Das US-Gesetz CLOUD Act (Clarifying Lawful Overseas Use of Data Act) erlaubt US-Ermittlungsbehörden den Zugriff auf Daten von US-Unternehmen, auch, wenn diese sich auf Servern im Ausland befinden und ohne dass es eines vorherigen Rechtshilfegesuchs bedarf.
Problematisch daran ist, dass Art. 48 der EU-Datenschutzgrundverordnung (DSGVO) vorsieht, dass eine Übermittlung personenbezogener Daten in ein Drittland nur aufgrund eines Gerichtsurteils oder einer behördlichen Entscheidung eines Drittlands oder aufgrund einer internationalen Übereinkunft erfolgen darf. Die EU ist seit einiger Zeit in Verhandlungen mit den USA über ein solches wechselseitiges Abkommen, bisher ohne Ergebnis. Im vergangenen Jahr hat Großbritannien als weltweit erstes Land ein solches Abkommen mit den USA geschlossen. Das US-Justizministerium begrüßte das Abkommen als Meilenstein, denn es „ermöglicht es den amerikanischen und britischen Strafverfolgungsbehörden mit entsprechender Ermächtigung, elektronische Daten über schwere Verbrechen, einschließlich Terrorismus, sexuellen Kindesmissbrauchs und Cyberkriminalität, direkt von im jeweils anderen Land ansässigen Technologieunternehmen ohne rechtliche Hindernisse einzufordern“ (vgl. hier).
Jetzt hat der Europäische Datenschutzausschuss, der sich unter dem Vorsitz von Andrea Jelinek aus Vertretern der europäischen Datenschutzbehörden zusammensetzt, in einem Brief an das Europäische Parlament das Abkommen zwischen den USA und Großbritannien scharf kritisiert.
Insbesondere wird befürchtet, dass das Abkommen zu einer Aushebelung des Datenschutzes führen könne, da bezweifelt wird, dass die im Abkommen vorgesehenen Schutzbestimmungen überhaupt im Falle einer Datenabfrage greifen würden. Abkommen – so der Datenschutzausschuss – müssten über US-amerikanischen nationalen Bestimmungen stehen und angemessene, dem Recht der Europäischen Union entsprechende Schutzmaßnahmen enthalten, wie etwa die Gewährleistung des Datenschutzes bei der Weiterübermittlung. Ferner sei eine verpflichtende vorherige gerichtliche Genehmigung für den Zugriff auf Metadaten und Kommunikationsinhalte unabdingbar.
Insofern deutet sich an, dass die Kritik des Datenschutzausschusses Auswirkungen auf ein mögliches Abkommen zwischen der EU und den USA haben könnte.
In dem Brief erinnert der Datenschutzausschuss daran, dass die EU-Kommission, und somit letztlich der Europäische Gerichtshof, beurteilen müsse, ob das Vereinigte Königreich das Abkommen in der Form abschließen durfte. Schließlich müsse sichergestellt sein, dass das Datenschutzniveau, einschließlich der Verfahrensbestimmungen zum Zugriff auf personenbezogene Daten europaweit einheitlich sei.
Eine wichtige Vorentscheidung wird in diesem Zusammenhang in dem für Juli erwarteten sog. Schrems-II Urteil gesehen, mit dem der österreichische Datenschutzaktivist Max Schrems erreichen will, dass die irische Datenschutzbehörde Datenübermittlungen von Facebook in die USA untersagt.
Der Datenschutzausschuss hält durch den Abschluss des Abkommens auch Auswirkungen auf die künftige Zusammenarbeit zwischen der EU und Großbritannien nach dessen endgültigem Ausscheiden aus dem Rechtsrahmen der Gemeinschaft für möglich. Eine Übermittlung personenbezogener Daten aus Großbritannien in die USA ohne ausreichende Schutzmechanismen werde sich auf die Frage auswirken, ob die EU-Kommission dem Vereinigte Königreich ein angemessenes, den EU-Regelungen entsprechendes Datenschutzniveau im Wege eines sog. Angemessenheitsbeschlusses attestieren kann. Genauer beleuchtet werden müsste in dem Zusammenhang wohl die Gewährleistung eines ausreichenden Schutzes im Falle von Weiterübermittlungen („onward tranfers“) aus dem Vereinigten Königreich in ein anderes Drittland. Zur Erinnerung: Mit dem Austritt aus der EU ist das Vereinigte Königreich ein Drittland im Sinne des Datenschutzes geworden. Die Übergangsperiode, während derer noch EU-Recht Anwendung findet, soll am 31.12.2020 enden. Der Datenschutzausschuss hat angekündigt, eine eigene Bewertung in einem gesonderten Gutachten abgegeben zu wollen, wenn die die EU-Kommission einen Entwurf für einen Angemessenheitsbeschluss für das Vereinigte Königreich vorlegen sollte.
PC-Fluesterer. info Christoph Schmees
2. Juli 2020 @ 21:23
Oh – schon! Der CLOUD Act ist ja auch erst seit zwei Jahren in Kraft …