Section 702 in den USA: Überwachung bekommt Vorrang vor Datenschutz

Das in den USA verabschiedete Gesetz zur Wiederzulassung von „Abschnitt 702“ bewirkt erhebliche Ausweitung der Ausspähung

[datensicherheit.de, 09.05.2024] Sven Bagemihl, „Regional Director CEMEA“ bei Logpoint, erörtert in seiner aktuellen Stellungnahme, dass das in den USA verabschiedete Gesetz zur Wiederzulassung von „Abschnitt 702“ („Reforming Intelligence and Securing America Act“ / RISAA) eine erhebliche Ausweitung der inländischen Überwachung bewirkt, welche demnach „die umfangreichste seit dem ,Patriot Act’ darstellt“. Die Regierung könne fortan „Anbieter elektronischer Kommunikationsdienste“ mit direktem Zugang zur Kommunikation dazu zwingen, die NSA bei der Durchführung von Überwachungsmaßnahmen nach „Abschnitt 702“ zu unterstützen.

Foto: Logpoint

Sven Bagemihl: Weitergabe von Daten an Behörden in den USA steht im Kontrast zum Interesse eigener Kunden oder gar konträr zur EU-Gesetzgebung…

Auch Kommunikation mit Bürgern der USA könnte betroffen sein

In der Regel handele es sich dabei um Unternehmen wie Verizon und Google, welche gemäß „Abschnitt 702“ die Kommunikation von Überwachungszielen übergeben müssten. Diese Ziele seien Ausländer im Ausland, doch häufig beinhalte die Kommunikation auch Interaktionen mit US-Amerikanern. Eine scheinbar geringfügige Änderung der Definition des Begriffs „Anbieter elektronischer Kommunikationsüberwachung“ erweitere nun drastisch den Kreis der Unternehmen, „die gezwungen werden können, die NSA zu unterstützen“.

Bagemihl führt aus: „Jede Einrichtung oder Person, die eine der spezifizierten Dienstleistung anbietet, kann jetzt dazu gezwungen werden, die NSA-Überwachung zu unterstützen, solange sie Zugang zu Geräten hat, die die Kommunikationsübertragung oder -speicherung erleichtern, wie z.B. Router, Server oder Mobilfunkmasten.“

Abfischen von Daten nicht nur aus dem Ausland, sondern auch aus den USA zu befürchten

Besonders besorgniserregend sei dabei, dass viele dieser Unternehmen nicht über die Mittel verfügten, um die Kommunikation bestimmter Zielpersonen zu trennen und zu übermitteln. Folglich müssten sie der NSA Zugang zu ihren Geräten gewähren oder von der NSA bereitgestellte Tools nutzen, um ganze Kommunikationsströme oder gespeicherte Daten zu kopieren – „die zwangsläufig große Mengen an inländischer Kommunikation enthalten“.

Bagemihl kommentiert: „Die NSA erhält auf diese Weise einen nie dagewesenen Zugang zur inländischen Kommunikation und vertraut im Wesentlichen darauf, nur die Kommunikation genehmigter ausländischer Ziele zu sichten und aufzubewahren – eine beunruhigende Vorstellung.“

Handeln der USA hat Konsequenzen für Europa

Die Ausweitung der inländischen Überwachungsbefugnisse habe erhebliche Auswirkungen auf die europäischen Bedenken in Bezug auf den Datenschutz, insbesondere im Hinblick auf „Schrems“, NIS-2 und die EU-Datenschutz-Grundverordnung (DSGVO/GDPR):

Extraterritoriale Reichweite
Die Daten europäischer Bürger im Besitz US-amerikanischer Unternehmen könnten ohne angemessenen Rechtsschutz überwacht werden. Dadurch könnte möglicherweise gegen die Anforderungen der DSGVO für eine rechtmäßige Verarbeitung verstoßen werden – „insbesondere bei Datenübertragungen außerhalb der EU in Länder, die keine angemessenen Datenschutzstandards haben“.

Auswirkungen auf die transatlantische Wirtschaft
„Europäische Unternehmen, die sich bei der Kommunikation und Datenspeicherung auf Dienstleister mit Sitz in den USA verlassen, könnten diese Partnerschaften aufgrund von Bedenken hinsichtlich des Datenschutzes und der Einhaltung der GDPR-Vorschriften überdenken.“ Dies könnte zu Unterbrechungen im transatlantischen Handel und zu höheren Kosten für Unternehmen führen, welche nach alternativen Lösungen suchten.

Regulatorische Reaktion
Die europäischen Regulierungsbehörden könnten mit strengeren Vorschriften oder Leitlinien für die Datenübermittlung in die USA reagieren. Das könnte den grenzüberschreitenden Datenverkehr erschweren und den in beiden Regionen tätigen Unternehmen zusätzliche Anstrengungen für die Einhaltung der Vorschriften abverlangen.

Mögliche rechtliche Anfechtungen
Europäische Interessengruppen und Datenschützer könnten die Rechtmäßigkeit von Datenübermittlungen an die USA im Rahmen dieser erweiterten Überwachungsbefugnisse in Frage stellen und dabei Bedenken hinsichtlich des Schutzes der nach EU-Recht garantierten Grundrechte äußern.

Ausweitung der innerstaatlichen Überwachungsbefugnisse in den USA könnte zu verstärkter Nachfrage nach EU-zentrierten Cyber-Sicherheitslösungen führen

Insgesamt könne die Ausweitung der innerstaatlichen Überwachung in den USA die Bedenken der europäischen Bevölkerung und dort ansässiger Unternehmen in Bezug auf Datenschutz und Überwachung verstärken. „Das könnte wiederum zu einer verstärkten Prüfung, zu regulatorischen Maßnahmen und potenziellen Störungen des transatlantischen Datenverkehrs und der Geschäftsabläufe führen“, warnt Bagemihl.

EU ansässige Anbieter könnten derweil von den erweiterten inländischen Überwachungsbefugnissen in mehrfacher Hinsicht profitieren. „Durch Betonung des EU-zentrierten Ansatzes und des Engagements für Datenschutz können Unternehmen europäische Kunden ansprechen und sich als vertrauenswürdige Alternative zu US-Anbietern positionieren“, schätzt Bagemihl. Zudem könne die Ausweitung der innerstaatlichen Überwachungsbefugnisse in den USA zu einer verstärkten Nachfrage nach EU-zentrierten Cyber-Sicherheitslösungen führen.

Unternehmen sollten sich der Implikationen für die in den USA ansässigen Anbieter bewusst sein

Die Ausweitung der innerstaatlichen Überwachung in den USA könnte europäische Datenschutzbedenken weiter verstärken und zu regulatorischen Maßnahmen sowie potenziellen Störungen des transatlantischen Datenverkehrs und der Geschäftsabläufe führen. Unternehmen müssten sich der Implikationen des „Abschnittes 702“ für US-ansässige Anbieter bewusst sein und diese in die Planung der eigenen Strategie miteinfließen lassen.

„Im Ernstfall könnten sie sich sonst dazu gezwungen sehen, sensible Daten und Konversationen an US-Behörden weitergeben zu müssen, was im Kontrast zu dem Interesse der eigenen Kunden oder gar konträr zur hiesigen Gesetzgebung stehen könnte“, so Bagemihl abschließend.

Weitere Informationen zum Thema:

NETZPOLITIK.ORG, Tomas Rudl, 22.04.2024
FISA Section 702: USA verlängern Lizenz zur Überwachung