Das in den USA verabschiedete Gesetz zur Wiederzulassung von Abschnitt 702 (RISAA) bewirkt eine erhebliche Ausweitung der inländischen Überwachung vor, die die umfangreichste seit dem Patriot Act darstellt. Was bedeutet das für europäische Firmen?
Die Regierung kann nun „Anbieter elektronischer Kommunikationsdienste“ mit direktem Zugang zur Kommunikation dazu zwingen, die NSA bei der Durchführung von Überwachungsmaßnahmen nach Abschnitt 702 zu unterstützen.
In der Regel handelt es sich dabei um Unternehmen wie Verizon und Google, die gemäß Abschnitt 702 die Kommunikation von Überwachungszielen übergeben müssen. Diese Ziele sind Ausländer im Ausland, doch häufig beinhaltet die Kommunikation auch Interaktionen mit Amerikanern.
Eine scheinbar geringfügige Änderung der Definition des Begriffs „Anbieter elektronischer Kommunikationsüberwachung“, erweitert nun den Kreis der Unternehmen, die gezwungen werden können, die NSA zu unterstützen, drastisch.
Jede Einrichtung oder Person, die eine der spezifizierten Dienstleistung anbietet, kann jetzt dazu gezwungen werden, die NSA-Überwachung zu unterstützen, solange sie Zugang zu Geräten hat, die die Kommunikationsübertragung oder -speicherung erleichtern, wie z. B. Router, Server oder Mobilfunkmasten.
Besonders besorgniserregend ist dabei, dass viele dieser Unternehmen nicht über die Mittel verfügen, um die Kommunikation bestimmter Zielpersonen zu trennen und zu übermitteln. Folglich müssen sie der NSA Zugang zu ihren Geräten zu gewähren oder von der NSA bereitgestellte Tools nutzen, um ganze Kommunikationsströme oder gespeicherte Daten zu kopieren, die zwangsläufig große Mengen an inländischer Kommunikation enthalten.
Die NSA erhält auf diese Weise einen nie dagewesenen Zugang zur inländischen Kommunikation und vertraut im Wesentlichen darauf, nur die Kommunikation genehmigter ausländischer Ziele zu sichten und aufzubewahren – eine beunruhigende Vorstellung.
Konsequenzen in Europa
Die Ausweitung der inländischen Überwachungsbefugnisse hat erhebliche Auswirkungen auf die europäischen Bedenken in Bezug auf den Datenschutz, insbesondere im Hinblick auf Schrems, NIS2 und GDPR / Datenschutz Grundverordnung.
- Extraterritoriale Reichweite: Die Daten europäischer Bürgerinnen und Bürger, die sich im Besitz von US-Unternehmen befinden, könnten ohne angemessenen Rechtsschutz überwacht werden. Dadurch könnte möglicherweise gegen die Anforderungen der DSGVO für eine rechtmäßige Verarbeitung verstoßen werden, insbesondere bei Datenübertragungen außerhalb der EU in Länder, die keine angemessenen Datenschutzstandards haben.
- Auswirkungen auf die transatlantische Wirtschaft: Europäische Unternehmen, die sich bei der Kommunikation und Datenspeicherung auf Dienstleister mit Sitz in den USA verlassen, könnten diese Partnerschaften aufgrund von Bedenken hinsichtlich des Datenschutzes und der Einhaltung der GDPR-Vorschriften überdenken. Dies könnte zu Unterbrechungen im transatlantischen Handel und zu höheren Kosten für Unternehmen führen, die nach alternativen Lösungen suchen.
- Regulatorische Reaktion: Die europäischen Regulierungsbehörden könnten mit strengeren Vorschriften oder Leitlinien für die Datenübermittlung in die USA reagieren. Das könnte den grenzüberschreitenden Datenverkehr erschweren und den in beiden Regionen tätigen Unternehmen zusätzliche Anstrengungen für die Einhaltung der Vorschriften abverlangen.
- Mögliche rechtliche Anfechtungen: Europäische Interessengruppen und Datenschützer könnten die Rechtmäßigkeit von Datenübermittlungen an die USA im Rahmen dieser erweiterten Überwachungsbefugnisse in Frage stellen und dabei Bedenken hinsichtlich des Schutzes der nach EU-Recht garantierten Grundrechte äußern.
Insgesamt kann die Ausweitung der innerstaatlichen Überwachung in den USA die Bedenken der europäischen Bevölkerung und dort ansässiger Unternehmen in Bezug auf Datenschutz und Überwachung verstärken. Das könnte wiederum zu einer verstärkten Prüfung, zu regulatorischen Maßnahmen und potenziellen Störungen des transatlantischen Datenverkehrs und der Geschäftsabläufe führen.
EU ansässige Anbieter könnten derweil von den erweiterten inländischen Überwachungsbefugnissen in mehrfacher Hinsicht profitieren. Durch Betonung des EU-zentrierten Ansatzes und des Engagements für Datenschutz können Unternehmen europäische Kunden ansprechen und sich als vertrauenswürdige Alternative zu US-Anbietern positionieren. Zudem kann die Ausweitung der innerstaatlichen Überwachungsbefugnisse in den USA zu einer verstärkten Nachfrage nach EU-zentrierten Cybersicherheitslösungen führen.
Fazit
Die Ausweitung der innerstaatlichen Überwachung in den USA könnte europäische Datenschutzbedenken weiter verstärken und zu regulatorischen Maßnahmen sowie potenziellen Störungen des transatlantischen Datenverkehrs und der Geschäftsabläufe führen. Unternehmen müssen sich der Implikationen des Abschnittes 702 für US-ansässige Anbieter bewusst sein und diese in die Planung der eigenen Strategie miteinfließen lassen. Im Ernstfall könnten sie sich sonst dazu gezwungen sehen, sensible Daten und Konversationen an US-Behörden weitergeben zu müssen, was im Kontrast zu dem Interesse der eigenen Kunden oder gar konträr zur hiesigen Gesetzgebung stehen könnte.