Schranken für die weltweite Überwachung? Was die jüngsten Ankündigungen der NSA zu bedeuten haben

Am Freitag Nachmittag gab die NSA überraschend bekannt, eine zentrale Komponente ihres globalen Überwachungssystems zu beenden. In der Zukunft will die Behörde in ihrer auf Section 702 gestützten „Upstream“-Sammlung nur noch solche Internetkommunikationen (etwa Emails) speichern, die von oder an verdächtige Ausländer¹⁾ gesendet wurden („to or from communications“). Hingegen werden nicht mehr alle Internet-Nachrichten daraufhin gescannt, ob sie Daten verdächtiger Ausländer im Text der Nachricht nennen („about communications“). Charlie Savage von der New York Times, einer der wachsten Beobachter der aktuellen U.S.-Sicherheitspolitik, berichtete als erster über diese Entwicklung.

Weniger Überwachung klingt gut. Und die ersten Reaktionen in den USA sind verhalten positiv, wird damit doch einer zentralen Forderung von BürgerrechtlerInnen entsprochen. Doch was bedeutet der Kurswechsel aus europäischer und deutscher Sicht?

Recht und Praxis der U.S.-Auslandsüberwachung sind komplexe Materien. Die Bedeutung der aktuellen Reform erschließt sich nur aus ihrem Kontext heraus.

Überwachungspolitik in der Ära Trump

Die Reform kommt zu einem Zeitpunkt, in der die U.S.-Nachrichtendienste und ihre Überwachungsprogramme zunehmend unter Druck stehen.

Dabei begann 2017 aus Sicht des Datenschutzes eher düster: Unmittelbar nach dem Amtsantritt Trumps sorgte vor allem die Executive Order 13768 in Europa für Aufregung. Primäres Ziel der EO waren allerdings „sanctuary cities“ wie San Francisco oder New York, die angekündigt hatten, neue bundesrechtliche Regelungen zur Massenabschiebung nicht vollziehen zu wollen. Die EO enthielt jedoch auch einen Paragraphen, der auf den ersten Blick allen Nicht-U.S.-Bürgern ihr „right to privacy“ abzuerkennen schien. Kurz schien es so, als werde den Behörden hiermit ein Freibrief für die Überwachung aller Ausländer gegeben. Damit wäre der auf Annäherung an die EU gerichtete Kurs Obamas endgültig verlassen worden. Inzwischen scheint jedoch klarer, dass dies wohl eine Fehlinterpretation der EO war (es existieren weitere), da sich die Norm allein auf die Implementation des Migrationsrechts, nicht auf die Auslandsüberwachung bezog. Jedenfalls diese EO bedeutet daher nicht notwendig das Ende für das umstrittene EU-U.S. Privacy Shield.

Für die Daten von EuropäerInnen wesentlich gefährlicher war eine weitere Reform, die hierzulande weitgehend ignoriert wurde. So beschloss die Obama-Administration in ihren letzten Amtstagen, dass die NSA einen Großteil der von ihr gesammelten Rohdaten – auch von UnionsbürgerInnen – mit 16 weiteren U.S.-Diensten, darunter FBI und CIA, teilen darf. Selbst innerhalb der NSA war diese Änderung zuvor jahrelang wegen ihrer Eingriffstiefe umstritten.²⁾

Kurz nach dem Amtsantritt Trumps brach dann jedoch ein offen ausgetragener Konflikt zwischen dem Präsidenten und der Intelligence Community aus. Dabei musste die Trump-Administration am eigenen Fall lernen, wie weit die Ermächtigungen der NSA zur Überwachung von U.S.-Bürgern reichen. Hinzu kam, dass die NSA selbst Opfer eines umfangreichen Hacking-Angriffs geworden ist, der ihren Mythos der Überlegenheit erheblich beschädigt hat.

Womöglich haben diese Entwicklungen dazu beigetragen, dass das seit langem schleppende Verfahren um eine Verlängerung von Section 702 des Foreign Intelligence Surveillance Act (FISA), der Rechtsgrundlage für die jetzt modifizierten NSA-Programme, neuerdings an Dynamik gewonnen hat. Der jetzt von der NSA einseitig verfügte Verzicht auf die „about collection“ war denn auch eine der zentralen Forderungen im Gesetzgebungsverfahren seitens der eher liberalen Kräfte um Senator Ron Wyden.

Reformobjekt: Die Upstream Collection

Was bedeuten „Section 702“ und der Verzicht auf die „about collection“ genau?

„Section 702“ steht im Sprachgebrauch der Dienste für die in 50 U.S.C. § 1881a kodifizierte Gesetzesnorm. Diese ermächtigt die Regierung dazu, Programme zur gezielten Informationsbeschaffung von Nicht-U.S.-Personen einzurichten, die vom FISA Court „zertifiziert“ werden müssen. Auf deren Grundlage kann die NSA dann ohne weitere richterliche Entscheidung im Einzelfall und ohne individualisierten Verdacht („probable cause“) Inhalts- und Metadaten zum Zwecke der Auslandsaufklärung sammeln. U.S.-Bürger dürfen auf diese Weise nicht gezielt überwacht werden (50 U.S.C. § 1881a(b)). Nicht ausgeschlossen ist jedoch, dass anlässlich der Überwachung von Ausländern Kommunikationsinhalte von U.S.-Bürgern erfasst werden: dies ist die durch die Skandale des Trump-Teams bekannt gewordene „incidental collection“.

Zwei Programme setzen Section 702 in die Praxis um: Prism und Upstream. Prism sammelt Daten, die bei großen Internet Service Providern in den USA anfallen (u.a. Google, Yahoo und Facebook). Upstream greift hingegen auf der Ebene der Telekommunikationsinfrastrukturen an, etwa bei den U.S.-Kabel- und Netzbetreibern, und sammelt Internet- und Telefondaten. Private Unternehmen, vor allem AT&T und Verizon, haben hierzu seit Jahrzehnten intensiv mit der NSA zusammengearbeitet und der Behörde umfangreichen Zugang zu den sensibelsten Bereichen ihrer Netzwerke gewährt.

Die Sammlung erfolgt, indem die NSA den an Upstream teilnehmenden Unternehmen „Selektoren“ zuleitet, also Suchbegriffe, die geeignet sind, Kommunikationsdaten zu zuvor auf der Grundlage weiterer geheimdienstlicher Erkenntnisse bestimmten Zielpersonen aufzufinden (zum entsprechenden Vorgehen des BND vgl. den Graulich-Bericht).

Bislang mussten die Unternehmen den bei ihnen anfallenden Internetverkehr wie folgt auswerten: Tauchte der Selektor im Adressfeld einer Nachricht auf (Absender oder Empfänger), wurde die Nachricht an die NSA übermittelt („to or from communication“). Darüber hinaus mussten die Unternehmen aber auch alle Nachrichten daraufhin scannen, ob der Selektor (etwa eine Email-Adresse) im Inhalt der Kommunikation zwischen beliebigen Dritten enthalten ist bzw. dort erwähnt wird („about communication“). War das der Fall, wurde die Nachricht an die NSA übermittelt.

Ob die Sammlung von „about communication“ im Lichte des Vierten Verfassungszusatzes zur U.S.-Verfassung zulässig war, war umstritten. Zwar lässt sich auf der Grundlage der U.S.-Dogmatik noch begründen, dass die Kommunikation zweier U.S.-Bürger, die sich intensiv über eine dritte Person austauschen, die selbst rechtmäßiges Ziel von Überwachungsmaßnahmen wäre, gespeichert werden kann. Im Zuge der „about collection“ wurden jedoch von Beginn an auch solche Kommunikationen an die NSA übermittelt, die selbst gar keinen Selektor enthielten, aber aus technischen Gründen untrennbar mit entsprechend verdächtigen Nachrichten gebündelt waren. Der Umgang mit diesen „multiple communications transactions“ (MCTs) hat die NSA und den FISA Court mehrfach beschäftigt. Nach anfänglichen Zweifeln hatte der FISA Court unter bestimmten Bedingungen die Sammlung derartiger MCT-Daten zugelassen. Noch 2016 meinte die NSA auf die Kritik des Privacy and Civil Liberies Oversight Boards hin, die Sammlung derartiger MCTs sei aus Gründen der nationalen Sicherheit unverzichtbar.

Nunmehr erfolgt eine Kehrtwendung. Nicht nur MCTs, sondern die gesamte „about“-Sammlung wird durch die Reform eingestellt. Alle anderen Sammlungen der NSA sind von dieser Reform nicht berührt.

Was ist damit gewonnen?

Für U.S.-BürgerInnen ist die Reform unfraglich ein Schritt nach vorn. Zwar lässt sich durchaus die Frage stellen, wie effektiv überhaupt der Schutz der informationellen Privatheit durch den Vierten Verfassungszusatz ist. Doch führt die Änderung der Behördenpraxis dazu, dass zumindest eine der zahlreichen Lücken des FISA geschlossen wird. Unverdächtige U.S.-BürgerInnen müssen in Zukunft nicht mehr fürchten, dass ihre Kommunikationen aus den USA ins U.S.-Ausland oder aus dem Ausland in die USA auf dem Boden der USA abgefangen und (i) mittels Deep Packet Inspection auf Selektoren gescannt, (ii) gegebenenfalls bloß aufgrund ihrer Zugehörigkeit zu einer MCT  an die NSA übermittelt und (iii) von der NSA mit 16 weiteren U.S.-Behörden geteilt werden. Darüber hinaus hat die NSA angekündigt, einen Großteil ihrer in der Vergangenheit gesammelten Upstream-Daten zu löschen.

Diese Änderungen kommen mittelbar auch UnionsbürgerInnen zu Gute. Ihre Internet-Kommunikationen mit U.S.-BürgerInnen in den USA werden ebenfalls nicht mehr den genannten Verfahren unterzogen. Auch wenn die Pressemitteilung der NSA insoweit keine Ausführungen macht, ist es aus technischen Gründen schwer vorstellbar, dass bei der Löschung der Daten nach Nationalitäten differenziert wird.

All das ist ein Fortschritt, jedoch sicherlich kein Anlass für Euphorie. Wenigstens drei Gründe legen eine zurückhaltende Gesamtbewertung nahe:

Erstens ist die einseitige Änderung der Verwaltungspraxis durch die NSA nicht mit einem Eingeständnis der Rechts- oder gar Verfassungswidrigkeit der Sammlung von „about communications“ seitens der NSA verbunden. Im Gegenteil betont die NSA in ihrer Presseerklärung ausdrücklich, dass sie grundsätzlich zu einer Sammlung von „about communications“ berechtigt ist. Problematisch wäre daher, wenn die einseitige Erklärung der NSA, die jederzeit ebenso leicht wieder revidiert werden kann, nun der Überarbeitung von Section 702 FISA den Wind aus den Segeln nähme. Geht es dem Kongress ernsthaft um Privacy, muss er gesetzlich festschreiben, was die NSA binnenrechtlich verfügt hat.

Zweitens ist die Wirkung der Reform für Nicht-U.S.-BürgerInnen letztlich begrenzt. Denn Section 702 gilt nur für Überwachungen, die auf U.S.-Territorium selbst durchgeführt werden. U.S.-Dienste handeln jedoch bekanntlich auch im Ausland, teilweise in enger Kooperation mit dortigen Diensten und Telekommunikationsunternehmen. Dies ist von FISA nicht erfasst. Die Auslandsaktivitäten der Dienste stützen sich vielmehr auf Executive Order 12333 und deren überwiegend geheime Ausführungsbestimmungen. Über diese Überwachungsprogramme ist nach wie vor wenig bekannt, auch wenn der NSA-Untersuchungsausschuss für wichtige Aufklärung gesorgt hat. Eingeweihte haben angedeutet, dass die Menge der auf Grundlage von EO 12333 im U.S.-Ausland gesammelten Informationen die der im Inland gesammelten Daten weit übersteigt. Die „Overseas Surveillance“ ist eine offene Flanke der gesamten Diskussion um den Schutz informationeller Privatheit. Solange hier (fast) alles möglich ist, sind die Effekte von Reformen der Überwachung im Inland begrenzt.

Dies führt unmittelbar zum dritten Punkt. Das U.S.-Recht zur Überwachung beruht auf einer grundlegenden Unterscheidung: Verfassungsrechtlichen Schutz genießen allein U.S.-Personen, also U.S.-Bürger und einige ausgewählte Dritte mit hinreichend engen Beziehungen zur USA. Nicht-U.S.-Personen sind hingegen „fair game“ für Überwachung. Ausländer kommen Reformen also nur als Nebenfolge (wie im vorliegenden Fall) oder, wie im Fall von PPD-28, aufgrund außenpolitischer Zugeständnisse zugute. Die USA sind mit dieser Haltung nicht allein. Deutschland und andere EU-Mitgliedstaaten operieren, jedenfalls im Rahmen ihrer Auslandsaktivitäten, entsprechend. Welche Möglichkeiten dies den Behörden zur Umgehung der eigenen gesetzlichen Schranken eröffnet, soll hier nur durch den Begriff „Ringtausch“ angedeutet werden. Ausländer gegenüber Überwachungsmaßnahmen schutzlos zu stellen, ist damit nicht nur ein menschenrechtliches Problem. Vielmehr ist die Differenzierung zwischen Bürgern und Ausländern mit dafür verantwortlich, dass Überwachungssysteme eingerichtet werden können, die auf dem Prinzip der „overcollection“ basieren und damit den Privatheitsschutz für jeden, also auch für die eigenen Staatsbürger unterminieren. Diesen Punkt müsste eine Reform adressieren, um einen echten Fortschritt darzustellen.