Während die öffentliche Debatte über Datenschutz sich häufig auf Konzerne wie Meta oder Google konzentriert, bleibt eine fundamentale Bedrohung der digitalen Souveränität erstaunlich unterbelichtet: Die Executive Order 12333, eine präsidiale Anordnung aus dem Jahr 1981, gewährt US-Geheimdiensten weitreichende Befugnisse zum Zugriff auf Daten außerhalb der Vereinigten Staaten – ohne richterliche Anordnung, ohne parlamentarische Kontrolle und praktisch ohne Rechtsschutz für Betroffene.

Eine Ermächtigungsgrundlage mit 45 Jahren Geschichte

Executive Order 12333 wurde während der Präsidentschaft Ronald Reagans erlassen und definiert die Aufgaben, Befugnisse und Pflichten der US-Nachrichtendienste. Anders als der Foreign Intelligence Surveillance Act (FISA) oder der CLOUD Act handelt es sich nicht um ein vom Kongress verabschiedetes Gesetz, sondern um eine präsidiale Verordnung – was bedeutet, dass sie ohne Zustimmung des Parlaments geändert oder erweitert werden kann.

Die Tragweite dieser Anordnung wurde erst durch die Enthüllungen Edward Snowdens 2013 einem breiteren Publikum bewusst. Doch auch über ein Jahrzehnt nach diesen Enthüllungen bleibt EO 12333 ein zentrales Instrument der Massenüberwachung. Die Verordnung erlaubt es der NSA und anderen Geheimdiensten, Kommunikationsdaten außerhalb der USA praktisch unbegrenzt zu sammeln – ohne die prozeduralen Schutzmaßnahmen, die zumindest theoretisch bei FISA-basierten Überwachungsmaßnahmen greifen.

Digitale Souveränität als Illusion

Die Konsequenzen für europäische Staaten und ihre Bürger sind gravierend. Jedes Mal, wenn Daten europäischer Bürger auf Servern in den USA gespeichert oder über US-amerikanische Infrastruktur übertragen werden, fallen sie potentiell in den Zuständigkeitsbereich von EO 12333. Das betrifft nicht nur offensichtliche Fälle wie die Nutzung von Cloud-Diensten amerikanischer Anbieter, sondern auch zahlreiche alltägliche digitale Interaktionen: E-Mail-Kommunikation, die über US-Server geroutet wird, Videokonferenzen über amerikanische Plattformen, Daten in internationalen Backup-Systemen.

Eine umfassende Studie des Europäischen Parlaments aus dem Jahr 2021 kommt zu dem ernüchternden Schluss, dass die derzeitigen rechtlichen Rahmenbedingungen keinen ausreichenden Schutz für europäische Datenströme bieten. Die Studie zeigt auf, dass die Kombination aus EO 12333, FISA Section 702 und dem CLOUD Act ein Regime geschaffen hat, das mit den Grundprinzipien der europäischen Datenschutz-Grundverordnung (DSGVO) fundamental unvereinbar ist.

Die digitale Souveränität europäischer Staaten wird damit zur Makulatur. Während Regierungen vorgeben, die Daten ihrer Bürger zu schützen, akzeptieren sie gleichzeitig eine Infrastrukturabhängigkeit, die genau diesen Schutz untergräbt. Das Versprechen, dass europäische Datenschutzstandards Gültigkeit besitzen, verliert seine Glaubwürdigkeit, wenn Daten routinemäßig in einen Rechtsraum fließen, in dem diese Standards nicht gelten.

Die menschliche Dimension der Überwachung

Hinter den technischen und juristischen Diskussionen steht eine fundamentale Bedrohung für Grundrechte. Executive Order 12333 macht keinen Unterschied zwischen Verdächtigen und Unbeteiligten, zwischen Kriminellen und Journalisten, zwischen Bedrohungen und normalen Bürgern. Die Anordnung autorisiert die massenhafte Sammlung von Kommunikationsdaten ohne individuellen Verdacht – ein Vorgehen, das dem europäischen Verständnis von Rechtsstaatlichkeit diametral entgegensteht.

Die Auswirkungen auf Einzelpersonen sind vielfältig und oft subtil. Journalisten, die mit Quellen in sensiblen Bereichen arbeiten, können ihre Informanten nicht mehr wirksam schützen. Aktivisten, die sich für Menschenrechte einsetzen, müssen davon ausgehen, dass ihre Kommunikation überwacht wird. Unternehmen verlieren die Kontrolle über ihre Geschäftsgeheimnisse, sobald diese über US-Infrastruktur übertragen werden.

Besonders perfide ist die Tatsache, dass Betroffene in der Regel nie erfahren, dass ihre Daten erfasst wurden. Es gibt keine Benachrichtigungspflicht, keine Möglichkeit der Überprüfung, keinen Rechtsweg. Die Überwachung bleibt unsichtbar – und gerade deshalb so wirksam als Instrument der Einschüchterung und Kontrolle.

Das Versagen der Politik

Angesichts der Tragweite dieser Problematik erscheint das Verhalten europäischer Politik in den vergangenen Jahrzehnten rätselhaft. Die Existenz und die Funktionsweise von EO 12333 waren Fachleuten und Sicherheitsbehörden seit langem bekannt. Dennoch wurde die zunehmende Abhängigkeit von US-amerikanischer digitaler Infrastruktur nicht nur geduldet, sondern aktiv gefördert.

Warum wurden über Jahre hinweg öffentliche Aufträge an amerikanische Cloud-Anbieter vergeben, obwohl die rechtlichen Risiken offensichtlich waren? Warum hat man es versäumt, eigene digitale Infrastrukturen aufzubauen, als noch Zeit dazu war? Warum wurden die Warnungen von Datenschützern und IT-Sicherheitsexperten systematisch ignoriert?

Die Antworten auf diese Fragen sind unbequem. Teilweise handelt es sich um politische Bequemlichkeit – europäische Alternativen zu entwickeln, hätte Investitionen und politischen Willen erfordert. Teilweise spielen transatlantische Rücksichtnahmen eine Rolle – niemand wollte den wichtigsten Verbündeten vor den Kopf stoßen. Und teilweise profitierten europäische Nachrichtendienste selbst vom Informationsaustausch im Rahmen der „Five Eyes"-Kooperation und hatten daher wenig Interesse an einer grundsätzlichen Konfrontation.

Das Resultat ist ein jahrzehntelanges politisches Versagen, dessen Konsequenzen wir heute in vollem Umfang zu spüren bekommen. Der EuGH hat 2020 im Schrems II-Urteil das Privacy Shield-Abkommen für ungültig erklärt, weil es keinen ausreichenden Schutz vor US-Überwachung bietet. Doch auch drei Jahre nach diesem Urteil fehlt eine überzeugende Lösung. Das nachfolgende Trans-Atlantic Data Privacy Framework steht bereits wieder in der Kritik, dieselben strukturellen Mängel aufzuweisen.

Strukturelle Probleme ohne einfache Lösungen

Die Herausforderung ist komplex. EO 12333 ist keine Anomalie, die durch einzelne legislative Maßnahmen behoben werden könnte. Sie ist Ausdruck eines fundamentalen Konflikts zwischen zwei unterschiedlichen Rechtsverständnissen: dem amerikanischen Sicherheitsparadigma, das Geheimdiensten weitreichende Befugnisse einräumt, und dem europäischen Grundrechtsverständnis, das staatliche Überwachung engen rechtsstaatlichen Grenzen unterwirft.

Dieser Konflikt lässt sich nicht durch Standardvertragsklauseln oder Angemessenheitsbeschlüsse aus der Welt schaffen. Solange US-Geheimdienste die rechtliche Befugnis haben, Daten außerhalb der USA ohne richterliche Kontrolle zu sammeln, und solange US-Unternehmen verpflichtet sind, diesen Anforderungen nachzukommen, besteht ein strukturelles Problem, das durch rein vertragliche Zusicherungen nicht gelöst werden kann.

Die einzig wirksame Antwort wäre der konsequente Aufbau europäischer digitaler Infrastrukturen – Cloud-Dienste, Kommunikationsplattformen, Betriebssysteme – die vollständig außerhalb der Reichweite von EO 12333 liegen. Projekte wie GAIA-X gehen theoretisch in diese Richtung, bleiben aber bisher hinter den Erwartungen zurück und sind zudem durch die Beteiligung amerikanischer Unternehmen in ihrer Wirksamkeit eingeschränkt.

Die Verantwortung liegt bei uns allen

Executive Order 12333 wird uns noch lange beschäftigen. Die digitale Infrastruktur, die in den vergangenen Jahrzehnten entstanden ist, lässt sich nicht über Nacht ersetzen. Verwaltungen, Unternehmen und Privatpersonen sind auf Dienste angewiesen, die unter die Reichweite dieser Anordnung fallen. Ein vollständiger Ausstieg ist kurzfristig weder realistisch noch praktikabel.

Doch das darf nicht als Ausrede dienen, nichts zu tun. Jede Behörde, die einen neuen IT-Vertrag abschließt, jedes Unternehmen, das seine Infrastruktur plant, jeder Bürger, der sich für ein digitales Kommunikationsmittel entscheidet, trifft eine Entscheidung mit Konsequenzen für die digitale Souveränität. Diese Entscheidungen müssen bewusst getroffen werden, mit vollem Wissen um die Risiken.

Datenschutz ist kein technisches Randthema, sondern eine Frage der Demokratie und der Grundrechte. Executive Order 12333 zeigt, wie fragil diese Grundrechte im digitalen Raum geworden sind. Die Antwort darauf kann nicht sein, sich mit dieser Situation abzufinden. Die Antwort muss sein, Alternativen zu schaffen, politischen Druck aufzubauen und letztlich die Kontrolle über unsere digitale Zukunft zurückzugewinnen.

Die Zeit der Ausreden ist vorbei. Wir wissen seit über einem Jahrzehnt, wie umfassend die Überwachung ist. Wir kennen die rechtlichen Grundlagen. Wir verstehen die Risiken. Was fehlt, ist der politische Wille, die notwendigen Konsequenzen zu ziehen. Und genau dieser Wille muss von uns allen – als Bürger, als Wähler, als Nutzer digitaler Dienste – eingefordert werden.

Quellen:

• Executive Order 12333: United States Intelligence Activities (1981, mit Ergänzungen): https://www.archives.gov/federal-register/codification/executive-order/12333.html
• European Parliament Study: The impact of the US Cloud Act and EU data protection law on data access by U.S. authorities (2021): https://www.europarl.europa.eu/RegData/etudes/STUD/2021/694678/IPOL_STU(2021)694678_EN.pdf
• EuGH-Urteil Schrems II (C-311/18): https://curia.europa.eu/juris/liste.jsf?num=C-311/18
• GAIA-X European Association for Data and Cloud AISBL: https://gaia-x.eu/
• National Archives: Executive Orders: https://www.archives.gov/federal-register/executive-orders
• Electronic Frontier Foundation: NSA Spying: https://www.eff.org/nsa-spying

Siehe auch

• Wie Israel Teherans Überwachungskameras hackte – und warum Europa sich das nicht leisten kann
• Vier Jahrzehnte strukturelle Überwachung: Warum die Microsoft-365-Problematik keine Trump-Erfindung ist
• Digitale Geiselhaft: Wie die Politik Deutschland und Europa wissentlich in die Abhängigkeit trieb
• Angriff auf den Datenschutz: Wie NRW-Ministerpräsident Wüst nach dem Microsoft-Deal die unabhängige Aufsicht beseitigen will
• Datenschutz ist ein Grundrecht – Warum diese Wahrheit so oft geleugnet wird