FISA 702: Erweiterte U.S.-amerikanische Überwachungsbestimmung steht vor der Verlängerung. Änderungen betreffen auch den Einsatz von Cloud-Anbietern.

Nach der Zustimmung des U.S. Repräsentantenhauses sieht es so aus, als würde die US.-amerikanische Überwachungsbestimmung Section 702 des US-amerikanischen Foreign Intelligence Surveillance Act (FISA, 50 U.S.C. § 1881a) in erweiterter Form um zwei Jahre verlängert werden – allerdings muss der U.S. Senat dem noch zustimmen (und der U.S. Präsident „gegenzeichnen“).

Am 12.4.2024 stimmte das U.S. Repräsentantenhaus mehreren Änderungsanträgen zu, um die Überwachung gemäß FISA 702 auszuweiten. Eine wichtige Änderung (Abänderungsantrag) erweitert die Definition von „Anbietern elektronischer Kommunikationsdienste“ (ECSP), um jene Stellen einzubeziehen, die lediglich Zugang zu Geräten haben, auf denen Kommunikation gespeichert oder übertragen wird.

Wie Marc Zwillinger von CDT und Amicus des FISA-Gerichtshofs warnte, würde dies dazu führen, dass eine Vielzahl von Unternehmen den FISA 702-Anordnungen unterliegen, darunter die meisten gewerblichen Vermieter, Cloud-Anbieter und Serververmietungsdienste.

Sofern die Verlängerung also vom Senat in dieser Form angenommen wird, wovon auszugehen ist, liegt ein (weiteres) gewichtiges Argument für die Anwendbarkeit von FISA 702 auf US Hyperscaler vor.

Die Relevanz für den europäischen Rechtsanwender ergibt sich u.a. auf Grundlage des Datenschutzrechts (DSGVO) – und der dazu ergangenen Rechtsprechung des EuGH – bei Drittstaatstransfers personenbezogener Daten. Zwar hat die Europäische Kommission in ihrem Angemessenheitsbeschluss für die USA auch FISA 702 (allerdings in der bisherigen Textfassung) berücksichtigt, da aber nicht alle US-Datenimporteure unter dem Datenschutzrahmen EU-USA (EU-US DPF) selbstzertifiziert sind, sind für die anderen Transfermechnismen (zB Standarddatenschutzklauseln, SCC) weiterhin sogenannte „(Data)Transfer Impact Assessments“ ([D]TIA) erforderlich, um insbesondere gem. Art 46 Abs 1 DSGVO zu prüfen, ob geeignete Garantien vorgesehen sind, welche sicherstellen, dass das von der DSGVO gewährleistete Schutzniveau nicht untergraben wird. In diesen TIAs wird die erweiterte Fassung von FISA 702, sofern diese auch vom U.S. Senat angenommen wird (was sehr wahrscheinlich ist) zu berücksichtigen sein; bereits bestehende DTIAs müssen wohl aktualisiert werden.

Zum zentralen Begriff des „electronic communication service provider“ (ECSP):

Schon bislang wurde die Anwendbarkeit von FISA 702 auf Basis des zentralen Begriffs des „electronic communication service provider“ (siehe 50 U.S.C. § 1881(b)(4)(B) und (D)) weit gesehen:

Laut Prof. Vladeck (siehe das für die deutsche Datenschutzkonferenz erstellte Gutachten zum aktuellen Stand des US-Überwachungsrechts und der Überwachungsbefugnisse) fallen unter diesen Begriff nicht nur klassische IT- und Telekommunikationsunternehmen. Vielmehr können nach der Analyse des Gutachters auch Unternehmen wie beispielsweise Banken, Fluggesellschaften, Hotels oder Versanddienstleister „electronic communication service provider“ sein. Es ist auch nicht in jedem Fall erforderlich, dass die Dienste der Öffentlichkeit zur Verfügung gestellt werden, sondern es kann beispielsweise genügen, dass ein Unternehmen seinen Mitarbeitenden einen E-Mail-Dienst bereitstellt.  Der Begriff „electronic communication service provider“ umfasst, so Prof. Vladeck, u.a. auch Anbieter von „remote computing services“ und nicht nur herkömmliche Telekommunikationsanbieter.

Zu einem ähnlich (weiten) Ergebnis kam auch Peter Swire vor dem Irish High Court im Schrems II-Verfahren, das im Folgenden auszugsweise wiedergegeben wird:

Section 702 and 50 U.S.C § 1881 apply to any “electronic communications service provider.” That definition incorporates the definition of any “electronic communications service” under the ECPA, which US courts have interpreted to include any company that provides its employees with corporate email or similar ability to send and receive electronic communications“.

The courts have applied this statutory language to employer-provided email. The term “electronic communication service” in the ECPA has been applied to any company that provides electronic communications to its employees, irrespective of the primary function of the business. As one example, Nationwide Insurance Company was found to have provided an electronic communication service because it provided its employees with email services.

The courts’ interpretation is confirmed by guidance from the US Department of Justice (DOJ). In its 2009 published guide to obtaining electronic evidence, the DOJ states that any company that provides others with the means to communicate electronically, regardless of their primary business or function, can be a provider of electronic communication service under the ECPA (Anm: siehe das DOJ-Guidance Dokument 2009).”

Zu beachten ist allerdings, dass sich in der Vergangenheit so mancher angeblicher ECSP gegen diese Qualifizierung erfolgreich zur Wehr gesetzt hat (siehe beispielsweise hier unter Verweis auf Entscheidungen des Foreign Intelligence Surveillance Court und des  Foreign Intelligence Surveillance Court of Review) – allerdings nimmt die bisher teilweise bestehende Ambiguität bei vielen Cloud-Providern durch die nunmehrigen Ergänzungen deutlich ab.

Update 23.04.2024

Nach Annahme durch den US Senat und Unterschrift des US-Präsidenten wurde FISA 702 verlängert und die Definition des ECSP (deutlich) erweitert, siehe den Gesetzestext (Auszug):

SEC. 25. Definition of electronic communication service provider.

  • (a) Section 701(b)(4) is amended—
    • (1) by redesignating subparagraph (E) as subparagraph (F);
    • (2) in subparagraph (D), by striking “; or” and inserting a semicolon;
    • (3) by inserting after subparagraph (D) the following new subparagraph:
      • “(E) any other service provider who has access to equipment that is being or may be used to transmit or store wire or electronic communications, but not including any entity that serves primarily as—
        • “(i) a public accommodation facility, as that term is defined in section 501(4);
        • “(ii) a dwelling, as that term is defined in section 802 of the Fair Housing Act (42 U.S.C. 3602);
        • “(iii) a community facility, as that term is defined in section 315 of the Defense Housing and Community Facilities and Services Act of 1951 (42 U.S.C. 1592n); or
        • “(iv) a food service establishment, as that term is defined in section 281 of the Agricultural Marketing Act of 1946 (7 U.S.C. 1638); or”;
    • (4) in subparagraph (F), as redesignated—
      • (A) by inserting “custodian,” after “employee,”;
      • (B) by striking “or” before “(D)”; and
      • (C) by inserting “, or (E)” after “(D)”.
Wir bieten Consulting mit der gesamten Expertise unserer Forschung. Research Institute
Mag. Markus Kastelitz, LL.M.
Mag. Markus Kastelitz, LL.M.Senior Researcher und Senior Consultant im Research Institute – Digital Human Rights Center mit Spezialisierung im Datenschutz- und IT-Recht

Autor

Mag. Markus Kastelitz, LL.M. ist Jurist mit Postgraduate-Ausbildung im IT-Recht. Er verfügt über vielfältige Berufserfahrungen im In- und Ausland und ist seit 2017 als Senior Researcher und Senior Consultant im Research Institute – Digital Human Rights Center mit Spezialisierung im Datenschutz- und IT-Recht tätig.

Wir bieten Consulting mit der gesamten Expertise unserer Forschung. Research Institute