datenrecht.ch

USA: FISA erneut ver­län­gert; mehr Unter­neh­men nun als “Remo­te Com­mu­ni­ca­ti­on Ser­vice Provider”

FISA, der For­eign Intel­li­gence Sur­veil­lan­ce Act, das Herz­stück der US-ame­ri­ka­ni­schen nach­rich­ten­dienst­li­chen Infor­ma­ti­ons­be­schaf­fung, wird jeweils nur befri­stet in Kraft gesetzt. Die letz­te Ver­län­ge­rung war am 22. Dezem­ber 2023 bis zum 19. April 2024 erfolgt. Stun­den nach dem Aus­lau­fen hat Prä­si­dent Biden eine wei­te­re Ver­län­ge­rung erneut für zwei Jah­re unter­zeich­net, in Form des “Reforming Intel­li­gence and Secu­ring Ame­ri­ca Act” (RISAA).

Der RISAA ver­län­gert nicht nur die Gel­tung von FISA, son­dern bringt auch eini­ge inhalt­li­che Anpas­sun­gen mit sich. Unter ande­rem wird in Sec. 25 des RISAA die Legal­de­fi­ni­ti­on des Elec­tro­nic Com­mu­ni­ca­ti­on Ser­vice Pro­vi­ders (ECSP) erwei­tert. Die mass­geb­li­che Bestim­mung lau­tet neu (Ände­run­gen fett):

(4) Elec­tro­nic com­mu­ni­ca­ti­on ser­vice pro­vi­der. – The term ‘elec­tro­nic com­mu­ni­ca­ti­on ser­vice pro­vi­der’ means–

(A) a tele­com­mu­ni­ca­ti­ons car­ri­er, as that term is defi­ned in sec­tion 3 of the Com­mu­ni­ca­ti­ons Act of 1934 (47 U.S.C. 153);

(B) a pro­vi­der of elec­tro­nic com­mu­ni­ca­ti­on ser­vice, as that term is defi­ned in sec­tion 2510 of tit­le 18, United Sta­tes Code;

(C) a pro­vi­der of a remo­te com­pu­ting ser­vice, as that term is defi­ned in sec­tion 2711 of tit­le 18, United Sta­tes Code;

(D) any other com­mu­ni­ca­ti­on ser­vice pro­vi­der who has access to wire or elec­tro­nic com­mu­ni­ca­ti­ons eit­her as such com­mu­ni­ca­ti­ons are trans­mit­ted or as such com­mu­ni­ca­ti­ons are stored; or

(E) any other ser­vice pro­vi­der who has access to equip­ment that is being or may be used to trans­mit or store wire or elec­tro­nic com­mu­ni­ca­ti­ons, but not inclu­ding any enti­ty that ser­ves pri­ma­ri­ly as–
(i) a public accom­mo­da­ti­on faci­li­ty, as that term is defi­ned in sec­tion 501(4);
(ii) a dwel­ling, as that term is defi­ned in sec­tion 802 of the Fair Housing Act (42 U.S.C. 3602);
(iii) a com­mu­ni­ty faci­li­ty, as that term is defi­ned in sec­tion 315 of the Defen­se Housing and Com­mu­ni­ty Faci­li­ties and Ser­vices Act of 1951 (42 U.S.C. 1592n); or
(iv) a food ser­vice estab­lish­ment, as that term is defi­ned in sec­tion 281 of the Agri­cul­tu­ral Mar­ke­ting Act of 1946 (7 U.S.C. 1638); or
(F) an offi­cer, employee, cus­to­di­an or agent of an enti­ty descri­bed in sub­pa­ra­graph (A), (B), (C), (D), or E.

Als ECSP gilt damit nun grund­sätz­lich auch jeder Dienst­lei­ster, der Zugriff hat auf Equip­ment, das für die Über­mitt­lung oder Spei­che­rung elek­tro­ni­scher Kom­mu­ni­ka­ti­on ver­wen­det wird oder wer­den kann.

Das ist kei­ne uner­heb­li­che Aus­wei­tung. Der Begriff des ECSP war zwar schon bis­her sehr weit gefasst – erfasst war im Grund­satz jedes Unter­neh­men, das für Drit­te Kom­mu­ni­ka­ti­ons­dien­ste erbracht hat. Neu wäre poten­ti­ell aber jeder Dienst­lei­ster erfasst, der Zugriff auf einen Ser­ver, einen Rou­ter, einen PC oder ein Tele­fon hat – also u.U. selbst ein Rei­ni­gungs­un­ter­neh­men. Es scheint, dass die US-Regie­rung damit auf ein Urteil des FISC reagiert hat, das ein Unter­neh­men – mut­mass­lich ein Daten­cen­ter – nicht als RCSP ein­ge­stuft hat­te, wie das Online-Medi­um Just Secu­ri­ty berich­tet hat.

Behörde

Gebiet

Themen

Ähnliche Beiträge

Newsletter