US CLOUD-Act versus EU DSGVO

In der Wolke ist die Freiheit nicht grenzenfrei

09.05.2018
Von    und Adrian Hoppe
Dr. Michael Rath ist Rechtsanwalt, Fachanwalt für Informationstechnologie-Recht und Partner der Luther Rechtsanwaltsgesellschaft mbH mit Sitz in Köln. Zudem ist er Certified ISO/IEC 27001 Lead Auditor. Seine Beratungsschwerpunkte sind das IT-Recht, Datenschutzrecht und der Gewerbliche Rechtsschutz. Dr. Michael Rath ist u.a. Mitglied in der Deutschen Gesellschaft für Recht und Informatik e.V. (DGRI) und akkreditierter Schlichter für IT-Streitigkeiten bei der Schlichtungsstelle der DGRI.
Seit dem 23. März 2018 ist der so genannte CLOUD Act in den USA in Kraft. Vor dem Hintergrund der ab dem 25. Mai 2018 geltenden EU-DSGVO birgt dieses amerikanische Gesetzt großes Konfliktpotenzial.
Die EU-DSGVO und der CLOUD Act leuten eine weitere Runde zu einem Teil des grenzüberschreitenden Datentransfer ein.
Die EU-DSGVO und der CLOUD Act leuten eine weitere Runde zu einem Teil des grenzüberschreitenden Datentransfer ein.
Foto: Bennian - shutterstock.com

Am 22.03.2018 hat der US-Kongress den CLOUD Act (Clarifying Lawful Overseas Use of Data Act) als Teil des Haushaltsgesetzes (Omnibus Act) verabschiedet. Mit der Unterzeichnung des amerikanischen Präsidenten Donald Trump am 23.03.2018 trat es in Kraft. Durch den CLOUD Act dürfen US-Behörden zukünftig auch ohne Rückgriff auf internationale Rechtshilfeabkommen Zugriff auf (personenbezogene) Daten von (US-)Unternehmen erhalten, die nicht in der USA gespeichert werden.

Microsoft als "Auslöser"

Bisher war rechtlich stark umstritten, ob Anbieter von elektronischen Kommunikations- oder Cloud-Diensten den US-Behörden auch dann Zugang zu den Benutzerdaten gewähren müssen, wenn diese Daten im Ausland gespeichert sind.
Das Gesetz legt nun unter anderem fest, dass die bereits bestehende Verpflichtungen unabhängig davon erfüllt werden müssen, ob die betroffene Benutzerdaten, auf welche eine US-Behörde zugreifen will, innerhalb oder außerhalb der Vereinigten Staaten gespeichert ist.

Konkret bedeutet das, dass der Stored Communications Act auch auf im Ausland gespeicherte Daten anwendbar ist. Nach diesem bereits seit 1986 bestehenden Gesetz müssen US-Unternehmen den US-Behörden einen direkten Zugriff auf Daten aufgrund eines Rechtsaktes - zum Beispiel einer Verwaltungsanordnung - gewähren.

Aufhänger für das neue Gesetz dürfte das vielbeachtete Verfahren Microsoft v. United States vor dem U.S. Supreme Court sein. Darin ging es seit 2013 im Grundsatz um die Frage, ob Microsoft verpflichtet ist, auf Grundlage von Verwaltungs- und Justizanordnungen (in diesem Fall aufgrund eines Durchsuchungsbefehls) den US-Behörden Zugriff auch auf im Ausland (in diesem Fall Irland) gespeicherte Benutzerdaten zu gewähren. Unter Benutzerdaten versteht man in diesem Zusammenhang die vollständige Kommunikation, Aufzeichnungen oder andere Informationen. Microsoft hatte zunächst verweigert, den US-Behörden Zugang zu gewähren, und vor dem US Court of Appeals Recht bekommen.

Ein Urteil in dieser Sache wurde ursprünglich für Mitte des Jahres erwartet, ist aber mit dem CLOUD Act nun hinfällig. Kurz nach dessen Erlass haben die US-Behörden einen neuen Durchsuchungsbefehl auf Grundlage des neuen Gesetzes erlassen. Der Supreme Court stellte daraufhin am 17.04.2018 das Verfahren ein und verwies den Fall an das Gericht der Vorinstanz mit der Empfehlung zurück, das Verfahren dort ebenfalls einzustellen. Durch den neuen CLOUD Act hat sich die Hauptstreitfrage nach Ansicht des obersten US-Gerichts erledigt.

Umfassende Zugriffsrechte - geringe Kontrollmöglichkeiten

Das neue Gesetz soll grenzüberschreitende behördliche Ermittlungen vereinfachen, da die weltweit sehr unterschiedlichen und teilweise auch widersprüchlichen Regelungen zur Datenweitergabe im Rahmen von Ermittlungen die Tätigkeit der US-Behörden behindert haben sollen. Gleichzeitig sollen aber auch Rechtsstaat und Bürgerrechten gewährleistet werden.

Rechtliche Mittel gegen ein Vorgehen nach dem CLOUD Act haben US-fremde Personen jedoch kaum. Nur wenn das betreffende Land seinerseits ein Privatsphäre- und Datenaustauschabkommen mit den USA vereinbart hat, bestehen Zugriffsbeschränkungen und Kontrollmöglichkeiten. US-fremde Personen müssen sich also - solange ihre Heimatstaaten keine solchen Abkommen mit den USA abgeschlossen haben - darauf verlassen, dass der jeweilige Anbieter sich gegen den Rechtsakt der US-Behörde zur Wehr setzt und die Herausgabe der Daten beziehungsweise den Zugriff verweigert.

Microsoft deutete bereits an, dass man sich weiterhin gegen die entsprechenden Durchsuchungsbefehle der US-Behörden wehren wolle. Da diese Durchsuchungsbefehle aber oft mit einer Verschwiegenheitsverpflichtung - einem so genannten "gag order" - einhergehen, ist zumindest zweifelhaft, wie werthaltig diese Absichtsbekundung des Softwareunternehmens in der Praxis sind.

Unabhängig davon, ob der Betroffene selbst oder der US-Anbieter gegen den Rechtsakt einer US-Behörde vorgeht, soll sich das Vorgehen an den vorhandenen amerikanischen Rechtsinstrumenten orientieren. Diese sind jedoch - im Vergleich zur DSGVO, die vorrangig den Schutz personenbezogener Daten im Blick hat - eher auf die Unterstützung von Ermittlungstätigkeiten gerichtet. So erfolgt vor der Datenübermittlung eine "comity analysis" genannte Interessenabwägung. Nur wenn diese klar dazu führt, dass eine Datenübermittlung unbillig erscheint, schreitet das Gericht ein. Gesichtspunkte für die Abwägung sind unter anderem

  • das Ermittlungsinteresse der US-Behörde,

  • die Interessen ausländischer Staaten sowie

  • die Wahrscheinlichkeit und das Maß der Strafen im Ausland.

Kollision mit der DSGVO?

Abgesehen von den völkerrechtlichen Fragestellungen - darf ein Staat sich ohne Weiteres das Zugriffsrecht auf in anderen Staaten gespeicherte Daten einräumen und dadurch bestehende Rechtshilfeabkommen umgehen? - ist der CLOUD Act jedoch insbesondere vor dem Hintergrund der ab dem 25.05.2018 geltenden EU-DSGVO von Relevanz. Hier stellt sich die Frage, ob die direkte Datenübermittlung eines Unternehmens an eine US-Behörde nach der DSGVO überhaupt zulässig ist.

Entscheidend für die Zusammenarbeit mit Drittländern ist Art. 48 DSGVO. Danach dürfen Entscheidungen der Verwaltungsbehörde eines Drittlandes, mit denen von einem Verantwortlichen oder einem Auftragsverarbeiter die Übermittlung oder Offenlegung personenbezogener Daten verlangt wird, nur dann anerkannt oder vollstreckt werden, wenn sie auf eine internationale Übereinkunft gestützt sind. Beispiel dafür wäre etwa ein Rechtshilfeabkommen zwischen dem ersuchenden Drittland und der Union oder einem Mitgliedstaat.

Es erscheint sehr fraglich, ob der Direktzugriff noch als von (bestehenden) Rechtshilfeabkommen gedeckt angesehen werden kann. Alleine der Verstoß gegen den klaren Wortlaut der DSGVO dürfte schon für die Unzulässigkeit der Datenübermittlungen an die US-Behörden sprechen. Unterstützt wird dies durch Erwägungsgrund 115 zur DSGVO, der ein Unterlaufen des Schutzniveaus der DSGVO durch Rechtsakte von Drittländern (wie etwa dem CLOUD Act) gerade verhindern soll. Danach seien nur Datenübermittlungen zulässig, welche die Bedingungen der DSGVO für einen Drittlandtransfer einhalten. Eine Datenübermittlung wäre dann unzulässig.

Daraus folgt, dass Unternehmen, die (personenbezogene) Daten aus der EU direkt an US-Behörden übermitteln, einen Verstoß gegen Art. 48 DSGVO begehen könnten, der nach Art. 83 Abs. 5 lit. d) DSGVO bußgeldbewährt wäre. Im Ernstfall würden einem Unternehmen Bußgelder in Höhe von bis zu 20 Millionen Euro oder bis zu 4 Prozent des gesamten weltweiten Vorjahresumsatzes drohen, je nachdem, was höher ist.

Ausweg Datentreuhand?

Einen möglichen Ausweg zeigt Microsoft selbst mit seinem Programm "Office 365 Deutschland" auf. Hierbei betreibt T-Systems als Dienstleister für die Office-Anwendungen von Microsoft den Cloud-Dienst zum Abspeichern von Daten. Als so genannter "Datentreuhänder" hat grundsätzlich nur T-Systems Zugriff auf die Daten, welche zudem in Deutschland gespeichert sind. Microsoft erhält ausschließlich im Rahmen der Treuhandvereinbarung für Zwecke der Wartung und des Supports Zugriff auf die Daten, für andere Zwecke jedoch nicht.

Dies könnte einen Ausweg darstellen, um den direkten Datenzugriff der US-Behörden bereits im Vorhinein zu unterbinden. Denn das amerikanische Recht geht für einen Zugriff davon aus, dass die Daten im Besitz oder unter Kontrolle des jeweiligen Anbieters sein müssen. Das ist beim Modell der Datentreuhand jedoch gerade nicht der Fall. Ob die US-Behörden dies auch so sehen, muss sich in der Praxis aber erst noch zeigen.

Nächste Baustelle im Bereich Drittlandtransfer

Die von großen Internet-Unternehmen wie Google, Apple und Co. gelobte Rechtssicherheit herrscht somit nur auf amerikanischer Seite. Auf der europäischen Seite wäre mit Blick auf die Bußgeld- und Verfahrensrisiken hingegen eine baldige, klare Positionierung der Behörden wünschenswert.

Allerdings ist noch unklar, wann eine Reaktion der europäischen Datenschutzinstitutionen, zum Beispiel in Form von Handlungsempfehlungen durch die Artikel 29-Datenschutzgruppe, erfolgt. Diese dürfte derzeit unter anderem mit den möglichen Folgen des Brexit für den Datenschutz zu tun haben.

Andererseits plant die EU zurzeit ein zum CLOUD Act vergleichbares EU-Gesetz, mit dem Justizbehörden erleichterten (Direkt-)Zugriff zu "elektronischen Beweismitteln" erhalten könnten.

Vorerst sind Unternehmen mit Bezug zur USA - sei es durch Mutter-/Tochtergesellschaften oder Dienstleister - daher gut beraten, die Vorgaben der DSGVO rechtzeitig umzusetzen und die weiteren Entwicklungen hinsichtlich des Drittlandtransfers auf beiden Seiten des Atlantiks genauestens zu beobachten.