Behördenzugriff auf Nutzerdaten – CLOUD Act, DSGVO, E-Evidence-VO

Die EU und die USA wollen die Strafverfolgung effizienter gestalten, indem sie den grenzüberschreitenden Direktzugriff von Behörden auf bei Unternehmen gespeicherte Nutzerdaten erlauben. Unternehmen werden vor große Herausforderungen gestellt, da sie selbst prüfen müssen, ob sie zur Datenherausgabe berechtigt sind.

CLOUD Act in Kraft, E-Evidence-VO und Durchführungsabkommen in Verhandlung

Die USA beschlossen im März 2018 den „Clarifying Lawful Overseas USE of Data Act“ („CLOUD Act“). Der CLOUD Act resultierte aus dem damals laufenden Supreme Court Verfahren zwischen den USA und der Microsoft Corporation im „Microsoft Ireland Case“ und trat noch vor der gerichtlichen Entscheidung und ohne internationale Rücksprachen in Kraft.

US-Behörden dürfen auf Nutzerdaten der Unternehmen zugreifen

Der neu eingefügte § 2713 in Chapter 121 des 18. US Codes berechtigt US-Behörden weltweit auf von US-Unternehmen (Anbieter elektronischer Kommunikations- oder Cloud-Dienste) gespeicherte Nutzerdaten, einschließlich personenbezogene Daten, zuzugreifen. Dies gilt unabhängig davon, ob sich die Server innerhalb oder außerhalb der USA befinden (grenzüberschreitend) und erfolgt durch direkte Anordnung (Direktzugriff) an die betroffenen Unternehmen.

Eine vorherige Überprüfung durch Gerichte oder Behörden des Staates, in dem sich die Server befinden, ist nicht vorgesehen.

Auch EU plant Behördenzugriff auf in Unternehmen gespeicherte Nutzerdaten

Die EU-Kommission schlug indes im April 2018 die „Verordnung über Europäische Herausgabeanordnungen und Sicherungsanordnungen für elektronische Beweismittel in Strafsachen“ (E-Evidence-VO) vor, um EU-Behörden (ebenfalls durch schlichte Herausgabeanordnung) grenzüberschreitenden Direktzugriff auf sämtliche von EU-Unternehmen gespeicherte Nutzerdaten zu ermöglichen.

Betroffen sind Unternehmen, die elektronische Kommunikationsdienste oder Dienste der Informationsgesellschaft, einschließlich soziale Netzwerke, Online-Marktplätze und andere Hosting-Dienste, erbringen.

CLOUD Act bereits in Kraft getreten ist, E-Evidence-VO wird verhandelt

Während der CLOUD Act bereits in Kraft getreten ist, wird über die E-Evidence-VO noch verhandelt. Der derzeitige Entwurf wird von deutschen Mitgliedsvertretern aufgrund fehlenden Grundrechtsschutzes, insbesondere bei der Herausgabe von Inhaltsdaten, stark kritisiert. Das Trilog-Verfahren soll voraussichtlich Ende 2019 erfolgen.

Im Juni 2019 beauftragte der Rat der EU die EU-Kommission damit, ein bilaterales Durchführungsabkommen mit den USA auszuhandeln. Dieses soll insbesondere Rechtsklarheit darüber schaffen, wann ein Unternehmen in der EU einer Herausgabeanordnung auf Grundlage des CLOUD Acts nachkommen muss und dadurch nicht gegen Gesetze der EU oder des Mitgliedsstaates verstößt.

Zeitnahes Durchführungsabkommen zur Datenherausgabe an US-Behörden notwendig

Trotz der Kritik, die EU-Mitgliedsstaaten haben sich noch nicht auf eigene Regelungen bezüglich des grenzüberschreitenden Direktzugriffs auf Daten einigen können, besteht eine besondere Dringlichkeit dafür, das Durchführungsabkommen mit den USA zeitnah abzuschließen.

Denn problematisch ist, dass Art. 48 der Datenschutz-Grundverordnung für die rechtmäßige Herausgabe personenbezogener Daten an staatliche Stellen eines Drittlandes grundsätzlich ein Rechtshilfeabkommen oder eine ähnliche Übereinkunft zwischen Drittland und der EU oder dem betreffenden Mitgliedstaat verlangt.

Das bereits bestehende Rechtshilfeabkommen zwischen der EU und den USA kann hierfür nicht herangezogen werden, da dieses kaum Regeln zum Datenschutz enthält. Dies wurde durch das European Data Protection Board (EDPB) und den European Data Protection Supervisor (EDPS) in ihrer unverbindlichen Stellungnahme vom Juli 2019 bestätigt. Ohne ein solches Abkommen bedarf es einer Rechtfertigung für die Datenübermittlung nach Art. 6 und 49 DSGVO.

Inwieweit die Herausgabe der Nutzerdaten an US-Behörden auf Art. 6 und 49 DSGVO gestützt werden kann, ist jedoch unklar. Entgegen einiger Stimmen, die eine Datenherausgabe an US-Behörden für rechtmäßig halten, da dies zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich sei (Art. 49(1)(e) DSGVO), sind EDPB und EDPS der Auffassung, die Herausgabe könne grundsätzlich nur auf Art. 6 und 49 DSGVO gestützt werden, um lebenswichtige Interessen des Betroffenen zu schützen. Diese strenge Auffassung macht es jedoch schwierig, den CLOUD Act und die DSGVO in Einklang zu bringen.

Was sollen Unternehmen bei Behördenanfragen nach Nutzerdaten tun?

Betroffene Unternehmen stehen daher vor besonderen Herausforderungen. Eine Lösung des Dilemmas ist jedenfalls bis zum Abschluss des Durchführungsabkommens nicht absehbar. Sich als Kunde für ein Unternehmen zu entscheiden, das nicht vom CLOUD Act betroffen ist, kann regelmäßig nicht die Lösung sein.

Insbesondere für global tätige Unternehmen ist es zur Wahrung ihrer Globalität notwendig und gefragt, die Leistungen internationaler Hyperscale Cloud Provider in Anspruch zu nehmen. Auch ist es wenig erfolgsversprechend, von einem betroffenen Unternehmen eine – etwa im Vertrag zur Auftragsverarbeitung verschriftlichte – Garantie dafür zu verlangen, keine personenbezogenen Daten in ein Drittland zu übermitteln.

Kunden sollten sich daher darauf konzentrieren ein Unternehmen als Partner auszuwählen, das effiziente Datensicherungsmaßnahmen ergreift, Transparenz über den Speicherort der Daten und die Datenflüsse bietet und offen dafür ist, sich bei Herausgabeanordnungen für ihre Kunden einzusetzen und sie mit notwendigen Informationen auf dem Laufenden zu halten.

Weitere News zum Thema:

US-Urteil über Zugriff auf europäische Daten

Microsoft muss Daten europäischer Behörden nicht an US-Behörden übergeben


Schlagworte zum Thema:  Datenschutz-Grundverordnung, Datenschutz