FISA Section 702: Das unsichtbare Netz der US-Massenüberwachung

In einem unserer Artikel haben wir euch den CLOUD Act erklärt – das US-Gesetz, das amerikanischen Behörden Zugriff auf Daten bei US-Unternehmen gewährt, egal wo die Server stehen. Doch der CLOUD Act ist nur die Spitze des Eisbergs. Unter ihm liegt ein weitaus mächtigeres Instrument: Section 702 des Foreign Intelligence Surveillance Act (FISA). Während der CLOUD Act ein Werkzeug der Strafverfolgung ist, das zumindest einen Gerichtsbeschluss erfordert, erlaubt Section 702 den US-Geheimdiensten eine anlasslose Massenüberwachung – ohne individuellen Richterbeschluss, ohne Benachrichtigung der Betroffenen, und mit einer erschreckend breiten Definition dessen, was als „ausländische Geheimdienstinformation" gilt.

Was ist FISA Section 702

Section 702 wurde 2008 als Teil des FISA Amendments Act verabschiedet – in der politischen Atmosphäre nach den Anschlägen vom 11. September 2001. Der offizielle Zweck: Die gezielte Überwachung von Nicht-US-Bürgern außerhalb der USA, um Informationen über Terrorismus, Spionage und die Verbreitung von Massenvernichtungswaffen zu sammeln.

Klingt erst einmal spezifisch und kontrolliert. Doch die Realität sieht völlig anders aus.

Section 702 erlaubt es dem US-Justizminister und dem Direktor der Nationalen Nachrichtendienste, gemeinsam breite Überwachungsprogramme zu genehmigen. Das geheime FISA-Gericht (Foreign Intelligence Surveillance Court, kurz FISC) prüft diese Programme nur auf einer übergeordneten, programmatischen Ebene – es genehmigt keine einzelnen Überwachungsziele. Sobald ein Programm genehmigt ist, können NSA, FBI und CIA eigenständig entscheiden, wen sie ins Visier nehmen. Einzige Bedingung: Das Ziel muss ein Nicht-US-Bürger sein, der sich vermutlich außerhalb der USA aufhält.

Das klingt nach einer Einschränkung. Aber genau hier beginnt das Problem für uns als Europäer.

PRISM und Upstream: Die zwei Säulen der Überwachung

Edward Snowden enthüllte 2013, was viele bereits ahnten: Unter Section 702 betreibt die NSA zwei massive Überwachungsprogramme.

PRISM (heute „Downstream Collection") ist das bekanntere der beiden Programme. Das FBI – als Vermittler zwischen NSA und Privatunternehmen – schickt sogenannte „Selektoren" (E-Mail-Adressen, Telefonnummern, andere Identifikatoren) an US-Technologieunternehmen und verpflichtet diese, alle Kommunikationen herauszugeben, die mit diesen Selektoren in Verbindung stehen. Betroffen sind Unternehmen wie Microsoft, Google, Apple, Meta (Facebook), Yahoo und YouTube. Laut dem FISC war PRISM im Jahr 2011 für rund 91 Prozent der etwa 250 Millionen Internetkommunikationen verantwortlich, die jährlich unter Section 702 erfasst werden.

Lest das nochmal: 250 Millionen Kommunikationen pro Jahr. Allein durch PRISM.

Upstream Collection geht noch einen Schritt weiter. Hier greift die NSA Kommunikationen direkt an der Internet-Backbone-Infrastruktur ab – also an den Glasfaserkabeln und Knotenpunkten, durch die der globale Datenverkehr fließt. Da etwa 80 Prozent des weltweiten Internetverkehrs irgendwann durch US-Infrastruktur geleitet wird, ist die Reichweite dieses Programms enorm. Wenn ihr eine E-Mail an einen Geschäftspartner in Brasilien schickt und diese über einen US-Server geroutet wird, kann die NSA sie abfangen.

Besonders brisant war die sogenannte „Abouts"-Erfassung: Dabei wurden nicht nur Kommunikationen erfasst, die an oder von einem Überwachungsziel gingen, sondern auch solche, die ein Überwachungsziel lediglich erwähnten. Die NSA hat diese Praxis 2017 offiziell eingestellt – aber der RISAA von 2024 hat die Tür für eine Wiedereinführung unter bestimmten Bedingungen offen gelassen.

Die „Nebenbei"-Erfassung: Warum Europäer keine Nebensache sind

Die US-Regierung betont gebetsmühlenartig, dass Section 702 nur auf Ausländer außerhalb der USA abzielt. Was sie weniger gern erwähnt: Bei der Überwachung dieser Ziele werden zwangsläufig auch die Kommunikationen all jener erfasst, die mit diesen Zielen in Kontakt stehen – darunter Millionen von US-Bürgern und Europäern.

Diese sogenannte „Incidental Collection" (nebenbei erfolgende Erfassung) ist alles andere als nebensächlich. Wenn ein europäischer Geschäftsmann mit einem ausländischen Partner kommuniziert, der zufällig auf einer Überwachungsliste steht, landen seine E-Mails, Nachrichten und Anrufe in den Datenbanken der US-Geheimdienste. Und selbst wenn keine direkte Verbindung zu einem Überwachungsziel besteht: Durch die Upstream-Erfassung an der Internet-Backbone werden Kommunikationen quasi im Vorbeigehen mitgelesen.

Für Nicht-US-Bürger gibt es dabei praktisch keinen Schutz. Section 702 gewährt keinerlei Rechte auf Information, Widerspruch oder gerichtliche Überprüfung für ausländische Staatsangehörige. Ihr wisst nicht, ob eure Daten erfasst wurden. Ihr könnt nicht dagegen klagen. Ihr werdet nie informiert.

Backdoor Searches: Wenn das FBI die eigenen Bürger ausspioniert

Doch es kommt noch schlimmer. Die unter Section 702 gesammelten Daten werden in riesigen Datenbanken gespeichert. Und hier beginnt ein Missbrauch, der selbst die Verfechter des Gesetzes in Erklärungsnot bringt.

Das FBI kann diese Datenbanken jederzeit mit den Namen, E-Mail-Adressen oder Telefonnummern von US-Bürgern durchsuchen – die sogenannten „Backdoor Searches" oder „U.S. Person Queries". Kein Durchsuchungsbefehl nötig. Kein Richter. Kein begründeter Verdacht. Einfach den Namen eintippen und die intimsten Kommunikationen lesen.

Die Zahlen sind erschütternd:

• 2021: Das FBI führte bis zu 3,4 Millionen solcher Durchsuchungen durch – in einem einzigen Jahr.
• 2024: Die offiziell gemeldete Zahl sank auf 5.518. Doch das FISA-Gericht stellte fest, dass FBI-Mitarbeiter eine „erweiterte Filterfunktion" nutzten, die zusätzliche, nicht protokollierte Durchsuchungen durchführte. Die tatsächliche Zahl bleibt unbekannt.

Unter den Betroffenen dieser Durchsuchungen befanden sich nachweislich: Teilnehmer von Black-Lives-Matter-Protesten, Verdächtige des 6. Januar 2021, Journalisten, Mitglieder des US-Kongresses, ein US-Senator, ein Staatssenator, ein Staatsrichter, politische Kommentatoren und 19.000 Spender einer einzigen Kongresskampagne.

Das Privacy and Civil Liberties Oversight Board (PCLOB) – die eigentlich zuständige Aufsichtsbehörde – stellte fest, dass es kaum Belege für den Nutzen dieser massenhaften Backdoor-Durchsuchungen gibt. In den wenigen dokumentierten Fällen, in denen sie tatsächlich hilfreich waren, hätte das FBI auch einen regulären Durchsuchungsbefehl erwirken oder sich auf bestehende Ausnahmen berufen können.

Das historische Urteil von 2024: Verfassungswidrig

Im Dezember 2024 fällte Richterin LaShann DeArcy Hall am U.S. District Court für den Eastern District of New York ein wegweisendes Urteil im Fall United States v. Hasbajrami: Die Backdoor-Durchsuchungen von Section-702-Daten verstoßen gegen den vierten Zusatzartikel der US-Verfassung und erfordern grundsätzlich einen richterlichen Durchsuchungsbefehl.

Es war das erste Mal überhaupt, dass ein Gericht diese Praxis für verfassungswidrig erklärte. Der Fall betraf einen US-Einwohner, der 2011 am New Yorker JFK-Flughafen verhaftet wurde. Erst nach seiner ursprünglichen Verurteilung offenbarte die Regierung, dass Teile der Beweismittel aus ohne Durchsuchungsbefehl durchgeführten Section-702-Abfragen stammten.

Die Regierung hat Berufung eingelegt. Aber das Urteil sendet ein klares Signal – auch für die anstehende Debatte um die Verlängerung von Section 702.

RISAA 2024: Mehr Überwachung statt Reform

Statt die dokumentierten Missbräuche einzudämmen, hat der US-Kongress im April 2024 mit dem Reforming Intelligence and Securing America Act (RISAA) Section 702 nicht nur verlängert, sondern ausgeweitet:

Erweiterte Definition von „Electronic Communication Service Provider": Jeder Dienstleister, der Zugang zu Geräten hat, die elektronische Kommunikationen übertragen oder speichern könnten, kann nun zur Kooperation gezwungen werden. Das betrifft potenziell nicht mehr nur klassische Telekommunikationsunternehmen und Internetanbieter, sondern auch Rechenzentren, Cloud-Dienste, Managed-Security-Anbieter – und theoretisch sogar Vermieter oder Wartungspersonal mit Zugang zu Netzwerkinfrastruktur. Senator Ron Wyden nannte dies „eine der dramatischsten und erschreckendsten Erweiterungen der staatlichen Überwachungsbefugnisse in der Geschichte."

Neue Überwachungszwecke: Die Definition von „Foreign Intelligence Information" wurde erweitert, um die internationale Produktion, Verteilung und Finanzierung illegaler Drogen einzuschließen – ein gewaltiger Schritt weg von der ursprünglichen Antiterrorismus-Begründung.

Immigrations-Screening: Section-702-Daten dürfen nun zur Überprüfung von Einwanderern und Asylsuchenden verwendet werden.

Was der RISAA nicht enthält: eine Pflicht zum richterlichen Durchsuchungsbefehl für Backdoor Searches. Ein entsprechender Änderungsantrag scheiterte im Repräsentantenhaus mit einem Gleichstand von 212 zu 212 Stimmen.

Die einzige gute Nachricht: Der RISAA verlängerte Section 702 nur um zwei Jahre. Am 20. April 2026 läuft das Gesetz aus. Es sei denn, der Kongress verlängert es erneut.

FISA Section 702 und die DSGVO: Ein unlösbarer Konflikt

Hier schließt sich der Kreis zu unserem CLOUD-Act-Artikel. Denn während der CLOUD Act es US-Behörden ermöglicht, gezielt Daten von US-Unternehmen anzufordern, geht Section 702 noch viel weiter: Es erlaubt die massenhafte, programmatische Erfassung von Kommunikationsdaten – ohne dass einzelne Ziele gerichtlich genehmigt werden müssen.

Der Europäische Gerichtshof (EuGH) hat in seinem Schrems-II-Urteil vom Juli 2020 unmissverständlich festgestellt, dass Section 702 nicht mit den Grundrechten der EU vereinbar ist. Der Gerichtshof stellte insbesondere fest, dass Section 702 „keinerlei Beschränkungen der damit übertragenen Überwachungsbefugnisse oder Garantien für Nicht-US-Bürger" enthält, die potenziell betroffen sind. Auch das Presidential Policy Directive 28 (PPD-28), das gewisse Einschränkungen für die Überwachung von Nicht-US-Bürgern vorschreibt, wurde vom EuGH als unzureichend bewertet.

Das hat direkte Konsequenzen für europäische Unternehmen. Wenn ihr personenbezogene Daten eurer Kunden, Mitarbeiter oder Geschäftspartner über US-Dienste verarbeitet – sei es Microsoft 365, Google Workspace, AWS oder Salesforce –, dann sind diese Daten potenziell der Überwachung durch Section 702 ausgesetzt. Und das steht in direktem Widerspruch zur DSGVO, die einen „gleichwertigen Schutz" bei Datentransfers in Drittländer verlangt.

Das Trans-Atlantic Data Privacy Framework (TADPF), das Nachfolgeabkommen des gescheiterten Privacy Shield, steht bereits vor dem nächsten juristischen Angriff durch Max Schrems und noyb. Der Datenschutzaktivist hat darauf hingewiesen, dass die tatsächlichen Überwachungsgesetze der USA – allen voran Section 702 – sich durch das Framework nicht geändert haben. Seine Einschätzung: Das TADPF wird denselben Weg gehen wie Safe Harbor und Privacy Shield.

CLOUD Act + Section 702: Die doppelte Bedrohung

Um die Tragweite zu verstehen, müsst ihr den CLOUD Act und Section 702 zusammen betrachten:

	CLOUD Act	FISA Section 702
Zweck	Strafverfolgung	Geheimdienstliche Überwachung
Rechtsgrundlage	Gerichtsbeschluss erforderlich	Programmatische Genehmigung durch FISC
Ziel	Konkrete Ermittlungen	Massenhafte Datenerfassung
Betrifft	US-Unternehmen weltweit	Jeden, der über US-Infrastruktur kommuniziert
Transparenz	Minimal (Gag Orders möglich)	Praktisch keine
Rechtsschutz für EU-Bürger	Kaum vorhanden	Nicht existent

Zusammen bilden diese beiden Gesetze ein lückenloses System: Der CLOUD Act gewährt den Zugriff auf gespeicherte Daten bei US-Unternehmen. Section 702 erlaubt das massenhafte Abfangen von Kommunikationen in Echtzeit. Egal ob eure Daten auf einem Microsoft-Server in Frankfurt liegen oder eure E-Mail über ein US-Backbone geroutet wird – die US-Regierung hat einen Weg, darauf zuzugreifen.

Die Aufsicht bröckelt

Selbst die ohnehin schwachen Kontrollmechanismen werden zunehmend ausgehöhlt. Das Privacy and Civil Liberties Oversight Board (PCLOB), das als zentrale Aufsichtsinstanz die Einhaltung der Bürgerrechte bei Überwachungsprogrammen überprüfen soll, wurde Anfang 2025 faktisch handlungsunfähig gemacht. Die demokratischen Mitglieder wurden entlassen, das Gremium besteht nun aus einem einzigen Teilzeit-Mitglied. Gleichzeitig wurde das Office of Internal Auditing des FBI – im Jahr 2020 eigens geschaffen, um Missbrauch zu verhindern – aufgelöst.

Das bedeutet: Die Mechanismen, die Missbrauch verhindern sollen, werden gerade systematisch abgebaut – während die Überwachungsbefugnisse gleichzeitig ausgeweitet werden.

Was ihr tun könnt: Praktische Schritte

Angesichts dieser Situation gibt es für europäische Privatpersonen und Unternehmen nur eine logische Konsequenz: Reduziert eure Abhängigkeit von US-Infrastruktur und US-Software.

Für eure Kommunikation: Signal oder andere Ende-zu-Ende-verschlüsselte Messenger sind unverzichtbar. Beachtet jedoch: Der EuGH hat angemerkt, dass US-Behörden unter Section 702 theoretisch auch kryptographische Schlüssel von US-Unternehmen anfordern könnten. Deshalb sind europäische Alternativen wie Threema oder Matrix/Element vorzuziehen.

Für eure Daten: Self-Hosting mit europäischer Software – etwa Nextcloud auf europäischen Servern – entzieht eure Daten vollständig der US-Jurisdiktion. Wie wir in unserem CLOUD-Act-Artikel erklärt haben: Entscheidend ist nicht, wo die Daten liegen, sondern wer sie kontrolliert. Eine selbst gehostete Lösung bei einem europäischen Anbieter ist der sicherste Weg.

Für eure E-Mails: Europäische E-Mail-Anbieter wie Tuta (ehemals Tutanota) oder Proton Mail unterliegen nicht der US-Jurisdiktion und bieten Ende-zu-Ende-Verschlüsselung.

Für euer Unternehmen: Führt eine Datentransfer-Folgenabschätzung (Transfer Impact Assessment) durch. Prüft, welche eurer Dienste US-Unternehmen sind oder Daten über US-Infrastruktur routen. Und dokumentiert diese Risiken – nicht nur für die DSGVO-Compliance, sondern für das Vertrauen eurer Kunden.

Fazit: Die Uhr tickt

Section 702 läuft am 20. April 2026 aus. Die nächsten Monate werden zeigen, ob der US-Kongress endlich grundlegende Reformen verabschiedet – etwa eine Pflicht zum richterlichen Durchsuchungsbefehl für den Zugriff auf Kommunikationen von US-Bürgern – oder ob das Gesetz erneut verlängert oder sogar ausgeweitet wird.

Aber selbst wenn Section 702 reformiert würde: Für europäische Bürger ändert sich wenig. Die Debatte in Washington dreht sich ausschließlich um die Rechte von US-Bürgern. Nicht-US-Bürger haben unter Section 702 keinerlei Schutz – und daran wird sich auch durch Reformen nichts ändern.

Die einzige Lösung für Europäer liegt nicht in Washington. Sie liegt in unseren eigenen Händen: in der konsequenten Nutzung eigener Infrastruktur, selbst gehosteter OpenSource Software und europäischer Dienste die sich dem Datenschutz gewidmet haben. Digitale Souveränität ist kein Luxus – sie ist die logische Antwort auf ein Überwachungssystem, das uns als Europäer ganz bewusst ohne jeden Rechtsschutz lässt.

---

Quellen und weiterführende Links

1. Brennan Center for Justice: „Section 702 of the Foreign Intelligence Surveillance Act (FISA): A Resource Page" – https://www.brennancenter.org/our-work/research-reports/section-702-foreign-intelligence-surveillance-act-fisa-resource-page
2. Electronic Frontier Foundation (EFF): „Upstream vs. PRISM" – https://www.eff.org/pages/upstream-prism
3. Congressional Research Service: „FISA Section 702 and the 2024 Reforming Intelligence and Securing America Act" – https://www.congress.gov/crs-product/R48592
4. EFF: „U.S. Senate and Biden Administration Shamefully Renew and Expand FISA Section 702" – https://www.eff.org/deeplinks/2024/04/us-senate-and-biden-administration-shamefully-renew-and-expand-fisa-section-702-0
5. Center for Democracy and Technology (CDT): „Four Reasons FISA 702 Still Needs a Warrant Rule for US Person Queries" – https://cdt.org/insights/four-reasons-fisa-702-still-needs-a-warrant-rule-for-us-person-queries/
6. Just Security: „Court Says Warrant Needed for U.S. Person Queries of FISA Section 702 Data" – https://www.justsecurity.org/106895/warrant-needed-fisa-section-702/
7. Electronic Privacy Information Center (EPIC): „Reforming 702: End Warrantless Backdoor Searches" – https://epic.org/reforming-702-end-warrantless-backdoor-searches/
8. Norton Rose Fulbright: „Schrems II landmark ruling: A detailed analysis" – https://www.nortonrosefulbright.com/en-us/knowledge/publications/ad5f304c/schrems-ii-landmark-ruling-a-detailed-analysis
9. EPIC v. DOJ – PRISM: Hintergründe zum PRISM-Programm – https://epic.org/documents/epic-v-doj-prism/
10. Cybersecurity Magazine: „FISA – A Catalyst for Europe's Cybersecurity Sovereignty" – https://cybersecurity-magazine.com/fisa-a-catalyst-for-europes-cybersecurity-sovereignty/
11. Federalist Society: „Reforming Section 702: Should the FBI Require a Warrant?" – https://fedsoc.org/briefcase/reforming-section-702-should-the-fbi-require-a-warrant-to-search-its-database-for-the-communications-of-us-persons
12. Information Technology Industry Council (ITI): „Expansion of FISA Electronic Communications Service Provider Definition Must Be Removed" – https://www.itic.org/news-events/techwonk-blog/expansion-of-fisa-electronic-communications-service-provider-definition-must-be-removed
13. Fieldfisher: „US surveillance: s702 FISA, EO 12333, PRISM and UPSTREAM" – https://www.fieldfisher.com/en/insights/us-surveillance-s702-fisa-eo-12333-prism-and-ups
14. State of Surveillance: „Section 702: The Law That Lets Feds Search Your Messages Without a Warrant" – https://stateofsurveillance.org/articles/government/section-702-fisa-warrantless-surveillance/