Vor Jahren wurde Safe Harbour gekippt und binnen weniger Monate wurde der Ersatz US-Privacy Shield verhandelt. Betrachtet man diesen Vorgang rückwirkend, dann erfolgte auch die Aufhebung des US-Privacy Shield im Sommer 2020 mit Ansage, denn Datenschutz für Nicht-US-Bürger gab es in den USA, auch mit dem Privacy Shield, nur rudimentär. Dieser Beitrag beleuchtet die Hintergründe und gibt Ausblick auf Notwendigkeiten.
Der Inhalt im Überblick
Möglichkeiten des Datenzugriffs durch Behörden der USA
Der Datenschutz in den USA ist unter anderem geprägt von einem gesteigerten Sicherheitsbedürfnis aufgrund einer möglichen Bedrohungslage von außen in Kombination mit der Dominanz staatlicher Sicherheitsbehörden. Das Zusammenspiel von Überwachungsprogrammen, wie Echelon, PRISM und den Vorschriften zur inneren Sicherheit (FISA, Patriot, FAA) regeln den Datenzugriff der US-Behörden auch und insbesondere auf Daten von Nicht-US-Bürgern. Die Gefährdungslage für das Recht auf Schutz personenbezogener Daten der EU-Bürger und deren Datenhoheit wird noch gesteigert durch die Möglichkeiten des Cloud Computing. Damit wird der Zugriff der US-Behörden auch auf Daten von Personen ausgeweitet, die sich nicht als Person vor Ort in den USA befinden und deren Daten u.U. nur in einem US-Rechenzentrum verarbeitet werden.
Rechtliche Rahmenbedingungen
Die Ausgangssituation ist in den USA nach dem zweiten Weltkrieg und dem Kalten Krieg eine andere als in der Europäischen Union. Nach den Terroranschlägen am 11.09.2001 wurde der individuelle Datenschutz, insbesondere von Ausländern, durch Maßnahmen im Rahmen der Staatssicherheit wie den Patriot Act im Kampf gegen den Terrorismus eingeschränkt.
- Der Patriot Act vom 26. Okt. 2001 weitete die Befugnisse der inländischen Strafverfolgungsbehörden der USA aus.
- Der Foreign Intelligence Surveillance Amendment Act von 2001 (FAA) regelte die Überwachung der Daten von Nicht-US-Bürgern.
- Daneben gelten die im US-Rechtssystem entwickelten Doktrinen der Reasonable Expectation of Privacy (REOP)
- Die Doktrin „Der Weitergabe an Dritte“ (Third Party Doctrine -> TPD)
- Der Cloud-Act
Was versteht man unter Reasonable Expectation of Privacy Doctrine?
Im Fall Katz manifestierte sich 1967 die REOP-Doctrine als Analyse des 4. Zusatzartikel zur Verfassung der Vereinigten Staaten. Danach gilt, dass der Einzelne vernünftige, nachvollziehbare Gründe haben muss, um auf die Vertraulichkeit seiner personenbezogenen Daten vertrauen zu können („one that society is prepared to recognize as reasonable“). Ferner muss sich aus dem konkreten Zusammenhang ergeben, dass die Daten vertraulich sind, d.h. „when an individual seeks to preserve something private“, damit wird eine Abwägungsentscheidung zwischen dem staatlichen Ermittlungsinteresse und dem Schutzinteresse des Einzelnen getroffen. Die REOP-Doktrin wird jedoch in ihrem Anwendungsbereich durch die Third Party Doctrine beschränkt.
Was besagt die Third Party Doctrine (TPD)?
Die TPD bildete sich als Rechtsdoktrin in den Fällen Miller 1976 (Bankdaten) und 1979 im Fall Smith (Telefondaten) heraus, die sich ebenfalls um den 4. Zusatzartikel der Verfassung drehten. Beide Fälle beinhalten, dass mit der Weitergabe von personenbezogenen Daten an Dritte (z.B. Telefongesellschaften, Banken) das Recht auf Privatsphäre und Datenschutz „verwirkt“ ist. Dies gilt auch dann, wenn die Daten dem Dritten zur Erbringung einer Dienstleistung anvertraut wurden oder von diesem hierfür angefordert wurden. Nach der Third Party Doctrine darf derjenige, der seine Daten weitergibt, keine berechtigten Erwartungen mehr haben, dass sein Recht auf Wahrung der Privatsphäre noch besteht, denn schließlich gehe die Person mit der freiwilligen Offenbarung der Daten bewusst das Risiko der Weitergabe (assumption of risk) ein. In der Folge sind diese Daten, die sich in den Händen Dritter befinden, dem Anwendungsbereich der REOP-Doctrine entzogen und genießen keinen Datenschutz mehr.
Praktisch bedeutet dies in den USA, dass kein Durchsuchungsbefehl, also keine richterliche Anordnung vorliegen muss, um diese Daten als Behörde von einem Privatunternehmen herausverlangen zu können. Für das Herausgabeverlangen muss auch kein „hinreichender Verdacht“ für eine kriminelle Machenschaft vorliegen, wie dieser für die Beantragung eines Durchsuchungsbefehles vorliegen müsste.
Patriot Act und FISA
Schließlich dürfen Sicherheitsbehörden, laut Abschnitt 215 des Patriot Act, auf konkrete Daten aller Art zugreifen, die sich im Besitz von Privatunternehmen befinden. Nach FISA Abschnitt 702 können Diensteanbieter zudem zur unverzüglichen Bereitstellung aller erforderlichen Informationen, Anlagen oder Hilfen an die Regierung für den Erwerb ausländischer Geheimdienstinformationen herangezogen werden. Dies betrifft auch die Offenlegung der kryptografischen Schlüssel (SSL-Schlüssel) zur Sicherung der Datenübertragung, Webmail-Portale und Cloud-Dienste.
Wie sich aus der Analyse des Abschnitt 702 des FISA Gesetzes ergibt, bestehen zwei Regelungskreise in den US-Vorschriften für die Datenverarbeitung:
- der Schutz und die Datenverarbeitung von personenbezogenen Daten der Nicht-US-Bürger
- der Schutz und die Datenverarbeitung von personenbezogenen Daten der US-Bürger
Mit Abschnitt 215 des Patriot Act wird der Zweck verfolgt, ausländische Geheimdienstinformationen zu erlangen, die keine US-Bürger betreffen, aber für die USA hilfreich sind. Gepaart mit 702 FISA eröffnet sich damit die Möglichkeit ohne weitere Genehmigung den Inhalt eines Telefongespräches eines Nicht-Amerikaners abzuhören. Die Erlaubnis hierfür besteht bereits dann, wenn es nur wahrscheinlich ist, dass es sich um keinen US-Bürger handelt. Dies ist immer schon dann der Fall, wenn sich z.B. aus der Rufnummer mit ausländischer Landesvorwahl ergibt, dass der Telefonierende ein Ausländer sein könnte.
Diese Möglichkeit wurde mit dem Electronic Communications Privacy Act ECPA 1986 auf Internet- und Telefonverbindungen bzw. auf die damit ausgetauschten Daten ausgeweitet. In der Folge sind damit auch alle Daten dem Zugriff ausgesetzt, die im Wege des Cloud Computing verarbeitet werden. Der § 1881a des Foreign Intelligence Surveillance Amendment Act (FAA) schafft die Möglichkeit der großflächigen Überwachung von Daten von Nicht-US-Bürgern außerhalb der USA, indem der Überwachungsumfang über die Kommunikation auf die Daten im Cloud Computing erstreckt wurde. Damit können auf Daten eines Nicht-US-Bürgers, die in einer US Cloud zugänglich sind, ohne Einschränkung zugegriffen werden.
Cloud Act
Nachdem sich die US-Regierung mit Microsoft jahrelang über die Herausgabe von E-Mails auf einem irischen Server stritt, hat man sich im Cloud Act einfach eine Befugnisnorm dafür geschaffen. In 18 USC § 2713 heißt es:
„Anbieter von elektronischen Kommunikationsdiensten oder Ferndienstleistungen [Remote Computing Services] muss den Verpflichtungen dieses Kapitels nachkommen, den Inhalt einer drahtgebundenen oder elektronischen Kommunikation und alle Aufzeichnungen oder anderen Informationen, die einen Kunden oder Teilnehmer betreffen und sich im Besitz, Gewahrsam oder unter der Kontrolle dieses Anbieters befinden, aufzubewahren, zu sichern oder offenzulegen, unabhängig davon, ob sich diese Kommunikation, Aufzeichnungen oder anderen Informationen innerhalb oder außerhalb der Vereinigten Staaten befinden.“
Voraussetzung dafür sind sog. „Executive Agreements“, mit denen man die als zu langwierig und mühsamen empfundenen internationalen Rechtshilfeersuchen ersetzen will. Der Rechtskonflikt für die betroffenen Unternehmen bleibt damit zunächst bestehen. Die EU-Kommission hat dazu 2019 Verhandlungen mit den USA aufgenommen. Bis diese abgeschlossen sind, ist die Herausgabe von personenbezogenen Daten allein auf Grundlage des CLOUD Act in der Regel nach europäischem Datenschutzrecht unzulässig. Unternehmen sind dann in der Zwickmühle, ob sie gegen europäisches oder US-Recht verstoßen.
Selbst nach Abschluss stellt sich immer noch die Frage, ob das geplante „Executive Agreement“ unter den Begriff internationale Übereinkunft (wie etwa ein Rechtshilfeabkommen) aus Art. 48 DSGVO subsumiert werden kann und demnach zulässig ist. Diese Frage könnte, je nach Ausgestaltung der „Executive Agreement“, durchaus dem EuGH vorgelegt werden.
Cloud Computing und heimliche Schnüffelsoftware
Die Eingriffsmöglichkeiten auf Daten der EU-Bürger, die von Unternehmen mit Sitz in den USA verarbeitet werden, sind groß und sie werden von den US-Behörden auch genutzt.
Cloud Computing
Insbesondere am Cloud Computing, das gerade von den großen amerikanischen Anbietern forciert wird, sieht man, wie gering das Datenschutzniveau für den unbescholtenen EU-Bürger in den USA ist. Cloud Anbieter sind meist weltweit agierende Unternehmen, die einer Vielzahl an Rechtssystemen und oftmals kollidierender rechtlicher Regelungen ausgesetzt sind. Welches Rechtssystem befolgt wird, hat auch damit zu tun, wo der Druck für die Geschäftsführung bezogen auf den geschäftlichen Erfolg des Unternehmens am größten ist. Will heißen, dass im Ernstfall der Cloud Anbieter in den USA nach amerikanischen Recht agieren wird und die Daten der EU-Bürger auf Verlangen einer US-Behörde sang- und klanglos herausgeben wird. Der Datenexport in die Cloud eines US-Anbieters ist damit risikobehaftet und eigentlich kaum DSGVO-konform möglich. Das Risiko die Datenhoheit zu verlieren, gehen die Unternehmen und Bürger ein.
Schnüffelsoftware Anomaly Six
Wie gefährlich das ist, sieht man an der Schnüffelsoftware „Anomaly Six“ eines US-Anbieters, der bestens mit den US-Sicherheitsbehörden vernetzt ist. Heimlich werden Standortdaten von Mobilfunknutzern über Apps ermittelt, in welche die Software integriert wurde. Es ist mittlerweile üblich, dass App-Herausgeber Drittanbietern gegen eine Gebühr erlauben, per SDKs Software in ihrer App zu installieren. Die hieraus gewonnenen Verbraucherdaten werden von dem Softwarehersteller an weitere Interessenten verkauft. Über die Datenweitergabe und den Datenverkauf wird der Nutzer jedoch meist nicht informiert und eine Einwilligung wird von diesem meist ebensowenig eingehlt, wie am Beispiel Anomaly Six offenkundig wird. Auffallend ist bei diesem amerikanischen Unternehmen die gute Vernetzung zu den US-Sicherheitsbehörden.
Was könnten wir tun?
Man kann den USA nicht ernsthaft vorwerfen, dass sie sich schützen wollen. Dass die Methoden nicht unbedingt dem entsprechen, was sich die Europäer in Sachen Auslandsaufklärung unter Partnern als ethisch vertretbar vorstellen, kann man diskutieren. Handeln sollten die Europäer jedoch auf alle Fälle. Es wäre gut, wenn die Europäer endlich aktiv dafür sorgen, dass die Datenhoheit über die eigenen Daten nicht von den USA übernommen wird. Konkurrenz belebt das Geschäft heißt es und ein Monopol, wie derzeit beim Cloud Computing fast vorhanden, kommt denjenigen, der auf das Angebot angewiesen ist, immer teuer zu stehen. Für europäische Betroffene bedeutet dies, dass sie mit ihren Grundrechten, wie dem Recht auf Datenschutz und Privatsphäre oder langfristig mit dem wirtschaftlichen Erfolg, Stichwort Wirtschaftsspionage, bezahlen.
Die EU tut gut daran auch in diesem Sektor autark zu werden. Gaia-X als eigene europäische Cloud wäre eine guter erster Schritt und würde zumindest eine Alternative bieten. Das Kippen des Privacy Shield als Feigenblattlösung für Safe Harbour war daher notwendig. Die Art und Weise ohne Auslauffrist ist für Unternehmen eine Zumutung. Bleibt abzuwarten, ob nun nach Wechsel des US-Präsidenten eine passende Nachfolgeregelung, die dem Namen Datenschutz gerecht wird, vereinbart werden kann. Die Verhandlungen hierzu wurden ja schon vor geraumer Zeit aufgenommen.
Hallo Dr. Datenschutz, vielen Dank für den Beitrag. Wäre es nicht wünschenswert, auch den CLOUD-Act zu erwähnen? Oder habe ich etwas überlesen. Das macht die Angelegenheit natürlich nicht einfacher. Letztlich ist jedes Datenverarbeitung in den USA, aber auch mit US-Unternehmen oder deren Töchtern, ein sehr aufwändiges Compliance-Thema. Das wird leider bei der Anschaffung zu wenig mitbedacht.
Herzliche Grüße
In der Tat, der Cloud Act (Clarifying Lawful Overseas Use of Data Act) sollte noch mitangeführt werden, schließlich betrifft dieser die personenbezogenen Daten, die von US-Unternehmen auf ausländischen Servern verarbeitet werden. Mit diesem Gesetz aus dem Jahr 2018 wird sichergestellt, dass unabhängig, wo (In- oder Ausland) bzw. wie (Cloud oder in einem bestimmten Rechenzentrum) gespeichert sind und es wird von den US-Behörden auch kein internationales Rechtshilfeabkommen mehr benötigt, um die Unternehmen zur Herausgabe zu veranlassen. Die Verpflichtung zur Herausgabe besteht auch dann, wenn das lokale Gesetz vor Ort eine Herausgabe nicht vorsieht. Danke für den Hinweis.
Liebes Blog-Team, ich habe den Beitrag über das US-Datenschutzniveau als Problem beim Cloud Computing gelesen und stimme dem vollkommen zu. Als Kunde von [Werbung. entfernt.] schätze ich besonders die Erfüllung der europäischen Datenschutzbestimmungen und die Sicherheit, dass meine Daten auf europäischen Servern gespeichert werden. Die Einhaltung europäischer Datenschutzbestimmungen ist ein entscheidender Faktor bei der Wahl eines Cloud-Service-Providers. Durch die Nutzung eines Cloud-Service-Providers, der diese Anforderungen erfüllt, kann man sicherstellen, dass die persönlichen Daten seiner Kunden sicher und geschützt sind. [Werbung. entfernt.] ist ein hervorragendes Beispiel für einen Cloud-Service-Provider, der sich auf die Bedürfnisse europäischer Unternehmen und Kunden spezialisiert hat. Das Unternehmen stellt sicher, dass die Daten auf europäischen Servern gespeichert werden und erfüllt die europäischen Datenschutzbestimmungen. Ich empfehle [Werbung. entfernt.] als zuverlässigen Cloud-Service-Provider für Unternehmen, die eine sichere und skalierbare Cloud-Infrastruktur benötigen und dabei auf die Einhaltung europäischer Datenschutzbestimmungen achten wollen. Durch die Nutzung von [Werbung. entfernt.] können Unternehmen sicherstellen, dass ihre Daten geschützt sind und sie den rechtlichen Anforderungen entsprechen. Insgesamt bin ich sehr zufrieden mit dem Cloud Computing Service von [Werbung. entfernt.] und kann das Unternehmen jedem empfehlen, der auf der Suche nach einer zuverlässigen und sicheren Cloud-Infrastruktur ist. Beste Grüße, Jed Wyatt