US-Gesetze
Die USA haben sich vielfältige Regeln und Technologien geschaffen, um weltweit auf die Daten anderer zugreifen zu können. Der Reigen ist lang: von den CIA-Gesetzen bis zum US CLOUD Act. Nicht alle Regeln sind öffentlich zugänglich. Wie weit der Zugriff auf die Telekommunikation weltweit reicht, finden interessierte Bürger, wenn sie nach Echolon, PRISM und der Snowden-Affäre recherchieren. Einen Einstieg gibt es bei Wikipedia im Artikel "Weltweite automatisierte Massenüberwachung".
Finden Sie hier wichtige Fakten zu folgenden Gesetzen:
Reforming Intelligence and Securing America Act (RISAA)
Die Bedeutung der Regel für die Datensouveränität wurde vom Cyberintelligence Institut, Frankfurt, in einer Grafik zusammengefasst und auf LinkedIn veröffentlicht. Hier sind die Inhalte als Tabelle wiedergegeben:
Gesellschaftsrecht- liche Konstruktionen Sicherheitsrelevante Fragen | US-Konzern mit EU-Tochtergesellschaft | EU-dominierte Kapitalgesellschaft mit US-Unternehmen als Minderheitsgesellschafter | EU-Tochterunternehmen eines EU-Mutterkonzerns mit Geschäftstätigkeit in den USA nutzt US-Technologie | EU-Unternehmen ohne Geschäftsbeziehungen in die USA, aber mit US-Technologielieferant oder Auftragsdatenverarbeitung | EU-Unternehmen ohne Geschäftstätigkeit in den USA und ohne Technologielieferant oder Auftragsverarbeitung mit US-Bezug |
|---|---|---|---|---|---|
| 1.) Lässt sich ein Zugriff durch US-Geheimdienste (Executive Order 12333) ausschließen? | ✘ Technische Details sind geheim; über Überwachungspraxis wenig bekannt | ✘ Technische Details sind geheim; über Überwachungspraxis wenig bekannt | ✘ Technische Details sind geheim; über Überwachungspraxis wenig bekannt | ✘ Technische Details sind geheim; über Überwachungspraxis wenig bekannt | ✘ Technische Details sind geheim; über Überwachungspraxis wenig bekannt |
| 2.) Ist ausgeschlossen, dass eine US-Jurisdiktion für Herausgabeverlangen nach 702 FISA oder US Cloud Act eröffnet ist? | ✘ Datenzugriff über US-Mutterkonzern | ✘ Datenzugriff unter Umgehung der Geschäftsleitung oder durch Übernahme der Geschäfts-/Geschäftsleitung möglich | ✘ Herausgabeverlangen an Niederlassung, Tochtergesellschaft oder Angestellte in den USA möglich | ✘ Zugriff über leitende Angestellte oder einzelne IT-Komponenten, die vor dem Hintergrund möglicher Herausgabeverlangen im Produkt verankert | ✔ Kein Ansatzpunkt für US-Jurisdiktion vorhanden, da keine Geschäftsbeziehungen Technologiekomponenten aus den USA |
| 3.) Lässt sich eine Herausgabepflicht durch Verschlüsselung sicher verhindern? | ✘ Entschlüsselung verschlüsselter Daten ausschließlich nur bei bilateralen Verwaltungsabkommen ausgeschlossen (str.) | ✘ Entschlüsselung verschlüsselter Daten ausschließlich nur bei bilateralen Verwaltungsabkommen ausgeschlossen (str.) | ✘ Entschlüsselung verschlüsselter Daten ausschließlich nur bei bilateralen Verwaltungsabkommen ausgeschlossen (str.) | ✘ Herausgabepflicht kann sich auch auf verschlüsselte Daten erstrecken, die unter die Kontrolle des US-Partners gelangen | ✔ Bei Open-Source-Verschlüsselungssystem und Masterkey beim Kunden lassen sich Hintertüren zuverlässig(er) ausschließen |
| 4.) Lässt sich ein Zugriff bei Verschlüsselung mit US-Verschlüsselungssoftware oder Kontrolle der Schlüssel durch den Anbieter ausschließen? | ✘ Herausgabeverlangen kann sich auch auf Masterkey beim Anbieter/ in der Cloud erstrecken | ✘ Entschlüsselung von Daten oder Weitergabe verschlüsselter Daten kann Teil der Herausgabepflicht an US-Unternehmen sein | ✘ Entschlüsselung von Daten oder Weitergabe verschlüsselter Daten kann Teil der Herausgabepflicht des Unternehmens in den USA sein | ✘ Herausgabeverlangen kann sich auf Masterkey erstrecken | ✔ Keine US-Jurisdiktion = keine Herausgabepflicht |
| 5.) Lässt sich das Risiko ausschließen, dass ein US-Gericht einen Fall von "spoliation" oder "Missachtung des Gerichts" annimmt, wenn sich der Herausgabeverpflichtete der Pflicht durch ein Aussperren aus der Cloud? | ✘ US-Gerichte könnten Umgehung der Herausgabepflicht annehmen und sanktionieren | ✘ US-Gerichte könnten Umgehung der Herausgabepflicht annehmen und sanktionieren | ✘ US-Gerichte könnten Umgehung der Herausgabepflicht annehmen und sanktionieren | ✘ US-Gerichte könnten Umgehung der Herausgabepflicht annehmen und sanktionieren | ✔ Keine US-Jurisdiktion = keine Sanktionierbarkeit |
| 6.) Lässt sich eine Einschränkung der digitalen Lieferkette / Lizenzen ausschließen, wenn US-Exportkontrolle wegen Gefährdung der nationalen Sicherheit greift? | ✘ US-Exportkontrollrecht ermöglicht Einschränkungen in Fällen nationaler Sicherheit | ✘ US-Exportkontrollrecht ermöglicht Einschränkungen in Fällen nationaler Sicherheit | ✘ US-Exportkontrollrecht ermöglicht Einschränkungen in Fällen nationaler Sicherheit | ✘ US-Exportkontrollrecht ermöglicht Einschränkungen in Fällen nationaler Sicherheit | ✔ Keine US-Jurisdiktion und keine Verwendung von US-Technologie/ Auftragsverarbeitung |
Quelle: Prof. Dr. Dennis-Kenji Kipker, Cyberintelligence Institut, Frankfurt, auf LinkedIn