29. Juli 2019
EDSA Cloud Act
Datenschutzrecht

Positionierung des EDSA zum CLOUD Act – Datenübermittlungen an US-Ermittlungsbehörden nur in engen Grenzen

DSGVO vs. CLOUD Act: Aufsichtsbehörden verfolgen restriktiven Kurs bei der Datenübermittlung an US-Behörden – und bleiben Antworten zu Kernfragen schuldig.

Der Europäische Datenschutzausschuss (EDSA) hat sich am 10. Juli 2019 in einem an den „LIBE“-Ausschuss (Ausschuss für bürgerliche Freiheiten, Justiz und Inneres des Europäischen Parlaments) des Europäischen Parlaments gerichteten Schreiben im Wege einer ersten rechtlichen Analyse zu den Auswirkungen des U.S. CLOUD Act auf den europäischen Rechtsrahmen für den Schutz personenbezogener Daten positioniert.

Die Verabschiedung des CLOUD Act durch den US-Kongress im März 2018, der es US-amerikanischen Strafverfolgungsbehörden unter bestimmten Voraussetzungen ermöglicht, die Offenlegung außerhalb der USA belegener Kundendaten durch US-Provider zu verlangen, hatte im Spannungsfeld mit der DSGVO insbesondere auf Seiten der Nutzer von Cloud-Diensten datenschutzrechtliche Bedenken aufkommen lassen.

Internationales Abkommen notwendig, um Schutzniveau zu erhalten und Rechtssicherheit zu gewährleisten

In seiner Stellungnahme gelangt der EDSA – im Einvernehmen mit dem Europäischen Datenschutzbeauftragten – nunmehr zu dem Ergebnis, dass das erforderliche Schutzniveau für die betroffenen Personen in der EU sowie die Rechtssicherheit für Unternehmen nur im Wege eines datenschutzkonformen internationalen Abkommens mit strengen verfahrensrechtlichen und materiellen Grundrechtsgarantien effektiv gewährleistet werden könne.

Nach geltendem Recht sei eine derartige Datenübermittlung im Einklang mit den Vorgaben der DSGVO hingegen nur in sehr engen Grenzen möglich: So lasse sich die Rechtmäßigkeit einer entsprechenden Verarbeitung derzeit nicht feststellen, es sei denn

  • eine entsprechende Anordnung eines US-Gerichts werde auf der Grundlage eines internationalen Abkommens anerkannt bzw. vollstreckbar gemacht und könne daher als rechtliche Verpflichtung gemäß Art. 6 Abs. 1 lit. c) DSGVO angesehen werden oder
  • es liegen Umstände vor, die eine Verarbeitung zum Schutz der lebenswichtigen Interessen der betroffenen Person auf der Grundlage von Art. 6 Abs. 1 lit. d) DSGVO in Verbindung mit Art. 49 Abs. 1 lit. f) erforderlich machen.

Drohende Offenlegung von Kundendaten durch den CLOUD Act

Der am 22. März 2018 durch den US-Kongress verabschiedete „Clarifying Lawful Overseas Use of Data Act″ soll – als Ergänzung des „Stored Communications Act″ („S.C.A.″) von 1986 – insbesondere den grenzüberschreitenden Zugriff US-amerikanischer Ermittlungsbehörden auf elektronische Daten erleichtern und gleichzeitig potenzielle Konflikte unterschiedlicher Rechtsordnungen im Falle entsprechender Offenlegungsanordnungen lösen. Zu diesem Zweck wurden die bestehenden Regelungen in Titel 18 United States Code („U.S.C.″) §§ 2703 ff. um einzelne Vorschriften ergänzt, aus denen sich in erster Linie eine Offenlegungspflicht für US-Anbieter bezüglich außerhalb der USA gespeicherter Daten ergibt.

Im Wesentlichen werden in den neuen Vorschriften des S.C.A. die Voraussetzungen geschaffen bzw. definiert, unter denen US-Provider dazu verpflichtet werden können, im Ausland gespeicherte elektronische Kommunikation offenzulegen. So treffen Anbieter – speziell im Bereich Cloud-Computing – nach Maßgabe des neuen § 2713 U.S.C. nunmehr die im S.C.A. normierten Pflichten zur Vorhaltung, Sicherung oder Offenlegung von unter ihrer Kontrolle befindlichen Kommunikationsdaten, Aufzeichnungen oder sonstigen Informationen unabhängig davon, ob diese innerhalb oder außerhalb der USA belegen sind:

A provider of electronic communication service or remote computing service shall comply with the obligations of this chapter to preserve, backup, or disclose the contents of a wire or electronic communication and any record or other information pertaining to a customer or subscriber within such provider’s possession, custody, or control, regardless of whether such communication is located within or outside the United States.

(Titel 18 U.S.C. § 2713).

Somit wird durch § 2713 U.S.C. in Verbindung mit den bestehenden Regelungen nach §§ 2703 ff. U.S.C. eine rechtliche Grundlage für Herausgabeverlangen von staatlichen Stellen gegenüber Providern bezüglich außerhalb der USA gespeicherter Daten geschaffen. Gemäß § 2703 U.S.C. können staatliche Stellen von einem Provider unter bestimmten Voraussetzungen die Herausgabe der vom Provider gespeicherten Inhalte (contents) sowie der Aufzeichnungen zur Kommunikation (records), einschließlich der Metadaten zum Kommunikationsverhalten, verlangen.

Des Weiteren sehen die Regelungen in § 2703 U.S.C. in bestimmten Fällen eine Informationspflicht gegenüber der betroffenen Person vor. Wird die Herausgabe von Inhaltsdaten (content) auf eine Vorladung (subponea) oder einen Gerichtsbeschluss (court order) gestützt, ist die betroffene Person grundsätzlich durch die staatliche Stelle zu unterrichten, wobei die Informationspflicht unter den Voraussetzungen des § 2705 U.S.C. vorübergehend ausgesetzt werden kann.

Fußt das Herausgabeverlangen hingegen auf einem Durchsuchungsbeschluss (warrant), bedarf es keiner Information der betroffenen Person. Bezüglich der Aufzeichnungen zur Kommunikation (records) besteht – unabhängig vom gewählten Rechtsinstitut – keine Mitteilungspflicht der staatlichen Stellen gegenüber der betroffenen Person.

Durch den CLOUD Act wurde zugleich in § 2703 (h) (2) U.S.C. ein neuer Rechtsbehelf für Provider eingeführt. Nach dieser Norm kann der Provider bei einem zuständigen Gericht einen Rechtsbehelf gegen ein auf die Inhalte (content) gerichtetes Herausgabeverlangen durch staatliche Stellen einlegen. Der Provider kann unter bestimmten Voraussetzungen verlangen, dass das Herausgabeverlangen abgeändert oder für unwirksam erklärt wird (motion to quash or modify).

Datenschutzrechtliche Bewertung des EDSA

In seiner Stellungnahme äußert der EDSA insbesondere die Ansicht, dass der CLOUD Act im Widerspruch zu Art. 48 DSGVO stehe. Jegliche Entscheidung eines ausländischen Gerichts oder einer ausländischen Verwaltungsbehörde, die einen Verantwortlichen oder einen Auftragsverarbeiter zur Übermittlung oder Offenlegung personenbezogener Daten verpflichtet, –  unbeschadet anderer Gründe für die Übermittlung nach Kapitel V der DSGVO – wird nur dann anerkannt oder vollstreckbar wenn sie auf eine in Kraft befindliche internationale Übereinkunft wie etwa ein Rechtshilfeabkommen zwischen dem ersuchenden Drittland und der Union oder einem Mitgliedstaat gestützt ist.

In Ermangelung entsprechender rechtlicher Rahmenbedingungen oder einer anderen Rechtsgrundlage nach Maßgabe der DSGVO biete sich Providern, die dem EU-Recht unterliegen, keine hinreichende rechtliche Grundlage für die Offenlegung und Übermittlung personenbezogener Daten an US-Stellen im Rahmen derartiger Anfragen. In diesem Zusammenhang bekräftigt der EDSA nicht nur seinen bereits in den Leitlinien zu Art. 49 DSGVO formulierten Standpunkt zur Datenweitergabe durch EU-Unternehmen bei Behördenanfragen aus Drittländern, sondern nimmt insbesondere auch auf die Stellungnahme der Europäischen Kommission Bezug. Art. 48 DSGVO mache deutlich, dass eine ausländische Gerichtsentscheidung als solche keinen hinreichenden Rechtsgrund für eine Übertragung nach Maßgabe der DSGVO darstellt.

Haftung des Cloud-Nutzers neben dem Cloud-Provider?

Folgt man der Stellungnahme des EDSA, bleiben für Cloud-Provider nur sehr wenige Möglichkeiten, einen Datentransfer nach dem CLOUD Act in Übereinstimmung mit der DSGVO durchzuführen. In der Stellungnahme nicht erörtert wird aber die für die Praxis weitaus bedeutendere Frage, ob auch dem Cloud-Nutzer, der sich eines US-Cloud-Providers bedient, ebenfalls ein Datenschutzverstoß zur Last gelegt werden kann. In diesem Fall wäre ein datenschutzkonformer Rückgriff auf US-Provider durch EU-Cloud-Nutzer nicht mehr möglich.

Der EDSA deutet insofern lediglich an, dass durch den CLOUD Act auch weitere Verpflichtungen nach der DSGVO berührt sein können, insbesondere die Verpflichtung des Auftragsverarbeiters, personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen zu verarbeiten. Es bleibt nach der Stellungnahme unklar, ob der EDSA in einem Datentransfer des Cloud-Providers auch einen Verstoß gegen die DSGVO durch den Cloud-Nutzer erblicken möchte oder sogar die Beauftragung eines solchen Cloud-Providers per se für bedenklich erachtet.

Überzeugend ist beides in der Regel nicht. Schließt der Cloud-Nutzer mit dem Cloud-Provider einen ordnungsgemäßen Vertrag zur Auftragsverarbeitung, ergibt sich eine klare Aufgabenverteilung zwischen den Vertragsparteien: Der Cloud-Provider darf die Daten nur auf dokumentierte Weisung des Cloud-Nutzers verarbeiten oder wenn dies durch das Recht der Union bzw. eines Mitgliedsstaates vorgeschrieben ist. Hält sich der Cloud-Provider an diese (vertragliche) Weisung, ist nur der Cloud-Nutzer datenschutzrechtlich verantwortlich. Trifft der Cloud-Provider hingegen eigenständig die Entscheidung, einer Anforderung nach dem CLOUD Act nachzukommen, schwingt er sich damit selbst zum Verantwortlichen auf und muss nach Art. 28 Abs. 10 DSGVO für die Folgen seines Handelns einstehen. Der Cloud-Nutzer ist für das (eigenständige) Handeln des Cloud-Providers dann aber nicht mehr verantwortlich und muss aus datenschutzrechtlicher Sicht hierfür nicht mehr aufkommen.

Weitergehende Haftung des Cloud-Nutzers laut HBDI denkbar

Gleichwohl geht der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) offenbar von einer möglichen datenschutzrechtlichen Verantwortung des Cloud-Nutzers aus. In einer Pressemitteilung vom 9. Juli 2019 nimmt der HBDI den Standpunkt ein, der Einsatz von US-Cloud-Lösungen sei an Schulen datenschutzrechtlich u.a. wegen der Gefahr eines möglichen Zugriffs durch US-Behörden unzulässig. Wie der HBDI am Beispiel von Office 365 erläutert, könnten derartige Cloud-Lösungen derzeit von Schulen nicht in datenschutzkonformer Weise verwendet werden:

Seit Jahren befinden sich die Aufsichtsbehörden mit Microsoft in der Diskussion. Dabei ist der entscheidende Aspekt, ob die Schule als öffentliche Einrichtung personenbezogene Daten (von Kindern) in einer (europäischen) Cloud speichern kann, die z.B. einem möglichen Zugriff US-amerikanischer Behörden ausgesetzt ist. Öffentliche Einrichtungen in Deutschland haben eine besondere Verantwortung hinsichtlich der Zulässigkeit und Nachvollziehbarkeit der Verarbeitung personenbezogener Daten. […] Deshalb gilt auch hier, dass für Schulen die datenschutzkonforme Nutzung derzeit nicht darstellbar ist.

Eine weitergehende rechtliche Begründung bleiben die Datenschützer aus Hessen indes bislang schuldig. Es ist daher unklar, gegen welche datenschutzrechtlichen Bestimmungen eine Schule verstoßen soll, wenn sie einen US-Provider beauftragt. Auch wenn der besondere Schutz von Kindern an öffentlichen Schulen nachvollziehbar und wünschenswert ist, darf dieses Schutzziel nicht auf Kosten der Rechtssicherheit erstrebt werden. Es wäre daher – obschon sich die Stellungnahme ausdrücklich nur auf die Datenverarbeitung in Bezug auf Kinder an Schulen bezieht – wünschenswert gewesen, wenn der HBDI die Stellungnahme zugleich mit einer Klarstellung für die Cloud-Nutzung durch Unternehmen versehen hätte.

Fazit: Ausgestaltung der Datenverarbeitungsverträge unter die Lupe nehmen

In Anbetracht der unsicheren Rechtslage sollten Unternehmen beim Einsatz von US-Cloud-Diensten besonderes Augenmerk auf die ordnungsgemäße Ausgestaltung der Datenverarbeitungsverträge legen, um das Risiko einer eigenen Haftung zu reduzieren. Rechtssicherheit wird voraussichtlich erst mit dem Abschluss eines internationalen Abkommens zwischen der Union und den USA geschaffen werden.

Mit der Verhandlung eines solchen Abkommens hat der Rat die Kommission zwischenzeitlich beauftragt.

Tags: Cloud Act Cloud-Nutzer Cloud-Provider EDSA Haftung