09.10.2020 | IT-Recht und Datenschutz
Nachdem die Debatte rund um den internationalen Datentransfer in Folge der „Schrems II“-Entscheidung des EuGH (hier unsere Analyse des Urteils sowie Handlungsempfehlungen) enorm an Tempo zugelegt hat, fragen sich viele Unternehmen, wie sie ihre Datenströme nun rechtskonform gestalten können. Eine zentrale Entscheidung dabei ist, ob man Dienstleister in den USA weiter einsetzt, oder stattdessen zu europäischen Anbietern wechselt. Letzteres wird von vielen als die datenschutzfreundlichste Lösung angesehen – insbesondere aufgrund der zahlreichen Unsicherheiten im Zusammenhang mit dem Einsatz von Standardvertragsklauseln (SCC) beim transatlantischen Datentransfer.
Was viele dabei jedoch übersehen: Das amerikanische Recht macht nicht Halt vor den eigenen Landesgrenzen. Dies wird besonders deutlich im Zusammenhang mit dem US CLOUD Act, mit dem US-Sicherheitsbehörden Zugriff auf Daten auch außerhalb von Amerika gewährt werden soll. Dass das Thema datenschutzrechtlich äußerst relevant ist, wird nicht zuletzt dadurch deutlich, dass die Landesbeauftragte für den Datenschutz in Niedersachsen einen ganzen Abschnitt in ihrem Tätigkeitsbericht für 2019 dem CLOUD Act gewidmet hat.
Dieser Beitrag will die Situation rund um den CLOUD Act beleuchten, aufzeigen welche Bedeutung dieses US-Gesetz für den Datenschutz in Europa hat und Unternehmen erste Hinweise zum Umgang mit der Thematik geben.
Was ist der CLOUD Act?
Der Clarifying Lawful Overseas Use of Data Act (CLOUD Act) wurde im März 2018 verabschiedet mit dem Ziel, den US-Strafverfolgungsbehörden umfassende Zugriffsrechte zu gewähren. Im Zusammenhang mit Daten in Europa ist besonders die mit dem CLOUD Act eingeführte Vorschrift 18 U.S.C. § 2713 relevant, die eine Verpflichtung zur Übermittlung auch außerhalb der USA gespeicherter Daten an US-Behörden enthält, wenn bestimmte Voraussetzungen vorliegen. Im Normtext heißt es:
„Ein Anbieter elektronischer Kommunikationsdienste oder Remote-Computing-Dienste muss die in diesem Kapitel enthaltenen Verpflichtungen zur Aufbewahrung, Sicherung oder Offenlegung des Inhalts einer drahtgebundenen oder elektronischen Kommunikation und aller Aufzeichnungen oder anderer Informationen über einen Kunden oder Abonnenten erfüllen, die sich im Besitz, Gewahrsam oder unter der Kontrolle eines solchen Anbieters befinden, unabhängig davon, ob sich diese Kommunikation, Aufzeichnung oder andere Informationen innerhalb oder außerhalb der Vereinigten Staaten befinden.“
Die Vorschrift richtet sich an alle Anbieter elektronischer Kommunikationsdienstleistungen mit Sitz in den USA, die Daten (auch über eine andere juristische Person) im Ausland verarbeiten und auf diese Verarbeitung im Ausland Einfluss haben.
In welchen Situationen wird der CLOUD Act relevant?
Der CLOUD Act wird (aus Sicht europäischer Unternehmen) nur in folgender Konstellation relevant: Ein Verantwortlicher in der EU beauftragt einen Auftragsverarbeiter, ebenfalls in der EU. Dieser Auftragsverarbeiter hat eine amerikanische Muttergesellschaft (bspw. Amazon Web Services EMEA SARL in Luxemburg mit der amerikanischen Mutter Amazon Web Services Inc. in den USA oder auch Microsoft Ireland Operations Limited mit der amerikanischen Mutter Microsoft Corporation). Die amerikanische Mutter wird nun von den US-Behörden gezwungen, die Daten aus Europa herauszugeben. Folgende Grafik soll diese Situation einmal veranschaulichen:
Rechtslage in Europa
Tritt nun die US-Muttergesellschaft an die EU-Tochtergesellschaft heran und verlangt die Herausgabe der bei ihr gespeicherten Daten, stellt sich für die EU-Tochter die Frage, ob sie dieser Aufforderung einfach so nachkommen darf. Nicht zuletzt hat der EuGH im Zusammenhang mit dem Urteil in Sachen „Schrems II“ festgestellt, dass in den USA aufgrund der Überwachungsgesetze und der fehlenden Rechtsschutzmöglichkeiten für Betroffene kein mit Europa vergleichbares Datenschutzniveau herrscht und ein Datentransfer daher generell kritisch zu sehen ist.
Eine Antwort auf diese Frage liefert der Art. 48 DSGVO. Danach dürfen Daten nur dann aufgrund eines Gerichtsurteils oder einer behördlichen Entscheidung in ein Drittland herausgegeben werden, wenn ein spezielles Rechtshilfeabkommen zwischen dem Drittland und der EU bzw. einem EU-Mitgliedsstaat vorliegt. Zwischen den USA und der EU existiert ein solches Abkommen bislang nicht. Allerdings verhandelt die EU-Kommission seit Mitte 2019 mit den USA über ein Abkommen, dass den Zugang zu digitalen Beweismitteln und damit personenbezogenen Daten regeln soll.
Der Europäische Datenschutzausschuss (EDSA) hat im Jahr 2019 deshalb folgende Feststellung zum CLOUD Act getroffen: Eine Herausgabe von personenbezogenen Daten allein auf Grundlage von behördlichen Aufforderungen aus den USA auf Basis des CLOUD Act ist in der Regel unzulässig. Nur in ganz besonders gelagerten Ausnahmefällen hält der EDSA die Übermittlung für zulässig, etwa zum Schutz lebenswichtiger Interessen einer betroffenen Person (Art. 6 Abs. 1 lit. d i.V.m. Art. 49 Abs. 1 lit. f DSGVO). Die Hürden hängen hier jedoch sehr hoch.
Für die EU-Tochtergesellschaft bedeutet das konkret: Sie muss Anfragen der US-Mutter grundsätzlich ablehnen, solange diese nicht nach Art. 48 DSGVO zulässig sind. Bei einem Verstoß befindet sie sich dazu noch im erhöhten Bußgeldrahmen von Art. 83 Abs. 5 lit. c DSGVO (bis zu 20 Mio. Euro oder bis zu 4 % des weltweiten Jahresumsatzes). Unternehmen mit Sitz in den USA und Europa sind somit in einer Zwickmühle: Entweder sie geben Daten nicht heraus und verstoßen gegen US-Recht oder sie geben Daten heraus und verstoßen gegen EU-Recht. In der Literatur werden verschiedene Optionen für eine Lösung des Problems diskutiert (Abspaltung von Unternehmensteilen, Datentreuhandmodell).
Einen Sonderweg im Hinblick auf den Datenzugriff aus den USA hat Großbritannien eingeschlagen, die am 3. Oktober 2019 im Alleingang eine Vereinbarung mit den USA „über den Zugang zu elektronischen Daten zum Zwecke der Bekämpfung der Schwerkriminalität“ getroffen haben. Nach vorläufiger Einschätzung des europäischen Datenschutzausschusses stellt diese Vereinbarung wohl eine entsprechende Übereinkunft nach Art. 48 DSGVO dar, untergräbt aber dennoch das europäische Datenschutzniveau, da bspw. keine vorherige richterliche Genehmigung von Auskunftsersuchen vorgesehen ist. Für Tochtergesellschaften in Großbritannien besteht somit die Herausforderung, dass seit Oktober 2019 ein entsprechendes Rechtshilfeabkommen existiert, welches in seiner Konformität mit dem EU-Recht jedoch von den Aufsichtsbehörden angezweifelt wird. Rechtssicherheit sieht anders aus.
Handlungsempfehlungen
Aus Sicht europäischer Unternehmen, die Verantwortliche im Sinne der DSGVO sind, stellt sich die Frage, wie sie mit dieser Situation umgehen sollen. Können Auftragsverarbeiter mit Sitz in Europa und den USA überhaupt von ihnen genutzt werden?
Eine einheitliche Beantwortung dieser Frage ist aufgrund des eigenwilligen Vormarsches von Großbritannien leider nicht möglich. Insofern muss zwischen der Situation in den restlichen 26 Mitgliedsstaaten der EU und Großbritannien unterschieden werden:
Situation in der EU (ohne Großbritannien):
Auftragsverarbeiter mit Sitz in der EU können prinzipiell trotz des CLOUD Act genutzt werden. Allerdings gilt es dabei einige Punkte im Blick zu behalten; dies nicht zuletzt aufgrund von Art. 28 Abs. 1 DSGVO, nach dem der Verantwortliche nur mit Auftragsverarbeitern zusammenarbeiten darf, die die Daten „im Einklang mit den Anforderungen dieser Verordnung“ verarbeiten. Folgende Punkte sollten Sie beachten:
- Europäische Verantwortliche sollten die Augen offenhalten, ob Datenweitergaben von europäischen Tochtergesellschaften an ihre US-Muttergesellschaften bekannt werden. Erste Anhaltspunkt für den Umgang mit dem CLOUD Act lassen sich teilweise bei den DSGVO-Hinweisen der Unternehmen finden. Zum Beispiel sagt Amazon AWS ganz ausdrücklich, dass sie Anfragen nach dem CLOUD Act, die gegen die DSGVO verstoßen, nicht umsetzen. Sollten Hinweise bestehen, dass der Auftragsverarbeiter auf Anforderung nach dem CLOUD Act Daten in die USA herausgibt, muss die Zusammenarbeit notfalls eingestellt werden.
- Im Zweifel kann der Auftragsverarbeitungsvertrag (AVV) auch um Klauseln erweitert werden, nach denen den Auftragsverarbeiter eine Informationspflicht trifft, wenn die US-Mutter mit einer CLOUD-Act-Anfrage an ihn herantritt. Ebenfalls kann man die ausdrückliche Pflicht aufnehmen, solche Anfragen abzulehnen und Haftungsregelungen bzw. Vertragsstrafen für den Fall treffen, dass das europäische Tochterunternehmen auf CLOUD-Act-Herausgabeaufforderungen Daten in die USA sendet.
- Etwaige Bemühungen in diesem Zusammenhang sollten dokumentiert werden, vgl. Art. 5 Abs. 2 DSGVO
Situation in Großbritannien:
Wie der EDSA in seiner vorläufigen Einschätzung der Rechtslage in Großbritannien mitteilt, sieht er das Abkommen mit den USA zur Datenherausgabe kritisch. Er deutet sogar an, dass dieses Abkommen Auswirkungen auf seine Empfehlungen hinsichtlich möglicher Angemessenheitsbeschlüsse in der Post-Brexit-Ära haben kann.
Verantwortliche in der EU müssen also beim Einsatz von Auftragsverarbeitern in Großbritannien mit Muttergesellschaft in den USA besondere Vorsicht walten lassen und sorgfältig prüfen, ob eine Datenweitergabe möglich ist. Dies gilt insbesondere vor dem Hintergrund, dass für Verstöße gegen die sorgfältige Auswahl der Auftragsverarbeiter nach Art. 28 DSGVO die heimische Aufsichtsbehörde zuständig wäre und nicht die Behörden in Großbritannien.