FISA, der Foreign Intelligence Surveillance Act, das Herzstück der US-amerikanischen nachrichtendienstlichen Informationsbeschaffung, wird jeweils nur befristet in Kraft gesetzt. Die letzte Verlängerung war am 22. Dezember 2023 bis zum 19. April 2024 erfolgt. Stunden nach dem Auslaufen hat Präsident Biden eine weitere Verlängerung erneut für zwei Jahre unterzeichnet, in Form des “Reforming Intelligence and Securing America Act” (RISAA).
Der RISAA verlängert nicht nur die Geltung von FISA, sondern bringt auch einige inhaltliche Anpassungen mit sich. Unter anderem wird in Sec. 25 des RISAA die Legaldefinition des Electronic Communication Service Providers (ECSP) erweitert. Die massgebliche Bestimmung lautet neu (Änderungen fett):
(4) Electronic communication service provider. – The term ‘electronic communication service provider’ means–
(A) a telecommunications carrier, as that term is defined in section 3 of the Communications Act of 1934 (47 U.S.C. 153);
(B) a provider of electronic communication service, as that term is defined in section 2510 of title 18, United States Code;
(C) a provider of a remote computing service, as that term is defined in section 2711 of title 18, United States Code;
(D) any other communication service provider who has access to wire or electronic communications either as such communications are transmitted or as such communications are stored; or
(E) any other service provider who has access to equipment that is being or may be used to transmit or store wire or electronic communications, but not including any entity that serves primarily as–
(i) a public accommodation facility, as that term is defined in section 501(4);
(ii) a dwelling, as that term is defined in section 802 of the Fair Housing Act (42 U.S.C. 3602);
(iii) a community facility, as that term is defined in section 315 of the Defense Housing and Community Facilities and Services Act of 1951 (42 U.S.C. 1592n); or
(iv) a food service establishment, as that term is defined in section 281 of the Agricultural Marketing Act of 1946 (7 U.S.C. 1638); or
(F) an officer, employee, custodian or agent of an entity described in subparagraph (A), (B), (C), (D), or E.
Als ECSP gilt damit nun grundsätzlich auch jeder Dienstleister, der Zugriff hat auf Equipment, das für die Übermittlung oder Speicherung elektronischer Kommunikation verwendet wird oder werden kann.
Das ist keine unerhebliche Ausweitung. Der Begriff des ECSP war zwar schon bisher sehr weit gefasst – erfasst war im Grundsatz jedes Unternehmen, das für Dritte Kommunikationsdienste erbracht hat. Neu wäre potentiell aber jeder Dienstleister erfasst, der Zugriff auf einen Server, einen Router, einen PC oder ein Telefon hat – also u.U. selbst ein Reinigungsunternehmen. Es scheint, dass die US-Regierung damit auf ein Urteil des FISC reagiert hat, das ein Unternehmen – mutmasslich ein Datencenter – nicht als RCSP eingestuft hatte, wie das Online-Medium Just Security berichtet hat.