US Cyber Command, NSA und Central Security Service sitzen gemeinsam in Fort Meade. © Chip Somodevilla/Getty Images

Die USA wollen auch unter einem neuen Datenschutzabkommen mit der EU ihre Spionagepraxis nicht ändern. Das geht aus Dokumenten hervor, die die EU-Kommission im Zusammenhang mit den Verhandlungen für den sogenannten EU-USA-Privacy-Shield veröffentlicht hat. In einem 18-seitigen Schreiben aus dem Büro von US-Geheimdienstkoordinator James Clapper heißt es lediglich, dass die bisherige Praxis von US-Gesetzen legitimiert und transparent sei sowie ausreichend kontrolliert werde.

Der Europäische Gerichtshof (EuGH) hatte im vergangenen Oktober festgestellt, dass die Daten europäischer Facebook-Nutzer in den USA nicht ausreichend vor dem Zugriff staatlicher Stellen geschützt seien. Das Safe-Harbor-Abkommen zwischen der EU und den USA sei daher ungültig. "Nationale Sicherheit, öffentliche Interessen und Justiz" hätten Vorrang gegenüber den Schutzregeln des Abkommens, urteilte das Gericht. Firmen seien daher "ohne jede Einschränkung verpflichtet [...], die in dieser Regelung vorgesehenen Schutzregeln unangewandt zu lassen, wenn sie in Widerstreit zu solchen Erfordernissen stehen".

Keine Zugeständnisse der USA an die EU

Um ein neues Abkommen mit der EU zu schließen, sind die USA jedoch nicht zu Zugeständnissen bei der Spionageaufklärung bereit. Das Dokument des Director of National Intelligence (DNI) stellt lediglich die aktuelle Rechtslage dar und kommt zu dem Schluss: "Die USA nutzen technische Aufklärung lediglich, um ihre nationale Sicherheit und ihre außenpolitischen Interessen zu stärken sowie ihre Bürger und die ihrer Alliierten und Partner vor Schaden zu bewahren. Kurz gesagt: Die Geheimdienste führen keine willkürliche Massenüberwachung durch, auch nicht von EU-Bürgern."

Dabei verweist das DNI-Büro zunächst auf die von US-Präsident Barack Obama im Januar 2014 vorgestellte Präsidentendirektive (PPD) 28. Diese Direktive betrifft die sogenannte technische Aufklärung, das heißt, das mehr oder weniger heimliche und massenhafte Abhören von Satelliten- oder Internetkommunikation weltweit. Jedoch haben Firmen wie Facebook oder Google, die sich zum Datenschutz von EU-Bürgern verpflichten, in der Regel keinerlei Einfluss auf diese Form der Überwachung. Sie können lediglich versuchen, mit Hilfe von verschlüsselter Kommunikation den Transport der Daten zwischen Europa und den USA zu schützen.

Sechs Überwachungszwecke erlaubt

Anders sieht es mit dem Fisa Amendments Act von 2008 (Section 702) aus, der rechtlichen Grundlage für Überwachungsprogramme wie Prism. Auf dieser Basis sind die US-Firmen verpflichtet, die bei ihnen gespeicherten Daten von EU-Bürgern herauszugeben. Nach Ansicht des DNI sind die Abhörmaßnahmen nach Section 702 eng begrenzt auf "individuell identifizierte legitime Ziele". Zudem unterlägen sie "sechs speziellen Zwecken" laut PPD 28, die eine Abfrage erlaubten. Dazu zählen der Kampf gegen Terrorismus, gegen die Verbreitung von Massenvernichtungswaffen und gegen internationale Kriminalität sowie der Einsatz für Cybersicherheit, zum Schutz von bewaffneten Truppen und zur Bekämpfung bestimmter ausländischer Aktivitäten. Gerade die Daten, die nach Section 702 gewonnen würden, gehörten zu den "wertvollsten Geheimdienstquellen, die sowohl die USA als auch ihre EU-Partner schützen".

Dabei erwähnt der DNI auch eine Studie des Privacy and Civil Liberties Oversight Board (PCLOB), die im Juli 2014 veröffentlicht worden war. Die Studie war in der Tat zu dem Ergebnis gekommen, dass die individuelle Überwachung von Ausländern nach dem Fisa-Gesetz rechtmäßig und vertretbar sei. Die entsprechenden Bestimmungen sowie weitere Gesetze sorgten dafür, dass die Privatsphäre von Ausländern ausreichend gesichert sei, hieß es damals. Die Experten räumten jedoch ein, dass das Programm zu einer "extrem großen Sammlung an Daten" führe, obwohl es auf der Überwachung von Individuen basiere. Im Jahr 2013 seien fast 90.000 Personen weltweit überwacht worden.

Zu guter Letzt verweist das Clapper-Büro auf den US Freedom Act, mit dem im vergangenen Juni die Vorratsdatenspeicherung der NSA modifiziert worden war. Das Gesetz erlaubt der National Security Agency zwar weiterhin, die Festnetz- und Handyanschlüsse von Millionen Amerikanern zu überwachen. Allerdings darf die NSA die Daten nicht mehr selbst speichern, sondern muss diese Aufgabe an die Telefongesellschaften abgeben. Nur bei begründetem Terrorverdacht und nach Beschluss des Geheimgerichts Fisc darf die Behörde die Daten abfragen. Die NSA muss ihre Arbeit zudem transparenter gestalten. Die Spionage im Ausland ist von der Reform nicht betroffen.

Vernichtende Kritik von Datenschützern

Das Schreiben des DNI bedeutet daher in keiner Weise einen besseren Schutz europäischer Daten als unter Safe Harbor. Daher schreibt die EU-Kommission lediglich: "Zum ersten Mal hat die US-Regierung der EU über das Büro des Direktors der nationalen Nachrichtendienste schriftlich zugesichert, dass der Datenzugriff von Behörden aus Gründen der nationalen Sicherheit klaren Beschränkungen, Garantien und Aufsichtsmechanismen unterworfen wird, die einen allgemeinen Zugriff auf personenbezogene Daten ausschließen." Dass ein Land versichert, seine eigenen Überwachungsgesetze einzuhalten, sollte eine Selbstverständlichkeit sein.

Datenschützer hatten allerdings gefordert, dass die USA ihre Gesetze ändern müssten, um den Vorgaben des EuGH-Urteils zu genügen. Da der Gerichtshof sein Urteil auf Basis der bestehenden US-Gesetze gefällt hat, ist kaum nachvollziehbar, warum europäische Daten nun besser geschützt sein sollen.

Rechtsbehelf verbessert

Letzteres gilt zumindest für bessere Möglichkeiten für einen Rechtsbehelf. "Unternehmen müssen Beschwerden innerhalb von 45 Tagen nachgehen. Außerdem steht ein kostenloses Verfahren der alternativen Streitbeilegung zur Verfügung", schrieb die EU-Kommission. Die betroffenen EU-Bürger könnten sich auch an ihre nationalen Datenschutzbehörden wenden, die dann zusammen mit der Federal Trade Commission (FTC) dafür sorgten, dass Beschwerden nachgegangen und abgeholfen werde. Die rechtliche Grundlage dafür legte Obama in der vergangenen Woche mit der Unterzeichnung des Judicial Redress Act.

Kein Wunder, dass Datenschutzaktivisten die neue Vereinbarung mit vernichtenden Worten kritisierten. "Das ist kein guter Deal, es verdient es im Grunde nicht, überhaupt als 'Deal' bezeichnet zu werden", sagt John McNamee von der Organisation European Digital Rights (Edri). Die EU-Kommission habe Europa eine Lektion erteilt, wie man nicht verhandeln dürfe.

Schrems bleibt skeptisch

Der österreichische Aktivist Max Schrems, der das EuGH-Urteil gegen Safe Harbor erstritten hatte, äußert sich in einer ersten Reaktion kritisch:"Man versucht hier mit einigen Behübschungen, das illegale Safe-Harbor-System wiederzubeleben, die grundsätzlichen Probleme der US-Massenüberwachung und der Nonexistenz von US-Datenschutz sind aber nicht gelöst. Auch wenn die EU-Kommission und die USA das mit großem PR-Aufwand überdecken wollen, ist das leider keine Lösung, die sehr stabil aussieht."

Experten der EU-Kommission verteidigten die Regelungen. Wenn die US-Seite sich nicht an die Abmachungen halte, könne das Abkommen ausgesetzt werden. "Das meinen wir ernst." Zudem solle die Umsetzung ständig überprüft werden. Die Behörde geht davon aus, dass sich die US-Seite auch nach einem Regierungswechsel weiter an die Abmachungen gebunden fühlt - die Vereinbarungen beruhen auch auf schriftlichen Zusicherungen etwa von US-Außenminister John Kerry.

In Situationen einer konkreten "massiven Bedrohung" etwa durch einen möglichen Terroranschlag dürfe die US-Seite großflächig Daten auswerten, dies solle aber die Ausnahme bleiben. Eine vorige Genehmigung der EU sei dafür nicht nötig. "Wir sind keine Super-Behörde, die über der NSA steht", erklärte eine Mitarbeiterin.

Bevor die EU-Kommission die Vereinbarungen endgültig anerkennt, müssen noch die Datenschützer der EU-Staaten konsultiert werden. Die EU-Kommission zeigte sich diesbezüglich sehr optimistisch. "Der EU-US-Datenschutzschild wird in Kürze aktiviert", sagte Vizepräsident Andrus Ansip und fügte hinzu: "Diesseits und jenseits des Atlantiks sind Arbeiten im Gange, die die persönlichen Daten unserer Bürgerinnen und Bürger umfassend schützen und sicherstellen sollen, dass wir die Chancen des digitalen Zeitalters nutzen können." Justizkommissarin Vera Jourová ergänzte: "Der Schutz personenbezogener Daten hat für mich innerhalb wie auch außerhalb der EU Priorität." Auf Basis dieser "Zusicherungen" wird es aber schwierig für die Kommission, die Datenschutzbeauftragten und eventuell den EuGH davon zu überzeugen.

Datenschutz - Fünf Tipps gegen die Überwachung Seitdem ZEIT-Autor Christian Fuchs weiß, welche Daten die deutschen Sicherheitsbehörden über ihn gesammelt haben, hat er seine Alltagsgewohnheiten drastisch verändert.