Empört verlangen Europas Regierende Aufklärung über das US-amerikanische Spähprogramm Prism – und verschweigen, dass Brüssel ein ähnliches Projekt seit fünf Jahren unterstützt

Prism ist überall

d'Lëtzebuerger Land vom 14.06.2013

Es ist die Stunde der Viviane Reding. Beim EU-USA-Ministertreffen an diesem Freitag in Dublin will die EU-Justizkommissarin den Abhörskandal um das US-amerikanische Überwachungsprogramm Prism ansprechen. Ein ehemaliger Mitarbeiter der Nationalen Sicherheitsagentur NSA hatte der britischen Zeitung Guardian interne Unterlagen zugespielt, die die Existenz eines gigantisches geheimen Abhörprogramms in den USA und über die Grenzen hinweg belegen.

Daraufhin schrieb Reding einen Brief an den US-Generalstaatsanwalt Eric Holder jr., in dem sie Erklärungen zu Prism und anderen Überwachungsprogrammen verlangt. Angesichts „des Ernsts der Lage“ seien detaillierte Antworten nötig, so die Brüsselerin Kommissarin, die davor warnte, Programme und Gesetze, die Prism ermöglichen, könnten „gravierende Konsequenzen für die Grundrechte der EU-Bürger“ bedeuten. Redings Brief, den der Guardian am Dienstag zitierte, beinhaltet sieben Fragen zum geheimen Überwachungsprogramm, darunter: inwiefern das Datenausspähprogramm nur US-Bürger betrifft oder auch europäische Bürger, ob sich die Daten auf Einzelfälle mit konkreten Verdachtsmomenten beziehen oder was EU-Bürger tun müssen, wenn sie wissen wollen, ob sie von den USA überwacht werden.

Die Justizkommissarin ist nicht die einzige, die sich nach den Enthüllungen über das Vorgehen der Nationalen Sicherheitsagentur empört zeigte. Die deutsche Justizministerin Sabine Lautheusser-Schnarrenberger schrieb dem Spiegel, der „Verdacht der überbordenden Kommunikationsüberwachung ist so besorgniserregend, dass er nicht im Raum stehen bleiben darf“ und forderte „Offenheit und Aufklärung durch die US-Administration selbst“. Ihr Kollege, Innenminister Hans-Peter Friedrich, will von dem Spähprogramm und der NSA-Anordnung, wonach der Telefondienstleister Verizon die Verbindungdaten aller seiner 98,9 Millionen Kunden aushändigen soll, nur durch die Presse erfahren haben.

Doch das Bild der ahnungslosen, entrüsteten Guten in Europa bekommt Risse. Prism erlaubt der US-Regierung Zugang zu einer ungeheuren Anzahl von E-Mails, Internetforen und anderen Kundendaten der Internetfirmen Google, Facebook, Microsoft, Paltalk, Dropbox, Yahoo, AOL und Apple. Nicht nur den USA, wie es scheint: Nach und nach kristallisiert sich heraus, dass zumindest teilweise auch europäische Regierungen von dem Programm wussten oder sogar davon profitiert haben. Der belgische Nachrichtendienst soll laut der Zeitung Standaard Daten aus Prism erhalten haben. Und auch der Geheimdienst der Niederlande soll an Prism-Spähaktionen beteiligt gewesen sein, meldete der Telegraaf am Mittwoch. In Luxemburg hat der Geheimdienst wohl Wichtigeres zu tun. Der britische Außenminister William Hague gab zu, dass der britische Abhördienst GCHQ mindestens seit letztem Juni Zugang zu Prism hatte. Premierminister David Cameron beeilte sich zu betonen, sämtliche Operationen seien „innerhalb des Gesetzes“ geschehen und würden kontrolliert. Welchen Umfang wiederum die britischen Abhöraktionen haben, wollte Downing Street nicht mitteilen.

Scheinheilig ist die Empörung der Regierenden aber auch deshalb, weil die Europäische Union selbst seit nunmehr fünf Jahren ein Forschungsprojekt mitfinanziert, das alle Schreckensfantasien von Georges Orwells Roman 1984 in den Schatten stellen dürfte, sollte es eines Tages tatsächlich umgesetzt werden. Die Rede ist von Indect, kurz für Intelligent information system supporting observation, searching and detection for security of citizens in urban environment, ein Forschungsprojekt, das, vom polnischen Heimatschutzministerium angeregt, von einem Konsortium aus 17 Partnern aus neun EU-Mitgliedstaaten geleitet und koordiniert wird. Dazu zählen Sicherheits- und IT-Firmen, wie die deutsche Innotec Data GmbH und Co. oder PSI Transcom GmbH, Grenoble INP aus Frankreich oder Moviquity aus Spanien, aber auch Polizeibehörden, wie die Generaldirektion der polnischen Polizei oder die Polizei Irlands, und schließlich Universitäten wie die Technische Universität Krakau, oder die Universität in Wuppertal und das Technikum Wien.

Offizielles Ziel von Indect ist es, eine bessere Sicherheit der EU-Bürger durch „intelligente Überwachung“ zu ermöglichen. Tatsächlich geht es um ein System, das es Strafvollzugsbehörden erlauben soll, Geschehnisse im öffentlichen Raum möglichst lückenlos zu überwachen. Dazu sollen Informationen von Menschen, die sich auffällig benehmen und von Überwachungskameras und fliegenden Kamera-Drohnen gefilmt werden, von Computerprogrammen und Algorithmen ausgewertet, mit persönlichen Daten aus dem Internet vernetzt und so Verbrechen vorgebeugt werden.

Was der Thriller Minority Report noch als eine unheimliche Zukunftsvision inszenierte, die Bürger so zu überwachen, dass Verbrechen im Vorfeld bekämpft werden kann, daran forschen europäische Wissenschaftler also seit mindestens fünf Jahren. Die Europäische Union unterstützt das Projekt innerhalb ihres 1,4 Milliarden Euro umfassenden siebten Forschungsrahmenprogramms, Schwerpunkt Sicherheit, mit knapp 10,9 Millionen Euro – und sieht darin offenbar kein Problem, obwohl Parlamentariern aus allen politischen Parteien, sowie Datenschutzbeauftragte und Menschenrechtsorganisationen aus ganz Europa vor dem dahinterstehenden Überwachungsgedanken warnen.

29 Anfragen von Europaparlamentariern aus Dänemark, Deutschland, Irland, Österreich und Spanien liegen bereits vor, seitdem das Projekt 2009 offiziell startete. Aus Luxemburg gab es keine einzige Anfrage, dabei sitzt mit Charles Goerens ein Luxemburger Vertreter im Menschenrechtsausschuss. Das einzige Mal, wo Luxemburger (Jung-)Politiker das Thema aufgriffen, war, als die Piratenpartei auf jene internen Dokumente aufmerksam machte, die ihre deutschen Parteikollegen im Spätsommer 2010 zugespielt bekamen und die klare datenschutz- und menschenrechtliche Bedenken gegen Indect lieferten. Außer den jungen Grünen, die im September 2012 eine Facebook-Gruppe Stop Indect! gründeten, fand die Enthüllung allerdings in der Luxemburger Öfffentlichkeit wenig Echo.

Auf europäischer Ebene ist das anders. Aufgrund des öffentlichen Drucks wurde den Indect-Forschern ein Ethikrat an die Seite gestellt, in dem aber außer einem externen Berater zunächst lauter Mitglieder des Indect-Konsortiums saßen und das dazu vom polnischen Polizeichef persönlich geführt wurde. Wenig überraschend bescheinigte der Ethikrat den Forschern ein einwandfreies Vorgehen. Nach dem Motto: Wer nichts zu verbergen hat, hat auch nichts zu befürchten.

Doch die Skeptiker ließen nicht locker. Der österreichische Abgeordnete Franz Obermayr wollte im August 2011 wissen, inwieweit die Forscher auf soziale Plattformen wie Facebook zugreifen und wie sichergestellt wird, dass die Betroffenen mit ihrer Überwachung einverstanden sind. Drei Monate später kam die Antwort – von Kommissarin Reding. Sie versicherte, Indect sei lediglich ein Forschungsprojekt und nicht zur konkreten Umsetzung gedacht. Ansonsten hätten sich die Indect-Projektpartner selbstverständlich an die europäischen Regeln zum Datenschutz zu halten.

Dass das Projekt „nur“ ein Forschungsprojekt sei, ist ein wiederkehrendes Argument in den Antworten der Kommission. Bloß: Warum sollte die EU so viele Millionen in ein Projekt investieren, das sie nicht nutzen will und das zudem datenschutzrechtlich höchst bedenklich ist, fragten Abgeordnete zu Recht. Die EU-Kommission, die sich heute in Sachen Prism so empört, verweist bei Kritik an Indect meist darauf, dass die Mitgliedstaaten, sollten sie an den Forschungsergebnissen interessiert sein, diese konform zum EU-Datenschutz zu nutzen hätten. Auf eine Reform der veralteten Datenschutzrichtlinie von 1995, die in Redings Verantwortung fällt, aber warten viele EU-Parlamentarier seit Jahren vergebens.

Inzwischen ist Indect im fünften und damit letzten Finanzierungsjahr angekommen, das heißt, erste Prototypen und Programme werden schon getestet. Wenn auch im kleineren Umfang als ursprünglich geplant, wohl, um nicht noch mehr kritische Aufmerksamkeit auf sich zu lenken: Die Ankündigung seitens eines Indect-Verantwortlichen, ein erster Prototyp werde bei den Fußball-Europameisterschaften 2012 in Polen getestet, wurde kurz darauf dementiert. Abgeordnete und Datenschützer aus unterschiedlichen Ländern waren gegen das Vorhaben Sturm gelaufen.

Intern geht die Forschung weiter. Einige Teilkomponenten, wie die Gesichtserkennung und der automatisierte Abgleich mit Fotodatenbanken, laut Indect allesamt an freiwilligen Testpersonen vorgenommen, liefen vielversprechend, heißt es in einem von Indect veröffentlichten Bericht. Vor allem die Definition von auffälliges Verhalten, das erfasst und gegebenenfalls eine polizeilichen Eingriff auslösen soll, erzürnt die Kritiker. Die Kommission hat besorgte Anfragen von Parlamentariern, was denn darunter zu verstehen sei, immer mit dem Hinweis zurückgewiesen, nicht sie, sondern das Indect-Konsortium bestimme, was unter „auffälliges Verhalten“ falle. Dass das viele Parlamentarier nicht beruhigt, kann nachvollziehen, wer einige der Testkriterien gesehen hat, anhand derer die automatisierte Gefahrenbewertung erfolgen soll: So wird etwa gefragt, ob eine Person auf der Straße Gefahr signalisiert (57 Prozent Zustimmung, wenn die Person außerhalb des Zebrastreifens gehen sollten) und ob das Sitzen oder Liegen auf dem Boden im öffentlichen Transport eine Gefahr signalisiere (67 Prozent Zustimmung).

Der Ansatz habe „ein enorm hohes Potential der Grundrechtsgefährdung“, urteilte der liberale Europaabgeordnete Alexander Alvare im Fernsehmagazin Kontraste. Der deutsche Datenschutzbeauftragte Peter Schaar sieht in Indect „den technisierten Generalverdacht“. Und Peter-Alexis Albrecht, Frankfurter Rechtsprofessor und Autor des Buchs Auf dem Weg in die Sicherheitsgesellschaft warnte: „Das Menschenbild des Tatverdachts ist kein Menschenbild der Demokratie.“ Und die Luxemburger? Die haben andere Sorgen.

Die Entwickler verteidigen die Technologie damit, dass mit dem vollautomatisierten Abgleich von unterschiedlichen Quellen menschliche Fehler gerade vermieden werden könnten. Das ist der Hauptgrund, warum gerade Großbritannien und Polen, die in den vergangenen Jahren sehr viel in die Kameraüberwachung investiert haben, Indect so pushen: Ihnen wachsen die Kamerasysteme, über den Kopf, sowohl was die so genannte Echtzeitüberwachung durch Polizeibeamte am Bildschirm als auch die Auswertung angeht. Mehrere Monitore permanent im Auge zu behalten, ist ungemein ermüdend, nach 20 Minuten lässt die Konzentration im Allgemeinen nach und der Mensch droht, Wichtiges zu übersehen.

Doch Kritiker wenden ein: Was ist, wenn einer, der lange vor einem Auto steht, dabei unruhig nach rechts und links guckt und schließlich davon rennt – und noch dazu dabei gefilmt wird –, gar kein Terrorist ist, der letzte Vorbereitungen für die Detonation der vermuteten Autobombe trifft, sondern nur der schusselige Nachbar, der nach seinem verlorenen Schlüssel sucht und dem plötzlich einfällt, dass sein Freund ihn aus Versehen genommen hat, aber jetzt gleich zur Arbeit gehen will? Inzwischen hat das System schon Alarm geschlagen und die Einsatzzentrale die ersten Drohnen losgeschickt.

Dass die automatisierte Überwachung Risiken und Fehlerquellen birgt, stellte sich heraus, als das deutsche Bundeskriminalamt nach Meldungen eines deutschen Fernsehsenders zugeben musste, an Indect teilgenommen und seinerseits dort sein Projekt Fotofahndung vorgestellt zu haben. Das BKA war 2007 gefragt worden, sich an Indect zu beteiligen, hat sich eigenen Aussagen zufolge aber gegen eine Teilnahme entschieden wegen des „umfassenden Überwachungsgedankens“.

In Luxemburg will der Pressesprecher der Polizei von einer Beteiligung ebenfalls nichts wissen. „Ich habe keine positive Antwort bekommen“, sagte Vic Reuter dem Land. Man habe genügend „andere Möglichkeiten in Europa zur Strafverfolgung“, so der Polizeisprecher, der auf die polizeiliche Zusammenarbeit und Vernetzung von Datenbanken im Kontext von Prüm, Schengen und Europol hinweist, „die alle eine legale Basis haben, denn der Datenschutz spielt eine Riesenrolle“. Vom Innenministerium lag, obwohl angefragt, bis Redaktionsschluss keine Stellungnahme zu Indect und eine mögliche Luxemburger Beteiligung vor, ebenso wenig vom Forschungsministerium, obwohl das Land die Anfrage auf Aufforderung schriftlich einreichte.

Dass Luxemburg nicht an Indect beteiligt ist, dafür spricht zumindest, dass das kleine Land auf der Liste der Indect-Projektträger nicht auftaucht und Indect auch in den Ministeriums-Tätigkeitsberichten keine Erwähnung findet. Was nicht heißen muss, dass Luxemburg nicht vielleicht in andere europäische Überwachungsforschungsprojekte eingebunden ist. Bei einigen spielt Luxemburg sogar eine tragende Rolle, etwa beim Seeüberwachungsprojekt 12C, an dem die Luxemburger Satellitenfirma SES beteiligt ist und das mittels ungewöhnlicher Schiffsbewegungen Gefahren erkennen soll, oder Perseus, das darauf abzielt, illegale Zuwanderung zu stoppen und zu deren Luxemburger Partnern neben SES auch Luxspace zählt.

Mit Indect haben beide Forschungspojekte nichts zu tun, aber Indect zeigt gerade auch, dass die Zukunft weniger in neuen Technologien liegt, sondern in der Verknüpfung bereits bestehender Satelliten-, Telekommunikations- und Internettechnologien und -plattformen mit Polizei- und Geheimdienstdaten. Sollte Indect eines Tages wirklich einmal eingesetzt werden, ist eines so gut wie sicher: Prism ist dagegen ein Klacks.

Ines Kurschat
© 2023 d’Lëtzebuerger Land