Werde ich von den US-Behörden überwacht?

19.10.2022 von Lukas Stoller

Dieser Beitrag erklärt Dir, was der Foreign Intelligence Surveillance Act (FISA) ist und welche Risiken dieses Gesetz für Dich mit sich bringt. Ausserdem geben wir Empfehlungen ab, was Du als Unternehmer*in berücksichtigen musst, wenn Du Personendaten in die USA exportierst.

Was regelt der FISA Act?

Der FISA Act wurde 1978 vom Kongress der Vereinigten Staaten verabschiedet und regelt:

  • Die Überwachungsaktivitäten der US-amerikanischen Nachrichtendienste im Ausland, und

  • Die Überwachung von Personen, die in den USA wohnen, sowie von US-amerikanischen Unternehmen.

Zunächst durften nur ausländische Staatsbürger abgehört werden. Nach den Terroranschlägen vom 11. September 2001 wurde der FISA Act durch den PATRIOT Act und anschliessend durch den FREEDOM Act ergänzt, die zwischenzeitlich zum Teil wieder ausser Kraft getreten sind. Durch die Erweiterung können nun die US-Behörden neben dem Abhören von ausländischen Staatsbürgern auch Personen und Wohnungen von Staatsangehörigen durchsuchen, sowie Gegenstände beschlagnahmen. Hierzu benötigt die US-Behörde lediglich einen hinreichenden Verdacht, dass die Personen in einer Spionage gegen die USA verwickelt sind.

Wie funktioniert die Überwachung ausserhalb der Vereinigten Staaten?

Massgebend für die Auslandsüberwachung ist Section 702 FISA.

Diese Bestimmung existiert seit 2008 und ermöglicht es US-Behörden, gezielte Überwachungen von ausländischen Personen durchzuführen, die sich ausserhalb der Vereinigten Staaten befinden.

Dies geschieht bspw. über das Abfangen von elektronischer Kommunikation von und zur Zielperson. Um dies zu ermöglichen, werden US-amerikanische Anbieter von elektronischen Kommunikationsdiensten (bspw. Google, Meta oder Apple) zur Kooperation mit den US-Behörden verpflichtet.

 

Wer ist betroffen?

Zielperson sind alle Personen, von denen erwartet wird, dass sie Informationen besitzen, empfangen, oder weitergeben, welche für die nationalen Interessen der Vereinigten Staaten von Bedeutung sind (bspw. Terrorbekämpfung, illegaler Waffenhandel, Spionage, Cybersecurity). Es können aber auch unbeteiligte Dritte überwacht werden, deren Kommunikation den Namen der Zielperson enthält.

 

Warum ist FISA 702 rechtsstaatlich problematisch?

Das Kontroverse an Section 702 FISA ist, dass die Überwachungen nicht durch ein Gericht für jede Einzelperson genehmigt werden muss. Es werden jährlich Parameter für die Überwachung festgelegt, die dann von einem speziellen US-amerikanischen Gericht global genehmigt werden (bspw. die Kategorien der zu sammelnden Informationen).

Nähere Informationen zum Verfahrensablauf findest Du hier (Achtung: wenn Du auf den Link klickst, wirst Du auf eine Webseite der US-Regierung weitergeleitet): https://www.dni.gov/files/icotr/Section702-Basics-Infographic.pdf

 

Wie kannst Du Dich und Deine Kunden vor Überwachungshandlungen schützen?

Da die Überwachung der US-Behörden vor allem über den Dienstleistungsgebrauch von US-amerikanischen Anbietern geschieht, sollten solche Dienstleistungen bewusst und mit den nötigen technischen Massnahmen eingesetzt werden (bspw. zusätzliche Verschlüsselungen, Datenhaltung in Europa, etc.).

Bei einer allfälligen Datenübermittlung an ein US-Unternehmen ist besondere Vorsicht geboten, weil unter Umständen auch die Daten Deiner Kunden nicht von einer US-amerikanischen Überwachung geschützt sind.

Denn seit der EuGH den Privacy Shield für ungültig erklärt hat, muss die Angemessenheit des Datenschutzes für Datenübermittlungen in den USA mittels Standardvertragsklauseln gewährleistet werden. Die von der EU-Kommission erlassenen Standardvertragsklauseln verpflichten den Datenexporteur sicherzustellen, dass der Datenimporteur durch Rechtsvorschriften im Datenimportland an seinen Verpflichtungen bezüglich Datensicherheit nicht gehindert wird.

Dementsprechend verpflichten die Standardvertragsklauseln Dich zu einer vorgängigen Risikoeinschätzung (TIA) der Datensicherheit von den übermittelten Daten. Hierrunter fällt unter anderem auch die Einschätzung des Risikos eines Zugriffs der US-Behörden auf die spezifischen Daten. Du bist folglich verpflichtet, Dich mit den örtlichen Gesetzen der USA auseinanderzusetzen, um die spezifische Risikoeinschätzung vorzunehmen. Wenn die Risikoeinschätzung eine Beeinträchtigung des Datenschutzniveaus ergibt, bist Du verpflichtet geeignete technische oder vertragliche Massnahmen zu ergreifen, um das Risiko des Datenzugriffs der US-Behörden zu minimieren.

Ausblick

Das Missbrauchspotential des auslegungsbedürftigen US-Überwachungsrechts ist bereits heute sehr hoch. Aktuell wird mit einem Gesetzesentwurf die Verlängerung der Section 101 des Freedom Acts angestrebt. Section 501 und 502 FISA, welche zusätzliche Überwachungsmöglichkeiten von den Kunden von US-Unternehmen beinhalten, stützen sich auf Section 101 des Freedom Acts. Eine Verlängerung der Section 101 des Freedom Acts würde folglich weitere besorgniserregende Überwachungen von US-Staatsbürgern und ausländischen Staatsbürgern ermöglichen. Derzeit steht das Gesetzgebungsverfahren aber seit Mai 2020 still. Es ist nicht mehr davon auszugehen, dass es zu einer Verlängerung der Section 101 kommen wird.

Nähere Informationen zum aktuellen Gesetzgebungsverfahren findest Du hier (Achtung: wenn Du auf den Link klickst, wirst Du auf eine Webseite der US-Regierung weitergeleitet): https://www.congress.gov/bill/116th-congress/house-bill/6172/actions?r=3&s=5

Das ist nicht die einzige gute Nachricht aus Washington: Die U.S.A. bemühen sich derzeit ein Abkommen mit der EU betreffend Datenübermittlung zu schliessen. Zu diesem Zweck hat Präsident Joe Biden eine Executive Order unterzeichnet, welche den US-Geheimdiensten strengere Vorgaben für den Zugang zu Informationen auferlegt. Zu diesem Zweck wird ein zweistufiger Mechanismus für EU-Bürger*innen eingeführt, mit welchen sie sich gegen widerrechtliche Datenbearbeitungen beschweren können. Ziel der U.S.A. ist es, durch diese Verbesserungen von der EU wieder als Land mit angemessenem Datenschutzniveau angesehen zu werden. Dies würde den Datenaustausch zwischen der EU und den U.S.A. wesentlich vereinfachen. Beispielsweise wären Standartvertragsklauseln nicht mehr erforderlich.

(Quelle: https://www.bundestag.de/resource/blob/796102/ea53ffe8e08a9ab11e270719263d8c53/WD-3-181-20-pdf-data.pdf)

Kontakt

Schildere uns Deinen Fall. Unsere Datenschutzexpert*innen beraten Dich gerne!

Christian Mitscherlich, MLaw, Rechtsanwalt, Partner

subscribe

Melde Dich für unseren Newsletter an, um auf dem Laufenden zu bleiben!

datenschutz.law logo

Domenig & Partner
Rechtsanwälte AG
Laupenstrasse 1
Postfach
CH-3001 Bern

Tel: +41 31 380 11 00
Fax: +41 31 380 11 09

datenschutz@domenig.law
www.domenig.law

Beiträge

Gesetzgebungen

Behördeninformationen

Rechtsprechung

Ratgeber

News

Ratgeber

Datenschutz Schweiz

Datenschutz Unternehmen

Datenschutz online

Die Personendaten

Datenschutz international

Glossar

News

Gesetze

Beratung

Datenschutzerklärung

Impressum