Was tun, wenn neugierige US-Behörden gerne in den Daten von EU-Bürger:innen schnüffeln wollen? Die Antworten darauf halten selbst Expert:innen für kompliziert. Als der Europäische Gerichtshof (EuGH) im Sommer 2020 mit dem Schrems-II-Urteil das Datentransferabkommen zwischen der EU und den Vereinigten Staaten gekippt hatte, war die Ratlosigkeit groß. Das sogenannte Privacy Shield hatte den Austausch von Daten über den Atlantik hinweg rechtlich geregelt. Ohne Abkommen konnte es keine rechtssichere Datenübermittlung mehr geben. Daran hat sich bis heute nichts Wesentliches geändert.
Der Hauptkritikpunkt des EuGH: Die Geheimdienste haben in den USA einen zu weiten Zugriff auf alle möglichen Daten. Weil die US-amerikanischen Datenschutzgesetze nicht mit den europäischen mithalten können, sollten die Daten von EU-Bürger:innen nicht mehr in den USA landen. Die Folgen der Entscheidung sind weitreichend.
Wie weitreichend, versucht die Datenschutzkonferenz von Bund und Ländern jetzt mithilfe eines Gutachtens zu ermessen. Verfasst hat es der US-amerikanische Jurist Stephen Vladeck, der im Prozess rund um das Privacy Shield Sachverständiger für Facebook war. Vladeck beschäftigt sich im Auftrag der Datenschützer:innen vor allem mit einem wichtigen Abschnitt des US-Geheimdienstrechts. Er handelt davon, wie Ermittler:innen Daten von Personen außerhalb der USA erfassen dürfen.
Auch Banken und Fluggesellschaften könnten betroffen sein
Dieser Abschnitt, die „Section 702“ des Foreign Intelligence Surveillance Acts, war im Zuge des Schrems-II-Urteils vom EuGH für unvereinbar mit den europäischen Datenschutzvorschriften gewertet worden. Der Abschnitt gibt den US-Geheimdiensten die Erlaubnis, Kommunikationsdaten aller Nicht-US-Bürger:innen anzufordern oder direkt selbst abzugreifen. Rechtfertigt wird dieser Eingriff in die Grundrechte meist mit der Bekämpfung von Terrorismus.
Laut Gesetz betrifft dieses Zugriffsrecht alle Daten, die bei Anbietern elektronischer Kommunikationsdienste anfallen. Das Gutachten betont, dass damit aber nicht nur Telekommunikationsunternehmen, E-Mail-Provider oder Betreiber von Rechenzentren gemeint sind, sondern auch andere Unternehmen, die auf elektronischem Weg mit Kund:innen kommunizieren. Das könnte laut Gutachten zum Beispiel auch Banken, Fluggesellschaften oder Hotels betreffen.
Die Dienste zur elektronischen Kommunikation müssten nicht mal der Öffentlichkeit angeboten werden, so das Gutachten weiter. Stellt ein Unternehmen seinen Mitarbeiter:innen zum Beispiel einen eigenen E-Mail-Dienst zur Verfügung, können sie auch schon vom Gesetz betroffen sein. Das bedeutet aber nicht, dass die Geheimdienste dann ausschließlich auf Daten dieses internen E-Mail-Services zurückgreifen dürfen. Wer einmal als Anbieter elektronischer Kommunikationsdienst gilt, müsse den Diensten auf Anfrage sämtliche Daten zur Verfügung stellen.
Wer Daten nicht herausgibt, riskiert Strafen
Behörden und Unternehmen in der Europäischen Union haben sich in Folge des EuGH-Urteils zum transatlantischen Datenverkehr darauf verlegt, Daten nur noch innerhalb der EU zu speichern und zu verarbeiten. Auf den ersten Blick könnte das vor einem Zugriff durch US-Behörden schützen. Das Problem: Laut Gutachten könnte diese Maßnahme in einigen Fällen nicht ausreichen. Denn ein US-Unternehmen mit EU-Tochtergesellschaft könnte demnach von den Geheimdiensten genauso verpflichtet werden, Daten herauszugeben – selbst wenn die Daten auf einem Server innerhalb der EU liegen.
Dass die Europäische Datenschutz-Grundverordnung (DSGVO) eine solche Datenweitergabe verbietet, ändert dem Gutachten zufolge nichts am Gültigkeitsbereich des US-Gesetzes. Die US-Mutterkonzerne müssten etwa mit Geldstrafen rechnen, wenn sie die Herausgabe der Daten von den europäischen Servern verweigern.
Nicht ganz klar sei die Rechtslage bei EU-Konzernen, die eine Niederlassung oder eine Tochtergesellschaft in den USA unterhalten. Der Gutachter hält es zumindest für möglich, dass eine US-amerikanische Tochter eines Mutterkonzerns aus der EU verpflichtet werden kann, alle Daten herauszugeben, auf die das Unternehmen Kontrolle ausüben kann. Man könne nicht ausschließen, dass sich das auf sämtliche Daten des Mutterkonzerns beziehen würde, die die Tochtergesellschaft theoretisch einsehen könnte.
Wie Gesundheitsdaten bei US-Geheimdiensten landen könnten
Was das in der Praxis für Unternehmen bedeuten könnte, zeigt sich am Beispiel von Apps und Programmen, die sich Patient:innen ärztlich verschreiben lassen können. Anfang 2021 veröffentlichte das für die Apps zuständige Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) ein Papier über den Schutz sensibler, personenbezogener Gesundheitsdaten.
Klar war damals: Die Datenverarbeitung dürfe nicht auf US-Servern stattfinden – auch nicht, wenn die Nutzer:innen um ihre Einwilligung gebeten wurden. Doch auch das BfArM stieß an seine Grenzen, als es um EU-Tochterkonzerne von US-Unternehmen ging. Auch wenn die Daten auf EU-Servern liegen, konnte man damals nicht ausschließen, dass sie Begehrlichkeiten der US-Behörden wecken. Für den rechtlichen Zwiespalt gab es damals keine Lösung. Die Entwickler:innen der Apps sollten nur verpflichtet sein, den Rechtsweg komplett auszuschöpfen, wenn sie von einem Antrag auf Datenherausgabe seitens der US-Behörden betroffen seien.
Geheimdienstrecht vs. DSGVO
Das Beispiel zeigt, wie weitreichend die Folgen der US-Geheimdienstgesetze auch innerhalb der EU sein können. Das kann Unternehmen, die in beiden Regionen tätig sind, in einen rechtlichen Zwiespalt führen. Viele EU-Unternehmen nutzen für digitale Dienstleistungen die Infrastruktur großer US-Konzerne wie Google oder Amazon. Selbst wenn die Server von deren EU-Tochtergesellschaften innerhalb der EU betrieben werden, schützt das die Unternehmen nicht automatisch vor den invasiven US-Gesetzen. Gleichzeitig müssen sie aber auch die Vorgaben der DSGVO befolgen.
Die deutschen Datenschutzbehörden lassen noch offen, welche Schlüsse sie aus dem Gutachten ziehen. Es heißt, die Konsequenzen für Deutschland würden derzeit bewertet. Langfristig können die Unsicherheiten für Unternehmen wohl durch ein neues Abkommen aus der Welt geschafft werden. Das ist jedoch nicht in Sicht, da europäisches Datenschutzrecht und US-amerikanische Geheimdienstgesetze weiterhin nicht gemeinsam funktionieren.
Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.
0 Commentaires