Der frühere Chief Privacy Adviser von Microsoft, Caspar Bowden, erklärte im Rahmen des 31. Chaos Communication Congress noch einmal ausführlich, warum sich ein europäisches Unternehmen nicht auf amerikanische Dienstleister verlassen darf.

Nach Darstellung Bowdens zwingt der FISA Amendment Act § 1881a (Sec 702) die amerikanischen Unternehmen zur Zusammenarbeit mit den Behörden der USA zur Informationsgewinnung. Dies gelte auch für Informationen, die nur im Zusammenhang mit den internationalen Beziehungen der USA stehen. Dabei ist weder ein Bezug zu Straftaten noch zur Nationalen Sicherheit oder zu Terrorismus notwendig. Ein einfacher Bezug zu den Interessen der Vereinigten Staaten sei bereits ausreichend, so Bowden.

Die Überwachungsmaßnahmen müssen zwar im Einklang mit den Rechten aus dem 4. Verfassungszusatz der USA stehen, allerdings gilt das 4th Amendment nicht für Personen ohne amerikanische Staatsbürgerschaft. Bei einer Anhörung des Senats im Jahr 2012 zum FISA Amendment Act 2008 musste selbst der Anwalt der ACLU Mr. Jaffer zugeben, dass der 4. Verfassungszusatz nicht für Ausländer gelte. Vor diesem Hintergrund bietet die Regelung keinen Schutz für die Daten europäischer Unternehmen und Personen, wenn diese durch ein amerikanisches Unternehmen verarbeitet werden. Auch sind alle Verträge oder No-Spy-Vereinbarungen mit US-Unternehmen irrelevant. Bei Verstößen gegen deutsches oder europäisches Datenschutzrecht drohen Bußgelder, bei Verstößen gegen die FISA-Regelungen droht im Zweifel eine langjährige Haftstrafe. Bowden kommt zu einem einfachen Fazit:

“This means if you are not american, you cannot trust U.S. software services”.

Weitere Informationen zu der Frage, was der FISA Act insbesondere für europäische Unternehmen bedeutet, finden Sie in dieser Notiz.