28.03.2018

Krieg der Daten - Kollision von EU DSGVO und US CLOUD Act

Portrait von Dennis G. Jansen, LL.M. (Berkeley)
Dennis G. Jansen, LL.M. (Berkeley) Rechtsanwalt (J-Law.de), General Counsel (CoachHub.io), und Gründer | Datenschutz, Software, IP, IT und IT-Beweismittel

Die Gestaltung des internationalen Datenzugriffs wird immer wichtiger. Personenbezogene Daten sind nicht nur wichtig für Dienstleistungen und Werbung, sondern auch beispielsweise für das Training künstlicher Intelligenzen. Der Datenschutz hat damit eine erhebliche Bedeutung für die wirtschaftliche und gesellschaftliche Entwicklung. Diese Bedeutung wird weiter verstärkt durch Skandale mit Bezug zu persönlichen Daten, z. B. die scheinbar unter Beteiligung von Cambridge Analytica mit Daten von Facebook maßgeschneiderte Wahlwerbung für Präsident Trump und den Brexit.

Vorstellung der DSGVO

Die EU hat mit der DSGVO vorgelegt, die Im Mai EU-weit anwendbar wird. Das Recht auf Privatsphäre ist ein in der EU-Grundrechte-Charta enthaltenes Grundrecht.

Die EU hatte sich zuvor mit Richtlinien um eine Vereinheitlichung bemüht. Allerdings lassen Richtlinien den Mitgliedstaaten teils viel Umsetzungsspielraum. Dies führte bislang zu einer Fragmentierung des Datenschutzes und unterschiedlichem Schutzniveau, was Probleme auch beim Datentransfer innerhalb der EU zur Folge hatte. Das soll sich mit der DSGVO ändern.

Vorstellung des CLOUD Acts

Letzten Freitag haben die USA nachgezogen: Präsident Trump hat den Clarifying Lawful Overseas Use of Data Act ("CLOUD Act") als Änderungsgesetz für den Stored Communications Act im Bundesgesetz über Strafen und Strafverfahren unterschrieben. Als Omnibusgesetz wurde der Act als Teil des Haushaltsgesetzes durchgewunken. Das Gesetz ändert die Rechtslage im Vergleich zur Entscheidung des Court of Appeals in Microsoft v. US (dazu später mehr).

US-Behörden dürfen nun ausdrücklich weitgehend unbeschränkt von ausländischem Recht auf ausschließlich im Ausland gespeicherte Daten US-fremder Personen und Unternehmen zugreifen, jedenfalls wenn US-Unternehmen diese kontrollieren. Nur wenn andere Länder ein Privatsphäre- und Datenaustausch-Abkommen mit den USA unterzeichnen, gibt es für ihre Bürger und Unternehmen kodifizierte Zugriffsbeschränkungen und Kontrollmöglichkeiten in den USA.

Sehr viel besser gestellt sind US-Personen nicht. Denn zwar ist auch hier der behördliche Zugriff auf Daten nicht unbeschränkt möglich. Ein Grundrecht auf Privatsphäre oder ein allgemein anwendbares umfassendes Datenschutzgesetz mit vergleichbarem Datenschutzniveau zum BDSG oder der DSGVO existiert in den USA nicht. Im Gegenteil könnten Ausländer mit einem Abkommen gegenüber US-Bürgern sogar teils besser gestellt werden.

Zweck der DSGVO

Die unterschiedlichen Regelungen der Mitgliedstaaten der EU zum Schutz personenbezogener Daten werden nun durch die DSGVO vereinheitlicht. Damit entsteht ein einheitlich hohes Schutzniveau, was nationale Grenzen für personenbezogene Daten innerhalb der EU weitgehend beseitigt. Dies wiederum soll unter anderem die Wirtschaftsunion stärken: "Diese Verordnung soll zur Vollendung eines Raums der Freiheit, der Sicherheit und des Rechts und einer Wirtschaftsunion, zum wirtschaftlichen und sozialen Fortschritt, zur Stärkung und zum Zusammenwachsen der Volkswirtschaften innerhalb des Binnenmarkts sowie zum Wohlergehen natürlicher Personen beitragen." (ErwGr 2 Satz 2) Staatliche Ermittlungen stellen für die DSGVO im Vergleich zum CLOUD Act eher einen Nebenkriegsschauplatz dar (vgl. ErwGr 19 und die separate Richtlinie (EU) 2016/680).

Zweck des CLOUD Acts

Zentraler Zweck des CLOUD Acts ist es, grenzüberschreitende behördliche Ermittlungen unter Beachtung von Rechtsstaat und Bürgerrechten zu vereinfachen. Gemäß § 2 des CLOUD Acts unterliegt der Zugriff auf weltweit vorliegende Daten unterschiedlichen und teils widersprüchlichen Regelungen, was Ermittlungen amerikanischer und ausländischer Behörden behindere. Im Rahmen internationaler Übereinkommen sollen sich beteiligte Regierungen zu Rechtsstaat, Schutz der Privatsphäre und Bürgerrechten - aber auch zum Datenaustausch - verpflichten.

Internationale Datenübertragungen gemäß DSGVO

Die DSGVO widmet mit Kapitel 5 einen ganzen Abschnitt dem Thema internationale Datenübertragungen, “um sicherzustellen, dass das durch diese Verordnung gewährleistete Schutzniveau für natürliche Personen nicht untergraben wird" (Art. 44 Satz 2 DSGVO).

Eine Übermittlung setzt voraus, dass z.B. das angemessene Schutzniveau im Zielland durch die EU-Kommission bestätigt wurde (Art. 45 DSGVO) oder andere geeignete Garantien vorliegen (Art. 46 DSGVO). Die EU-Kommission prüft für die Feststellung des Schutzniveaus nach Art. 45 DSGVO unter anderem, ob:

  • ein Land und seine Rechtsprechung Rechtsstaat, Menschenrechte und Grundfreiheiten beachten (Abs. 2 a),
  • wirksame unabhängige Aufsichtsbehörden die Einhaltung von Datenschutzregeln überwachen (Abs. 2 b) und
  • Verpflichtungen aus internationalen Übereinkommen bestehen (Abs. 2 c).

Internationale Datenübertragungen gemäß CLOUD Act

18 U. S. C. § 2713 verpflichtet Telekommunikationsanbieter und “remote computing services” (v. a. Cloudanbieter) Daten zu vorzuhalten, zu sichern und die Inhalte herauszugeben. Diese Pflicht besteht “unabhängig davon, ob sich die Kommunikation, Aufzeichnung oder andere Informationen innerhalb oder außerhalb der Vereinigten Staaten befinden”. Diese weite Regelung erscheint vor dem Hintergrund des völkerrechtlichen Souveränitätsprinzips nicht unproblematisch.

CLOUD Act im Konflikt mit ausländischem Recht

Diensteanbieter können gem. 18 U. S. C. § 2712 behördlichen Anordnungen binnen 14 Tagen durch ein Verfahren vor Gericht widersprechen, soweit sie vernünftigerweise davon ausgehen, dass die Anordnung ausländischem Recht widerspricht. Einen echten Richtervorbehalt sieht der CLOUD Act nicht vor.

Hohe Anforderungen an gerichtliches Einschreiten

Das Gericht prüft zunächst, ob es sich beim von der Anfrage Betroffenen nicht um einen US-Bürger handelt, sondern um jemanden aus einem “qualifizierten” Land handelt.

Qualifiziert, also überhaupt geschützt durch die Möglichkeit des Widerspruchs, sind nur Länder mit denen ein - in den USA nicht durch die Legislative ratifizierungsbedürftiges -  Exekutivabkommen gemäß dem ebenso neu eingefügten 18 U. S. C. § 2523 besteht.

Für ein solches Abkommen gibt es eine ganze Reihe von Anforderungen. Diese Anforderungen erinnern durchaus an die Regelungen für Datenübertragungen der DSGVO, enthalten jedoch auch z. B. die Verpflichtung, “den weltweiten freien Informationsfluss (...) zu schützen” und “wechselseitige Datenzugriffsrechte” zu gewähren (18 U. S. C. § 2523).

Verstoß gegen Recht “qualifizierten” Landes

Das Gericht darf die Anordnung einer US-Behörde nur verändern oder aufheben, wenn

  • die Gesetze eines qualifizierten Landes verletzt werden und
  • der Betroffene weder “US-Person” (z. B. Staatsbürger oder US-Unternehmen) ist, noch sich in den USA aufhält und
  • “die Interessen der Justiz es auf der Grundlage der Gesamtheit der Umstände diktieren, dass die Anordnung geändert oder aufgehoben werden sollte” (18 U. S. C. § 2713 (h) (2) (B), eigene Hervorhebung).

Selbst eindeutige schwere Verstöße gegen das Recht eines qualifizierten Landes führen also keinesfalls zwingend zu einer Aufhebung oder Modifikation einer Anordnung gemäß 18 U. S. C. § 2713.

Güterabwägung i. R. d. Comity Analysis

Für diese Prüfung stellt der CLOUD Act weitere Regeln auf: Das US-Gericht führt eine als comity analysis bezeichnete Güterabwägung durch. Das Gericht wägt unter anderem gegeneinander ab:

  • Das Ermittlungsinteresse der US-Behörde;
  • Interessen ausländischer Staaten;
  • Wahrscheinlichkeit und Maß der Strafen im Ausland.

Gemäß dem Act soll das Gericht nur einschreiten, wenn diese Abwägung klar (!) zum Ergebnis führt, dass eine Änderung erforderlich ist - die Interessen der Justiz es also “diktieren”. Es bleibt spannend abzuwarten, wie sich dieser Maßstab in der Rechtsprechungspraxis entwickeln wird.

Common Law International Comity

Denkbar wäre auch eine Auflösung von Konflikten des US-Rechts mit ausländischem Recht aufgrund allgemeiner Common-Law-Regeln für International Comity, ein schwer einzuordnendes Instrument des Common Law. Dies setzt natürlich voraus, dass der CLOUD Act diese Regeln nicht abbedungen hat und die Regeln so ausgelegt werden, dass etwas Handlungsspielraum besteht. Hier könnte die US v. Microsoft-Entscheidung möglicherweise noch für Überraschungen sorgen:

U.S. v. Microsoft-Entscheidung

Nach der Entscheidung des Court of Appeals sollte der Stored Communications Act nicht extraterritorial anwendbar sein, unter anderem um ungewollte Konflikte mit ausländischem Recht zu vermeiden (Seite 21 der Entscheidung). Ausschließlich ausländische Daten waren also vor dem Zugriff von US-Behörden unter dem Secure Communications Act entzogen. Um gegen diese Entscheidung vorzugehen hatte die US-Regierung den Supreme Court angerufen.

Die im Sommer erwartete U.S.-Supreme-Court-Entscheidung in US v. Microsoft ist aufgrund des CLOUD Acts wahrscheinlich weitgehend bedeutungslos geworden. Es war bereits vorher unwahrscheinlich, dass der Supreme Court nachdrücklich die Einhaltung ausländischen Rechts wie der DSGVO fordert oder zumindest die Entscheidung des Court of Appeals aufrechterhält.

Es scheint unwahrscheinlich, dass sich das Gericht der demokratisch legitimierten Entscheidung des CLOUD Acts - etwa durch Entwicklung eines verfassungsrechtlichen Instruments - direkt widersetzt. Denn der Act stellt bereits jetzt klar, dass Zugriff auf ausländische Daten möglich ist und unter welchen engen Voraussetzungen US-Institutionen hierbei ausländisches Recht berücksichtigen sollen.

Denkbar wäre allerdings, dass die Entscheidung die Common-Law-Regeln für International Comity als separat anwendbar ansieht und weit auslegt. Dies könnte für etwas mehr Flexibilität vor allem für solche Länder sorgen, welche kein Abkommen nach dem CLOUD Act mit den USA haben. Dadurch könnte der Druck, ein solches Abkommen abzuschließen, gemildert werden. 

Update: Die US-Regierung hat am 30. März 2018 die Auskunft von Microsoft unter dem CLOUD Act erneut beantragt. Der Solicitor General hat die Abweisung des Verfahrens US v. Microsoft unter Aufhebung der für Microsoft günstigen Entscheidung des Court of Appeals (2nd Circuit) beantragt.

Behandlung ausländischer Daten durch die DSGVO

Die DSGVO schützt im Gegensatz zum CLOUD Act auch viele Daten im Ausland: Die DSGVO findet weitgehend Anwendung auf Datenverarbeitung “(...) im Rahmen der Tätigkeiten einer Niederlassung (...)” in der EU sowie auf die Verarbeitung von Daten von “Personen, die sich in der Union befinden (...)” (Art. 3 DSGVO).

Konflikte zwischen europäischem und ausländischem Recht

Die europäische Art, Konflikte mit ausländischem Recht zu vermeiden, besteht zunächst darin, z. B. im Rahmen der Rom-Verordnungen klar das eine oder andere Gesetz als anwendbar zu erklären. Für die Anwendbarkeit von US-Recht genügen dagegen oft minimale Voraussetzungen, z. B. dass sich der Beklagte derzeit im Einzugsbereich eines US-Gerichts aufhält.

Die Anwendung öffentlichen Rechts wird in Europa regelmäßig auf das Staatsgebiet beschränkt. Die DSGVO regelt allerdings wie beschrieben teilweise Sachverhalte über das Staatsgebiet hinaus. Auch die DSGVO kann also durchaus zu Konflikten mit - regelmäßig weniger strengem - ausländischem Recht führen. Die DSGVO erwartet in Art. 48, dass für internationalen Datenaustausch internationale Abkommen geschlossen werden.

DSGVO v. CLOUD Act: Gegenüberstellung

Die DSGVO schützt von EU-Unternehmen betreute Daten grundsätzlich gleich stark, gleich ob es Daten von Ausländern oder EU-Bürgern sind (Art. 3 DSGVO). Der CLOUD Act schützt Daten von Ausländern wie beschrieben grundsätzlich nicht, sondern erlaubt nur den Abschluss von Abkommen hierzu. CLOUD Act und DSGVO setzen Datenschutz für einen Datenaustausch mit anderen Ländern voraus. Der CLOUD Act verlangt darüber hinaus einen Datenaustausch mit anderen Ländern, um deren Bürgern etwas Datenschutz zu gewähren: Nur dann wird ausländisches Recht im Rahmen des Gesetzes überhaupt berücksichtigt.

Kompatibilität des CLOUD Acts mit der DSGVO

Ohne ein internationales Abkommen könnte der CLOUD Act als eine Verpflichtung zum Verstoß gegen ausländisches Recht wie die DSGVO ausgelegt werden. Denn die DSGVO schützt auch vor Zugriff auf Daten aus dem Ausland. Selbst wenn die EU ein entsprechendes Abkommen unterzeichnete und ein qualifiziertes Land würde, wäre noch immer fraglich, ob das Verfahren den hohen Anforderungen der DSGVO gerecht wird:

Zwar enthält Art. 48 DSGVO insoweit eine relevante Spezialregelung, nach der EU-fremde Urteile oder sonstige Anweisungen, welche “die Übermittlung oder Offenlegung personenbezogener Daten” verlangen “(...) anerkannt oder vollstreckbar werden, wenn sie auf eine in Kraft befindliche internationale Übereinkunft wie etwa ein Rechtshilfeabkommen (...) gestützt sind”. Eine solche “internationale Übereinkunft” dürfte ein EU-US-Abkommen gemäß CLOUD Act darstellen.

Jedoch dürfte auch ein solches EU-US-Abkommen den strengen Anforderungen der DSGVO unterworfen werden. Dies kann der CLOUD Act wohl kaum gewährleisten. Ob eine strenge Regelung der Anordnungen durch US-Behörden genügen würde, ist unklar. Es könnte zwar dazu führen, dass Anfragen, die gegen die DSGVO verstoßen, gar nicht erst gestellt würden. Im deutschen Strafprozessrecht ist z.B. die Kontrolle der Staatsanwaltschaft schon vor dem Richtervorbehalt durchaus eine effektive Beschränkung. Allerdings ist schwer zu sagen, ob dies genügen wird.

Auswirkungen auf die Praxis

Zunächst einmal werden die Kompetenzen der US-Behörden ausgeweitet, zumindest die Kompetenz klargestellt. Sie dürfen unter dem Stored Communications Act nun zunächst auf alle ausländische Daten zugreifen.

Zudem erzeugt der CLOUD Act Druck auf andere Länder, internationale Abkommen über den Datenaustausch mit den USA zu schließen. Denn nach US-Recht ist dies der einzige effektive Weg, die Daten eigener Bürger vor unbeschränktem Zugriff der US-Behörden zu schützen. Beim Abschluss eines solchen Abkommens könnten andere Länder Zugriff auf US-Daten erhalten, was internationale strafrechtliche Ermittlungen stark fördern könnte.

Andererseits besteht auch ein Interesse anderer Länder, auf Datenschutzverletzungen erhebliche Strafen folgen zu lassen. Denn hierdurch dürften ihre Gesetze bei der comity analysis mehr Beachtung finden. Durch teils drastische Strafandrohungen ist die DSGVO hier bereits stark positioniert.

Apple, Facebook, Google und der Kläger vor dem Supreme Court Microsoft unterstützten den CLOUD Act, da er Konflikte mit ausländischem Recht reduziere. Sie vertrauen offenbar auf ein EU-US-Abkommen zum Datenschutz und Datenaustausch, auf common law comity oder eine Umgestaltung der Kontrolle über Daten. Denn davon abgesehen sind auch diese Unternehmen nun deutlicher als zuvor verpflichtet, US-Behörden im Ausland gespeicherte Daten ausländischer Staatsbürger herauszugeben, auch wenn hierdurch gegen ausländisches Recht verstoßen wird. Und ein solcher Verstoß kann im Falle von EU-Bürgern bald mit Strafen von 20.000.000 EUR und mehr bedacht werden.

Zurück