Rechtslage zwischen EU- und US-Recht

Lösungsansätze zu CLOUD Act und DSGVO

| Autor / Redakteur: Simone Rosenthal / Peter Schmitz

Wie viele Aspekte der Datenübermittlung zwischen USA und EU, ist auch die Übertragung von Daten bei Anfragen von US-Behörden derzeit kompliziert und ungeklärt.
Wie viele Aspekte der Datenübermittlung zwischen USA und EU, ist auch die Übertragung von Daten bei Anfragen von US-Behörden derzeit kompliziert und ungeklärt. (Bild: Pixabay / CC0)

Der CLOUD Act stellt das nächste Kapitel der schwierigen Beziehung zwischen den USA und der EU in datenschutzrechtlichen Fragen dar. Das Gesetz regelt den Zugriff auf in der EU-gespeicherte personenbezogene Daten von US-Bürgern und ermöglicht gleichzeitig den Zugriff auf Daten von EU-Bürgern in den USA. Betroffene Unternehmen sind jetzt entweder gezwungen gegen die DSGVO oder den CLOUD Act zu verstoßen.

Dieses Jahr jähren sich die Ereignisse um den 11. September 2001 zum 17. Mal. Infolge der Angriffe auf New York und Washington trat in den USA der sog. Patriot-Act in Kraft. Er verpflichtet u.a. Unternehmen zur Herausgabe von Daten an US-Behörden, wenn diese zu strafrechtlichen Ermittlungen benötigt werden. Eine solche Aufforderung erging innerhalb eines Verfahrens im Rahmen der Drogenkriminalität an das US-Unternehmen Microsoft. Da die in Frage stehenden Daten in Irland gespeichert waren, verweigerte Microsoft die Herausgabe mit der Begründung, dabei gegen irisches Datenschutzrecht zu verstoßen. Das irische Datenschutzrecht sah eine Herausgabe von Daten nur für den Fall vor, dass Rechtshilfeabkommen zwischen dem ersuchenden Land und Irland bestanden, was im Falle der USA nicht der Fall war. Der sich daran anschließende Rechtsstreit zwischen den USA und Irland vor dem US-Verfassungsgericht (Supreme Court) wurde für erledigt erklärt, weil die USA sich mit einem gesetzgeberischen Trick behalfen.

Die US-Legislative erließ den sog. CLOUD Act. Dabei steht CLOUD für “Clarifying Lawful Overseas Use of Data”. Geregelt wird also der rechtmäßige Umgang mit außerhalb der USA gespeicherten Daten. Er verpflichtet Unternehmen wie Microsoft, grundsätzlich dem US-Recht zu folgen und ermöglicht es US-Behörden Zugriff auf in der EU-gespeicherte personenbezogene Daten von US-Bürgern zu nehmen. Gleichzeitig ermöglicht der CLOUD Act den Zugriff auf Daten von EU-Bürgern in den USA. Letztlich zwingt der CLOUD Act Unternehmen also sich zu entscheiden, ob gegen US-Recht oder das Recht desjenigen Staates verstoßen werden soll, innerhalb dessen die Daten gespeichert sind oder dessen Staatsangehöriger der Bürger ist, dessen Daten in den USA untersucht werden sollen. Der CLOUD Act mach die Datenherausgabe zudem nicht davon abhängig, ob zwischen dem betroffenen Land und den USA ein Rechtshilfeabkommen besteht. Das Besondere am CLOUD Act: Er wirkt auch rückwirkend und regelte damit auch den Fall Microsoft.

Der lange Arm der USA - Neues Cloud-Gesetz in Kraft

Die USA verschärfen Überwachung von Internet-Diensten

Der lange Arm der USA - Neues Cloud-Gesetz in Kraft

23.04.18 - Seit dem 23 März gilt in den USA der „Cloud Act“. Das Gesetz verschärft die bisherige Überwachungspraxis im Cloud Computing. Betroffene Provider und Anwender haben weniger Rechte. lesen

Rechtliches Problem

Seit dem 25.05.2018 gilt innerhalb der EU die DSGVO. Diese regelt in Artikel 48 den Fall eines Herausgabeverlangens durch Behörden und andere staatliche Stellen eines Drittlandes. Danach dürfen solche Daten nur dann herausgegeben werden, wenn Rechtshilfeabkommen in Strafsachen (Mutual Legal Assistance Treaty – MLAT) oder eine ähnliche Übereinkunft zwischen Drittland und der EU oder dem betreffenden Mitgliedstaat besteht.

Bei der Auslegung der DSGVO können deren Erwägungsgründe als Auslegungshilfe herangezogen werden. Erwägungsgrund 115 erklärt, dass die Übermittlung von Daten deshalb von einem Rechtshilfeabkommen abhängig gemacht wird, weil auf diesem Wege gewährleistet werden kann, dass das Schutzniveau der DSGVO auch bei Datenübermittlungen ins Ausland gewahrt wird.

Die Artikel-29-Datenschutzgruppe erklärte hierzu, dass bei Anfragen von Behörden aus Drittländern zunächst immer die Behörden des EU-Mitgliedstaates zu konsultieren seien. Ein Datenzugriff direkt beim Unternehmen oder eine entsprechende Anfrage verstießen in jedem Fall gegen die DSGVO, weil das Prinzip des Rechtshilfeabkommens durch direkte Anfragen beim Unternehmen ausgehebelt würde.

Im Vergleich zur bisherigen Rechtslage sind die von der DSGVO vorgesehenen Bußgelder deutlich erhöht. Sie können bei bis zu 20 Millionen Euro oder 4% des Jahresumsatzes liegen. Damit stehen Unternehmen vor einem Dilemma: Entweder gegen US-Recht verstoßen und vor US-Gerichten verklagt werden oder die hohen Bußgelder der DSGVO zahlen.

Lösungsansätze für Unternehmen

Eine erste Möglichkeit, sich dem Zwang zu entziehen gegen das eine oder andere Recht zu verstoßen, besteht in der Auslagerung bestimmter Anwendungen. So bietet Microsoft „Office 365 Deutschland“ an, wobei die Office Anwendungen vom Unternehmen T-Systems betrieben werden. Dadurch werden von Office erzeugte Daten lediglich in Deutschland gespeichert, ohne dass Microsoft Zugriff auf die Daten selbst hat. Ob diese Argumentation vor US-Gerichten standhält ist fraglich. Zudem wurden in diesem Zusammenhang Ende August 2018 Datenübermittlungen von T-Systems an eine IP-Adresse außerhalb der EU beobachtet, sodass Vermutungen bestehen, dass Microsoft dem US-Druck doch stattgegeben hat.

Treuhandmodell am Ende - die Deutsche Cloud lebt aber

Microsoft beerdigt seine Deutschland-Cloud

Treuhandmodell am Ende - die Deutsche Cloud lebt aber

05.09.18 - An dieser Stelle fragten wir bereits einmal: Ist die Deutsche Cloud am Ende? Nun wissen wir es: Ja. Zumindest wenn es um das Treuhandmodell geht. Aber es gibt Alternativen in Form von Cloud-Angeboten aus Deutschland, die weder in die Arme des amerikanischen Geheimdienstes spielen, noch einen Treuhänder benötigen. lesen

Der CLOUD Act selbst sieht die Möglichkeit vor, entsprechende Datenanfragen der US-Behörden direkt zu beantworten. Diese Möglichkeit besteht aber zufolge des CLOUD Act nur, wenn zwischen den USA und anderen Staaten Vereinbarungen (sog. „Executive Agreements“) bestehen, wonach direkte Anfragen von US-Behörden auf Datenherausgabe an ein Unternehmen im Partnerland gestattet sind. In diesem Fall haben betroffene US-Unternehmen unter bestimmten weiteren Voraussetzungen die Möglichkeit, Beschwerde gegen die herausgabeverlangende Behörde einzulegen. Hierbei können dann gemäß der sog. „Comity Analysis“ argumentieren, dass die Daten keinen US-Bürger oder in den USA lebenden sonstigen Staatsangehörigen betreffen und zudem das Datenschutzrecht des betreffenden EU-Landes verletzen.

Allerdings besteht ein solches Executive Agreement, das überhaupt erst die Voraussetzung für die Möglichkeit der Einlegung einer Beschwerde gegen ein Herausgabeverlangen darstellt, derzeit weder mit der EU noch mit Deutschland. Auch ist unklar, ob die USA überhaupt bereit sein werden, ein solches Executive Agreement mit der EU abzuschließen. Unternehmen müssen also abwarten, wie sich die Verhandlungen zwischen der EU und den USA diesbezüglich entwickeln.

Fazit

Wie viele Aspekte der Datenübermittlung zwischen USA und EU, ist auch die Übertragung von Daten bei Anfragen von US-Behörden kompliziert und ungeklärt. Letztlich bleibt Unternehmen aktuell vor allem zu raten die Rechtsentwicklung genau zu beobachten und darauf zu achten, dass Daten in verschlüsselter Form gespeichert werden, denn der CLOUD Act bietet zwar eine Rechtsgrundlage für Herausgabeverlangen von US-Behörden, nicht aber für eine Entschlüsselung von Daten.

Simone Rosenthal
Simone Rosenthal (Bild: SRD-Rechtsanwälte)

Über die Autorin: Simone Rosenthal ist Partnerin bei Schürmann Rosenthal Dreyer und hat sich als Expertin für Datenschutz, IT-Recht und Wettbewerbsrecht etabliert. Ihre Schwerpunkte liegen insbesondere in der nationalen und internationalen Vertragsgestaltung, der Beratung von Unternehmen der Neuen Medien und der Digitalwirtschaft in Fragen des IT- und Datenschutzrechts. Die Expertin für Datenschutz und IT-Recht ist ebenfalls Geschäftsführerin der ISiCO Datenschutz GmbH, ein Unternehmen, welches Analyse, Auditierung und Beratung in den Bereichen Datenschutz, Datenschutz-Compliance und Informationssicherheit anbietet. Simone Rosenthal ist außerdem Co-Founder von lawpilots, einem E-Learninganbieter für Digitalisierung & Recht.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45604277 / Compliance und Datenschutz )