US CLOUD-Act versus EU DSGVO
In der Wolke ist die Freiheit nicht grenzenfrei
Am 22.03.2018 hat der US-Kongress den CLOUD Act (Clarifying Lawful Overseas Use of Data Act) als Teil des Haushaltsgesetzes (Omnibus Act) verabschiedet. Mit der Unterzeichnung des amerikanischen Präsidenten Donald Trump am 23.03.2018 trat es in Kraft. Durch den CLOUD Act dürfen US-Behörden zukünftig auch ohne Rückgriff auf internationale Rechtshilfeabkommen Zugriff auf (personenbezogene) Daten von (US-)Unternehmen erhalten, die nicht in der USA gespeichert werden.
Microsoft als "Auslöser"
Bisher war rechtlich stark umstritten, ob Anbieter von elektronischen Kommunikations- oder Cloud-Diensten den US-Behörden auch dann Zugang zu den Benutzerdaten gewähren müssen, wenn diese Daten im Ausland gespeichert sind.
Das Gesetz legt nun unter anderem fest, dass die bereits bestehende Verpflichtungen unabhängig davon erfüllt werden müssen, ob die betroffene Benutzerdaten, auf welche eine US-Behörde zugreifen will, innerhalb oder außerhalb der Vereinigten Staaten gespeichert ist.
Konkret bedeutet das, dass der Stored Communications Act auch auf im Ausland gespeicherte Daten anwendbar ist. Nach diesem bereits seit 1986 bestehenden Gesetz müssen US-Unternehmen den US-Behörden einen direkten Zugriff auf Daten aufgrund eines Rechtsaktes - zum Beispiel einer Verwaltungsanordnung - gewähren.
Aufhänger für das neue Gesetz dürfte das vielbeachtete Verfahren Microsoft v. United States vor dem U.S. Supreme Court sein. Darin ging es seit 2013 im Grundsatz um die Frage, ob Microsoft verpflichtet ist, auf Grundlage von Verwaltungs- und Justizanordnungen (in diesem Fall aufgrund eines Durchsuchungsbefehls) den US-Behörden Zugriff auch auf im Ausland (in diesem Fall Irland) gespeicherte Benutzerdaten zu gewähren. Unter Benutzerdaten versteht man in diesem Zusammenhang die vollständige Kommunikation, Aufzeichnungen oder andere Informationen. Microsoft hatte zunächst verweigert, den US-Behörden Zugang zu gewähren, und vor dem US Court of Appeals Recht bekommen.
Ein Urteil in dieser Sache wurde ursprünglich für Mitte des Jahres erwartet, ist aber mit dem CLOUD Act nun hinfällig. Kurz nach dessen Erlass haben die US-Behörden einen neuen Durchsuchungsbefehl auf Grundlage des neuen Gesetzes erlassen. Der Supreme Court stellte daraufhin am 17.04.2018 das Verfahren ein und verwies den Fall an das Gericht der Vorinstanz mit der Empfehlung zurück, das Verfahren dort ebenfalls einzustellen. Durch den neuen CLOUD Act hat sich die Hauptstreitfrage nach Ansicht des obersten US-Gerichts erledigt.
Umfassende Zugriffsrechte - geringe Kontrollmöglichkeiten
Das neue Gesetz soll grenzüberschreitende behördliche Ermittlungen vereinfachen, da die weltweit sehr unterschiedlichen und teilweise auch widersprüchlichen Regelungen zur Datenweitergabe im Rahmen von Ermittlungen die Tätigkeit der US-Behörden behindert haben sollen. Gleichzeitig sollen aber auch Rechtsstaat und Bürgerrechten gewährleistet werden.
Rechtliche Mittel gegen ein Vorgehen nach dem CLOUD Act haben US-fremde Personen jedoch kaum. Nur wenn das betreffende Land seinerseits ein Privatsphäre- und Datenaustauschabkommen mit den USA vereinbart hat, bestehen Zugriffsbeschränkungen und Kontrollmöglichkeiten. US-fremde Personen müssen sich also - solange ihre Heimatstaaten keine solchen Abkommen mit den USA abgeschlossen haben - darauf verlassen, dass der jeweilige Anbieter sich gegen den Rechtsakt der US-Behörde zur Wehr setzt und die Herausgabe der Daten beziehungsweise den Zugriff verweigert.
Microsoft deutete bereits an, dass man sich weiterhin gegen die entsprechenden Durchsuchungsbefehle der US-Behörden wehren wolle. Da diese Durchsuchungsbefehle aber oft mit einer Verschwiegenheitsverpflichtung - einem so genannten "gag order" - einhergehen, ist zumindest zweifelhaft, wie werthaltig diese Absichtsbekundung des Softwareunternehmens in der Praxis sind.
Unabhängig davon, ob der Betroffene selbst oder der US-Anbieter gegen den Rechtsakt einer US-Behörde vorgeht, soll sich das Vorgehen an den vorhandenen amerikanischen Rechtsinstrumenten orientieren. Diese sind jedoch - im Vergleich zur DSGVO, die vorrangig den Schutz personenbezogener Daten im Blick hat - eher auf die Unterstützung von Ermittlungstätigkeiten gerichtet. So erfolgt vor der Datenübermittlung eine "comity analysis" genannte Interessenabwägung. Nur wenn diese klar dazu führt, dass eine Datenübermittlung unbillig erscheint, schreitet das Gericht ein. Gesichtspunkte für die Abwägung sind unter anderem
das Ermittlungsinteresse der US-Behörde,
die Interessen ausländischer Staaten sowie
die Wahrscheinlichkeit und das Maß der Strafen im Ausland.
Kollision mit der DSGVO?
Abgesehen von den völkerrechtlichen Fragestellungen - darf ein Staat sich ohne Weiteres das Zugriffsrecht auf in anderen Staaten gespeicherte Daten einräumen und dadurch bestehende Rechtshilfeabkommen umgehen? - ist der CLOUD Act jedoch insbesondere vor dem Hintergrund der ab dem 25.05.2018 geltenden EU-DSGVO von Relevanz. Hier stellt sich die Frage, ob die direkte Datenübermittlung eines Unternehmens an eine US-Behörde nach der DSGVO überhaupt zulässig ist.
Entscheidend für die Zusammenarbeit mit Drittländern ist Art. 48 DSGVO. Danach dürfen Entscheidungen der Verwaltungsbehörde eines Drittlandes, mit denen von einem Verantwortlichen oder einem Auftragsverarbeiter die Übermittlung oder Offenlegung personenbezogener Daten verlangt wird, nur dann anerkannt oder vollstreckt werden, wenn sie auf eine internationale Übereinkunft gestützt sind. Beispiel dafür wäre etwa ein Rechtshilfeabkommen zwischen dem ersuchenden Drittland und der Union oder einem Mitgliedstaat.
Es erscheint sehr fraglich, ob der Direktzugriff noch als von (bestehenden) Rechtshilfeabkommen gedeckt angesehen werden kann. Alleine der Verstoß gegen den klaren Wortlaut der DSGVO dürfte schon für die Unzulässigkeit der Datenübermittlungen an die US-Behörden sprechen. Unterstützt wird dies durch Erwägungsgrund 115 zur DSGVO, der ein Unterlaufen des Schutzniveaus der DSGVO durch Rechtsakte von Drittländern (wie etwa dem CLOUD Act) gerade verhindern soll. Danach seien nur Datenübermittlungen zulässig, welche die Bedingungen der DSGVO für einen Drittlandtransfer einhalten. Eine Datenübermittlung wäre dann unzulässig.
Daraus folgt, dass Unternehmen, die (personenbezogene) Daten aus der EU direkt an US-Behörden übermitteln, einen Verstoß gegen Art. 48 DSGVO begehen könnten, der nach Art. 83 Abs. 5 lit. d) DSGVO bußgeldbewährt wäre. Im Ernstfall würden einem Unternehmen Bußgelder in Höhe von bis zu 20 Millionen Euro oder bis zu 4 Prozent des gesamten weltweiten Vorjahresumsatzes drohen, je nachdem, was höher ist.
Ausweg Datentreuhand?
Einen möglichen Ausweg zeigt Microsoft selbst mit seinem Programm "Office 365 Deutschland" auf. Hierbei betreibt T-Systems als Dienstleister für die Office-Anwendungen von Microsoft den Cloud-Dienst zum Abspeichern von Daten. Als so genannter "Datentreuhänder" hat grundsätzlich nur T-Systems Zugriff auf die Daten, welche zudem in Deutschland gespeichert sind. Microsoft erhält ausschließlich im Rahmen der Treuhandvereinbarung für Zwecke der Wartung und des Supports Zugriff auf die Daten, für andere Zwecke jedoch nicht.
Dies könnte einen Ausweg darstellen, um den direkten Datenzugriff der US-Behörden bereits im Vorhinein zu unterbinden. Denn das amerikanische Recht geht für einen Zugriff davon aus, dass die Daten im Besitz oder unter Kontrolle des jeweiligen Anbieters sein müssen. Das ist beim Modell der Datentreuhand jedoch gerade nicht der Fall. Ob die US-Behörden dies auch so sehen, muss sich in der Praxis aber erst noch zeigen.
- Ein Gesetz für alle
EU-weit gelten die gleichen Datenschutzregeln. Das bedeutet auch eine gestiegene Verantwortung und Haftung für alle, die persönliche Daten verarbeiten. - "Recht auf Vergessen"
Wollen Nutzer ihre Daten nicht weiter verarbeitet sehen, werden diese gelöscht - vorausgesetzt, es spricht aus juristischer Sicht nichts dagegen. - "Opt-in" statt "Opt-out"
Sollen persönliche Daten verabeitet werden, müssen Nutzer aktiv zustimmen (und nicht aktiv widersprechen wie bisher). - Recht auf Transparenz
Nutzer haben ein Recht auf Transparenz - sie dürfen erfahren, welche Daten über sie gesammelt und wie diese verarbeitet werden. - Zugang und Portabilität
Der Zugang zu den bei Dritten über einen selbst gespeicherten Daten soll einfacher möglich sein. Zudem ist die Dartenportabilität zu gewährleisten - also sicherzustellen, dass persönliche Informationen leichter von einem Dienstanbieter zu einem anderen übertragen werden können. - Schnellere Meldung
Tritt ein Datenverlust auf, müssen Unternehmen und Organisationen im Regelfall binnen 24 Stunden, mindestens aber so schnell wie möglich ihrer behördlichen Meldepflicht nachkommen. - Weniger Behördenchaos
Unternehmen müssen sich nur noch mit einer einzigen Aufsichtsbehörde auseinandersetzen - und zwar dort, wo sie ihren Hauptsitz haben. - Grenzübergreifend
Privatanwender dürfen jeden Fall von Datenmissbrauch an ihre nationale Aufsichtsbehörde melden - selbst dann, wenn die betroffenen Daten im Ausland verarbeitet wurden. - Erweiterter Geltungsbereich
Die EU-Richtlinie gilt auch für Unternehmen, die keinen Sitz in der EU haben, sobald sie Waren oder Dienstleistungen in der EU anbieten oder auch nur Online-Marktforschung unter EU-Bürgern betreiben. - Höhere Bußgelder
Verstößt ein Unternehmen gegen die Datenschutzbestimmungen, droht ein Bußgeld in Höhe von bis zu vier Prozent des Jahresumsatzes. - Bürokratieabbau
Administrative Umstände wie Meldepflichten für Unternehmen, die persönliche Daten verarbeiten, entfallen. - Erst ab 16
Die rechtswirksame Anmeldung bei Internetnetservices wie Facebook oder Instagr.am soll Jugendlichen im Regelfall erst ab 16 Jahren möglich sein - weil sie erst ab diesem Lebensalter eine gültige Einwilligung in die Verarbeitung ihrer persönlichen Daten geben können. Nationale Gesetze sollen laut Datenschutzverordnung hier aber Ausnahmen möglich machen. - Stärkung der nationalen Aufsichtsbehörden
Nationale Datenschutzbehörden werden in ihren Kompetenzen gestärkt, so dass sie die neuen EU-Regeln besser umsetzen können. Unter anderem dürfen sie einzelnen Unternehmen verbieten, Daten zu verarbeiten. können bestimmte Datenflüsse stoppen und Bußgelder gegen Unternehmen verhängen, die bis zu zwei Prozent der jeweiligen weltweiten Jahreseinkünfte betragen. Darüber hinaus dürfen sie Gerichtsverfahren in Datenschutzfragen anstrengen. <br /><br />(Quelle: Forrester Research)
Nächste Baustelle im Bereich Drittlandtransfer
Die von großen Internet-Unternehmen wie Google, Apple und Co. gelobte Rechtssicherheit herrscht somit nur auf amerikanischer Seite. Auf der europäischen Seite wäre mit Blick auf die Bußgeld- und Verfahrensrisiken hingegen eine baldige, klare Positionierung der Behörden wünschenswert.
Allerdings ist noch unklar, wann eine Reaktion der europäischen Datenschutzinstitutionen, zum Beispiel in Form von Handlungsempfehlungen durch die Artikel 29-Datenschutzgruppe, erfolgt. Diese dürfte derzeit unter anderem mit den möglichen Folgen des Brexit für den Datenschutz zu tun haben.
Andererseits plant die EU zurzeit ein zum CLOUD Act vergleichbares EU-Gesetz, mit dem Justizbehörden erleichterten (Direkt-)Zugriff zu "elektronischen Beweismitteln" erhalten könnten.
Vorerst sind Unternehmen mit Bezug zur USA - sei es durch Mutter-/Tochtergesellschaften oder Dienstleister - daher gut beraten, die Vorgaben der DSGVO rechtzeitig umzusetzen und die weiteren Entwicklungen hinsichtlich des Drittlandtransfers auf beiden Seiten des Atlantiks genauestens zu beobachten.