Die Datenschutzkonferenz (DSK) hat einen Beschluss vom 31.01.2023 veröffentlicht, in dem es um die datenschutzrechtliche Bewertung von Zugriffsmöglichkeiten öffentlicher Stellen von Drittländern auf personenbezogene Daten geht, die innerhalb der EU bzw. dem EWR verarbeitet werden.

Ohne den Elefanten im Raum zu benennen, ist dieser Beschluss vor allem im Hinblick auf den CLOUD Act der USA von Relevanz, der für Anbieter wie Microsoft, Amazon oder Apple von Bedeutung ist. Spätestens, wenn es um den Einsatz von Microsoft 365 oder Amazon Webservices (AWS) geht, kommen Unternehmen um diese datenschutzrechtliche Fragestellung nicht herum.

Im Schatten von FISA 702 und PP-28 – der CLOUD Act

Bevor auf den Beschluss der DSK eingegangen wird, soll kurz der CLOUD Act und die daraus resultierenden Fallstricke beschrieben werden.

Der Clarifying Lawful Overseas Use of Data Act (CLOUD Act) regelt den Zugriff von US-Behörden auf gespeicherte Daten im Internet und ist geregelt in 18 U.S. Code § 2713. Dabei geht es um Ermittlungen der US-Strafverfolgungsbehörden, wie das US-Justizministerium in einem White Paper den Zweck des CLOUD Acts erläutert. Dies ist auch der Unterschied zu FISA 702 und PP-28, wo es um die Sammlung von Informationen durch US-Geheimdienste geht. Adressat sind alle Anbieter von Internet- und Clouddiensten. Diese werden verpflichtet, den Inhalt elektronischer Kommunikation und alle Aufzeichnungen oder sonstigen Informationen über einen Kunden oder Teilnehmer, die sich im Besitz, Gewahrsam oder unter der Kontrolle dieses Anbieters befinden, aufzubewahren, zu sichern oder offenzulegen, unabhängig davon, ob sich diese Kommunikation, Aufzeichnung bzw. Information innerhalb oder außerhalb der Vereinigten Staaten befindet.

Klar ist damit, dass alle gängigen US-Anbieter, die Daten verarbeiten, unter diese Regelung fallen. Klar ist auch, dass der Ort der Datenverarbeitung auch innerhalb der EU sein kann. Will heißen, selbst ein EU-Boundary, wie Microsoft es anbietet, schützt nicht davor, dass Daten auf Grundlage des CLOUD Acts an US-Behörden herausgegeben werden müssen. Ebenso sieht der Act zunächst keine Beschränkung im Hinblick auf die Nationalität der von der Datenverarbeitung betroffenen Personen vor.

18 U.S. Code § 2703(h)(2) sieht aber folgende Einschränkungen vor: Diensteanbieter, die im Rahmen eines Verfahrens zur Herausgabe von Daten verpflichtet werden sollen, können einen Antrag auf Änderung oder Aufhebung stellen, wenn die betroffene Person kein US-Bürger ist, nicht in den USA wohnt und die Offenlegung gegen ausländisches Recht verstoßen würde. Diese Einschränkung hat aber als Voraussetzung, dass es ein Exekutivabkommen zwischen der US-Regierung und ausländischen Regierungen, spricht mit den Mitgliedstaaten der EU bzw. der EU-Kommission gibt. Sollte dann die Herausgabe gegen die DSGVO als ausländisches Recht verstoßen, kann die Herausgabe verweigert werden. Solch ein Abkommen existiert allerdings noch nicht, sodass diese Beschränkung für EU-Bürger nicht greift. Art. 48 DSGVO regelt allerdings, dass Unternehmen Daten an ein Drittland nur dann übermitteln dürfen, wenn hierzu eine internationale Übereinkunft, wie ein Rechtshilfeabkommen, besteht. Ein solches Rechtshilfeabkommen besteht zwischen den USA und der EU bspw. in Strafsachen – das Mutual legal assistance in criminal matters treaty (MLAT). Das US-Justizministerium spricht zwar in seinem White Paper davon, dass der CLOUD ACT nicht der einzige Mechanismus sein soll, um Daten zu erhalten, sondern dass das MLAT weiterhin verfügbar sein soll. Allerdings sollen Exekutivabkommen auf Basis des CLOUD Acts MLAT entlasten, um so Anfragen über MLAT schneller beantworten zu können.

Am Ende bedeutet dies, dass eine Herausgabe der Daten auf Grundlage des CLOUD Acts rechtswidrig, auf Grundlage von MLAT jedoch rechtmäßig wären.

Hat ein US-Anbieter Tochtergesellschaften innerhalb der EU/des EWR und fordert eine US-Strafverfolgungsbehörde auf Grundlage des CLOUD Acts Daten heraus, so hat die Gesellschaft also die Wahl gegen US-Recht oder EU-Recht zu verstoßen.

Beschluss der DSK im Hinblick auf den CLOUD Act

An dieser Stelle kommt nach langer Vorrede der Beschluss der Datenschutzkonferenz ins Spiel. Dieser Beschluss geht davon aus, dass die Tochtergesellschaft mit Sitz in der EU/dem EWR und eines Mutterkonzern mit Sitz in einem unsicheren Drittland verpflichtet wird, Daten herauszugeben und dabei gegen die DSGVO verstößt.

Wenn diese Tochtergesellschaft als Auftragsverarbeiter tätig ist (als Elefanten im Raum sind das z. B. die europäischen Gesellschaften von AWS und Microsoft), so könnte diesen Tochtergesellschaften die erforderliche Zuverlässigkeit nach Art. 28 DSGVO fehlen. Dies wäre nur dann nicht der Fall, wenn der Auftragsverarbeiter oder der Verantwortliche als Auftraggeber Maßnahmen ergriffen hätte, Verarbeitungen (wie die Übermittlung) zu unterlassen, die gegen EU-Recht verstoßen. Um die Unzuverlässigkeit nach Art. 28 DSGVO festzustellen, genügt nach der DSK bereits eine abstrakte Gefahr einer unzulässigen Übermittlung personenbezogenen Daten aus der EUR/dem EWR. Das heißt, allein die Möglichkeit, dass eine Übermittlung von personenbezogenen Daten besteht, da die Tochtergesellschaft potenzieller Adressat einer möglichen Anordnung sein könnte, reicht aus.

Prüfung der Zuverlässigkeit von Cloudanbietern nach der Vorstellung der DSK

Die DSK stellt in ihrem Beschluss einen Prüfungskatalog vor, anhand dessen die Zuverlässigkeit des Auftragsverarbeiters durch den Auftraggeber festgestellt werden kann. Dies lässt sich am Beispiel von Dienstleistern wie Microsoft oder AWS und dem CLOUD Act sehr gut einmal durchspielen:

  1. Prüfung einer extraterritorialen Anwendbarkeit des Drittlands-Rechts und darüber hinausgehenden praktischen extraterritoriale Anwendung

Das Drittland ist hier die USA als Land außerhalb der EU bzw. des EWR. Der CLOUD Act kann auch auf Unternehmen in der EU/im EWR angewandt werden. Dies führt zum nächsten Punkt.

  1. Prüfung, ob das Recht oder die Praxis des Drittlands die Verpflichtungen aus dem Auftragsverarbeitungsvertrag beeinträchtigen könnte

Hierzu haben wir bereits festgestellt, dass eine Übermittlung auf Basis des CLOUD Acts gegen die DSGVO verstößt und daher der Auftragsverarbeiter gegen Art. 28 Abs. 1 DSGVO verstößt. Er verarbeitet die Daten nämlich dann nicht mehr im Einklang mit der DSGVO.

  1. Risiko, dass die Drittlands-Muttergesellschaft eine Tochtergesellschaft in der EU/im EWR anweisen könnte, personenbezogene Daten in ein Drittland zu übermitteln

Dieses (abstrakte) Risiko besteht, da die Muttergesellschaft in den USA ansonsten US-Recht verletzt und mit Sanktionen rechnen muss.

  1. Zusicherungen der Drittlands-Muttergesellschaft und der Tochtergesellschaft in der EU/im EWR im Umgang mit kollidierenden Anforderungen des Rechts eines Drittstaates und der EU

Zusicherungen können so aussehen, dass die Muttergesellschaft und Tochtergesellschaft zusichern, alle Rechtsmittel auszuschöpfen, um eine Herausgabepflicht abzuwenden.

  1. Bewertung der Rechtslage und -praxis des Drittlands, ob derartige Zusicherungen eingehalten werden können

Dazu muss der Auftraggeber sich mit dem Recht im Drittland auseinandersetzen und beurteilen, ob die Muttergesellschaft in den USA die Zusicherungen einhalten kann. Eine Ausschöpfung der Rechtsmittel scheint dabei durchaus realistisch.

  1. Bewertung aller weiteren Aspekte, ob derartige Zusicherungen auch tatsächlich eingehalten werden

Hier muss der Auftraggeber prüfen, ob sich der potentielle Auftragsverarbeiter in der Vergangenheit an die Zusicherungen gehalten hat. Zumindest für Microsoft kann gesagt werden, dass sie sich schon im Vorfeld des CLOUD Acts gegen Herausgabeforderungen gewehrt hatten. Wie eine belastbare Überprüfung der tatsächlichen Einhaltung abseits der Zusicherungen des Dienstleisters aussehen könnte, bleibt der Fantasie des Auftraggebers überlassen.

  1. Festgestellte Datenschutzverstöße in der Vergangenheit

Dies meint wohl auch Verstöße dergestalt, dass auf Grundlage des CLOUD Acts Daten schließlich übermittelt worden sind. Wenn dies der Fall ist, spricht das wohl nach der DSK für die Unzuverlässigkeit.

  1. Schwere und Wahrscheinlichkeit einer Sanktionierung von Zuwiderhandlungen nach EU-Recht und dem Recht des Drittlands

Für EU-Recht kann gesagt werden, dass ein Verstoß gegen Art. 28 DSGVO nach Art. 83 Abs. 4 lit. a DSGVO ein Bußgeld von bis zu 10 Mio. Euro oder 2 % des Jahresumsatzes des vergangenen Geschäftsjahrs zur Folge haben kann. Die Übermittlung an einen Empfänger in einem Drittland unter Verstoß gegen Art. 48 DSGVO würde nach Art. 83 Abs. 5 lit. c DSGVO sogar 20 Mio. Euro oder 4 % des Jahresumsatzes des vorherigen Geschäftsjahres als Bußgeld zur Folge haben. Ob dies nun in Relation zu Sanktionierungen des CLOUD Act gesetzt werden muss und sich das Recht, welches schwerere Sanktionierungen vorsieht, durchsetzt, ist nach dem Beschluss der DSK unklar.

  1. Ausschluss unzulässiger Übermittlungen durch geeignete technische und organisatorische Maßnahmen

Solche Maßnahmen wird allenfalls der Auftraggeber treffen können. Jede Maßnahme in dieser Hinsicht, die vom Auftragsverarbeiter getroffen werden würde, könnte als Behinderung der Justiz ausgelegt werden und unangenehme Folgen für diesen haben. Also bleibt als einzige Maßnahme das Allheilmittel der Vollverschlüsselung von personenbezogenen Daten, bevor diese den Auftragsverarbeiter erreichen. Der Schlüssel zur Entschlüsselung darf dabei natürlich nur beim Auftraggeber liegen. Dass diese Lösung praxisnah ist, wenn Daten nicht nur einfach bei Clouddiensten gespeichert, sondern mit dort abgelegten Daten auch gearbeitet werden sollen, darf bezweifelt werden.

Nachdem die Prüfungspunkte einmal durchgegangen worden sind und der Auftraggeber festgestellt hat, dass keine hinreichenden Garantien vorliegen, müssen Maßnahmen ergriffen werden, um die Risiken der europarechtswidrigen Datenverarbeitung, die durch den Auftragsverarbeiter bzw. das Recht des Drittstaats hervorgerufen werden, auszugleichen. Nach der Prüfung der oben genannten Punkte, kann dies wohl nur die Vollverschlüsselung der Daten als Maßnahme sein. Die DSK macht auch sogleich klar, dass ein erforderlicher Zugriff eines Auftragsverarbeiters auf Klardaten des Auftraggebers besonders kritisch zu prüfen ist und verweist auf die Empfehlung 01/2020 des Europäischen Datenschutzausschusses (EDAS) und den Anwendungsfall 6 des Anhangs 2, der entsprechend anzuwenden sei. In dem Anwendungsfall geht es um die Übermittlung von Daten an Cloud-Service-Anbieter oder andere Verarbeiter, die Zugang zu unverschlüsselten Daten benötigen. Darin stellt der EDSA fest, dass „für den EDSA nach dem heutigen Stand der Technik keine wirksame technische Maßnahme vorstellbar [ist], die im Falle eines solchen Zugangs die Verletzung der Rechte betroffener Personen verhindern könnte. Der EDSA schließt nicht aus, dass durch künftige technische Entwicklungen Maßnahmen möglich werden könnten, die die beabsichtigten Geschäftszwecke erfüllen, ohne dass Zugang zu den unverschlüsselten Daten benötigt würde.(Rn. 88, Seite 33)

Zuletzt stellt die DSK noch fest, dass der Auftraggeber in der Lage sein muss, den Nachweis zu führen, dass ein Auftragsverarbeiter die Anforderungen aus Art. 28 Abs. 1 DSGVO an Fachwissen, Zuverlässigkeit und Ressourcen erfüllt.

In der Logik der Anwendungsprüfung bedeutet dies, dass der Einsatz eines US-Cloudanbieters nicht möglich ist, wenn dieser Zugriff auf Klardaten hat. Logik kann aber allenfalls der Anfang aller Weisheit sein, aber nicht das Ende, um dieses Problem zu lösen.

Datenschutzbeauftragte können nicht der Reparaturbetrieb sein

Die Abhängigkeit europäischer Unternehmen von Cloudanbietern aus den USA wird nirgends so deutlich wie im Datenschutzrecht. Sobald die Datenschutzbeauftragten und Aufsichtsbehörden datenschutzrechtliche Bedenken bei der Nutzung von AWS, Google oder Microsoft anmelden und empfehlen, Alternativen innerhalb von Europa oder aus sicheren Drittländern mit ähnlichem Datenschutzniveau wie der EU zu suchen, macht sich schnell Ernüchterung breit. Es gibt sie schlicht nicht.

Diese Problematik, die sich vor allem aus politischen Versäumnissen ergibt, ist nicht den Aufsichtsbehörden anzulasten, wenn sie mit diesem Papier den Finger mal wieder in die Wunde legen. Sie sind Datenschützer und keine Zauberer, die auch die rechtlichen Vorgaben nicht umschreiben können.

Es bleibt ein Appell an die Politik, die Probleme des Datentransfers zu lösen, damit für Unternehmen diesseits und jenseits des Atlantiks Rechtssicherheit im Datenaustausch herrscht.