgehend fortgesetzt wurde – auch wenn sie wahrscheinlich illegal ist.
Die Empfehlungen
des Europäischen Datenschutzausschusses (EDPB) deuten darauf hin, dass die meisten Datenübermittlungen aus der EU in die USA nach Schrems II rechtswidrig sind – selbst dann, wenn es höchst unwahrscheinlich ist, dass Nachrichtendienste versuchen würden, auf exportierte Daten zuzugreifen.
Abgesehen von diesen unverbindlichen Leitlinien haben die Datenschutzbehörden jedoch einen stückweisen Durchsetzungsansatz verfolgt und sich mit Datenübermittlungen in zahlreichen Einzeluntersuchungen zur Verwendung von Tools wie
Google Analytics
und des Meta-Pixels, ohne diese Produkte jedoch gänzlich zu verbieten.
Die Schrems-II-Entscheidung traf Meta jedoch schließlich im Mai 2023, als die irische Datenschutzbehörde widerwillig
verhängte
ein Bußgeld in Höhe von 1,2 Milliarden Euro gegen das Unternehmen verhängte und Meta anordnete, die Übermittlung von Daten von Facebook-Nutzern aus dem EWR an die USA innerhalb von fünf Monaten einzustellen.
Die Datenschutzbehörde wies Meta außerdem an, die rechtswidrige Speicherung von Facebook-Daten in den USA einzustellen. Wird diese Anordnung befolgt, könnten die Beiträge, Fotos, Nachrichten und Kontodaten aller im EWR ansässigen Facebook-Nutzer noch vor Ende des Jahres endgültig gelöscht werden.
Zehn Jahre nach den Snowden-Leaks
Nachdem er 2013 die NSA enttarnt hatte, floh Snowden nach Russland, wo er die
Staatsbürgerschaft erhielt
im Jahr 2022.
Die Entscheidung Snowdens, in Moskau Zuflucht zu suchen, war umstritten. Einige ansonsten wohlwollende Kommentatoren haben
kritisierte
Snowden habe sich nicht lautstark gegen Putins Politik ausgesprochen, auch nicht gegen die Invasion in der Ukraine.
In einem
Guardian-Interview
sagte Snowden Anfang Juni, er bereue seine Enthüllungen nicht, aber die technischen Fortschritte des letzten Jahrzehnts ließen die Überwachungsmethoden von 2013 wie ein Kinderspiel aussehen.
Nachdem Snowden die kuscheligen Beziehungen der US-Tech-Unternehmen zu den Geheimdiensten aufgedeckt hatte, beeilten sich viele Unternehmen, neue Datenschutzmaßnahmen wie die Ende-zu-Ende-Verschlüsselung einzuführen.
Diese technischen Maßnahmen haben jedoch nicht verhindert, dass Big Tech in den seit zehn Jahren andauernden Datenschutzstreit zwischen der EU und den USA hineingezogen wurde.
Nach dem Außerkrafttreten von Safe Harbor und Privacy Shield wird ein
neue Regelung für den Datentransfer
das „EU-US Data Privacy Framework“ (EU-US DPF), bald in Kraft treten – und könnte Meta vor der Anordnung der irischen Datenschutzbehörde bewahren, die Datenübermittlung in die USA einzustellen.
Der Entwurf der EU-US-DSGVO-Entscheidung wurde jedoch vom Europäischen Datenschutzbeauftragten und vom Europäischen Parlament kritisiert. Beide Gremien äußerten die Befürchtung, dass der Rahmen gegen den Datenschutz und das Recht auf Privatsphäre in der EU verstoßen wird.
Der digitale Markt der EU ist nach wie vor mit US-Tech-Unternehmen gesättigt. Europäische öffentliche Einrichtungen, Unternehmen und Privatpersonen in der EU verwenden tagtäglich digitale Produkte aus den USA – weitgehend in Unkenntnis der Tatsache, dass die Verwendung solcher Produkte wahrscheinlich gegen EU-Recht verstößt.
Heutzutage wird Edward Snowden im Zusammenhang mit dem Datentransfer zwischen der EU und den USA nur noch selten erwähnt. Doch seine Enthüllungen führten zu einem Jahrzehnt der Unsicherheit darüber, wie US-Unternehmen weiterhin in der EU tätig sein können.
Max Schrems hat seine Absicht deutlich gemacht, das EU-US-DSGVO aus ähnlichen Gründen anzufechten wie seine Vorgänger Safe Harbor und Privacy Shield.
So könnten Snowdens Leaks den transatlantischen Datentransfer noch viele Jahre lang stören.
Wenn Sie wissen möchten, wie Ihr Unternehmen im Vergleich zu den Branchen-Benchmarks beim Datenschutz abschneidet, testen Sie die Datenschutzpraktiken Ihres Unternehmens,
HIER KLICKEN
und erhalten Sie jetzt Ihre sofortige Datenschutzbewertung!