Glossar · US-Überwachungsrecht FISA 702 (Foreign Intelligence Surveillance Act, Section 702)
US-Überwachungsgesetz, das die Massenerfassung von Kommunikationsdaten von Nicht-US-Personen bei US-ansässigen Anbietern erlaubt. Zusammen mit dem CLOUD Act der strukturelle Grund, warum EU-US-Datentransfers wiederholt unter Schrems-Klagen kollabieren.
## Was FISA 702 eigentlich ist
Section 702 des **Foreign Intelligence Surveillance Act** (FISA) ist ein US-Gesetz, das 2008 erlassen und in regelmäßigen Abständen neu autorisiert wurde (zuletzt 2024). Es ermächtigt den **US-Director of National Intelligence und den Attorney General**, US-ansässige Anbieter elektronischer Kommunikationsdienste zur Herausgabe der Kommunikation von **Nicht-US-Personen zu zwingen, von denen vernünftigerweise angenommen wird, dass sie sich außerhalb der USA befinden**.
Die erhobenen Daten werden für nachrichtendienstliche Auslandszwecke verwendet und können vom FBI, der CIA, der NSA und anderen US-Behörden abgefragt werden.
## Warum FISA 702 strukturell bedeutsam ist
Das grundlegende Merkmal von FISA 702 ist, dass:
1. Es für **alle US-ansässigen Anbieter elektronischer Kommunikationsdienste** gilt — einschließlich großer Tech-Unternehmen (Google, Microsoft, Meta, Apple usw.)
2. Es **Nicht-US-Personen** ins Visier nimmt — also jeden außerhalb der Vereinigten Staaten, einschließlich EU-Bürgern und EU-Unternehmen
3. Es ohne **Probable-Cause**-Standard für Nicht-US-Ziele operiert
4. Es mit **minimaler richterlicher Aufsicht** arbeitet (das FISA-Gericht genehmigt breite Targeting-Programme, keine Einzelüberwachung)
5. Es **keinen wirksamen Rechtsbehelf** für betroffene Nicht-US-Personen bietet
Dies ist der strukturelle Grund, warum EU-US-Datentransfers immer wieder für ungültig erklärt werden.
## Die Programme 'PRISM' und 'Upstream'
FISA 702 autorisiert zwei Hauptprogramme der Erfassung:
### PRISM
Direkte Erhebung bei US-Anbietern. Die NSA übermittelt einen 'Selektor' (E-Mail-Adresse, Telefonnummer etc.), und der Anbieter übergibt die zu diesem Selektor passende Kommunikation. 2013 von Edward Snowden enthüllt.
### Upstream
Erhebung aus der Internet-Backbone-Infrastruktur. Erlaubt die Erhebung von Kommunikation, die US-Territorium passiert (einschließlich Kommunikation zwischen zwei Nicht-US-Parteien, die US-Infrastruktur berührt).
Beide Programme werden im Rahmen von FISA 702 betrieben.
## Wie FISA 702 mit der DSGVO kollidiert
Die Rechtsprechung des Gerichtshofs der Europäischen Union (EuGH) — insbesondere [Schrems I](/de/glossary/schrems-i/) (2015) und [Schrems II](/de/glossary/schrems-ii/) (2020) — hat festgehalten, dass:
1. Personenbezogene EU-Daten nur in Nicht-EU-Jurisdiktionen übermittelt werden dürfen, die einen **im Wesentlichen gleichwertigen Schutz** wie die DSGVO bieten
2. US-Recht nach FISA 702 einen solchen Schutz **nicht** bietet, weil:
- Es Massenerhebungen ohne individuellen Probable Cause erlaubt
- Es Nicht-US-Personen ohne Verhältnismäßigkeitsgrenzen erfasst
- Es keinen wirksamen gerichtlichen Rechtsbehelf für Nicht-US-Personen bietet
3. Daher ist jeder EU-US-Datentransfermechanismus, der sich auf US-Rechtsschutz stützt, strukturell anfällig
Das ist der Grund, warum **Safe Harbor → Privacy Shield → EU-US-DPF** eine Kette aufeinanderfolgender Rahmen ist, von denen jeder am gleichen zugrunde liegenden Problem für ungültig erklärt oder bedroht wurde.
## EO 14086 und das Data Privacy Framework
2022 unterzeichnete Präsident Biden die **Executive Order 14086**, mit der festgelegt wurden:
- Neue Grenzen für die US-Signalaufklärung (Verhältnismäßigkeit, individuelles Targeting)
- Ein zweistufiger Rechtsbehelfsmechanismus für Nicht-US-Personen (Civil Liberties Protection Officer + Data Protection Review Court)
- Aktualisierte US-Verfahren für FISA-702-Überwachung
Die Europäische Kommission stützte sich bei der Annahme des Angemessenheitsbeschlusses zum **[EU-US Data Privacy Framework](/de/glossary/data-privacy-framework/)** im Juli 2023 auf EO 14086.
Kritiker argumentieren, dass EO 14086 die Bedenken aus Schrems II nicht vollständig adressiert, weil:
- Es sich um eine Executive Order handelt (durch eine künftige Regierung widerruflich)
- Das 'Data Protection Review Court' innerhalb der Exekutive angesiedelt ist (nicht wirklich unabhängig)
- Die Befugnis zur Massenerhebung intakt bleibt
- Das grundlegende Ungleichgewicht zwischen US-Nationalsicherheit und Rechten Nicht-US-Personen unverändert besteht
Schrems und noyb haben angekündigt, das EU-US-DPF auf FISA-702-Grundlage anzufechten. Eine Prüfung durch den EuGH wird für 2026-2028 erwartet.
## Warum FISA 702 für europäische Unternehmen wichtig ist
### 1. Betrifft jede US-ansässige SaaS
Wenn Sie Google Workspace, Microsoft 365, AWS, Slack oder im Grunde jedes US-ansässige SaaS nutzen, befinden sich Ihre Daten in Reichweite von FISA 702.
### 2. Lässt sich nicht durch Verträge lösen
Weder SCC noch BCR noch ein anderer vertraglicher Mechanismus kann US-überwachungsrechtliche Verpflichtungen von US-Anbietern aufheben. Der Anbieter kann gesetzlich zur Datenherausgabe verpflichtet werden und kann Geheimhaltungsanordnungen unterliegen.
### 3. EU-Niederlassungen helfen nicht
EU-Regionen und EU-Tochtergesellschaften von US-Anbietern werden weiterhin von US-Muttergesellschaften kontrolliert, die FISA 702 (und dem CLOUD Act) unterliegen. EU-Regionen helfen bei Latenz und Datenresidenz, nicht aber bei der Jurisdiktion.
### 4. Treibt die Nachfrage nach echten europäischen Alternativen
Das strukturelle FISA-702-Problem ist der wesentliche Grund, weshalb europäische Unternehmen mit US-Anbietern keine echte DSGVO-Konformität erreichen können, und der wichtigste Nachfragetreiber für EU-Alternativen.
## FISA 702 vs. CLOUD Act
Diese beiden Gesetze ergänzen sich:
| | FISA 702 | CLOUD Act |
|--|----------|-----------|
| Zweck | Auslandsnachrichtendienstliche Erhebung | Erhebung strafrechtlicher Beweise |
| Ziele | Nicht-US-Personen im Ausland | Jede Person (auch in der EU) |
| Verfahren | Massenprogramme, breites Targeting | Konkrete Durchsuchungs- und Vorladungstitel |
| Reichweite | Kommunikationsanbieter | Jeder Dienstleister, der Daten besitzt |
| Mitteilung an Betroffene | Im Allgemeinen nein | Häufig unter Geheimhaltungsanordnung |
| Wirksamer Rechtsbehelf EU-Person | Minimal (DPRC im Rahmen des DPF) | Minimal |
Beide stehen einer echten DSGVO-Angemessenheit von US-Anbietern entgegen.
## Was 2026-2027 bringt
- **EuGH-Prüfung** neuer Schrems-Verfahren gegen das EU-US-DPF
- **Kämpfe um die FISA-Neugenehmigung** im US-Kongress
- **Anhaltende Eskalation staatlich geförderter Überwachung**, die die Bedrohungslage beeinflusst
- **Fortgesetzter Ausbau europäischer souveräner Cloud** als strukturelle Antwort
- **Keine grundlegende US-Überwachungsreform** ist zu erwarten
## Praktische Implikationen
Für europäische Tech-Käufer:
- **Für sensible Workloads** (Recht, Gesundheit, Finanzen, öffentlicher Sektor): US-Anbieter unabhängig vom Vertragsmechanismus als strukturell exponiert behandeln
- **Für allgemeine Workloads**: FISA-702-Exposition gegen andere Faktoren abwägen
- **Für die Langfriststrategie**: davon ausgehen, dass das EU-US-DPF für ungültig erklärt werden kann, und entsprechend planen
- **EU-ansässige Alternativen** umgehen FISA 702 vollständig
Für europäische Politik-Fachleute:
- Eine Reform von FISA 702 in den USA ist auf absehbare Zeit unwahrscheinlich
- Das strukturelle Problem wird ohne US-Gesetzesänderung bestehen bleiben
- Die europäische Antwort lautet souveräne Infrastruktur, nicht vertragliche Notlösungen
War das hilfreich?
Danke für Ihr Feedback!