Patriot Act & FISA 702: Wie US-Recht auch EU-Daten erreichen kann

Leave a Comment / By /

Hier ist ein Hintergrundartikel zu „Patriot Act & FISA 702: Warum Daten in US-Clouds aus EU-Sicht nie völlig risikofrei sind“ – mit belastbaren Quellen und klarer Einordnung. Erstellt mit Hilfe von KI.

  • Patriot Act wird oft als Sammelbegriff benutzt. Der berüchtigte § 215 (Massendatensammlung) ist am 15. März 2020 ausgelaufen; relevante Zugriffe erfolgen heute vor allem über FISA 702 und den CLOUD Act. (Electronic Frontier Foundation)
  • FISA 702 erlaubt US-Behörden die programmatische Überwachung von Nicht-US-Personen im Ausland über Anordnungen an „Electronic Communication Service Provider“ (ECSP) – darunter viele Cloud-/Kommunikationsdienste. 2024 wurde 702 re-autorisiert und ausgeweitet.
  • Der CLOUD Act verpflichtet US-Anbieter, Daten herauszugeben, die in ihrer „possession, custody, or control“ stehen – auch wenn sie in der EU gespeichert sind. (congress.gov, justice.gov)
  • EU-Transferrecht (Schrems II) und EDPB-Leitlinien verlangen zusätzliche technische Maßnahmen (z. B. starke Verschlüsselung mit EU-Schlüsselkontrolle), wenn US-Zugriffe nicht ausgeschlossen werden können. (EUR-Lex, EDPB)
  • Das EU-US Data Privacy Framework (DPF) schafft Rechtssicherheit für viele Transfers; wurde 2025 vom EuG bestätigt – Restrisiken (u. a. FISA 702-Zugriffe) bleiben beobachtungsbedürftig. (EUR-Lex, EDPB, Reuters)

1) Was heute wirklich gilt: Patriot Act, USA FREEDOM Act, FISA 702, CLOUD Act

Patriot Act: Häufige Kurzformel in Debatten – aber § 215 („Business Records“) ist seit 15. März 2020 ausgelaufen; weite Teile wurden bereits zuvor durch den USA FREEDOM Act (2015) eingehegt. Die Überwachungsarchitektur lebt jedoch in anderen Gesetzen fort. (Electronic Frontier Foundation, documents.pclob.gov, epic.org)

FISA 702: Kernstück für Auslandsaufklärung. Die FISC (Geheimgericht) genehmigt programmatisch; die Regierung darf innerhalb genehmigter Parameter ohne Einzelfallantrag sammeln und ECSPs verpflichten, mitzuwirken. Am 20. April 2024 wurde 702 durch den Reforming Intelligence and Securing America Act (RISAA) bis April 2026 verlängert und u. a. der ECSP-Begriff erweitert: Er umfasst nun Dienstleister, die Zugang zu Geräten haben, die zur Übertragung oder Speicherung von Kommunikation genutzt werden können (mit wenigen Ausnahmen). Das kann den Kreis adressierbarer Unternehmen deutlich vergrößern.

CLOUD Act (2018): Ergänzt das US-Strafverfahrensrecht (SCA) und klärt den Extraterritorial-Zugriff: US-Provider müssen Daten liefern, die in ihrer Verfügung/Gewahrsam/Kontrolle stehen – auch außerhalb der USA. (congress.gov, justice.gov)

Praxis-Konsequenz:

  • Ein US-Mutterkonzern mit Kontrolle über die EU-Tochter oder über Schlüssel/Administrationsrechte kann per CLOUD Act oder FISA 702 adressiert werden – selbst bei EU-Speicherung.
  • Rein vertragliche Garantien reichen dann regelmäßig nicht – es braucht technische und organisatorische Maßnahmen.

2) EU-Rechtslage: Schrems II, EDPB-Vorgaben, DPF 2023 (und 2025 bestätigt)

Schrems II (EuGH, C-311/18) kippte 2020 das Privacy Shield und verlangte Transfer Impact Assessments sowie Zusatzmaßnahmen bei Übermittlungen in die USA, wenn Zugriffe nach US-Recht nicht ausgeschlossen werden können. SCCs bleiben zulässig, aber nur mit wirksamen Ergänzungen. (EUR-Lex)

EDPB-Empfehlungen 01/2020 konkretisieren diese „supplementary measures“: Ende-zu-Ende-/At-Rest-Verschlüsselung, bei der Schlüssel ausschließlich unter Kontrolle des EU-Exporteurs (oder eines vertrauenswürdigen Akteurs in der EEA) liegen, kann eine effektive Maßnahme sein. (EDPB)

EU-US Data Privacy Framework (DPF): 2023 erließ die EU-Kommission einen Angemessenheitsbeschluss; die USA implementierten EO 14086 (neue Schutzvorkehrungen & Redress-Mechanismus/DPRC). 2025 hat das Gericht der EU den Beschluss bestätigt (T-553/23 – Latombe/Kommission), gleichwohl bleiben Beobachtungspunkte (z. B. künftige Änderungen von FISA 702). (EUR-Lex, justice.gov, Reuters, EDPB)

Bottom line: DPF + SCCs erleichtern Transfers, eliminieren aber nicht jede Restgefahr staatlicher Zugriffe; technische Maßnahmen bleiben zentral.

3) Warum „EU-Region“ alleine nicht genügt

  • CLOUD Act greift bei Kontrolle über Daten – Speicherort (EU-Region) ist nicht ausreichend. (justice.gov)
  • FISA 702 adressiert ECSPs; der 2024 erweiterte ECSP-Begriff (Zugang zu Übertragungs-/Speicher-Equipment) senkt die Schwelle, wen Behörden verpflichten können.
  • Support-Zugriffe/Telemetrie können Schlüsselmaterial/Metadaten offenlegen, wenn diese beim Provider liegen – dann helfen auch EU-Rechenzentren wenig.

4) Häufige Missverständnisse (kurz & klar)

  • „Es ist der Patriot Act!“Größtenteils falsch verkürzt. Heute sind FISA 702 und CLOUD Act die entscheidenden Hebel; § 215 Patriot Act ist 2020 ausgelaufen. (Electronic Frontier Foundation)
  • „Mit DPF ist alles erledigt.“Teilweise: DPF vereinfacht Transfers und wurde 2025 vom EuG bestätigt, doch Überwachungszugriffe bleiben ein Prüfpunkt; EDPB mahnt die Beobachtung von FISA 702-Entwicklungen an. (Reuters, EDPB)
  • „EU-Region = sicher.“Nein, wenn US-Jurisdiktion/Kontrolle über den Anbieter oder Schlüssel besteht. (justice.gov)

5) Konkrete Risikoszenarien für EU-Organisationen

  1. SaaS US-Anbieter mit EU-Hosting, Provider-Schlüsselverwaltung (KMS/HSM beim Anbieter) → CLOUD Act-/FISA-Risiko bleibt bestehen. (justice.gov)
  2. Managed Service durch US-Konzern/Tochter mit Admin-Zugriff → faktische Kontrolle → Herausgabepflicht möglich. (justice.gov)
  3. Datenanalyse/Transkripte in US-KI-Stacks (RAG, Language Services) → Zugriffsfläche für 702-Direktiven an ECSPs/Kommunikationsdienste.

6) Was funktioniert: praxisnahe Schutzmaßnahmen

  • Kryptografie „ohne Provider-Schlüssel“: Ende-zu-Ende oder At-Rest-Verschlüsselung mit EU-Schlüsselhoheit (BYOK/HYOK, externe HSMs, Split-Key). EDPB nennt solche Maßnahmen wirksam, wenn sauber umgesetzt. (EDPB)
  • Jurisdiktions-Design: EU-Anbieter ohne US-Mehrheitskontrolle (keine „control“-Beziehung), EU-Betrieb & EU-Support.
  • Datensparsamkeit & Pseudonymisierung vor Transfer; Trennung sensibler Daten (z. B. Meeting-Transkripte) von Benutzerkonten. (EDPB)
  • DPF/SCC + TIA konsequent anwenden; Vertragsklauseln zu behördlichen Anfragen (Benachrichtigung, Anfechtung, Transparenzberichte). (EUR-Lex)
  • Produktwahl: Wo möglich On-Prem/Private Cloud oder EU-SaaS mit Zero-Access-Architektur fürs Kernwissen.

7) Ausblick: Rechtslage in Bewegung

  • FISA 702 läuft (ohne erneute Verlängerung) im April 2026 aus; RISAA 2024 hat bereits Änderungen (u. a. ECSP-Ausweitung) gebracht – die Debatte geht weiter.
  • DPF wurde 2025 gerichtlich bestätigt, kann aber weiter angefochten werden; die Aufsichtsbehörden beobachten 702-Entwicklungen genau. (Reuters, EDPB)

Quellen (Auswahl)

  • CRS (Library of Congress): FISA § 702 & RISAA 2024 (Programmüberwachung, Re-Autorisierung, ECSP-Ausweitung).
  • DoJ / CRS zum CLOUD Act (exterritoriale Herausgabepflicht; „possession, custody, or control“). (justice.gov, congress.gov)
  • EuGH, C-311/18 (Schrems II) & EDPB-Empfehlungen 01/2020 (Zusatzmaßnahmen, v. a. Verschlüsselung mit EU-Schlüsselkontrolle). (EUR-Lex, EDPB)
  • EU-US DPF (Angemessenheitsbeschluss 2023), EO 14086 (US-Schutzvorkehrungen/Redress), EuG-Urteil 2025 (Bestätigung). (EUR-Lex, justice.gov, Reuters)
  • EFF/EPIC/CRS zur Patriot-Act-Historie und dem Ablauf von § 215. (Electronic Frontier Foundation, epic.org)

Leave a Comment

Your email address will not be published. Required fields are marked *

Scroll to Top