Datenschutzgutachten: USA können umfangreich auf Daten zugreifen

Datenschutzgutachten: USA können umfangreich auf Daten zugreifen

Ein Blogbeitrag von Mareike Gehrmann, Fachanwältin für IT-Recht und Salary Partnerin bei der Wirtschaftskanzlei Taylor Wessing

 

Die deutschen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz) haben am 25. Januar 2022 ein in Auftrag gegebenes Rechtsgutachten von Professor Stephen I. Vladeck, University of Texas School of Law, zum aktuellen Stand des US-Überwachungsrechts veröffentlicht (deutsch / englisch / wesentliche Befunde). Dieses macht deutlich: Die Zugriffsrechte der US-Sicherheitsbehörden und Geheimdienste sind weitreichender als gedacht. Zuvor hatte der Europäische Datenschutzausschuss (EDSA), bestehend aus Vertretern der nationalen Datenschutzbehörden und des Europäischen Datenschutzbeauftragten, das Datenschutzniveau von Indien, China und Russland überprüfen lassen. Das Ergebnis: Auch in diesen Ländern sind die staatlichen Zugriffsrechte kaum eingeschränkt. Internationale Datentransfer werden also noch schwieriger. Was bedeutet dies nun für Unternehmen in Deutschland und in den Niederlanden?

Weitreichende Rechte der US-Geheimdienste, auch auf Daten in der EU

Die Feststellungen des seitens der Datenschutzkonferenz in Auftrag gegebenen Gutachtens sind weitreichend für den internationalen Datentransfer. So heißt es dort:

  • Weiter Anwendungsbereich: Zwar unterlägen nur sog. „Anbieter elektronischer Kommunikationsdienste“ Abschnitt 702 im Foreign Intelligence Surveillance Act (FISA 702). Dieser regelt, welche Unternehmen unter welchen Voraussetzungen verpflichtet sind, US-Sicherheitsbehörden und Geheimdiensten Zugriffe auf Daten zu gewähren. Dennoch sei der Anwendungsbereich dieser Norm weiter als bislang gedacht. Denn neben den klassischen Anbietern von elektronischen Telekommunikationsdiensten könnten auch Unternehmen wie z.B. Banken oder Hotels FISA 702 unterfallen. Dies sei abhängig davon, welche Leistung die Unternehmen erbrächten. Zum Beispiel sei ein Unternehmen von einem US-Gericht als „Anbieter elektronischer Kommunikationsdienste“ eingestuft worden, weil es seinen Mitarbeitern einen E-Mail-Dienst bereitgestellt hatte.
  • Keine proaktive Pflicht: Positiv sei, dass die Gewährung eines solchen Zugriffs nur auf Anweisung zu erfolgen habe. Eine proaktive Pflicht zur Bereitstellung von Daten gebe es hingegen nicht.
  • Alle Datenarten betroffen, auch in der EU: Die US-Geheimdienste seien aufgrund von FISA 702 berechtigt, auf alle Arten von Daten, also in gewissen Situationen auch auf Metadaten oder Kommunikationsinhalte, zuzugreifen. Es komme auch nicht darauf an, woher die Daten kämen, sondern ob sie im Zeitpunkt der Abfrage auf Servern in den USA ruhen oder über eine US-Infrastruktur übertragen werden. US-Geheimdienste könnten deshalb wohl auch auf Daten außerhalb der USA zugreifen, falls es sich um US-Unternehmen (einschließlich deren EU-Gesellschaften) handele. Im Übrigen könne FISA 702 auch für EU-Unternehmen gelten, die eine US-Tochtergesellschaft hätten.
  • Verstoß gegen ausländisches Recht irrelevant: US-Geheimdienste würden bei der Entscheidung über Zugriffsmaßnahmen nicht miteinbeziehen, ob die Maßnahme gegen EU-Recht (z.B. die Datenschutz-Grundverordnung (DSGVO)) verstoße. Vielmehr regele FISA 702 explizit, dass Gesetze anderer Staaten unbeachtlich seien. Auch stünden betroffenen EU-Bürgern nur sehr eingeschränkt Rechtsbehelfe zur Verfügung.

Staatlicher Zugriff auch in China, Russland und Indien zu weitreichend

Zuvor hatte bereits der EDSA eine Studie („Legal study on Government access to data in third countries“) in Auftrag gegeben und den finalen Bericht hierzu am 14. Dezember 2021 veröffentlicht. Diese Studie ergab, dass das Datenschutzniveau in China grundsätzlich nicht als angemessen angesehen werden könne. Auch hinsichtlich des Datenschutzniveaus in Indien und Russland gebe es erhebliche Bedenken. Zwar sei ein Datenschutzrecht in allen Länder mehr oder weniger gesetzlich verankert. Die Verfassungen und Gesetze ließen zum Zwecke der nationalen Sicherheit aber viel Spielraum für einen (nahezu) uneingeschränkten Zugriff des Staates auf (personenbezogene) Daten. Zum Teil seien die Zugriffsrechte noch nicht einmal transparent und unterlägen keiner gerichtlichen Kontrolle. Auch würden die Rechte der Betroffenen stark eingeschränkt.

Ausblick für die Praxis

Was bedeuten diese Erkenntnisse nun für die Praxis?

Weder das Gutachten der Datenschutzkonferenz noch die Studie des EDSA geben Auskunft darüber, wie im konkreten Fall das Datenschutzniveau in den USA, China, Indien und Russland zu bewerten ist. Vielmehr geben sie nur grundsätzlich zur Datenschutzlage Auskunft. Dennoch werden die Datenschutzbehörden sowohl in Deutschland als auch in den Niederlanden die Erkenntnisse hieraus bei der Bewertung der konkreten Fälle zugrunde legen.

Ein Datenexporteur muss vor jedem Datentransfer prüfen, ob das Land in das die Daten transferiert werden, ein angemessenes Datenschutzniveau vorweist. Dies gilt vor allem bei Drittländern, also Ländern außerhalb der EU oder des EWR. Diese Risikobewertung wird Transfer Impact Assessment (TIA) genannt. Ein Datentransfer liegt bereits dann vor, wenn die personenbezogenen Daten in der EU gespeichert werden, aber z.B. aus den USA zu IT-Supportzwecken auf die Daten in der EU zugegriffen wird (z.B. E-Mail- oder IP-Adressen). Ein klassisches Szenario bei vielen IT-Diensten.

Falls Zweifel an einem angemessenen Datenschutzniveau bestehen, kann die Implementierung zusätzlicher technischer oder organisatorischer Schutzmaßnahmen (z.B. Verschlüsselung) dazu führen, dass das Datenschutzniveau im konkreten Fall als gleichwertig mit dem in der DSGVO angesehen wird. Ohne Implementierung solcher Schutzmaßnahmen dürfte ein Datentransfer in die USA, China, Indien oder Russland nunmehr datenschutzrechtlich unzulässig sein.

Im Fall USA empfiehlt es sich bei Durchführung einer TIA zukünftig zu fragen, ob das US-Unternehmen

  • bereits aufgrund einer Anweisung verpflichtet war, nach FISA 702 personenbezogene Daten an US-Sicherheitsbehörden oder Geheimdienste herauszugeben.
  • den Regelungen von FISA 702 tatsächlich unterfällt. Hierbei sollte auf das Gutachten Bezug genommen werden.

Verneint das US-Unternehmen diese Fragen dürfte sich dies zukünftig grundsätzlich positiv für die Risikobewertung im Rahmen der TIA auswirken. Natürlich aber nur, wenn diese Antwort tatsächlich glaubhaft ist.

 

Über die Autorin

Mareike Gehrmann ist Salary Partnerin bei Taylor Wessing. Als Fachanwältin für IT-Recht leitet sie Mandanten durch den Wandel der Digitalisierung. Sie verfügt über eine ausgewiesene Expertise im IT-Vertrags- und Datenschutzrecht und berät vor allem zu KI, Datenschutz und Cyber Security. Hierbei arbeitet sie grenzüberschreitend mit dem niederländischen Team von Taylor Wessing zusammen und betreut niederländische Unternehmen vor allem beim Eintritt in den deutschen Markt.

fapjunk
yasbetir1.xyz winbet-bet.com 1kickbet1.com 1xbet-ir1.xyz hattrickbet1.com 4shart.com manotobet.net hazaratir.com takbetir2.xyz 1betcart.com betforwardperir.xyz alvinbet.help/ ritzobet.org betforward.com.co betforward.help betfa.cam 2betboro.com 1xbete.org 1xbett.bet romabet.cam megapari.cam mahbet.cam وان ایکس بت بت فوروارد io games paper.io unblocked games unblocked games unblocked games yohoho unblocked

bahçeşehir evden eve nakliyat

başiktaş evden eve nakliyat

bağcılar evden eve nakliyat

beylikdüzü evden eve nakliyat

bakırköy evden eve nakliyat

başakşehir evden eve nakliyat

bahçelievler evden eve nakliyat

ıspartakule evden eve nakliyat

london escorts
şehirler arası nakliyat manisa şehirler arası nakliyat Çanakkale şehirler arası nakliyat Balıkesir şehirler arası nakliyat şehirler arası nakliyat şehirler arası nakliyat Tuzcuoğlu nakliyat
العربية مع كبير الثدي مارس الجنس
watch sister fucking
cadouri valentines day 2024
Meet disabled singles in Coffee shops
pierde virginitatea
asian sex with doll
Sfaturi pentru alimentația sănătoasă
teen redhead threesome
istanbul evden eve nakliyat Eşya depolama Ev depolama
İngilizce Türkçe çeviri siteleri kullanıcıların metinleri veya belgeleri yükleyerek anında tercüme yapmalarını sağlayan platformlardır Genellikle temel çeviri ihtiyaçlarını karşılamak için kullanılır ve geniş bir kullanıcı kitlesine hizmet verir. Ancak, tam anlamıyla doğru ve dilbilgisine uygun çeviriler için profesyonel çeviri hizmetlerine başvurmak daha güvenilir olabilir. Bu siteler, hızlı ve pratik bir çözüm sunarken, özellikle hassas veya teknik metinlerin çevirisinde profesyonel bir çevirmenin becerileri ve deneyimi gerekebilir.ingilizceturkce.gen.tr
Spanish to English translation involves accurately conveying not only the words but also the meaning, tone, and cultural nuances of the original text. Skilled translators proficient in both Spanish and English are essential to ensure accurate and effective translations. They must have a deep understanding of both languages' grammar, vocabulary, and idiomatic expressions to deliver high-quality translations. Spanish to English translation is widely used in various fields, including business, literature, media, and international communication. It plays a vital role in enabling cross-cultural understanding and facilitating global interactions.spanishenglish.net
X