Ein Blogbeitrag von Mareike Gehrmann, Fachanwältin für IT-Recht und Salary Partnerin bei der Wirtschaftskanzlei Taylor Wessing
Die deutschen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz) haben am 25. Januar 2022 ein in Auftrag gegebenes Rechtsgutachten von Professor Stephen I. Vladeck, University of Texas School of Law, zum aktuellen Stand des US-Überwachungsrechts veröffentlicht (deutsch / englisch / wesentliche Befunde). Dieses macht deutlich: Die Zugriffsrechte der US-Sicherheitsbehörden und Geheimdienste sind weitreichender als gedacht. Zuvor hatte der Europäische Datenschutzausschuss (EDSA), bestehend aus Vertretern der nationalen Datenschutzbehörden und des Europäischen Datenschutzbeauftragten, das Datenschutzniveau von Indien, China und Russland überprüfen lassen. Das Ergebnis: Auch in diesen Ländern sind die staatlichen Zugriffsrechte kaum eingeschränkt. Internationale Datentransfer werden also noch schwieriger. Was bedeutet dies nun für Unternehmen in Deutschland und in den Niederlanden?
Weitreichende Rechte der US-Geheimdienste, auch auf Daten in der EU
Die Feststellungen des seitens der Datenschutzkonferenz in Auftrag gegebenen Gutachtens sind weitreichend für den internationalen Datentransfer. So heißt es dort:
- Weiter Anwendungsbereich: Zwar unterlägen nur sog. „Anbieter elektronischer Kommunikationsdienste“ Abschnitt 702 im Foreign Intelligence Surveillance Act (FISA 702). Dieser regelt, welche Unternehmen unter welchen Voraussetzungen verpflichtet sind, US-Sicherheitsbehörden und Geheimdiensten Zugriffe auf Daten zu gewähren. Dennoch sei der Anwendungsbereich dieser Norm weiter als bislang gedacht. Denn neben den klassischen Anbietern von elektronischen Telekommunikationsdiensten könnten auch Unternehmen wie z.B. Banken oder Hotels FISA 702 unterfallen. Dies sei abhängig davon, welche Leistung die Unternehmen erbrächten. Zum Beispiel sei ein Unternehmen von einem US-Gericht als „Anbieter elektronischer Kommunikationsdienste“ eingestuft worden, weil es seinen Mitarbeitern einen E-Mail-Dienst bereitgestellt hatte.
- Keine proaktive Pflicht: Positiv sei, dass die Gewährung eines solchen Zugriffs nur auf Anweisung zu erfolgen habe. Eine proaktive Pflicht zur Bereitstellung von Daten gebe es hingegen nicht.
- Alle Datenarten betroffen, auch in der EU: Die US-Geheimdienste seien aufgrund von FISA 702 berechtigt, auf alle Arten von Daten, also in gewissen Situationen auch auf Metadaten oder Kommunikationsinhalte, zuzugreifen. Es komme auch nicht darauf an, woher die Daten kämen, sondern ob sie im Zeitpunkt der Abfrage auf Servern in den USA ruhen oder über eine US-Infrastruktur übertragen werden. US-Geheimdienste könnten deshalb wohl auch auf Daten außerhalb der USA zugreifen, falls es sich um US-Unternehmen (einschließlich deren EU-Gesellschaften) handele. Im Übrigen könne FISA 702 auch für EU-Unternehmen gelten, die eine US-Tochtergesellschaft hätten.
- Verstoß gegen ausländisches Recht irrelevant: US-Geheimdienste würden bei der Entscheidung über Zugriffsmaßnahmen nicht miteinbeziehen, ob die Maßnahme gegen EU-Recht (z.B. die Datenschutz-Grundverordnung (DSGVO)) verstoße. Vielmehr regele FISA 702 explizit, dass Gesetze anderer Staaten unbeachtlich seien. Auch stünden betroffenen EU-Bürgern nur sehr eingeschränkt Rechtsbehelfe zur Verfügung.
Staatlicher Zugriff auch in China, Russland und Indien zu weitreichend
Zuvor hatte bereits der EDSA eine Studie („Legal study on Government access to data in third countries“) in Auftrag gegeben und den finalen Bericht hierzu am 14. Dezember 2021 veröffentlicht. Diese Studie ergab, dass das Datenschutzniveau in China grundsätzlich nicht als angemessen angesehen werden könne. Auch hinsichtlich des Datenschutzniveaus in Indien und Russland gebe es erhebliche Bedenken. Zwar sei ein Datenschutzrecht in allen Länder mehr oder weniger gesetzlich verankert. Die Verfassungen und Gesetze ließen zum Zwecke der nationalen Sicherheit aber viel Spielraum für einen (nahezu) uneingeschränkten Zugriff des Staates auf (personenbezogene) Daten. Zum Teil seien die Zugriffsrechte noch nicht einmal transparent und unterlägen keiner gerichtlichen Kontrolle. Auch würden die Rechte der Betroffenen stark eingeschränkt.
Ausblick für die Praxis
Was bedeuten diese Erkenntnisse nun für die Praxis?
Weder das Gutachten der Datenschutzkonferenz noch die Studie des EDSA geben Auskunft darüber, wie im konkreten Fall das Datenschutzniveau in den USA, China, Indien und Russland zu bewerten ist. Vielmehr geben sie nur grundsätzlich zur Datenschutzlage Auskunft. Dennoch werden die Datenschutzbehörden sowohl in Deutschland als auch in den Niederlanden die Erkenntnisse hieraus bei der Bewertung der konkreten Fälle zugrunde legen.
Ein Datenexporteur muss vor jedem Datentransfer prüfen, ob das Land in das die Daten transferiert werden, ein angemessenes Datenschutzniveau vorweist. Dies gilt vor allem bei Drittländern, also Ländern außerhalb der EU oder des EWR. Diese Risikobewertung wird Transfer Impact Assessment (TIA) genannt. Ein Datentransfer liegt bereits dann vor, wenn die personenbezogenen Daten in der EU gespeichert werden, aber z.B. aus den USA zu IT-Supportzwecken auf die Daten in der EU zugegriffen wird (z.B. E-Mail- oder IP-Adressen). Ein klassisches Szenario bei vielen IT-Diensten.
Falls Zweifel an einem angemessenen Datenschutzniveau bestehen, kann die Implementierung zusätzlicher technischer oder organisatorischer Schutzmaßnahmen (z.B. Verschlüsselung) dazu führen, dass das Datenschutzniveau im konkreten Fall als gleichwertig mit dem in der DSGVO angesehen wird. Ohne Implementierung solcher Schutzmaßnahmen dürfte ein Datentransfer in die USA, China, Indien oder Russland nunmehr datenschutzrechtlich unzulässig sein.
Im Fall USA empfiehlt es sich bei Durchführung einer TIA zukünftig zu fragen, ob das US-Unternehmen
- bereits aufgrund einer Anweisung verpflichtet war, nach FISA 702 personenbezogene Daten an US-Sicherheitsbehörden oder Geheimdienste herauszugeben.
- den Regelungen von FISA 702 tatsächlich unterfällt. Hierbei sollte auf das Gutachten Bezug genommen werden.
Verneint das US-Unternehmen diese Fragen dürfte sich dies zukünftig grundsätzlich positiv für die Risikobewertung im Rahmen der TIA auswirken. Natürlich aber nur, wenn diese Antwort tatsächlich glaubhaft ist.
Über die Autorin
Mareike Gehrmann ist Salary Partnerin bei Taylor Wessing. Als Fachanwältin für IT-Recht leitet sie Mandanten durch den Wandel der Digitalisierung. Sie verfügt über eine ausgewiesene Expertise im IT-Vertrags- und Datenschutzrecht und berät vor allem zu KI, Datenschutz und Cyber Security. Hierbei arbeitet sie grenzüberschreitend mit dem niederländischen Team von Taylor Wessing zusammen und betreut niederländische Unternehmen vor allem beim Eintritt in den deutschen Markt.
