Die deutschen Datenschutzbehörden des Bundes und der Länder (DSK) sowie der Europäische Datenschutzausschuss (EDSA) haben das Datenschutzniveau in den USA sowie Indien, China und Russland analysieren lassen. Das Ergebnis: Aufgrund der weitreichenden, teils uneingeschränkten Zugriffsrechte der Sicherheitsbehörden und Geheimdienste auf personenbezogene Daten ist das Datenschutzniveau in diesen Ländern grundsätzlich nicht als angemessen zu bewerten. Unternehmen oder Behörden in der Europäischen Union (EU) werden es deshalb zukünftig bei Durchführung ihrer Transfer Impact Assessment (TIA) noch schwerer haben, im konkreten Fall zu argumentieren, dass der Datentransfer in diese Länder (noch) als datenschutzkonform zu werten ist.
Weitreichende Zugriffsrechte der US-Geheimdienste, auch auf Daten in der EU
Am 25. Januar 2022 veröffentlichte die DSK das in Auftrag gegebene Rechtsgutachten von Professor Stephen I. Vladeck, University of Texas School of Law, zum aktuellen Stand des US-Überwachungsrechts (deutsch / englisch). Aktuell bewertet die DSK noch die Konsequenzen, welche sich aus den Erkenntnissen ergeben. Als unabhängige wissenschaftliche Untersuchung entfalte das Gutachten aber keine für die Beurteilung von Einzelfällen unmittelbar verbindliche Wirkung, so die DSK in ihrer Zusammenfassung über die wesentlichen Befunde. Dennoch werde die DSK das Gutachten im Rahmen ihrer Tätigkeit berücksichtigen. Die wesentlichen Befunde sind:
- Keine proaktive Pflicht: Anbieter elektronischer Kommunikationsdienste seien nach Section 702 Foreign Intelligence Surveillance Act (FISA 702) nicht proaktiv verpflichtet, den US-Geheimdiensten Daten bereitzustellen oder Zugang zu ihnen zu gewähren. Erst eine Anweisung der US-Behörden nach FISA 702 verpflichte die Anbieter zur Herausgabe.
- Weiterer Anwendungsbereich: Die Adressaten von FISA 702 sind sog. „Anbieter elektronischer Kommunikationsdienste“. Welche Unternehmen hierunterfallen, ist in 50 U.S.C. § 1881(b)(4) definiert. Hierzu zählen (i) Telekommunikationsunternehmen (TK-Dienste), (ii) Anbieter elektronischer Kommunikationsdienste (ECS-Dienste) oder (iii) von Ferncomputerdiensten (RCS-Dienste), (iv) jeder andere Anbieter von Kommunikationsdiensten, der Zugang zu drahtgebundener oder elektronischer Kommunikation hat, entweder bei der Übertragung oder der Speicherung solcher Kommunikation oder (v) leitende Angestellte, Angestellte oder ein Beauftragter einer der genannten Einrichtungen.
Der Anwendungsbereich sei mithin weiter als zuvor gedacht. Neben den klassischen Anbietern von elektronischen Telekommunikationsdiensten kämen grundsätzlich auch andere Unternehmen, wie beispielsweise Banken oder Hotels, in Betracht. So entschied ein US-Gericht, dass ein Unternehmen, welches seinen Mitarbeitern einen E-Mail-Dienst zur Verfügung stelle, die ECS-Definition erfülle. Ebenso sei durch ein US-Gericht ein Reisebüro, das seinen Mitarbeitern Computerterminals bereitgestellt hatte, auf denen ein elektronisches Reservierungssystem lief, als Anbieter von ECS-Diensten eingestuft worden.
- Alle Datenarten betroffen: Die US-Geheimdienste seien aufgrund von FISA 702 berechtigt, auf alle Arten von Daten, also in gewissen Situationen auch auf Metadaten oder Kommunikationsinhalte, zuzugreifen. Es sei hierbei irrelevant, ob die Daten sich im Ruhezustand oder im Übertragungszustand befänden.
- Zugriff auch auf Daten in der EU: Wenn eine Einrichtung nicht FISA 702 unterliegt, sie aber einen Anbieter von elektronischen Kommunikationsdiensten zur Verarbeitung bestimmter Daten einsetzt, finde FISA 702 ebenfalls Anwendung. Entscheidend sei, dass sich die Daten beim Kommunikationsdienstleister befänden. Es komme nicht darauf an, woher die Daten kämen, sondern ob sie im Zeitpunkt der Abfrage auf Servern in der USA ruhen oder über eine US-Infrastruktur übertragen werden. US-Geheimdienste könnten deshalb wohl auch auf Daten außerhalb der USA zugreifen, falls es sich um US-Unternehmen (einschließlich deren EU-Gesellschaften) handele. Im Übrigen könne FISA 702 auch für EU-Unternehmen gelten, die eine US-Tochtergesellschaft hätten.
- Verstoß gegen ausländisches Recht irrelevant: US-Geheimdienste würden bei der Entscheidung über Zugriffsmaßnahmen nicht miteinbeziehen, ob die Maßnahme gegen EU-Recht (z.B. die Datenschutz-Grundverordnung (DSGVO)) verstoße. Vielmehr regele FISA 702 explizit, dass Gesetze anderer Staaten unbeachtlich seien.
- Keine Rechtsbehelfe: Rechtsbehelfe stünden betroffenen EU-/EWR-Bürgern nur sehr eingeschränkt zur Verfügung.
Weitreichende staatliche Zugriffsrechte auch in Indien, China und Russland
Zuvor hatte bereits der EDSA eine rechtliche Studie („Legal study on Government access to data in third countries“) in Auftrag gegeben und den finalen Bericht hierzu am 14. Dezember 2021 veröffentlicht. In dieser Studie war insbesondere verifiziert worden, ob und in welchem Umfang staatliche Zugriffsrechte bestehen und ob vor diesem Hintergrund das Datenschutzniveau in Indien, China und Russland als angemessen bewertet werden kann.
Für die Studie wurde zunächst eine Literaturrecherche zu Rechtsinstrumenten und Rechtsprechung durchgeführt. Daraufhin wurden die Wissenslücken zu diesem Rechtsbereich identifiziert und ein maßgeschneiderter Fragebogen pro Land erstellt. Nach Genehmigung des EDSA wurden diese an sorgfältig ausgewählte Experten der einzelnen Länder versandt. Von 29 kontaktierten Experten waren allerdings nur acht infolge diverser Gründe bereit, an der Befragung teilzunehmen. Zuletzt wurden die Antworten der Experten ausgewertet und mit den Ergebnissen der Sekundärforschung verglichen, mit folgenden Ergebnissen:
- Zur Volksrepublik China: Die Volksrepublik China könne weder als ein demokratischer, liberaler Staat nach westlichen Standards angesehen werden, noch verfüge sie über einen Rechtsstaat. Auch der Schutz personenbezogener Daten sei als nicht gleichwertig zu dem Schutz personenbezogener Daten innerhalb der EU anzusehen. Zwar sehe die Verfassung in Artikel 40 vor, dass die Freiheit und die Vertraulichkeit der Korrespondenz von Bürgern durch das Gesetz zu schützen sei. Dem chinesischen Datenschutzrecht liege aber zugleich die Annahme zugrunde, dass die Stabilität der Gemeinschaft Vorrang vor den Bedürfnissen des Einzelnen habe. So erkläre sich, dass das „Personal Information Protection Law“ (PIPL) oder das „Data Security Law“ (DSL) auf den ersten Blick ähnliche Rechte für Betroffene wie in der DSGVO kenne, der staatliche Zugriff auf personenbezogene Daten zum Zwecke der nationalen Sicherheit aber kaum beschränkt sei und den Betroffenen keine hinreichenden Abwehrrechte zur Verfügung stünden.
- Zu Indien: Auch dem indischen Staat stünden theoretisch Überwachungsmechanismen zur Verfügung, welche in der Praxis aber nicht transparent seien. Vor allem könne die indische Regierung nach dem aktuell geltenden Recht für Datenschutzverletzungen nicht zur Verantwortung gezogen werden. Zwar hat der Oberste Gerichtshof Indiens am 24. August 2017 in der Entscheidung Puttaswamy v Union of India erstmals das Recht auf Privatsphäre anerkannt. Auch soll es zukünftig mit dem „Personal Data Protection Bill“ (PDP) ein Datenschutzgesetz geben. Allerdings würden der indischen Regierung (auch nach Inkrafttreten des PDP) weitreichende Ausnahmen zur Verfügung stehen, um Zugriff auf personenbezogene Daten zu nehmen, ohne dass sich die Betroffenen hinreichend gegen solche Zugriffe zur Wehr setzen könnten. Dies gelte insbesondere dann, wenn die Nationale Sicherheit als Rechtfertigungsgrund für den Datenzugriff angebracht werde. Im Ergebnis erkenne Indien zwar das Recht auf Privatsphäre als fundamentales Recht an und auch das Datenschutzrecht erfahre mehr Aufmerksamkeit. Beide Rechte seien aber in der Vergangenheit im erheblichen Maße von der Regierung verletzt worden. Die bestehenden Schutzmechanismen seien zudem nicht auf Zugriffe des Staates anwendbar. Insoweit bestehe ein gesetzgeberisches Vakuum und daher seien auch Zugriffe auf Daten von EU-Bürgern nicht auszuschließen, sobald diese auf indischem Boden gespeichert werden.
- Zu Russland: Auch in Russland seien das Recht auf Privatsphäre und der Datenschutz in der Verfassung verankert. Diese Rechte würden aber durch die umfassenden Rechte des russischen Staates zur Gewährleistung der nationalen Sicherheit und zur Terrorismusbekämpfung eingeschränkt. So würden die russischen Behörden dazu tendieren, die Datenschutzgesetze als Mittel zur Durchsetzung politischer Bestrebungen, Aufrechterhaltung der Kontrolle über das Internet sowie zum Schutz der Interessen der Regierung einzusetzen. Denn obwohl die formalen rechtlichen Rahmenbedingungen auf den ersten Blick umfassend erschienen, weise die Durchsetzung und Anwendung der Rechtsvorschriften gravierende Mängel auf. Mangels Transparenz und richterlicher Unabhängigkeit erhielten Nachrichtendienste und Spionageabwehr praktisch uneingeschränkten Zugriff auf alle Kategorien von personenbezogenen Daten. Diese Einschränkungen des Rechts auf Privatsphäre stünden auch im Einklang mit einer auffälligen Bilanz von Verletzungen gegen die Europäische Menschenrechtskonvention und andere Grundrechte. Zuletzt verweist der Bericht noch auf die zukünftigen Pläne zum Aufbau einer föderalen Datenbank, die ab 2025 betriebsbereit sein soll. Diese soll die personenbezogenen Daten aller russischen Bürger enthalten, auf welche die russische Regierung ohne ausdrückliche Zustimmung der Betroffenen dann zugreifen könne. Es wird deshalb empfohlen, vor Übermittlung von personenbezogenen Daten nach Russland äußerst sorgfältig zu prüfen, ob tatsächlich im konkreten Fall noch von einem angemessenen Schutzniveau ausgegangen werden könne.
Conclusio
Welche Erkenntnisse lassen sich für die Praxis aus dem Gutachten und dem Bericht der Studie entnehmen:
- Beide Dokumente und die dort getroffenen Feststellungen entfalten keine unmittelbare verbindliche Wirkung für die Beurteilung eines Einzelfalls. Die Feststellungen sollten aber als grundsätzliche Information über die datenschutzrechtliche Lage in den betroffenen Ländern betrachtet werden. Im Einzelfall kann ein Datentransfer also weiterhin zulässig sein. Der Datenexporteur wird aber weitere technische und organisatorische Schutzmaßnahmen implementieren müssen, um staatliche Zugriffe zu verhindern (siehe beispielsweise die Empfehlungen des EDSA „Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data“ vom 18. Juni 2021).
- US-Unternehmen sind nur verpflichtet, auf Anweisung Daten bereitzustellen. Eine proaktive Pflicht gibt es nicht. In der Praxis hat es sich etabliert, US-Unternehmen im Rahmen der TIA zu befragen, ob sie bereits Adressaten einer solchen Anweisung gemäß FISA 702 geworden sind. Eine entsprechende verneinende Antwort könnte zukünftig von höherer Bedeutung bei der Risikobewertung sein.
- Zugleich sollte bei Durchführung einer TIA genauer abgefragt werden, ob ein Unternehmen unter den Anwendungsbereich von FISA 702 fällt. Es empfiehlt sich, US-Unternehmen im Rahmen der Befragung bei der TIA zukünftig auf die entsprechenden Passagen im Gutachten hinzuweisen.
- Kritisch dürfte es vor allem für die IT-Branche sein, dass nunmehr auch bei Indien Zweifel am angemessenen Datenschutzniveau gehegt werden. Hier wird es, wie auch bei China und Russland, entscheidend darauf ankommen, auf technischem und organisatorischem Wege, ein angemessenes Datenschutzniveau sicherzustellen.