Mitautoren: Tobias Hinderks*, Nina Diercks*
2020/2021. Die ganze EU diskutierte, wie nach dem EuGH Urteil C-311/18 (Schrems II) noch legal personenbezogene Daten in die USA übermittelt werden können. Die ganze EU? Nein, eine (kleine) Staatskanzlei in Düsseldorf sieht in einer Übertragung überhaupt kein Problem.
Ok, ein wenig Kontext? Die Landesregierung NRW hat eine kleine Anfrage der Grünen-Fraktion im Landtag NRW beantwortet, die sich um den Einsatz eines von Amazon Web Services gehosteten Messengers für Schüler*innen dreht. Die Grünen hatten unter anderem gefragt, ob die Landesregierung bei der Umsetzung auch Subunternehmen in Betracht gezogen hat, die nicht dem US CLOUD Act unterliegen. Hierauf antwortete die Landesregierung:
„Darüber hinaus ist darauf hinzuweisen, dass der CLOUD Act nur dann einen Zugriff auf Daten zulässt, wenn eine rechtmäßige Verfügung einer amerikanischen Ermittlungsbehörde oder eines amerikanischen Gerichts vorausgegangen ist. Insofern unterscheidet sich die Rechtslage nicht von der Rechtslage in anderen Staaten, einschließlich Deutschlands.
[…]
Aber selbst bei einer theoretischen Herausgabe der Daten durch [Amazon Web Services] an amerikanische Ermittlungsbehörde wäre der übermittelte Datensatz aufgrund der durch den Dienstleister SVA eingerichteten Verschlüsselung nach sehr hohem Industriestandard von in der Cloud abgelegten Daten für amerikanische Behörden nicht verwertbar.“ (Drs. 17/11271, S. 3)
Das ist ein interessantes Statement der Regierung des bevölkerungsreichsten Bundeslandes. Inhaltlich dazu später. Für uns soll es zunächst der Aufhänger sein, uns mit der Zeit nach Schrems II zu befassen.
- Wo ist eigentlich das Problem mit der Datenübertragung in die USA?
- Was sagt denn die US-Regierung zum Urteil?
- Was haben die Aufsichtsbehörden zu Schrems II veröffentlicht?
- Wie könnten Lösungen aussehen? Gibt es überhaupt Lösungen?
Fragen über Fragen und die dringende Suche nach einer Antwort.
An dieser Stelle müssen wir kurz durchatmen. Denn auf uns kommt viel Arbeit zu. Die Übermittlung von Daten in die USA war bereits vor Schrems II sehr intensiv diskutiert worden. Und nach der tiefgreifenden Änderung durch Schrems II ist man sich eigentlich nur noch in einem sicher: Es ist kompliziert.
Um ein verständliches Bild zu schaffen und dieses facettenreiche Thema abzuhandeln, braucht es mehr als einen Blog-Artikel. Deshalb ist dieser Blog-Beitrag der Beginn einer kleineren Serie rund um das Thema: Reaktionen auf Schrems II – Rechtslage im transatlantischen Datenverkehr, bestehend aus vier Beiträgen.
Wir beginnen mit Teil 1: Was hat der EuGH entschieden und wie beurteilen die USA die Auswirkungen. In Teil 2 sehen wir uns an, wie Datentransfer auf Basis von geeigneter Garantien gelingen könnten. Dabei setzen wir uns mit dem Schutzniveau und den Ansichten der Aufsichtsbehörden auseinander. Teil 3 wird sich um den CLOUD Act drehen und in Teil 4 nutzen wir die gewonnen Erkenntnisse um uns ein eigenes Bild der Ausführungen des EuGH zu machen (Spoiler: Man muss nicht in allem einer Meinung mit dem EuGH sein) und ziehen ein Fazit zum Thema Datenübermittlungen in die USA.
Und worum geht es nun?
Einführung. Wir brauchen eine gemeinsame Arbeitsgrundlage.
Zu Beginn – also hier in diesem Beitrag – müssen wir uns erstmal einen gemeinsamen Kenntnisstand erarbeiten. Dazu ist es nötig, sich den ganzen Themenkomplex zu erschließen und ein wenig zu strukturieren. Dabei wollen wir uns von diesen Punkten leiten lassen:
- Was ist überhaupt dieses Schrems II und warum muss ich mich dafür interessieren?
- Zwischen CLOUD Act, FISA 702 und EO 12333; Orientierung im Dschungel der US-Gesetze
- Alles Gold, was glänzt? Kritik an den US-Gesetzen
- Was das US-Handelsministerium den Unternehmen nach Schrems II rät
- Warum das, was das US-Handelsministerium als Lösung anbietet, eventuell doch nicht funktioniert
Viel Spaß beim Lesen wünsche ich Ihnen schon jetzt. Wir sehen uns auf der anderen Seite.
Schrems, Privacy Shield, Datenübermittlung?! – Mein Name ist Hase und ich weiß von nichts
Wir können uns einem solchen Thema nicht widmen, ohne eine gemeinsame Arbeitsgrundlage zu haben. Das setzt zunächst voraus, dass allen bekannt ist, was der EuGH in Sachen Schrems II – zumindest im Groben – gesagt hat.
Dabei würde es allerdings den Rahmen sprengen, wenn wir das Schrems II-Urteil des EuGH noch einmal tiefgehend auseinandernehmen. Ist auch nicht notwendig, das hat die Kollegin Ulrike Berger bereits hier gemacht. Deshalb hier nur das Wichtigste in der tl;dr Fassung:
Personenbezogene Daten dürfen in einen Nicht-EWR-Staat, wie die USA, nur übertragen werden, wenn es hierfür eine Rechtsgrundlage gibt. Vor jeder Übermittlung muss ein Unternehmen grundsätzlich prüfen, ob geeignete Datenschutzgarantien im Zielland bestehen (Art. 46 DSGVO). Ausnahmsweise braucht es eine solche individuelle Prüfung allerdings dann nicht, wenn die EU-Kommission einen Angemessenheitsbeschluss für das entsprechende Zielland gefasst hat (Art. 45 DSGVO). Ein solcher Angemessenheitsbeschluss war das Privacy Shield (EU 2016/1250).
Diesen Privacy Shield hat der EuGH im Sommer 2020 (EuGH Urteil C-311/18) in besagter Schrems II-Entscheidung jedoch mit sofortiger Wirkung gekippt. Grund hierfür: Unter dem US-amerikanischen Recht sei die weitgehend umfassende Erhebung von personenbezogenen Daten durch Sicherheitsbehörden möglich, ohne dass es für EU-Bürger geeignete Garantien zum Datenschutz gebe. Die Eingriffsrechte der US-Behörden seien zu umfassend und unverhältnismäßig, um noch als vergleichbar mit den Garantien des europäischen Rechts angesehen zu werden. Damit kann laut EuGH das Schutzniveau in den USA nicht mehr als angemessen angesehen werden.
In der Konsequenz können Programme und Anwendungen, die personenbezogene Daten in die USA übermitteln, nicht mehr rechtskonform eingesetzt werden. Die Übermittlung von Daten in die USA verstößt ohne Vornahme einer Angemessenheitsprüfung im individuellen Fall also gegen die DSGVO, lässt uns der EuGH wissen. Da eigentlich jede Anwendung ständig im Hintergrund solche Datenübermittlungen vornimmt, verstößt bei strenger Lesart schon die bloße Nutzung gegen die DSGVO.
Auf einen Schlag hat der EuGH damit die vollständige transatlantische Datenübermittlung auf den Kopf gestellt. Wenngleich das Urteil nicht unerwartet kam, stellt es Verantwortliche dennoch vor einige Probleme. Denn welcher Dienst und welches auf dem Arbeitsrechner installierte Tool übermittelt denn keine Daten in die USA? Was darf man denn dann bitte noch benutzen?
Die perfekte Antwort hat noch niemand gefunden.
CLOUD Act, FISA 702 & EO 12333 – Dschungel US-amerikanischer Gesetze
Das Problem ist aus Sicht des EuGH, dass die US-Sicherheitsbehörden weitreichende Befugnisse haben, auf personenbezogene Daten zuzugreifen. Zur Begründung wird im Urteil dabei auf FISA 702 und EO 12333 Bezug genommen. Im gleichen Atemzug neben diesen zwei Gesetzen wird in der Öffentlichkeit regelmäßig der CLOUD Act genannt. Drei Rechtsakte bestimmen also den Zugriff der US-Behörden auf personenbezogene Daten, weswegen wir uns diese einmal genauer anschauen wollen.
Die Abkürzungen der Gesetze stehen dabei für:
- Foreign Intelligence Surveillance Act, dort Abschnitt 702 – FISA 702
- Executive Order No. 12333 – EO 12333
- Clarifying Lawful Overseas Use of Data Act – CLOUD Act
Die US-Regierung ist der Überzeugung, dass diese Rechtsake ein der EU vergleichbares Schutzniveau entfalten. Eine Übermittlung von personenbezogenen Daten sei also nach Schrems II kein Problem. Dazu hat das US-Handelsministerium in einem White Paper dargelegt, warum die Rechtslage in den USA den Anforderungen der DSGVO entspreche. Dieses White Paper wollen wir uns einmal erschließen.
Dabei ist darauf hinzuweisen, dass aus hiesiger Perspektive natürlich keine abschließende Bewertung des US-Datenschutzrechts erfolgen kann. Wir wollen uns auf die einschlägigen Aussagen des US-Handelsministeriums und eine kritische Einordnung beschränken.
FISA 702 aus Sicht des US-Handelsministeriums
Dort ist also zunächst FISA 702. Der Abschnit 702 des FISA steht im 50 U.S. Code § 1881a und bildet den Rechtsrahmen der Auslandsüberwachung von Nicht-US-Amerikanern.
Unter FISA 702 ist es US-Sicherheitsbehörden gestattet, auf durch US-Unternehmen verarbeitete Daten, die in den USA gespeichert sind, Zugriff zu nehmen.
Dieses Zugriffsrecht sei auch kein Problem, so die US-Regierung. Zur Begründung hebt die US-Regierung zunächst hervor, dass durch FISA ein unabhängiges gerichtliches Verfahren geschaffen wurde, welches über die Zugriffsanfragen der Sicherheitsbehörden entscheide. Der Zweck eines Zugriffs auf Daten sei streng auf nachrichtendienstliche Anliegen limitiert. Die Offenlegung aus wirtschaftlichen Interessen heraus anzuordnen sei hingegen ausgeschlossen.
FISA 702 schaffe, so die US-Regierung, zudem hohe prozessuale Hürden, die vor einer Verpflichtung datenverarbeitender Unternehmen zur Herausgabe erst einmal überwunden werden wollen. Die ersuchende Stelle, also die US-Sicherheitsbehörde, müsse eine einzelfallbezogene schriftliche Begründung vorlegen können, die insbesondere auch auf die Notwendigkeit der Datenherausgabe eingeht. Ein Zugriff der Sicherheitsdienste sei also nicht einfach willkürlich und unbegründet möglich. Die Prüfung soll vor dem Zugriff erfolgen und so einen unrechtmäßigen Erstzugriff sofort verhindern. Ob eine Überwachungsmaßnahme dann genehmigt werde, hänge von dem Foreign Intelligence Surveillance Court (FISC) ab, der bindende Urteile erlassen kann.
Damit beteuert die US-Regierung, dass der Zugriff der US-Sicherheitsbehörden gar nicht so weitreichend und unkontrolliert stattfinde, wie in der EU befürchtet.
Ferner, so das Handelsministerium, sei bei dem Departement of Justice ein unabhängiger Nachrichtendienstbeauftragter installiert worden, der über die Einhaltung der FISC-Vorgaben wacht. Nach der Rechtsprechung des FISC hat dieser Beauftragte etwaige Verstöße gegen die gesetzlichen Vorgaben zu melden.
Die Kontrolle durch das FISC sei zudem nicht auf die ursprüngliche Genehmigung limitiert – sondern belaufe sich auch auf die Kontrolle der Implementierung und auch auf Beendigung eines nicht konform laufenden Überwachungsprogramms. Das Gericht könne also die ganze Zeit einschreiten und rechtswidrige Datenzugriffe unterbinden. Zur Beachtung des Datenschutzes bestehe zudem bei Sicherheitsbehörden wie bspw. dem FBI seit 2018 die Pflicht, Datenschutzbeauftragte zu benennen.
Gegen Handlungen der US-Behörden unter FISA 702 haben EU-Bürger die Möglichkeit, Klagen zu erheben.
Kritik am FISA 702 – alles Gold, was glänzt?
Hört sich also zunächst gut an. Gerichtliche Kontrolle, Datenschutzbeauftragte, Zweckbindung. Alles Begriffe, die die Herzen der EU-Datenschützer höherschlagen lassen. Hält die vom US-Handelsministerium skizzierte Rechtslage unter FISA 702 aber auch, was sie verspricht?
Ob der FISC seine – nach dem White Paper so herausgehobene – Schlüsselposition zur Beschränkung und Begrenzung der US-Sicherheitsbehörden angemessen ausfüllt, daran kann gezweifelt werden. Wie die New York Times im Dezember 2019 berichtete, kommt es bei der praktischen Umsetzung des FISA – schon bei der Inlandsüberwachung – zu strukturellen Mängeln.
Das Verfahren vor dem FISC wird kritisiert, und das nicht erst seit Schrems II. Denn der gerichtliche Prozess ist sehr einseitig. Es sind nämlich nur die Anwälte der Sicherheitsbehörden beteiligt, nicht etwa auch Anwälte der Betroffenen oder von unabhängigen Datenschutzorganisationen.
Auch die intransparente Arbeit des Gerichts fällt negativ ins Auge, die meisten Beschlüsse werden nicht öffentlich bekannt oder begründet. 2013 etwa berichtete der Guardian ausführlich, dass in der praktischen Umsetzung viele Mängel zu beobachten seien.
Executive Order 12333
Neben FISA 702 gibt es dann die EO 12333, eine Anweisung des US-Präsidenten Ronald Reagan von 1981. Diese berechtige, so das Handelsministerium, die US-Sicherheitsbehörden nicht, von Unternehmen Zugang zu personenbezogenen Daten zu verlangen. Allein der einseitige Zugang, also das sich Zutritt verschaffen (nicht verlangen) durch US-Sicherheitsbehörden ist von der EO 12333 gedeckt.
Ist damit alles in Ordnung? Eher nicht. Zwar ging es in dem Urteil des EuGH insbesondere um die Möglichkeit der Sicherheitsbehörden, den Datenzugang zu verlangen. Dass deshalb ein einseitiges Verschaffen der Daten (ohne Verlangen) datenschutzrechtlich irrelevant wäre, wäre ein Trugschluss.
Der einseitige (sogar unbemerkte) Zugriff auf personenbezogene Daten aufgrund von EO 12333 ist nicht datenschutzrechtlich unbedenklich.
CLOUD Act – Mehr als eine Cloud wird adressiert
Zuletzt ist da der CLOUD Act. Der CLOUD Act stellt fest, dass die Zugangsrechte der US-Sicherheitsbehörden auch dann bestehen, wenn US-Unternehmen Daten außerhalb der USA – zum Beispiel im EWR (Europäischen Wirtschaftsraum) – verarbeiten. Hiermit kann eine US-Sicherheitsbehörde theoretisch an jedes US-Unternehmen herantreten und verlangen, die in Europa gespeicherten Daten herauszugeben, also auch ohne, dass diese zuvor in die USA übermittelt wurden.
Warum das – aus Sicht der US-Regierung – kein Problem darstellt
Kritik an den weitreichenden Eingriffsbefugnissen der Behörden weist das White Paper indes zurück. Die hier skizzierte Rechtslage sei mit derjenigen in der EU vergleichbar und weise ein angemessenes Schutzniveau auf, so das Handelsministerium. Im Wesentlichen stützt sich die US-Regierung dabei auf drei Argumente:
- Die meisten Unternehmen verarbeiten keine Daten, welche für die nachrichtendienstliche Tätigkeit von Interesse wären. Sie müssen daher faktisch keine solchen Zugriffe fürchten, wie sie im EuGH-Urteil skizziert werden.
- Die US-Regierung teilt Erkenntnisse regelmäßig mit EU-Mitgliedsstaaten, welche der Bekämpfung von Terrorismus, illegalem Waffenhandel und feindlichen Cyberangriffen dienen. Die Befugnisse liegen damit im Interesse der EU-Mitglieder.
- Die Entscheidung des EuGH fußt auf einer unzureichenden und veralteten Analyse des US-Rechts.
Ferner wird betont, dass sich die Rechte der US-Sicherheitsbehörden nicht erheblich von den Zugangsrechten unterscheiden, die sich andere Staaten, darunter auch EU-Mitgliedsstaaten, für ihre Behörden einräumen lassen. Mehr noch, die Zugangsrechte der Sicherheitsbehörden seien andernorts gar nicht oder jedenfalls nicht so eingehend geregelt wie in den USA. Das White Paper stellt hierzu fest:
„The reality is that data transferred to the United States enjoys comparable or greater privacy protections relating to intelligence surveillance than data held within the EU.“
Diese Argumente behalten wir im Hinterkopf, sie werden im Folgenden – vor allem auch in Teil 2 dieser kleinen Serie – noch wichtig werden.
Wie nach Ansicht der US-Regierung DSGVO-konform Daten übermittelt werden können
Unterstellen wir, dass diese Argumente auch unter dem EU-Recht valide sind und eine Übermittlung von Daten in die USA rechtfertigen können. Wie würde das funktionieren?
Um diese Frage zu beantworten, muss kurz dargestellt werden, wie die Übermittlung überhaupt juristisch funktioniert. Wichtig ist zunächst: Die Übermittlung – also das bloße Senden in die USA – ist bereits eine Datenverarbeitung. Damit braucht die Übermittlung selbst, unabhängig von der später erfolgenden Weiterverarbeitung (also zB dem Zugriff einer US-Sicherheitsbehörde), eine Rechtsgrundlage in der DSGVO.
Für die meisten Unternehmen sind folgende Rechtsgrundlagen für die Datenübermittlung in Drittstaaten praktisch relevant:
- Angemessenheitsbeschluss ( 45 DSGVO)
- Geeignete Garantien (Art. 46, 47 DSGVO)
- Ausnahmesituationen ( 49 DSGVO)
Oben wurde schon herausgearbeitet, dass nach dem EuGH-Urteil in Sachen Schrems II kein Angemessenheitsbeschluss mehr besteht, das Privacy Shield existiert eben nicht mehr. Artikel 45 fällt also als mögliche Rechtsgrundlage weg. Bleiben also noch die geeigneten Garantien und Art. 49 DSGVO.
Dieser Blog-Beitrag wird sich nun vor allem mit Art. 49 DSGVO beschäftigen. Denn diesen Artikel schlägt das US-Handelsministerium als neue Grundlage für transatlantische Datenübermittlung vor. Spoiler – so einfach ist das nicht.
Cliffhanger: Art. 46, 47 DSGVO hingegen wollen wir uns im nächsten Blog-Artikel genauer anschauen. Die geeigneten Garantien sind nämlich Gegenstand der jüngsten Veröffentlichungen der Aufsichtsbehörden.
Bleibt also Art. 49 DSGVO. Diese Vorschrift nennt einige Konstellationen, in denen personenbezogene Daten in unsichere Drittstaaten übermittelt werden können, ohne dass ein Angemessenheitsbeschluss der Kommission (Art. 45) oder geeignete Garantien (Art. 46, 47) bestehen.
Unter anderem gibt es Art. 49 Abs. 1 lit. d) DSGVO. Danach ist eine Übermittlung erlaubt, wenn diese Übermittlung aus wichtigen Gründen des öffentlichen Interessen notwendig ist. Und eben diese Norm taugt nach Ansicht des US-Handelsministeriums als Rechtsgrundlage für den transatlantischen Transfer von Daten.
Der Gedankengang dabei ist folgender: Die Daten, auf die US-Sicherheitsdienste zugreifen, werden ausgewertet und eventuell an die Sicherheitsbehörden der EU-Mitgliedsstaaten weitergegeben. Die hiesigen Behörden können mit diesen Erkenntnissen dann Anschläge verhindern, Straftaten vorbeugen und Cyber-Angriffe abwehren. Damit dient der Zugriff auf Daten nach dem US-Recht auch dem öffentlichen Interesse der EU – und damit sei er nach Art. 49 Abs. 1 lit. d) DSGVO erlaubt.
Ob Art. 49 Abs. 1 lit. d) DSGVO das tatsächlich so hergibt, daran bestehen Zweifel. Im Folgenden wird herausgearbeitet, warum diese vorgeschlagene Lösung in sich geschlossen schon praktisch kaum eine Lösung sein kann. Danach wollen wir uns Art. 49 DSGVO einmal juristisch erschließen und uns aus dieser Perspektive erarbeiten, warum der Vorschlag auch juristisch kaum haltbar ist.
Die Lösung des White Paper – in sich schon nicht geschlossen
Die Lösung, die das US-Handelsministerium in diesem White Paper bietet, ist leider keine einfache und umfassende Lösung für die Problematik des transatlantischen Datenverkehrs. Selbst wenn die Rechtsansicht zuträfe, böte sie keine praxistaugliche Möglichkeit für Unternehmen, Daten in den USA zu speichern.
Die Krux liegt in der oben festgestellten Notwendigkeit, zu differenzieren: Wir müssen die Übermittlung der Daten in die USA und die Zugriffsgewährung in den USA voneinander unterscheiden. Beides sind unterschiedliche Verarbeitungsvorgänge, die jeweils eine unabhängige Rechtsgrundlage benötigen. Es braucht aus Unternehmenssicht eine Lösung, die zumindest für den ersten Schritt (die Übermittlung in die USA) eine Rechtsgrundlage bietet, unabhängig davon, ob bzw wie Schritt 2 (Zugriffsgewährung) noch erfolgt. Hinge die Rechtsgrundlage für Schritt 1 hingegen davon ob, das Schritt 2 erfolgt, wäre die Lösung für Unternehmen praktisch unbrauchbar. Denn dann würde sie nur funktionieren, wenn Schritt 2 tatsächlich vorliegt, also eine FISA-Anordnung auf Zugang erlassen würde.
Und genau an diesem Mangel leidet das White Paper: Die vorgeschlagene Lösung setzt voraus, dass eine FISA-Zugriffsanordnung (Schritt 2) besteht, was nur in einem verschwindend geringen Bruchteil der Datenübermittlungen tatsächlich der Fall ist, wie das Ministerium selbst bekundet. Nur mit dieser Zugriffsanordnung sei Art. 49 Abs. 1 lit. d) DSGVO als Rechtsgrundlage für die Übermittlung (Schritt 1) denkbar.
Wenn aber eine solche Zugriffsanordnung (noch) nicht vorliegt, könnten die Daten nicht einmal in die USA übermittelt werden. Wollte ein Unternehmen also Tools nutzen, die eine Datenübermittlung in die USA voraussetzen, müsste es zunächst die Zugriffsanordnung abwarten.
Dies würde bedeuten: Keinerlei Planungssicherheit, Erfolg der geschäftlichen Prozesse allenfalls bei einem kleinen Prozentsatz sowie potentielle Rechtsstreitigkeiten rund um die Zugriffsanordnung. Alles keine Grundlagen unternehmerischer Tätigkeit, die man sich wünschen würde. Kurzum, die Lösung des US-Handelsministeriums ist für die wirtschaftliche Praxis selbst dann nicht tauglich, wenn man ihre Prämisse, das Art. 49 Abs. 1 lit. d) DSGVO gelte, als richtig unterstellte.
Denn eine Übermittlung (Schritt 1) in die USA mit der Begründung, dass die übermittelten Daten zumindest eventuell Gegenstand einer zukünftigen FISA-Anordnung (Schritt 2) sein könnten – irgendwann –, reicht für die Erlaubnis nach Art. 49 Abs. 1 lit. d) DSGVO nicht aus.
Das zeigt, wie wichtig es ist, zwischen Übermittlung in die USA (Schritt 1) und Zugriff durch Sicherheitsbehörden (Schritt 2) zu differenzieren. Diese Differenzierung wurde im White Paper nicht vorgenommen. Entweder wurde sie übersehen oder von der US-Regierung schlicht nicht vorgenommen – immerhin hat sie das Papier nicht zur individuellen Rechtsberatung der Unternehmen veröffentlicht.
Das White Paper hat also für die überwältigende Zahl von Datentransfers keinen Mehrwert. Wir müssen eine Lösung finden, die uns Schritt 1 ermöglicht, ohne dass Schritt 2 jemals erfolgt.
Art. 49 – eine juristisch-dogmatische Betrachtung
Könnte Art. 49 DSGVO dennoch diese Lösung sein? Zwar nicht auf Art und Weise des Handelsministeriums, sondern bei europäischem Verständnis?
Um diese Frage zu beantworten, müssen wir uns erschließen, was Art. 49 DSGVO eigentlich sagt und wie die Aufsichtsbehörden zu diesem Artikel der DSGVO stehen. Denn auch wenn die Anischt der Aufsichtsbehörden nicht die Abschließende Meinung zu einer Rechtsfrage ist, sie die ersten, die die streitigen Übermittlungsfälle beurteilen.
Was also sagen die Aufsichtsbehörden zu Art. 49 DSGVO als Möglichkeit, Daten in die USA zu übermitteln?
Zwar hat keine Aufsichtsbehörde – soweit ersichtlich – direkt zum White Paper des US-Handelsministeriums Stellung bezogen. Aus vergangenen Veröffentlichungen kann allerdings abgeleitet werden, dass aus Sicht der Datenschutzbehörden Art. 49 Abs. 1 lit. d) DSGVO nicht als Grundlage der Übermittlung von Daten in die USA in Betracht kommt.
Der BfDI (Bundesdatenschutzbeauftragter) etwa stellt in einem Informationsschreiben für Bundesbehörden zunächst fest, dass in den USA kein wesentlich gleichwertiges Datenschutzniveau gegeben ist. Zwar sei deshalb noch keine Übermittlung auf Grundlage von Art. 49 DSGVO ausgeschlossen, aber es müsse die Konzeption der Vorschrift dabei beachtet werden. Denn Art. 49 DSGVO sei als Ausnahmevorschrift ausgelegt. Die Norm solle gar nicht ermöglichen, dass Unternehmen planmäßig und regelmäßig Daten in die USA übermitteln. Sie solle nur Sonderkonstellationen abdecken, kein Plan B für systematische Übermittlungsvorgänge in unsichere Drittstaaten darstellen.
Regelmäßige oder planhafte Datenübermittlungen fallen also nicht unter Art. 49 DSGVO. Würde man als Unternehmen nun regelmäßig unter Berufung auf Art. 49 Abs. 1 lit. d) DSGVO den Zugangsanordnungen unter FISA 702 nachkommen – wie es die US-Regierung vorschlägt –, unterliegt dies bei strenger Lesart einer gewissen planhaften Struktur. Und das will Art. 49 DSGVO gerade nicht. Eine pauschale Rechtsgrundlage für FISA 702-Anordnungen kann Art. 49 Abs. 1 lit. d) DSGVO also nach dem Verständnis des BfDI nicht bieten.
Die Gelegenheit soll aber nicht ausgelassen werden, sich Art. 49 DSGVO doch noch im Detail anzuschauen. Denn sowohl für die Übermittlung von Daten in die USA als auch für die Bearbeitung von CLOUD Act Anfragen kommt Art. 49 DSGVO zumindest in der Theorie in Betracht.
Dafür sei zunächst daran erinnert, wie die Überschrift von Art. 49 DSGVO lautet: Ausnahmen für bestimmte Fälle. Nach Art. 49 DSGVO soll also ausnahmsweise die Übermittlung personenbezogener Daten in unsichere Drittstaaten möglich sein, wenn ein entsprechend normierter Grund vorliegt. Gründe für die ausnahmsweise zulässige Übermittlung sind unter anderem:
- Einwilligung
- Erfüllung eines Vertrages
- Wichtige Gründe des öffentlichen Interesses
- Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen
- Schutz lebenswichtiger Interessen natürlicher Personen
Kann Art. 49 DSGVO leisten, was das Privacy Shield nicht mehr kann? Könnte also eine dieser Erlaubnisgründe es ermöglichen, regelmäßig und planhaft (also geschäftlich sinnvoll) Daten in die USA zu übermitteln? Da Art. 49 DSGVO bei einigen tatsächlich als vielversprechender Nachfolger des Privacy Shield gehandelt wurde, hat sich auch der Europäische Datenschutzausschuss (EDSA) im Rahmen eines FAQ-Katalog mit der Norm beschäftigt. Zu einigen hier relevanter Erlaubnisgründen äußert sich das Papier:
Art. 49 Abs. 1 lit. a) [Einwilligung] – Eine Einwilligung der betroffenen Person, dass ihre Daten in unsichere Drittstaaten übermittelt werden, ist danach grundsätzlich möglich. Sofern Ihr Unternehmen auf Grundlage einer Einwilligung übermittelt, muss diese Einwilligung durch die betroffene Person in Kenntnis der Sachlage erfolgen. Das bedeutet, dass Sie Ihren Kunden über die spezifischen Risiken einer Übermittlung in die USA aufklären müssen. Darüber hinaus sind auch die anderen Anforderungen an eine wirksame Einwilligung zu erfüllen. Die allgemeine Information zur Datenverarbeitung reicht da definitiv nicht. Ohne eine entsprechende detailierte Aufklärung wird das mit einer Einwilligung nichts.
Art. 49 Abs. 1 lit. b) [Erfüllung eines Vertrages] – Die Übermittlung in die USA unter Berufung darauf, dass dies für die Erfüllung eines Vertrages notwendig sei, soll nach Ansicht des EDSA nur „gelegentlich“ möglich sein. Eine Erlaubnis für den systematischen und strukturierten Datentransfer biete diese Norm damit nicht, so der EDSA. Deshalb scheidet Art. 49 Abs. 1 b) DSGVO für Unternehmen, die Daten in die USA übertragen, als Grundlage aus. Unternehmensprozesse und Geschäftsstrukturen lassen sich nicht auf eine „gelegentlich“ mögliche geschäftliche Datenübermittlung ausrichten. Wir erinnern uns: Wir brauchen eine Lösung, die systematische und geschäftlich organisierte regelmäßige Übermittlungen in die USA gestattet.
Art. 49 Abs. 1 lit. d) [öffentliches Interesse] – Auch diese durch die USA vorgeschlagene Rechtsgrundlage sei nach Ansicht des Ausschusses nicht zur Übermittlung geeignet. Zwar sei diese Ausnahmeregelung nicht auf gelegentliche Übermittlungen beschränkt, gleichwohl rechtfertige sie noch keine systematische Übermittlung in großen Umfang. Ausnahmen dürfen eben nicht die Regel sein. Vielmehr unterliegt die Datenübermittlung auf Basis von Art. 49 Abs. 1 lit. d DSGVO einer strengen Notwendigkeitsprüfung. Unternehmen müssten vor jeder Datenübermittlung also überprüfen, ob sie gerade unbedingt erforderlich und notwendig ist. Eine solche strenge Prüfung vor jeder Übertragung durchzuführen mag rechtlich möglich sein, praktisch aber selbst in größeren Unternehmen nicht mehr machbar.
Fazit
Wenn Sie sich an dieser Stelle die Haare raufen, dann ist das verständlich. Nach dem Schrems II-Urteil des EuGH, dass das Privacy Shield gekippt hat, ist Art. 45 DSGVO keine taugliche Grundlage für die Übermittlung in die USA mehr. Zugleich bietet Art. 49 DSGVO auch keine belastbare Möglichkeit, personenbezogene Daten in die USA zu übermitteln. Was zwar juristisch möglich ist, scheitert an der praktischen Umsetzung. Denn die Norm ist auf Ausnahmefälle und eine unsystematische, nicht geplante Übermittlung ausgerichtet. Planvolle Unternehmensprozesse lassen sich auf ihr nicht sinnvoll aufbauen.
Zum Glück sind wir aber damit nicht am Ende der Fahnenstange. Wenn wir uns in Erinnerung rufen, wie eine Datenübermittlung in einen Drittstaat gelingen kann, so hatten wir drei Möglichkeiten gefunden:
- Angemessenheitsbeschluss (Art. 45 DSGVO)
- Geeignete Garantien (Art. 46, 47 DSGVO)
- Ausnahmesituationen (Art. 49 DSGVO)
Da weder Art. 45 DSGVO noch Art. 49 DSGVO hier sind, bleiben immer noch geeignete Garantien nach Art. 46, 47 DSGVO als Hoffnungsträger. Und dort spielt die eigentliche datenschutzrechtliche Musik. Die Möglichkeit, die Datenübermittlung in die USA auf diese Normen zu stützen, hat der EuGH nämlich ausdrücklich nicht ausgeschlossen.
Wie das aber konkret gehen sollen, da besteht noch Uneinigkeit – und vor allem auch Unschlüssigkeit. Diesen Normen wollen wir uns im nächsten Teil des Blog-Beitrages widmen.
Bis dahin, stay tuned.
Die Links zu den weiteren Blog-Beiträgen der Reihe „Rechtslage im transatlantischen Datenverkehrfolgen“ peu à peu.
Teil 3 – Was ist eigentlich das Problem mit dem ClOUD Act? Hat das tatsächlich einen engeren Bezug zu Schrems II? Wie sollten Unternehmen mit CLOUD Act Anfragen umgehen?
Teil 4 – Fazit Teil I. Wieso treffen die Einschätzungen und Empfehlungen der Datenschutzbehörden nicht zu? Vom risikobasierten Ansatz und der notwendigen Differenzierung im Datenschutzrecht.
Teil 5 – Fazit Teil II. Weshalb sich der EuGH nicht mit Ruhm bekleckert hat und wieso die Entscheidung Schrems II aus mehreren Gründen nicht überzeugend sein kann.
An dieser Stelle dürfen wir schon ein Mal spoilern: Nein, es ist nicht immer der Weisheit letzter Schluss, was der EuGH in den Stein meißelt. Und schon gar nicht sind diese Weisheiten stets und allgemein und alles bindend.
In diesem Sinne,
bleiben Sie gespannt. Auf bald!
* Tobias Hinderks studiert derzeit an der Universität Hamburg und ist seit April 2018 als studentischer Mitarbeiter bei der Anwaltskanzlei Diercks beschäftigt.
** Nina Diercks ist Rechtsanwältin für Datenschutz und hat diesen Blog irgendwann mal ins Leben gerufen. 😉
Sehr geehrte Frau Rechtsanwältin Diercks,
von allen Datenschutzinformationen, die ich erhalte, lese ich Ihren Newsletter am allerliebsten. Er ist nicht nur inhaltlich immer extrem gewinnbringend, weil er gut strukturiert komplexe Probleme in gut verstehbare Bestandteile zerlegt und gut argumentiert wird. Sie verfügen zudem über eine „sehr gute Schreibe“ und ich freue mich auf den nächsten Teil der Serie.
Vielen Dank für Ihren Newsletter