Medienberichte über US-Sicherheitsprogramm
Am 16. Juli veröffentlichte Brad Smith, General Counsel & Executive Vice President Legal & Corporate Affairs von Microsoft, in einem Beitrag des Firmen-Blogs seine Stellungnahme auf jüngste Berichte über Microsoft, die auf in die Öffentlichkeit gelangten Regierungsdokumente basieren. Bezüglich dieser Dokumente gibt es erhebliche Fehlinterpretationen, worauf Brad Smith in seinem Blogpost eingeht. Er stellt auch nochmals klar, nach welchen hohen Grundsätzen das Unternehmen Behördenanordnungen nachkommt.
Lesen Sie im Folgenden eine deutsche Übersetzung des Beitrags von Brad Smith:
**********
Reaktion auf gesetzlich begründete Anfragen der Regierung für die Bereitstellung von Kundendaten
Von Brad Smith General Counsel & Executive Vice President, Legal & Corporate Affairs, Microsoft
Wir haben heute den amerikanischen Justizminister gebeten, persönlich Maßnahmen zu ergreifen, die es Microsoft und anderen Unternehmen gestatten, umfassendere Informationen darüber zu veröffentlichen, wie wir mit nationalen Sicherheitsanfragen für die Bereitstellung von Kundendaten verfahren. Obwohl wir der Auffassung sind, dass uns die amerikanische Verfassung das Recht einräumt, weitere diesbezügliche Informationen zu veröffentlichen, hindert uns die Regierung daran. So steht beispielsweise eine Antwort der Juristen der Regierung auf einen Antrag aus, den wir am 19. Juni bei Gericht eingereicht haben und in dem wir um die Erlaubnis zur Veröffentlichung der nationalen Sicherheitsanfragen, die an uns herangetragen wurden, in vollem Umfang ersuchen. Wir hoffen, dass der Justizminister in diesem Zusammenhang eingreifen kann, um die Situation zu verändern.
Bis dahin ist es unser Anliegen, so viele Informationen zu veröffentlichen, wie wir derzeit dazu in der Lage sind. Es liegen erhebliche Ungenauigkeiten in den Auslegungen der geheimen Regierungsdokumente vor, die den Medien zugespielt und über die vergangene Woche in den Medien berichtet wurde. Wir haben die Regierung erneut um die Erlaubnis gebeten, die Fragen, die sich durch diese neuen Dokumente ergeben haben, zu erörtern, aber unser Antrag wurde von den Juristen der Regierung abgelehnt. Einstweilen haben wir als Reaktion auf die Vorwürfe in der Berichterstattung die Informationen zusammengefasst, die wir veröffentlichen dürfen:
- Outlook.com (früher Hotmail): Wir gewähren keiner Regierung den direkten Zugriff auf Emails oder Sofortnachrichten. Punkt. Wie alle Anbieter von Kommunikationsdiensten sind wir bisweilen verpflichtet, gesetzlich begründeten Anfragen von Regierungen nachzukommen und Inhalte für bestimmte Konten (Accounts) bereitzustellen, um damit einem Durchsuchungsbeschluss oder einer gerichtlichen Verfügung zu entsprechen. Diese Vorgehensweise gilt in den USA sowie in anderen Ländern, in denen wir Daten speichern. Nach Erhalt einer derartigen Anfrage findet eine Überprüfung statt; wenn wir dazu verpflichtet sind, kommen wir dieser Anfrage nach. Wir stellen keiner Regierung technische Möglichkeiten zur Verfügung, mit denen sie direkt oder selbst auf die Inhalte der Nutzer zugreifen. Stattdessen müssen Regierungen weiterhin rechtsgültigen Verfahren folgen, um bestimmte Informationen über identifizierte Konten (Accounts) von uns zu erhalten.
- Nicht überraschen dürfte die Tatsache, dass wir diesen gesetzlichen Verpflichtungen auch unterliegen, wenn wir unsere Produkte aktualisieren und sogar dann, wenn wir Verschlüsselungs- und Sicherheitsmaßnahmen verstärken, um den Schutz der Inhalte während der Übertragung im Internet zu verbessern. Die kürzlich den Medien zugespielten geheimen Regierungsdokumente konzentrieren sich auf die zusätzliche HTTPS-Verschlüsselung der Sofortnachrichten auf Outlook.com, mit der diese Inhalte sicherer im Internet übertragen werden. Es muss klar festgehalten werden, dass wir keiner Regierung eine Möglichkeit einräumen, Verschlüsselungsmaßnahmen zu umgehen; zudem stellen wir keiner Regierung Verschlüsselungscodes zur Verfügung. Wenn wir gesetzlich dazu verpflichtet sind, Anfragen nachzukommen, nehmen wir die spezifischen Inhalte unverschlüsselt von unseren Servern, auf denen sie gespeichert wurden, und stellen diese Inhalte anschließend der Regierung zur Verfügung.
- Durchforstet man alle technischen Details, ergeben sich für alle Informationen aus den geheimen Regierungsdokumenten, die den Medien zugespielt wurden, zwei Tatsachen. Erstens: Während wir tatsächlich, wie in der vergangenen Woche berichtet wurde, die Einhaltung der gesetzlich begründete Anfragen mit der Regierung erörtert haben, stellte Microsoft weder in einer Besprechung einer Regierung den direkten Zugang zu Inhalten der Nutzer zur Verfügung, noch hat sich Microsoft bereit erklärt, dies zu tun; ferner stellte Microsoft auch keine Möglichkeit zur Verfügung, mit der unser Verschlüsselungssystem ausgehebelt werden könnte. Zweitens ging es bei den Besprechungen um das Thema, wie Microsoft seine kontinuierliche Verpflichtung zur Erfüllung der gesetzlichen Vorschriften durch Bereitstellung von bestimmten Informationen aufgrund einer rechtmäßigen Verfügung der Regierung erfüllt.
- SkyDrive: Auf die gleiche Weise reagieren wir auf gesetzlich begründete Anfragen der Regierung hinsichtlich der in SkyDrive gespeicherten Daten. Alle Anbieter von Speicherdiensten dieser Art sind gesetzlich dazu verpflichtet, die gespeicherten Inhalte zur Verfügung zu stellen, wenn sie ordnungsgemäß und von Rechts wegen dazu aufgefordert werden. 2013 veränderten wir unsere Prozesse, um auch weiterhin der zunehmenden Anzahl von gesetzlich begründeten Anfragen von Regierungen weltweit nachzukommen. Dabei wurde keine Änderung durchgeführt, die einer Regierung den direkten Zugang zu SkyDrive ermöglichen würden. Auch wurde nichts an der Tatsache geändert, dass Regierungen nach wie vor rechtsgültige Verfahren einhalten müssen, um Kundendaten anzufordern. Das Verfahren zur Erzeugung von auf SkyDrive gespeicherten Daten ist dasselbe, unabhängig davon, ob es sich um einen Durchsuchungsbeschluss in Verbindung mit einer Straftat handelt oder um eine Reaktion auf einen nationalen Sicherheitsbeschluss in den USA oder in einem anderen Land.
- Anrufe über Skype: Wie bei den anderen Diensten reagieren wir auch hier lediglich auf die gesetzlich begründeten Anfragen der Regierungen und entsprechen lediglich den Anfragen für bestimmte Konten (Accounts) oder Kennungen (Identifiers). Die Berichterstattung der vergangenen Woche enthielt Vorwürfe über eine bestimmte Änderung, die 2012 vollzogen worden sei. Wir verbessern und entwickeln das Angebot rund um Skype kontinuierlich und haben auch diverse Verbesserungen des technischen Backends von Skype eingeführt, beispielsweise das seit 2012 intern durchgeführte Hosting der „Superknoten“ sowie die Migration zahlreicher Sofortnachrichten, die über Skype laufen, auf die Server in unseren Datenzentren. Diese Veränderungen erfolgten nicht, um den Zugang von Regierungen auf Audio-, Video-, Messaging- oder andere Kundendaten zu vereinfachen. Aber aufgrund der zunehmenden Nutzung von internetbasierter Sprach- und Videokommunikation ist klar, dass Regierungen künftig ein Interesse an der Nutzung (beziehungsweise Schaffung) von gesetzlichen Befugnissen haben werden, um den Zugang auf diese Art von Inhalten zu sichern und um bei Verdacht auf kriminelle Handlungen Ermittlungen durchzuführen oder den Terrorismus zu bekämpfen. Wir gehen daher davon aus, dass alle Anrufe, ob sie über das Internet, im Festnetz oder auf dem Mobiltelefon erfolgen, ähnliche Datenschutz- und Datensicherheitsstufen aufweisen werden. Selbst unter diesen Umständen ist Microsoft auch weiterhin daran gelegen, nur gesetzlich begründeten Anfragen hinsichtlich der Informationen über bestimmte Nutzerkonten nachzukommen. Wir werden keiner Regierung den direkten oder uneingeschränkten Zugang zu Kundendaten oder Verschlüsselungscodes gewähren.
- Speichern von Emails und Dokumenten im Unternehmen: Sollten wir eine Anfrage zur Bereitstellung von Daten eines Unternehmenskunden von einer Regierung erhalten, ergreifen wir Maßnahmen, um die Regierung direkt an den Kunden zu verweisen und benachrichtigen den Kunden, es sei denn, dies ist uns rechtlich untersagt. Wir haben zu keinem Zeitpunkt einer Regierung Kundendaten von einem unserer Unternehmenskunden oder einem Kunden aus dem öffentlichen Sektor für nationale Sicherheitszwecke zur Verfügung gestellt. In Bezug auf Anfragen in Zusammenhang mit einer Strafverfolgung haben wir in unserem Bericht über Anfragen in Zusammenhang mit einer Strafverfolgung (Law Enforcement Requests Report) deutlich gemacht, dass wir im gesamten Verlauf des Jahres 2012 lediglich vier Anfragen nachgekommen sind, die in Zusammenhang mit Unternehmenskunden oder Kunden des öffentlichen Sektors standen. In drei Fällen unterrichteten wir die Kunden über die Anfrage; diese Kunden baten uns, die Daten zu erstellen. Im vierten Fall erhielt der Kunde die Anfrage direkt und beauftragte Microsoft mit der Erzeugung der Daten. Wir stellen keiner Regierung Möglichkeiten zur Verfügung, mit denen sie die Verschlüsselungsmaßnahmen umgehen, die angewandt werden, um unsere Unternehmenskunden und deren Daten in der Cloud zu schützen; und wir stellen zudem keiner Regierung Verschlüsselungscodes bereit.
Zusammenfassend ist festzustellen, dass wir uns bemühen, prinzipientreu zu agieren, nur in begrenztem Umfang Daten offenzulegen und transparent zu sein, wenn Regierungen Informationen von Microsoft über Kunden anfordern. Insgesamt ergeben sich aus diesen Grundsätzen folgende Fakten für unser komplettes Software- und Services-Angebot:
- Microsoft ermöglicht keiner Regierung den direkten und uneingeschränkten Zugang zu Kundendaten. Microsoft nimmt diese Daten lediglich (von seinen Servern) und stellt anschließend die spezifischen Daten bereit, die im Rahmen der relevanten gesetzlich begründeten Anfrage offengelegt werden müssen.
- Falls eine Regierung Kundendaten anfordert – auch für Zwecke der nationalen Sicherheit –, muss diese Regierung die anwendbaren rechtsgültigen Verfahren befolgen, das heißt, sie muss uns eine gerichtliche Verfügung für die Bereitstellung der Inhalte oder eine gerichtliche Vorladung für die Bereitstellung der Kontoinformationen (Account Information) vorlegen.
- Wir beantworten lediglich Anfragen zu spezifischen Konten (Accounts) und Kennungen (Identifiers). Es gibt weder eine Pauschalgenehmigung noch einen wahllosen Zugang zu Kundendaten von Microsoft. Die gesammelten Daten, die wir veröffentlichen konnten, zeigen deutlich, dass lediglich ein winziger Bruchteil – das heißt Bruchteile eines Prozents – unserer Kunden von einer Anfrage einer Regierung in Zusammenhang mit strafrechtlichen Maßnahmen oder der nationalen Sicherheit betroffen war.
- Alle Anfragen werden von dem Compliance Team bei Microsoft sehr genau überprüft, das sicherstellt, dass die Anfrage rechtsgültig ist beziehungsweise Anfragen, die nicht rechtsgültig sind, ablehnt und zudem gewährleistet, dass wir lediglich die Daten bereitstellen, die Gegenstand der Verfügung sind. Während wir verpflichtet sind, die Vorschriften einzuhalten, handhaben wir weiterhin das Verfahren zur Einhaltung der Vorschriften, indem wir den Verfügungen, die wir erhalten, entsprechen sowie sicherstellen, dass diese rechtsgültig sind und indem wir zudem nur die Daten offenlegen, die Gegenstand der Verfügung sind.
Microsoft ist verpflichtet, die geltenden Gesetze einzuhalten, die Regierungen weltweit – und nicht nur in den USA – verabschieden; dazu gehört die Reaktion auf gesetzlich begründete Anfragen für die Bereitstellung von Kundendaten. Wir alle leben heute in einer Welt, in der Unternehmen und Regierungsbehörden große Datenmengen (Big Data) nutzen und daher ist es falsch anzunehmen, diese Tatsache sei auf die USA beschränkt. Sehr wahrscheinlich erhalten Behörden diese Informationen aus einer Vielzahl von Quellen und über viele unterschiedliche Wege. Um Kundendaten von Microsoft zu erhalten, müssen sie aber rechtsgültige Verfahren einhalten.
Weltweit ist eine offenere und öffentliche Diskussion über diese Methoden angezeigt. Obwohl man bei der Debatte die Vorgehensweisen aller Regierungen in den Mittelpunkt rücken sollte, sollten zunächst die Methoden in den USA erörtert werden. Die aktuellsten Nachrichten bringen dies teilweise klar zum Ausdruck. Zudem sind sie auch Spiegelbild von etwas Zeitloserem. Die USA hat Vorbildfunktion, indem man dort das verfassungsrechtlich verankerte Recht auf freie Meinungsäußerung gewährleistet. Wir möchten dieses Recht ausüben. Da uns Juristen der amerikanischen Regierung daran hindern, der Öffentlichkeit weiterführende Informationen zur Verfügung zu stellen, sind wir nun auf den Justizminister angewiesen, der für den Schutz der Verfassung eintreten sollte.
Sobald wir die Erlaubnis erhalten, weitere Informationen zu veröffentlichen, werden wir diese sofort zur Verfügung stellen.
**********