Logo der activeMind AG

Gutachten zu US-Überwachungsrecht und Befugnissen der Geheimdienste

Inhalt

Ein neues Gutachten, angefertigt im Auftrag des Berliner Beauftragten für Datenschutz und Informationsfreiheit, unterstreicht die Anfälligkeit von Unternehmen mit Bezug zu den USA gegenüber US-Geheimdiensten. Auch wenn dies keine wirklich neue Erkenntnis ist, hat es die Diskussion über Datenübermittlungen in die USA neu entfacht und könnte zu Konsequenzen der Aufsichtsbehörden führen.

Hintergrund des Gutachtens

Die Datenerfassung und der Datentransfer von und in die USA sind seit Jahren ein Problem aus Sicht des Datenschutzes in der EU. Unternehmen in der EU und im EWR stehen im Konflikt zwischen den EU-Datenschutzgrundsätzen und dem US-Recht und den sich daraus ergebenden Befugnissen der US-Geheimdienste. Das Gutachten stellt dabei wenig überraschend fest, dass die Befugnisse sogar so weit gehen, dass manche Unternehmen in der EU und dem europäischen Wirtschaftsraum (EWR) zu einem Verstoß gegen die DSGVO durch die Bereitstellung von Daten an US-Geheimdienste gezwungen werden können.

Tipp: Zu diesem Thema gibt es eine gute Dokumentation der Wissenschaftlichen Dienste des Deutschen Bundestages aus dem Jahr 2020: US-Datenrecht – Zugriff US-amerikanischer Behörden auf Daten.

Das Gutachten wurde von Prof. Stephen I. Vladeck als Antwort auf mehrere Fragen zum aktuellen Stand des US-Überwachungsrechts und der US-Behörden des Berliner Beauftragten für Datenschutz und Informationsfreiheit verfasst. Prof. Vladeck war einer der Sachverständigen für Facebook im Schrems-Verfahren vor den irischen Gerichten. Das Verfahren landete schließlich vor dem Europäischen Gerichtshof (EuGH), welcher folglich das Datentransferabkommen zwischen der EU und den USA (das EU-U.S. Privacy Shield) kippte.

Knackpunkt des EuGH-Urteils war die Bewertung der Europäischen Kommission, dass die USA einen angemessenen Rechtsschutz für personenbezogene Daten gewährleisten. Der EuGH kippte diese Bewertung der Kommission aufgrund eines Mangels an wirksamem Rechtsschutz für Betroffene vor Eingriffen der US-Geheimdienste, wenn diese sich u.a. auf Section 702 des US-amerikanischen Foreign Intelligence Surveillance Act (FISA) berufen.

Welche Daten werden gemäß Section 702 FISA gesammelt?

Section 702 FISA regelt die Überwachung von Nicht-US-Bürgern außerhalb der USA. Es betrifft zugleich Daten im Übermittlungsstadium sowie Daten im Ruhezustand, wie das Gutachten klarstellt:

  • Die Erhebung im Übermittlungsstadium wird als “upstream collection“ bezeichnet.
  • Die Erhebung im Ruhezustand wird durch das PRISM-Programm ermöglicht.

PRISM sammelt Kommunikation von US-ansässigen Anbietern elektronischer Kommunikationsdienste, z. B. eines Internetdienstanbieters (ISP) wie Google. Ein Selektor – z. B. eine E-Mail-Adresse – welcher mit einer Zielperson außerhalb der US verbunden ist, wird an den ISP übermittelt und dieser muss alle die Kommunikationen, die an diese E-Mail-Adresse gesendet wurden, oder die von ihr stammen, weitergeben. Dabei deckt PRISM keine Telefonanrufe, sondern nur elektronische Kommunikationen ab. Empfänger der Daten sind die National Security Agency (NSA), Central Intelligence Agency (CIA) und das Federal Bureau of Investigation (FBI).

“Upstream collection” sammelt sogenannte “About”-Kommunikationen und “multiple Kommunikationstransaktionen” (MCTs). “About”-Kommunikationen sind Kommunikationen Dritter, welche den gewählten Selektor beinhalten. Ist der Selektor eine E-Mail-Adresse, werden alle Kommunikationen, die diese E-Mail-Adresse erwähnen, gesammelt. Es werden somit auch die Kommunikationen zwischen unbeteiligten Dritten, die sich auf den gewählten Selektor beziehen, erhoben. MCTs sind Internetkommunikationen, die mehrere Kommunikationen beinhalten. Sollte eine Kommunikation von, zu oder über einen gewählten Selektor sein und eine der Kommunikationen von außerhalb der USA sein, werden alle Kommunikationen gesammelt. Empfänger der Daten ist nur die National Security Agency (NSA).

Besonders hervorzuheben ist, dass keine materielle Einschränkung bezüglich der Art der Daten erfolgt, wenn Section 702 FISA angewandt wird. Es werden alle elektronischen Kommunikationen von und zu einer Zielperson sowie über die Zielperson selbst, abgefangen. Es findet vor allem auch keine Einschränkung auf Daten statt, welche dem Anbieter elektronischer Kommunikationsdienste gehören. Das Gutachten führt an, dass alle Daten, die sich zum Zeitpunkt der Abfrage in der Infrastruktur des Anbieters elektronischer Kommunikationsdienste befinden, betroffen sind. Ob diese mit der elektronischen Kommunikation überhaupt in direkter Verbindung stehen, ist irrelevant. Kurz gesagt: Sobald ein Unternehmen als Anbieter eines elektronischen Kommunikationsdienstes eingestuft wird, sind alle Daten des Unternehmens betroffen.

Anbieter elektronischer Kommunikationsdienste

Da nur Anbieter elektronischer Kommunikationsdienste betroffen sind, klingt das erst einmal nach recht wenigen Unternehmen. Durch die weitgefassten Interpretationen der US-Gerichte fallen jedoch zahlreiche Unternehmen unter diese Definition. Darunter auch solche, die man gar nicht erwarten würde, wie zum Beispiel Banken, Fluggesellschaften, Hotels oder Schifffahrtsunternehmen.

Das US-Gesetz definiert „elektronischen Kommunikationsdienst” als „jede[n] Dienst, der seinen Nutzern die Möglichkeit bietet, drahtgebundene oder elektronische Nachrichten zu senden oder zu empfangen”. Diese Definition enthält keine Anforderung daran, wem der Dienst angeboten wird. Das Gutachten nennt als Beispiel ein Unternehmen, welches seinen Mitarbeitern einen internen E-Mail-Dienst zur Verfügung stellte und das dementsprechend von einem US-Gericht als „elektronischer Kommunikationsdienst“ eingestuft wurde; folglich somit auch als „Anbieter elektronischer Kommunikationsdienste“ i.S.v. Section 702 FISA.

Geltung über Staatsgrenzen hinaus

Section 702 FISA gilt für alle US ansässigen Anbieter elektronischer Kommunikationsdienste. Die Anwendung von Section 702 FISA ist jedoch nicht auf in den USA gespeicherte Daten beschränkt. Daten von US-Unternehmen, einschließlich deren EU-Tochtergesellschaften, welche außerhalb der Vereinigten Staaten gespeichert sind, können auch unter die Bestimmungen von Section 702 FISA fallen. Darüber hinaus vertritt die US-Regierung den Standpunkt, dass die entscheidende Überlegung die ist, ob die Daten sich im Besitz oder unter der Kontrolle eines US-ansässigen Anbieters elektronischer Kommunikationsdienste befinden.

Auswirkung auf Unternehmen in der EU und im EWR

Nicht nur US-Unternehmen und von diesen beherrschte EU-Unternehmen können betroffen sein, sondern auch EU-Unternehmen mit einer US-Tochtergesellschaft. Wenn Daten auf Servern in den USA ruhen oder über eine US-ansässige Infrastruktur übertragen werden, können sie gemäß Section 702 FISA erfasst werden, unabhängig davon, wo sich das Unternehmen befindet, dem die Server und/oder die Infrastruktur gehört oder von dem sie genutzt werden. Ein EU-Unternehmen, das einen in den USA ansässigen Dienstleister für seine E-Mails nutzt, riskiert, dass dieser gezwungen wird, die von ihm bearbeitete E-Mail-Kommunikation an die US-Geheimdienste zu übermitteln. Der Dienstleister hat Kontrolle im Sinne von Section 702 FISA über die Daten.

Das Gutachten erläutert, dass durch den weitgefassten Anwendungsbereich der Section 702 FISA zahlreiche Unternehmen in der EU und im EWR, darunter IT- und Telekommunikationsunternehmen, Banken, Fluggesellschaften, Hotels oder Versanddienstleister, verpflichtet werden können, einem US-Geheimdienst Zugang zu ihren Daten zu geben. Ein Unternehmen, mit Bezug zu den USA riskiert Geldstrafen, wenn dieser Verpflichtung nicht nachgekommen wird. Unternehmen ohne Bezug zu den USA können auch theoretisch in den Anwendungsbereich der Section 702 FISA fallen, jedoch wären die Zwangsmechanismen des FISA unwirksam, mangels einer bedeutenden rechtlichen Präsenz in den USA.

Fazit: Weiterhin keine Lösung für die US-Drittlandtransferproblematik in Sicht

Welche Konsequenzen die Datenschutz-Aufsichtsbehörden aus diesem Gutachten ziehen werden, bewerten diese gerade. Wir werden Sie diesbezüglich auf dem neuesten Stand halten. Fest steht, dass Unternehmen in der EU und im EWR auf der Hut sein sollten, solange die EU-Datenschutzgrundsätze und die Eingriffe der US-Geheimdienste unvereinbar bleiben.

Unternehmen in der EU und im EWR sollten weiterhin sorgfältig abwägen, ob sie Dienstleister in den US weiterhin nutzen wollen. Eine Trennung vom Dienstleister in den USA zugunsten eines Anbieters innerhalb der EU, kann sich in der Gesamtbetrachtung vorteilhaft erweisen. Im Ernstfall drohen Nutzungsuntersagungen oder gar Bußgelder.

Wenn Sie weiterhin nicht auf US-Dienstleister verzichten können, sollten Sie wenigstens die EDSA-Empfehlungen zum Drittlandtransfer beachten und befolgen.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Weiterlesen

Newsletter

Sichern Sie sich das Wissen unserer Experten.

Zweimal im Monat alles Wichtige zu Datenschutz, Informationssicherheit und künstlicher Intelligenz.