Bereits in früheren Informationen hatten wir darauf hingewiesen, dass durch den Wegfall des Privacy Shields die Anwendung der EU-Standardvertragsklauseln derzeit die einzige praktikable Lösung zum Transfer personenbezogener Daten in die USA zu sein scheint. Da auch bei den so genannten SCCs immer noch das Sicherheitsniveau im Zielland beachtet werden muss, scheint auf Grund der Sicherheitsgesetze (FISA; CloudAct) eben dieses Sicherheitsniveau in den USA nicht angemessen zu sein.
Sind wir in Deutschland so viel besser? Oder haben wir auch unsere Defizite, über die jedoch in dieser Diskussion großzügig hinweggesehen wird?
Problem FISA / CloudAct
Die US-Behörden sind berechtigt Daten bei allen Unternehmen anzufordern, die Ihren Sitz oder eine Niederlassung in den USA haben. Über entsprechende Datenanforderungen ist Stillschweigen zu wahren. Es ist daher nicht bekannt, ob und welche Daten bei einem Unternehmen angefordert worden sind und wer die Betroffenen sind. Dies mag nun etwas oberflächlich beschrieben sein, dürfte im Kern aber das Problem herausstellen, da Betroffene sich so gegen mögliche Ermittlungen nicht wehren können.
Über einen Trick ist es den Anbietern jedoch möglich zumindest die Zahl der erhaltenen Anfragen zu veröffentlichen. Ein Anbieter, der dies regelmäßig macht, ist Amazon.
Amazon und die Anfragen
Amazon selbst erhielt nach Informationen im Halbjahresbericht 2020 insgesamt 2416 Vorladungen. Da es in der aktuellen Diskussion aber primär um die Cloud-Anbieter in den USA geht, beschränken wir uns auf die Zahl der Anfragen bei Amazon Web Services: Laut Bericht liegen 0-249 Anfragen vor[1].
Hochrechnung auf die US-Cloud-Anbieter
Prüft man verschiedene Statistiken, kommt Amazon mit seinen Webservices auf einen Marktanteil von ca. 33% bis 48%. Gehen wir im weiteren Verlauf vom niedrigsten Wert – 33%[2] – aus, so dürften insgesamt im ersten Halbjahr etwa 807 Informationsabfragen in den USA vorgelegen haben. Pro Jahr wären dies 1614 Abfragen. Natürlich hat diese Rechnung gewisse Ungenauigkeiten. Einerseits ist die Frage, ob die anderen Anbieter im gleichen Umfang angefragt worden sind, andererseits beherrscht die USA nicht 100% des Cloud-Marktes. Auch Alibaba hat beispielsweise mittlerweile einen gewissen Marktanteil in der Cloud erreicht.
Umfang dieser Anfragen
Über den Inhalt dieser Informationsanfragen und der beauskunfteten Daten liegen keine genauen Daten vor. Aus dem Consumer-Bereich von Amazon abgeleitet kann man die Vermutung aufstellen, dass nicht alle Anfragen komplett beantwortet werden (können). Der Bericht unterscheidet zwischen „full response“ und „partial response“.
Trotzdem liegt die Vermutung nahe, dass die Daten natürlich ziemlich umfangreich ausfallen können. Bei intensiver Cloud-Nutzung kommen da beträchtliche Daten-Pools zusammen.
Vermutung zur Analyse
Ich vermute sehr stark, dass keine Behörde sich durch einen Wust von tausenden Dokumenten und ggf. Bildern arbeiten möchte. Es wird wahrscheinlich eine Art automatisierter Vorarbeit geleistet, wodurch mittels KI nur noch vermeintlich relevante Dokumente und Bilder in den Fokus geraten.
Meinung
Natürlich bin ich ein großer Verfechter der Privatsphäre und befürworte daher auch einen Schutz vor willkürlicher und undokumentierter Ermittlungen durch die Behörden. Trotzdem unterstelle ich eine gewisse Rechtssicherheit in den USA, dass die Ermittlungen sachgerecht und zielorientiert durchgeführt werden.
Steht Deutschland besser da?
Die deutschen Gesetze sind meiner Meinung nach schon sehr auf den Schutz des Einzelnen ausgelegt und sollen vor einer unangemessenen und willkürlichen Ermittlung schützen. Die Strafprozessordnung gibt den ermittelnden Behörden viele Regeln vor, wann und mit welchen Mitteln gegen einen Einzelnen oder eine Gruppe ermittelt werden darf.
Doch wie sieht es abseits der Gesetzestexte aus?
Zugriff auf Corona-Listen von Bars und Restaurants
Was ist z.B. mit dem reihenweisen Zugriff der Polizei auf die Corona-Listen von Bars und Restaurants? Gibt es hierzu richterliche Beschlüsse? Werden alle Betroffenen darüber informiert, dass die Listen von der Polizei eingesehen wurden?
So wurden die Listen in Bayern nicht nur zur Ermittlung bei schweren Straftaten verwendet, sondern auch bei Beleidigung, Fahrerflucht und Diebstahl. Und dies auch ohne richterlichen Beschluss.
Und genau darum geht es:
Einer der Kritikpunkte an den Sicherheitsgesetzen der USA ist, dass die Daten auch ohne richterlichen Beschluss angefordert werden können. Jedoch ist dies nicht nur in den USA so. Auch in Deutschland können Unterlagen beschlagnahmt werden – auch ohne Gerichtsbeschluss, wenn Gefahr in Verzug scheint[3]. Und wie sich nun zeigt, eben auch nicht minderschweren Fällen.[4]
Verstöße gibt es bereits seit Jahren: die Funkzellenabfrage
Aber nicht nur die Corona-Listen, die zugegeben ein ziemlich neues Instrument der Datenerhebung sind, möchte ich in dieser Argumentation berücksichtigen.
Es gibt einen Ermittlungsansatz, der bereits seit Jahren eingesetzt wird und bei dem Millionen von Datensätzen erzeugt und verarbeitet werden. Die Funkzellenabfrage bei den Mobilfunkanbietern.
Allein in Berlin gab es 2019 insgesamt 612 Funkzellenabfragen und 79 Millionen Verkehrsdatensätze. Umgerechnet auf die Einwohnerzahl der Hauptstadt entspräche dies 21 Datensätzen pro Kopf[5]. Zudem gab es bundesweit 2019 insgesamt 89.170 „stille SMS“ zur Ortung von Mobiltelefonen[6].
Dabei sieht die StPO vor, dass die Ermittlung notwendig sein muss und die Erhebung im „angemessenen Verhältnis zur Bedeutung der Sache steht“. (§100g StPO) Zudem sind die „Beteiligten der betroffenen Telekommunikation … von der Erhebung der Verkehrsdaten nach § 100g zu benachrichtigen.“ (§101a StPO)
Erfolgen entsprechende Benachrichtigungen?
Nach den bei der Recherche gefundenen Informationen erfolgt regelmäßig KEINE Benachrichtigung. Dies lässt sich aus §101 Abs. 4 S. 4 StPO ableiten: „Zudem kann die Benachrichtigung einer in Satz 1 Nummer 2 und 3 bezeichneten Person, gegen die sich die Maßnahme nicht gerichtet hat, unterbleiben, wenn diese von der Maßnahme nur unerheblich betroffen wurde und anzunehmen ist, dass sie kein Interesse an einer Benachrichtigung hat.“
Offen bleibt dabei die Frage, was „nur unerheblich betroffen“ bedeutet bzw. wer dies festlegt und woran gemessen wird, dass der Betroffene „kein Interesse an einer Benachrichtigung hat“?
Mich persönlich würde es durchaus interessieren, wenn meine Standortdaten hinter meinem Rücken weitergegeben werden.
Sind alle Vorgänge nachvollziehbar und dokumentiert?
Eine Antwort aus dem Landtag NRW aus 2014 die Vermutung zu, dass der Anfangsverdacht zu einer Straftat nach §11a Abs. 2 StPO nicht immer vorliegt. So wird in der Antwort auf Seite 7 angegeben, dass es im ersten Quartal 2014 in NRW insgesamt 972 Funkzellenabfragen gegeben hat (hochgerechnet also 3.888 Abfragen für ein Jahr). Dabei sind laut Aufstellung auf Seite 8 in 68 Fällen in der IT-Anwendung der Polizei kein Vermerk zur Straftat vorgenommen worden, da dies kein Pflichtfeld sei. In 7% der Fälle ist eine Überprüfung der Notwendigkeit also nicht mehr möglich[7].
Erstes Fazit
Natürlich muss man unterscheiden, dass es bei der Abfrage von Daten bei den Cloud-Anbietern um eine Vielzahl verschiedener Datensätze geht und im zuvor behandelten Sachverhalt „nur um Telekommunikations- und Standortdaten“. Dadurch wird eine Datenabfrage bei AWS deutlich umfangreicher sein. Die Häufigkeit von Funkzellenabfragen und den damit entstehenden Verkehrsdatensätzen ist aber m.M.n. jedoch ebenfalls nicht zu unterschätzen.
Runtergebrochen auf die Problematik zur Strafverfolgung in den USA, die zum Anlass genommen wurde, den Datentransfer in die USA zu kritisieren, kann man allerdings festhalten: Die ausbleibende Benachrichtigung der Betroffenen und die nicht immer nachvollziehbaren Anträge der Staatanwaltschaft führen aus meiner Sicht dazu, dass man auch das deutsche Sicherheitsniveau kritisch betrachten und für unzureichend erachten könnte.
Die Rolle der Aufsichtsbehörden
Interessanterweise sehen die Aufsichtsbehörden dies nicht anders.
Bereits im Oktober 2015 kam das ULD SH in einer Untersuchung zu folgender Erkenntnis: „Gleichwohl ist das Ungleichgewicht zwischen Ausmaß der Ermittlungsmaßnahme und der Transparenz darüber aus grundrechtlicher Sicht nicht akzeptabel. Es sollten daher alternative Möglichkeiten geprüft werden, um Transparenz für die Betroffenen zu erhöhen, ohne den Grundrechtseingriff für diese zu vertiefen.“[8]
Zu einem ähnlichen Ergebnis kam auch die Berliner Beauftragte für Datenschutz und Informationsfreiheit in einer Prüfung, die mit dem Bericht vom 28.07.2016 zusammengefasst wurde.[9]
Auch hier wird auf die fehlende Benachrichtigung hingewiesen und darauf, dass auf Grund von Mängeln in der Dokumentation im Nachhinein nicht nachvollzogen werden kann, ob eine schwere Straftat vermutet wurde, die eine entsprechende Überwachung zulässig macht:
„Die Staatsanwaltschaft beantragte regelmäßig gerichtliche Beschlüsse für die Durchführung von TKÜ-Maßnahmen oder die Abfrage von Verkehrsdaten, ohne zu begründen oder in der Akte zu dokumentieren, warum die Tat im Einzelfall schwer wiegt und ohne die konkrete Maßnahme die Erforschung des Sachverhalts oder die Ermittlung des Aufenthaltsortes des Beschuldigten wesentlich erschwert oder aussichtslos wäre bzw. sie für die Erforschung des Sachverhalts erforderlich ist und die Erhebung der Daten in einem angemessenen Verhältnis zur Bedeutung der Sache steht.“
Fazit
Ziel meiner Zusammenfassung war es nicht die Zugriffsbefugnisse der Behörden in den USA zu verteidigen oder die Funkzellenabfragen von der Gewichtung her mit den Datensätzen zu vergleichen, die bei den Cloud-Anbietern „gefährdet“ sind.
Mein Ziel lag einzig darin darzulegen, dass die Strafverfolgung aller Staaten in einer widersprüchlichen Position zur Privatsphäre zu sehen ist und es auch in Deutschland Regelungen in der Strafverfolgung gibt, die verhindern, dass sich Betroffenen ausreichend informiert fühlen können.
Wenn ich von der Datenerfassung nichts weiß, kann ich mich dagegen auch nicht zur Wehr setzen!
Besonders interessant finde ich dabei, dass ausgerechnet die Berliner Beauftragte für Datenschutz und Informationsfreiheit bereits 2016 festgestellt hat, dass die Rechte der Betroffenen auch in unserer Strafverfolgung nicht immer gewahrt sind, jedoch jetzt von den Unternehmen beim Einsatz der EU-Standardvertragsklauseln eine Prüfung verlangt, ob „staatliche Zugriffsmöglichkeiten auf die Daten bestehen, die über das nach europäischem Recht Zulässige hinausgehen“.
Haftungsausschluss
Diese Zusammenfassung spiegelt die eigenen Recherchen und die persönliche Meinung von mir, René Floitgraf, wider. Sie dient nicht zur Beratung und soll dazu anregen über die aktuelle Situation nachzudenken und in der aktuellen Diskussion darauf hinzuweisen, dass die Strafverfolgung immer im Konflikt mit der informationellen Selbstbestimmung und der Privatsphäre steht. Es geht nicht darum Verhältnismäßigkeiten zu bewerten oder bestimmte Eingriffe zu rechtfertigen.
Die Recherche der zugrunde liegenden Quellen erfolgte nach bestem Wissen und Gewissen. Für die Korrektheit der Zahlen aus den Quellen kann keine Gewähr übernommen werden, auch wenn ich versucht habe möglichst seriöse Quellen zu verwenden.
[1] https://d1.awsstatic.com/certifications/Information_Request_Report_June_2020.pdf
[2] https://de.statista.com/infografik/20802/weltweiter-marktanteil-von-cloud-infrastruktur-dienstleistern/
[3] https://www.tagesschau.de/inland/corona-gaestelisten-polizei-103.html
[4] https://www.sueddeutsche.de/bayern/bayern-polizei-corona-gaestelisten-ermittlungen-1.5018271
[5] https://netzpolitik.org/2020/berlin-12-funkzellenabfragen-pro-woche/
[6] https://de.statista.com/statistik/daten/studie/315742/umfrage/verschickte-stille-sms-zur-ortung-von-mobiltelefonen-in-deutschland-2014/
[7] https://www.landtag.nrw.de//portal/WWW/dokumentenarchiv/Dokument/MMD16-6051.pdf?von=1&bis=0
[8] https://www.datenschutzzentrum.de/uploads/sicherheit-justiz/20151026-funkzellenabfrage-pruefbericht.pdf
[9] https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/pressemitteilungen/archiv-2016/30082016_Anlage_Stille_SMS.pdf