Datenverarbeitung in USA: sind die USA ein Rechtsstaat?

veröffentlicht am 16.09.2020 - aktualisiert am 07.11.2020 mit 1216 Worten - Lesezeit: 6 Minute(n) in * GEBRABBEL *

Inhaltsverzeichnis

Datenschutzrechtlich gibt es zunächst 2 Kategorien von Staaten: EU-Mitglieder und Drittländer. Innerhalb der EU ist eine Datenverarbeitung einfach: überall gilt die DSGVO als rechtliche Basis, sodaß in allen Mitgliedsländern das gleiche Datenschutzniveau gilt/gelten sollte. Und die Drittländer?

Datenverarbeitung außerhalb der EU

Rechtsgrundlagen

Datenübermittlungen an Drittländer müssen die Bedingungen des Kapitel 5 (ab Artikel 44) der DSGVO erfüllen. Als Rechtsgrundlage kommen in Betracht:

Angemessenheitsbeschluss der EU-Kommission (Art. 45):

(1) 1Eine Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation darf vorgenommen werden, wenn die Kommission beschlossen hat, dass das betreffende Drittland, ein Gebiet oder ein oder mehrere spezifische Sektoren in diesem Drittland oder die betreffende internationale Organisation ein angemessenes Schutzniveau bietet. 2Eine solche Datenübermittlungen bedarf keiner besonderen Genehmigung.

Der sog. “Privacy Shield”, aber auch das davor bereits vom EUGH gekippte “Safe Harbour”-Konstrukt, sind genau solche einseitigen Beschlüsse der Kommission.
Geeignete Garantien (Art. 46)

(1) Falls kein Beschluss nach Artikel 45 Absatz 3 vorliegt, darf ein Verantwortlicher oder ein Auftragsverarbeiter personenbezogene Daten an ein Drittland oder eine internationale Organisation nur übermitteln, sofern der Verantwortliche oder der Auftragsverarbeiter geeignete Garantien vorgesehen hat und sofern den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen.

In Absatz 2 dieses Artikels folgt dann eine längere Auflistung aller im Sinne dieses Artikels möglichen geeigneten Garantien, u. a. sind hier auch die sog. Standardvertragsklauseln (Version für konzerninterne Datenflüsse) erwähnt, die hier auch eine Rolle spielen.

Schrems-II-Urteil

Nun hat der EUGH in seinem kürzlichen Urteil den Angemessenheitsbeschluß “Privacy Shield” gekippt - ohne wenn und aber.

Interessant ist aber vor allem, welches Licht der EUGH bei dieser Gelegenheit auf das Thema „Datentransfer EU => USA“ geworfen hat (manchmal ist es wirklich interessant, mal so ein Urteil in Gänze durchzulesen):

Art. 46 Abs. 1 und Art. 46 Abs. 2 Buchst. c der Verordnung 2016/679 sind dahin auszulegen, dass die nach diesen Vorschriften erforderlichen geeigneten Garantien, durchsetzbaren Rechte und wirksamen Rechtsbehelfe gewährleisten müssen, dass die Rechte der Personen, deren personenbezogene Daten auf der Grundlage von Standarddatenschutzklauseln in ein Drittland übermittelt werden, ein Schutzniveau genießen, das dem in der Europäischen Union durch diese Verordnung im Licht der Charta der Grundrechte der Europäischen Union garantierten Niveau der Sache nach gleichwertig ist.
Bei der insoweit im Zusammenhang mit einer solchen Übermittlung vorzunehmenden Beurteilung sind insbesondere die vertraglichen Regelungen zu berücksichtigen, die zwischen dem in der Europäischen Union ansässigen Verantwortlichen bzw. seinem dort ansässigen Auftragsverarbeiter und dem im betreffenden Drittland ansässigen Empfänger der Übermittlung vereinbart wurden, sowie, was einen etwaigen Zugriff der Behörden dieses Drittlands auf die übermittelten personenbezogenen Daten betrifft, die maßgeblichen Elemente der Rechtsordnung dieses Landes, insbesondere die in Art. 45 Abs. 2 der Verordnung 2016/679 genannten Elemente.

Also: in den USA gibt es weder ein Schutzniveau für dorthin übermittelte Daten, das so halbwegs dem unseren entspricht, noch gibt es eine Rechtsordnung, die Übergriffe auf diese Daten verhindert oder den Betroffenen Rechte einräumt, sich zu wehren. Und weil es daran in den USA fehlt, wurde der Privacy Shield aufgehoben und die Standardvertragsklauseln in Frage gestellt, siehe z. B.

Rz. 187 Nach ständiger Rechtsprechung ist es dem Wesen eines Rechtsstaats inhärent, dass eine wirksame, zur Gewährleistung der Einhaltung des Unionsrechts dienende gerichtliche Kontrolle vorhanden sein muss. Daher verletzt eine Regelung, die keine Möglichkeit für den Bürger vorsieht, mittels eines Rechtsbehelfs Zugang zu den ihn betreffenden personenbezogenen Daten zu erlangen oder ihre Berichtigung oder Löschung zu erwirken, den Wesensgehalt des in Art. 47 der Charta verankerten Grundrechts auf wirksamen gerichtlichen Rechtsschutz (Urteil vom 6. Oktober 2015, Schrems, C‑362/14, EU:C:2015:650, Rn. 95 und die dort angeführte Rechtsprechung).

Aber weiter oben in einer früheren Randziffer wird festgestellt:

Rz. 181 Nach den Feststellungen im DSS-Beschluss müssen die auf Section 702 des FISA gestützten Überwachungsprogramme zwar unter Beachtung der aus der PPD-28 folgenden Anforderungen durchgeführt werden. Während die Kommission in den Erwägungsgründen 69 und 77 des DSS-Beschlusses hervorgehoben hat, dass solche Anforderungen für die amerikanischen Nachrichtendienste verbindlich seien, hat die amerikanische Regierung jedoch auf eine Frage des Gerichtshofs eingeräumt, dass die PPD-28 den betroffenen Personen keine Rechte verleihe, die gegenüber den amerikanischen Behörden gerichtlich durchgesetzt werden könnten. Folglich ist die PPD-28 nicht geeignet, ein Schutzniveau zu gewährleisten, das dem aus der Charta resultierenden Niveau der Sache nach gleichwertig wäre, entgegen den Anforderungen von Art. 45 Abs. 2 Buchst. a der DSGVO, wonach die Feststellung dieses Niveaus u. a. davon abhängt, ob die Personen, deren Daten in das fragliche Drittland übermittelt wurden, über wirksame und durchsetzbare Rechte verfügen.

und weiter

Rz. 182 Was die auf die E.O. 12333 gestützten Überwachungsprogramme anbelangt, geht aus den dem Gerichtshof vorliegenden Akten hervor, dass auch dieses Dekret keine Rechte verleiht, die gegenüber den amerikanischen Behörden gerichtlich durchgesetzt werden können.

Anmerkung: Nach der Verfassung der USA fällt die Gewährleistung der nationalen Sicherheit in die Zuständigkeit des Präsidenten als Oberbefehlshaber, Staatsoberhaupt und, soweit die Auslandsaufklärung betroffen ist, Verantwortlicher für die Außenpolitik der USA – in diesem hier behandelten Zusammenhang sind wichtig die PPD-28 = Presidential Policy Directive 28, Executive Order 12333 (‚E.O. 12333‘).

Folgen des Urteils

Einfach das kaputte Privacy Shield durch Standardvertragsklauseln ersetzen … Papier ausfüllen, Unterschriften drunter und gut ist … so einfach geht es auf keinen Fall, denn der EUGH verlangt:

Die Standardvertragsklauseln sind weiterhin gültig, müssen aber ggf. durch zusätzliche Maßnahmen gestützt werden, um ein angemessenes Datenschutzniveau zu gewährleisten. Der Verantwortliche muss dann zusätzliche Garantien bieten, die einen Zugriff durch die US-amerikanischen Geheimdienste effektiv verhindern und so die Rechte der betroffenen Personen schützen. Das wird er aber in aller Regel nicht können, denn er muß sich ja an die Gesetze seines Landes halten - darf also die Standardvertragsklauseln gar nicht unterschreiben …

Ausweg: Server in der EU?

Nun versuchen sich die einschlägigen US-Datenkraken aus dem Schlamassel rauszumogeln, indem sie auf ihre Serverstandorten innerhalb der EU verwiesen, aber das ist eher Augenwischerei. Denn es gibt ja den US-Cloud-Act …

Inhaltlich kurz zusammengefaßt:

Mit dem sogenannten CLOUD Act gilt seit Ende März 2018 ein US-Gesetz, das US-Behörden den Zugriff auch auf Daten gestattet, die US-amerikanische IT-Dienstleister oder Internetfirmen im Ausland speichern. Entgegen dem Titel des Gesetzes hat es nicht zwingend etwas mit Cloud-Diensten zu tun. CLOUD steht in diesem Fall für „Clarifying Lawful Overseas Use of Data Act“, auf Deutsch etwa „Gesetz zur Klarstellung des rechtmäßigen Umgangs mit Daten im Ausland“. Das Gesetz stellt sicher, dass es keine Rolle mehr spielt, ob Daten „in der Cloud“ oder in einem bestimmten Datenzentrum gespeichert sind – ob im In- oder Ausland.

Der CLOUD Act verpflichtet US-Unternehmen selbst dann zur Datenherausgabe, wenn lokale Gesetze am Ort des Datenspeichers dies verbieten. Die Datenherausgabe setzt auch nicht voraus, dass es ein internationales Rechtshilfeabkommen gibt, das solche Fälle regelt.

Eine Einschätzung dazu findet sich auch bei heise online.

Schlussfolgerung

Das klingt alles nicht gut – man könnte zu dem Schluss kommen, eine wie auch immer geartete Erlaubnis des Datenexportes durch die EU (per Angemessenheitsbeschluss) nach USA ist i. W. politisch motiviert (in der Hoffnung, daß es wieder ein paar Jahre dauert, bis der EUGH die Sache wieder kassiert). Und das wirft kein besonders positives Licht auf die EU-Kommission, die ja diese Beschlüsse trifft … 😦

Sollten also die USA sich hinsichtlich ihres Rechtssystems nicht bewegen und die Kommission dennoch wieder einen Angemessenheitsbeschluß treffen (es wird in der Szene schon gewitzelt: “nächste Station: Privacy Harbour”) … dann wissen wir, wer in Brüssel das Sagen hat - der Souverän (Bürger, Wähler) jedenfalls ist es dann nicht.