Die letzten Wochen waren geprägt von Spannungen für alle, die den Schutz ihrer Privatsphäre ernst nehmen. Zuerst war da Edward Snowden, der mit dem Durchsickernlassen weiterer NSA-Dokumente die Spekulationen manifestierte, die bereits wie Düstere Wolken am Himmel schweben und bestätigen, dass Geheimdienste tatsächlich hinter den privaten Informationen von Bitcoin-Nutzern her sind. Dann, inmitten der Skandaloffenbarung, dass Facebook private Daten von 87 Mio. Nutzern an eine nicht ganz koschere Wahlfirma weitergegeben hat, schlich sich unter dem US-Kongress eine wichtige Online-Datenschutzgesetzgebung ein, die unter dem Namen CLOUD (Clarifying Lawful Overseas Use of Data, bzw. Klärung der rechtmäßigen Nutzung von Daten im Ausland) bekannt ist.

Das Dokument wurde auf dem Geldschein einer Billionen-Dollar-Sammelrechnung verfasst und hatte daher keine Chance für eine ernsthafte Überprüfung auf legaler Basis. Trotz des anfänglichen Aufruhrs, der sowohl bei den Privatsphäre-Aktivisten als auch bei der Prominenz der Krypto-Community aufkam, scheint die unmittelbare öffentliche Besorgnis über das Problem nachzulassen. Man sollte die Bedenken jedoch nicht allzu schnell von der Hand weisen; Während das CLOUD-Gesetz bereits erhebliche Auswirkungen auf die Regulierung von persönlichen Daten hat, lohnt es sich außerdem herauszufinden, was man zwischen den Zeilen des Gesetzes herauslesen kann und was dies für die Nutzer von Kryptowährungen bedeutet:

Wer steht hinter, für und gegen den CLOUD-Act?

Der Gesetzentwurf wird von dem republikanischen Senator Orrin Hatch auf den letzten Metern seiner Amtszeit gesponsert und trifft auf wenig Gegenwind vom Capitol Hill. Eine bemerkenswerte, wenn auch nicht überraschende Ausnahme stellt der libertäre Rand Paul dar, der eine Reihe von feurigen Tweets über den Act in den Tagen veröffentlichte, die der Abstimmung vorausgingen. Der prominenteste öffentliche Widerstand stammt von einer Reihe von Interessengruppen: zunächst gibt es eine Koalition unter der Führung der Amerikanischen Bürgerrechtsvereinigung (ACLU), die in einem Brief das Gesetz als "eine schwerwiegende Bedrohung der bürgerlichen Freiheiten" bezeichnet. Darüber hinaus äußerte die oben erwähnten Electronic Frontier Foundation Bedenken hinsichtlich des Gefahr, dass der CLOUD-Acts die Regierung zur Umgehung des Vierten Zusatzartikels befähigen würde.

Für einen Außenstehenden mag es kontraintuitiv erscheinen, dass die vereinte Front der High-Guns der Technologiebranche, einschließlich Apple, Google, Facebook, Microsoft und Eid, einstimmig ihre Unterstützung für die geplante Initiative ausgesprochen hatten, die sie auffordert, Nutzerdaten mit der Regierung zu teilen. Es ergibt jedoch Sinn, wenn man den jahrelangen Thriller berücksichtigt, der sich in den Gerichtsräumen des Verfahrens der Vereinten Staaten von Amerika gegen  Microsoft Corp. abgespielt hat. Inzwischen liegt der Fall beim Obersten Gerichtshofs. Er thematisiert dasselbe Problem, dass auch der CLOUD-Act anspricht; Es geht um die Frage, ob ein amerikanisches Technologieunternehmen sich weigern darf, einem gerichtlich angeordneten Durchsuchungsbefehl nachzukommen, der Zugriff auf Benutzerdaten fordert, die auf einem Server außerhalb der Vereinigten Staaten gespeichert sind.

Der Fall entwuchs einem Haftbefehl der Bundesregierung aus dem Jahr 2013, in dem Microsoft aufgefordert wurde, eine in einem irischen Datenzentrum gespeicherte E-Mail an die Strafverfolgungsbehörden zu übergeben. Der Oberste Gerichtshof plant, noch diesen Sommer zu einer Entscheidung zu gelangen und die Chancen, das Microsoft siegreich aus dem Verfahren herausgeht, sind sämtlichen Prognosen nach äußerst gering. Eine Revision des Urteils des Obersten Gerichtshofes (die zugunsten von Microsoft ausfiel) hätte einen klaren Präzedenzfall für alle ähnlichen Fälle geschaffen - entgegen den Interessen der großen Technologie-Unternehmen.

Der CLOUD-Act bietet einen angenehmeren Ausweg aus diesem erzwungenen Stillstand für Kommunikationsplattformen. Er legt nicht nur einen eindeutigen Rechtsrahmen für ähnliche Fälle in Zukunft fest, sondern bietet US-amerikanischen Unternehmen auch einen besseren Blickwinkel bei der Bearbeitung solcher Anfragen gegenüber ausländischen Regierungen. Das Justizministerium hat bereits den Prozess zur Annullierung des Falls eingeleitet, während sowohl Repräsentanten des Obersten Gerichts als auch von Microsoft damit einverstanden scheinen, dass sich die USA und Microsoft weiter streiten.

Was genau ist der CLOUD-Act?

Im Grunde macht der Act zwei Dinge mit den Daten, die bei Amerikanischen Tech-Unternehmen gelagert sind. Zunächst weitet er die juristischen Befugnisse der Regierung auf diese Daten aus, egal, in welchem physischen Datenzentrum diese lokalisiert sind. Außerdem definiert er die Regeln für die US-internationale Kooperation in Datenangelegenheiten neu, vereinfacht die Prozedur und entlastet sie fast vollständig von juristischen Überprüfungen.

Die erste Klausel ist quasi selbsterklärend. Von dem Tag an, an dem der CLOUD Act in Kraft tritt, sind alle Daten, die von irgendeinem amerikanischen Anbieter irgendwo auf der Welt gehostet werden, Freiwild für die US-Strafverfolgungsbehörden - von der örtlichen Polizei bis hin zum FBI. Wenn ein Durchsuchungsbefehl ausgestellt wird, muss dieser befolgt werden. Am streitbarsten scheint jedoch der Teil über internationalen Zusammenarbeit zu sein. Das Gesetz verpflichtet die US-amerikanischen Anbieter von elektronischen Kommunikationsdiensten (ECS) oder Remote-Computing-Diensten (RCS), die gleichen Forderungen ausländischer Regierungen zu erfüllen, die bilaterale Abkommen mit den Vereinigten Staaten geschlossen haben.

Der CLOUD-Act setzt das Gesetz von 1986 für gelagerte Kommunikationen außer Kraft, von dem sich auch die veraltete Sprache über ECSs und RCSs ableitet. Nach dem alten Gesetz wurden im Zuge internationaler Verfahren Unterzeichnung von Verträgen über gegenseitige Rechtshilfe (MLATs), Vereinbarungen, die die Zustimmung des Kongresses unterzeichnet. Die neue Gesetzgebung beseitigt die legislative Überprüfung und verleiht der Exekutive, genauer dem Generalstaatsanwalt und den Staatssekretär, die Befugnis, bilaterale Abkommen zu billigen.

In der Praxis heißt das, dass die Exekutive einseitig entscheiden kann, welchen Regierungen Zugang zu den Nutzer-Daten von Facebook und Google gewährt wird. Das Gesetz ist so formuliert, dass es US-Offizielle zwingt, sicherzustellen, dass das Rechtssystem der Partnerstaaten einen robusten Schutz für die Privatsphäre der Bürger bietet, und die Anfragen nicht dazu genutzt werden, die freie Meinungsäußerung einzuschränken. Befürworter von Privatsphäre deuten jedoch auf Unbestimmtheiten bei den Formulierungen hin und das Fehlen konkreter Kriterien, die die Exekutive anwenden soll. Große Sorge bereitet auch die Möglichkeit, dass dem CLOUD-Act zufolge, anders als bei dem vorhergegangenen Gesetz, Datenaufforderungen ausländischer Regierungen abgesegnet werden können, ohne dass diese vorher ein US-Gericht durchlaufen müssen.

Während die Privatsphäre-Aktivisten sich über den Ermessensspielraum, den das Gesetz dem Exekutivorgan zuspricht, sowie den allgemeinen Mangel an Verfahrenstransparenz und -aufsicht beschweren, vertreten einige Rechtsgelehrte die Ansicht, dass das neue System tatsächlich effizienter sein könnte als eines, dass auf multilateralen Vereinbarungen basiert. Laufenden Anfragen können schnell abgewickelt werden, ohne dass monatelang auf eine Zustimmung des Kongresses gewartet werden muss.

Insgesamt malen die Experten ihre Vision einer Welt auf, in der die Vereinten Staaten einen "Club" von ähnlich-gesinnten Nationen mit ähnlichen legalen Systemen gründen. Mitglieder dieses Vereins, gebunden durch bilaterale Vereinbarungen mit den USA, kooperieren im großen Stil, was das Teilen von Nutzerdaten für Strafverfolgungszwecke angeht. Die Daten, die in Ländern lagern, die keine Mitglieder sind, werden immer noch per Gerichtsbeschluss für die US-Behörden einsehbar sein, während die Gesetze des jeweiligen Landes in solchen Fällen irrelevant sind.

Was heißt das alles für Krypto?

Das größte Problem, das eine Regierung mit Kryptowährungen hat, ist, dass sie anonyme Transaktionen ermöglichen. Der Haken ist, dass die meisten Kryptowährungen nicht anonym sind, wie die populäre Zeile vermuten lässt, sondern pseudonym. Sobald sich beispielsweise eine Verbindung zwischen einer Bitcoin-Adresse mit der Identität des Nutzers herstellen lässt, lädt das öffentliche Hauptbuch zur Nachverfolgung aller Transaktionen ein, die diese Person je durchgeführt hat.

Regierungen haben ein offenkundiges Interesse daran, diese Verbindungen herzustellen. Forensische Analysen von Blockchain haben sich zu einer lukrativen Industrie entwickeln, in der die führenden Firmen wie Chainalysis and Elliptic mit Strafverfolgungsbehörden weltweit zusammenarbeiten. Wir haben inzwischen begriffen, dass der IRS eifrig bemüht ist, die Identitäten der Kryptohändler herauszufinden, um ihre Gewinne zu besteuern, während die NSA jeden Satoshi verfolgen will, der jemals durch die Lieferketten von Terroristen gegangen war. Die Anreize und Werkzeuge stehen bereit. Jetzt kommt der CLOUD-Act ins Spiel.

Wer ist betroffen?

Die erste Frage betrifft den Radius des Gesetzes. Welche Unternehmen werden gezwungen sein, private Nutzerdetails an die US-amerikanische und ausländische Regierungen weiterzugeben? In dem 1986er Gesetz für gelagerte Kommunikation spricht man noch immer von den guten alten Anbietern von "elektronischen Kommunikationsdiensten" und "fernbedienten Computerdiensten" (ECSP) - die Überbleibsel aus den frühen Tagen des Internets. Aber um wen geht es? In über einer Dekade haben die Gerichte diese Label auf diverse Arten von Entitäten angewandt, von einer Stadt, die ihren Polizeibeamten Pager-Dienste anbietet, bis hin zu einer Fluggesellschaft, die ein zentralisiertes elektronisches Buchungssystem betreibt. Die gute Nachricht ist, dass alle Organisationen, die als ECSPs eingestuft wurden, tatsächlich den Austausch und die Einlagerung von Nachrichten ermöglichten; die reine Speicherung von persönlichen Nutzerdaten machte eine Webseite nicht automatisch zu einem ECSP. Nach dieser Logik würden online Börsen wie Coinbase oder Kraken, die den Nutzern nicht den Austausch von Nachrichten ermöglichen, nicht in den Radius des Acts fallen. Auf der anderen Seite erinnern wir uns nur zu gut daran, dass der IRS seine eigenen Methoden hat, um Krypto-Börsen dazu zu bringen, ihre Nutzerdaten preiszugeben.

Im Anwendungsradius des CLOUD-Acts befinden sich demnach Unternehmen, die direkte Kommunikation ermöglichen: E-Mail-Anbieter, Plattformen für Soziale Netzwerke und Messenger. Im Grunde scheint dies nicht weiter schlimm, denn wer teilt schon seine BTC-Wallet-Adresse über Facebook mit? Auch wenn uns keine Studien vorliegen, glauben wir, dass die Anzahl gering ist. Bevor eine Krypto-Transaktion stattfinden kann, müssen die beteiligten Parteien jedoch irgendwie die nötigen Details miteinander besprechen, und dazu nutzt nicht jeder einen verschlüsselten Nachrichtendienst. Persönliche Kommunikation ist demnach potenziell geladen mit nutzbaren Details, die zumindest indirekt auf die Krypto-Identitäten hindeuten.

Welche Information kann die Strafverfolgung einsehen?

Nach dem Vierten Zusatzartikel kann die Regierung nur nach Beweisen fahnden, für die explizit ein gerichtlich angeordneter Durchsuchungsbefehl ausgestellt wurde. Wenn die Polizei beispielsweise in einem Haus nach einer Leiche sucht, kann ein Päckchen Marihuana, das zufällig unter dem Küchentisch gefunden wurde, im Gericht nicht als Beweismaterial für einen Fall angeführt werden, der nichts mit dem originalen Verfahren zu tun hat. Zumindest sollte es so funktionieren. Wenn die NSA beispielsweise die E-Mails eines Verdächtigen nach terroristischer Propaganda durchsucht und auf die BTC-Brieftaschenadressen aller mutmaßlich unschuldigen Menschen stößt, mit denen der Verdächtige jemals zu nicht verwandten Zwecken zusammengearbeitet hat, sollte die Behörde diese Informationen theoretisch in Ruhe lassen. Nichtsdestotrotz ist die Versuchung groß, dies nicht zu tun. Und ohne Kontrolle wird die Versuchung noch größer.

Die Software, die von Startups, die sich als "Blockchain-Detektive" bezeichnen, genutzt wird, führt eine Netzwerk-Analyse durch, um Bündel betroffener Wallets zu identifizieren. Die Effizienz dieser Methode der Einsicht ist proportional zu der Menge an Daten, die dem Model eingespeist werden. Von daher sind die Anreize für die Ermittler hoch, möglichst vollständige Datensets zu erlangen, auch von jenen, die nicht direkt bzw. auf den ersten Blick an dem Verbrechen beteiligt sind, damit sie das Blockchain-Netzwerk besser patrouillieren können. Die jüngsten Snowden-Enthüllungen haben gezeigt, dass die Nachrichtendienste zu großen Anstrengungen bereit sind, um an die Daten von Krypto-Benutzern zu gelangen, und wie skrupellos sie bei der Wahl der Mittel dafür vorgehen. Natürlich erscheint die unautorisierte Kollektion von zufälligen Nutzerdaten, wenn man mit einem legitimen Durchsuchungsbefehl ausgestattet ist, angesichts von Werkzeugen, die den rohen Untergrund-Daten-Verkehr anzapften oder VPN-Dienste verzerren, keine große Sache mehr. Es ist jedoch noch immer ein Szenario, in welchem Krypto-Nutzer, die zum Großteil gesetzestreue Bürger sind, jegliche Kontrolle über ihre persönlichen Daten verlieren.

Wenn die US-Geheimdienste dies bereits routinemäßig tun, wie ja spekuliert wird, wird die Verabschiedung des CLOUD-Gesetzes kaum mehr bewirken, als ihnen den Zugang zu noch mehr Daten zu vereinfachen, die von inländischen Telekommunikationsunternehmen gespeichert werden. Die größten Konsequenzen beziehen sich allerdings auf die Tatsache, dass eine Verabschiedung des Gesetztes den Strafverfolgungsbehörden anderer Länder einen ebenso großen Spielraum bieten könnte. Sicherlich werden dies nicht jene Regierungen sein, die ihre Bevölkerung unterdrücken, aber das Fehlen eines ordnungsgemäßen Verfahrens bei der Billigung bilateraler Abkommen und auch fehlende gerichtliche Kontrollen bei der Bearbeitung individueller Datenanfragen könnten ein globales Umfeld schaffen, in welchen die persönlicher Nutzerinformationen von Facebook, Twitter und Google Mail global weitgehend uneingeschränkt verteilt und ausgenutzt werden.

So angsteinflößend, wie das klingt, gibt es eine weitere Möglichkeit, die Privatsphäre-Befürworter nur selten in Erwägung ziehen: dass die neuen Regeln für die Datennutzung sich als wirksam erweisen könnten, um die Strafverfolgungsbehörden bei ihrer Arbeit zu unterstützen. Obwohl dies ebenfalls im Bereich des Möglichen liegt, ist es schlicht wahr, dass sehr bald eine Menge Menschen Zugang zu sensibleren Daten erhält, unter denen sich zufällig auch Ihre Brieftaschenadresse und Informationen über Ihre Krypto-Transaktionen befinden könnten. Wenn Ihnen das Angst macht, bleibt immer noch die Option, Andreas Antonopoulos Ratschlag zu folgen und "sich auszuloggen".