Was jahrelang wie ein tapferer Kampf der IT-Konzerne für den Schutz der Nutzerdaten aussah, hat ein jähes Ende gefunden. In einem ohne jegliche parlamentarische Anhörung durchgeboxten Gesetz hat der US-Kongress Ende März den Ermittlern weltweiten Zugriff auf Server verschafft, die US-Firmen gehören. Die EU-Kommission stellte in dieser Woche noch weiter reichende Pläne vor. Das Besondere dabei: Die von der Gesetzgebung betroffenen Staaten könnten in gegenseitigen Abkommen künftig weltweit ihren Ermittlern Zugriff auf Server erlauben. Ganz unabhängig von deren Standort.

Hintergrund der umstrittenen Gesetzgebung in den USA war ein jahrelanger Streit über den Zugriff auf Daten, die US-Firmen auf Servern im Ausland gespeichert haben. Der Supreme Court in den USA sollte eigentlich in diesem Jahr ein Urteil fällen, ob Microsoft E-Mails eines US-Bürgers von einem in Irland stehenden Server herausgeben muss. Doch nach dem Beschluss des sogenannten Clarifying Lawful Overseas Use of Data Act, kurz Cloud Act (PDF), erklärte das oberste US-Gericht den Fall am Dienstag für erledigt. Damit ist Microsoft definitiv dazu verpflichtet, US-Behörden Beweismaterial von europäischen Servern zur Verfügung zu stellen.

Der Cloud Act sieht daneben ausdrücklich vor, dass die USA mit ausländischen Staaten Regierungsvereinbarungen treffen. Sie sollen ausländischen Ermittlungsbehörden den Zugriff auf Daten erlauben, die von US-Firmen gespeichert werden. Im Gegenzug sollen die US-Ermittler ebenfalls Zugriff auf Daten von US-Bürgern haben, die in dem entsprechenden Land gespeichert sind. Dabei sollen die Datenschutzbestimmungen des anderen Landes nicht beachtet werden müssen. Das bisherige System der Rechtshilfeabkommen wäre in diesen Fällen obsolet.

Es ist sicher kein Zufall, dass die EU-Kommission am Dienstag einen ähnlichen Vorschlag unterbreitet hat. Auch dieser sieht vor, dass Strafverfolgungsbehörden weltweit auf Daten zugreifen können, die von Internetfirmen gespeichert werden, die ihre Dienste in der EU anbieten. Die betroffenen Firmen sollen nur dann die Herausgabe elektronischer Beweismittel verweigern dürfen, wenn Gesetze in ihrem Heimatland das untersagen oder Daten von Personen aus anderen Ländern betroffen sind.

EU-Kommission diskutiert bereits mit den USA

Aus diesem Grund liegt es nahe, dass die europäischen Staaten mit den USA ein entsprechendes Regierungsabkommen abschließen, das den gegenseitigen Zugriff auf Daten ermöglicht. Auf Anfrage von golem.de teilte die EU-Kommission mit, dass EU-Justizkommissarin Věra Jourová bereits im vergangenen Monat in den USA gewesen sei und diese Themen mit US-Justizminister Jeff Sessions besprochen habe. Von den Justizministern der EU-Mitgliedstaaten habe sie "ein starkes Mandat" erhalten, in den Diskussionen mit den USA eine gemeinsame Lösung für die EU anzustreben. Ein Sprecher des Bundesjustizministeriums bestätigte auf Anfrage von golem.de ebenfalls, dass keine bilaterale Lösung zwischen Deutschland und den USA angestrebt werde.

Bürgerrechtsorganisationen wie die Electronic Frontier Foundation (EFF) warnen davor, dass bestehende US-Gesetze mit den Regierungsvereinbarungen umgangen werden könnten. So würden die Standards für die Überprüfung von Durchsuchungsbeschlüssen geschwächt. Ausländische Ermittler könnten zudem Verdächtige in Echtzeit abhören, ohne die erhöhten Vorgaben der US-Behörden einhalten zu müssen. Ebenfalls gebe es keine Vorgaben, was den Straftatenkatalog für den Datenzugriff betrifft. Die Ermittler seien weder dazu verpflichtet, die betroffene Person zu informieren, noch das Land, in dem die Person sich aufhält oder in dem die Daten gespeichert werden. Nicht einmal eine richterliche Bestätigung des Datenzugriffs sei erforderlich.

Für EU-Bürger könnte der Cloud Act in Verbindung mit einer Regierungsvereinbarung zweierlei bedeuten: Zum einen erhielten Ermittler aus beliebigen EU-Staaten Zugriff auf Daten aller großen IT-Konzerne wie Google, Facebook, Apple, Microsoft oder Amazon in den USA. Zum anderen hätten künftig aber auch US-Ermittler Zugang zu allen gespeicherten Daten in Europa, unabhängig davon, ob es sich um US-Firmen oder europäische Anbieter handelt.

Je nach dem, mit welchem Land die USA darüber hinaus eine solche Vereinbarung abschließen, könnten die Daten von EU-Bürgern ebenfalls abgegriffen werden. Das könnte beispielsweise der Fall sein, wenn ein EU-Bürger in dem betreffenden Land einer Straftat verdächtigt wird, seine Daten aber in den USA gespeichert sind.