Für den Transfer personenbezogener Daten in die USA und andere Drittstaaten muss im Empfängerland tatsächlich (und nicht nur auf dem Papier) ein entsprechendes Datenschutzniveau vorliegen. Das hat der Europäische Gerichtshof (EuGH) in seinem Urteil zum EU-U.S. Privacy Shield deutlich gemacht. Garantien wie EU-Standardvertragsklauseln reichen also nicht aus, wenn Gesetze vor Ort diese untergraben. Doch genau das ist in den USA der Fall.
Datenschutzfeindliche Gesetzgebung in den USA
In den USA gibt es vier Gesetze, die den Zugriff amerikanischer Behörden auf Daten regeln und die für die Bewertung des internationalen Datentransfers von besonderer Relevanz sind:
- Foreign Intelligence Surveillance Act (FISA) von 1978;
- USA Patriot Act von 2001;
- USA Freedom Act von 2005 sowie
- CLOUD Act (Clarifying Lawful Overseas Use of Data Act) von 2018.
Die Grundlage für nachrichtendienstliche Datenerhebung durch US-Behörden im Ausland bildet der FISA, zu welchem der Patriot Act und der Freedom Act befristete Änderungsgesetze darstellen. Eine zentrale Norm im FISA ist Section 702, welche die Überwachung von Nicht-US-Bürgern außerhalb des US-Territoriums etwa durch die NSA (National Security Agency) regelt. Das durch den Whistleblower Edward Snowden bekannt gewordene PRISM-Programm der NSA beruht z.B. auf FISA 702.
Der Freedom Act, der den Patriot Act weitestgehend modifiziert hat, erweitert die ohnehin schon äußerst weitreichenden Eingriffsmöglichkeiten von US-Behörden noch einmal stark.
Der CLOUD ACT, der entgegen seines Titels nichts mit Cloud-Diensten zu tun hat, ist hinsichtlich seines Regelungsgehalts von den genannten Gesetzen zu unterscheiden. Betroffen sind nicht nachrichtendienstliche Überwachungen, sondern die Erhebung von elektronischen Beweismitteln für Strafverfahren. Darauf gestützt werden können strafverfahrensrechtliche Durchsuchungs- und Beschlagnahmebeschlüsse einer US-Behörde zur Herausgabe von Daten als Beweismittel, auch wenn diese außerhalb des US-Territoriums gespeichert sind. Der CLOUD Act (auf Deutsch: „Gesetz zur Klarstellung über die rechtmäßige Verwendung von Daten im Ausland“) stellt somit klar, dass es keine Bedeutung hat, in welchem Land die Daten gespeichert sind.
Darüber hinaus gibt es noch die durch Präsident Reagan im Jahre 1981 erlassene Executive Order 12.333 (EO 12.333). Diese bevollmächtigt die Regierung zur Durchführung elektronischer Überwachungsmaßnahmen im Ausland zwecks Sammlung „ausländischer geheimdienstlicher Informationen“. Über den Umfang und die technische Ausgestaltung der Maßnahmen ist nicht viel bekannt. Gesichert ist jedenfalls, dass sie der Regierung einen großen Spielraum für die Überwachung von US-Amerikanern und anderen Staatsbürgern ohne richterliche Kontrolle oder andere Schutzbestimmungen bieten.
Bewertung der US-Gesetze durch den EuGH
Der EuGH prüfte im Verfahren zum EU-U.S. Privacy Shield, ob die Vereinigten Staaten das nach Art. 45 DSGVO (Datenschutz-Grundverordnung) im Licht der durch die Grundrechtecharta verbürgten Grundrechte erforderliche Schutzniveau gewährleistet. Grund für die Entscheidung, das EU-U.S. Privacy Shield für ungültig zu erklären, war zum einen, dass die staatlichen Einrichtungen der USA auf Grundlage nationalen Rechts aus Gründen der nationalen Sicherheit, der Strafverfolgung oder anderer im öffentlichen Interesse liegender Ziele uneingeschränkt personenbezogene Daten europäischer Bürger sammeln und nutzen. Weder Section 702 FISA noch die EO 12333 enthalten Einschränkungen der Zugriffsrechte oder Eingrenzungen des Umfangs der Datensammlung, was unvereinbar mit den Vorgaben der DSGVO ist.
Des Weiteren fehle es an einem effektiven gerichtlichen Rechtsschutz vor diesen Eingriffen. Es besteht für europäische Bürger keine Möglichkeit, sich gegen die Verarbeitung ihrer Daten durch US-Behörden gerichtlich zu wehren. Auch der Vorschlag der US-Regierung, für alle Betroffenen in der EU eine Ombudsperson im Rahmen des EU-U.S. Privacy Shields einzusetzen, könnte dem keine Abhilfe schaffen. Zum einen eröffnet diese Ombudsperson den Betroffenen keinen Rechtsweg zu einem Organ, das Garantien böte, die einem gerichtlichen Rechtsschutz gleichwertig wären. Zum anderen zweifelt der EuGH aufgrund der Ernennung durch den US-Außenminister an der Unabhängigkeit der Ombudsperson.
Serverstandort ist bei US-Unternehmen irrelevant
Viele Unternehmen in der EU unterliegen dem Irrtum, dass kein Zugriff amerikanischer Behörden droht, wenn der Server des jeweiligen US-Dienstleisters in Europa steht. Gerade große US-Firmen wie Google, Amazon und Microsoft werben gerne damit, eine europäische Tochtergesellschaft mit Serverstandort in Europa zu haben, wodurch kein Transfer in die USA stattfinden würde.
Ein Serverstandort in der EU schützt jedoch nicht vor US-Gesetzen: Der CLOUD Act ermächtigt US-Behörden auch auf Daten zuzugreifen, die US-amerikanische Dienstleister und deren Tochtergesellschaften außerhalb der USA speichern – selbst, wenn dies einen Konflikt mit dem nationalen Recht vor Ort darstellt.
Die DSGVO regelt in Art. 48 die Herausgabe von Daten an Behörden, wofür nach der Vorschrift ein Rechtshilfeabkommen erforderlich ist. Dennoch kann sich bspw. Google Ireland dem Datenherausgabeverlangen von US-Behörden nicht mit der Begründung entgegensetzen, die DSGVO erlaube dies nicht ohne ein entsprechendes Rechtshilfeabkommen, da Google Ireland einem amerikanischen Mutterkonzern angehört, der den amerikanischen Gesetzen unterliegt.
Fazit: Das Sanktionsrisiko steigt
Derzeit wird eine Übermittlung von Daten in die USA über den Abschluss sog. EU-Standardvertragsklauseln gerechtfertigt. In seinem Urteil zum EU-U.S. Privacy Shield hat der EuGH angemerkt, dass diese weiterhin ein taugliches Mittel sind, für ein angemessenes Datenschutzniveau zu sorgen. Jedoch müssen Datenexporteure zusätzliche, insbesondere technische Maßnahmen treffen, um die Daten vor einem Zugriff durch Behörden etc. zu schützen.
Da US-Dienstleister den oben aufgeführten Gesetzen unterliegen, ist es ihnen nicht ohne weiteres möglich, die Vorgaben der DSGVO einzuhalten. Welche weiteren Maßnahmen getroffen werden können, hat der Europäische Datenschutzausschuss (EDSA) in seiner Handlungsempfehlung zusammengestellt.
An der Entscheidung des EuGHs, das EU-U.S. Privacy Shield für ungültig zu erklären, erkennt man, dass der EuGH den Grundrechtsschutz europäischer Bürgerinnen und Bürger durchaus ernst nimmt. Nicht nur die USA, sondern auch andere Länder haben ähnliche Gesetze, die Behörden Zugriff auf Daten europäischer Bürgerinnen und Bürger gestatten. So stehen nun zum Beispiel auch das Vereinigte Königreich und dessen nationale Gesetze aufgrund des Brexits auf dem Prüfstand der Europäischen Kommission. Im hier näher beleuchteten Fall der USA hat der EuGH aufgrund einer Klage die Bewertung vor- und damit den Verantwortlichen zum Teil auch abgenommen. Bei anderen Drittländern müssen Verantwortliche selbst tätig werden.
Wer sich nicht daran hält, riskiert hohe Bußgelder. Aus der vermeintlichen Untätigkeit der Aufsichtsbehörden sollten keine falschen Schlüsse gezogen werden. Denn gerade im Fall der USA wurde den Aufsichtsbehörden durch die Feststellungen des EuGH ein klarer Maßstab vorgegeben und es gibt wenig Ermessensspielraum.
Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!