Überwachung vs. Datenschutz: Die Auswirkungen von Abschnitt 702

Table of Contents

Von Sven Bagemihl, Regional Director CEMEA bei Logpoint

Das in den USA verabschiedete Gesetz zur Wiederzulassung von Abschnitt 702 (RISAA) bewirkt eine erhebliche Ausweitung der inländischen Überwachung vor, die die umfangreichste seit dem Patriot Act darstellt.

Die Regierung kann nun „Anbieter elektronischer Kommunikationsdienste“ mit direktem Zugang zur Kommunikation dazu zwingen, die NSA bei der Durchführung von Überwachungsmaßnahmen nach Abschnitt 702 zu unterstützen.

In der Regel handelt es sich dabei um Unternehmen wie Verizon und Google, die gemäß Abschnitt 702 die Kommunikation von Überwachungszielen übergeben müssen. Diese Ziele sind Ausländer im Ausland, doch häufig beinhaltet die Kommunikation auch Interaktionen mit Amerikanern.

Eine scheinbar geringfügige Änderung der Definition des Begriffs „Anbieter elektronischer Kommunikationsüberwachung“, erweitert nun den Kreis der Unternehmen, die gezwungen werden können, die NSA zu unterstützen, drastisch.

Jede Einrichtung oder Person, die eine der spezifizierten Dienstleistung anbietet, kann jetzt dazu gezwungen werden, die NSA-Überwachung zu unterstützen, solange sie Zugang zu Geräten hat, die die Kommunikationsübertragung oder -speicherung erleichtern, wie z. B. Router, Server oder Mobilfunkmasten.

Besonders besorgniserregend ist dabei, dass viele dieser Unternehmen nicht über die Mittel verfügen, um die Kommunikation bestimmter Zielpersonen zu trennen und zu übermitteln. Folglich müssen sie der NSA Zugang zu ihren Geräten zu gewähren oder von der NSA bereitgestellte Tools nutzen, um ganze Kommunikationsströme oder gespeicherte Daten zu kopieren, die zwangsläufig große Mengen an inländischer Kommunikation enthalten.

Die NSA erhält auf diese Weise einen nie dagewesenen Zugang zur inländischen Kommunikation und vertraut im Wesentlichen darauf, nur die Kommunikation genehmigter ausländischer Ziele zu sichten und aufzubewahren - eine beunruhigende Vorstellung.

Konsequenzen in Europa

Die Ausweitung der inländischen Überwachungsbefugnisse hat erhebliche Auswirkungen auf die europäischen Bedenken in Bezug auf den Datenschutz, insbesondere im Hinblick auf Schrems, NIS2 und GDPR / Datenschutz Grundverordnung.

  1. Extraterritoriale Reichweite: Die Daten europäischer Bürgerinnen und Bürger, die sich im Besitz von US-Unternehmen befinden, könnten ohne angemessenen Rechtsschutz überwacht werden. Dadurch könnte möglicherweise gegen die Anforderungen der DSGVO für eine rechtmäßige Verarbeitung verstoßen werden, insbesondere bei Datenübertragungen außerhalb der EU in Länder, die keine angemessenen Datenschutzstandards haben.
  2. Auswirkungen auf die transatlantische Wirtschaft: Europäische Unternehmen, die sich bei der Kommunikation und Datenspeicherung auf Dienstleister mit Sitz in den USA verlassen, könnten diese Partnerschaften aufgrund von Bedenken hinsichtlich des Datenschutzes und der Einhaltung der GDPR-Vorschriften überdenken. Dies könnte zu Unterbrechungen im transatlantischen Handel und zu höheren Kosten für Unternehmen führen, die nach alternativen Lösungen suchen.
  3. Regulatorische Reaktion: Die europäischen Regulierungsbehörden könnten mit strengeren Vorschriften oder Leitlinien für die Datenübermittlung in die USA reagieren. Das könnte den grenzüberschreitenden Datenverkehr erschweren und den in beiden Regionen tätigen Unternehmen zusätzliche Anstrengungen für die Einhaltung der Vorschriften abverlangen.
  4. Mögliche rechtliche Anfechtungen: Europäische Interessengruppen und Datenschützer könnten die Rechtmäßigkeit von Datenübermittlungen an die USA im Rahmen dieser erweiterten Überwachungsbefugnisse in Frage stellen und dabei Bedenken hinsichtlich des Schutzes der nach EU-Recht garantierten Grundrechte äußern.

Insgesamt kann die Ausweitung der innerstaatlichen Überwachung in den USA die Bedenken der europäischen Bevölkerung und dort ansässiger Unternehmen in Bezug auf Datenschutz und Überwachung verstärken. Das könnte wiederum zu einer verstärkten Prüfung, zu regulatorischen Maßnahmen und potenziellen Störungen des transatlantischen Datenverkehrs und der Geschäftsabläufe führen.

EU ansässige Anbieter könnten derweil von den erweiterten inländischen Überwachungsbefugnissen in mehrfacher Hinsicht profitieren. Durch Betonung des EU-zentrierten Ansatzes und des Engagements für Datenschutz können Unternehmen europäische Kunden ansprechen und sich als vertrauenswürdige Alternative zu US-Anbietern positionieren. Zudem kann die Ausweitung der innerstaatlichen Überwachungsbefugnisse in den USA zu einer verstärkten Nachfrage nach EU-zentrierten Cybersicherheitslösungen führen.

Fazit

Die Ausweitung der innerstaatlichen Überwachung in den USA könnte europäische Datenschutzbedenken weiter verstärken und zu regulatorischen Maßnahmen sowie potenziellen Störungen des transatlantischen Datenverkehrs und der Geschäftsabläufe führen. Unternehmen müssen sich der Implikationen des Abschnittes 702 für US-ansässige Anbieter bewusst sein und diese in die Planung der eigenen Strategie miteinfließen lassen. Im Ernstfall könnten sie sich sonst dazu gezwungen sehen, sensible Daten und Konversationen an US-Behörden weitergeben zu müssen, was im Kontrast zu dem Interesse der eigenen Kunden oder gar konträr zur hiesigen Gesetzgebung stehen könnte.

Related Posts

BSI Umfrage: Arztpraxen kümmern sich zu wenig um IT Sicherheit

Die Umfrage des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zur IT-Sicherheit in Arztpraxen, durchgeführt von März bis Mai 2023, bietet Einblicke in die Umsetzung der IT-Sicherheitsrichtlinie gemäß § 75b SGB V in deutschen Arztpraxen. Diese Richtlinie stellt gesetzliche Mindestanforderungen für einen sicheren IT-Betrieb in Arztpraxen auf und zielt darauf ab, die IT-Sicherheit im Gesundheitswesen zu stärken.

Read More

Projekt Ghostbusters: Wie Facebook Snapchat ausspionierte

Ein kürzlich erschienener Report von Techcrunch berichtet über einen Gerichtsfall, indem Facebook vorgeworfen wird per VPN App den Datenverkehr der Konkurrenzapp Snapchat ausspioniert zu haben. Die Operation Ghostbusters dauerte von 2016 bis 2019. Es ging nicht nur darum, Konkurrenten zu übertrumpfen; es ging darum, sie zu infiltrieren. Facebook-Ingenieure nutzten einen Dienst namens Onavo, welcher sich als VPN tarnte, um in die sicheren Kommunikationen von Konkurrenzunternehmen wie Snapchat, YouTube und Amazon einzudringen und so wichtige Informationen zur Verbesserung Ihrer Instagram App sammeln zu können.

Read More

EuGH Urteil: Hackerangriffe führen nicht mehr automatisch zu Bußgeldern

Ein richtungsweisendes Urteil des Europäischen Gerichtshofs (EuGH) vom 14. Dezember 2023, könnte die Art und Weise, wie Unternehmen in der EU mit Datenschutzverletzungen umgehen, grundlegend verändern. In der Entscheidung (C-340/21) hat der EuGH klargestellt, dass das bloße Vorliegen einer unbefugten Offenlegung personenbezogener Daten nicht automatisch bedeutet, dass die vom Unternehmen getroffenen Sicherheitsmaßnahmen unzureichend waren. Vielmehr muss konkret bewertet werden, ob die Schutzmaßnahmen angesichts der spezifischen Risiken angemessen waren.

Read More