Ottawa. Verteidigungsminister Peter MacKay versuchte es gar nicht erst mit einem Dementi. "Das geschieht seit Jahren", lautete der lakonischer Kommentar des Kanadiers zu einem Bericht der Zeitung "Globe and Mail", dem zu Folge auch der kanadische Geheimdienst Internet- und Telefondaten im Ausland abfange. Die Kommunikation von Kanadiern werde allerdings nicht überwacht.
Europäer kann diese Bemerkung nicht beruhigen, zumal der aktuelle Skandal vielen Menschen auf dem Alten Kontinent zum ersten Mal vor Augen geführt haben dürfte, welche Folgen es hat, dass große (und entscheidende) Teile der globalen Internetarchitektur in den USA beheimatet oder in den Händen von US-Firmen sind oder beides.
Gefährlich ist das insofern, als nicht nur Unternehmen wie Facebook und Google Datenschutz und Privatsphäre ganz anders definieren als wir Deutsche, sondern auch die US-Regierung hier sehr eigene Prioritäten setzt.
In der vergangenen Woche hatten Guardian und Washington Post eine geheime Präsentation veröffentlicht, derzufolge Google, Microsoft, Yahoo, Apple und andere am Überwachungsprogramm "PRISM" teilnehmen und dadurch dem US-Geheimdienstes NSA Zugang verschaffen zu privaten Nutzerdaten wie Suchhistorien oder den Inhalten von E-Mails, Datei-Transfers und Live Chats.
Facebook & Co. fürchten um ihren Ruf
Die geleakte Präsentation enhielt ausdrücklich den Hinweis, die USA habe einen "Heimvorteil", weil die weltweit wichtigsten Providerunternehmen amerikanisch sind. Glaubt man den Quellen, dann hatte PRISM an den Daten deutscher User ein besonders großes Interesse.
Alle in der Quelle genannten Unternehmen haben mittlerweile dementiert, vorsätzlich und bewusst im Zusammenhang mit PRISM Nutzerdaten weitergegeben zu haben. Dass die US-Behörden grundsätzlich an solche Daten kommen können, war bekannt. Gemäß dem sogenannten "Patriot Act" ist dazu allerdings ein Gerichtsbeschluss samt offizieller Anfrage beim betreffenden Provider erforderlich.
Inwieweit jetzt darüber hinaus, womöglich unbemerkt und systematisch, Daten abgesaugt und ausgewertet wurden, ist unklar, Google, Facebook und Co. äußern sich dazu nicht eindeutig. Große Angst um ihren Ruf haben sie auf jeden Fall, deshalb gehen sie mittlerweile in die Offensive, fordern von der Regierung die Erlaubnis, alle geheimen Anfragen der Behörden nach Nutzerdaten veröffentlichen zu dürfen.
Das sie diese erhalten, ist eher unwahrscheinlich. Barack Obama hatte jüngst gesagt, man könne eben nicht 100 Prozent Sicherheit und 100 Prozent Privatsphäre und null Unannehmlichkeiten haben. Eine Mehrheit der amerikanischen Bevölkerung sieht die Sache ähnlich: Wie eine aktuelle Umfrage ergab, halten 62 Prozent der Menschen in den USA den Kampf gegen den Terrorismus für wichtiger als den Schutz der Privatsphäre.
In Deutschland sind die Prioritäten andere, und gerade IT-Verantwortliche von Unternehmen machen sich große Sorgen um ihre Daten. Stellt sich die Frage, was sie tun können, um möglichst wenig vom aktuellen Skandal und den bekannt gewordenen Risiken tangiert zu werden.
Selbst hosten bietet Sicherheit
Carsten Ulbricht, Anwalt für IT- und Internetrecht bei der Stuttgarter Kanzlei Diem & Partner, sagt, die Affäre zeige vor allem, dass es grundsätzlich eine Illusion ist, zu glauben, wir hätten noch in allen Bereichen die volle Kontrolle über unsere Daten. Unternehmen müsse klar werden, dass vieles, was auf Facebook gepostet wird, kaum vor dem Zugriffe Dritter geschützt werden kann.
"Dabei ist auch zu berücksichtigen, dass die deutschsprachige Version der Seite nicht deutschem, sondern irischem Datenschutzrecht unterliegt, weil der europäische Sitz des Unternehmens von Mark Zuckerberg Irland ist", klärt er Anwalt auf.
Das Nutzerdaten von hier unbemerkt zum US-Geheimdienst gelangen, sollte eigentlich nicht passieren, weil gemäß dem sogenannten Safe Harbour-Abkommen Firmen aus Europa Daten nur unter eng begrenzten Voraussetzungen in die USA transferieren dürfen.
Echte Sicherheit bietet das nicht, räumt Ulbricht ein. "Wir wissen ja nicht, wo genau die Daten der Facebook-Nutzer verabeitet werden. In Irland? Oder vielleicht doch in den USA?" Seiner Ansicht nach hätte schon vor der PRISM-Affäre klar sein sollen, das sensible Unternehmensinformationen grundsätzlich nicht in soziale Netzwerke gehören, und dass sich auch Mitarbeiter nicht über Kunden und Geschäftspartner via Facebook austauschen sollten.
Bei der professionellen Nutzung von Social Media Services oder Cloud-Lösungen empfiehlt Ulbricht, sich für einen europäischen Anbieter zu entscheiden, entsprechende Sicherheitsmechanismen einführen und vor allem abgestufte Sicherheitsrichtlinien bei der Verarbeitung festzulegen. "Wer es sich leisten kann, sollte den sensibelsten Teil seiner Daten gar nicht herauszugeben, sondern selbst hosten", lautet sein Rat.