Rechtslage im transatlantischen Datenverkehr, Teil 3 von 5 – CLOUD Act in der Kritik

Mitautoren: Tobias Hinderks*, Nina Diercks **

Ein herzliches Moin liebe Leserinnen und Leser,

willkommen zum dritten Teil der Blog-Reihe rund um den transatlantischen Datenverkehr und der Frage, was eigentlich nach dem weitreichenden Urteil des EuGH Schrems II Sache ist. Bereits in zwei Blog-Artikeln haben wir uns mit der Frage befasst, was nun gilt, da der Privacy Shield nicht mehr gilt.

Zur Erinnerung: Der Privacy Shield zwischen der EU und den USA war der Grund, weshalb recht einfach und legal personenbezogene Daten über den Atlantik ausgetauscht werden durften. Diesen Privacy Shield wollte der EuGH mit seiner Entscheidung Schrems II jedoch nicht als ausreichend akzeptieren; die europäischen Datenschutzvorstellungen würden in Angesicht der weitreichenden Befugnisse der Sicherheitsbehörden, auf Daten zuzugreifen, nicht erfüllt.

Um das zu verstehen und natürlich insbesondere um die Folgen dieses Urteils für die Unternehmenswelt zu beleuchten, haben wir uns deshalb in dieser Blog-Reihe zunächst dem Erschließen der US-Gesetzeslage gewidmet. Dabei sind uns vor allem drei Gesetze ins Auge gefallen: FISA 702, EO 12333 und der CLOUD Act. Diese werden vom EuGH als Gründe genannt, weshalb das Datenschutzniveau in den USA nach Ansicht des Gerichts nicht den Anforderungen der DSGVO erfüllt.

Außerdem haben wir uns mit den Möglichkeiten befasst, die die DSGVO für einen Transfer von personenbezogenen Daten in Drittstaaten bereithält. Diese waren:

• Angemessenheitsbeschluss (Art. 45 DSGVO)
• Geeignete Garantien (Art. 46, 47 DSGVO)
• Ausnahmesituationen (Art. 49 DSGVO)

Es würde an dieser Stelle zu weit führen, die Inhalte dieser Normen und unsere Erkenntnisse aus den letzten Blogartikeln zu rezipieren, Sie können Teil 1  und Teil 2 gerne nachlesen.

Mit der Überschrift wurde auch direkt das Thema des heutigen Blogbeitrags verraten. Heute soll es um den CLOUD Act gehen, die letzte Unbekannte in dieser Blog-Reihe. Wir wollen uns ansehen, was dieses Gesetz eigentlich beinhaltet und wieso dies auf Kritik aus der europäischen Datenschutzszene stößt. Im Anschluss soll es um die Frage gehen, wie ein Unternehmen mit CLOUD Act Anfragen umgehen kann (und aus DSGVO-Sicht sollte).

Was war nochmal dieser CLOUD Act?

CLOUD Act steht für Clarifying Lawful Overseas Use of Data Act und ist eine Art Klarstellung. Es wird seitens des US-Rechts klargestellt, dass die Zugriffsrechte der US-Sicherheitsbehörden auf personenbezogene Daten auch dann gelten, wenn diese Daten außerhalb der USA verarbeitet und von einem US-Unternehmen kontrolliert werden. Der CLOUD Act verpflichtet nicht alle Unternehmen, aber mit Telekommunikationsanbieter und “remote computing services” (v. a. Cloudanbieter) natürlich die Dienstleister, bei denen das Gros der Daten im Ausland liegen dürfte.

Der CLOUD Act verlängert also den Arm der US-Sicherheitsbehörden auf Daten, die im Ausland verarbeitet und gespeichert werden. Die Daten müssen also nicht erst in die USA transferiert worden sein, um Gegenstand eines Zugriffs zu werden.

Die Situation, die wir  bisher betrachtet haben, war wie folgt: Ein Unternehmen überträgt zu eigenen Geschäftszwecken personenbezogene Daten, ob von Kunden, Lieferanten oder Bewerbern, in die USA. Erst wenn die Daten dann in den USA sind kommt die Herausgabeanordnung der Sicherheitsbehörden nach FISA und der EO12333 ins Spiel. Wir konnten daher zwei Schritte unterscheiden: zwischen dem Datentransfer in die USA und der Zugriffsgewährung an die Sicherheitsbehörden.

Beim CLOUD Act ist es nun anders. Denn hier verlangen die US-Sicherheitsbehörden bei US-Unternehmen Zugriff auf personenbezogene Daten, die (noch) im Europäischen Wirtschaftsraum (EWR) liegen. Um diese Anordnung zu erfüllen, müsste der Verantwortliche dann Daten in die USA übermitteln.

Eine Differenzierung zwischen den zwei Schritten macht hier keinen Sinn. Beim CLOUD Act geht es in diesem Blog-Beitrag deshalb um die Frage, ob eine solche Herausgabeanrodnung nach der DSGVO überhaupt zu erfüllen ist.

Wir sehen aber bereits hier einen Konflikt am Horizont: Zum einen ist da das europäische Recht und die DSGVO, die (Spoiler!) eine Datenübermittlung im Wege des CLOUD Act regelmäßig verbietet. Zum anderen ist da das US-Recht, dass die US-Unternehmen zu einer Datenübermittlung verpflichtet.

Exkurs: Moment Mal… US-Unternehmen? Wieso gilt die DSGVO für US-Unternehmen? Gute Frage. Nach Art. 3 DSGVO gilt das sog. Marktortprinzip. Auch Unternehmen aus Drittstaaten müssen die DSGVO beachten, wenn sie Waren oder Dienstleistungen für betroffene Personen in der Union anbieten.

Der Anwendungsbereich der DSGVO ist also nicht auf das Territorium der Europäischen Union begrenzt.

An beides kann man sich nicht gleichzeitig halten. Mit einer Entscheidung eines Unternehmens über eine erhaltene CLOUD Act Anordnung wird also zwangsläufig entweder das US-Recht oder das EU-Recht verletzt.

Dazu aber später mehr.

Was hat denn der EuGH zum CLOUD Act gesagt?

Der CLOUD Act taucht nicht im Urteil des EuGH zu Schrems II auf. Warum sollte er auch? Zur Erinnerung: Der EuGH entschied über die Zulässigkeit des Privacy Shields. Das Privacy Shield ermöglichte geschäftliche Datenübermittlung in die USA und wurde gekippt, weil die Sicherheit der geschäftlich übermittelten Daten in den USA nicht sichergestellt wurde.

Beim CLOUD Act geht es aber nicht um die Sicherheit der Daten in den USA. Es geht um einen Zugriff auf die Daten noch im EWR. Und damit um eine Konstellation, die grundlegend von der einer geschäftlichen Datenübermittlung abweicht. Der Privacy Shield diente nicht der Regelung der Zugriffsrechte von US-Sicherheitsbehörden auf in Europa verarbeitete Daten, wie sie der CLOUD Act ermöglicht. Deshalb war der CLOUD Act für den EuGH schlicht nicht relevant bei der Bewertung des Privacy Shields.

Freilich gehört der CLOUD Act dennoch zur Architektur des transatlantischen Datenverkehrs und lohnt, im Zusammenhang mit Schrems II besprochen zu werden.

Einordnung durch den Europäischen Datenschutzbeauftragten

Das Urteil des EuGH hilft uns also nicht so recht weiter bei der datenschutzrechtlichen Einordnung des CLOUD Acts. Allerdings hat sich der Europäische Datenschutzbeauftragte bereits 2019 mit dieser Regelung befasst und dabei nicht mit Kritik gespart. Diese Stellungnahme des EDSB wollen wir uns deshalb einmal näher ansehen.

Positiv merkt der EDSB zunächst an, dass der CLOUD Act keine systematische, großangelegte oder diskriminierende Überwachung ermöglicht. Seine Regelung erschöpft sich in gezielten Anordnungen von US-Sicherheitsbehörden bezüglich personenbezogener Daten in einem spezifischen Einzelfall. Für diese Anordnungen gelten prozessuale Sicherungsvorkehrungen – also Limitierungen für die US-Sicherheitsbehörden –, die die Missbrauchsgefahr minimieren sollen. Dies ist schonmal etwas Gutes.

Allerdings führt der EDSB weiter aus, dass der CLOUD Act bei näherer Betrachtung gar nicht notwendig sei. Denn ein solches einseitiges Zugriffsrecht bezogen auf personenbezogene Daten im EWR brauche die USA schlicht und einfach nicht. Denn der CLOUD Act steht in Konkurrenz mit Kooperationsvereinbarungen zwischen den USA und der EU. Wenn die USA für die Wahrung ihrer nationalen Sicherheit die Herausgabe von im EWR verarbeiteten Daten für erforderlich erachtet, so können sie sich des Mutual Legal Assistance in Criminal Matters Treaty (MLAT) bedienen.

Für die Unterstützung in Strafsachen gibt es also schon eine Übereinkunft zwischen den USA und der EU. Wo der Mehrwert des CLOUD Acts liegen soll, ist nicht ersichtlich. Vielmehr sei es vor dem Hintergrund von Freundschaft und gegenseitiger Unterstützung zwischen den USA und der EU unverständlich, dass sich die USA neben diesem gemeinsamen Framework ihren eigenen Sicherheitsbehörden noch weitere, einseitige und nicht vereinbarte Befugnisse einräumt.

Das Umgehen des MLAT mit dem CLOUD Act könnte nicht nur freundschaftlich einen bitteren Beigeschmack haben, sondern auch zu echten rechtlichen Konsequenzen führen. Um das zu verstehen, müssen wir uns Art. 48 DSGVO anschauen. Diese Vorschrift besagt, dass eine Übermittlung wegen eines Urteils oder einer rechtlichen Anordnung in einem Drittstaat nur erfolgen darf, wenn dies einer internationalen Übereinkunft der EU, etwa einem Rechtshilfeabkommen, entspricht.

Sind also US-Unternehmen durch US-Gericht oder US-Sicherheitsbehörde verpflichtet worden, Daten in die USA zu übermitteln – wie es bei einer CLOUD Act Anordnung der Fall ist –, dann darf das Unternehmen nur dann die angeforderten Daten aus dem EWR übermitteln, wenn die Verpflichtung im Rahmen des MLAT zustande kam. Denn nur dann besteht eine internationale Übereinkunft, die es dem Verantwortlichen nach Art. 48 DSGVO gestattet, sich auch in der EU dieser Anordnung zu unterwerfen.

Wenn die Herausgabeanordnung tatsächlich aber auf dem CLOUD Act beruht, gilt Art. 48 DSGVO nicht. Denn der CLOUD Act ist keine internationale Übereinkunft, die eine Datenübermittlung erlauben würde. Sofern also keine andere Möglichkeit gefunden wird (dazu sogleich), könnte der Verantwortliche nicht der Anordnung des CLOUD Acts entsprechen, ohne gegen die DSGVO zu verstoßen.

Anmerkung: Theoretisch wäre es sogar denkbar, dass bei Art. 48 DSGVO ein sog. lex specialis-Fall vorliegt. Als so etwas bezeichnen Jurist*innen eine Regelung, die einen Fall speziell regelt. Andere – generellere – Regelungen sind dann nicht anwendbar. Man könnte sich also auf den Standpunkt stellen, dass der Gesetzgeber mit Art. 48 DSGVO erschöpfend geregelt hat, wann der Verantwortliche einer Herausgabeanordnung aus den USA entsprechen darf. Andere Übermittlungserlaubnisse, etwa Art. 49 DSGVO, wären dann nicht mehr anwendbar. Wenn Art. 48 DSGVO aber beim CLOUD Act keine Übermittlung gestattet, wäre die Übermittlung dann insgesamt rechtswidrig und könnte auch nicht auf andere Normen der DSGVO gestützt werden. Von einer solchen Sperrwirkung scheint der EDSB nicht auszugehen, denn er erörtert, ob eine Befolgung der der Anordnung nach Art. 49 DSGVO möglich ist (dazu sogleich). Ob der EuGH – falls er jemals darüber entscheidet – dies genauso sieht, bleibt abzuwarten.

Festzuhalten bleibt also, dass für Herausgabeanordnungen nach den CLOUD Act der recht einfache Weg, eine Übermittlung nach Art. 48 DSGVO , also nicht zur Verfügung steht. Um einen CLOUD Act DSGVO-konform zu erfüllen, muss sich der Verantwortliche also einen schwierigen – noch zu erörternden – Weg durch Art. 49 DSGVO bahnen.

Damit aber noch nicht genug. Der EDSB kritisiert ferner, dass für Unternehmen, die nach dem CLOUD Act zur Datenherausgabe verpflichtet werden, kaum Rechtschutzmöglichkeiten zur Verfügung stehen. Warum das so problematisch ist, zeigt dieser Gedankengang:

Nehmen wir an, ein US-Unternehmen bekommt eine CLOUD Act Anordnung auf den Tisch und muss deshalb – nach US-Recht – ein im EWR gespeichertes Datum in die USA übermitteln. Das Unternehmen kommt zum Schluss, dass es dieser Anordnung nicht entsprechen kann, ohne EU-Recht zu verletzen. Das wirft die Frage auf, ob das Unternehmen sich vor einem US-Gericht gegen die Anordnung wehren kann unter Berufung darauf, die Erfüllung sei ihm – wegen Verstoßes gegen EU-Recht – unmöglich.

Ein solcher Einwand wäre in diesem Gerichtsverfahren nicht von Relevanz. Denn dem CLOUD Act ist es regelmäßig egal, ob seine Anordnungen gegen die Rechtsordnungen anderer Staaten verstoßen. Allen in den Fällen, in denen zwischen den USA und dem anderen Staat ein eigenes Abkommen geschlossen wird, ist die andere Rechtsordnung für CLOUD Act Anordnungen erheblich.

Das bedeutet, dass die EU erst ein entsprechendes Abkommen mit den USA abschließen muss, um ihrer Rechtsordnung in CLOUD Act Verfahren Geltung zu verschaffen. Ein solches Abkommen besteht noch nicht, die EU-Kommission ist momentan in Verhandlungen mit der US-Regierung hierüber. Soweit ersichtlich hat bisher nur das Vereinigte Königreich ein solches Abkommen abschließen können.

Ein kurzes Zwischenfazit

Wir sehen also, es ist kompliziert. Der CLOUD Act trifft auf gut begründete Kritik, sei es nun pragmatischer oder datenschutzrechtlicher Art. Einer CLOUD Act Anordnung zu entsprechen, ist für ein Unternehmen gar nicht so einfach – jedenfalls, wenn man dabei nicht gegen die DSGVO verstoßen möchte.

Wie gerne man sich manchmal wünscht, dass Rechtsordnungen miteinander korrespondieren und Unternehmen sich an die Gesetze der EU halten können, ohne Gesetze der USA zu verletzen (oder andersrum). Allerdings ist dies in der Realität nicht der Fall.

Falls Sie bei einem Cloud- oder TK-Anbieter mit US-Mutter arbeiten, wird nun sicherlich Frage unter den Nägeln brennen, was Sie tun sollen, sollten Sie mal eine Anordnung einer US-Sicherheitsbehörde nach CLOUD Act auf dem Tisch liegen haben. Zunächst auf jeden Fall den Anwalt Ihres Vertrauens einschalten. 😉

EDSB Leitfaden zu CLOUD Act Anordnungen

Dankenswerterweise hat auch der EDSB sich überlegt, wie ein Verantwortlicher DSGVO-konform auf eine CLOUD Act Anordnung reagieren kann. Er schlägt eine zweischrittige Prüfung vor, um zu bestimmen, um über eine Befolgung der Anordnung zu entscheiden.

1. Besteht für die Übermittlung eine Rechtsgrundlage nach der DSGVO?

Zunächst bedarf die Übermittlung einer Rechtsgrundlage in der DSGVO. Denn eine Übermittlung an eine Behörde eines Drittstaates ist eine Verarbeitung nach Art. 4 Nr. 2 DSGVO. Und wie Sie als treue Leser*innen dieses Blogs wissen, braucht jede Verarbeitung personenbezogener Daten eine Rechtsgrundlage (vgl Art. 5 I a) DSGVO).

Mögliche Rechtsgrundlagen für Verarbeitungen von Daten sind in Art. 6 DSGVO aufgeführt. Der EDSB geht auf folgende potentielle Rechtsgrundlagen für eine Übermittlung in die USA ein:

Art. 6 I c) [rechtliche Verpflichtung] – Der Verantwortliche darf Daten verarbeiten, wenn dies einer Rechtspflicht entspricht. „Rechtspflicht“ in diesem Sinne meint aber nur Pflichten aus dem EU-Recht oder dem Recht der Mitgliedsstaaten. Verpflichtungen aus dem CLOUD Act fallen also nicht unter diese Kategorie. Das US-Recht kann keine Rechtspflichten iSd Art. 6 I c) DSGVO begründen.

Art. 6 I d) [Schutz lebenswichtiger Interessen] – Eine Verarbeitung und Übermittlung darf zum Schutz „lebenswichtiger Interessen der betroffenen Person“ erfolgen. Bereits in der Formulierung dieses Tatbestandes liegt der Knackpunkt. Die Übermittlung muss den lebenswichtigen Interessen der betroffenen Person dienen. Sollen hingegen Dritte vor dieser Person geschützt werden, so ist diese Norm nicht anwendbar. Die Vorschrift greift also dann, wenn die Übermittlung die betroffene Person (also die, auf die sich das Datum bezieht) vor einer Straftat bewahren oder aus einer Zwangslage befreien soll. Wenn hingegen die betroffene Person die Straftat begeht oder die Zwangslage schafft, wäre das kein Fall von Art. 6 I d) DSGVO.

Exkurs: Die Abwehr dieser Gefahren, etwa durch polizeiliche Datenzugriffe nach den Polizeigesetzen der Länder, ist deshalb nicht datenschutzrechtlich unmöglich. Für die polizeiliche Datenverarbeitung gilt die DSGVO nur eingeschränkt (Art. 2 II d) DSGVO). Wie genau das alles funktioniert, würde hier jedoch zu weit führen.

Art. 6 I f) [berechtigte Interessen] – Zuletzt bleibt also die Möglichkeit, die Daten wegen des berechtigten Interessen des Unternehmens an der Einhaltung der CLOUD-Act-Anordnung in die USA zu übermitteln.

Art. 6 I f) DSGVO setzt eine Interessensabwägung voraus. Das Interesse des Verantwortlichen an der Verarbeitung muss mit dem Interesse der betroffenen Person, dass diese Verarbeitung unterbleibt, abgewogen werden. Konkret heißt dies für uns, dass wir das Interesse des Unternehmens – die CLOUD-Act-Anordnung zu erfüllen – mit dem Interesse der betroffenen Person – keine Datenübermittlung an US-Sicherheitsbehörden – in ein Verhältnis gesetzt werden muss.

Eine Interessensabwägung können wir allerdings nur vornehmen, wenn auf beiden Seiten überhaupt legitime Interessen miteinander streiten. Wenn der Verantwortliche schon gar kein legitimes Interesse an der Verarbeitung hat, brauchen wir das auch nicht in Abwägung stellen.

Der EDSB stellt an dieser Stelle zunächst fest, dass das Interesse des Unternehmens, personenbezogene Daten auf Basis einer Anordnung wegen des CLOUD Act herauszugeben, nicht generell illegitim ist. Das heißt, dass ein Unternehmen unter der DSGVO legitimerweise sagen darf: „Wir wollen der CLOUD-Act-Anordnung entsprechen, um nicht den Konsequenzen einer Verweigerung in den USA ausgesetzt zu sein.“

Exkurs: Jetzt könnte man sagen, dass dieses legitime Interesse in der DSGVO ausdrücklich verankert ist. Denn es gibt Erwägungsgrund 50. Dort heißt es, dass der Hinweis auf Straftaten oder Bedrohungen der öffentlichen Sicherheit an Behörden als legitimes Interesse des Verantwortlichen gelten sollen. Allerdings gilt auch diese Anordnung nur in Bezug auf EU-Behörden. Behörden von Drittstaaten wie die USA sind hiervon nicht erfasst.

Die Vermeidung einer Sanktion für das Nichtbefolgen einer Anordnung nach dem CLOUD Act ist also ein legitimes Interesse des Verantwortlichen. Um zu einer Erlaubnis nach Art. 6 I f) DSGVO zu kommen, müsste dieses Interesse auch das Interesse der betroffenen Person, dass diese Daten nicht übermittelt werden, überwiegen.

Generell spricht in dieser Abwägung, so der EDSB, einiges gegen die Übermittlung – und damit gegen die Möglichkeit eines Unternehmens, der CLOUD-Act-Anordnung DSGVO-konform nachzukommen.

Gegen eine Übermittlung spricht:

• Effektiver Rechtsschutz der betroffenen Person ist nicht gewährleistet. Zwar gibt es theoretisch Möglichkeiten, sich gegen die US-Sicherheitsbehörden zu wehren. Praktisch geht der EDSB allerdings nicht davon aus, dass diese Rechtsschutzmittel nicht besonders erfolgsversprechend sind. Ein bloß auf Papier vorhandener Rechtsschutz reicht der DSGVO aber nicht aus. Die betroffene Person hat unter Beachtung von Art. 47 GRCh Anspruch auf einen praktisch wirksamen und effektiven Rechtsschutz.
• Es ist, so der EDSB, nicht garantiert, dass die übermittelten Daten ausschließlich zur Abwehr der antizipierten Gefahr dienen. Das heißt, dass der Verantwortliche nicht sicher sein kann, dass die übermittelten Daten nicht zukünftig auch für andere Zwecke (zum Beispiel andere Ermittlungsverfahren, andere Maßnahmen, evtl sogar völlig fernab der Gefahrenabwehr) verwendet werden. Der betroffenen Person kann dieses Risiko der Zweckentfremdung nur schwer zugemutet werden.
• Bei der Übermittlung muss das Prinzip der Verhältnismäßigkeit gewahrt werden. Die Übermittlung von Daten an Ermittlungsbehörden in die USA ist für die betroffene Person mit einem hohen Risiko verbunden. Da reicht nicht jede Gefahr aus, um dieses Risiko zu überbieten. Stattdessen muss der Verantwortliche abhängig von der Schwere des Eingriffs und der im Raum stehenden Gefahr entscheiden, ob die Interessen der betroffenen Person zurückstehen.
• Ob der Verantwortliche überhaupt eine qualifizierte Risikoanalyse vornehmen kann, ist fraglich. Denn dafür bräuchte er möglichst umfassende Informationen und Kenntnisse ob der Sachlage. Eine echte Risikoanalyse setzt also auch voraus, dass der Verantwortliche durch die US-Sicherheitsbehörde hierzu in die Lage versetzt und mit Informationen versorgt wird. Das wird wohl nicht passieren.

Für eine Übermittlung spricht:

• Die Verweigerung der Übermittlung beinhaltet das Risiko für das Unternehmen, von den US-Sicherheitsbehörden sanktioniert zu werden. Die Übermittlung dient also der Vermeidung finanzieller Risiken bei dem Verantwortlichen.

Die Vermeidung eigener finanzieller Lasten ist allerdings nur ein Aspekt in der Abwägung der berechtigten Interessen. Das Ergebnis einer Abwägung kann auch bei Beachtung finanzieller Einbußen dahin gehen, dass die berechtigten Interesse der betroffenen Person am Datenschutz überwiegen.

Dann darf das Unternehmen die Übermittlung nicht vornehmen und muss das Bußgeld in den USA schlicht und einfach hinnehmen – wenn es sich DSGVO-konform verhalten will.

Wenn das Unternehmen das US-Bußgeld vermeiden will, müsste es in diesem Fall gegen die DSGVO verstoßen und die Daten ohne Rechtsgrundlage verarbeiten. In diesem Fall droht ein entsprechendes Bußgeld durch die Datenschutzbehörden der EU. Der Erhalt einer CLOUD-Act-Anordnung kann somit zu der Frage führen, welchem Bußgeldrisiko man lieber ausgesetzt sein will: US-Bußgeldern oder EU-Bußgeldern.

Das Ergebnis der Prüfung ist also: Ganz regelmäßig dürfte keine Rechtsgrundlage bestehen, um einer CLOUD-Act-Anordnung DSGVO-konform zu folgen.

Ausnahmen bestehen allenfalls dann, wenn die Übermittlung lebenswichtigen Interessen der betroffenen Person dient oder schlichtweg haushoch überragenden Interessen Dritter oder der Allgemeinheit. In welchem Fall diese Ausnahmen allerdings vorliegen, kann der Verantwortliche regelmäßig nicht beurteilen, da es ihm an Informationen mangelt.

2. Anforderungen an die Übermittlung in Drittstaaten – Art. 49 DSGVO?

Tun wir aber einmal so, als bestehe eine Rechtsgrundlage nach Art. 6 I DSGVO. Wenn eine Rechtsgrundlage für eine Verarbeitung nach Art. 6 I DSGVO grundsätzlich besteht, bedeutet dies aber noch nicht, dass auch die Übermittlung in einen Drittstaat bereits erlaubt ist. Denn dafür müssen zusätzlich die besonderen Voraussetzungen des Art. 49 DSGVO gegeben sein.

Dieser Artikel kommt Ihnen zu recht bekannt vor. Wir haben uns in Teil 1 der Blog-Reihe intensiv mit ihm befasst. Wie Sie sich erinnern (oder gerade nochmal schnell nachgelesen haben ?) ist Art. 49 DSGVO ein letzter Anker, wenn eine Übermittlung in einen Drittstaat ausnahmsweise möglich sein soll. Wir haben festgehalten, dass Art. 49 DSGVO nur Ausnahmesituationen regeln soll. Die Vorschrift erhält – ähnlich wie Art. 6 DSGVO – einen Katalog von Gründen, wann eine Übermittlung in einen Drittstaat ausnahmsweise erfolgen darf.

Art. 49 I 1 d) [öffentliche Interessen] – Übermittlungen können im öffentlichen Interesse liegen und deshalb erlaubt sein. Öffentliche Interessen sind jedoch nur Interessen der Europäischen Union oder ihrer Mitgliedsstaaten. Interessen von Drittstaaten wie der USA reichen hier nicht aus. Vielmehr müsste die Übermittlung der personenbezogenen Daten in solchen Fällen im Interesse der EU-Strafverfolgung liegen.

Art. 49 I 1 e) [laufendes Verfahren] – Die Übermittlung kann für die Geltendmachung, Verteidigung oder Führung von juristischen Verfahren im Drittstaat erfolgen. Gedankengang wäre hier, eine Übermittlung von Daten nach dem CLOUD Act zur Gefahrenabwehr zuzulassen, da diese Daten in späteren Verwaltungs- oder Strafverfahren noch benötigt werden könnten. Allerdings, so wendet der EDSB ein, ginge das zu weit. Denn es reicht nicht aus, dass die übermittelten Daten in einer unbestimmten Zukunft mal in einem entsprechenden Verfahren von Relevanz sein könnten.

Art. 49 I 1 f) [Schutz lebenswichtiger Interessen] – Auch eine Übermittlung in Drittstaaten ist für den Schutz lebenswichtiger Interessen der betroffenen Person erlaubt. Hier gilt allerdings das Gleiche wie oben bei Art. 6 I d) DSGVO. In Betracht kommen nur lebenswichtige Interessen der von der Übermittlung betroffenen Person, nicht der Schutz von Dritten oder der Allgemeinheit. Die Übermittlung kann zudem nur in absoluten Ausnahmefällen auf lebenswichtige Interessen gestützt werden, regelmäßig sind andere Vorschriften vorrangig. Insbesondere sollen die spezielleren Vorschriften zum Austausch von Daten zwischen den USA und der EU unter MLAT vorrangig sein. MLAT soll nicht umgangen werden, indem man einfach schnell lebenswichtige Interessen für die Übermittlung heranzieht.

Art 49 I 2 [berechtigtes Interesse] – Last but also least. Die DSGVO erlaubt, wenn keine andere Erlaubnisnorm besteht, sonst nichts denkbar ist und eine Übermittlung in die USA dennoch erforderlich ist, unter sehr engen Voraussetzungen dennoch die Übermittlung:

• Nicht wiederholend
• Nur eine begrenzte Zahl Personen betreffend
• Wahrung zwingender berechtigter Interessen des Unternehmens
• Kein Überwiegen der berechtigten Interessen der Betroffenen
• Beurteilung aller Umstände der Datenübermittlung abgewogen
• Angemessene Garantien für die Übertragung und Weiterverarbeitung

Die Voraussetzungen für eine Übermittlung nach Art. 49 I 2 DSGVO sind damit unfassbar hoch und quasi nicht zu erreichen. Sollten Sie sich mit Mühe und Not irgendwie zu Punkt 5 durchschlagen, würde die Hürde der „Beurteilung aller Umstände“ kaum zu meistern sein. Denn um alle Umstände zu beurteilen, müssen Sie erstmal alle Umstände kennen. Und wie oben schon festgestellt liegt hier das Problem. Die anordnende Sicherheitsbehörde wird Sie nicht derart umfassend informieren, als dass Sie alle Umstände der Datenübermittlung kennen und folglich damit abwägen könnten.

3. Konsequenz: Übermittlung verstößt regelmäßig gegen die DSGVO

Bei Betrachtung der zwei Schritte, die der EDSB zur Prüfung von CLOUD-Act-Anordnungen vorgeschlagen hat, wird deutlich: Zwar ist es rechtstheoretisch denkbar, eine CLOUD-Act-Anordnung zu befolgen, ohne gegen die DSGVO zu verstoßen. In der unternehmerischen Praxis ist das allerdings nahezu ausgeschlossen.

Die Beantwortung von CLOUD-Act-Anordnungen verstößt also gegen die DSGVO. Schon eine Rechtsgrundlage für die Verarbeitung besteht eher nicht. Und selbst dort, wo sie besteht, ist eine Übermittlung nach Art. 49 DSGVO faktisch ausgeschlossen. Deshalb hält auch der EDSB abschließend fest:

„Currently, unless a US CLOUD Act warrant is recognised or made enforceable on the basis of an international agreement, and therefore can be recognised as a legal obligation, as per Article 6(1)(c) GDPR, the lawfulness of such processing cannot be ascertained, without prejudice to exceptional circumstances where processing is necessary in order to protect the vital interests of the data subject on the basis of Article 6(1)(d) read in conjunction with Article 49(1)(f).“

Was muss ich jetzt beim Kontrahieren mit US-Unternehmen beachten?

Wenn das Befolgen einer CLOUD-Act-Anordnung datenschutzrechtlich nicht möglich ist und jedes US-Unternehmen dem CLOUD-Act unterliegt, was folgt daraus für EU-Unternehmen, die mit einem US-Unternehmen einen Vertrag schließen wollen?

Immerhin unterliegen alle Daten, die im Rahmen dieser Vertragsbeziehung ausgetauscht werden, dem theoretischen Risiko eines CLOUD-Act-Zugriffs, auch wenn die Daten auf Servern in der EU gespeichert werden. Könnte aus dem Vorgesagten sogar die Konsequenz gezogen werden, dass schon das Kontrahieren mit US-Unternehmen wegen dieses Risikos gegen die DSGVO verstößt? Selbst, wenn die dabei ausgetauschten Daten ausschließlich und vertraglich zugesichert nur im EWR gespeichert werden?

An dieser Stelle kann ich Sie zum Glück beruhigen, soweit geht es nicht. Die Erkenntnis, dass einer CLOUD-Act-Anordnung nicht datenschutzkonform gefolgt werden kann, bedeutet nicht, dass bereits das Kontrahieren mit einem US-Unternehmen unzulässig ist.

Hierfür gibt es auch bereits eine gerichtliche Bestätigung. Der Conseil d’Etat, das oberste Verwaltungsgericht Frankreichs, musste in dieser Konstellation nämlich bereits entscheiden. Die französische Datenschutzaufsicht Commission Nationale de l’Informatique et des Libertés (CNIL) wollte das Hosting von Gesundheitsdaten auf Servern des US-Unternehmens Microsoft untersagen. Diese Entscheidung hielt vor Gericht nicht stand.

Wie Patrice Navarro und Franҫois Zannotti von Hogan Lovells mitteilen, führt das oberste Verwaltungsgericht das Folgende zur Begründung an:

Die EuGH-Rechtsprechung zu Schrems II betrifft nur die Konstellation, in denen die personenbezogenen Daten zu anderen Zwecken in die USA übermittelt werden und dort dann einer Herausgabeanordnung nach FISA 702 bzw EO 12333 werden. Das Urteil zu Schrems II ist auf Anordnungen nach dem CLOUD Act, der sich auf Daten bezieht, die im EWR gespeichert sind, nicht übertragbar.

Die bloße Gefahr, dass Microsoft durch den CLOUD Act zur Herausgabe eines Datums verpflichtet werden könnte, stelle noch keinen Datenschutzverstoß des Microsoft-Kunden dar. Zudem bestehe ein berechtigtes Interesse an der Verarbeitung der Gesundheitsdaten zur Bekämpfung der Pandemie.

Der Austausch von personenbezogenen Daten mit US-Unternehmen, die dem CLOUD Act unterliegen, sei innerhalb des Territoriums der EU nicht per se ein Verstoß gegen die DSGVO, so das Verwaltungsgericht, das die geforderte Untersagung der Speicherung der Gesundheitsdaten bei Microsoft ablehnte.

Soweit, so gut – allerdings muss gesagt werden, dass das Gericht in diesem Spezialfall noch eine klarstellende Vereinbarung zwischen Microsoft und dem Kunden verlangt hat, in dem vorgesehen werden sollte, dass die geschlossene Zusatzvereinbarung (die uns nicht vorliegt) für alle genutzten Microsoft-Dienste gilt und zudem  europäischem (hier wohl dem Recht Frankreichs oder Irlands) unterliegen. Weshalb das so ist – das anwendbare Recht etwa ergibt sich auch aus dem sogannanten internationalen Privatrecht  und kann hier auch nur irisches oder französisches Recht sein – lässt sich aus den wenigen Informationen, die uns vorliegen, nicht erkennen. Dass sich das 1:1 übertragen lässt, ist bei diesem sehr speziellen Sachverhalt indes unwahrscheinlich.

Klar ist jedoch, dass eine Datenverarbeitung in der EU durch ein Unternehmen, welches eine US-Muttergesellschaft hat, nicht allein wegen des CLOUD Acts per se rechtswidrig ist. Dass daneben sensible Daten – etwa Gesundheitsdaten – verschlüsselt gehören und zwar schon wegen eines möglichen Hacker-Angriffs und nicht nur wegen des deutlich unwahrscheinlicheren Zugriffs von US-Strafverfolgungsbehörden via CLOUD Act, versteht sich von selbst.

Bei der Auswahl von Dienstleistern mit US-Muttergesellschaften sollte darauf geachtet werden, wie diese mit Anfragen nach dem CLOUD Act umgehen. Wer ohne weitere Prüfungen Daten einfach herausgibt, ist sicherlich kein empfehlenswerter Dienstleister, denn nach Art. 28 DSGVO dürfen nur Auftragsverarbeiter gewählt werden, die die Daten im Einklang mit den Anforderungen der DSGVO verarbeiten. Wir haben aber gesehen, dass die Übermittlung in die USA auf Basis des CLOUD Acts eine Datenschutzverletzung darstellt. Sinnvoll dürften auch Klauseln sein, dass der Dienstleister Sie informieren muss, wenn die US-Mutter mit einer CLOUD-Act-Anfrage an ihn herantritt. Dokumentieren Sie die Verhandlungen zu den Ergänzungen bzw. dem, was Sie bei der Recherche herausgefunden haben. Schließlich obliegt es dem Verantwortlichen nachzuweisen, dass er die von der DSGVO aufgestellten Grundsätze der Datenverarbeitung beachtet.

Schlussfolgerung

Uff…, auch heute haben Sie sich durch sehr viel Stoff kämpfen müssen. Der CLOUD Act bedeutet für den transatlantischen Datenverkehr Herausforderungen und Fragestellungen.

Immerhin konnten wir feststellen, dass nicht bereits das Kontrahieren mit einem Unternehmen, welches dem CLOUD Act unterliegt, gegen die DSGVO verstößt. Ein paar zusätzliche vertragliche Regelungen im Hinblick auf den CLOUD Act können jedoch nicht schaden, im Gegenteil.

Bis dahin, bleiben Sie gesund und bis zum nächsten Mal!

Die Links zu den weiteren Blog-Beiträgen der Reihe „Rechtslage im transatlantischen Datenverkehrfolgen“ peu à peu.

Teil 1 – Einführung. Wir brauchen eine gemeinsame Arbeitsgrundlage. Dazu ist es nötig, sich den gesamten Themenkomplex zu erschließen und ein wenig zu strukturieren. Was ist überhaupt Schrems II? Was sind die maßgeblichen Vorschriften in den USA und wie können diese kritisch eingeordnet werden. Und was hält eigentlich das US-Handelsministerium von Schrems II?

Teil 2 –  Datentransfers auf Basis von geeigneten Garantien – Gibt es tatsächlich kein vergleichbares Schutzniveau zwischen der USA und der EU? Und wie sind die Empfehlungen der Aufsichtsbehörden, also des EDSA, zu betrachten?

Teil 4 – Fazit Teil I.  Wieso treffen die Einschätzungen und Empfehlungen der Datenschutzbehörden nicht zu? Vom risikobasierten Ansatz und der notwendigen Differenzierung im Datenschutzrecht.

Teil 5 – Fazit Teil II. Weshalb sich der EuGH nicht mit Ruhm bekleckert hat und wieso die Entscheidung Schrems II aus mehreren Gründen nicht überzeugend sein kann.

* Tobias Hinderks studiert derzeit an der Universität Hamburg und ist seit April 2018 als studentischer Mitarbeiter bei der Anwaltskanzlei Diercks beschäftigt.

** Nina Diercks ist Rechtsanwältin für Datenschutz und hat diesen Blog irgendwann mal ins Leben gerufen. 😉