Die in der Vergangenheit viel diskutierten Übermittlungen personenbezogener Daten zwischen Unternehmen mit Sitz in den USA und der EU könnten vor neue Herausforderungen gestellt werden. Am 23. März 2018 unterzeichnete der Präsident der USA den sog. Clarifying Lawful Overseas Use of Data Act – kurz CLOUD Act. Das Gesetz soll den Zugriff amerikanischer Sicherheitsbehörden auf nicht in den USA gespeicherte Daten ermöglichen. Aufforderungen zur Datenübermittlung nach diesen Vorschriften können Diensteanbieter in der EU in einen erheblichen Konflikt zu Verpflichtungen nach der am 25. Mai 2018 in Kraft tretenden EU Datenschutz-Grundverordnung (DSGVO) bringen.
Der CLOUD Act im Überblick
Hintergrund:
Anlass der Gesetzesänderung in den USA war ein Rechtsstreit zwischen dem US-Justizministerium und Microsoft über die Verpflichtung, Kommunikationsdaten, die Microsoft auf Servern in Irland gespeichert hat, an die Ermittlungsbehörden herauszugeben. Der US-Supreme Court hatte das Verfahren zunächst zur Entscheidung angenommen. Nachdem der CLOUD Act nun in Kraft getreten ist, hat die Regierung unter den neuen Vorschriften einen weiteren Herausgabebeschluss gegen Microsoft erwirkt, woraufhin das Gericht das Verfahren mit
Entscheidung vom 17. April 2018
- eingestellt hat. Der Rechtsstreit sei angesichts der neu geschaffenen Rechtsgrundlage und dem auf dieser Grundlage erlassenen neuen Herausgabeschlusses des US-Justizministeriums nunmehr hinfällig geworden. Die vorinstanzlichen Entscheidungen wurden aufgehoben und Microsoft ist nun zur Übermittlung der entsprechenden Daten verpflichtet.
Adressaten:
- Betroffen vom CLOUD Act sind Anbieter elektronischer Kommunikationsdienste (wie E-Mail, Social Media) sowie sogenannter „remote computing“-Angebote, was insbesondere Cloud-Anbieter erfasst.
Betroffene Daten:
- Erfasst sind sämtliche Kommunikationsdaten unabhängig davon, ob sie innerhalb oder außerhalb der USA gespeichert sind.
Gerichtliche Überprüfung:
- Der CLOUD Act sieht nur eine begrenzte gerichtliche Überprüfung vor in Fällen, in denen der von der Anfrage Betroffene ein Bürger eines Staates ist, mit dem die USA ein sogenanntes „executive agreement“ geschlossen haben.
Konflikt zwischen CLOUD Act und der DSGVO
Die DSGVO enthält ein gesamtes Kapitel zur Datenübermittlung in sog. Drittländer, d.h. Staaten außerhalb der EU, die über kein der EU entsprechendes und damit „angemessenes“ Datenschutzrecht verfügen. Zweck der Regelungen ist es, sicherzustellen, dass das durch die DSGVO „gewährleistete Schutzniveau für natürliche Personen nicht untergraben wird“. Daher setzt Art. 48 DSGVO für die Vollstreckung behördlicher Entscheidungen aus Drittländern das Bestehen einer internationalen Übereinkunft voraus, meist durch Abschluss bilateraler Rechtshilfeverträge.
Die Aufforderung zur Datenübermittlung nach dem CLOUD Act könnte die betroffenen Unternehmen zum Verstoß gegen die Regelungen der DSGVO zwingen. Unabhängig davon, ob ein möglicherweise noch abzuschließendes „executive agreement“ zwischen der EU und den USA eine Übereinkunft i.S.d. Art. 48 DSGVO darstellen würde, erfüllt es wohl nicht die weiteren Voraussetzungen der DSGVO an die grenzüberscheitende Datenübermittlung. Kommt ein Unternehmen der Aufforderung dennoch nach, droht nach der DSGVO ein Bußgeld von bis zu EUR 20.000.000,00.
Eigener Regelungsvorschlag der EU-Kommission
Die Frage des Zugriffs auf Daten seitens ausländischer Ermittlungsbehörden beschäftigt die EU schon seit geraumer Zeit. Die EU-Kommission hat nur drei Wochen nach Verabschiedung des CLOUD Acts mit einem eigenen
Regelungsvorschlag
reagiert. Sofern in Bezug auf den grenzüberschreitenden Zugriff auf elektronische Beweismittel auf ein abgestimmtes Vorgehen zwischen den USA und der EU gehofft wurde, werden diese Erwartungen enttäuscht. Ähnlich den Vorschriften des CLOUD Acts sollen Diensteanbieter verpflichtet werden, Daten innerhalb von zehn Tagen – in Eilfällen sogar sechs Stunden – an die Ermittlungsbehörden herauszugeben, unabhängig vom Sitz des Unternehmens und davon, ob die Daten sich auf Servern innerhalb oder außerhalb der EU befinden. Im Gegensatz zum CLOUD Act wird zumindest eine teilweise Kontrolle durch die Judikative vorgesehen. Bei der Übermittlung von Transaktions- und Inhaltsdaten eine Überprüfung durch einen Richter, bei Teilnehmer- und Zugangsdaten durch einen Staatsanwalt erforderlich.
Ausblick
Gerade in Bezug auf die unzureichenden Rechtsschutzmöglichkeiten ist der CLOUD Act kritisch zu sehen. Es gelten die gleichen Bedenken, die auch gegenüber anderen Regelungen zum grenzüberschreitenden Datentransfer erhoben wurden. In der Vergangenheit wurde das sog. Safe Harbor-Abkommen vom EuGH für unzulässig erklärt. Der EuGH kritisierte in seiner Entscheidung insbesondere, dass das Abkommen die Zugriffsmöglichkeiten der US-Behörden auf die übermittelten Daten nicht ausreichend beschränkte und kein wirksamer gerichtlicher Rechtsschutz bestand. Im Nachfolge-Abkommen, dem sog. EU-US Privacy Shield, haben sich die EU und USA daher auf die Gewährleistung wirksamen Rechtsschutzes für den Einzelnen geeinigt und die USA haben klarere Schutzvorkehrungen und Transparenzverpflichtungen beim Zugriff der US-Behörden auf Daten aus der EU zugesichert. Indes stehen deswegen auch andere Instrumente, welche die Datenübermittlungen aus der EU in die USA absichern sollen, in der Kritik. So hat der Irische Oberste Gerichtshof die sog. Standardvertragsklauseln, d.h. die von der EU-Kommission veröffentlichten Verträge zwischen Datenexporteuer und Datenimporteuer, dem EuGH mit einer ähnlichen Argumentation zur Prüfung vorgelegt. Es bleibt daher abzuwarten, ob die EU oder einzelne Mitgliedstaaten die nach dem CLOUD Act erforderlichen executive agreements abschließen, um zumindest ein Mindestmaß an Rechtsschutz zu ermöglichen, und wie der Konflikt des CLOUD Act zu den Regelungen der DSGVO gelöst wird.
