Logo der activeMind AG

Datenschutz-Probleme beim Einsatz von US-Dienstleistern

Inhalt

Für den Transfer personenbezogener Daten in die USA und andere Drittstaaten muss im Empfängerland tatsächlich (und nicht nur auf dem Papier) ein entsprechendes Datenschutzniveau vorliegen. Das hat der Europäische Gerichtshof (EuGH) in seinem Urteil zum EU-U.S. Privacy Shield deutlich gemacht. Garantien wie EU-Standardvertragsklauseln reichen also nicht aus, wenn Gesetze vor Ort diese untergraben. Doch genau das ist in den USA der Fall.

Problematische US-Überwachungsgesetze und Rechtsvorschriften

In den USA gelten die Überwachungsgesetze Foreign Intelligence Surveillance Act (FISA), Patriot Act und der CLOUD Act, die für die Bewertung des internationalen Datentransfers von besonderer Relevanz sind.

Insbesondere Section 702 FISA stellt eine Inkompatibilität mit dem europäischen Grundrecht auf Schutz der personenbezogenen Daten dar. Kodifiziert als 50 U.S. Code § 1881a ermöglicht das Gesetz US-Behörden auf alle Daten zuzugreifen, die durch US-Unternehmen verarbeitet werden. Der Generalstaatsanwalt und der Direktor der Nationalen Nachrichtendienste können für bis zu ein Jahr die Genehmigung erteilen, Informationen über Personen zu beschaffen, die sich außerhalb der USA befinden und nicht US-Bürger sind.

Anbieter eines elektronischen Kommunikationsdienstes können demnach verpflichtet werden, entsprechende Informationen herauszugeben. Setzt ein EU-Unternehmen beispielsweise US-Dienstleister wie Amazon Web Services (AWS) oder Google ein, haben die US-Behörden Zugriff auf die von dem EU-Unternehmen dort gespeicherten personenbezogene Daten. Ausschlaggebend ist, dass die Überwachung im Interesse der USA sein muss, z.B. zur Terrorismusbekämpfung oder Wirtschaftsspionage.

Der Patriot Act wurde nach den Anschlägen vom 11. September 2001 erlassen. Dieser stellt die gesetzliche Grundlage für die massenhafte Sammlung von Telefon-Metadaten durch die NSA dar. Wer wann mit wem wie lange telefonierte, wird erfasst und für fünf Jahre aufbewahrt. Zudem ermöglicht der Patriot Act die Internetüberwachung der NSA und die ohnehin umstrittenen Spähaktivitäten im Ausland.

Der Freedom Act modifiziert den Patriot Act teilweise und regelt, dass Verbindungsdaten nicht mehr von der NSA, sondern von den Telefongesellschaften gespeichert werden. Das Sammeln von Verbindungsdaten wurde also lediglich in private Hände übergeben.

Zum Vergleich: Die deutsche Vorratsdatenspeicherung wurde vom Europäischen Gerichtshof (EuGH) 2014 gekippt, mit der Begründung, dass anhand von Verbindungsdaten „sehr genaue Rückschlüsse“ auf das Privatleben von Personen geschlossen werden können und dies ein „schwerwiegender Eingriff der Richtlinie in die Grundrechte auf Achtung des Privatlebens und den Schutz personenbezogener Daten“ sei.

Der CLOUD Act ermöglicht US-Behörden ohne vorherige Genehmigung, auf Daten zuzugreifen, die von US-Unternehmen gespeichert sind, unabhängig davon, ob diese Daten auf Servern in den USA oder außerhalb der USA gespeichert sind. Hiervon sind nicht nur personenbezogene Daten umfasst, sondern auch Geschäftsgeheimnisse, Patente und andere wettbewerbsrelevante Informationen, auf die sich US-Behörden Zugriff verschaffen können.

Es wird nicht demnach nach dem Speicherort differenziert, da es ausreicht, dass die Daten durch einen Provider, der seinen Sitz oder seine Niederlassung in den USA hat oder dort einer Geschäftstätigkeit nachgeht, verarbeitet werden. Folglich ist jedes (EU-) Unternehmen, das cloudbasierte Datenverarbeitungen durch US-Provider oder ihre Tochtergesellschaften durchführt, potenziell von Herausgabeverlangen unter dem CLOUD Act betroffen.

Darüber hinaus gibt es die Executive Order (EO) 12.333. Diese bevollmächtigt US-Nachrichtendienste, Überwachungen außerhalb der USA durchführen. Insbesondere werden die US-Geheimdienste ermächtigt, „ausländische geheimdienstliche Informationen“ zu sammeln, d.h. Informationen, die aus der Kommunikation und anderen Daten gewonnen werden, die über Funk, Draht oder andere elektromagnetische Mittel übertragen werden oder zugänglich sind.

Über den Umfang und die technische Ausgestaltung der Maßnahmen ist nicht viel bekannt. Gesichert ist jedenfalls, dass sie US-Nachrichtendiensten einen großen Spielraum für die Überwachung von US-Amerikanern und anderen Staatsbürgern ohne richterliche Kontrolle oder andere Schutzbestimmungen bieten.

Bewertung der US-Gesetze durch den EuGH

Der EuGH beschäftigte sich bereits mehrfach mit dem Datenschutzniveau in den USA und den Datenschutzabkommen zwischen EU und USA. So kippten die Richter 2015 das Safe-Harbor-Abkommen im sogenannten Schrems-I-Urteil.

Im Schrems II-Urteil prüfte der EuGH im Jahr 2022 erneut, ob die Vereinigten Staaten ein nach Art. 45 DSGVO im Licht der durch die Grundrechtecharta verbürgten Grundrechte erforderliche Schutzniveau gewährleisten – und kippte auch das EU-U.S. Privacy Shield.

Nachdem der EuGH Section 702 FISA und E.O. 12333 unzureichenden Schutz für EU-Bürger attestierte, erließ Präsident Biden im Oktober 2022 die Executive Order (EO) 14086. Auf Basis dieser Executive Order bescheinigte die EU-Kommission den USA ein angemessenes Datenschutzniveau und vereinbarte ein neues Datenschutzabkommen – das EU-U.S. Data Privacy Framework.

Demnach soll der Zugriff von US-Nachrichtendiensten auf Daten (wie vom EuGH im Schrems-II-Urteil gefordert) auf das zum Schutz der nationalen Sicherheit erforderliche und verhältnismäßige Maß beschränkt werden. Zudem ist die Einrichtung eines unabhängigen und unparteiischen Rechtsbehelfsmechanismus für Betroffene in der EU vorgesehen, zu dem auch ein neues Datenschutzprüfungsgericht gehört.

Dennoch wurde und wird von mehreren Seiten Kritik an der neuen Executive Order ausgesprochen, beispielsweise vom Europäischen Datenschutzausschuss (EDSA). Die Kritik richtet sich insbesondere auf die Rechte der Betroffenen, die Weiterübermittlung personenbezogener Daten, den Umfang der Ausnahmen, die befristete Sammelerhebung von Daten und die praktische Funktionsweise des Rechtsbehelfsverfahrens. Zudem handelt es sich bei einer Executive Order nicht um ein Gesetz, sondern nur um eine interne Dienstanweisung des US-Präsidenten mit Gültigkeit innerhalb der US-Regierung.

Serverstandort ist bei US-Unternehmen irrelevant

Viele Unternehmen in der EU unterliegen dem Irrtum, dass nur ein Datentransfer in die USA problematisch ist und dass kein Zugriff amerikanischer Behörden droht, wenn der Server des jeweiligen US-Dienstleisters in Europa steht. Gerade große US-Firmen wie Google, Amazon und Microsoft werben gerne damit, eine europäische Tochtergesellschaft mit Serverstandort in Europa zu haben, wodurch kein Transfer in die USA stattfinden würde.

Ein Serverstandort in der EU schützt jedoch nicht vor US-Gesetzen: Der CLOUD Act ermächtigt – wie bereits erwähnt – US-Behörden auch auf Daten zuzugreifen, die US-amerikanische Dienstleister und deren Tochtergesellschaften außerhalb der USA speichern – selbst, wenn dies einen Konflikt mit dem nationalen Recht vor Ort darstellt.

Die DSGVO regelt in Art. 48 die Herausgabe von Daten an Behörden, wofür nach der Vorschrift ein Rechtshilfeabkommen erforderlich ist. Dennoch kann sich bspw. Google Ireland dem Datenherausgabeverlangen von US-Behörden nicht mit der Begründung entgegensetzen, die DSGVO erlaube dies nicht ohne ein entsprechendes Rechtshilfeabkommen, da Google Ireland einem amerikanischen Mutterkonzern angehört, der den amerikanischen Gesetzen unterliegt.

Datenschutzrechtliche Einschätzung

Es gibt zwar derzeit mit dem EU-U.S. Data Privacy Framework einen gültigen Angemessenheitsbeschluss für die USA, dennoch ändert sich am US-Recht wenig. Das grundsätzliche Problem der FISA Section 702 wurde von den USA nicht angegangen. Insbesondre wird die Massenüberwachung nicht eingeschränkt, sondern weiterhin explizit erlaubt. Es kann davon ausgegangen werden, dass europäische Daten, die an US-Provider gesendet werden, weiterhin von US-Nachrichtendiensten gesammelt werden, obwohl der EuGH diese Art von Überwachung bereits in seinen Urteilen Schrems I und auch Schrems II  als nicht verhältnismäßig und damit für unrechtmäßig erklärt hat.

Insbesondere an der Entscheidung des EuGHs, das EU-U.S. Privacy Shield für ungültig zu erklären, erkennt man, dass der EuGH den Grundrechtsschutz europäischer Bürgerinnen und Bürger durchaus ernst nimmt. Nicht nur die USA, sondern auch andere Länder haben ähnliche Gesetze, die Behörden Zugriff auf Daten europäischer Bürgerinnen und Bürger gestatten. So stehen nun zum Beispiel auch das Vereinigte Königreich und dessen nationale Gesetze aufgrund des Brexits auf dem Prüfstand der Europäischen Kommission. Im hier näher beleuchteten Fall der USA hat der EuGH aufgrund einer Klage die Bewertung vor- und damit den Verantwortlichen zum Teil auch abgenommen. Bei anderen Drittländern müssen Verantwortliche selbst tätig werden.

Da US-Dienstleister den oben aufgeführten Gesetzen unterliegen, ist es ihnen nicht ohne weiteres möglich, die Vorgaben der DSGVO einzuhalten. Welche weiteren Maßnahmen getroffen werden können, hat der Europäische Datenschutzausschuss (EDSA) in seiner Handlungsempfehlung zum Drittlandtransfer zusammengestellt.

Fazit

Insgesamt bleibt der Einsatz von Dienstleistern in den USA sowie mit einer Konzernmutter oder -tochter in den USA problematisch. Wie lange das EU-U.S. Data Privacy Framework bestehen wird, ist nicht absehbar.

Aus datenschutzrechtlicher Sicht raten wir deshalb dazu, wo immer möglich auf Anbieter in der EU oder tatsächlich sicheren Drittländern zu setzen. Dies wird freilich nicht immer möglich sein.

Weiterlesen

Sichern Sie sich das Wissen unserer Experten!​

Abonnieren Sie unseren Newsletter:

Mit Klick auf „Jetzt anmelden“ erklären Sie sich mit dem Bezug unseres Newsletters einverstanden. Wir verwenden Ihre Daten ausschließlich gemäß unserer Datenschutzerklärung.

Newsletter

Sichern Sie sich das Wissen unserer Experten.

Zweimal im Monat alles Wichtige zu Datenschutz, Informationssicherheit und künstlicher Intelligenz.