Der CLOUD Act und europäische Unternehmen: Welcher Anwendungsbereich?

Legal Watch Nr. 40 – Oktober 2021

Der CLOUD Act und europäische Unternehmen: Welcher Anwendungsbereich?Die Entmaterialisierung von Daten und ihre Speicherung in den „Clouds“ haben grundlegende und komplexe Auswirkungen auf die Verpflichtungen von Unternehmen.

Auch wenn die Daten in Europa gespeichert sind, sind sie nicht vor einer Offenlegungsanfrage eines Drittlandes im rechtlichen Kontext gefeit.

Das zunehmend aktuelle Thema der digitalen Souveränität findet insbesondere in der Entwicklung des US-amerikanischen Rechts mit dem CLOUD Act und seinem extraterritorialen Anwendungsbereich ein Echo.

Unter welchen Bedingungen kann die europäische Tochtergesellschaft eines amerikanischen Unternehmens oder umgekehrt die amerikanische Tochtergesellschaft eines europäischen Unternehmens gezwungen werden, ihre Daten an die amerikanischen Behörden weiterzugeben?

Im März 2018 wurde in den USA der CLOUD Act (Clarifying Lawful Overseas Use of Data) verabschiedet. Ziel ist es, US-Strafverfolgungsbehörden den Zugriff auf Daten von US-Cloud-Dienstleistern zu ermöglichen – unabhängig vom Speicherort der Daten und ohne dass ein Verfahren im Rahmen der internationalen Rechtshilfe eingeleitet werden muss.

Kurz vor der Verabschiedung des CLOUD Act hatte sich Microsoft mit der Begründung, US-Recht sei auf in Europa gespeicherte Daten nicht anwendbar, geweigert, den US-Behörden die in seiner irischen Cloud gespeicherten Daten zur Verfügung zu stellen. Dies hatte zu langwierigen Gerichtsverfahren geführt.

Der CLOUD Act präzisiert und erweitert seinen Anwendungsbereich, um derartige Situationen zu verhindern.

Der Text ermöglicht es zudem, dass ausländische Staaten im Falle eines bilateralen Abkommens auch auf Daten von Cloud-Dienstleistern mit Sitz in den USA zugreifen können, ohne ein Rechtshilfeersuchen stellen zu müssen.

Ein Abkommen dieser Art wurde vor kurzem zwischen den Vereinigten Staaten und dem Vereinigten Königreich geschlossen, das erste seiner Art.

Der CLOUD Act gilt für jedes US-Unternehmen im Sinne des US-Rechts, d. h. für ein in den Vereinigten Staaten eingetragenes Unternehmen und von ihnen kontrollierte Unternehmen.

Eine europäische Tochtergesellschaft oder ein von einem amerikanischen Unternehmen kontrolliertes europäisches Unternehmen kann daher diesem Gesetz unterliegen, was zwangsläufig zu Rechtskonflikten führen wird, sofern diese Unternehmen ebenfalls der DSGVO unterliegen.

Beachten Sie, dass sich das Konzept auch an europäische Unternehmen mit einer „Präsenz“ in den Vereinigten Staaten richtet, was seinen Anwendungsbereich erheblich erweitert.

Darauf weist der Europäische Datenschutzausschuss in einer Stellungnahme aus dem Jahr 2019 hin, ebenso wie das Schweizer Justizministerium in einer ganz aktuellen Studie vom 17. September 2021 zum CLOUD Act.

Diese Unsicherheit über den Umfang des CLOUD Act wird vom US-Justizministerium selbst in einem Whitepaper zu diesem Thema vom April 2019 zum Ausdruck gebracht, aus dem hier ein Auszug (inoffizielle Übersetzung) wiedergegeben ist:

„Ob ein ausländisches Unternehmen mit Sitz außerhalb der Vereinigten Staaten, das jedoch Dienstleistungen in den Vereinigten Staaten erbringt, über ausreichende Kontakte zu den Vereinigten Staaten verfügt, um der US-Gerichtsbarkeit zu unterliegen, ist eine faktenspezifische Untersuchung, die sich auf die Art, Menge und Qualität der Kontakte des Unternehmens mit den Vereinigten Staaten bezieht.

Je bewusster ein Unternehmen sein Verhalten auf die Vereinigten Staaten ausgerichtet hat, desto wahrscheinlicher ist es, dass ein Gericht feststellt, dass das Unternehmen der US-amerikanischen Gerichtsbarkeit unterliegt.

US-Gerichte, die diese Analyse beispielsweise in Zivilverfahren anwenden, bei denen es um Websites geht, haben sich auf den Grad der Interaktivität einer Site mit Kunden in ihrem Zuständigkeitsbereich konzentriert und dabei Faktoren wie die Funktion und Funktionsweise der Website, etwaige spezielle Werbung für Kunden, die Anwerbung von Kunden über die Site und die tatsächliche Nutzung durch Kunden berücksichtigt. 

Diese Auslegung setzt eine sehr große Zahl europäischer Unternehmen potenziell US-amerikanischen Rechtsansprüchen aus, selbst wenn sich die Datenbanken in Europa befinden. Nach Artikel 48 der DSGVO kann das Recht eines anderen Landes jedoch keine ausreichende Rechtsgrundlage für die Übermittlung personenbezogener Daten an die Behörden dieses Landes darstellen.

Der Text der DSGVO sieht ausdrücklich vor, dass solche Datenübermittlungen nur im Rahmen eines internationalen Abkommens, beispielsweise eines Rechtshilfeabkommens, erfolgen dürfen.

Ziel dieses Grundsatzes ist es, sowohl den Schutz der übermittelten Daten als auch ein Mindestmaß an Rechtssicherheit zu gewährleisten.

Welche Lösungen?

Aus politischer Sicht ist zunächst einmal festzustellen, dass die Europäische Kommission derzeit mit den Vereinigten Staaten über ein Abkommen verhandelt, das den Zugang zu elektronischen Beweismitteln bei strafrechtlichen Ermittlungen erleichtern soll, während der Europarat dabei ist, ein zweites Protokoll zum Budapester Übereinkommen über Computerkriminalität zu entwickeln – zwei Texte, die den Rechtsrahmen für diese Datenübertragungen im Einklang mit dem europäischen Recht klären würden.

Genauer gesagt sieht der Cloud Act vor, dass sich ein Unternehmen, das mit einem Rechtskonflikt konfrontiert ist, auf das Recht berufen kann, dem es unterliegt, in diesem Fall die DSGVO, um die amerikanische Anfrage anzufechten („erhebliches Risiko der Verletzung ausländischer Gesetze“).

Allerdings handelt es sich dabei um Verfahren, die sich als langwierig und kostspielig erweisen können und deren Ausgang ungewiss ist.

In der Praxis können technische Maßnahmen zum Schutz der Daten ergriffen werden, die sich an den Empfehlungen des Europäischen Datenschutzausschusses orientieren.

Datenspeicherung in Europa, keine Aufbewahrung von Daten im Klartext, spezielle Verschlüsselungsmaßnahmen, wie sie der EDSB in seiner Stellungnahme vom Juni 2021 zu Datenübertragungstools außerhalb der Europäischen Union (S. 30) detailliert beschreibt, und die Aufbewahrung von Verschlüsselungsschlüsseln in der Europäischen Union.

Der CLOUD Act verbietet keine Verschlüsselung (obwohl die Vereinigten Staaten von Unternehmen verlangen, in dieser Frage mit Regierungsbehörden zusammenzuarbeiten) und nimmt keine Stellung zu Entschlüsselungsregeln von Drittländern.

Abschließend sei noch erwähnt, dass die ersten europäischen Clouds vor Kurzem von den europäischen Datenschutzbehörden genehmigt wurden: Im vergangenen Frühjahr verabschiedete die CNIL den ersten europäischen Verhaltenskodex speziell für Anbieter von Cloud-Infrastrukturdiensten.

Darüber hinaus hat das Unternehmen gerade das Nationale Labor für Metrologie und Tests (LNE) und Bureau Veritas Italia Spa ermächtigt, Kontrollen zur Einhaltung dieses Verhaltenskodex durchzuführen.

Ohne „alles lokal“ als Allheilmittel zu betrachten, haben europäische Clouds den Vorteil, eine erhöhte Rechtssicherheit zu bieten, solange keine internationale Vereinbarung Klarheit in die Situation gebracht hat.

Und auch

Frankreich:

Die CNIL hat das Unternehmen offiziell benachrichtigt Frankreichtest um die Gesundheitsdaten (Screening-Tests), die es im Auftrag von Apotheken sammelt, zu sichern. Darüber hinaus hat es mehr als 300 Apotheken kontaktiert, um deren Einhaltung der DSGVO zu überprüfen.

Die Behörde veröffentlichte Anfang Oktober außerdem eine Whitepaper zu Daten und Zahlungsmethodenund eine öffentliche Konsultation zum Entwurf eines Einstellungsleitfadens.

Schließlich prüft die CNIL die Möglichkeit, Einsatz der Gesichtserkennung für die Olympischen Spiele ab 2024.

Europa

Die niederländische Datenschutzbehörde Am 21. Oktober lehnte Großbritannien einen Antrag auf Genehmigung zur Aufnahme von Betrugsverdachtsfällen im Telekommunikationsbereich und bei Online-Zahlungen auf eine schwarze Liste ab.

Spanische Autorität Die verantwortliche Person für die Einführung eines biometrischen Identifikationssystems am Arbeitsplatz ohne vorherige Folgenabschätzung wurde mit einer Geldstrafe von 16.000 Euro belegt.

Nach einer Sicherheitsverletzung im Zusammenhang mit der Nutzung des Gesichtserkennungssystems Clearview AI hat dieFinnische Datenschutzbehörde war der Ansicht, dass die Polizei diese Software ohne Rechtsgrundlage verwendet hatte, und forderte sie auf, sich an die Gesetze zu halten und die betroffenen Personen zu informieren.

Das Woiwodschaftsverwaltungsgericht Warschau hielt es für rechtswidrig, dass eine Bank personenbezogene Daten auf Grundlage von Artikel 6 Absatz 1 Buchstabe f DSGVO (Interessenabwägung) verarbeitet, und zwar ausschließlich aufgrund ihrer möglichen zukünftigen Nützlichkeit. Quelle der nationalen Entscheidungen: gdprhub

Amazon hat einen Vertrag mit der Britischer Geheimdienst (GCHQ, MI5, MI6), über das das Unternehmen künstliche Intelligenzanalysen zu sensiblen Daten von Geheimdiensten hosten und durchführen wird. 

In der SchweizProton, der sichere Messaging- und VPN-Dienst, gewann am 22. Oktober eine Berufung gegen die ihm auferlegte Verpflichtung, die Daten seiner Benutzer zu überwachen und zu speichern.

Das Europäische Parlament Am 6. Oktober verabschiedete der US-Senat eine Resolution, in der er Gesichtserkennung und auf künstlicher Intelligenz basierende prädiktive Analysen bei der Polizeiarbeit ablehnte.

Internationales:

Der 43. Internationale Konferenz der Datenschutzbehörden fand vom 18. bis 21. Oktober in Mexiko-Stadt und per Videokonferenz statt.

Auf der Konferenz wurden mehrere Resolutionen verabschiedet, darunter eine zu den digitalen Rechten von Kindern und eine weitere zum Zugriff der Strafverfolgungsbehörden auf Daten des privaten Sektors.

Die Datenschutzbehörde von Südkorea empfiehlt nach einer Sicherheitsverletzung bei Facebook (Meta) eine Entschädigung von 257 US-Dollar für jeden Benutzer, dessen Daten unrechtmäßig an Dritte übermittelt wurden.

Anne Christine Lacoste

Anne Christine Lacoste, Partnerin bei Olivier Weber Avocat, ist Anwältin mit Spezialgebiet Datenschutz. Sie war Leiterin für internationale Beziehungen beim Europäischen Datenschutzbeauftragten und arbeitete an der Umsetzung der DSGVO in der Europäischen Union.