FISA 702 läuft aus.

Warum europäische Unternehmen trotzdem vorsichtig bleiben sollten.

Als bekannt wurde, dass die berüchtigte Section 702 des amerikanischen Foreign Intelligence Surveillance Act (FISA) vorübergehend ausläuft, war die Reaktion bei manchen Beobachtern vorhersehbar: Wenn die Rechtsgrundlage für zentrale Teile der digitalen US-Auslandsüberwachung wegfällt, müsste die Nutzung amerikanischer Cloud-Anbieter doch automatisch unkritischer werden.

Genau dieser Schluss wäre jedoch voreilig.

Denn die aktuelle Entwicklung zeigt vor allem eines: Das eigentliche Problem war nie ausschließlich das Gesetz selbst.

Was FISA 702 überhaupt regelt

Section 702 bildet seit Jahren die Grundlage für wesentliche Teile der elektronischen Auslandsaufklärung der USA. Sie erlaubt amerikanischen Nachrichtendiensten, Daten von Personen zu erfassen, die sich wahrscheinlich außerhalb der Vereinigten Staaten befinden. Bekannt geworden sind insbesondere Programme wie PRISM und die sogenannte Upstream-Überwachung, bei denen Daten entweder direkt von Diensteanbietern oder aus zentralen Netzwerkinfrastrukturen gewonnen werden.

Kritiker bemängeln seit Jahren, dass diese Befugnisse in der Praxis deutlich weiter reichen als offiziell dargestellt und regelmäßig auch Daten von US-Bürgern oder Personen erfassen, die eigentlich nicht Ziel der Überwachung sein sollten.

Dass die gesetzliche Grundlage nun vorübergehend ausläuft, ist dabei weniger das Ergebnis einer grundsätzlichen Neubewertung der Überwachungspraxis als vielmehr Ausdruck politischer Konflikte innerhalb der amerikanischen Innenpolitik.

Das eigentliche Signal ist beunruhigend

Viel interessanter als das Auslaufen des Gesetzes ist die öffentliche Reaktion führender Politiker.

Mehrere Republikaner haben bereits signalisiert, dass die Geheimdienste ihre Arbeit möglichst unverändert fortsetzen sollen. Selbst die Möglichkeit einer präsidentiellen Anordnung wird offen diskutiert.

Damit entsteht eine bemerkenswerte Situation.

Während europäische Unternehmen häufig versuchen, Risiken anhand konkreter Rechtsgrundlagen zu bewerten, zeigt die amerikanische Debatte, dass die politischen Akteure selbst die praktische Fortsetzung der Überwachung teilweise für wichtiger halten als die Frage, ob die bisherige gesetzliche Grundlage gerade gültig ist.

Für europäische Unternehmen ist das keine beruhigende Botschaft.

Warum die Diskussion größer ist als FISA 702

In Europa wird die Debatte über amerikanische Cloud-Anbieter häufig auf einzelne Gesetze reduziert. Mal geht es um den CLOUD Act, mal um FISA 702, mal um neue Datenschutzabkommen zwischen der EU und den USA.

Dadurch entsteht leicht der Eindruck, dass sich das Problem durch die Änderung eines einzelnen Gesetzes lösen ließe.

Tatsächlich handelt es sich jedoch um eine strukturelle Frage.

US-Unternehmen unterliegen amerikanischer Jurisdiktion. Amerikanische Behörden verfügen über verschiedene rechtliche Instrumente, um auf Daten zuzugreifen oder Auskünfte zu verlangen. Gleichzeitig zeigt die Geschichte der vergangenen zwei Jahrzehnte, dass Überwachungsbefugnisse nach Terroranschlägen, geopolitischen Krisen oder sicherheitspolitischen Spannungen regelmäßig ausgeweitet statt eingeschränkt wurden.

Wer ausschließlich auf einzelne Gesetze schaut, übersieht deshalb den größeren Zusammenhang.

Was bedeutet das für Unternehmen?

Die aktuelle Entwicklung ist kein Argument dafür, amerikanische Hyperscaler grundsätzlich zu meiden.

AWS, Microsoft Azure und Google Cloud gehören weiterhin zu den technologisch leistungsfähigsten Plattformen der Welt. Für viele Unternehmen sind sie wirtschaftlich und technisch die sinnvollste Lösung.

Die Meldung ist aber ein Argument dafür, Datenklassifizierung ernst zu nehmen.

Nicht jede Information besitzt denselben Schutzbedarf.

Marketingdaten, öffentliche Inhalte oder unkritische Geschäftsanwendungen sind anders zu bewerten als Forschungsdaten, Gesundheitsdaten, staatliche Informationen, kritische Infrastrukturdaten oder strategisches Unternehmenswissen.

Je sensibler Daten werden, desto wichtiger wird die Frage, unter welcher Jurisdiktion sie verarbeitet werden, wer potenziell Zugriff erhalten kann und welche rechtlichen Möglichkeiten im Konfliktfall tatsächlich bestehen.

Die eigentliche Lehre für Europa

Die Diskussion um FISA 702 zeigt letztlich ein Problem, das weit über Datenschutz hinausgeht.

Europa verfügt bis heute nur begrenzt über eigene digitale Infrastrukturen, die mit den amerikanischen Hyperscalern konkurrieren können. Dadurch entsteht eine Situation, in der viele Unternehmen auf Anbieter angewiesen sind, die außerhalb des europäischen Rechtsraums operieren.

Solange diese Abhängigkeit besteht, wird jede politische Entwicklung in Washington unmittelbare Auswirkungen auf europäische Unternehmen haben – unabhängig davon, ob es um Datenschutz, Überwachung, Sanktionen oder geopolitische Konflikte geht.

Digitale Souveränität bedeutet deshalb nicht, amerikanische Technologie pauschal abzulehnen.

Sie bedeutet, Abhängigkeiten zu verstehen, Risiken bewusst zu bewerten und dort, wo es sinnvoll ist, europäische Alternativen aufzubauen und einzusetzen.

Das Auslaufen von FISA 702 ändert an dieser Grundfrage wenig.

Es erinnert lediglich daran, warum sie überhaupt existiert.