128 95 4MB
German Pages 290 [291] Year 2022
Beiträge zum Informationsrecht Band 42
Grenzen der Datenübermittlungen aus der EU in Drittstaaten – anhand des Beispiels der USA Von Sabrina Seak
Duncker & Humblot · Berlin
SABRINA SEAK
Grenzen der Datenübermittlungen aus der EU in Drittstaaten – anhand des Beispiels der USA
Beiträge zum Informationsrecht Herausgegeben von Prof. Dr. Hansjürgen Garstka, Prof. Dr. Michael Kloepfer, Prof. Dr. Eva Inés Obergfell, Prof. Dr. Friedrich Schoch
Band 42
Grenzen der Datenübermittlungen aus der EU in Drittstaaten – anhand des Beispiels der USA
Von Sabrina Seak
Duncker & Humblot · Berlin
Die Rechtswissenschaftliche Fakultät der Westfälischen Wilhelms-Universität Münster hat diese Arbeit im Jahr 2021 als Dissertation angenommen. Bibliografische Information der Deutschen Nationalbibliothek Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über http://dnb.d-nb.de abrufbar.
D6 Alle Rechte vorbehalten © 2022 Duncker & Humblot GmbH, Berlin Satz: 3w+p GmbH, Rimpar Druck: CPI buchbücher.de gmbh, Birkach Printed in Germany ISSN 1619-3547 ISBN 978-3-428-18505-4 (Print) ISBN 978-3-428-58505-2 (E-Book) Gedruckt auf alterungsbeständigem (säurefreiem) Papier entsprechend ISO 9706
Internet: http://www.duncker-humblot.de
Meiner Mutter, die stets an mich geglaubt hat, meine seelische Stütze war und mich durchgehend motiviert hat. Meinem Vater, der mit mir Ideen ausgetauscht und mir gezeigt hat, dass man niemals aufhören sollte, zu lernen. Meinem Opa, für seine kontinuierliche Unterstützung und sein unentwegt offenes Ohr. Meiner restlichen Familie für das Verständnis und den Rückhalt.
Vorwort Die vorliegende Arbeit wurde von der Rechtswissenschaftlichen Fakultät der Westfälischen Wilhelms-Universität Münster im Sommersemester 2021 als Dissertation angenommen. An dieser Stelle möchte ich mich herzlich bei allen beteiligten Personen bedanken, die mich bei meinem Promotionsvorhaben unterstützt haben. Mein erster persönlicher Dank gebührt Herrn Prof. Dr. Thomas Hoeren, der mir die Umsetzung meiner Dissertation ermöglicht und mich bekräftigt hat, Forschung in den USA zu betreiben. Hervorheben möchte ich zudem die ausgezeichnet organisierten Doktorandenseminare, bei denen ich wertvolle inhaltliche Anregungen und organisatorische Hilfestellungen erhalten habe sowie Freundschaften mit anderen Doktoranden knüpfen konnte. Überdies möchte ich Herrn Prof. Dr. Lothar Determann für die rasche Erstellung des Zweitgutachtens und die Gelegenheit danken, einen direkten Einblick in die datenschutzrechtliche Perspektive aus US-amerikanischer Sicht zu werfen. Für die anregenden Gespräche und gesammelten Erfahrungen an der Universität von Kalifornien in Berkeley bin ich zutiefst dankbar. Auch möchte ich Herrn Thomas Christiansen meinen Dank aussprechen, der mir die Möglichkeit erteilt hat, neben meiner beruflichen Weiterentwicklung als Legal Counsel in einem Software-Unternehmen in Dänemark mein Promotionsvorhaben zu realisieren, und mich in diesem Rahmen stets mit produktiven Gesprächen und motivierendem Zuspruch begleitet hat. Des Weiteren möchte ich auch der NGO noyb und Maximilian Schrems meinen herzlichen Dank aussprechen. Durch die innovativen Ideen und stetigen Bemühungen der Datenschutzaktivisten wurde diese Arbeit maßgeblich geprägt. Zudem konnte ich durch meine Zeit als Teil des noyb-Teams hilfreiche Erkenntnisse zur Durchsetzung des Datenschutzes in der EU gewinnen und im Juli 2020 an der Verkündung des Schrems II-Urteils durch den EuGH teilnehmen. Köln, im November 2021
Sabrina Seak
Inhaltsübersicht Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27 A. Gegenstand der Arbeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27 B. Gang der Untersuchung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28 Erstes Kapitel Datenübermittlungen aus der EU in Drittstaaten nach der DSGVO
30
A. Grenzen der Datenübermittlungen in Drittstaaten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30 I. Gegenstand der Grenzen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30 II. Territorialer Anwendungsbereich der Grenzen . . . . . . . . . . . . . . . . . . . . . . . . . . . 32 B. Zulässigkeit der Datenübermittlung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42 I. Allgemeine Anforderungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42 II. Formale Bedingungen im fünften Kapitel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42 Zweites Kapitel Angemessenes Datenschutzniveau als Schranke A. Bedeutung und Ziele eines angemessenen Datenschutzniveaus . . . . . . . . . . . . . . . . . . I. Anlehnung an die internationalen Vorbilder . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II. Ermöglichung des freien Datenflusses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . III. Wahrnehmung einer politischen Funktion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . IV. Wahrung eines hohen Grundrechteschutzes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . V. Zwischenergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
49 49 49 51 52 53 58
B. Kriterien für ein angemessenes Datenschutzniveau . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59 I. Datenschutzregime . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59 II. Internationale Verpflichtungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60 C. Endergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61 Drittes Kapitel EU-Datenschutzrechtsniveau als Vergleichsmaßstab A. Hohes Datenschutzniveau unter der DSGVO als Vergleichsmaßstab . . . . . . . . . . . . . . I. Datenschutzgrundsätze . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II. Rechtmäßigkeit der Datenverarbeitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . III. Rechte der betroffenen Personen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
63 63 64 66 69
10
Inhaltsübersicht IV. V.
Pflichten des Verantwortlichen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74 Gewährleistung der praktischen Wirksamkeit in der EU . . . . . . . . . . . . . . . . . . . 77
B. Europäische Rahmenbedingungen für Behördenzugriffe . . . . . . . . . . . . . . . . . . . . . . . I. Kein Vergleichsmaßstab im EU-Recht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II. EuGH-Rechtsprechung als Vergleichsmaßstab . . . . . . . . . . . . . . . . . . . . . . . . . . . III. Rechtsprechung des EGMR als Vergleichsmaßstab . . . . . . . . . . . . . . . . . . . . . . . IV. Vier Garantien als Auslegungshilfen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
81 81 81 86 87
Viertes Kapitel Angemessenes Datenschutzniveau in den USA?
92
A. Verfassungsrecht auf Bundesebene . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92 I. Vierter Verfassungszusatz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92 II. Erster Verfassungszusatz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97 B. Datenverarbeitungen durch Private . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97 I. Ausgewähltes Bundesrecht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97 II. Föderales Recht am Beispiel von Kalifornien . . . . . . . . . . . . . . . . . . . . . . . . . . . 114 C. Datenverarbeitungen durch öffentliche Stellen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136 I. Allgemeine Datenverarbeitungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136 II. Endergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157 D. Überwachungen durch US-Behörden . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 158 I. Recht zur Überwachung von aus der EU übermittelten Daten . . . . . . . . . . . . . . 159 II. Zugriff US-amerikanischer Geheimdienste auf Daten in der EU . . . . . . . . . . . . 188 Fünftes Kapitel Legitimierungen von Datenübermittlungen in die USA
201
A. Mechanismen zur Legitimierung von Datenübermittlungen . . . . . . . . . . . . . . . . . . . . . I. Standardvertragsklauseln (SCC) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II. Andere Übermittlungsgarantien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . III. Ausnahmen im fünften Kapitel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
202 202 218 225
B. Zusätzliche Schutzmaßnahmen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . I. Rechtsgrundlage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II. Lage in den USA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . III. Zusätzliche Maßnahmen zu allen Übermittlungsgarantien . . . . . . . . . . . . . . . . . IV. Einzelabwägung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . V. Konkrete zusätzliche Maßnahmen für Datenübermittlungen in die USA . . . . . .
235 235 236 237 238 248
C. Ausblick und Endbewertung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . I. Zusätzliche Maßnahmen in einem dritten Datenschutzschild . . . . . . . . . . . . . . . II. Anpassung anderer Übermittlungsgarantien für die USA . . . . . . . . . . . . . . . . . . III. Verlagerung von Datenverarbeitungen in die EU . . . . . . . . . . . . . . . . . . . . . . . . . IV. Auswirkungen auf den Handel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . V. Erschwerung der Tätigkeit der US-Überwachungsbehörden . . . . . . . . . . . . . . . .
267 267 268 269 270 271
Inhaltsübersicht VI. VII. VIII. IX.
Prüfung der Verhältnismäßigkeit für zusätzliche Maßnahmen . . . . . . . . . . . . . . Veränderung des „angemessenen Datenschutzniveaus“? . . . . . . . . . . . . . . . . . . . Herausforderung für Artikel 3 Abs. 2 DSGVO . . . . . . . . . . . . . . . . . . . . . . . . . . . Durchsetzung und Bindung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
11 272 274 275 277
Literaturverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 280 Sachwortverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 289
Inhaltsverzeichnis Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27 A. Gegenstand der Arbeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27 B. Gang der Untersuchung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
Erstes Kapitel Datenübermittlungen aus der EU in Drittstaaten nach der DSGVO
30
A. Grenzen der Datenübermittlungen in Drittstaaten . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30 I. II.
Gegenstand der Grenzen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30 Territorialer Anwendungsbereich der Grenzen . . . . . . . . . . . . . . . . . . . . . . . . . . 32 1. Niederlassungsprinzip . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32 2. Marktortprinzip . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33 a) Anbietung von Waren oder Dienstleistungen an Betroffene . . . . . . . . . . . 33 b) Beobachtung des Verhaltens Betroffener . . . . . . . . . . . . . . . . . . . . . . . . . . 34 c) Zwischenergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34 3. Verhältnis von Artikel 3 Absatz 2 zum fünften Kapitel der DSGVO . . . . . . 35 a) Status Quo: Keine öffentliche Klarstellung . . . . . . . . . . . . . . . . . . . . . . . . 35 b) Argumente zur Anwendbarkeit des fünften Kapitels . . . . . . . . . . . . . . . . 36 aa) Durchsetzungsprobleme . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36 (1) Vertragliche Bindung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36 (2) Vertreter in der EU . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37 bb) Schrems-Rechtsprechung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38 cc) Schutzabweichung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39 (1) Generelle Anforderungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39 (2) Risikoanalyse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40 (3) Ergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40 c) Konsequenzen des Ergebnisses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40 aa) Funktionsfähigkeit der digitalen Welt . . . . . . . . . . . . . . . . . . . . . . . . . 40 bb) Anwendbarkeit auf die Direkterhebung . . . . . . . . . . . . . . . . . . . . . . . 41 cc) Wahrung der Bedeutung eines angemessenen Datenschutzniveaus
41
14
Inhaltsverzeichnis
B. Zulässigkeit der Datenübermittlung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42 I.
Allgemeine Anforderungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
II.
Formale Bedingungen im fünften Kapitel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42 1. Angemessenheitsentscheidungen der EU-Kommission . . . . . . . . . . . . . . . . . 42 a) Allgemeine Beschlüsse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43 b) Beschlüsse für selbstzertifizierte Unternehmen in den USA . . . . . . . . . . 44 aa) Schrems I – Ungültigkeit von Safe Harbor . . . . . . . . . . . . . . . . . . . . . 44 bb) Entstehung von Privacy Shield . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45 cc) Schrems II – Ungültigkeit von Privacy Shield . . . . . . . . . . . . . . . . . . 46 2. Andere Übermittlungsgarantien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46 3. Ausnahmen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47 4. Zwischenergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
Zweites Kapitel Angemessenes Datenschutzniveau als Schranke
49
A. Bedeutung und Ziele eines angemessenen Datenschutzniveaus . . . . . . . . . . . . . . . . . 49 I. Anlehnung an die internationalen Vorbilder . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49 II.
Ermöglichung des freien Datenflusses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51 1. EU-Binnenmarkt . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
III. IV.
2. Mit Handelspartnern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51 Wahrnehmung einer politischen Funktion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52 Wahrung eines hohen Grundrechteschutzes . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53 1. Datenschutz als europäisches Grundrecht . . . . . . . . . . . . . . . . . . . . . . . . . . . 53 2. Anspruch auf Fortwahrung des Grundrechteschutzes . . . . . . . . . . . . . . . . . . 53 3. Verhältnismäßigkeit zu tangierten Grundrechten . . . . . . . . . . . . . . . . . . . . . . 55 a) Recht auf informationelle Selbstbestimmung . . . . . . . . . . . . . . . . . . . . . . 55 b) Unternehmensfreiheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55 c) Recht auf Sicherheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56 d) Abwägung im Rahmen der Verhältnismäßigkeit . . . . . . . . . . . . . . . . . . . . 56 e) Hohes Schutzniveau als Leitlinie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57 f) Wesensgehalt des Grundrechts auf Datenschutz . . . . . . . . . . . . . . . . . . . . 57
V.
Zwischenergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
B. Kriterien für ein angemessenes Datenschutzniveau . . . . . . . . . . . . . . . . . . . . . . . . . . 59 I.
Datenschutzregime . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59 1. Werte der EU . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59 2. Einschlägiges Recht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59 3. Unabhängige Aufsichtsbehörde . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60
II.
Internationale Verpflichtungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60
Inhaltsverzeichnis
15
C. Endergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
Drittes Kapitel EU-Datenschutzrechtsniveau als Vergleichsmaßstab
63
A. Hohes Datenschutzniveau unter der DSGVO als Vergleichsmaßstab . . . . . . . . . . . . . 63 I.
Datenschutzgrundsätze . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64 1. Rechtmäßigkeit, Fairness und Transparenz . . . . . . . . . . . . . . . . . . . . . . . . . . 64 2. Zweckbindung und zusammenhängende Grundsätze . . . . . . . . . . . . . . . . . . 65 3. Integrität und Vertraulichkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66
II.
4. Rechenschaftspflicht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66 Rechtmäßigkeit der Datenverarbeitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66 1. Einwilligung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67 2. Weitere Legitimierungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67 a) Im Interesse des Betroffenen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67 b) Verpflichtungen zur Verarbeitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68 c) Überwiegende Interessen bei Verarbeitung durch Private . . . . . . . . . . . . . 68 3. Besonders schutzbedürftige Datenverarbeitungen . . . . . . . . . . . . . . . . . . . . . 68 4. Zwischenergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69
III.
Rechte der betroffenen Personen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69 1. Informationspflichten in Bezug auf die Datenverarbeitung . . . . . . . . . . . . . . 69 2. Auskunftsrecht und der Erhalt von Kopien . . . . . . . . . . . . . . . . . . . . . . . . . . 70 3. Recht auf Datenübertragbarkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70 4. Widerspruchsrecht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71 5. Recht auf Löschung und Vergessenwerden . . . . . . . . . . . . . . . . . . . . . . . . . . 71 a) Recht auf Löschung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71 b) Recht auf Vergessenwerden . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72 c) Abwägung mit der Meinungsfreiheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73 6. Zwischenergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73
IV.
Pflichten des Verantwortlichen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74 1. Pseudonymisierung und Verschlüsselung . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74 2. Datenschutz-Folgenabschätzung und Datenschutzbeauftragter . . . . . . . . . . . 75 3. Privacy by Design and Default . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76 4. Wiederherstellungsmaßnahmen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76 5. Meldepflichten bei Verletzungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76
V.
6. Zwischenergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76 Gewährleistung der praktischen Wirksamkeit in der EU . . . . . . . . . . . . . . . . . . 77 1. Überwachung durch unabhängige Aufsichtsbehörden . . . . . . . . . . . . . . . . . . 77
16
Inhaltsverzeichnis 2. Verwaltungsrechtliche und gerichtliche Rechtsbehelfe . . . . . . . . . . . . . . . . . 78 a) Bedingungsloses Beschwerderecht bei allen Aufsichtsbehörden . . . . . . . 78 b) Klage gegen Aufsichtsbehörden . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78 c) Klage gegen den Verantwortlichen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78 d) Verbandsklage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79 e) Bewertung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79 3. Sanktionen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79 a) Festgelegte Bedingungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79 b) Hohe Geldbußen im Ermessen der Behörde . . . . . . . . . . . . . . . . . . . . . . . 80 c) Ausnahme bei öffentlicher Datenverarbeitung . . . . . . . . . . . . . . . . . . . . . 80 d) Zwischenergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80
B. Europäische Rahmenbedingungen für Behördenzugriffe . . . . . . . . . . . . . . . . . . . . . . 81 I. II.
Kein Vergleichsmaßstab im EU-Recht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81 EuGH-Rechtsprechung als Vergleichsmaßstab . . . . . . . . . . . . . . . . . . . . . . . . . . 81 1. Rechtsprechung zur Vorratsdatenspeicherung als Beispiel . . . . . . . . . . . . . . 82 a) Metadatenschutz unter der ePrivacy-Richtlinie . . . . . . . . . . . . . . . . . . . . . 82 b) Anwendbarkeit von ePrivacy auf die Vorratsdatenspeicherung . . . . . . . . 83 c) Normierte Anforderungen an Eingriffe . . . . . . . . . . . . . . . . . . . . . . . . . . . 83 d) Übertragungen auf Behördenzugriffe . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84 e) Zulässigkeit der Bewertung durch den EuGH . . . . . . . . . . . . . . . . . . . . . . 85
III.
Rechtsprechung des EGMR als Vergleichsmaßstab . . . . . . . . . . . . . . . . . . . . . . 86
IV.
Vier Garantien als Auslegungshilfen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87 1. Transparente Eingriffsnorm . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88 2. Verhältnismäßigkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88 3. Unabhängige Aufsicht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89 4. Effektive Beschwerdemöglichkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89 5. Bewertung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90
Viertes Kapitel Angemessenes Datenschutzniveau in den USA?
92
A. Verfassungsrecht auf Bundesebene . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92 I.
Vierter Verfassungszusatz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92 1. Privatsphärenschutz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92 2. „Third-party doctrine“ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93 a) FISC-Rechtsprechung zu Metadaten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93 b) Subjektive Erwartungshaltung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94 c) Schutzaufrechterhaltende Rechtsprechung . . . . . . . . . . . . . . . . . . . . . . . . 95 d) Bewertung durch die EU-Kommission . . . . . . . . . . . . . . . . . . . . . . . . . . . 96
Inhaltsverzeichnis
17
e) Ergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96 II.
Erster Verfassungszusatz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97
B. Datenverarbeitungen durch Private . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97 I.
Ausgewähltes Bundesrecht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97 1. Children’s Online Privacy Protection Act . . . . . . . . . . . . . . . . . . . . . . . . . . . 98 a) Konkrete Anforderungen an die Einwilligung . . . . . . . . . . . . . . . . . . . . . . 98 b) Datenminimierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99 2. Schutz von Finanzdaten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100 a) Vergleichbare Rechte zur DSGVO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100 b) Keine Transparenz für behördliche Datenzugriffe . . . . . . . . . . . . . . . . . . 101 c) Grundsätzliche Erlaubnis zur Verarbeitung . . . . . . . . . . . . . . . . . . . . . . . . 102 d) Einwilligung durch Opt-Out . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102 e) Aufsicht durch die Federal Trade Commission . . . . . . . . . . . . . . . . . . . . . 102 aa) Handlungspotenzial . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103 bb) Unabhängigkeit der FTC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104 3. Health Insurance Portability and Accountability Act . . . . . . . . . . . . . . . . . . 105 a) Umfangsreiche Zugangsrechte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105 b) Datensicherheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105 c) „De-Identifizierung“ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106 d) Schutz für innovative Herausforderungen? . . . . . . . . . . . . . . . . . . . . . . . . 107 aa) Adressatenkreis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107 bb) Selbstzertifizierung am Beispiel biometrischer Daten . . . . . . . . . . . . 107 cc) Zwischenergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108 4. Bewertung der Angemessenheit des Bundesrechts . . . . . . . . . . . . . . . . . . . . 109 a) Vergleichbarkeit der Betroffenenrechte . . . . . . . . . . . . . . . . . . . . . . . . . . . 109 b) Berücksichtigung von Analogien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110 c) Schwerpunkt bei der Auswahl der Schutzmaßnahmen . . . . . . . . . . . . . . . 110 d) Angemessenheit ohne Datenminimierung? . . . . . . . . . . . . . . . . . . . . . . . . 111 e) Ergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111 f) Ausblick: Einheitliches US-Datenschutzrecht . . . . . . . . . . . . . . . . . . . . . . 112 aa) Aktuelle Debatten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112 bb) Bedeutung für die EU . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113
II.
Föderales Recht am Beispiel von Kalifornien . . . . . . . . . . . . . . . . . . . . . . . . . . 114 1. Entstehungsgeschichte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114 2. Anwendungsbereich für persönliche Informationen . . . . . . . . . . . . . . . . . . . 115 a) Verbraucher . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115 b) Erfassung des Haushalts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115 c) Referenz zu Gerätedaten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116 3. Adressatenkreis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117
18
Inhaltsverzeichnis 4. Verantwortlichkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118 5. Schutzausschluss . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118 a) Verbraucherstandort außerhalb Kaliforniens . . . . . . . . . . . . . . . . . . . . . . . 118 b) De-Identifizierung und Aggregierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118 c) Vorrang vom Bundesrecht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119 6. Schutzmaßnahmen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119 a) Erhebung und Verkauf von Daten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119 b) Datenschutzgrundsätze . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120 c) Recht auf Löschung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121 aa) Umfang des Anspruchs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121 bb) Meinungsfreiheit und andere Ausnahmen . . . . . . . . . . . . . . . . . . . . . 121 d) Datenübertragbarkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122 7. Rechtsdurchsetzung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123 a) Generalstaatsanwalt . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123 b) Haftung und Anspruch auf Schadenersatz . . . . . . . . . . . . . . . . . . . . . . . . . 123 c) Sanktionen und Bußgelder . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124 8. Bewertung des Datenschutzniveaus in Kalifornien . . . . . . . . . . . . . . . . . . . . 125 a) Angemessener Anwendungsbereich des CCPA . . . . . . . . . . . . . . . . . . . . . 125 b) Teilweise gleichwertige Rechte und Pflichten in CPPA . . . . . . . . . . . . . . 125 aa) Fortschritt durch Widerspruchsrecht . . . . . . . . . . . . . . . . . . . . . . . . . . 125 bb) Schutz bei einer Weiterübermittlung . . . . . . . . . . . . . . . . . . . . . . . . . . 125 cc) Steigerungspotenzial . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126 dd) Untergeordnete Rolle der Datenschutzgrundsätze . . . . . . . . . . . . . . . 126 ee) Auswirkung der fehlenden Datenminimierung . . . . . . . . . . . . . . . . . . 127 c) Verbesserungsmöglichkeiten bei der Durchsetzung . . . . . . . . . . . . . . . . . 128 d) Zwischenergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129 e) Ausblick: Angemessenheitsentscheidung durch den neuen CPRA? . . . . . 129 aa) Änderungen des CCPA durch den CPRA . . . . . . . . . . . . . . . . . . . . . . 129 (1) Risikobasierter Anwendungsbereich . . . . . . . . . . . . . . . . . . . . . . . 129 (2) Erweiterung des Opt-Out-Rechts . . . . . . . . . . . . . . . . . . . . . . . . . 130 (3) Angemessener Schutz durch Opt-Out? . . . . . . . . . . . . . . . . . . . . . 131 (4) Neue Rechte nach dem Vorbild der DSGVO . . . . . . . . . . . . . . . . 132 (5) Erstmalige Definierung sensibler Daten . . . . . . . . . . . . . . . . . . . . 133 (6) Einführung der Datenminimierung . . . . . . . . . . . . . . . . . . . . . . . . 133 (7) Eigene Datenschutzbehörde . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134 bb) Praktische Herausforderungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135
Inhaltsverzeichnis
19
C. Datenverarbeitungen durch öffentliche Stellen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136 I.
Allgemeine Datenverarbeitungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136 1. Privacy Act 1974 und Freedom of Information Act . . . . . . . . . . . . . . . . . . . 136 a) Verarbeitungsgrundsätze . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137 aa) Übereinstimmungen mit der DSGVO . . . . . . . . . . . . . . . . . . . . . . . . . 137 bb) Offenlegungen und Weiterübermittlungen . . . . . . . . . . . . . . . . . . . . . 138 b) Rechte betroffener Personen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138 aa) Recht auf Zugang, Korrekturen und Kopien . . . . . . . . . . . . . . . . . . . . 138 bb) Kein Widerspruchsrecht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139 c) Vielseitige Maßnahmen zur Effektivität . . . . . . . . . . . . . . . . . . . . . . . . . . 140 d) Anforderungen an Ausnahmen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141 e) Bewertung der Angemessenheit des Privacy Acts . . . . . . . . . . . . . . . . . . 142 aa) Unionsgleicher Anwendungsbereich und vergleichbare Grundsätze 142 bb) Besonderheiten behördlicher Datenverarbeitungen . . . . . . . . . . . . . . 143 cc) Missachtung unionsrelevanter Anforderungen . . . . . . . . . . . . . . . . . . 143 dd) Effektivität des Rechtsschutzes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144 ee) Folgen von Ausnahmen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144 ff) Ergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145 2. Korrekturen durch ausgehandelte Rechtsakte? . . . . . . . . . . . . . . . . . . . . . . . 145 a) Judicial Redress Act für EU-Strafverfolgungsbehörden . . . . . . . . . . . . . . 145 aa) Vorstellung des Schutzes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145 bb) Geltung des Schutzes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146 b) Umbrella Agreement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147 aa) Unionsgleiche Verarbeitungsgrundsätze . . . . . . . . . . . . . . . . . . . . . . . 148 bb) Löschung und Ausnahmen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 148 cc) Speicherungslimit im US-Recht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149 dd) Sensible Daten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149 ee) Einwilligungsbedingte Weiterübermittlung . . . . . . . . . . . . . . . . . . . . 149 ff) Pflichten bei Verletzungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 150 gg) Benennung geeigneter Aufsichtsstellen . . . . . . . . . . . . . . . . . . . . . . . 151 hh) Rechtsbehelfe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152 ii) Todesstrafe als Folge einer Übermittlung . . . . . . . . . . . . . . . . . . . . . . 153 jj) Aufhebung des Schutzes durch Trump-Dekret? . . . . . . . . . . . . . . . . . . 153 c) Bewertung des JRA und des Umbrella Agreements . . . . . . . . . . . . . . . . . 154 aa) Ergänzungen des Privacy Acts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 154 bb) Korrekturen des Privacy Acts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 155 cc) Aufsichtsstellen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 155 dd) Gleichstellung zu US-Staatsangehörigen . . . . . . . . . . . . . . . . . . . . . . 156 ee) Einfluss auf die US-Nachrichtendienste . . . . . . . . . . . . . . . . . . . . . . . 156
II.
Endergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157
20
Inhaltsverzeichnis
D. Überwachungen durch US-Behörden . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 158 I.
Recht zur Überwachung von aus der EU übermittelten Daten . . . . . . . . . . . . . 159 1. Section 702 FISA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 159 a) Ausländische Geheimdienstinformationen . . . . . . . . . . . . . . . . . . . . . . . . 159 b) Anbieter elektronischer Kommunikationsdienste . . . . . . . . . . . . . . . . . . . 160 c) Foreign Intelligence Surveillance Court . . . . . . . . . . . . . . . . . . . . . . . . . . 160 d) Minimierungsmaßnahmen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161 e) Genehmigte Überwachungsprogramme . . . . . . . . . . . . . . . . . . . . . . . . . . . 162 aa) Prism . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 162 bb) Upstream – Glasfaserkabelanzapfung . . . . . . . . . . . . . . . . . . . . . . . . . 163 cc) About-collection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163 f) Betroffenenrechte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 164 aa) Schweigeanordnung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 164 bb) Freedom Act . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 164 cc) Klageberechtigung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 165 2. NSL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 165 3. EO12333 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 166 a) Befugnisse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 166 b) Unklarer territorialer Anwendungsbereich . . . . . . . . . . . . . . . . . . . . . . . . 167 c) Ausländerdiskriminierung und Verhältnismäßigkeit . . . . . . . . . . . . . . . . . 167 4. Bewertung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168 a) Anwendungsbereich des FISA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168 b) Gefährdungszusammenhang von FISA und NSL . . . . . . . . . . . . . . . . . . . 168 c) Korrekturen durch den Freedom Act? . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168 d) Anwendungsbereich von der EO12333 . . . . . . . . . . . . . . . . . . . . . . . . . . . 169 e) Begrenzungen und Rechtsschutz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 169 5. Erweiterte Schutzmaßnahmen unter PPD-28 . . . . . . . . . . . . . . . . . . . . . . . . . 170 a) Gleichstellung von Ausländern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171 b) Zweckbeschränkungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171 c) Ombudsmechanismus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 172 aa) Kontaktstelle für EU-Staatsangehörige . . . . . . . . . . . . . . . . . . . . . . . . 172 bb) Einfache Antragsstellung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 172 cc) Auf Prüfung beschränkte Kompetenz . . . . . . . . . . . . . . . . . . . . . . . . . 173 dd) Derzeitige Besetzung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 173 6. Zusicherungen von Sicherheitsbehörden im Privacy Shield . . . . . . . . . . . . . 174 a) Prozesse im Hintergrund der Überwachung . . . . . . . . . . . . . . . . . . . . . . . 174 b) Gesteigerte Transparenz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175 c) Überwachung der nachrichtendienstlichen Tätigkeit . . . . . . . . . . . . . . . . 175
Inhaltsverzeichnis
21
7. Bewertung unter Gegenüberstellung offizieller Einschätzungen . . . . . . . . . . 176 a) Hinreichender Schutz nach Einschätzung der EU-Kommission . . . . . . . . 176 aa) Einbeziehung behördlicher Zusagen . . . . . . . . . . . . . . . . . . . . . . . . . . 176 bb) Notwendigkeit und Verhältnismäßigkeit durch die PPD-28 . . . . . . . . 176 cc) Ombudsstelle als effektiver Rechtsbehelf . . . . . . . . . . . . . . . . . . . . . . 177 b) Kein angemessenes Datenschutzniveau für den EuGH . . . . . . . . . . . . . . . 178 aa) Keine Verhältnismäßigkeit der Ausnahmen . . . . . . . . . . . . . . . . . . . . 178 bb) Kein effektiver Rechtsschutz in den USA . . . . . . . . . . . . . . . . . . . . . 179 cc) Keine Korrektur durch Ombudsperson . . . . . . . . . . . . . . . . . . . . . . . . 180 c) Eigene Bewertung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 180 aa) Transparente Eingriffsbefugnisse? . . . . . . . . . . . . . . . . . . . . . . . . . . . 180 (1) Die EU übersteigende Transparenz . . . . . . . . . . . . . . . . . . . . . . . . 180 (2) Festgelegte Strategien zur Abwägung . . . . . . . . . . . . . . . . . . . . . . 181 (3) Stabilität und Verbindlichkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181 bb) Gewährleistung der Verhältnismäßigkeit durch die PPD-28? . . . . . . 182 (1) Gleichstellung zu US-Staatsangehörigen . . . . . . . . . . . . . . . . . . . 182 (2) Präzisierungen der Anwendungsbereiche . . . . . . . . . . . . . . . . . . . 182 (3) Zulässigkeit von Massenerhebungen . . . . . . . . . . . . . . . . . . . . . . . 183 (4) Ausnahmen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 183 (5) Rechte aus der PPD-28 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 184 cc) Überwachung auf verschiedenen Ebenen . . . . . . . . . . . . . . . . . . . . . . 184 dd) Effektiver Rechtsbehelf durch die Ombudsperson? . . . . . . . . . . . . . . 185 (1) Neue einfache Abhilfestelle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 185 (2) Keine Information über konkrete Betroffenheit . . . . . . . . . . . . . . 185 (3) Keine Weisungsbefugnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 186 (4) Bedenken an der Unabhängigkeit und die Kompetenz . . . . . . . . . 186 (5) Künftige Verbesserungsmöglichkeit . . . . . . . . . . . . . . . . . . . . . . . 187 II.
ee) Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 187 Zugriff US-amerikanischer Geheimdienste auf Daten in der EU . . . . . . . . . . . 188 1. Befugnis zur Datenanfrage außerhalb der USA . . . . . . . . . . . . . . . . . . . . . . . 188 a) Section 702 FISA und EO12333 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 188 b) Vierter Verfassungszusatz als territoriale Beschränkung? . . . . . . . . . . . . . 189 c) Supreme Court-Entscheidung und Erlass des CLOUD-Acts . . . . . . . . . . 190 d) Voraussetzung des CLOUD-Acts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 190 2. Eigener Rechtsbehelf im CLOUD-Act . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 190 a) Schutz für ausländische Staatsangehörige . . . . . . . . . . . . . . . . . . . . . . . . . 191 b) Wesentliches Risiko der Rechtsverletzung . . . . . . . . . . . . . . . . . . . . . . . . 191 c) Abkommen im Sinne des CLOUD-Acts . . . . . . . . . . . . . . . . . . . . . . . . . . 191
22
Inhaltsverzeichnis 3. Auswirkungen von Abkommen unter dem CLOUD-Act . . . . . . . . . . . . . . . . 192 a) Anwendung von Artikel 48 DSGVO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 192 aa) CLOUD-Act als internationale Übereinkunft . . . . . . . . . . . . . . . . . . . 192 bb) Rechtfertigung von Datenübermittlungen nach Artikel 48 DSGVO 193 (1) Wörtliche und systematische Auslegung . . . . . . . . . . . . . . . . . . . 193 (2) Historische und sinngemäße Auslegung . . . . . . . . . . . . . . . . . . . . 193 b) Einfluss auf Ausnahmen nach Artikel 49 DSGVO . . . . . . . . . . . . . . . . . . 195 c) Einfluss auf der ersten Stufe der Rechtfertigung . . . . . . . . . . . . . . . . . . . . 195 aa) Öffentliches Interesse der USA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 196 bb) Rechtliche Verpflichtung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 196 cc) Berechtigtes Interesse des Telekommunikationsanbieters . . . . . . . . . 196 dd) Zwischenergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 197 d) Einfluss durch Abkommen mit anderen Drittstaaten . . . . . . . . . . . . . . . . 197 e) Bewertung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 198 aa) Fokus auf effektiven Rechtsbehelf . . . . . . . . . . . . . . . . . . . . . . . . . . . 198 bb) Internationales Übereinkommen unter dem CLOUD-Act . . . . . . . . . 198 cc) Globale Lösungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 199 dd) Ergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 200
Fünftes Kapitel Legitimierungen von Datenübermittlungen in die USA
201
A. Mechanismen zur Legitimierung von Datenübermittlungen . . . . . . . . . . . . . . . . . . . . 202 I.
Standardvertragsklauseln (SCC) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 202 1. Wirksamkeit für die USA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 202 2. Bislang genutzte SCC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203 a) Zwei vorgesehene Konstellationen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203 b) Anwendung der SCC auf weitere Konstellationen . . . . . . . . . . . . . . . . . . 203 c) Allgemeine vorformulierte Pflichten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 204 d) Pflichten in Bezug auf Zugriffe von Sicherheitsbehörden . . . . . . . . . . . . 204 aa) Informationspflichten auch bei Schweigepflicht . . . . . . . . . . . . . . . . 204 bb) Prüfungspflicht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205 3. Entwurf der neuen SCC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 206 a) Verfahren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 206 b) Übergangsfrist . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 206 c) Änderungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207 aa) Weitere Verarbeitungskonstellationen durch neue Module . . . . . . . . 207 bb) Klare und detaillierte Pflichten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 208 cc) Praxisorientierte Anpassungen an die DSGVO . . . . . . . . . . . . . . . . . 208
Inhaltsverzeichnis
23
dd) Ausdrückliche weitreichende Pflichten bei behördlichen Zugriffsanfragen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 210 (1) Keine Unsicherheiten mehr bezüglich der Meldepflicht . . . . . . . 210 (2) Bemühung um Aufhebung von Schweigeanordnungen . . . . . . . . 211 (3) Veröffentlichung über ergangene Anordnungen . . . . . . . . . . . . . . 211 (4) Aufbewahrungspflicht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 211 (5) Ausdrückliche Pflicht zur Aussetzung oder Kündigung . . . . . . . . 212 (6) Überprüfung der Legalität und Rechtsmittelausschöpfung . . . . . 212 (7) Datenminimierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 212 ee) Widerrufsmöglichkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 213 ff) Anwendbarkeit der SCC auf Artikel 3 Absatz 2 DSGVO . . . . . . . . . 213 d) Bewertung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 214 aa) Komplexerer Aufbau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 214 bb) Ersetzung der alten SCC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 215 cc) DSGVO-übertreffende Pflichten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 215 dd) Keine vollständige Anpassung an die DSGVO . . . . . . . . . . . . . . . . . . 215 ee) Verbesserungsmöglichkeiten für Behördenanfragen . . . . . . . . . . . . . . 216 (1) Genehmigungsfreiheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 216 (2) Unterstützung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 217 (3) Verhältnismäßigkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 218 ff) Klarstellungen zum Ausschluss der SCC auf das Marktortprinzip . . 218 II.
Andere Übermittlungsgarantien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 218 1. Angemessenheitsentscheidungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 219 a) Drittes Datenschutzschild . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 219 b) Selbstzertifizierung und Durchsetzung durch die FTC . . . . . . . . . . . . . . . 220 2. SCC von Aufsichtsbehörden . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 221 3. Binding Corporate Rules . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 222 4. Weitere Übermittlungsgarantien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 223
III.
5. Durchsetzbare Rechte und wirksame Rechtsbehelfe . . . . . . . . . . . . . . . . . . . 224 Ausnahmen im fünften Kapitel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 225 1. Ausnahmetatbestände zugunsten öffentlicher Interessen . . . . . . . . . . . . . . . . 225 a) Schutz lebenswichtiger Interessen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 225 b) Öffentliches Interesse in der EU . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 226 aa) Keine Pflichten im Umbrella-Agreement . . . . . . . . . . . . . . . . . . . . . . 227 bb) Kein öffentliches Interesse durch PNR-Abkommen . . . . . . . . . . . . . . 227 cc) Kein öffentliches Interesse durch SWIFT-Abkommen . . . . . . . . . . . . 228 dd) Zwischenergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 229 c) Erforderlichkeit von Rechtsansprüchen . . . . . . . . . . . . . . . . . . . . . . . . . . . 229 d) Wahrung zwingender berechtigter Interessen . . . . . . . . . . . . . . . . . . . . . . 230
24
Inhaltsverzeichnis 2. Ausnahmetatbestände zugunsten der Privatautonomie . . . . . . . . . . . . . . . . . 231 a) Einwilligung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 231 b) Verträge . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 233 c) Zwingende berechtigte Interessen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 234 3. Ergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 234
B. Zusätzliche Schutzmaßnahmen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 235 I. II.
Rechtsgrundlage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 235 Lage in den USA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 236 1. Unverhältnismäßige Zugriffsrechte der Nachrichtendienste . . . . . . . . . . . . . 236
III.
2. Beschränkung auf die nationale Sicherheit? . . . . . . . . . . . . . . . . . . . . . . . . . 237 Zusätzliche Maßnahmen zu allen Übermittlungsgarantien . . . . . . . . . . . . . . . . 237 1. Notwendigkeit für die neuen SCC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 237
IV.
2. Notwendigkeit für die anderen Übermittlungsgarantien . . . . . . . . . . . . . . . . 238 Einzelabwägung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 238 1. Primäre Verantwortung des Datenexporteurs . . . . . . . . . . . . . . . . . . . . . . . . . 238 a) Prüfung des Datenschutzniveaus im Drittstaat durch alle Beteiligten . . . 238 b) In der DSGVO begründete Rechenschaftspflicht . . . . . . . . . . . . . . . . . . . 239 aa) Direkte Anwendbarkeit auf den Datenexporteur . . . . . . . . . . . . . . . . 239 bb) Ausweitung auf den Datenimporteur durch die neuen SCC . . . . . . . . 240 2. In die Abwägung einzubeziehende Umstände in den USA . . . . . . . . . . . . . . 241 a) Datenempfänger . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 242 aa) Kommunikationsanbieter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 242 bb) Empfänger vergangener Behördenanfragen . . . . . . . . . . . . . . . . . . . . 242 cc) PRISM-Kooperationspartner . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 243 dd) Verantwortliche und Auftragsverarbeiter . . . . . . . . . . . . . . . . . . . . . . 243 ee) US-amerikanische Behörden . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 243 b) Art der Daten und Zweck . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 244 aa) Unternehmensbezogene Daten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 244 bb) Allgemein zugängliche Daten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 244 cc) Vom US-Überwachungsrecht erfasste Daten . . . . . . . . . . . . . . . . . . . 244 dd) Sensible Daten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 245 c) Art der Verarbeitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 245 d) Umfang der Datenübermittlung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 246 e) Besonderheiten von Übermittlungen in die USA . . . . . . . . . . . . . . . . . . . 246 aa) Mögliche Unterwasserkabelanzapfung . . . . . . . . . . . . . . . . . . . . . . . . 246 bb) CLOUD-Act . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 247 cc) Vertraulichkeitserwartung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 247 f) Zwischenergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 248
Inhaltsverzeichnis V.
25
Konkrete zusätzliche Maßnahmen für Datenübermittlungen in die USA . . . . . 248 1. Vertragliche Garantien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 248 a) Relevanz trotz der neuen SCC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 249 b) Empfehlung des Landesbeauftragten BW . . . . . . . . . . . . . . . . . . . . . . . . . 249 aa) Information an den Betroffenen über die Datenübermittlung . . . . . . 250 bb) Abstimmung mit der Aufsichtsbehörde . . . . . . . . . . . . . . . . . . . . . . . 250 cc) Rechtswegbeschreitung bis zur letzten Instanz . . . . . . . . . . . . . . . . . . 250 c) Handlungsempfehlungen des europäischen Datenschutzausschusses . . . . 251 aa) Fragenkatalog als Vertragsbestandteil . . . . . . . . . . . . . . . . . . . . . . . . . 251 bb) Verpflichtung zur Vornahme zusätzlicher TOM . . . . . . . . . . . . . . . . . 251 cc) Keine Backdoors . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 252 (1) Privacy by Design and Default . . . . . . . . . . . . . . . . . . . . . . . . . . . 252 (2) Internationale Bewegungen mit ermittlungsbegünstigendem Ansatz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 252 dd) Kurzfristige Reaktionsmöglichkeiten . . . . . . . . . . . . . . . . . . . . . . . . . 253 (1) Effektivere Audits durch den Datenexporteur . . . . . . . . . . . . . . . 253 (2) Eigenständiges Handeln durch den Datenimporteur . . . . . . . . . . . 253 (3) Schnelles Aussetzen der Datenübermittlungen . . . . . . . . . . . . . . . 253 ee) Erweiterte Transparenz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 254 (1) Tägliche Mitteilung an den Datenexporteur . . . . . . . . . . . . . . . . . 254 (2) Informierung der US-Behörde über den Konflikt . . . . . . . . . . . . . 254 ff) Keine freiwillige Schutzverringerung . . . . . . . . . . . . . . . . . . . . . . . . . 254 gg) Unterstützung der betroffenen Person . . . . . . . . . . . . . . . . . . . . . . . . . 255 hh) Vermeidung von Weiterübermittlungen . . . . . . . . . . . . . . . . . . . . . . . 255 d) Ankündigungen von Microsoft . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 255 aa) Angriff jeder Behördenanfrage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 255 bb) Finanzieller Schadensausgleich . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 256 e) Zwischenergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 256 2. Organisatorische Maßnahmen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 256 a) Erschwerung unzulässiger Behördenanfragen . . . . . . . . . . . . . . . . . . . . . . 256 aa) Begrenzung der zugriffsberechtigten Personen . . . . . . . . . . . . . . . . . . 257 bb) Reduzierung der Datenmenge . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 257 cc) Datentreuhand-Modell . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 258 dd) Vermeidung des Anwendungsbereichs von FISA und EO12333 . . . . 258 b) Aufdeckung erfolgter Zugriffe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 259 aa) Protokollierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 259 bb) Vollständigkeitsprüfung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 259 c) Vorfallmanagement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 259 aa) Mitarbeitersensibilisierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 260 (1) Sensibilisierung für die Rechtmäßigkeit nach dem US-Recht . . . 260
26
Inhaltsverzeichnis (2) Keine Sensibilisierung für die EU-Grundrechtecharta . . . . . . . . . 260 bb) Reaktionsplan . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 261 cc) Bestellung eines Expertenteams . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 261 d) Zwischenergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 262 3. Technische Vorkehrungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 262 a) Ende-zu-Ende-Verschlüsselung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 262 b) Pseudonymisierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 263 c) Datenverschleierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 264 d) Versand von Datenträgern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 264 e) Trennungsprinzip . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 264 f) Mehrparteienverarbeitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 264 g) Überwachung der Leitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 265 aa) Eigene Leitungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 265 bb) Auswahl der Netzbetreiber . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 266 h) Schutz nach Erhalt der Daten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 266 i) Zwischenergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 266
C. Ausblick und Endbewertung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 267 I.
Zusätzliche Maßnahmen in einem dritten Datenschutzschild . . . . . . . . . . . . . . 267
II.
Anpassung anderer Übermittlungsgarantien für die USA . . . . . . . . . . . . . . . . . 268 1. Verpflichtungen der neuen SCC als vertraglicher Mindeststandard . . . . . . . 268 2. Zusätzliche technische und organisatorische Maßnahmen . . . . . . . . . . . . . . 268
III.
3. Im Einzelfall: Kein angemessenes Datenschutzniveau . . . . . . . . . . . . . . . . . 269 Verlagerung von Datenverarbeitungen in die EU . . . . . . . . . . . . . . . . . . . . . . . . 269
IV.
Auswirkungen auf den Handel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 270
V. Erschwerung der Tätigkeit der US-Überwachungsbehörden . . . . . . . . . . . . . . . 271 VI. Prüfung der Verhältnismäßigkeit für zusätzliche Maßnahmen . . . . . . . . . . . . . 272 1. Grundrechtsabwägung im Rahmen der Risikoabwägung . . . . . . . . . . . . . . . 272 2. Vernachlässigung anderer Grundrechte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 273 VII. Veränderung des „angemessenen Datenschutzniveaus“? . . . . . . . . . . . . . . . . . . 274 VIII. Herausforderung für Artikel 3 Abs. 2 DSGVO . . . . . . . . . . . . . . . . . . . . . . . . . 275 IX. Durchsetzung und Bindung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 277 1. Internationaler Pakt über bürgerliche und politische Rechte . . . . . . . . . . . . . 277 2. Übereinkommen Nr. 108 des Europarats . . . . . . . . . . . . . . . . . . . . . . . . . . . . 278 3. Gewohnheitsrecht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 279
Literaturverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 280 Sachwortverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 289
Einleitung A. Gegenstand der Arbeit In dieser Arbeit werden die Grenzen der Übermittlungen personenbezogener Daten von der EU in Drittstaaten anhand des Beispiels der USA untersucht. Der europäische Gerichtshof hat am 16. Juli 2020 wie bereits fünf Jahre zuvor1 die von der europäischen Kommission ausgehandelten Rahmenbedingungen für Datenübermittlungen in die USA für ungültig erklärt.2 Der Grund hierfür sind die möglichen Zugriffe auf die personenbezogenen Daten durch die US-Behörden. Diese Rechtsprechung gilt aufgrund der Herkunft der führenden Technologiekonzerne der Welt und der einhergehenden Anzahl grenzüberschreitender Datenübermittlungen dringlichst zu beleuchten. Eine Lösungsfindung zum Recht der nationalen Sicherheit in den USA, die den Anforderungen des europäischen Gerichtshofs gerecht wird, ist ein wesentliches Ziel dieser Arbeit. Der Hauptteil dieser Arbeit widmet sich dem bestehenden Datenschutzniveau in den USA unter Berücksichtigung aktueller rechtlicher Entwicklungen. In den USA findet derzeit ein datenschutzrechtlicher Wandel statt, der durch die vermehrte Einreichung von Gesetzesentwürfen manifestiert wird. Diese Arbeit erhebt den Anspruch, das US-Datenschutzrecht umfassend zu beleuchten, um zukunftsorientierte Lösungen für Datenübermittlungen an private und öffentliche Datenempfänger zu skizzieren. In der EU wurde durch den Eintritt der Datenschutzgrundverordnung ein hoher europäischer Datenschutzstandard etabliert. Staatsangehörige der EU haben einen Anspruch auf Beibehaltung dieses Schutzes bei einer Datenübermittlung.3 Die Datenschutzgrundverordnung begrenzt daher notwendigerweise globale Datenverarbeitungen, auch wenn personenbezogene Daten und ihr Transfer einen enormen Wert sowohl für globale Unternehmen als auch für Ermittlungsbehörden darstellen.4 Dabei besteht besonders in der Aufrechthaltung des europäischen Datenschutzstandards über das Gebiet der EU hinaus eine Herausforderung. Diese resultiert daraus, dass das US-Recht nicht „europäisiert“ und die digitale Welt nicht „regionalisiert“ werden kann.5 1 2 3 4 5
EuGH, U. v. 6. 10. 2015 – C-362/14. EuGH, U. v. 16. 7. 2020 – C-311/18. EuGH, U. v. 6. 10. 2015 – C-362/14 = ZD 2015, 549, 553 Rn. 72. Vgl. Skouris, NVwZ 2016, 1359, 1363. Heckmann/Starnecker, jM 2016, 58, 61.
28
Einleitung
Ein weiterer Schwerpunkt dieser Arbeit ist die Auseinandersetzung mit dem europäischen Datenschutzniveau und die daraus resultierenden Anforderungen an Datenübermittlungen in Drittstaaten. Die leitgebende Frage dieser Untersuchung ist, welche Grenzen das Unionsrecht und das Völkerrecht Datenübermittlungen von der EU in die USA setzen.
B. Gang der Untersuchung Das erste Kapitel dient dem Einstieg in die Thematik der Grenzen, die in der DSGVO für Datenübermittlungen von der EU in Drittstaaten gesetzt werden. Dafür wird vor dem Hintergrund der Erweiterung des Anwendungsbereichs der DSGVO untersucht, auf welche Datenverarbeitungen diese Grenzen überhaupt Anwendung finden. Im zweiten Kapitel wird die Bedeutung eines „angemessenen Datenschutzniveaus“ untersucht, das die normierte Grenze für Datenübermittlungen in Drittstaaten darstellt. Das Kriterium des angemessenen Datenschutzniveaus verfolgt als Schranke für die Übermittlung personenbezogener Daten verschiedene Ziele, die bei der Auslegung der resultierenden Anforderungen und der Bewertung des US-amerikanischen Rechts zugrunde gelegt werden müssen. Für die Bewertung der Angemessenheit des Datenschutzniveaus steht – unabhängig von weiteren Anforderungen – fest, dass diese einen Vergleich der Rechtsordnung und Praxis des Drittstaates mit der EU erfordert.6 Das dritte Kapitel widmet sich den konkreten Anforderungen, die in der EU als Vergleichsmaßstab vorgegeben werden. In dem vierten Kapitel findet die Prüfung statt, ob das US-Recht ein angemessenes Datenschutzniveau unter Berücksichtigung der zuvor festgestellten Anforderungen bietet. Das US-Recht zeichnet sich durch strukturelle Unterschiede zum europäischen Recht aus. Um diese zu veranschaulichen, beginnt die Prüfung mit der USVerfassung und ausgewählten Datenschutzgesetzen, die das bestehende Datenschutzniveau in der gesamten USA prägen. Mit dem Ziel, die aktuelle datenschutzsteigernde Entwicklung in den USA und ihre Folgen für Datenübermittlungen von der EU in die USA zu untersuchen, wird die Angemessenheit des Datenschutzrechts des US-Bundesstaates Kalifornien geprüft und Lösungen für die Legitimierung der Datenübermittlungen erarbeitet. Anschließend werden Datenverarbeitungen durch Behörden in den USA diskutiert, um eine umfassende Bewertung der möglichen Aufrechterhaltung des unter der DSGVO gewährten Schutzes bei Datenübermittlungen zu ermöglichen. Dabei werden Behördenzugriffe auf personenbezogene Daten einer gesonderten Prüfung 6 Dammann/Simitis, DSRL, Art. 25 Rn. 8; Grabitz/Hilf/Nettesheim/Brühann, DSRL, Art. 26 Rn. 15; Simitis/Hornung/Spiecker/Schantz, DSGVO, Art. 45 Rn. 6.
B. Gang der Untersuchung
29
unterzogen, um passgenaue Lösungen für die vom Europäischen Gerichtshof festgestellten Defizite herauszuarbeiten. In diesem Rahmen werden auch extraterritoriale Zugriffsrechte der US-Behörden und ihre Folgen für das Datenschutzniveau in den USA untersucht. Basierend auf den vorangegangenen Ergebnissen werden im fünften und gleichzeitig letzten Kapitel dieser Arbeit die bestehenden Möglichkeiten, rechtmäßige Datenübermittlungen in die USA vorzunehmen, untersucht. Der Schwerpunkt stellt die Auseinandersetzung mit dem neuen EU-Kommissionsentwurf7 zu den Standardvertragsklauseln8 dar. Zudem werden andere Mittel zur Legitimierung von Datenübermittlungen und ihre Vorzüge beleuchtet. Anschließend werden im Einklang mit der Rechtsprechung des europäischen Gerichtshofs zu Datenübermittlungen in die USA verschiedene Schutzmaßnahmen untersucht, die das Risiko eines unberechtigten Zugriffs von US-Nachrichtendiensten senken.9 Die Arbeit endet mit einem Ausblick auf eine globale Lösungsfindung.
7 EU-Kommission, Commission Implementing Decision on standard contractual clauses for the transfer of personal data to third countries, 12. November 2020. Abrufbar unter: https://ec.eu ropa.eu/info/law/better-regulation/have-your-say/initiatives/12741-Commission-ImplementingDecision-on-standard-contractual-clauses-for-the-transfer-of-personal-data-to-third-countries. 8 Art. 46 Abs. 1 lit. c DSGVO: „Standarddatenschutzklauseln“. 9 EuGH, U. v. 16. 7. 2020 – C-311/18 =MMR 2020, 597, 602 Rn. 133: „zusätzliche Maßnahmen“.
Erstes Kapitel
Datenübermittlungen aus der EU in Drittstaaten nach der DSGVO Für die Untersuchung bestehender unionsrechtlicher Grenzen von Datenübermittlungen der EU in die USA ist zunächst zu klären, an welche Anforderungen ihr Eintritt geknüpft ist. Die Grenzen sind im fünften Kapitel der DSGVO enthalten und somit von dem Anwendungsbereich der DSGVO bedingt. Da die DSGVO auch auf Datenverarbeitungen außerhalb der EU Anwendung findet, tangieren die allgemeinen Pflichten der DSGVO die Regeln im fünften Kapitel der DSGVO aufgrund der in beiden Fällen stattfindenden Grenzüberschreitung der EU. Welche Anforderungen das fünfte Kapitel der DSGVO stellt und in welchem Verhältnis diese mit dem erweiterten Anwendungsbereich der DSGVO stehen, wird im Folgenden diskutiert.
A. Grenzen der Datenübermittlungen in Drittstaaten I. Gegenstand der Grenzen Das fünfte Kapitel der DSGVO setzt Datenübermittlungen von der EU in die USA Grenzen. Sie trägt den Titel „Übermittlungen personenbezogener Daten an Drittländer oder an internationale Organisationen“. Personenbezogene Daten sind alle Informationen mit direktem oder indirektem Personenbezug, die eine Identifizierung einer natürlichen Person ermöglichen.1 Drittländer, auch Drittstaaten genannt, sind Staaten, die kein Mitglied der EU sind. Die EWR-Staaten Island, Liechtenstein und Norwegen haben die Anwendung der DSGVO beschlossen und werden daher nicht als Drittstaaten behandelt.2 Der Begriff „Übermittlung“ aus dem fünften Kapitel der DSGVO wird nicht in der DSGVO und wurde auch nicht in der DSRL definiert. Aufgrund der verschiedenen Möglichkeiten, Daten an Adressaten in einem anderen Staat zur Verfügung zu stellen, stellt sich die Frage, welche Voraussetzungen an eine Datenübermittlung zu stellen sind.
1 2
Art. 4 Nr. 1 DSGVO. Ehmann/Selmayr/Zerdick, Art. 44 Rn. 10.
A. Grenzen der Datenübermittlungen in Drittstaaten
31
In den deutschsprachigen Fassungen findet sich die „Übermittlung“ als Bestandteil der Definition der „Verarbeitung“ wieder.3 In der englischsprachigen Fassung der DSGVO wird hingegen für die Definition einer „Verarbeitung“ der Begriff „transmission“ verwendet und im fünften Kapitel für Übermittlungen in Drittländer der Begriff „transfer“. Die Verwendung unterschiedlicher Begriffe für eine Übermittlung innerhalb der EU und eine in Drittländer deutet darauf hin, dass beide Fälle der Übermittlungen nicht gleichzusetzen sind.4 Es besteht Einigkeit, dass die Datenübermittlung in Drittstaaten weit auszulegen ist, um den gewährten Schutz in der DSGVO aufrechtzuerhalten.5 Jede Art der Übermittlung, die zu einer Offenlegung von Daten außerhalb der EU führt, stellt daher eine Datenübermittlung im Sinne des fünften Kapitels der DSGVO dar.6 Dies schließt insbesondere einen außereuropäischen Zugriff auf personenbezogene Daten, etwa durch ihren Abruf oder ihre Einsicht, ein.7 Für eine Übermittlung in einen Drittstaat reicht es allerdings nicht aus, personenbezogene Daten auf eine Internetseite hochzuladen, die dann weltweit in Staaten mit Internetanschluss zur Verfügung steht.8 Denn ansonsten würde dies nach Auffassung des europäischen Gerichtshofs in der Lindqvist-Entscheidung dazu führen, dass „die Mitgliedstaaten nämlich verpflichtet [wären], jede Aufnahme personenbezogener Daten in das Internet zu unterbinden“.9 Damit die freie Nutzung des Internets weiterhin möglich ist, muss eine Datenübermittlung zweckgerichtet sein.10 Es ist unerheblich, ob die personenbezogenen Daten zweckgerichtet an eine Stelle, die über die Datenverarbeitung entscheidet, sog. Verantwortliche,11 oder an eine Stelle, die personenbezogene Daten im Auftrag einer anderen Stelle verarbeitet, sog. Auftragsverarbeiter,12 übermittelt werden. Im Gegensatz zur alten Fassung des BDSG13 finden sich in der DSGVO zudem keine Anhaltspunkte dafür, dass der Empfänger im Drittstaat als „Dritter“ eingestuft werden muss. Daher werden auch konzerninterne Unternehmen als Datenempfänger einer Übermittlung erfasst. Die Grenzen des fünften Kapitels der DSGVO sind somit für „jedwede“ 14 zweckgerichtete Übermittlung personenbezogener Daten in die USA zu wahren. Ob weitere Anforderungen an Datenübermittlungen zu stellen sind, ist nach dem derzeitigen 3
„Offenlegung durch Übermittlung“ in Art. 4 Nr. 2 DSGVO, Art. 2 lit. b DSRL. Paal/Pauly, DSGVO, Art. 44 Rn. 3. 5 Paal/Pauly, DSGVO, Art. 44 Rn. 3; Jotzo, Rn. 284. 6 Paal/Pauly, DSGVO, Art. 44 Rn. 4. 7 Taeger/Gabel/Arning/Rothkegel, DSGVO, Art. 4 Rn. 86. 8 EuGH, U. v. 6. 11. 2003 – Rs. C-101/01 =MMR 2004, 95, 97 Rn. 69. 9 EuGH, U. v. 6. 11. 2003 – Rs. C-101/01 =MMR 2004, 95, 97 Rn. 69. 10 Simitis/Hornung/Spiecker/Schantz, DSGVO, Art. 44 Rn. 20; Jotzo, Rn. 284. 11 Art. 4 Nr. 7 DSGVO. 12 Art. 4 Nr. 8 DSGVO. 13 § 3 Abs. 4 Nr. 3, 8 BDSG aF. 14 Art. 44 S. 1 DSGVO.
4
32
1. Kap.: Datenübermittlungen aus der EU in Drittstaaten
Stand nicht eindeutig und führt in der Praxis im Rahmen des territorialen Anwendungsbereichs der DSGVO zu Problemen.
II. Territorialer Anwendungsbereich der Grenzen Die Anwendbarkeit der in der DSGVO vorgesehenen Beschränkung von Datenübermittlungen in Drittstaaten kommt zunächst nur dann in Betracht, wenn ihr Anwendungsbereich eröffnet ist. 1. Niederlassungsprinzip Die DSGVO findet Anwendung, soweit die Verarbeitung personenbezogener Daten im Rahmen der Tätigkeit einer Niederlassung eines Verantwortlichen oder Auftragsverarbeiters in der Union erfolgt.15 Maßgeblich ist also der Zusammenhang der ausgeführten Tätigkeit eines in der Union ansässigen Unternehmens mit der Verarbeitung personenbezogener Daten. Dabei reicht es bereits aus, wenn die allgemeine, von Datenverarbeitungen unabhängige Tätigkeit der europäischen Niederlassung untrennbar mit der Datenverarbeitung einer nichteuropäischen Niederlassung verknüpft ist.16 Dieser Zusammenhang ist weit zu verstehen, wie der Europäische Gerichtshof (im Folgenden „EuGH“ genannt) in seiner Rechtsprechung zu Google Spain zu erkennen gab.17 Demnach stehe die Anzeige von Suchergebnissen unmittelbar mit der Werbetätigkeit zusammen aufgrund der gemeinsamen Platzierung von Suchergebnissen und Werbeanzeigen auf einer Internetseite.18 Ein Anhaltspunkt für das Bestehen eines Zusammenhangs einer Tätigkeit mit einer Datenverarbeitung kann die Aufgabenverteilung im Unternehmen sein.19 Die Aufgabenverteilung ist dabei allerdings nur ein Indiz, denn es kommt darauf an, ob eine Stelle tatsächlich Daten verarbeitet oder in die tatsächliche Datenverarbeitung einbezogen wird.20 Für die Anwendbarkeit des räumlichen Anwendungsbereiches muss die europäische Niederlassung kein Verantwortlicher für die Datenverarbeitung sein. Ferner muss die Niederlassung keine spezielle Rechtsform wie eine Zweigstelle oder Tochtergesellschaft darstellen.21 Vielmehr umfasst die Niederlas15
Art. 3 Abs. 1 DSGVO. EuGH, U. v. 13. 05. 2014 – Rs C-131/12 – Google./. AEPD =GRUR 2014, 895, 898, Rn. 57. 17 Beyvers/Herbrich, ZD 2014, 558, 560 f. 18 EuGH, U. v. 13. 05. 2014 – Rs C-131/12 – Google./. AEPD =GRUR 2014, 895, 898, Rn. 57. 19 BVerwG, Beschl. v. 25. 2. 2016 – 1 C 28.14 =ZD 2016, 393, 398. 20 OLG Schleswig, Beschl. v. 22. 4. 2013 – 4 MB 11/13 =NJW 2013, 1977, 1978 Rn. 16. 21 EuGH, U. v. 1. 10. 2015 – C-230/14 – Weltimmo, ZD 2015, 580, 582 Rn. 28; EuGH, U. v. 13. 05. 2014 – Rs C-131/12 – Google./. AEPD = GRUR 2014, 895, 898, Rn. 48. 16
A. Grenzen der Datenübermittlungen in Drittstaaten
33
sung eine feste Einrichtung, die eine tatsächliche und effektive Tätigkeit ausübt, selbst wenn diese nur geringfügig ist.22 Werden personenbezogene Daten im Zusammenhang mit der tatsächlichen und effektiven Tätigkeit eines in der EU niedergelassenen Unternehmens verarbeitet, findet die DSGVO Anwendung. Übermittelt eine solche Einrichtung personenbezogene Daten in die USA, bedarf es folglich der Prüfung eines angemessenen Datenschutzniveaus. Dies gilt auch für den Fall, dass personenbezogene Daten von USBürgern in die USA übermittelt werden, denn für die Anwendbarkeit des europäischen Datenschutzes stellt die DSGVO nicht auf die Staatsangehörigkeit oder den Aufenthaltsort einer Person ab.23 2. Marktortprinzip Sekundär wird in der DSGVO für die Eröffnung des territorialen Anwendungsbereichs erstmals unabhängig vom Ort der Niederlassung eines Unternehmens an den Aufenthaltsort einer von der Datenverarbeitung betroffenen Person (im Folgenden „betroffene Person“ oder „Betroffener“ genannt) angeknüpft.24 Die Norm richtet sich ausdrücklich an „einen nicht in der Union niedergelassenen“ Verantwortlichen oder Auftragsverarbeiter. Das europäische Datenschutzrecht erfasst somit erstmalig unmittelbar Unternehmen in Drittstaaten. Weitere Voraussetzung ist der Zusammenhang der Datenverarbeitung mit einer weiteren marktbezogenen Handlung, die betroffene Personen in der EU tangiert. a) Anbietung von Waren oder Dienstleistungen an Betroffene Unternehmen, die Waren oder Dienstleistungen an Betroffene in der EU anbieten, werden unmittelbar von der DSGVO erfasst, wenn diese Tätigkeit im Zusammenhang mit der Datenverarbeitung steht.25 Dies gilt ausdrücklich unabhängig von einer Zahlungspflicht. Somit können alle Anbieter von kostenfreien Clouds, SocialMedia-Plattformen und E-Mails als Adressaten von der Norm erfasst werden. Für die Anwendbarkeit der Norm kommt es auf die offensichtliche Absicht an, Waren oder Dienstleistungen in der EU anzubieten.26 Indizien dafür können die verwendete Sprache und Währung sein.27 Damit die Norm nicht auf alle Auftragsverarbeiter in Drittstaaten Anwendung findet, die Dienste für erfasste Unternehmen im Drittstaat
22
EuGH, U. v. 1. 10. 2015 – C-230/14 – Weltimmo, ZD 2015, 580, 582 Rn. 31. Härting Rn. 216. 24 Art. 3 Abs. 2 DSGVO. 25 Art. 3 Abs. 2 lit. a DSGVO. 26 DSGVO EG 23; siehe zur Berücksichtigung von EG bei der Auslegung der DSGVO, da sie die Absicht des Gesetzgebers wiedergeben: Sydow/Towfigh/Ulrich, DSGVO, Art. 45 Rn. 5. 27 DSGVO EG 23. 23
34
1. Kap.: Datenübermittlungen aus der EU in Drittstaaten
erbringen, ist die Norm so auszulegen, dass eine eigene Infrastruktur betrieben werden muss, die sich an die betroffenen Personen in der Union richtet.28 b) Beobachtung des Verhaltens Betroffener Steht die Datenverarbeitung eines Unternehmens im Drittstaat mit der Beobachtung des Verhaltens betroffener Personen zusammen, gilt es als Adressat der DSGVO. Maßgeblich ist nach Art. 3 Abs. 2 lit. b DSGVO die Beobachtung eines Verhaltens, das in der EU erfolgt. Die Norm richtet sich an Unternehmen im Drittstaat, die das Verhalten von Personen zielgerichtet erfassen und als personenbezogene Daten speichern.29 Dies erfasst insbesondere Beobachtungen, durch die ein Personenprofil erstellt wird, das als Grundlage für Entscheidungen in Bezug auf die betroffene Person gilt oder „anhand dessen ihre persönlichen Vorlieben, Verhaltensweisen oder Gepflogenheiten analysiert oder vorausgesagt werden sollen“.30 Die Absicht, durch die Beobachtung Internetaktivitäten nachzuvollziehen wird ausdrücklich von der Norm erfasst.31 Dadurch gewinnt die Norm unheimliche Relevanz in der Praxis durch die Erfassung des Trackings von Cookies, Sitzungskennungen und anderen Informationen im Internet. Daher wird in der Literatur zum Teil eine einschränkende Auslegung dahingehend befürwortet, dass eine Beobachtung die Schwelle einer „Überwachung“ überschreiten müsse.32 Da der Gesetzgeber sich allerdings bewusst für die Aufnahme der „Beobachtung“ gegenüber dem vorgeschlagenen strengeren Wortlaut des „Überwachens“ entschieden hat,33 kann eine Einschränkung nur dahingehend erfolgen, dass wie bei Artikel 3 Absatz 2 lit. a DSGVO ein gewisses Abzielen auf Personen in der EU notwendig ist.34 c) Zwischenergebnis Der von einem Ort der Datenverarbeitung unabhängige Anwendungsbereich der DSGVO ist in Anbetracht der Ubiquität des Internets und der einfachen Umgehung der Anwendbarkeit der DSGVO zweckdienlich. Somit werden zielgerichtete Verlagerungen von Datenverarbeitungen vorgebeugt, die mit dem Zweck vorgenommen werden, um sich der Anwendbarkeit der DSGVO zu entziehen. Durch Artikel 3 Absatz 2 DSGVO wird eine Extraterritorialität der DSGVO begründet. Die Verpflichtung von im Drittstaat ansässigen Datenverarbeitern, die 28
Simitis/Hornung/Spiecker/Hornung, DSGVO Art. 3 Rn. 54. Simitis/Hornung/Spiecker/Hornung, DSGVO Art. 3 Rn. 57. 30 DSGVO EG 24 S. 2. 31 Ebda. 32 Ehmann/Selmayr/Zerdick, DSGVO Art. 3Rn. 20; Uecker, DSGVO 2019, 67, 69. 33 Kühling/Buchner/Klar, DSGVO, Art. 3 Rn. 33; Uecker, DSGVO 2019, 67, 69. 34 Europäischer Datenschutzausschuss, Guidelines 3/2018, S. 15; Kühling/Buchner/Klar, DSGVO, Art. 3 Rn. 24. 29
A. Grenzen der Datenübermittlungen in Drittstaaten
35
Anforderungen der DSGVO einzuhalten, führt zu einer Aufrechterhaltung der Schutzbedingungen in der EU. Durch die Anknüpfung an Verhaltensweisen, die sich auf den Handel in der EU auswirken, wird gleichzeitig ein marktorientierter Schwerpunkt der DSGVO verfolgt.35 Da die in Artikel 3 Absatz 2 DSGVO genannten Alternativen auf alltägliche Datenverarbeitungen abzielen, die in der Praxis sowohl im privaten als auch im geschäftlichen Bereich in einem außerordentlichen Umfang erfolgen, ist der unmittelbare Geltungsbereich der DSGVO somit immens. Er erfasst aufgrund der Tatsache, dass die USA globaler Marktführer für digitale Angebote und Anwendungen ist, zahlreiche Unternehmen in den USA. Welche Bedeutung dies für Datenübermittlungen in die USA hat und welcher Raum für die Prüfung des angemessenen Datenschutzniveaus bleibt, wird im nächsten Teil untersucht. 3. Verhältnis von Artikel 3 Absatz 2 zum fünften Kapitel der DSGVO Ist der Anwendungsbereich der DSGVO für ein Unternehmen im Drittstaat eröffnet, bedarf es auf den ersten Blick keiner Aufrechterhaltung des europäischen Datenschutzniveaus durch die Einhaltung der Voraussetzungen aus dem fünften Kapitel. Dies liegt daran, dass das Unternehmen unmittelbar dazu verpflichtet ist, die DSGVO bei seiner Verarbeitung im Drittstaat einzuhalten. Die meisten Unternehmen im Drittstaat nehmen eine Verarbeitung personenbezogener Daten aus der EU im Zusammenhang mit der Anbietung von Waren oder Dienstleistungen vor. Dieses Verständnis würde den Anwendungsbereich des fünften Kapitels exzessiv einschränken. Das unsichere Verhältnis zwischen Artikel 3 Absatz 2 DSGVO und dem fünften Kapitel der DSGVO würde durch eine offizielle Definition des Begriffs der Datenübermittlung gelöst werden.36 Dadurch könnte geklärt werden, ob eine Datenübermittlung in einen Drittstaat voraussetzt, dass der Empfänger im Drittstaat nicht der DSGVO unterliegt. a) Status Quo: Keine öffentliche Klarstellung Der europäische Datenschutzausschuss hat das Verhältnis von Artikel 3 Absatz 2 DSGVO und dem fünften Kapitel der DSGVO offengelassen.37 Das Verhältnis gewinnt durch einen neuen Entwurf der EU-Kommission mit Garantien zur Sicherstellung eines angemessenen Datenschutzniveaus an Relevanz. In diesem wird impliziert, dass die Anforderungen der DSGVO an Datenübermittlungen aus dem
35
Uecker, S. 124. noyb, comments on the proposed Standard Contractual Clauses for the Transfer of Personal Data to Third Countries pursuant to Regulation (EU) 2016/679, Dezember 2020, S. 5. 37 Europäischer Datenschutzausschuss, 3/2018, S. 25. 36
36
1. Kap.: Datenübermittlungen aus der EU in Drittstaaten
fünften Kapitel der DSGVO nur einzuhalten sind, wenn der Datenempfänger nicht bereits selbst unter den Anwendungsbereich der DSGVO fällt.38 b) Argumente zur Anwendbarkeit des fünften Kapitels Im Rahmen des öffentlichen Konsultationsverfahrens zum EU-Kommissionsentwurf wurden verschiedene Stellungnahmen mit Schwerpunktsetzung auf dieser Thematik abgegeben. Die in diesem Rahmen abgegebenen Hauptargumente für das Erfordernis eines angemessenen Datenschutzniveaus bei Datenübermittlungen an einen Empfänger im Drittstaat werden im Folgenden diskutiert. aa) Durchsetzungsprobleme (1) Vertragliche Bindung Ein Hauptargument für die Anwendbarkeit des fünften Kapitels der DSGVO auf Unternehmen im Drittstaat, die bereits unter der DSGVO verpflichtet sind, stellen die Durchsetzungsprobleme dar. Datenübermittlungen in die USA werden derzeit überwiegend auf die im fünften Kapitel vorgesehenen Vertragsklauseln39 gestützt, die ein angemessenes Datenschutzniveau gewährleisten. In diesen von der EUKommission vorformulierten oder genehmigten Vertragsklauseln, sog. SCC, unterwerfen sich die Unternehmen im Drittstaat dem Recht des EU-Mitgliedstaates des Vertragspartners.40 Ohne eine solche Klausel wird befürchtet, dass gerichtliche oder behördliche Entscheidungen aus der EU vor Anerkennungsproblemen im Drittstaat stünden.41 Würde das fünfte Kapitel der DSGVO nicht zusätzlich greifen, würde die mangelnde Vereinbarung dieser Vertragsklauseln der Durchsetzung der DSGVO im Drittstaat schaden. Diese Argumentation kann nachvollzogen werden. Allerdings wurde das Risiko der Ignorierung der Anwendbarkeit der DSGVO von der EU erkannt und dennoch Artikel 3 Absatz 2 DSGVO in seiner derzeitigen Fassung erlassen.42 Der Durchsetzungsproblematik kann vorgebeugt werden, indem das Recht der EU als anwendbares Recht in dem Vertrag zwischen dem Datenübermittler und Datenempfänger vereinbart wird. Dies kann im Rahmen der Vereinbarung zur Auftragsverarbeitung oder in den allgemeinen Bedingungen zur Kooperation festgelegt werden. 38 Kuner, Comments on the Draft Commission Implementing Decision on SCC for the Transfer of Personal Data to Third Countried, Dezember 2020 S. 2. 39 Standard Contractual Clauses, abgek. SCC, siehe Kapitel 5. 40 Kl. 10 Beschl. 2001/497/EC, Kl. 9 2010/87/EU; Kl. IV Beschl. 2004/915/EC. 41 noyb, comments on the proposed Standard Contractual Clauses for the Transfer of Personal Data to Third Countries pursuant to Regulation (EU) 2016/679, Dezember 2020, S. 5; Kuner, Comments on the Draft Commission Implementing Decision on SCC for the Transfer of Personal Data to Third Countried, Dezember 2020 S. 3. 42 Gola/Piltz, DSGVO, Art. 3 Rn. 27.
A. Grenzen der Datenübermittlungen in Drittstaaten
37
Es ist außerdem zu beachten, dass die Durchsetzungsproblematik auch bei der Verwendung der genehmigten Vertragsklauseln in gewissen Konstellationen auftritt. Dies ist der Fall, wenn ein Unternehmen die personenbezogenen Daten unmittelbar von der betroffenen Person ohne zwischengeschaltetes Unternehmen erhebt, im Folgenden Direkterhebung genannt. In einem solchen Fall sind die genehmigten Vertragsklauseln keine geeignete Grundlage des Datentransfers.43 Daher kann das Argument zur einfacheren Durchsetzung bei der Verwendung genehmigter Vertragsklauseln nicht ausschlaggebend sein. Dafür spricht auch, dass die Möglichkeit der Durchsetzung vertraglicher Vereinbarungen in Drittstaaten nicht durch die EUAufsichtsbehörden genutzt wird. Sie gehen regelmäßig gegen den Datenübermittler mit Sitz in der EU vor.44 (2) Vertreter in der EU Es gibt eine zusätzliche Schutzmaßnahme innerhalb der EU, die zur Befolgung der DSGVO im Drittstaat beitragen könnte. Greift der Anwendungsbereich der DSGVO für ein Unternehmen im Drittstaat, muss von ihm ein Vertreter in der Union benannt werden.45 Er soll europäischen Aufsichtsbehörden als Kontaktstelle in der EU dazu verhelfen, Durchsetzungsverfahren gegen das Unternehmen im Drittstaat einzuleiten.46 Zudem kann der Vertreter selbst unmittelbar von der Aufsichtsbehörde angewiesen werden.47 Er kann auch selbst Adressat von Geldbußen der Behörde sein. Dies gilt allerdings nur für die Verletzung seiner Pflichten und nicht für die Verletzung der DSGVO durch das Unternehmen im Drittstaat.48 Von der Ausnahme der Benennung eines Vertreters können Unternehmen befreit werden, wenn die Datenverarbeitung voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.49 Datenübermittlungen in die USA führen aufgrund der Möglichkeit eines exzessiven behördlichen Zugriffs grundsätzlich zu einem Risiko für die betroffene Person.50 Daher können Unternehmen in den USA sich nicht auf diese Ausnahme berufen, ohne gleichzeitig das Risiko eines behördlichen Zugriffs zu verringern. Im Rahmen des Konsultationsverfahrens zum Entwurf der Kommission wurde Kritik an der Pflicht zur Benennung eines Vertreters geäußert. Diese solle keine Garantie für die Durchsetzung der DSGVO darstellen. Viele Unternehmen seien der 43 Siehe zur Frage, ob bei einer Übermittlung durch die betroffene Person Art. 44 ff. Anwendung finden: Simitis/Hornung/Spiecker/Schantz, DSGVO, Art. 44 Rn. 13 ff. 44 Determann/Weigl, EUZW 2016, 811, 816. 45 Art. 27 DSGVO. 46 Europäischer Datenschutzausschuss, 3/2018, S. 32. 47 Art. 58 Abs. 1 lit. a DSGVO, EG 80 S. 6; Simitis/Hornung/Spiecker/Hornung, DSGVO, Art. 27 Rn. 32. 48 Europäischer Datenschutzausschuss, 3/2018, S. 32. 49 Art. 27 Abs. 2 lit. a DSGVO. 50 Kühling/Buchner/Schröder, Art. 46 DSGVO Rn. 17a.
38
1. Kap.: Datenübermittlungen aus der EU in Drittstaaten
Pflicht der Benennung eines Vertreters nicht nachgekommen. Grund hierfür sei die fehlende Kenntnis von der Anwendbarkeit der DSGVO.51 Zu dieser Einschätzung ist zunächst festzustellen, dass die teils mangelnde Kenntnis der Anwendbarkeit der DSGVO im Drittstaat eine zwangsläufige Konsequenz der Ausweitung des räumlichen Anwendungsbereichs für digitale Angelegenheiten ist. Das Risiko der Ignorierung der Benennung eines Vertreters für Unternehmen im Drittstaat besteht bei jedem Fall der Datenübermittlung. Dies gilt auch bei einem Transfer in einen Drittstaat mit Angemessenheitsentscheidung. In diesem Fall ist das Bestehen einer Pflicht52 der Benennung eines Vertreters besonders überraschend für Unternehmen, da Angemessenheitsentscheidungen grundsätzlich53 keine weiteren Handlungen des Datenempfängers erfordern. Trotzdem wurde eine im Gesetzesentwurf vorgesehene Ausnahme für Drittstaaten mit Angemessenheitsentscheidung nicht aufrechterhalten.54 Dies zeigt, dass der Gesetzgeber sich den Umsetzungsschwierigkeiten bewusst war und dennoch nicht auf einen Vertreter in der EU als Kontaktperson verzichten wollte.55 Durch die Tatsache, dass der Gesetzgeber zudem risikobasierte Ausnahmen von der Benennungspflicht beibehalten hat, wird vielmehr veranschaulicht, dass der Gesetzgeber die Durchsetzung der DSGVO nicht „um jeden Preis“ für erforderlich erachtet hat.56 Somit schadet der Bewertung des Vertreters nicht, dass er keine Garantie für die Durchsetzung bietet. bb) Schrems-Rechtsprechung Es wird im Rahmen des Konsultationsverfahrens auf die letzte Entscheidung des EuGH zu Datenübermittlungen in die USA verwiesen, die sog. Schrems II-Entscheidung. Der EuGH habe sich in Schrems II auf das fünfte Kapitel der DSGVO gestützt, obwohl die Voraussetzungen von Artikel 3 Absatz 2 DSGVO vorgelegen hätten. Dies spreche dafür, dass das fünfte Kapitel in jedem Fall Anwendung auf Unternehmen im Drittstaat finden müsse.57 Dazu ist anzumerken, dass die Ausführungen des EuGH durch die ihm vorgelegten Fragen bedingt sind.58 In dem Vorlageverfahren zu Schrems II wurden dem EuGH Fragen zur Auslegung im Zusammenhang mit dem fünften Kapitel der DSGVO vorgelegt und keine zum An51 noyb, comments on the proposed Standard Contractual Clauses for the Transfer of Personal Data to Third Countries pursuant to Regulation (EU) 2016/679, Dezember 2020, S. 5. 52 Siehe Ausnahmen Art. 27 Abs. 2 DSGVO. 53 Ausnahme Safe Harbour und Privacy Shield. 54 Kühling/Buchner/Hartung, DSGVO, Art. 27 Rn. 3. 55 Vgl. Artikel-29 Datenschutzgruppe, WP 191 S. 15. 56 Gola/Piltz, DSGVO, Art. 27 Rn. 11. 57 noyb, comments on the proposed Standard Contractual Clauses for the Transfer of Personal Data to Third Countries pursuant to Regulation (EU) 2016/679, Dezember 2020, S. 5; Kuner, Comments on the Draft Commission Implementing Decision on SCC for the Transfer of Personal Data to Third Countried, Dezember 2020 S. 5. 58 Vgl. Art. 267 Abs. 2 AEUV.
A. Grenzen der Datenübermittlungen in Drittstaaten
39
wendungsbereich der DSGVO in Drittstaaten. Somit lässt sich aus dem Fehlen entsprechender Ausführungen kein Informationsgehalt entnehmen. cc) Schutzabweichung Ein weiteres Argument, das für die Anwendbarkeit des fünften Kapitels auf Übermittlungen an Adressaten der DSGVO angebracht wird, ist der Umstand, dass das fünfte Kapitel der DSGVO und Artikel 3 Absatz 2 DSGVO einen unterschiedlichen Schutz bieten sollen.59 Die Aufrechterhaltung eines angemessenen Datenschutzniveaus in Drittstaaten sei nur im fünften Kapitel der DSGVO verlangt worden. Der Verzicht eines angemessenen Datenschutzniveaus für datenverarbeitende Unternehmen im Drittstaat widerspreche der Aufrechterhaltung des europäischen Datenschutzes im Drittstaat. Für die Bewertung dieses Arguments gilt zu klären, ob der Schutz personenbezogener Daten beim Ausschluss des fünften Kapitels tatsächlich umgangen wird. (1) Generelle Anforderungen Für den EuGH stellt jede Datenübermittlung aus einem Mitgliedstaat in einen Drittstaat eine allgemeine Verarbeitung dar, die zunächst alle Anforderungen der DSGVO erfüllen muss.60 Somit ist der Ausgangspunkt der Prüfung von allen Datenverarbeitungen gleich. Dies wurde vom europäischen Datenschutzausschuss bestätigt.61 In diesem Rahmen hat der Datenschutzausschuss die allgemeinen Anforderungen an die Rechtmäßigkeit einer Datenverarbeitung geprüft und die dort aufgestellten Grundsätze teilweise auf Ausnahmetatbestände im fünften Kapitel übertragen.62 Somit wurde vom europäischen Datenschutzausschuss aufgezeigt, dass die allgemeinen Regeln der DSGVO die Wertung des fünften Kapitels in der DSGVO tangieren. Wenn dieser Gedanke auf die entgegengesetzte Richtung übertragen werden kann, könnte ein angemessenes Datenschutzniveau auch auf die allgemeinen Anforderungen einer Datenverarbeitung einwirken. Dies hätte zur Folge, dass tatsächlich keine Schutzumgehung bei Ausschluss des fünften Kapitels vorliegen würde. Um dies jedoch möglich zu machen, müsste die DSGVO in ihren allgemeinen Regeln genügend Raum für die Übertragung der Grundsätze des fünften Kapitels lassen.
59 Kuner, Comments on the Draft Commission Implementing Decision on SCC for the Transfer of Personal Data to Third Countried, Dezember 2020 S. 2. 60 EuGH, U. v. 6. 10. 2015 – C-362/14 = ZD 2015, 549, 550 Rn. 45; EuGH, EuZW 2006, 403, 404 Rn. 56; Ehmann/Selmayr/Zerdick, DSGVO, Art. 44 Rn. 8. 61 Europäischer Datenschutzausschuss/Europäischer Datenschutzbeauftragter, Annex: Initial legal assessment of the impact of the US CLOUD Act, 10. Juli 2019, S. 4. 62 Ebda.
40
1. Kap.: Datenübermittlungen aus der EU in Drittstaaten
(2) Risikoanalyse Die DSGVO gilt sowohl für alle personenbezogenen Daten als auch für alle Datenverarbeiter unabhängig ihrer Natur. Um Einzelheiten gerecht zu werden, sehen einige Schutzmaßnahmen ausdrücklich einen Ermessensspielraum vor. Das Ermessen bezieht sich immer auf das konkrete Risiko der Datenverarbeitung hinsichtlich der Rechte und Freiheiten der betroffenen Person. Das Ermessen kann sich auf die Entscheidung über die Vornahme von Handlungen (das „ob“)63 und auf die Art und Weise der Vornahme von Handlung beziehen (das „wie“).64 Ein bereits erwähntes Beispiel dafür ist die Ausnahme von der Benennung des Vertreters in der EU, bei der es nur auf das konkrete Risiko der Datenverarbeitung im Drittstaat ankommt. Die Abwägung der Risiken steht dem Verantwortlichen nicht frei. Er hat einen Nachweis hierüber zu erbringen.65 Die Befolgung der allgemeinen Pflichten der DSGVO lässt somit Raum für die ernsthafte Berücksichtigung der Wertungen des fünften Kapitels, insbesondere für die Einbeziehung der Kriterien zur Bestimmung eines angemessenes Datenschutzniveaus im Drittstaat. (3) Ergebnis Vorliegend wird die Auffassung vertreten, dass das fünfte Kapitel vom Datenverarbeiter im Drittstaat bei direkter Anwendbarkeit der DSGVO im Rahmen der Bewertung des Datenverarbeitungsrisikos Berücksichtigung findet. Dies führt dazu, dass die Bedeutung und Kriterien eines angemessenen Datenschutzniveaus bei der Risikoabwägung maßgeblich sind. Somit wird der Schutz bei direkter Anwendbarkeit der DSGVO im Drittstaat an das fünfte Kapitel der DSGVO angeglichen, ohne, dass die Formalien des Letzteren eingehalten werden müssen. Diese vertretene Auffassung führt zu weitreichenden Konsequenzen, die aus diversen Gründen gegenüber der direkten Anwendbarkeit des fünften Kapitels auf den erweiterten Anwendungsbereich nach Artikel 3 Absatz 2 DSGVO vorzugswürdig sind. c) Konsequenzen des Ergebnisses aa) Funktionsfähigkeit der digitalen Welt Der EuGH hat in der Lindqvist-Entscheidung aufgezeigt, dass das fünfte Kapitel der DSGVO bei einem anderen Verständnis der Datenübermittlung die Funktions-
63 64 65
Vgl. Art. 30 Abs. 1, 2, 5; 35 Abs. 1; 36 Abs. 1 DSGVO. Vgl. Art. 32 DSGO. Sog. Rechenschaftspflicht Art. 5 Abs. 2, Art. 4 Nr. 7 DSGVO; Veil, ZD 2018, 9, 11.
A. Grenzen der Datenübermittlungen in Drittstaaten
41
fähigkeit des freien Internets zu beeinträchtigen vermag.66 Hintergrund der Entscheidung ist, dass der Gesetzgeber der DSRL die zukünftige Bedeutung des Internets bei der Konzipierung der Anforderungen an grenzüberschreitende Datenübermittlungen nicht erkannt hat.67 Trotzdem hat der Gesetzgeber der DSGVO für das fünfte Kapitel im Wesentlichen auf die DSRL zurückgegriffen. Es ist somit davon auszugehen, dass der Gesetzgeber die Definition einer Datenübermittlung bewusst offengelassen hat.68 Hieraus und aus der Lindqvist-Entscheidung folgt, dass das europäische Datenschutzrecht eine gewisse Flexibilität erfordert, um der zeitgemäßen Bedeutung von Datenübermittlungen gerecht zu werden. Ein Loslösen von den Formalitäten des fünften Kapitels könnte der richtige Weg hierfür sein. bb) Anwendbarkeit auf die Direkterhebung Die in dieser Arbeit vertretene Ansicht beinhaltet, dass die Wertung des fünften Kapitels der DSGVO im Rahmen der Risikoanalyse von all ihren Adressaten beachtet werden muss. Dies wirkt sich besonders positiv auf die Direkterhebung aus. Ansonsten bestehen keine anwendbaren Schutzgarantien für die grenzüberschreitende Direkterhebung. Das fünfte Kapitel basiert überwiegend auf vertraglichen Lösungen, die nur auf Unternehmen zugeschnitten sind.69 Die hier vertretene Auffassung adressiert diese Schutzlücke durch die Konsequenz, dass kein Vertrag mit einem Unternehmen in der EU notwendig ist, um eine Pflicht des Unternehmens im Drittstaat zu begründen. Das Unternehmen im Drittstaat muss automatisch die Bedeutung eines angemessenen Datenschutzniveaus berücksichtigen. cc) Wahrung der Bedeutung eines angemessenen Datenschutzniveaus Das Verständnis, dass die Wertung des fünften Kapitels im Rahmen der Risikoanalyse von Adressaten der DSGVO eingebunden wird, ist mit dem Verständnis eines angemessenen Datenschutzniveaus vereinbar. Das primäre Ziel dieses Kriteriums ist die Erreichung eines hohen Schutzniveaus der Grundrechte.70 Dieses Ziel kann das hier vertretene Verständnis aufrechterhalten. Die nähere Bedeutung eines angemessenen Datenschutzniveaus wird im nächsten Kapitel erörtert und die Auswirkungen ihres Verständnisses im lösungsorientierten Schlussteil dieser Doktorarbeit aufgezeigt.
66
Simitis/Hornung/Spiecker gen. Döhmann/Schantz, DSGVO, Art. 44 DSGVO Rn. 18; Jotzo, Rn. 285. 67 EuGH, U.v. 6. 11. 2003 – Rs. C-101/01 =MMR 2004, 95, 97 Rn. 69; Jotzo, Rn. 285. 68 Simitis/Hornung/Spiecker gen. Döhmann/Schantz, DSGVO, Art. 44 DSGVO Rn. 19; Jotzo, Rn. 285. 69 Art. 46 Abs. 2 lit. b-d DSGVO. 70 Bot, Schlussanträge zur Rs. C-362/14, Rn. 142.
42
1. Kap.: Datenübermittlungen aus der EU in Drittstaaten
B. Zulässigkeit der Datenübermittlung I. Allgemeine Anforderungen Jede Übermittlung in einen Drittstaat ist nur zulässig, „wenn die im [fünften] Kapitel niedergelegten Bedingungen eingehalten und auch die sonstigen Bestimmungen [der DSGVO] eingehalten werden“.71 Die Einhaltung der „sonstigen Bestimmungen der DSGVO“ zielt auf alle allgemeinen Voraussetzungen ab, die für Datenverarbeitungen innerhalb der EU zu beachten sind.72 Somit muss als erste Voraussetzung für eine Datenübermittlung in einen Drittstaat eine Rechtsgrundlage vorliegen,73 Datenschutzgrundsätze beachtet und den sonstigen Pflichten der DSGVO entsprochen werden. Die „im fünften Kapitel niedergelegten Bedingungen“ sehen zusätzliche Voraussetzungen vor, die auf das Verlassen der Daten aus der Union zugeschnitten sind. Sie knüpfen daran an, ob ein „angemessenes Datenschutzniveau“ im Drittstaat für die personenbezogenen Daten, die Gegenstand der Übermittlung sind, besteht.74 Ohne das Vorliegen eines angemessenen Schutzniveaus dürfen Übermittlungen personenbezogener Daten grundsätzlich75 nicht stattfinden. Aufgrund der zwei verschiedenen Zulässigkeitsvoraussetzungen für eine Datenübermittlung in Drittstaaten, wird hier von zwei Stufen gesprochen.76 Dabei ist die Datenübermittlung nur zulässig, wenn sowohl auf der ersten als auch auf der zweiten Stufe ein positives Prüfungsergebnis vorliegt.77
II. Formale Bedingungen im fünften Kapitel 1. Angemessenheitsentscheidungen der EU-Kommission Das Vorliegen eines angemessenen Datenschutzniveaus im Drittstaat wird von der EU-Kommission bewertet. Resultiert die Bewertung der EU-Kommission in der positiven Feststellung, dass ein angemessenes Datenschutzniveau in einem Drittstaat vorliegt, ergeht ein für alle Mitgliedstaaten verbindlicher Beschluss.78 Die Mitgliedstaaten sind dann verpflichtet, die aufgrund der Feststellung gebotenen Maß71
Art. 44 S. 1 DSGVO. Sydow/ Towfigh/Ulrich, DSGVO Art. 44 Rn. 7; Ambrock/Karg, ZD 2017, 154, 155, Wybitul/Ströbel/Rueß, ZD 2017, 503, 504; zu Art. 49 DSGVO: Europäischer Datenschutzausschuss/Europäischer Datenschutzbeauftragter, Annex: Initial legal assessment of the impact of the US CLOUD Act, 10. Juli 2019, S. 4. 73 Kritisch Kühling/Buchner/Schröder, DSGVO Art. 48 Rn. 29. 74 Art. 45 Abs. 1, 2 DSGVO. 75 Ausnahmen in Art. 49 DSGVO. 76 Düsseldorfer Kreis, Beschluss vom 11./12. 09. 2013, Datenübermittlung in Drittstaaten. 77 Ebda. 78 Art. 45 Abs. 1, 3 DSGVO; Art. 288 IV AEUV. 72
B. Zulässigkeit der Datenübermittlung
43
nahmen zu treffen.79 Datenübermittlungen in betreffende Drittstaaten dürfen dann ohne weitere Genehmigungen der Aufsichtsbehörde erfolgen.80 a) Allgemeine Beschlüsse Berechtigt zur Feststellung, ob ein angemessenes Datenschutzniveau im Drittstaat vorliegt, ist seit dem Eintritt der DSGVO ausschließlich die EU-Kommission.81 Derzeit sind zwölf Angemessenheitsbeschlüsse der EU-Kommission in Kraft, auf die sich Datenübermittlungen stützen können. Demnach dürfen personenbezogene Daten aus allen Mitgliedstaaten der EU in folgende Länder und Gebiete genehmigungsfrei übermittelt werden: Andorra,82 Argentinien,83 Färöer Inseln,84 Guernsey,85 Isle of Man,86 Israel,87 Japan,88 Jersey,89 Kanada,90 Neuseeland,91 Schweiz92 und Uruguay93. Bis auf die Angemessenheitsentscheidung zu Japan beruhen die ergangenen Entscheidungen nicht auf der DSGVO, sondern noch auf der DSRL94. Vor dem Eintritt der DSGVO ergangene Angemessenheitsentscheidungen der EU-Kommission bleiben weiterhin in Kraft.95 Die Bewertung des Datenschutzniveaus ist allerdings kein einmaliges Ereignis, sondern vielmehr ein sich wiederholender, evolutiver Prozess.96 Daher ist die EU-Kommission dazu verpflichtet, die Entwicklungen in Drittstaaten fortlaufend zu überprüfen, die ihre Feststellungen beeinträchtigen könnten.97 Kann ein Drittstaat, zu dem eine Angemessenheitsentscheidung ergangen 79 Art. 291 AEUV; EuGH, U. v. 6. 10. 2015 – C-362/14 =ZD 2015, 549, 551 Rn. 51; Schreiber/Kohm, ZD 2016, 255, 257. 80 Art. 45 Abs. 1 S. 2 DSGVO. 81 Ehmann/Selmayr/Zerdick, DSGVO, Art. 45 Rn. 2, 4; Gola/Klug, DSGVO, Art. 45 Rn. 3; Kühling/Herberlein/Schröder, DSGVO, Art. 45 Rn. 1. 82 EU-Kommission, Entscheidung vom 19. Oktober 2010, ABl. EU 2010 L 277, 27. 83 EU-Kommission, Entscheidung vom 30. Juni 2003, ABl. EU 2003 L 168, 19. 84 EU-Kommission, Entscheidung vom 5. März 2010, ABl. EU 2010 L 58, 17. 85 EU-Kommission, Entscheidung vom 21. November 2003, ABl. EU 2003 L 308, 27. 86 EU-Kommission, Entscheidung vom 28. April 2004, ABl. EU 2004 L 151, 51, berichtigt in ABl. EU 2004 L 208, 47. 87 EU-Kommission, Entscheidung vom 31. Januar 2011, ABl. EU 2011 L 27, 39. 88 EU-Kommission, Entscheidung vom 19. März 2019. ABl. EU 2019 L 76, 1. 89 EU-Kommission, Entscheidung vom 8. Mai 2008, ABl. EU 2008 L 138, 21. 90 EU-Kommission, Entscheidung vom 20. Dezember 2001, ABl. EG 2002 L 2, 13. 91 EU-Kommission, Entscheidung vom Dezember 2012, ABl. EU 2013 L 28, 11. 92 EU-Kommission, Entscheidung vom 26. Juli 2000, ABl. EG 2000 L 215, 1. 93 EU-Kommission, Entscheidung vom 21. August 2012, ABl. EU 2012 L 227, 11. 94 Art 25 Abs. 6 DSRL. 95 Art. 45 Abs. 9 DSGVO. 96 EuGH, U. v. 6. 10. 2015 – C-362/14 =ZD 2015, 549, 553 Rn. 76. 97 Art. 45 Abs. 4 DSGVO.
44
1. Kap.: Datenübermittlungen aus der EU in Drittstaaten
ist, aufgrund sachlicher oder rechtlicher Umstände kein angemessenes Datenschutzniveau mehr gewährleisten, muss die EU-Kommission ihren Beschluss widerrufen oder ändern.98 In Artikel 45 Absatz 1 DSGVO wird erstmalig ausdrücklich vorgesehen, dass die Angemessenheitsentscheidung sich nicht nur auf ein Drittland beziehen kann, sondern auch auf ein Gebiet, oder ein oder mehrere spezifische Sektoren in dem Drittland. b) Beschlüsse für selbstzertifizierte Unternehmen in den USA Die EU-Kommission hat bereits zwei Angemessenheitsentscheidungen zu den USA mit den Namen „Safe Harbor“99, auf Deutsch „sicherer Hafen“, und „Privacy Shield“100, auf Deutsch „Datenschutzschild“, getroffen. Bei den Entscheidungen handelt es sich um Angemessenheits-„Teilbeschlüsse“101, weil sie nicht alle Datenübermittlungen in die USA legitimierten. Ein angemessenes Datenschutzniveau wurde von der EU-Kommission nur für solche Unternehmen in den USA festgestellt, die sich im Rahmen einer Selbstzertifizierung dazu verpflichtet haben, die in der jeweiligen Angemessenheitsentscheidung enthaltenen Schutzmaßnahmen einzuhalten. Der begrenzte Geltungsbereich wurde von der EU-Kommission mit dem Fehlen eines allgemeinen Datenschutzgesetzes in den USA begründet.102 Somit kann bereits an dieser Stelle festgehalten werden, dass die USA nach der Ansicht der EUKommission ohne weitere Schutzvorkehrungen durch Unternehmen kein angemessenes Datenschutzniveau gewährleistet. Zur Durchsetzung und Überwachung der zwischen der EU und den USA ausgehandelten Pflichten für selbstzertifizierte Unternehmen haben sich verschiedene US-amerikanische Behörden verpflichtet.103 Aufgrund der verschiedenen Zugeständnisse der USA ist es gebräuchlich, zu den USAngemessenheitsbeschlüssen mit dem Begriff „Abkommen“ zu referieren.104 aa) Schrems I – Ungültigkeit von Safe Harbor Die beiden Angemessenheitsentscheidungen zu den USA wurden vom EuGH für ungültig erklärt. Dieser ist ausschließlich befugt, die Ungültigkeit von Angemes98
Art. 45 Abs. 5 DSGVO. EU-Kommission, Entscheidung vom 26. Juli 2000, ABl. EU 2000 L 215, 7 = Safe Harbor. 100 EU-Kommission, Entscheidung vom 12. Juli 2016, ABl. EU 2016 L 207, 1 = Privacy Shield. 101 EU-Kommission, MEMO/19/422, Fragen und Antworten zum Angemessenheitsbeschluss in Bezug auf Japan, 23. Januar 2019. 102 Ebda. 103 Privacy Shield EG 18. 104 Vgl. Sydow/Towfigh/Ulrich, DSGVO, Art. 44 Rn. 14 ff. 99
B. Zulässigkeit der Datenübermittlung
45
senheitsbeschlüssen festzustellen.105 Der EuGH hat in der am 6. Oktober 2015 verkündeten Entscheidung das Safe Harbor-Abkommen für ungültig erklärt, sog. Schrems I-Entscheidung. In dieser Entscheidung hat der EuGH die Inhalte der in dem Safe Harbor-Abkommen vorgesehenen Schutzmaßnahmen nicht geprüft.106 Nach Auffassung des EuGH sind bereits die Zugriffrechte der US-Sicherheitsbehörden nicht auf das absolut Notwendige beschränkt, wie es die Grundrechtecharta verlangt.107 Zudem besteht seiner Ansicht nach für Personen aus der EU, deren Daten in die USA übermittelt wurden, kein effektiver Rechtsbehelf, der die Anforderungen der Grundrechtecharta erfüllt.108 Anlass für die Klage war die Beschwerde von Maximilian Schrems bei der irischen Datenschutzbehörde mit dem Begehren, Facebook Irland eine Übermittlung seiner personenbezogenen Daten in die USA zu untersagen. Er berief sich dabei auf die von Edward Snowden enthüllten Tätigkeiten der US-Nachrichtendienste. bb) Entstehung von Privacy Shield Tausenden Unternehmen, die Safe Harbor beigetreten sind, fehlte seit der Schrems I-Entscheidung des EuGH eine Rechtsgrundlage zur Sicherstellung der Anforderungen des fünften Kapitels der DSGVO. Es bedurfte einer schnellen Lösung für Unternehmen, um Legalität und Rechtssicherheit wiederherzustellen. Die EUKommission begab sich zügig in erneute Verhandlungen mit den US-Behörden, um „eine neue, robustere Regelung des transatlantischen Datenaustauschs“ zu vereinbaren,109 mit dem Ergebnis, dass bereits wenige Monate später110 der Entwurf des neuen Angemessenheitsbeschlusses veröffentlicht wurde. Der Entwurf wurde von dem Beratungsgremium zum Datenschutz, der ehemals Artikel-29-Arbeitsgruppe, die vom europäischen Datenschutzausschuss abgelöst wurde,111 bewertet. In diesem Rahmen wurden datenschutzrechtliche Fortschritte zum Vorgänger Safe Harbor begrüßt, allerdings wurde beanstandet, dass der Zugriff von US-Behörden auf aus der Union importierte personenbezogene Daten weiterhin nicht ausgeschlossen werden könne.112 Trotz kritischer Reaktionen auf den Entwurf des Abkommens beschloss die EU-Kommission am 12. Juli 2016 die Angemessenheit des unter Privacy Shield gebotenen Schutzes.
105 106 107 108 109 110 111 112
EuGH, U. v. 6. 10. 2015 – C-362/14 =ZD 2015, 549, 552 Rn. 60 f. EuGH, U. v. 6. 10. 2015 – C-362/14 =ZD 2015, 549, 555 Rn. 98. Art. 7, 8 GR-Ch; EuGH, U. v. 6. 10. 2015 – C-362/14 =ZD 2015, 549, 554 Rn. 92 ff. Art. 47 GR-Ch; EuGH, U. v. 6. 10. 2015 – C-362/14 =ZD 2015, 549, 555 Rn. 95. EU-Kommission, COM (2015) 566 endg. vom 06. 11. 2016, S. 3. 29. Februar 2016. Vgl. Art. 68 ff. DSGVO. Weichert, ZD 2016, 209, 216.
46
1. Kap.: Datenübermittlungen aus der EU in Drittstaaten
cc) Schrems II – Ungültigkeit von Privacy Shield In einem erneuten Vorabentscheidungsverfahren113 zur selben Datenverarbeitung, die bereits in Schrems I gerügt wurde, erklärte der EuGH am 16. Juli 2020 Privacy Shield für ungültig, in der sog. Schrems II-Entscheidung. Der EuGH beschäftigte sich mit den Ausführungen der EU-Kommission im Privacy Shield zum Recht der nationalen Sicherheit in den USA und stellte fest, dass die EU-Kommission die Anforderungen verkannt hat, die sich aus dem fünften Kapitel der DSGVO114 im Licht der europäischen Grundrechte115 ergeben.116 Trotz des Schicksals beider Angemessenheitsentscheidungen in Bezug auf die USA wurden vom US-Handelsministerium und der EU-Kommission Diskussionen über eine mögliche dritte EUKommissionsentscheidung eingeleitet.117 Da der EuGH sich erneut auf das Recht der nationalen Sicherheit gestützt hat, müssen Lösungen für Datenübermittlungen in die USA die Zugriffsrechte US-amerikanischer Behörden adressieren. 2. Andere Übermittlungsgarantien Da derzeit keine Angemessenheitsentscheidung für Datenübermittlungen in die USA vorliegt, dürfen jene dennoch stattfinden, sofern anderweitige, im fünften Kapitel der DSGVO vorgesehene Garantien für den Schutz der betroffenen Person ergriffen werden.118 Dabei dienen diese Garantien „als Ausgleich für den im Drittland bestehenden Mangel an Datenschutz“.119 Sie sollen sicherstellen, dass die Datenschutzvorschriften und die Rechte der betroffenen Personen auf eine der Verarbeitung innerhalb der Union angemessene Art und Weise beachtet werden.120 Zudem wird in Anbetracht der Betonung eines bestehenden effektiven Rechtsbehelfs durch den EuGH verlangt, dass betroffenen Personen ausdrücklich durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen.121 Die Garantien verfolgen also die Funktion, ein angemessenes Datenschutzniveau bei der Datenverarbeitung zu gewährleisten.122 Die vorgesehenen Garantien im fünften Kapitel basieren auf vertraglichen Klauseln, Abreden oder sonstigen Zusicherungen.123 In der 113
Art. 267 AEUV. Art. 45 Abs. 1 DSGVO. 115 Art. 7, 8 GR-Ch. 116 EuGH, U. v. 16. 7. 2020 – C-311/18 = MMR 2020, 597, 608 Rn. 198. 117 Ross/Reynders, Gemeinsame Pressemitteilung vom 10. August 2020. 118 Art. 46 Abs. 1 DSGVO; DSGVO EG 108 S. 1. 119 DSGVO EG 108 S. 1. 120 DSGVO EG 108 S. 3, 1. HS. 121 DSGVO EG 108; EuGH, U. v. 6. 10. 2015 – C-362/14 = EuZW 2015, 881, 887; Kühling/ Buchner/Schröder, DSGVO, Art. 46 Rn. 13. 122 Ambrock/Karg, ZD 2017, 154, 156. 123 Art. 46 Abs. 2 DSGVO. Zu der Notwendigkeit vertraglicher Vereinbarungen, einseitiger Erklärungen oder Verpflichtungen s. Paal/Pauly, DSGVO, Art. 47 Rn. 16. 114
B. Zulässigkeit der Datenübermittlung
47
Praxis werden insbesondere von der EU-Kommission genehmigte Standard-Datenschutzklauseln (SCC)124 oder verbindliche interne Datenschutzvorschriften im Unternehmen125 genutzt. Aufgrund der EuGH-Rechtsprechung zu Schrems I bestanden Zweifel an der Geeignetheit der anderen Übermittlungsgarantien, Datenübermittlungen in die USA zu legitimieren, weil sie am bestehenden US-Recht zur nationalen Sicherheit nichts ändern. Der EuGH hat diese Zweifel in Schrems II ausgeräumt, gleichzeitig aber die Ergreifung „zusätzlicher Schutzmaßnahmen“ für Datenübermittlungen in die USA gefordert.126 Im fünften Kapitel dieser Arbeit wird sich mit der Herausforderung auseinandergesetzt, inwieweit Schutzmaßnahmen tatsächlich einen Einfluss auf die Zugriffe US-amerikanischer Behörden nehmen können. 3. Ausnahmen Falls weder ein Angemessenheitsbeschluss noch eine anderweitige geeignete Garantie vorliegt, ist eine Übermittlung an ein Drittland nur unter Verwirklichung einer der in Artikel 49 DSGVO normierten Ausnahmen zulässig. Im Gegensatz zur Angemessenheitsentscheidung und den Übermittlungsgarantien kann Artikel 49 DSGVO Datenübermittlungen nur im Einzelfall rechtfertigen.127 Das Berufen auf die Ausnahmeregelungen bedeutet nicht, dass ein Drittstaat kein angemessenes Schutzniveau gewährleistet, gleichzeitig gewährleistet es allerdings auch nicht, dass das gebotene Datenschutzniveau angemessen ist.128 Die Ausnahmen dienen der Legitimierung von Fällen, in denen ohne angemessenes Datenschutzniveau im Drittstaat eine Übermittlung aufgrund des Vorliegens bestimmter Umstände mit den Grundrechten129 vereinbar ist.130 Aufgrund der restriktiven131 Auslegung der dort genannten abschließenden132 Ausnahmegründe ist es in der Praxis jedoch schwierig, eine Datenübermittlung in die USA durch Herstellung eines angemessenen Datenschutzniveaus zu legitimieren. Aktuelle Entwicklungen des US-Rechts, insbesondere zum Recht der nationalen Sicherheit, können einen Einfluss auf die Inanspruchnahme der Ausnahmetatbestände haben. 124
Art. 45 Abs. 2 lit. c DSGVO. Art. 45 Abs. 2 lit. b, 47 DSGVO. 126 EuGH, U. v. 16. 7. 2020 – C-311/18 =MMR 2020, 597, 603 Rn. 139. 127 Simitis/Hornung/Spiecker/Schantz, DSGVO, Art. 49 Rn. 9. 128 Artikel 29-Datenschutzgruppe, WP 117, S. 7. 129 Art. 7, 8 GR-Ch.; Simitis/Hornung/Spiecker/Schantz, DSGVO, Art. 49 Rn. 9. 130 Ehmann/Selmayr/Zerdick, DSGVO Art. 49 Rn. 1. 131 Albrecht, CR 2016, 88, 95, Sydow/Towfigh/Ulrich, DSGVO, Art. 49 Rn. 1. 132 Rat der europäischen Union, Draft statement, position of the Council at first reading with a view to the adoption of a Regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data, 17. 3. 2016, 27; Kühling/Buchner/Schröder, DSGVO Art. 49 Rn. 1. 125
48
1. Kap.: Datenübermittlungen aus der EU in Drittstaaten
4. Zwischenergebnis Datenübermittlungen in die USA müssen, unabhängig von dem gewählten Legitimierungsmechanismus, die Rechtsprechung des EuGH zum US-amerikanischen nationalen Recht der Sicherheit berücksichtigen. Eine dritte Angemessenheitsentscheidung sollte zusätzlich die Kritik des europäischen Datenschutzausschusses, die sich auf die Ausgestaltung von Privacy Shield bezog, umsetzen, um einen Ausblick auf ein Fortbestehen zu haben. Welcher Maßnahmen es bedarf, um Datenübermittlungen in die USA zu legitimieren, wird in den nächsten Kapiteln untersucht und Lösungen im letzten Kapitel erarbeitet.
Zweites Kapitel
Angemessenes Datenschutzniveau als Schranke Das Verständnis eines angemessenen Datenschutzniveaus bestimmt, welche Datenübermittlungen von der EU in Drittstaaten erfolgen dürfen und unterlassen werden müssen. Trotz dieser entscheidenden Rolle für Datenübermittlungen enthält die DSGVO keine Definition eines „angemessenen Datenschutzniveaus“. Die Rechtsprechung des EuGH zu Schrems I hat dazu geführt, dass in der Literatur vertretene Auffassungen zur Bedeutung des angemessenen Datenschutzniveaus nicht mehr aufrecht erhalten bleiben konnten.1 Welche Entwicklungen die Beschränkungen von Datenübermittlungen in Drittstaaten durchlaufen hat und wie ein angemessenes Datenschutzniveau derzeit verstanden wird, ist ausschlaggebend für die Bewertung des angemessenen Datenschutzniveaus in den USA.
A. Bedeutung und Ziele eines angemessenen Datenschutzniveaus I. Anlehnung an die internationalen Vorbilder Das in der DSGVO2 vorgesehene Erfordernis des „angemessenen Schutzniveaus“ im Drittstaat für den Datenexport wurde auch in der DSRL verwendet.3 Die Umsetzungsakte der Mitgliedstaaten haben die Zulässigkeit des Datentransfers hingegen teilweise an den Begriff der „Gleichwertigkeit“ geknüpft.4 Das Gedankengut eines gleichwertigen Umgangs mit Daten als Zulässigkeitsanforderung ist bereits in den internationalen Abkommen, die der DSRL als Vorbilder dienten,5 widergespiegelt. Im Übereinkommen Nr. 108 des Europarats zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten ist geregelt, dass eine Vertragspartei der Konvention den grenzüberschreitenden Verkehr personenbezogener Daten in das Hoheitsgebiet einer anderen Vertragspartei allein zum Zweck des Schutzes des Persönlichkeitsbereichs nicht verbieten oder von einer besonderen 1 Vgl. Ehmann/Helfrich, DSRL, Art. 25 Rn. 5; Simitis, BDSG (aF), § 4b Rn. 52; Taeger/ Gabel, BDSG (aF), § 4b Rn. 21. 2 Art. 45 Abs. 1 DSGVO. 3 Ellger, CR 1993, 2, 5. 4 Ellger, CR 1993, 2, 5; Simitis, NJW 1997, 281, 284. 5 EU-Parlament, A5 – 0177/2000 S.6; Artikel 29-Datenschutzgruppe, WP 12, 3.
50
2. Kap.: Angemessenes Datenschutzniveau als Schranke
Genehmigung abhängig machen darf. Abgewichen werden darf von dem Grundsatz nur, soweit der übermittelnde Vertragsstaat für bestimmte Arten von personenbezogenen Daten wegen ihrer Beschaffenheit besondere Vorschriften enthält und die datenempfangende Vertragspartei keinen gleichwertigen Schutz vorsieht.6 Im Falle mangelnder Gleichwertigkeit des Schutzes ist mithin das Verbot der Datenübermittlung in das Hoheitsgebiet eines Vertragsstaates möglich. Eine ähnliche Regelung sehen die OECD Leitlinien vor, da dort ebenso für bestimmte Datenkategorien Restriktionen vorgesehen sind, soweit der OECD-Mitgliedstaat keinen gleichwertigen Schutz bietet.7 In den UN-Richtlinien8 wird der freie Datenverkehr nahegelegt, solange vergleichbare Schutzmaßnahmen im Empfängerstaat gegeben sind. Diese Abkommen und Richtlinien haben den europäischen Datenschutz erheblich geprägt und den Konsens über einen europäischen Datenschutzkern von inhaltlichen und verfahrensrechtlichen Grundsätzen geformt.9 Durch die Einführung der „Angemessenheit“ des Datenschutzniveaus in der DSRL ist der Richtliniengeber von den ihr zugrundeliegenden Vorbildern abgewichen. In der Literatur wurde die Ansicht vertreten, die bewusste wörtliche Abweichung von der Gleichwertigkeit demonstriere, dass ein angemessenes Datenschutzniveau keinen gleichwertigen Schutz verlange, sondern einen niedrigeren Schutz, der noch im Rahmen des Angemessenen sei.10 Spätestens mit den Ausführungen des EuGH in Schrems I und dem Eintritt der DSGVO in denen ebenso auf ein „angemessenes Datenschutzniveau“ abgestellt und gleichzeitig gefordert wird, dass ein solches „dem innerhalb der Union gewährleisteten Schutzniveau der Sache nach gleichwertig ist“, sind diese Zweifel ausgeräumt.11 Ein angemessenes Datenschutzniveau fordert weiterhin einen gleichwertigen Schutz im Drittstaat und keinen niedrigeren Schutz.12 Welche konkreten Voraussetzungen hieraus für den Drittstaat entstehen, ist anhand der verfolgten Ziele einer solchen Regelung zu ermitteln.13 Diese stehen eng im Zusammenhang mit den
6
Art. 12 Abs. 2 Konvention Nr. 108. Nr. 17 s. 2, Teil 3, OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data. 8 Nr. 9, Principles concerning the minimum guarantees that should be provided in national legislations, UN-Generalverssammlung Resolution 45/95 vom 14. Dezember 1990, Guidelines for the Regulation of Computerized Personal Data Files. 9 Artikel 29-Datenschutzgruppe WP 12, 5; Ehmann/Selmayr/Zerdick, DSGVO, Art. 45 Rn. 6. 10 Ehmann/Helfrich, DSRL, Art. 25 Rn. 5; Simitis, BDSG (aF), § 4b Rn. 52; Taeger/Gabel, BDSG (aF), § 4b Rn. 21. 11 EU DSGVO EG 104 S. 3; EuGH, U. v. 6. 10. 2015 – C-362/14 = ZD 2015, 549, 553 Rn. 73. 12 Ehmann/Selmayr/Zerdick, DSGVO, Art. 45 Rn. 6. 13 Vgl. EuGH, U. v. 6. 10. 2015 – C-362/14 = ZD 2015, 549, 553 Rn. 73; Bot, Schlussanträge zur Rs. C-362/14, Rn. 142. 7
A. Bedeutung und Ziele eines angemessenen Datenschutzniveaus
51
Funktionen, die ein angemessenes Datenschutzniveau als Beschränkung von Datenübermittlungen in Drittstaaten wahrnimmt.
II. Ermöglichung des freien Datenflusses 1. EU-Binnenmarkt Da die Übermittlung von personenbezogenen Daten für die Entwicklung des internationalen Handels notwendig ist,14 wurde die DSRL erlassen, um einen freien Datenfluss in der EU zu ermöglichen.15 Durch den Erlass der DSRL wurde das Datenschutzrecht in der EU harmonisiert und somit durch die Angleichung der Datenschutzregeln in den nationalen Mitgliedstaaten eine Grundlage für einen funktionierenden Binnenmarkt geschaffen.16 Dadurch konnte gewährleistet werden, dass die Datenverarbeitungen in allen Mitgliedstaaten gleichen Rahmenbedingungen unterliegen und das Grundrecht auf Datenschutz somit einer Datenübermittlung in einen anderen EU-Mitgliedstaat nicht entgegensteht. Zur weiteren Förderung des Binnenmarkts wurde, um eine weitergehende Harmonisierung zu erzielen, die DSGVO erlassen. Mit der DSGVO sollte weitere Rechtssicherheit für Unternehmen begründet werden, indem die Grundlagen für eine einheitliche Überwachung und angepasste Sanktionen in den Mitgliedstaaten geschaffen wurde.17 Vor dem Hintergrund ist ersichtlich, dass ein angemessenes Datenschutzniveau einem freien Datenverkehr in der EU nicht entgegenstehen darf und einheitlich in der EU ausgelegt werden muss. 2. Mit Handelspartnern Aufgrund der Verstrickung des globalen Handels mit Datenübermittlungen, dürfen die Anforderungen an ein angemessenes Datenschutzniveau nicht zu hoch sein, um den Mitgliedstaaten der EU weiterhin zu ermöglichen, internationale Handelsbeziehungen zu pflegen. Ein angemessenes Datenschutzniveau bezeichnet deshalb keine Deckungsgleichheit mit den Regeln der EU.18 Statt einer „Eins-zueins-Übereinstimmung“19 erfordert die Ausweitung des internationalen Handels eine gewisse Flexibilität bei internationalen Datentransfers.20 Die Auslegung eines angemessenen Datenschutzniveaus setzt voraus, dass der Zweck, die Effektivität und 14 15 16 17 18 19 20
DSRL EG 56 S. 1. DSRL EG 3; DSGVO EG 3. Art. 14 EGV; Art. 100 lit. a EWGV. EU-Kommission, (2012) 11 EG 11, Hoeren/Giurgiu, NWB 2012, 1599, 1601. Simitis, BDSG (aF), § 4b Rn. 52. EU-Kommission, COM(2017), 7 final S. 7. DSRL EG 56; Artikel 29-Datenschutzgruppe, WP 114 S. 8.
52
2. Kap.: Angemessenes Datenschutzniveau als Schranke
Verbindlichkeit des normierten Rechts im Drittstaat mit der EU vergleichbar sind.21 Legitim sind auch Modalitäten, die nicht der „EU-typischen“ Form und dessen Inhalt entsprechen.22 Diese Tatsache ist bei Datenübermittlungen in die USA zu ausschlaggebend, da die USA kein einheitliches Datenschutzrecht für alle personenbezogenen Daten aufweist.
III. Wahrnehmung einer politischen Funktion Als Hürde für den internationalen Datenexport muss der politischen Wirkung des angemessenen Datenschutzniveaus Rechnung getragen werden. Politische Hintergründe und Auswirkungen werden daher bei der Ermittlung des angemessenen Datenschutzniveaus nicht außer Acht gelassen.23 Es bestand die Besorgnis, dass eine Datenübermittlungsschranke von der EU zur Verschleierung wirtschaftlicher und politischer Beweggründe genutzt werden könne.24 Vor diesem Hintergrund war die EU bemüht, einen Ausgleich zwischen dem Verzicht auf eine durchgreifende Durchsetzung des eigenen Regelungswerks und der Wahrung des hohen Grundrechteschutzes herzustellen.25 Aufgrund dessen wird die Abweichung von der „Gleichwertigkeit“ zur mit der DSRL eingeführten Formulierung der „Angemessenheit“ als Ausdruck eines „diplomatischen“ Kompromisses verstanden.26 Es ist zu anzumerken, dass die EU-Kommission in ihren Angemessenheitsentscheidungen die Vorteile einer ungehinderten Datenübermittlung allerdings durchaus berücksichtigt. Sie hat Kriterien veröffentlicht, die nach ihrer Auffassung zusätzlich zur Bewertung des Datenschutzes bei ihren Angemessenheitsentscheidungen zugrunde gelegt werden müssen.27 Dabei handelt es sich um die bestehende und potenzielle Handelsbeziehung zu dem Drittstaat und die geografische und kulturelle Verbundenheit.28 Zudem ist nach den Kriterien der EU-Kommission zu berücksichtigen, wenn der Drittstaat eine Vorreiterrolle zum Datenschutz einnimmt. Letzteres zeigt die Absicht der EU, eine gewisse Angleichung des Datenschutzniveaus auch über die Unionsgrenzen hinaus zu verwirklichen.29 21
Ebda. Bot, Schlussanträge zur Rs. C-362/14, Rn. 141; Simitis, NJW 1997, 281, 284. 23 Vgl. Moos/Schefzig, CR 2015, 625, 631. 24 Ellger, Der Datenschutz im grenzüberschreitenden Verkehr, S. 161 ff.; ders, CR 1993, 2, 9; Geis, NJW 1997, 288, 290. 25 Vgl. Simitis, NJW 1997, 281, 284. 26 Geis, NJW 1997, 288, 290; Simitis, NJW 1997, 281, 284. 27 EU-Kommission, MEMO/19/422, Fragen und Antworten zum Angemessenheitsbeschluss in Bezug auf Japan, 23. Januar 2019. 28 EU-Kommission, COM (2017) 7 final, S. 9. 29 Bradford, S. 137, 168. 22
A. Bedeutung und Ziele eines angemessenen Datenschutzniveaus
53
IV. Wahrung eines hohen Grundrechteschutzes 1. Datenschutz als europäisches Grundrecht Das Recht auf Privatsphäre und das Recht auf Datenschutz sind in der EU als zwei Grundrechte geschützt.30 Der EuGH sieht die beiden Grundrechte aufgrund ihres „engen Zusammenhangs“ als Grundrechte mit sich überschneidenden Schutzbereichen und verfolgt daher den Ansatz, sie einer gemeinsamen Wertung zu unterziehen.31 Dies wird in dieser Arbeit durch die alleinige Referenz auf „das Grundrecht auf Datenschutz“ berücksichtigt. Der Datenschutz in der EU hat als Grundrecht eine Abwehrfunktion gegen Eingriffe durch den Staat.32 Einen Eingriff in den Schutzbereich des Datenschutzes stellt bereits eine Verarbeitung personenbezogener Daten dar, unabhängig davon, ob der Betroffene hierdurch Nachteile erlitten hat.33 Eine Datenübermittlung durch öffentliche Stellen bedeutet somit einen Eingriff in die Rechte des Betroffen. Dies gilt zudem für Datenübermittlungen und andere Datenverarbeitungen durch Private. Denn das Grundrecht auf Datenschutz entfaltet eine Drittwirkung.34 Es verpflichtet die Gesetzgeber und öffentliche Stellen dazu, vor Eingriffen durch Private zu schützen, indem sie Datenverarbeitungen rechtlichen Regelungen unterwerfen.35 Die DSGVO stellt Anforderungen an Datenverarbeitungen in der EU. Da sie umfassend die Verarbeitung aller personenbezogener Daten regelt und sowohl für private als auch für öffentliche Datenverarbeiter gilt, ist die DSGVO maßgeblich für eine Bewertung des Datenschutzniveaus im Drittstaat. Außerdem sind Urteile und erlassene Rechtsakte der EU in die Bewertung einzubeziehen, weil sie ebenso den europäischen Grundrechteschutz konkretisieren.36 2. Anspruch auf Fortwahrung des Grundrechteschutzes Der Anspruch der betroffenen Person auf den Schutz der Grundrechte erlischt nicht mit einer Datenübermittlung in einen Drittstaat, sondern gilt fortwährend.37 Daher dürfen Verlagerungen der Datenverarbeitung in einen Drittstaat nicht zu einer Umgehung des in der Union durch die DSGVO gewährten Schutzes führen. Datenverarbeitende Unternehmen sollen personenbezogene Daten keinem geringeren Schutz aussetzen, indem sie die Daten in einen Staat außerhalb der EU übermitteln 30
Art. 7, 8 GR-Ch.; 6 EUV; 16 AEUV; 8 EMRK. Jarass, GR-Ch., Art. 8 Rn. 4; Simitis/Hornung/Spiecker/Schiedermaier, Einleitung, Rn. 167. 32 Roßnagel, NJW 2019, 1, 3. 33 Jarass, GR-Ch, Art. 8 Rn. 8. 34 Jarass, GR-Ch., Art. 8, Rn. 10; Szczekalla, S. 560 ff. 35 Jarass, GR-Ch, Art. 8 Rn. 8; Roßnagel, NJW 2019, 1, 3. 36 Vgl. Molnár-Gábor/Kaffenberger, ZD 2017, 18, 20. 37 EuGH, U. v. 6. 10. 2015 – C-362/14 = ZD 2015, 549, 553 Rn. 72. 31
54
2. Kap.: Angemessenes Datenschutzniveau als Schranke
und dort weiterverarbeiten. Das Kriterium des angemessenen Datenschutzniveaus ist daher so anzuwenden, „um sicherzustellen, dass das durch diese Verordnung gewährleistete Schutzniveau für natürliche Personen nicht untergraben wird“.38 In Anbetracht der Vielzahl an vorgesehenen Schutzmaßnahmen in der DSGVO ist nicht ganz eindeutig, welche vorhandenen Schutzregelungen im Drittstaat vorhanden sein müssen, um eine Untergrabung des Datenschutzniveaus zu verhindern. Während früher darauf abgestellt wurde, dass der „Kernbestand der Privatsphäre“ im Drittstaat basierend auf der DSRL gewahrt wird, 39 hat der EuGH in Schrems I eine weitreichendere Vergleichbarkeit des Datenschutzes gefordert. Demnach hat „das Drittland auf Grund seiner innerstaatlichen Rechtsvorschriften oder internationaler Verpflichtungen tatsächlich ein Schutzniveau der Freiheiten und Grundrechte zu gewährleisten, das dem in der Union auf Grund der DSGVO im Licht der Charta garantierten Niveau der Sache nach gleichwertig ist“.40 Daraus folgt, dass es nicht ausreicht, wenn Grundprinzipien aus der DSGVO im Drittstaat gewahrt werden. Ein Rechtsvergleich muss zu einem „der Sache nach“ gleichwertigen Schutzniveau führen und somit weitreichendere Schutzaspekte einbeziehen.41 Der EuGH erklärte in Schrems I zusätzlich, dass die Regeln der DSGVO allerdings nicht identisch im Drittstaat vorhanden sein müssen.42 Sind gewisse Schutzmaßnahmen aus der DSGVO im Drittstaat nicht vorhanden, müssen sich die in dem Drittstaat vorhandenen „Mittel gleichwohl in der Praxis als wirksam erweisen“.43 Bei der Bewertung des Drittstaates kommt es somit auf einen „funktionalen Vergleich“44 an. Eine formale Gleichwertigkeit der deklaratorischen Datenschutzregeln ist nicht ausreichend.45 Zur Gewährleistung eines „tatsächlich“46 vergleichbaren Schutzniveaus müssen die Schutzinstrumente aus der DSGVO wirksam im Drittstaat widergespiegelt werden.47 Dafür bedarf es einer Gesamtwertung des im Drittstaat erzielten Schutzes in der Praxis.48
38
Art. 44 S. 2 DSGVO. Ehmann/Selmayr/Zerdick, DSGVO, Art. 45, Rn. 6; Kühling/Schröder, DSGVO, Art. 45, Rn. 11, 12; zur Gleichwertigkeit zum „harten Kern“ abstellend Simitis, BDSG (aF), § 4b Rn. 52. 40 EuGH, U. v. 6. 10. 2015 – C-362/14 = ZD 2015, 549, 553 Rn. 73. 41 Kühling/Buchner/Schröder, DSGVO Art. 45 Rn. 12; Simitis/Hornung/Spiecker/Schantz, DSGVO, Art. 45 Rn. 6; a. A. Sydow/Towfigh/Ulrich, DSGVO, Art. 25 Rn. 10. 42 EuGH, U. v. 6. 10. 2015 – C-362/14 = ZD 2015, 549, 553 Rn. 73, 74. 43 EuGH, U. v. 6. 10. 2015 – C-362/14 = ZD 2015, 549, 553 Rn. 74. 44 Simitis/Hornung/Spiecker/Schantz, DSGVO Art. 45 Rn. 6; Dammann/Simitis, DSRL, Art. 25 Rn. 8; Grabitz/Hilf/Nettesheim/Brühann, DSRL Art. 26 Rn. 15. 45 Hoeren/Pinelli, ZD 2020, 351, 354. 46 EuGH, U. v. 6. 10. 2015 – C-362/14 = ZD 2015, 549, 553 Rn. 73. 47 Vgl. bereits Dammann/Simitis, DSRL, Art. 25 Rn. 11. 48 Kühling/Buchner/Schröder, Art. 45 Rn. 12; Hoeren/Pinelli, ZD 2020, 351, 354. 39
A. Bedeutung und Ziele eines angemessenen Datenschutzniveaus
55
3. Verhältnismäßigkeit zu tangierten Grundrechten Das Kriterium eines angemessenen Datenschutzniveaus berührt den Schutzbereich anderer Grundrechte in der EU. Da das Grundrecht auf Datenschutz kein uneingeschränktes Recht ist,49 muss dies hinreichend bei der Auslegung eines angemessenen Datenschutzniveaus Berücksichtigung finden. a) Recht auf informationelle Selbstbestimmung Das angemessene Datenschutzniveau tangiert das in der EU geschützte50 Recht auf informationelle Selbstbestimmung eines Betroffenen. Das Grundrecht gewährleistet die Befugnis des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen.51 Diese freie Bestimmung wird eingeschränkt, da die Einwilligung in Kenntnis eines mangelnden Datenschutzniveaus eine Datenübermittlung in einen Drittstaat grundsätzlich52 nicht legitimieren kann.53 Somit ist ein „zentrales Kernelement“54 der informationellen Selbstbestimmung betroffen. Auch die allgemeine Handlungsfreiheit von Personen, die personenbezogene Daten in Drittstaaten übermitteln wollen, kann nach dem nationalen Recht der Mitgliedstaaten verletzt sein.55 In der Grundrechtecharta wurde der Schutz der allgemeinen Handlungsfreiheit hingegen bewusst nicht normiert.56 b) Unternehmensfreiheit Daten, die einen Bezug zu einer beruflichen oder geschäftlichen Tätigkeit aufweisen, werden von der Berufs- und Unternehmensfreiheit geschützt nach den Artikeln 15 und 16 Grundrechtecharta.57 Das Kriterium des angemessenen Datenschutzniveaus beschränkt die Freiheit von Unternehmen, die personenbezogene Daten in Drittstaaten übermitteln wollen.58 Dies betrifft bei Angemessenheitsentscheidungen wie Privacy Shield, die sich nur auf selbstzertifizierte Unternehmen beziehen, besonders das Recht auf freie Wahl des Vertragspartners59. Bei Über49
DSGVO EG 4 S. 1. Das Recht auf informationelle Selbstbestimmung genießt den Schutz eines Grundrechts und Menschenrechts, siehe Meyer/Hölscheidt/Bernsdorff, GR-Ch., Art 8 Rn. 14. 51 BVerfG 65, 1, 43 = NJW 1984, 419, 412. 52 Ausnahmen in Art 49 DSGVO. 53 Karg, VuR 2016, 457, 462; ULD, Positionspapier zum Safe-Harbor-Urteil, Ziff. 3. 54 Specht/Mantz/Bretthauer, § 2 Rn. 43. 55 Kühling/Buchner/Schröder, Art. 45 Rn. 12. 56 Pechstein/Nowak/Häde/Wolff, GR-Ch., Art. 6 Rn. 16. 57 Meyer/Hölscheidt/Bernsdorff, GR-Ch., Art 8 Rn. 13. 58 Art. 15, 16 GR-Ch. Kühling/Heberlein NVwZ 2016,7, 12. 59 Jarass, GR-Ch., Art. 16 Rn. 10; Meyer/Hölscheidt/Bernsdorff, GR-Ch., Art. 16 Rn. 13. 50
56
2. Kap.: Angemessenes Datenschutzniveau als Schranke
mittlungsgarantien vertraglicher Art ist besonders die geschützte freie Gestaltung und Änderung von Vertragsinhalten60 tangiert. Da ein ständiger Datenaustausch für global agierende Unternehmen Voraussetzung für die Geschäftstätigkeit ist, sind viele Grundrechtsträger von der Beschränkung der Datenübermittlungen in Drittstaaten betroffen. c) Recht auf Sicherheit Nach ständiger Rechtsprechung des EuGH stellt die Bekämpfung des internationalen Terrorismus „eine dem Gemeinwohl dienende Zielsetzung der Union dar“.61 Das Gleiche gilt auch für die Bekämpfung schwerer Kriminalität zur Gewährleistung der öffentlichen Sicherheit.62 Dieser Gedanke wurde vom EuGH in seiner Rechtsprechung insofern weiterentwickelt, dass die nationale Sicherheit und die öffentliche Ordnung eigene Schutzansprüche vermitteln.63 Der EuGH stellte insoweit fest, dass nach Art. 6 GR-Ch. jeder Mensch „nicht nur [das Recht] auf Freiheit, sondern auch auf Sicherheit hat“.64 Bei der internationalen Terrorismusbekämpfung ist zu berücksichtigen, dass die meisten EU-Mitgliedstaaten sich in den letzten Jahren wesentlich auf die Erkenntnisse der US-Ermittlungsbehörden gestützt haben.65 Für ihre Arbeit verwenden die Nachrichtendienste in den USA personenbezogene Daten aus aller Welt, was durch die Snowden-Enthüllungen bekräftigt wurde. Beschränkungen von Datenübermittlungen aus der EU in die USA tangieren die Aktivitäten der US-Geheimdienste zwangsläufig. In die Auslegung des angemessenen Datenschutzniveaus müssen daher die Sicherheitsbedürfnisse der EU-Staatsangehörige Berücksichtigung finden. d) Abwägung im Rahmen der Verhältnismäßigkeit In der Erwägungsgründen der DSGVO ist bereits am Anfang im Einklang mit der Grundrechtecharta66 festgestellt, dass das Recht auf Datenschutz nicht uneingeschränkt gilt. Diess Grundrecht „muss im Hinblick auf seine gesellschaftliche Funktion gesehen und unter Wahrung des Verhältnismäßigkeitsprinzips gegen andere Grundrechte abgewogen werden“.67 Als Teil einer Gesellschaft, die auf die Verarbeitung personenbezogener Daten angewiesen ist, müssen betroffene Personen 60
Jarass, GR-Ch., Art. 16 Rn. 10. Vgl. EuGH, – C-402/05 P u. C-415/05 P, Rn. 363. 62 EuGH, U. v. 8. 4. 2014 – C-293/12 u. C-594/12 = MMR 2014, 412, 413 Rn. 42. 63 Leuschner, Es ist wieder da: Der EuGH bestätigt das Grundrecht auf Sicherheit, 22. 02. 2016. Abrufbar unter: https://verfassungsblog.de/es-ist-wieder-da-der-eugh-bestaetigt-dasgrundrecht-auf-sicherheit/. 64 EuGH, U. v. 15. 2. 2016, C-601/15 PPU = ZAR 2016, 189, 190 Rn. 53. 65 Determann, NVwZ 2016, 561, 567. 66 Art. 52 Abs. 1 GR-Ch. 67 DSGVO EG 4 S. 1. 61
A. Bedeutung und Ziele eines angemessenen Datenschutzniveaus
57
Eingriffe in ihre Grundrechte auf Datenschutz bei dem Überwiegen anderer rechtlich geschützter Interessen hinnehmen.68 Das Recht auf Schutz personenbezogener Daten soll durch das Kriterium eines angemessenen Datenschutzniveaus gesichert werden. Daher muss dieses Grundrecht bei der Bewertung des Rechts im Drittstaat gegen im Einzelfall tangierte Grundrechte abgewogen werden. Dieses Abwägungserfordernis hat der EuGH in dem Urteil zu Schrems I erkannt, denn er weist darauf hin, dass grundrechtsbeeinträchtigende Regelungen der DSRL „notwendigerweise im Lichte der durch die Charta garantierten Grundrechte auszulegen sind“.69 Allerdings schränkte der EuGH den Wertungsspielraum bei dieser Abwägung aufgrund der großen Anzahl betroffener Grundrechteträger von Datenübermittlungen in Drittsaaten ein.70 Die EU-Kommission habe sich bei der Auslegung des angemessenen Datenschutzniveaus „strikt“ an die Grundrechte zuhalten.71 Da die EU-Kommission als Organ der EU ohnehin an ihre Grundrechte gebunden ist, ist die Rechtsprechung des EuGH als Ermahnung zu werten, dass andere durch das fünfte Kapitel der DSGVO verfolgte Interessen und tangierte Grundrechte nachrangig sind.72 Ein binnenmarktrechtlicher Schwerpunkt bei der Auslegung eines angemessenen Datenschutzniveaus ist auch seit der Aufnahme der Grundrechtecharta in das Primärrecht der Union73 nicht mehr geboten.74 e) Hohes Schutzniveau als Leitlinie Der europäische Generalstaatsanwalt hat in Schrems I darauf hingewiesen, dass „das Ziel der Erreichung eines hohen Schutzniveaus der Grundrechte [..], die einzige Leitlinie für die Auslegung des angemessenen Datenschutzniveaus sein“ sollte.75 Somit wird bekräftigt, dass eine im Rahmen der Bewertung des angemessenen Datenschutzniveaus erfolgende Abwägung mit einer schwereren Gewichtung des Datenschutzes erfolgen muss. f) Wesensgehalt des Grundrechts auf Datenschutz Nach der Grundrechtecharta muss jede Einschränkung von Grundrechten weiterhin ihren Wesensgehalt beachten.76 Die absolute Grenze einer Datenübermittlung 68
Roßnagel, NJW 2019, 1, 3. EuGH, U. v. 6. 10. 2015 – C-362/14 = ZD 2015, 549, 550 Rn. 38. 70 EuGH, U. v. 6. 10. 2015 – C-362/14 = ZD 2015, 549, 553 Rn. 78; Weichert, Privacy Shield – Darstellung und rechtliche Bewertung, S. 26. 71 EuGH, U. v. 6. 10. 2015 – C-362/14 = ZD 2015, 549, 553 Rn. 78. 72 Simitis/Hornung/Spiecker/Schantz, DSGVO, Art. 45 Rn. 6. 73 Art. 6 Abs. 1 EUV. 74 Vgl. Meyer/Hölscheidt/Bernsdorff, Charta der Grundrechte der EU, Art. 8 Rn 21. 75 Bot, Schlussanträge zur Rs. C-362/14, Rn. 142. 76 Art. 52 Abs. 1 S. 1 GR-Ch. 69
58
2. Kap.: Angemessenes Datenschutzniveau als Schranke
in einen Drittstaat ist somit dann erreicht, wenn ihre Konsequenz so unerträglich ist, dass sie mit dem Wesen des Grundrechts auf Datenschutz unvereinbar ist.77 Wird der Kern des Grundrechts auf Datenschutz durch eine Datenübermittlung in einen Drittstaat so stark eingeschränkt, dass es „praktisch ausgehöhlt“ wird, dann müssen kollidierende Grundrechte zurücktreten. Eine Datenübermittlung kann in einem solchen Fall nicht mehr gerechtfertigt werden.78 Bei der völligen Missachtung fundamentaler Inhalte eines Rechts kann davon ausgegangen werden, dass ein Grundrecht in seinem Wesen angetastet ist.79 Die Beachtung des Wesensgehalts des Datenschutzes ist für Datenübermittlungen in die USA von besonderer Bedeutung. Der EuGH hat in Schrems I zum US-Recht erklärt, dass die Erlaubnis, generell auf den Inhalt elektronischer Kommunikation zuzugreifen, den Wesensgehalt des Grundrechts auf Datenschutz verletzt.80 Darüber hinaus hat der EuGH bei Datenübermittlungen in die USA den Wesensgehalt eines weiteren Grundrechts als verletzt eingestuft. Ohne Möglichkeit die Rechte auf Zugang, Berichtigung oder Löschung zu erwirken, sieht der EuGH den Wesensgehalt des Grundrechts auf einen wirksamen gerichtlichen Rechtsschutz angetastet81.82 Daher müssen Lösungen für Datenübermittlungen in die USA zwingend vorsehen, dass der Wesensgehalt der Grundrechte auf Datenschutz und auf Gewährung eines wirksamen gerichtlichen Rechtsschutzes gewahrt werden.
V. Zwischenergebnis Die EU-Kommission berücksichtigt beim Erlass von Angemessenheitsentscheidungen verschiedene Ziele einer Datenübermittlung. Der freie Datenverkehr zur Stärkung des Handels und die Wahrung eines hohen Grundrechteschutzes sind zwangsläufig einer Kollision ausgeliefert. Da die DSGVO beide Ziele anstrebt, weist sie einen „hybriden Charakter“83 auf. Diesem tritt die Rechtsprechung des EuGH dadurch entgegen, dass der Schwerpunkt eindeutig auf den hohen Grundrechteschutz gelegt wird. Dies muss bei der Bewertung von Datenübermittlungen in die USA beachtet werden.
77 Schwarze/Becker/Hatje/School/Becker, GR-Ch., Art. 52 Rn. 7; Amborck/Karg, ZD 2017, 154, 158. 78 Amborck/Karg, ZD 2017, 154, 158. 79 EuGH, U. v. 23. März 2006, C-408/03, Rn. 68; Schwarze/Becker/Hatje/School/Becker, GR-Ch., Art. 52 Rn. 7. 80 EuGH, U. v. 6. 10. 2015 – C-362/14 = ZD 2015, 549, 555 Rn. 98. 81 Art. 47 Abs. 1 GR-Ch. 82 EuGH, U. v. 6. 10. 2015 – C-362/14 = ZD 2015, 549, 555 Rn. 95. 83 Vgl. zur DSGVO Körner, NZA 2016, 1383, 1386.
B. Kriterien für ein angemessenes Datenschutzniveau
59
B. Kriterien für ein angemessenes Datenschutzniveau Die DSGVO enthält einen ausführlichen Katalog mit Kriterien, welche die EUKommission bei der Prüfung der Angemessenheit des Datenschutzniveaus zu berücksichtigen hat. Untergliedert in drei Absätze wird die Prüfung folgender Umstände im Drittstaat angeordnet: (1.) Das „Datenschutzregime“84, (2.) die Existenz und Funktionsweise unabhängiger Aufsichtsbehörden und (3.) die internationalen Verpflichtungen des Drittstaats. Die Aufzählung der Merkmale ist nicht abschließend.85 Mithin können im konkreten Übermittlungsfall weitere, nicht in der DSGVO vorgesehene Umstände in die Bewertung einbezogen werden.86
I. Datenschutzregime 1. Werte der EU Zur Wahrung der herrschenden Grundwerte der Union soll die Gewährleistung der Rechtsstaatlichkeit, die Achtung der Menschenrechte und Grundfreiheiten im Drittstaat untersucht werden.87 Dadurch wird ein Mindestmaß an bestehenden Menschenrechten und Grundfreiheiten im Drittstaat gefordert, der vor den gemeinsamen Werten und Grundrechten in der EU ausgelegt werden muss.88 Daher muss insbesondere die Verhältnismäßigkeit von Eingriffen in Datenschutzrechte gewährleistet sein.89 Dies zeigt die Intention des Gesetzgebers, die Geltung der Grundwerte der EU in Drittstaaten zu fördern.90 2. Einschlägiges Recht Der Fokus des Kriterienkatalogs liegt auf Vorschriften, die bei der Verarbeitung im Drittstaat einschlägig sind. Das können einschlägige Normen „sowohl allgemeiner als auch sektoraler Art“ sein, was besonders den USA als Staat ohne einheitliches Datenschutzrecht zugutekommt. Eine besondere Rolle zur Aufrechterhaltung des angemessenen Datenschutzniveaus nehmen dabei Vorschriften für die „Weiterübermittlung“ personenbezogener Daten ein.91 Dadurch wird auf die not84
Paal/Pauly, DSGVO, Art. 45 Rn. 4a. Art. 45 Abs. 2 DSGVO: „insbesondere“. 86 Taeger/Gabel, DSGVO, Art. 45 Rn. 5. 87 DSGVO EG 104 S. 1. 88 Vgl. Art. 1 Abs. 2, Art. 2 EUV iVm Art. 3 Abs. 5 EUV; Art. 7, 8 GR-Ch.; Paal/Pauly, DSGVO, Art. 45 Rn. 4c; Sydow/Towfigh/Ulrich, DSGVO Art. 45 Rn. 11. 89 EuGH, U. v. 6. 10. 2015 – C-362/14 = ZD 2015, 549, 553 Rn. 88, 90 ff.; Karg, VuR 2016, 457, 461. 90 Vgl. DSGVO EG 104; Karg, VuR 2016, 457, 461. 91 Art. 44 S. 1 Hs. 2, 45 Abs. 2 lit. a DSGVO. 85
60
2. Kap.: Angemessenes Datenschutzniveau als Schranke
wendige Verantwortung des ersten Empfängers personenbezogener Daten im Drittstaat abgestellt, einen angemessenen Schutz für künftige Weiterübermittlungen sicherzustellen.92 Im Einklang mit der Rechtsprechung zu Schrems I wurde nun ausdrücklich in der DSGVO aufgenommen, dass das Vorliegen wirksamer Rechtsbehelfe für betroffene Personen im Drittstaat zu prüfen ist. Ein weiteres in der DSGVO genanntes Kriterium, das auf die Anwendung und Durchsetzung des Rechts abstellt, ist die Rechtsprechung. Da die Angemessenheit eine Gleichwertigkeit zur EU verlangt, erlaubt dieses Kriterium ausdrücklich die Rechtsprechung in der EU als Vergleichsmaßstab zu wählen. Dies ist insbesondere für die EU-Rechtsprechung zu Behördenzugriffen auf Daten von Bedeutung. In diesem Zusammenhang wird im Kriterienkatalog der DSGVO zudem explizit hervorgehoben, dass sich die Prüfung der Normen im Drittstaat auch auf solche mit Bezug zur nationalen Sicherheit erstreckt. Ausdrücklich ist auch der „Zugang von Behörden zu personenbezogenen Daten“ in die Bewertung miteinzubeziehen. Diese Kriterien wurden als Folge der Schrems-Entscheidungen und dessen Auslöser in Form der Snowden-Enthüllungen in der DSGVO aufgenommen.93 Deshalb spielen sie eine überragende Rolle für die Bewertung des Datenschutzniveaus in den USA. 3. Unabhängige Aufsichtsbehörde Die Überwachung der Einhaltung des Datenschutzgrundrechts von einer unabhängigen Stelle ist bereits primärunionsrechtlich in Artikel 8 Absatz 3 Grundrechtecharta niedergeschrieben. Im Katalog der DSGVO wird dieses Kriterium besonders dadurch hervorgehoben, dass es selbstständig aufgeführt wird und nicht im Rahmen des Datenschutzregimes.94 Dabei wird ferner betont, dass „die Existenz und wirksame Funktionsweise“ für die Bewertung der Aufsichtsbehörde maßgeblich ist. Somit kommt es im Einklang mit dem Verständnis des funktionalen Vergleichs nicht formal auf das Vorhandensein von Aufsichtsbehörden an, sondern um die tatsächliche Möglichkeit, einen wirksamen Schutz personenbezogener Daten zu gewährleisten.
II. Internationale Verpflichtungen Völkerrechtliche Verpflichtungen gegenüber einzelnen oder mehreren Staaten, die Datenverarbeitungen tangieren, können ebenso in die Bewertung des Drittstaats
92 93 94
Artikel 29-Datenschutzgruppe, WP 254, S. 6. Vgl. Sydow/Towfigh/Ulrich, DSGVO, Art. 45 Rn. 11. Siehe Art. 45 Abs. 2 lit. b DSGVO.
C. Endergebnis
61
eingebunden werden. Dies gilt allerdings nur, solange sie das Datenschutzniveau der Union nicht untergraben.95
C. Endergebnis Aufgrund der Tatsache, dass der EuGH einen auf Grundrechten basierenden Ansatz verfolgt und die EU-Kommission eine breitere Perspektive einnimmt, entstehen Missverständnisse bei der Auslegung eines angemessenen Datenschutzniveaus. Safe Harbor und Privacy Shield sind Musterbeispiele dafür. Da allein der EuGH dazu befugt ist, die Ungültigkeit einer Angemessenheitsentscheidung festzustellen96 und seine Rechtsprechung durch ausdrückliche Nennung im Kriterienkatalog unmittelbar als Vergleichsmaßstab einbezogen werden kann, ist das angemessene Datenschutzniveau vor dem grundrechtlichen Schwerpunkt auslegen. Das bedeutet ferner, dass alle Kriterien aus Artikel 45 Absatz 2 DSGVO bei der Bewertung des Drittstaates überprüft werden müssen.97 Ist der Schutz bei einem dieser Kriterien nicht angemessen, muss überprüft werden, ob der Schutz auf effektive Weise98 durch andere Rechte und Maßnahmen ausgeglichen wird.99 In jedem Fall sind im Einklang mit der Rechtsprechung des EuGH die Wesensgehalte der Grundrechte auf Datenschutz und auf einen effektiven Rechtsbehelf streng zu achten. Vor dem Hintergrund, dass alle Kriterien im Drittstaat reflektiert werden müssen, unterliegt der milde Wortlaut, der lediglich eine „Berücksichtigung“ verlangt und dabei auf Zusätze wie „zwingend“ verzichtet, Kritik.100 Dazu ist anzumerken, dass die Anforderungen der DSGVO an Datenübermittlungen in Drittstaaten zwar sehr hoch sind, der Kriterienkatalog jedoch eine gewisse Flexibilität bietet, die nicht verkannt werden darf. So können Aspekte des Kriterienkatalogs dann unberücksichtigt bleiben, wenn sie auf den konkreten Übermittlungsfall nicht anwendbar sind.101 Dafür spricht die Berücksichtigung der „eingegangenen internationalen Verpflichtungen“, ohne deren Vorhandensein dennoch eine Angemessenheitsentscheidung bei einem anderweitigen hinreichenden Schutz im Drittstaat möglich sein muss.102 Der breite Kriterienkatalog ermöglicht es zudem, den besonderen Umständen von Übermittlungen im Einzelfall gerecht zu werden. Aufgrund des nicht 95
DSGVO EG 102 S. 2, Klug/Gola, DSGVO, Art. 45 Rn. 8 EuGH, U. v. 6. 10. 2015 – C-362/14 =ZD 2015, 549, 553 Rn. 61. 97 Kühling/Buchner/Schröder, Art. 45 Rn. 15. 98 Vgl. zur Funktionalität: Simitis/Hornung/Spiecker/Schantz, DSGVO Art. 45 Rn. 6; Dammann/Simitis, DSRL, Art. 25 Rn. 8; Grabitz/Hilf/Nettesheim/Brühann, DSRL Art. 26 Rn. 15. 99 Vgl. Taeger/Gabel, DSGVO, Art. 45 Rn. 5. 100 Sydow/Towfigh/Ulrich, DSGVO Art. 45 Rn. 29. 101 Ehmann/Helfrich, DSRL, Art. 25 Rn. 13. 102 Vgl. Kühling, Taeger/Gabel, DSGVO, Art. 45 Rn. 5. 96
62
2. Kap.: Angemessenes Datenschutzniveau als Schranke
abschließenden Wortlauts sind zudem darüber hinausgehend alle Umstände der Datenübermittlung, die auf das Datenschutzniveau in den USA einwirken können, bei der Bewertung der Angemessenheit zu berücksichtigen.
Drittes Kapitel
EU-Datenschutzrechtsniveau als Vergleichsmaßstab Die Anforderungen an Übermittlungen personenbezogener Daten in Drittstaaten werden durch das Erfordernis der Gleichwertigkeit des Datenschutzniveaus unmittelbar vom EU-Recht beeinflusst. Durch den Schutz personenbezogener Daten als Grundrecht in der EU wird ein hoher Standard als Vergleichsmaßstab gesetzt, der in der DSGVO aufrechterhalten wird. Mit dem Erlass der DSGVO hat die EU ihr ambitioniertestes sekundärrechtliches Vorhaben realisiert und ihr Datenschutzniveau weltweit gegenüber anderen Wirtschaftsmächten als Standard durchgesetzt.1 Welchen Schutz dieser Standard nach erster Reformierung des europäischen Datenschutzes seit zwanzig Jahren bedeutet, um als Grundlage für die anschließende Prüfung der Angemessenheit zu dienen, wird im ersten Teil dieses Kapitels dargestellt (Teil A.). Die DSGVO sieht keine Pflichten für Behörden vor, die personenbezogene Daten zugunsten der nationalen Sicherheit verarbeiten.2 Die Definierung eines in der EU herrschenden Datenschutzniveaus stellt im Bereich der nationalen Sicherheit eine Herausforderung dar, da dieser Bereich allgemein nicht unionsrechtlich geregelt ist.3 Konkrete Anforderungen in diesem Bereich sind für die Bewertung des US-Rechts besonders relevant, da der EuGH in beiden Schrems-Entscheidungen Zugriffe der US-Nachrichtendienste als unvereinbar mit dem Recht der EU erklärt hat. Welche Anforderungen an Zugriffe von Behörden gestellt werden können, wird im zweiten Teil des dritten Kapitels untersucht (Teil B.).
A. Hohes Datenschutzniveau unter der DSGVO als Vergleichsmaßstab Die DSGVO ist der Ausgangspunkt für die Bewertung eines angemessenen Datenschutzniveaus in den USA, weil sie das europäische Grundrecht auf Datenschutz durch ihre umfassenden Regelungen konkretisiert. Sie findet sowohl auf Datenverarbeitungen von privaten als auch öffentlichen Stellen Anwendung. Da-
1 2 3
Simitis/Hornung/Spiecker, Datenschutzrecht, Einleitung, Rn. 203, 206. DSGVO EG 16. DSGVO EG 16; Art. 4 Abs. 2 S. 3 EUV.
64
3. Kap.: EU-Datenschutzrechtsniveau als Vergleichsmaßstab
tenschutzrechtliche Regelungen in den USA müssen somit unabhängig von ihrem Adressaten gleichwertig zur DSGVO sein.
I. Datenschutzgrundsätze Die Datenschutzgrundsätze werden gebündelt in Artikel 5 DSGVO aufgeführt. Sie spielen eine elementare Rolle für die Bewertung des Datenschutzniveaus in Drittstaaten, weil sie die allgemeinen Regelungen zum Grundrecht auf Datenschutz4 und der Datenschutzkonvention Nr. 108 des Europarats5 konkretisieren.6 Die Grundsätze prägen die DSGVO, weil sie an verschieden Stellen der DSGVO widergespiegelt und weiterentwickelt7 werden. Aus ihnen resultieren verschiedene Handlungsanweisungen für alle Beteiligten einer Datenverarbeitung.8 Zudem leiten die Grundsätze das Handeln von Aufsichtsbehörden.9 Im Gegensatz zu den Datenschutzgrundsätzen in der DSRL beanspruchen sie eine direkte Befolgungspflicht.10 Aufgrund der Wichtigkeit dieser Grundsätze für den europäischen Grundrechteschutz und der Tatsache, dass betroffene Personen einen Anspruch auf Beibehaltung des Grundrechteschutzes im Drittstaat haben,11 sollten Datenverarbeitungen im Drittstaat den Grundgedanken dieser Grundsätze widerspiegeln. 1. Rechtmäßigkeit, Fairness und Transparenz Personenbezogene Daten müssen rechtmäßig verarbeitet werden. Der Grundsatz entspricht dem in der EU geltenden Verbot einer Datenverarbeitung mit Erlaubnisvorbehalt.12 Dementsprechend obliegt Verantwortlichen die Legitimierung jeder einzelnen Verarbeitungshandlung. Die einzelnen Verarbeitungshandlungen müssen auf einer fairen Weise erfolgen.13 Dies bringt das Verbot einer unzulässigen Rechtsausübung zum Nachteil der betroffenen Person zum Ausdruck.14 Zudem 4
Art. 8 Abs. 2 GR-Ch.,16 Abs. 2 AEUV, 8 EMRK. Art. 5 der Konvention Nr. 108 des Europarats zur Qualität der Daten vom 28. 1. 1981. 6 Simitis/Hornung/Spiecker/Roßnagel, DSGVO, Art. 5 Rn. 3. 7 Albrecht, Albrecht, CR 2016, 88, 91. 8 Simitis/Hornung/Spiecker/Roßnagel, DSGVO, Art. 5 Rn. 4; Sydow/Reimer, DSGVO, Art. 5 Rn. 9. 9 Simitis/Hornung/Spiecker/Roßnagel, DSGVO, Art. 5 Rn. 4. 10 Kühling/Buchner/Herbst, DSGVO, Art. 5 Rn. 1. 11 Siehe 2. Kapitel dieser Arbeit. 12 Art. 8 Abs. 2 S. 1 GR.-Ch; Beck OK/Schantz, DSGVO, Art. 6 Rn. 5, Ehmann/Selmayr/ Heberlein, DSGVO, Art. 5 Rn. 8; Kühling/Buchner/Herbst, DSGVO Art. 5 Rn. 8. 13 Basierend auf anderen offiziellen Sprachversionen wird der Wortlaut der DSGVO, der auf „Treu und Glauben“ abstellt, als Forderung nach einer „fairen“ Datenverarbeitung verstanden, siehe Paal/Pauly/Frenzel, DSGVO, Art. 5 Rn. 18 ff. 14 Ehmann/Selmayr/Heberlein, DSGVO Art. 5 Rn. 9. 5
A. Hohes Datenschutzniveau unter der DSGVO als Vergleichsmaßstab
65
gewährt der Grundsatz der Fairness die Einbeziehung der vernünftigen Erwartungshaltung des Betroffenen, wenn das Gesetz einen entsprechenden Raum für solche Erwägungen zulässt.15 Durch den Grundsatz der Transparenz wird hervorgehoben, dass heimliche Datenverarbeitungen nicht erlaubt sind.16 2. Zweckbindung und zusammenhängende Grundsätze Eine Verarbeitung personenbezogener Daten hat einen legitimen und eindeutigen Zweck zu verfolgen, der zum Zeitpunkt der Datenverarbeitung feststehen muss.17 Bereits die erstmalige Datenerhebung, aber auch alle darauffolgenden Verarbeitungsvorgänge müssen geeignet sein, diesem Zweck zu dienen oder mit ihm vereinbar zu sein. Mithin handelt es sich um einen richtungsweisenden Grundsatz der Datenverarbeitung.18 Anknüpfend an diesen Grundsatz hat eine Datenverarbeitung angemessen, erheblich und auf das für die Erfüllung des Zwecks notwendige Maß beschränkt zu sein.19 Somit setzt die Datenminimierung die Einhaltung des Grundsatzes der Verhältnismäßigkeit voraus,20 geht aber auch über dessen Anforderungen hinaus.21 Die Datenminimierung erfordert zudem, dass Daten qualitativ und quantitativ auf das notwendige Maß in Bezug auf den verfolgten Zweck begrenzt werden.22 Dafür müssen personenbezogene Daten, die sachlich nicht richtig oder auf dem neusten Stand sind, gelöscht werden.23 Die betroffene Person hat ausdrücklich ein Recht auf Korrektur.24 Zudem soll eine Speicherung personenbezogener Daten nur so lange erfolgen, wie es für den Verarbeitungszweck „unbedingt“25 erforderlich ist.26
15 Ehmann/Selmayr/Heberlein, DSGVO Art. 5 Rn. 10; Spindler/Schuster/Dalby, DSGVO, Art. 5 Rn. 5. 16 Kühling/Buchner/Herbst, DSGVO, Art. 5 Rn. 18. 17 Art. 8 Abs. 2 S. 1 GR-Ch; Art. 5 Abs. 1 lit. b DSGVO. 18 Dammann, ZD 2016, 307, 311; Specht, GRUR Int. 2017, 1040, 1043. 19 Art. 5 Abs. 1 lit.c DSGVO. 20 Franzen/Gallner/Oetker, DSGVO, Art. 5 Rn. 7. 21 Ehmann/Selmayr/Heberlein, DSGVO Art. 5 Rn. 22; Spindler/Schuster/Dalby, DSGVO, Art. 5 Rn. 12. 22 Paal/Pauly/Frenzel, DSGVO, Art. 5 Rn. 34. 23 Art. 5 Abs. 1 lit. d DSGVO; Kühling/Buchner/Herbst, Art. 5 Rn. 61 ff. 24 Art. 16 DSGVO. 25 EG DSGVO 39 S. 6. 26 Art. 5 Abs. 1 lit. e DSGVO.
66
3. Kap.: EU-Datenschutzrechtsniveau als Vergleichsmaßstab
3. Integrität und Vertraulichkeit Personenbezogene Daten sollen durch geeignete technische und organisatorische Maßnahmen geschützt werden.27 Dieser Grundsatz zielt darauf ab, hinreichende Schutzmaßnahmen gegen unbefugte und unrechtmäßige Verarbeitungen durch Dritte und gegen unbeabsichtigte Schadensereignisse zu treffen.28 Sie orientieren sich an den konkreten Risiken für den Eintritt solcher Folgen.29 4. Rechenschaftspflicht Die Verantwortung für die Einhaltung der genannten Grundsätze liegt bei der für die Datenverarbeitung verantwortlichen Person.30 Die DSGVO ergänzt diese Verantwortungszuweisung erstmalig durch die sog. Rechenschaftspflicht, die dem Verantwortlichen einen entsprechenden Nachweis auferlegt.31 Der Umfang der Nachweispflicht hängt vom konkreten Risiko der Datenverarbeitung für die Rechte und Freiheiten der betroffenen Person ab.32 In diesem Sinne enthält die DSGVO Schutzmaßnahmen, deren Vornahme nicht pauschal vorgeschrieben ist, sondern der Entscheidung des Verantwortlichen unterliegt. Datenverarbeitungen, die ein geringes Risiko für die betroffene Person bergen, lassen weniger strenge Maßnahmen zu und können sogar im Einzelfall einzelne Handlungspflichten gänzlich entbehren.33 Für die Entscheidung über die konkreten Schutzmaßnahmen hat der Verantwortliche die Risiken und Umstände im Einzelfall zu berücksichtigen.34 Insgesamt veranlasst die DSGVO den Verantwortlichen, Eigenverantwortung für die Datenverarbeitung zu übernehmen.35
II. Rechtmäßigkeit der Datenverarbeitung In der Union gilt der Grundsatz, dass jeder Eingriff in das Recht auf Datenschutz und somit jede Datenverarbeitung einer Einwilligung der betroffenen Person oder einer anderen gesetzlich geregelten Legitimierung bedarf.36 Andernfalls ist die Datenverarbeitung von vorneherein rechtswidrig. Das Erfordernis, eine Datenverarbeitung auf eine gesetzliche Grundlage zu stützen, ist in den primären Quellen des 27 28 29 30 31 32 33 34 35 36
Art. 5 Abs. 1 lit. f DSGVO. Sydow/Reimer, DSGVO, Art. 45 Rn. 47 ff. Art. 32 Abs. 2 DSGVO. Art. 5 Abs. 2, Art. 4 Nr. 7 DSGVO. Art. 5 Abs. 2 DSGVO. Veil, ZD 2018, 9, 13 ff. Veil, ZD 2018, 9, 13. Vgl. Art. 30 Abs. 1, 5; 35 Abs. 1; 36 Abs. 1; 37. Albrecht/Jotzo, 55 Rn. 18; Frenzel/Paal/Pauly, DSGVO, Art. 5 Rn. 52. Art. 6 DSGVO, Art. 8 Abs. 2 S. 1 GR-Ch.
A. Hohes Datenschutzniveau unter der DSGVO als Vergleichsmaßstab
67
Unionrechts verankert37 und findet daher bei der Bewertung des US-Rechts besondere Beachtung. 1. Einwilligung Mit dem Eintritt der DSGVO sind die Anforderungen an die Erteilung einer wirksamen Einwilligung durch die betroffene Person gestiegen. Stillschweigen, Untätigkeit oder mangelnder Widerspruch zu vorformulierten Einwilligungen, sog. Opt-Out, lassen sich nicht mehr als Einwilligung qualifizieren.38 Während der BGH Einwilligungen durch Opt-Out etwa durch vorangekreuzte Kästchen in der Vergangenheit als wirksam eingeschätzt hat,39 ist diese Art der Einholung der Einwilligung nun ausdrücklich nicht mehr ausreichend, um dem Betroffenen eine „echte Wahl“40 über die Verarbeitung zu ermöglichen.41 Es bedarf daher einer freiwilligen, unmissverständlichen und in informierter Weise abgegebenen Willensbekundung.42 Sie sollte durch eine eindeutige bestätigende Handlung erfolgen.43 Dabei muss sie für einen konkreten Fall abgegeben werden und sich auf einen oder mehrere bestimmte Zwecke beziehen.44 2. Weitere Legitimierungen Sofern keine wirksame Einwilligung erteilt wurde, ist die Verarbeitung personenbezogener Daten dennoch gerechtfertigt, wenn mindestens ein anderer Legitimierungsgrund aus der DSGVO die Datenverarbeitung rechtfertigt. a) Im Interesse des Betroffenen In diesem Sinne sieht die DSGVO eine Rechtfertigung der Datenverarbeitung vor, wenn sie im Interesse der betroffenen Person erfolgt. Dies ist der Fall, wenn sie zur Erfüllung eines Vertrages mit der betroffenen Person oder zum Schutze ihrer lebenswichtigen Interessen erforderlich ist.45
37 38 39 40 41 42 43 44 45
Art. 8 Abs. 2, 52 Abs. 1 GR-Ch., Art. 8 Abs. 2 EMRK. EG DSGVO 32 S. 3. BGH, U. v. 11. 11. 2009 – VIII ZR 12/08, NJW 2010, 864 ff. DSGVO EG 42 S. 5. DSGVO EG 32 S. 3. Art. 4 Nr. 11 DSGVO. DSGVO EG 32 S. 1. Art. 4 Nr. 11 DSGVO; DSGVO EG 32 S. 4. Art. 6 Abs. 1 lit. b, d DSGVO.
68
3. Kap.: EU-Datenschutzrechtsniveau als Vergleichsmaßstab
b) Verpflichtungen zur Verarbeitung Eine Verarbeitung ist ferner dann legitimiert, wenn private oder öffentliche46 Stellen dadurch eine rechtliche Verpflichtung erfüllen oder die Verarbeitung in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde.47 Die Mitgliedstaaten haben das Recht zur innerstaatlichen Spezifizierung dieser Fallkonstellationen.48 Allerdings führt dies zu keiner Ausdehnung der aufgezählten Legitimierungsgründe.49 Eine entsprechende mitgliedstaatliche Norm muss angemessen zum im öffentlichen Interesse liegenden verfolgten Ziel sein.50 c) Überwiegende Interessen bei Verarbeitung durch Private Außerdem kann eine Verarbeitung zur Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten gerechtfertigt sein, sofern nicht die Belange des Betroffenen überwiegen.51 Um auf diese Rechtfertigung zurückzugreifen, ist stets eine Abwägung im Einzelfall erforderlich.52 Dabei müssen in besonderem Maße die vernünftigen Erwartungen der betroffenen Person einbezogen werden, insbesondere, ob mit der Verarbeitung gerechnet werden musste.53 Die DSGVO verweist dabei ausdrücklich auf die Interessen von Kindern, weshalb diese eine besonders schutzwürdige Position bei der Abwägung genießen.54 Es ist anzumerken, dass dieser Rechtfertigungsgrund nur für Private gilt und nicht als Auffangtatbestand für öffentliche Stellen fungieren kann.55 In diesem Fall ist der Gesetzgeber zuständig für die Schaffung von Rechtsgrundlagen.56 3. Besonders schutzbedürftige Datenverarbeitungen In der EU unterliegt die Zulässigkeit der Verarbeitung von als sensibel eingestuften Daten, sog. „besondere Kategorien personenbezogener Daten“57, verschärften Regeln. Entsprechend ist die Verarbeitung solcher personenbezogenen Daten verboten, aus denen die rassische und ethnische Herkunft, politische Mei46
Paal/Pauly/Frenzel, DSGVO, Art. 6 Rn. 18. Art. 6 Abs. 1 lit. c, e DSGVO. 48 Art. 6 Abs. 2 DSGVO. 49 BeckOK/Albers, DSGVO, Art. 6 Rn. 43. 50 Art. 6 Abs. 2 S. 3 DSGVO. 51 Art. 6 Abs. 1 lit. f DSGVO. 52 Albrecht/Jotzo; Rn. 51, DSGVO EG 47 S. 3. 53 EG DSGVO 47 S. 1; Ehmann/Selmayr/Heberlein, DSGVO Art. 5 Rn. 10. 54 Art. 6 Abs. 1 lit. f DSGVO. 55 DSGVO EG 47; Paal/Pauly/Frenzel, DSGVO, Art. 6 Rn. 26; Spindler/Dalby/Schuster, DSGVO, Art. 6 Rn. 13. 56 DSGVO EG 47; Ehmann/Selmayr/Heberlein, Art 6 Rn. 24, DSGVO. 57 Überschrift Art. 9 DSGVO. 47
A. Hohes Datenschutzniveau unter der DSGVO als Vergleichsmaßstab
69
nungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen. Zusätzlich dazu ist die Verarbeitung von Gesundheitsdaten und Daten zum Sexualleben und der sexuellen Orientierung untersagt. Diese Auflistung wurde mit dem Eintritt der DSGVO um genetische und biometrische Daten erweitert, was besonders der vermehrten Nutzung entsprechender Verifizierungsmaßnahmen wie Fingerabdrücken oder Facescreenings entgegenkommt.58 Die Verarbeitung entsprechender Daten ist nur in strengen Ausnahmefällen erlaubt. Eine Einwilligung ist nur zulässig, wenn sich diese ausdrücklich auf die Verarbeitung dieser besonderen Kategorien personenbezogener Daten bezieht.59 Eine ausdrückliche Einwilligung ist zudem für das Profiling und automatisierte Entscheidungen, die zu einer erheblichen Entscheidung ohne jegliche menschliche Einflussnahme führen, vorgesehen.60 Solche Datenverarbeitungen unterliegen strengeren Vorgaben.61 4. Zwischenergebnis Aufgrund der primärrechtlichen Verankerung des Rechtmäßigkeitsgrundsatzes muss in den USA besonders darauf geachtet werden, ob Betroffenen eine „echte Wahl“62 bei Datenverarbeitungen überlassen wird oder alternativ Gründe für Datenverarbeitungen gefordert werden, die vergleichbar mit Artikel 6 DSGVO sind. Zudem sollte das US-Recht strenge Schutzmaßnahmen für besonders schutzbedürftige Datenverarbeitungen vorsehen, um vergleichbar zur DSGVO zu sein.
III. Rechte der betroffenen Personen 1. Informationspflichten in Bezug auf die Datenverarbeitung Die Ausübung von in der DSGVO gewährten Betroffenenrechten setzt die Kenntnis über die Verarbeitung der eigenen personenbezogenen Daten voraus. Deshalb sieht die DSGVO bereits zum Zeitpunkt der Erhebung der Daten eine umfassende Pflicht zur Bereitstellung der Informationen über eine Datenverarbeitung vor.63 Dies schließt Informationen über eine beabsichtigte Datenübermittlung in einen Drittstaat und das Bestehen einer Angemessenheitsentscheidung ein.64 58
Vgl. Art. 9 Abs. 1 DSGVO und zuvor Art. 8 Abs. 1 DSRL. Art. 9 Abs. 2 lit. a DSGVO. 60 Art. 22 Abs. 2 lit c DSGVO. 61 Paal/Pauly/Martini, DSGVO, Art. 22 Rn. 16. Zum Beispiel muss über die involvierte Logik und die geplante Verarbeitungsauswirkung der automatisierten Entscheidungsfindung informiert werden, siehe Art. 13 Abs. 2 lit. f DSGVO. 62 DSGVO EG 42 S. 5. 63 Art. 13 DSGVO. 64 Art. 13 Abs. 1 lit. f DSGVO. 59
70
3. Kap.: EU-Datenschutzrechtsniveau als Vergleichsmaßstab
2. Auskunftsrecht und der Erhalt von Kopien Die Informationen, die im Rahmen der Informationspflicht mitgeteilt werden, sind vom Verantwortlichen auch dann zur Verfügung zu stellen, wenn der Betroffene von seinem Auskunftsrecht Gebrauch macht.65 Dieses in der Grundrechtcharta66 gewährte Recht stellt ein wesentliches Mittel zur Durchsetzung des Rechts auf informationelle Selbstbestimmung dar.67 Es soll ermöglicht werden, dass die betroffene Person die Verarbeitung sie betreffender Daten nachvollziehen kann und in der Lage ist, die Rechtmäßigkeit der Datenverarbeitung selbst zu überprüfen.68 Der betroffenen Person wird zudem das Recht zuteil, einen Antrag auf den Erhalt der Kopien der verarbeiteten personenbezogenen Daten zu stellen.69 An die Form der Kopien werden keine weiteren Anforderungen gestellt, als dass zur Beantwortung eines elektronischen Antrages, die Informationen in einem gängigen elektronischen Format zur Verfügung gestellt werden sollen.70 3. Recht auf Datenübertragbarkeit In der DSGVO wurde mit dem Recht auf Datenübertragbarkeit, auch Datenportabilität genannt, ein neues Recht eingeführt.71 Verglichen mit dem bereits in der DSRL bestehenden Recht auf Erhalt der Kopien72 soll es Betroffenen eine größere Kontrolle über ihre Daten ermöglichen.73 Dies wird durch das Recht umgesetzt, personenbezogene Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Soweit technisch möglich, kann die betroffene Person erwirken, dass die personenbezogenen Daten direkt an einen Dritten übermittelt werden.74 Das neue Recht auf Datenübertragbarkeit ist bedeutend, weil es das Selbstbestimmungsrecht betroffener Personen fördert. Durch die größere Kontrolle über die eigenen Daten ermöglicht das Recht ein neues Gleichgewicht zwischen betroffenen Personen und Verantwortlichen.75 Das Recht auf Datenübertragbarkeit kann nur für solche personenbezogenen Daten beansprucht werden, die der Betroffene selbst zur Verfügung gestellt hat und 65 66 67
Rn. 5. 68 69 70 71 72 73 74 75
Art. 15 DSGVO. Art. 8 Abs. 2 S. 2 GR-Ch. Ehmann/Selmayr, DSGVO Art. 15 Rn. 1; Kühling/Buchner/Bäcker, DSGVO, Art. 15 DSGVO EG 63 S. 1. Art. 15 Abs. 3 DSGVO. Art. 15 Abs. 3 S. 2 DSGVO. Art. 20 DSGVO. Art. 15 Abs. 3 DSGVO. Artikel 29-Datenschutzgruppe, WP 242, 4. Art. 20 Abs. 2 DSGVO. Kühling/Martini, EuZW 2016, 448, 5.
A. Hohes Datenschutzniveau unter der DSGVO als Vergleichsmaßstab
71
die mithilfe automatisierter Verfahren verarbeitet werden.76 Somit hat das Recht auf Datenübertragbarkeit einen engeren Anwendungsbereich als das Recht auf Kopien, das auch Daten erfasst, die aus öffentlich zugänglichen Quellen stammen.77 Eine weitere zwingende Voraussetzung für die Ausübung des Rechts auf Datenübertragbarkeit ist, dass die Verarbeitung auf einer Einwilligung beruht oder zur Erfüllung eines Vertrages erfolgt.78 Verantwortliche, die eine Datenverarbeitung auf andere Legitimierungsgründe stützen, sind somit nicht zur Übertragung der Daten verpflichtet. 4. Widerspruchsrecht Das europäische Datenschutzrecht ist dadurch geprägt, dass der betroffenen Person in bestimmten Verarbeitungskonstellationen ein Widerspruchsrecht gegen die Verarbeitung zusteht, das jederzeit ausgeübt werden kann.79 Ein solches Recht besteht, wenn die Verarbeitung im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt erfolgt. Zudem kann der Betroffene den Widerspruch gegen eine Datenverarbeitung erheben, die zur Wahrung berechtigter Interessen erfolgt. Beide Verarbeitungskonstellationen beziehen sich auf Verarbeitungen, deren Legitimierung eine Abwägung der widerstreitenden Interessen zugrunde liegt.80 Der Widerspruch gibt dem Betroffenen somit die Chance, auf das Ergebnis der Verarbeitung einzuwirken, wenn besondere Umstände im Einzelfall vorliegen.81 5. Recht auf Löschung und Vergessenwerden a) Recht auf Löschung Betroffene haben das Recht auf Löschung personenbezogener Daten, wenn die Verarbeitung von Beginn unzulässig war oder im Nachhinein unzulässig wird.82 Die Unzulässigkeit kann daraus resultieren, dass kein Rechtfertigungsgrund83 für die 76
Art. 20 Abs. 1 DSGVO. Stiftung Datenschutz, Praktische Umsetzung des Rechts auf Datenübertragbarkeit, Anlage D, abrufbar unter: https://stiftungdatenschutz.org/fileadmin/Redaktion/Datenportabilitaet/ stiftungdatenschutz_abschlussbericht_Hyperlinks_20180124_01_web.pdf. 78 Art. 20 Abs. 1 lit. a DSGVO. 79 Art. 21 DSGVO. 80 Art. 6 Abs. 1 e, f. 81 Art. 21 Abs. 1 S. 1 DSGVO; DSGVO EG 69. 82 Trotz des Wortlauts „wurden unrechtmäßig verarbeitet“ in Art. 17 Abs. 1 lit. d DSGVO werden nicht nur Fälle erfasst, in denen die Verarbeitung von Anfang an rechtswidrig war, sondern auch Konstellationen, in denen die Verarbeitung nachträglich unrechtmäßig geworden ist. Siehe EG DSGVO 65 S. 2 „oder wenn die Verarbeitung ihrer personenbezogenen Daten aus anderen Gründen gegen diese Verordnung verstößt“. Siehe Franzen/Gallner/Oetker, ArbR, Art. 17 Rn. 3 DSGVO. 83 Art. 17 Abs. 1 lit. b, f DSGVO. 77
72
3. Kap.: EU-Datenschutzrechtsniveau als Vergleichsmaßstab
Verarbeitung vorliegt, ein berechtigter Widerspruch eingelegt wurde,84 eine rechtliche Verpflichtung die weitere Verarbeitung verbietet85 oder sie auf andere Weise unrechtmäßig erfolgt86. Die Löschpflicht besteht nicht nur dann, wenn der Betroffene ein entsprechendes Begehren ausspricht. Sie tritt ebenso antragsunabhängig ein, wenn die Voraussetzungen vorliegen.87 Daraus folgt, dass der Verantwortliche eigenständig und regelmäßig die Löschpflicht zu prüfen hat, um eine zulässige Speicherdauer einzuhalten.88 Übereinstimmend mit den Grundsätzen der Datenminimierung und Speicherbegrenzung hat der Datenverarbeiter Mechanismen zu implementieren, die eine Erforderlichkeit der Datenverarbeitung in Bezug auf den Verarbeitungszweck kontrollieren und bei entsprechendem Entfall, eine Löschung gewähren.89 b) Recht auf Vergessenwerden Das sog. „Recht auf Vergessenwerden“ wurde aus der Entscheidung des EuGH zu Google vs. Spain abgeleitet. Der in der DSGVO wiederverwendete Begriff90 legt dem Verantwortlichen eine Verpflichtung auf, die über die Löschung der eigenen verarbeiteten Daten hinausgeht. Der Verantwortliche soll dazu beitragen, dass die Daten tatsächlich aus dem Internet verschwinden.91 Während in dem Urteil des EuGH eine solche Pflicht für Suchmaschinenbetreiber begründet wurde, ist das Recht in der DSGVO weiterentwickelt worden. Es gilt für alle Verantwortlichen, die personenbezogene Daten veröffentlicht haben.92 Sie müssen jene Dritte, die nun die veröffentlichten Daten verarbeiten, über die Löschpflicht informieren.93 Dies erfolgt im Rahmen der abrufbaren Technologien und der Implementierungskosten angemessener Maßnahmen für den Verantwortlichen. Geschuldet wird von dem Verantwortlichen lediglich die Einwirkung auf Dritte, nicht das Erwirken der erfolgreichen Löschung.94 Die Pflicht wird nur ausgelöst, wenn die betroffene Person verlangt, dass der Verantwortliche die Dritten in Kenntnis setzt.95 Eine ähnliche Verpflichtung sieht 84
Art. 17 Abs. 1 lit. c DSGVO. Art. 17 Abs. 1 lit. a, e DSGVO. 86 Art. 17 Abs. 1 DGSVO; Simitis/Hornung/Spieck/Dix, Art. 17 Rn. 9. 87 Gola/Nolte/Werkmeister, DSGVO, Art. 17 Rn. 7; Plath/Kamlah, DSGVO, Art. 17 Rn. 6; Paal/Pauly, DSGVO, Art. 17 Rn. 20. 88 Ebda. 89 Wybitul/Rauer ZD 2012, 160, 162; vgl. EuGH, U. v. 13. 5. 2014 – C-131/12 = NVwZ 2014, 857, 862 Rn. 72. 90 Überschrift Art. 17 DSGVO. 91 Kühling/Buchner/Herbst, DSGVO, Art. 17 Rn. 49. 92 Simitis/Hornung/Spiecker/Dix, DSGVO, Art. 17 Rn. 26. 93 Art. 17 Abs. 2 DSGVO. 94 Paal/Pauly Art. 17 Rn. 32. 95 Gola/Nolte/Werkmeister Art. 17 Rn. 36; Kühling/Buchner/Herbst, DSGVO, Art. 17 Rn. 52; Paal/Pauly Art. 17 Rn. 34. 85
A. Hohes Datenschutzniveau unter der DSGVO als Vergleichsmaßstab
73
die DSGVO für Auftragsverarbeiter vor. Der Verantwortliche hat Auftragsverarbeiter über die Ausübung von Betroffenenrechten zu informieren.96 c) Abwägung mit der Meinungsfreiheit Die DSGVO sieht spezielle Ausnahmen für die beiden vorangestellten Rechte auf Löschung vor.97 Dementsprechend ist der Verantwortliche nicht zur Löschung verpflichtet, wenn eine Verarbeitung zur Ausübung des Rechts auf freie Meinungsäußerung und Information erforderlich ist.98 Die Meinungs- und Informationsfreiheit ist, wie der Datenschutz, grundrechtlich in der EU geschützt.99 Daher ist diese Ausnahme vom Recht auf Löschung, trotz der strikten Formulierung der DSGVO, nicht absolut, sondern setzt vielmehr eine Abwägung beider Grundrechte voraus.100 Diesbezüglich ist anzumerken, dass der EuGH eine Tendenz hat, den Datenschutz zu bevorzugen.101 In der Entscheidung Google vs. Spain hat der EuGH in Bezug auf namensbezogene Suchvorgänge erklärt, dass der Datenschutz der Betroffenen „im Allgemeinen gegenüber dem Interesse der Internetnutzer“ überwiegen. Eine Abwägung könne nur „in besonders gelagerten Fällen“ einen anderen Ausgang nehmen.102 Das Urteil veranschaulicht den allgemeinen Ansatz des EuGH, im Rahmen von Abwägungen zwischen der Meinungsfreiheit und dem Datenschutz, letzterem prinzipiell Vorrang einzuräumen.103 Dies ist bei der Bewertung von Ausnahmen in den USA zugunsten der Meinungsäußerung zu berücksichtigen. 6. Zwischenergebnis Aufgrund der Tatsache, dass kein „deckungsgleiches“ Datenschutzniveau bei der Bewertung des Datenschutzniveaus gefordert wird,104 muss das US-Recht nicht alle hier dargestellten Rechte in gleicher Form enthalten. Für einen „funktionellen“105 Vergleich ist es sachgerecht darauf abzustellen, ob Betroffenen in den USA insgesamt eine vergleichbare Einwirkung auf ihre Daten ermöglicht wird. 96
Art. 19 DSGVO. Art. 17 Abs. 2 DSGVO. 98 Art. 17 Abs. 3 lit. a DSGVO. 99 Art. 11 GR-Ch. 100 Kühling/Buchner/Herbst, Art. 17 Rn. 73; Paal/Pauly, DSGVO, Art. 17 Rn. 40; Taeger/ Gabel/Meents/Hinzpeter, DSGVO, Art. 17 Rn. 112 101 Taeger/Gabel/Meents/Hinzpeter DSGVO, Art. 17 Rn. 114. 102 EuGH, U. v. 13. 5. 2014 – C-131/12 = NVwZ 2014, 857, 863 Rn. 81. 103 Masing, Vorläufige Einschätzung der „Google-Entscheidung“ des EuGH, 14. August 2014. Abrufbar unter: https://verfassungsblog.de/ribverfg-masing-vorlaeufige-einschaet zung-der-google-entscheidung-des-eugh/. 104 Siehe 2. Kapitel dieser Arbeit. 105 Paal/Kumkar, MMR 2020, 733, 736. 97
74
3. Kap.: EU-Datenschutzrechtsniveau als Vergleichsmaßstab
IV. Pflichten des Verantwortlichen Zur Gewährleistung eines Schutzniveaus, das im Sinne der Union angemessen ist, muss der Verantwortliche Vorkehrungen und anderweitige Maßnahmen treffen, die am Risiko der konkreten Datenverarbeitung ausgerichtet sind.106 Für die Sicherheit der Datenverarbeitung betreffende Maßnahmen wird in diesem Zusammenhang von „technischen und organisatorischen Maßnahmen“ gesprochen.107 Die Sicherheit ist die einzige Stelle außerhalb des Kapitels zu Datenübermittlungen in der DSGVO, in der auf ein „angemessenes Schutzniveau“ verwiesen wird.108 Die Formulierung ist ein Ausdruck der Gemeinsamkeit zum fünften Kapitel, dass die Bewertung eines angemessenen Schutzniveaus von allen Umständen im Einzelfall abhängt. Die DSGVO sieht vor, dass insbesondere alle Umstände der Datenverarbeitung sowie die Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten des Betroffenen bei der Bewertung der Angemessenheit der Sicherheit zu berücksichtigen sind.109 Dementsprechend benennt die DSGVO verschiedene Sicherheitsmaßnahmen, deren Vornahme eine Risikoanalyse unter Berücksichtigung des Stands der Technik und der Implementierungskosten zugrunde liegt.110 1. Pseudonymisierung und Verschlüsselung Geeignete technische und organisatorische Maßnahmen zum Schutz der Daten können die Verschlüsselung und die Pseudonymisierung personenbezogener Daten darstellen.111 Eine Pseudonymisierung ist von der Anonymisierung abzugrenzen. Eine Anonymisierung setzt voraus, dass durch die Anonymisierung personenbezogener Daten eine betroffene Person nicht mehr identifiziert werden kann.112 Durch den Entfall des Bezugs zu einer Person finden die DSGVO und andere Grundsätze des Datenschutzes keine Anwendung auf anonymisierte Daten.113 Bei einer Pseudonymisierung personenbezogener Daten kann eine betroffene Person nicht mehr unmittelbar anhand der zur Verfügung stehenden Informationen identifiziert werden.114 Eine Zuordnung zur betroffenen Person ist allerdings weiterhin möglich, wenn zusätzliche Informationen herangezogen werden.115 Es handelt sich also um 106 107 108
risk.“ 109 110 111 112 113 114 115
Vgl. Art. 24 Ab. 1, 32 Abs. 1 DSGVO. Art. 32 Abs. 1 DSGVO. Art. 32 Abs. 1 DSGVO Dt. Fassung. Engl: Version: „a level of security appropriate to the Art. 24 Abs. 1 DSGVO. Art. 32 DSGVO. Art. 32 Abs. 1 lit. a DSGVO. DGVO EG 26 S. 5. Ebda. Art. 4 Nr. 5 DSGVO; Roßnagel, ZD 2018, 243. Art. 4 Nr. 5 DSGVO; Roßnagel, ZD 2018, 243.
A. Hohes Datenschutzniveau unter der DSGVO als Vergleichsmaßstab
75
eine getrennte Aufbewahrung der zusätzlichen Informationen zur Identifizierung.116 Daher befreit eine Pseudonymisierung nicht von der DSGVO, sondern stellt eine Sicherheitsmaßnahme dar.117 Eine weitere Sicherheitsmaßnahme stellt die Verschlüsselung dar, die besonders vor unbefugter Kenntnisnahme der Daten schützt, aber in der Regel118 keinen Einfluss auf den Personenbezug der Informationen hat.119 Als Verschlüsselung wird eine Maßnahme verstanden, die einen Datenbestand mit kryptographischer Methoden so unkenntlich macht, dass er nur durch einen oder mehrere Schlüssel wieder lesbar gemacht werden kann.120 Bei der Entscheidung über die Art und Weise einer Verschlüsselung sind die Umstände der Datenverarbeitung und ihre Risiken zu berücksichtigen, sodass insbesondere bei sensiblen Daten ein komplexes und aufwändiges Verschlüsselungsverfahren vorrangig ist.121 2. Datenschutz-Folgenabschätzung und Datenschutzbeauftragter Eine mit der DSGVO neu eingeführte Pflicht stellt die Abschätzung der Folgen geplanter Verarbeitungsvorgänge im Rahmen einer sog. Datenschutz-Folgenabschätzung dar.122 Diese Pflicht trifft den Verantwortlichen, wenn die Verarbeitung voraussichtlich ein hohes Risiko birgt. Sie dient dazu, ein hohes datenschutzrechtliches Risiko für die betroffene Person frühzeitig zu erkennen und ihnen rechtzeitig zu begegnen.123 Die gleiche Funktion nimmt der mit der DSGVO eingeführte Datenschutzbeauftragte wahr, der eine interne Unterstützung bei der Datenverarbeitung bieten soll.124
116 Schwartmann/Weiß, Whitepaper zur Pseudonymisierung 2017, S. 10. Abrufbar unter: https://www.gdd.de/downloads/whitepaper-zur-pseudonymisierung. 117 DSGVO EG 28 S. 2. 118 Es bestehen sehr hohe technische Anforderungen, um die Identifizierung einer betroffenen Person auszuschließen. Daher kann in der Praxis von einem Personenbezug ausgegangen werden. Siehe Laue/Nink/Kremer, § 1 Rn. 34. Zur Möglichkeit des Entfallens eines Personenbezugs gegenüber dem Provider und zur fortlaufenden Prüfungspflicht, siehe Jotzo, Rn. 100 f. 119 Ehmann/Selmayr/Klabunde, DSGVO Art. 4 Rn. 19. 120 Laue/Nink/Kremer, § 1 Rn. 32. 121 Kühling/Buchner/Jandt, DSGVO, Art. 32 Rn. 21. 122 Art. 35 DSGVO. 123 Paal/Pauly/Martini, DSGVO, Art. 35 Rn. 6; Sydow/Schwendemann, DSGVO, Art. 35 Rn. 1. 124 Art. 37 f. DSGVO; Simitis/Hornung/Spiecker/Drewes, DSGVO, Art. 37 Rn. 3 f.
76
3. Kap.: EU-Datenschutzrechtsniveau als Vergleichsmaßstab
3. Privacy by Design and Default In der DSGVO werden erstmalig die Prinzipien Datenschutz durch Technikgestaltung, „privacy by design“, sowie Datenschutz durch datenschutzfreundliche Voreinstellungen, „privacy by default“, aufgenommen.125 Demnach wird der Verantwortliche bereits präventiv bei der Entwicklung und Ausgestaltung des datenverarbeitenden Systems zur Berücksichtigung des Datenschutzes verpflichtet.126 Diese Maßnahmen dienen der Durchsetzung der Datenschutzgrundsätze, insbesondere der Datenminimierung und Erforderlichkeit der Datenverarbeitung, da die Datenerhebung bereits systembedingt auf das Erforderliche beschränkt sein soll.127 4. Wiederherstellungsmaßnahmen Sicherheitsmaßnahmen sind nicht nur als vorbeugende Schutzmaßnahmen zu implementieren, sondern auch für den Eintritt von Notfällen.128 Im Falle von technischen Zwischenfällen sollen die Abrufbarkeit und der Zugang zu Daten zügig wiederhergestellt werden, beispielsweise durch Backup-Strategien.129 5. Meldepflichten bei Verletzungen Im Falle der Verletzung des Schutzes personenbezogener Daten („data breach“) hat der Verantwortliche dies unverzüglich der zuständigen Aufsichtsbehörde zu melden.130 Die Kontaktierung der Aufsichtsbehörde darf dann unterbleiben, wenn die Verletzung voraussichtlich zu keinem Risiko für die Rechte und Freiheiten betroffener Personen führt. Besteht ein hohes Risiko und dieses wurde nicht eingedämmt, muss zusätzlich die betroffene Person über die Verletzung informiert werden.131 6. Zwischenergebnis Das US-Recht sollte Raum für die Berücksichtigung des konkreten Risikos von Datenverarbeitungen bieten. Verpflichtende Schutzmaßnahmen müssen in jedem Fall auf organisatorische und technische Bedingungen für die Datenverarbeitung abzielen. Den Pflichten der DSGVO ist zu entnehmen, dass diese sowohl präventiv als auch im Fall von Zwischenfällen und Verletzungen vorgesehen sein müssen. 125 126 127 128 129 130 131
Art. 25 Abs. 1, 2 DSGVO. DSGVO EG 78 S. 4. Art. 25 Abs. 1 a. E., 2 S. 1 DSGVO. Art. 32 Abs. 1 lit. c DSGVO. Art. 32 Abs. 1 lit. c DSGVO; Kühling/Buchner/Jandt, DSGVO, Art. 32 Rn. 27. Art. 33 Abs. 1 DSGVO. Art. 34 Abs. 1, 3 DSGVO.
A. Hohes Datenschutzniveau unter der DSGVO als Vergleichsmaßstab
77
V. Gewährleistung der praktischen Wirksamkeit in der EU Vor dem Hintergrund der in Schrems I gestellten Anforderung des EuGH, dass „tatsächlich“ ein gleichwertiges Datenschutzniveau im Drittstaat vorliegen muss,132 wird untersucht, mit welchen Vorkehrungen die DSGVO eine praktische Umsetzung des Datenschutzniveaus in der EU gewährleistet. Lösungsansätze für Datenübermittlungen von der EU in die USA sollten sich an diesen Maßnahmen orientieren. 1. Überwachung durch unabhängige Aufsichtsbehörden In den einzelnen Mitgliedstaaten der Union existieren im Einklang mit der Grundrechtecharta133 Aufsichtsbehörden, die der Überwachung der Anwendung der DSGVO dienen. Zu diesem Zwecke sind sie als „Herrin des Aufsichtsverfahrens“134 zu Untersuchungen berechtigt.135 Sie verfügen zudem über Durchsetzungsbefugnisse, die es ihnen unter anderem gestatten, Verwarnungen auszusprechen und Anweisungen sowie Verbote zu erteilen.136 Zudem können Aufsichtsbehörden Geldbußen verhängen.137 Dabei ist zu beachten, dass die Aufsichtsbehörden über ein Ermessen verfügen.138 Neben den Beteiligten an einer Verarbeitung klären sie die Öffentlichkeit über die Vorschriften der DSGVO auf.139 Aufsichtsbehörden sollen weder direkter noch indirekter Beeinflussung von außen zu unterliegen und keine Weisungen ersuchen oder entgegennehmen.140 Die Unabhängigkeit der Aufsichtsbehörden in der Union soll durch die ausdrückliche Normierung verschiedener Rahmenbedingungen sichergestellt werden. So hat jeder Mitgliedstaat sicherzustellen, dass jede Aufsichtsbehörde mit personellen, technischen und finanziellen Ressourcen ausgestattet wird, die erforderlich sind, um die Aufgaben effektiv wahrzunehmen.141 In diesem Rahmen muss sichergestellt werden, dass jedes Mitglied der Aufsichtsbehörden im Wege eines transparenten Verfahrens ernannt wird.142 Neben der nötigen Fachkunde steht bei der Wahl der Mitglieder im Vordergrund, dass nicht zu vereinbarende Handlungen und Tätigkeiten, sowohl
132 133 134 135 136 137 138 139 140 141 142
EuGH, U. v. 6. 10. 2015 – C-362/14 =ZD 2015, 549, 553 Rn. 73. Art. 8 Abs. 3 GR-Ch. Albrecht/Jotzo, S. 116, 117, Rn. 7. Art. 58 Abs. 1 DSGVO. Art. 58 Abs. 2 DSGVO. Art. 58 Abs. 2 lit. i DSGVO. Albrecht/Jotzo, S. 116, 117, Rn. 7. Art. 57 Abs. 1 lit. b, d DSGVO. Art. 52 Abs. 2 DSGVO. Art. 52 Abs. 4 DSGVO. Art. 53 Abs. 1 DSGVO.
78
3. Kap.: EU-Datenschutzrechtsniveau als Vergleichsmaßstab
entgeltliche als auch unentgeltliche, unterbleiben.143 Die Amtszeit muss durch Rechtsvorschrift festgelegt sein.144 2. Verwaltungsrechtliche und gerichtliche Rechtsbehelfe a) Bedingungsloses Beschwerderecht bei allen Aufsichtsbehörden Die DSGVO gesteht der von der Datenverarbeitung betroffenen Person verschiedene Rechtsbehelfe zu. Bereits die subjektive Auffassung des Betroffenen, die Verarbeitung verstoße gegen die DSGVO, berechtigt zur Beschwerde bei einer Aufsichtsbehörde.145 Tatsächliche Anhaltspunkte für eine unrechtmäßige Datenverarbeitung müssen nicht vorliegen. b) Klage gegen Aufsichtsbehörden Jede natürliche oder juristische Person hat das Recht, gerichtlich gegen einen sie betreffenden ergangenen rechtsverbindlichen Beschluss einer Aufsichtsbehörde vorzugehen.146 Zudem steht der betroffenen Person das Recht auf einen gerichtlichen Rechtsbehelf gegen die Aufsichtsbehörde zu, wenn diese im Anschluss an eine Beschwerde untätig geblieben ist.147 c) Klage gegen den Verantwortlichen Eine betroffene Person hat das Recht, vor den Gerichten der Mitgliedstaaten gegen den Verantwortlichen oder Auftragsverarbeiter Klage zu erheben, wenn ihre Rechte aus der DSGVO verletzt wurden.148 Für die Ausübung des gerichtlichen Rechtsbehelfs ist erneut allein die Ansicht des Betroffenen maßgeblich, die Verarbeitung erfolge entgegen der DSGVO. In der DSGVO wird erstmalig ausdrücklich klargestellt, dass sich das Klagerecht nicht nur gegen den Verantwortlichen der Datenverarbeitung richtet, sondern ebenso gegen den Auftragsdatenverarbeiter.149 Das Klagerecht ist nicht subsidiär zum bestehenden Beschwerderecht bei der Aufsichtsbehörde.150 Die Beschreitung des Klageweges darf nicht praktisch unmöglich oder übermäßig kompliziert gestaltet werden.151 Für den Kläger wird die Durch143 144 145 146 147 148 149 150 151
Art. 52 Abs. 3, 53 Abs. 2 DSGVO. Art. 54 Abs. 1 lit. d DSGVO. Art. 77 Abs. 1 DSGVO. Art. 78 Abs. 1 DSGVO. Art. 78 Abs. 2 DSGVO. Art. 79 Abs. 1 DSGVO. Art. 79 Abs. 2 DSGVO. Vgl. Art. 79 Abs. 1 S. 1 DSGVO. Kuner/Bygrave/Docksey/Kotschy, DSGVO, Art. 79 S. 1138.
A. Hohes Datenschutzniveau unter der DSGVO als Vergleichsmaßstab
79
setzung des Anspruchs zudem insoweit erleichtert, dass das Verschulden des Verantwortlichen oder des Auftragsdatenverarbeiters vermutet wird, sofern kein Nachweis der mangelnden Verantwortlichkeit für den Umstand des Schadeneintritts erfolgt.152 d) Verbandsklage Zur Erleichterung der Ausübung der aufgeführten Rechtsbehelfe, regelt die DSGVO erstmalig eine Art der Prozessstandschaft.153 Demnach kann die betroffene Person eine Organisation ohne Gewinnerzielungsabsicht, deren satzungsmäßige Ziele im öffentlichen Interesse liegen und welche im Bereich des Schutzes personenbezogener Daten tätig ist, zur Vertretung vor der Aufsichtsbehörde oder dem Gericht beauftragen.154 e) Bewertung Das gleichzeitige Bestehen verschiedener Rechtsbehelfe und die einfache Ausgestaltung des Beschwerdeverfahrens bei den Aufsichtsbehörden, veranschaulichen das Ziel der DSGVO,155 die Einreichung von Beschwerden zu erleichtern. Die mangelnde Subsidiarität gerichtlicher Rechtsbehelfe und die Berechtigung Dritter zur eigenen Vertretung erleichtern den Betroffenen eine effektive Wahrnehmung ihrer Rechte. Rechtsbehelfe in den USA sollten mithin zumindest die Tendenz aufweisen, auf eine vereinfachte Handhabung abzuzielen. Sie sollten gegen alle Beteiligten einer Datenverarbeitung und solche Stellen, die Aufsicht über die Datenverarbeitung führen, möglich sein. 3. Sanktionen a) Festgelegte Bedingungen Zur wirksamen Befolgung der DSGVO sieht diese erstmalig ausdrücklich die Verhängung von Bußgeldern vor. Sieht ein Mitgliedstaat keine Verhängung von Bußgeldern im nationalen Recht vor, kann dafür nun unmittelbar auf die DSGVO zurückgegriffen werden.156
152 153 154 155 156
Hoeren/Sieber/Holznagel/Helfrich, Teil 16.1 Rn. 42 f. Schantz, NJW 2016, 1841, 1847. Art. 80 Abs. 1 DSGVO; EG DSGVO 141 S. 1. Vgl. EG DSGVO 141 S. 5. Art. 83 Abs. 9 DSGVO.
80
3. Kap.: EU-Datenschutzrechtsniveau als Vergleichsmaßstab
b) Hohe Geldbußen im Ermessen der Behörde Die zuständige Aufsichtsbehörde verhängt Geldbußen zusätzlich oder anstelle der übrigen Maßnahmen, zu denen sie berechtigt ist. Die Entscheidung, ob und in welcher Höhe eine Geldbuße verhängt wird, richtet sich nach den Umständen der Datenverarbeitung, des Verstoßes und des Schadens. Dies ermöglicht der Aufsichtsbehörde, den Anforderungen der DSGVO gerecht zu werden und eine wirksame, verhältnismäßige und abschreckende Strafe zu erlassen.157 Entsprechend ist die Aufsichtsbehörde befugt, Geldbußen bis zu 10 Millionen Euro oder bis in Höhe von zwei Prozent des gesamten weltweit erzielten Jahresumsatzes zu erlassen.158 Um Regelungen, die besonders auf den Betroffenen ausgerichtet sind,159 größere Wirkung zu verleihen, können bestimmte Verstöße mit noch höheren Geldbußen geahnt werden. Das maximale Bußgeld beträgt in einem dieser Fälle 20 Millionen Euro oder im Fall eines Unternehmens bis zu vier Prozent des Umsatzes.160 Das Ermessen der Aufsichtsbehörde ist im Falle von Bußgeldern gegen Unternehmen reduziert. Ob das Bußgeld den Wert des zulässigen Höchstsatzes beträgt oder sich am Prozentsatz des Jahresumsatzes orientiert, hat die Behörde zu Gunsten des höheren Betrages zu entscheiden. c) Ausnahme bei öffentlicher Datenverarbeitung Die Mitgliedstaaten haben die Möglichkeit, Geldbußen gegen Behörden und öffentliche Stellen selbst im nationalen Recht zu regeln.161 Dies betrifft ausdrücklich die Entscheidung, ob und in welchem Umfang gegen öffentliche Stellen Bußgelder verhängt werden können. Die Tatsache, dass EU-Mitgliedstaaten von Geldbußen für öffentliche Stellen absehen können, muss bei der Bewertung von Verarbeitungen durch öffentliche Stellen in den USA berücksichtigt werden. d) Zwischenergebnis Es ist zu betonen, dass die DSGVO durch die Einführung von Bußgeldern einen „Paradigmenwechsel“162 zur Stärkung des Datenschutzes vorgenommen hat. Die Orientierung am Umsatz stellt dabei eine effektive Maßnahme dar, um Strafen möglichst hoch in Relation zur finanziellen Stärke des konkret Verantwortlichen für den Datenschutzverstoß zu gestalten. Somit kann Konzernen, die Datenverarbeitungen im großen Umfang vornehmen, effektiv begegnet werden. Zu untersuchendes 157 158 159 160 161 162
Vgl. Art. 83 Abs 1, 9 DSGVO. Art. 83 Abs. 4 DSGVO. Paal/Pauly/Frenzel DSGVO, Art. 83 Rn. 23. Art. 83 Abs. 5 DSGVO. Art. 83 Abs. 7 DSGVO. Paal/Pauly/Frenzel DSGVO, Art. 83 Rn. 32.
B. Europäische Rahmenbedingungen für Behördenzugriffe
81
Recht im Drittstaat sollte somit ebenfalls wirksame, verhältnismäßige und abschreckende Sanktionen für Datenschutzverstöße aufweisen.
B. Europäische Rahmenbedingungen für Behördenzugriffe I. Kein Vergleichsmaßstab im EU-Recht Die DSGVO bezieht ausdrücklich die nationale Sicherheit in die Bewertung des angemessenen Datenschutzniveaus ein. Die nationale Sicherheit unterliegt allerdings nicht der Verantwortung der EU, sondern der Mitgliedstaaten.163 Daher gibt es kein Recht auf Unionsebene, das sich mit der Datenverarbeitung zu Zwecken der nationalen Sicherheit beschäftigt. Somit stellt sich die Frage, welcher Maßstab für die Bewertung eines gleichwertigen Datenschutzniveaus im Drittstaat gilt. Der Begriff der nationalen Sicherheit ist nicht im Recht der EU definiert. Es besteht überwiegend dahingehend Einigkeit, dass Tätigkeiten autorisierter Stellen im Bereich der nachrichtendienstlichen Informationserhebung nicht vom EU-Recht erfasst werden.164 Die EU-Verträge nehmen allerdings auf Sachverhalte wie die Verhütung und Bekämpfung von Terrorismus165 Bezug, die sehr eng mit dem Verständnis der nationalen Sicherheit verknüpft sind und bei denen die EU die Gesetzgebungskompetenz hingegen inne hat.166 Dadurch entstehen Abgrenzungsschwierigkeiten und Unklarheiten über unionsrechtliche Befugnisse und über die Anforderungen an Drittstaaten für eine Angemessenheit des Datenschutzes.
II. EuGH-Rechtsprechung als Vergleichsmaßstab Der europäische Datenschutzausschuss betont, dass der EuGH das einzige Organ ist, das Klarheit zum Verständnis der nationalen Sicherheit und der Anwendbarkeit des EU-Rechts schaffen kann.167 Dem EuGH obliegt die Verantwortung der Wahrung des Rechts bei der Auslegung und Anwendung der Grundrechte.168 163
Artikel 4 Abs. 2 S. 3 EUV. Rojszczak, UK electronic surveillance programmes in the context of protection of EU citizens after Brexit, S. 150. Abrufbar unter: www.academia.edu/38231301/UK_Electronic_Sur veillance_Programmes_in_the_Context_of_Protection_of_EU_Citizens_Rights_After_Brexit_ EN_. 165 Artikel 75 AEUV. 166 Spiecker/Bretthauer, Dokumentation zum Datenschutz, G. G 2 G 2.1 G 2.1.18, Arbeitsdokument Überwachung der elektronischen Kommunikation zu nachrichtendienstlichen und nationalen Sicherheitszwecken, 4.1.1. 167 Artikel 29-Datenschutzgruppe, WP 228 S. 34. 168 Art. 19 Abs. 1 S. 2, 6 Abs. 1 EUV. 164
82
3. Kap.: EU-Datenschutzrechtsniveau als Vergleichsmaßstab
1. Rechtsprechung zur Vorratsdatenspeicherung als Beispiel Der EuGH hat jüngst ein Urteil zur Vorratsdatenspeicherung erlassen, welches das Zusammenspiel zwischen unionsrechtlich geschützten Handlungen und behördlichen Befugnissen im Bereich der nationalen Sicherheit veranschaulicht. Das Urteil demonstriert, mit welcher Argumentation der EuGH europarechtliche Grundsätze für Bereiche außerhalb des Unionsrechts festlegt. a) Metadatenschutz unter der ePrivacy-Richtlinie Die EU hat eine Richtlinie erlassen, welche die Tätigkeit der nationalen Sicherheitsbehörden wesentlich tangiert. Die „ePrivacy-Richtlinie“169 legt Betreibern elektronischer Kommunikationsdienste allgemeine Pflichten im Umgang mit Daten der elektronischen Kommunikation auf. Diese Pflichten stellen die Rahmenbedingungen für die Speicherung und Herausgabe solcher Daten dar, auf die Sicherheitsbehörden im Rahmen ihrer Ermittlungen zugreifen. Typischerweise handelt es sich um Metadaten über die Kommunikation. Die ePrivacy-Richtlinie verfolgt wie die DSGVO das Ziel der Herbeiführung eines gleichwertigen Schutzes des EU-Grundrechts auf Datenschutz in der EU.170 Sie besteht aus zwanzig Artikeln und wurde als Ergänzung zur DSRL erlassen. Aufgrund der Adressierung der Besonderheiten der elektronischen Kommunikation in der ePrivacy-Richtlinie sind ihre Pflichten lex specialis zu den Pflichten in der DSGVO, wenn sie dasselbe Ziel verfolgen.171 Ist dies nicht der Fall, bleibt weiterhin die DSGVO anwendbar. Es bleibt also dabei, dass das europäische Datenschutzniveau wesentlich von der DSGVO und ihren Zielen bestimmt wird. Derzeit arbeitet die EU an einer ePrivacy-Verordnung, um weitergehende Kohärenz zur DSGVO zu gewährleisten. Diese soll an die Stelle der ePrivacy-Richtlinie treten und in ihrer Eigenschaft als Verordnung unmittelbar in allen Mitgliedstaaten gelten. Eine Modernisierung des Schutzes soll dahingehend stattfinden, dass nicht nur traditionelle Telekommunikationsdienste erfasst werden, sondern auch online Kommunikationsdienste wie Skype und WhatsApp.172 Ein entsprechender Verordnungsvorschlag der europäischen EU-Kommission erfolgte im Januar 2017.173 Seitdem konnten die EU-Mitgliedstaaten sich allerdings nicht auf eine finale Version
169
Datenschutzrichtlinie für elektronische Kommunikation 2002/58/EG. Art. 1 Abs. 2 ePrivacy Rili. 171 Art. 95, EG 173 DSGVO. 172 Over-the-Top-Kommunikationsdienste („OTT-Dienste“). 173 EU-Kommission, COM (2017) 10 final, 2017/0003 (COD). Abrufbar unter: https://eurlex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:52017PC0010. 170
B. Europäische Rahmenbedingungen für Behördenzugriffe
83
im Gesetzgebungsverfahren einigen. Mit dem Inkrafttreten der neuen ePrivacyVerordnung ist vor dem Jahr 2023 voraussichtlich nicht zu rechnen.174 b) Anwendbarkeit von ePrivacy auf die Vorratsdatenspeicherung Pflichten elektronischer Kommunikationsanbieter sind besonders für solche behördlichen Zugriffe entscheidend, die sich auf die Speicherung von Daten der elektronischen Kommunikation für eventuelle spätere Auswertungen beziehen, sog. Vorratsdatenspeicherung175. Für die Angemessenheit des Datenschutzniveaus von Drittstaaten ist von Bedeutung, unter welchen Bedingungen solche Vorratsdatenspeicherungen in der EU legitimiert werden. Die Vorratsdatenspeicherung wurde auf EU-Ebene in der Richtlinie 2006/24/EG geregelt, die allerdings vom EuGH für rechtswidrig erklärt wurde.176 Wie bereits ausgeführt ist der Anwendungsbereich der ePrivacy-Richtlinie nicht für die öffentliche Sicherheit betreffende Tätigkeiten eröffnet,177 allerdings für vorgelagerte Verpflichtungen elektronischer Kommunikationsanbieter. Der EuGH hat jüngst Entscheidungen erlassen, die sich mit der Zulässigkeit der Vorratsdatenspeicherung zwecks späterer behördlicher Zugriffe nach der ePrivacy-Richtlinie beschäftigen. c) Normierte Anforderungen an Eingriffe Die ePrivacy-Richtlinie sieht vor, dass die Mitgliedstaaten zugunsten der nationalen Sicherheit die Aufbewahrung von Daten „während einer begrenzten Zeit“ durch Rechtsvorschriften regeln können.178 Somit ist eine gesetzlich vorgesehene begrenzte Vorratsdatenspeicherung erlaubt. Die in der ePrivacy-Richtlinie genannten Voraussetzungen für den Erlass entsprechender nationaler Rechtsvorschriften sind die Notwendigkeit in einer demokratischen Gesellschaft, die Angemessen- und Verhältnismäßigkeit und die Wahrung der europäischen Grundrechte.179
174 Vgl. Fanta, Womöglich letzte Chance für die ePrivacy-Verordnung. Abrufbar unter: https://netzpolitik.org/2020/online-tracking-womoeglich-letzte-chance-fuer-die-eprivacy-verord nung/. 175 Duden, Eintrag zu „Vorratsdatenspeicherung“. Abrufbar unter: https://www.duden.de/ rechtschreibung/Vorratsdatenspeicherung. 176 EuGH, U. v. 8. April 2014, Verbundene Rs. C-293/12 und C-594/12. 177 Artikel 1 Abs. 3 ePrivacy Richtlinie. 178 Artikel 15 Abs. 1 ePrivacy Richtlinie: „Nationale Sicherheit, (d. h. die Sicherheit des Staates), die Landesverteidigung, die öffentliche Sicherheit sowie die Verhütung, Ermittlung, Feststellung und Verfolgung von Straftaten oder des unzulässigen Gebrauchs von elektronischen Kommunikationssystemen“. 179 Art. 15 Abs. 1 S. 1, 3 ePrivacy Richtlinie; 6 EUV.
84
3. Kap.: EU-Datenschutzrechtsniveau als Vergleichsmaßstab
Im Hinblick auf die Vorratsdatenspeicherung hat der EuGH allerdings festgestellt, dass flächendeckende und pauschale Speicherungen von Daten nicht zulässig sind.180 Der EuGH hat betont, dass die Ausnahme in der ePrivacy-Richtlinie nicht zur Regel werden darf.181 Nationale Rechtsvorschriften zur Vorratsspeicherung müssen in Bezug auf die Kategorien der auf Vorrat zu speichernden Daten, die betroffenen Kommunikationsmittel, die betroffenen Personen und die festgelegte begrenzte Speicherfrist auf das unbedingt erforderliche Maß beschränkt werden.182 Entsprechende normierte Ausnahmen müssen durch ein Gericht oder eine unabhängige Behörde, dessen Entscheidung bindend ist, überprüft werden.183 d) Übertragungen auf Behördenzugriffe Der EuGH hat die Anforderung der ePrivacy-Richtlinie an die Vorratsdatenspeicherung im Lichte der europäischen Grundrechte ausgelegt. Er hat entschieden, dass diese Voraussetzungen zur Aufbewahrung sich auch auf den anschließenden Zugang zu gespeicherten Daten erstreckt.184 Somit regelt die ePrivacy-Richtlinie nicht nur die Abrufbarkeit von Daten für Behörden durch Speicherung, sondern auch deren anschließende unmittelbare Zugriffe durch Datenübermittlungen.185 Hieran anknüpfend hat der EuGH klargestellt, dass nationale Rechtsvorschriften zur Offenlegung von Daten durch elektronische Kommunikationsanbieter die ePrivacy-Richtlinie berücksichtigen müssen. Entsprechende Verpflichtungen, Verkehrsund Standortdaten im Wege einer allgemeinen und unterschiedslosen Übermittlung offenzulegen, überschreiten die Grenzen des unbedingt Notwendigen. Dabei beruft sich der EuGH ausdrücklich auf Artikel 15 Absatz 1 der ePrivacy-Richtlinie im Lichte der Grundrechte186.187 Somit misst der EuGH sämtliche Verpflichtungen elektronischer Kommunikationsanbieter an Artikel 15 Absatz 1 ePrivacy-Richtlinie und den europäischen Grundrechten. Entsprechend müssen diese konkretisierten Anforderungen an Eingriffe durch den EuGH auf behördliche Datenzugriffe Anwendung finden. Das gilt nur dann nicht, wenn die Behörden losgelöst von den Telekommunikationsanbietern 180 EuGH, Pressemitteilung Nr. 123/20 vom 6. Oktober 2020, abrufbar unter: https://curia. europa.eu/jcms/upload/docs/application/pdf/2020-10/cp200123en.pdf. 181 EuGH, U.v. 6. Oktober 2020, Verbundene Rs. C-511/18, C-512/18 und C-520/18 Rn. 142. 182 EuGH, U.v. 6. Oktober 2020, Verbundene Rs. C-511/18, C-512/18 und C-520/18 Rn. 147. 183 EuGH, U.v. 6. Oktober 2020, Verbundene Rs. C-511/18, C-512/18 und C-520/18 Rn. 168. 184 EuGH, U.v. 6. Oktober 2020C-623/17, Rn 39. 185 EuGH, Pressemitteilung Nr. 123/20. 186 Art. 4 Abs. 2 EUV; 7, 8, 11, 52 Abs. 1 GR-Ch. 187 EuGH, U. v. 6. Oktober 2020, C-623/17, Rn 81.
B. Europäische Rahmenbedingungen für Behördenzugriffe
85
agieren.188 Für die Bewertung der Tätigkeiten US-amerikanischer Sicherheitsbehörden folgt daher, dass die vom EuGH konkretisierten Anforderungen an Eingriffe in das Datenschutzrecht als Vergleichsmaßstab dienen. e) Zulässigkeit der Bewertung durch den EuGH Die hohen Anforderungen an Verpflichtungen von Telekommunikationsanbietern werden in Drittstaaten gestellt, obwohl die Rechtsprechung des EuGH zur Unzulässigkeit der jeweiligen nationalen Regelungen der meisten Mitgliedstaaten führen dürften.189 Daraus folgt das unbefriedigende Ergebnis, dass vom Drittstaat mehr gefordert wird, als in der EU derzeit selbst eingehalten wird. Dieses Ergebnis resultiert aus der Tatsache, dass der EuGH hier indirekt über Befugnisse der nationalen Sicherheit entschieden hat, obwohl der EU die entsprechende Kompetenz über die nationale Sicherheit fehlt. Der EuGH hat die Befugnis zur Auslegung, allerdings nur im Rahmen des Rechts, zu dem sich die Mitgliedstaaten vertraglich verpflichtet haben.190 Da sich die Mitgliedstaaten im Bereich der nationalen Sicherheit nicht der EU unterworfen haben, könnte der EuGH im vorliegenden Fall unzulässigerweise Anforderungen an Speicherungen und Datenübermittlungen zugunsten nachrichtendienstlicher Tätigkeiten gestellt haben. Dagegen spricht, dass der EuGH seine Anforderungen nicht unmittelbar an behördliche Maßnahmen gestellt hat. Dies geschah mittelbar durch Adressierung der Verpflichtungen der elektronischen Kommunikationsanbieter, die dem EU-Recht unterliegen.191 Der EuGH hat also bereits bestehende Anforderungen an die Ausnahmen der ePrivacy-Richtlinie zum Zwecke der nationalen Sicherheit konkretisiert. Da der Wortlaut von Artikel 15 Absatz 1 S. 2 ePrivacy-Richtlinie sich auf die Aufbewahrung von Daten zum Zwecke der nationalen Sicherheit bezieht, muss dies ebenso für die spätere Übermittlung an die Behörden zum selben Zweck gelten. Sonst würde die Regelung des Artikel 15 Absatz 1 S. 2 ePrivacy-Richtlinie einfach umgangen werden können. Somit muss der EuGH jedenfalls die Befugnis haben, im EURecht normierten Ausnahmen auszulegen und ihre Auswirkungen umfassend zu beurteilen.192 Fraglich ist, ob diese Auslegung des EuGH zu Ausnahmen zugunsten der nationalen Sicherheit dann auch zulässigerweise bei der Bewertung der Angemes-
188
Woll, Vorratsdatenspeicherung reloaded,16. Oktober 2020. Abrufbar unter: http://jeanmonnet-saar.eu/?page_id=2848. 189 Ebda. 190 Art. 19 Abs. 1 S. 2 EUV. 191 ePrivacy Richtlinie Präambel, Art. 114, 26 EUV. 192 Vgl. Rojszczak, UK electronic surveillance programmes in the context of protection of EU citizens after Brexit, S. 155.
86
3. Kap.: EU-Datenschutzrechtsniveau als Vergleichsmaßstab
senheit im Drittstaat zugrunde gelegt werden darf. Dagegen könnte sprechen, dass Zweifel an der Umsetzung dieser Auslegung durch die Mitgliedstaaten bestehen. Es sprechen aber gute Gründe dafür, die Bewertung von Grundrechtseingriffen unabhängig von dem Anwendungsbereich des Unionsrechts zu werten. Dies gilt besonders für das Kriterium eines angemessenen Datenschutzniveaus. Eine Gleichwertigkeit zur EU kann nämlich nicht gegeben sein, wenn die Unionsgrundrechte im Drittstaat verletzt werden.193 Dadurch würde die Funktion des angemessenen Datenschutzniveaus, den Grundrechteschutz zu wahren, umgangen werden. Eine Grundrechtsverletzung durch eine Datenübermittlung in einen Drittstaat kann auch nicht durch vergleichbare Eingriffe in der EU legitimiert werden.194 Ob dies mit der bisherigen Auslegung der Angemessenheit des Datenschutzniveaus im Einklang steht, stellt eine andere Frage dar.195 Die Rechtsprechung des EuGH stellt jedenfalls klar, dass Ausnahmen datenschutzrechtlicher Regeln zugunsten der nationalen Sicherheit im Drittstaat anhand der EU-Grundrechte zu messen sind.
III. Rechtsprechung des EGMR als Vergleichsmaßstab Der Generalanwalt des EuGH hat bei seinen Schlussanträgen zu Schrems II Artikel 45 Absatz 1 DSGVO und die nationale Sicherheit im Lichte der europäischen Grundrechtecharta und der EMRK ausgelegt. Dies erfolgte obwohl die EU die EMRK nicht ratifiziert hat, sondern nur die einzelnen Mitgliedstaaten.196 Dies begründete er mit der wesentlichen Vergleichbarkeit der Anforderungen an Eingriffe in die europäische Grundrechtscharta und solcher an Eingriffe in die EMRK.197 Er stellte fest, dass die Datenschutzrechte der Grundrechtecharta denen der EMRK in der Bedeutung und Tragweite ähneln, wobei die Grundrechtecharta einen umfassenderen Schutz gewährt.198 Hintergrund der Ähnlichkeit ist, dass für die Entstehung der DSRL, die zeitlich vor der EU-Grundrechtecharta in Kraft getreten ist, auf die EMRK zurückgegriffen wurde.199 Aufgrund der Vergleichbarkeit der Grundrechte spricht nichts dagegen, die Rechtsprechung des EGMR bei Auslegungen zum Datenschutz einzubeziehen. Der EuGH folgt diesem Ansatz und prüft die beiden
193
Paal/Kumkar, MMR 2020, 733, 737. Paal/Kumkar, MMR 2020, 733, 737; a. A. Lejeune, CR 2020, 522, 524. 195 Vgl. Botta, CR 2020, 82, 86. 196 Saugmandsgaard Øe, Schlussanträge vom 19. 12. 2019 – C-311/18, BeckRS 2019, 32163, Rn. 250 ff. 197 Saugmandsgaard Øe, Schlussanträge vom 19. 12. 2019 – C-311/18, BeckRS 2019, 32163, Rn. 250 mit Verweis auf Art. 52 Abs. 1 GRCh. und Art. 8 Abs. 2 EMRK. 198 Saugmandsgaard Øe, Schlussanträge vom 19. 12. 2019 – C-311/18, BeckRS 2019, 32163, Rn. 251. 199 Genz, S. 18. 194
B. Europäische Rahmenbedingungen für Behördenzugriffe
87
Grundrechte aufgrund der überschneidenden Schutzbereiche ebenso grundsätzlich zusammen.200 Auch in der Grundrechtecharta ist unmittelbar festgelegt, dass ihre Rechte, soweit sie den durch die EMRK garantierten Rechten entsprechen, die gleiche Bedeutung und Tragweite wie in der EMRK haben.201 Die Rechtsprechung des EGMR zum Recht auf Achtung des Privat- und Familienlebens202 in der EMRK ist damit für die Auslegung des gleichnamigen unmittelbar korrespondierenden Grundrechts in der Grundrechtecharta203 von grundsätzlicher Bedeutung. 204 Dem steht ausdrücklich nicht entgegen, dass die europäischen Grundrechte einen weitergehenden Schutz gewähren.205 Dementsprechend verweisen Erwägungsgründe der DSGVO206 nicht nur auf die Rechtsprechung des EuGH, sondern auch auf die des EGMR.207 Somit ist die Rechtsprechung des EGMR zum Recht auf Privatsphäre und Datenschutz bei der Bewertung des Drittstaats zu berücksichtigen. Dies ist besonders im Bereich der nationalen Sicherheit von Bedeutung, weil die Zuständigkeit des EGMR, gegensätzlich zu jener des EuGH, nicht für Sachverhalte der nationalen Sicherheit ausgeschlossen ist. Datenverarbeitungen im Drittstaat, die unmittelbar das Recht der nationalen Sicherheit berühren, können somit an der Rechtsprechung des EGMR gemessen werden.
IV. Vier Garantien als Auslegungshilfen Der EuGH widmet sich in beiden Schrems-Urteilen den Anforderungen an Eingriffe in das Grundrecht auf Datenschutz, vor allem durch nationale Sicherheitsbehörden. Vom Datenschutzausschuss wurden Orientierungshilfen veröffentlicht, in denen die Anforderungen zur Rechtfertigung von Eingriffen durch Überwachungsmaßnahmen aufgestellt werden.208 Grundlage für die Rechtfertigung derartiger Eingriffe soll die Sicherstellung wesentlicher europäischer Garantien sein, basierend auf den vom EuGH „festgelegten Standard“209 und der Rechtsprechung des EGMR. Es handelt sich dabei um vier Garantien, die mit den Anforderungen an die Vorratsdatenspeicherung übereinstimmen, zusätzlich jedoch weitere Schutzvor200
Simitis/Hornung/Spiecker/Schiedermair, Einleitung Rn. 167. Art. 52 Abs. 3 S. 1 GR-Ch. 202 Art. 8 EMRK. 203 Art. 7 GR-Ch. 204 Art. 52 Abs. 3 S. 2 GR-Ch. 205 Art. 52 Abs. 3 S. 2 GR-Ch. 206 DSGVO EG 41, 73. 207 Simitis/Hornung/Spiecker/Schiedermair; Einleitung Rn. 163. 208 Europäischer Datenschutzausschuss, Empfehlungen 02/2020 zu den wesentlichen europäischen Garantien in Bezug auf 02/2020; Artikel 29-Datenschutzgruppe, WP 237. 209 Artikel 29-Datenschutzgruppe, WP 237 S. 10. 201
88
3. Kap.: EU-Datenschutzrechtsniveau als Vergleichsmaßstab
kehrungen konkretisieren. Nach den Ausführungen des europäischen Datenschutzausschusses gewährleistet die Einhaltung der vier Garantien nicht automatisch ein angemessenes Schutzniveau. Allerdings sollte ihr Vorhandensein ernsthaft berücksichtigt werden.210 Somit können die folgenden vier Garantien als Bewertungshilfe für das Datenschutzniveau in den USA hinzugezogen werden. 1. Transparente Eingriffsnorm Als erste wesentliche Garantie sollte ein Eingriff auf klaren und präzisen Regeln beruhen, die dem Einzelnen zugänglich sind. Der Einzelne muss nachvollziehen können, unter welchen Voraussetzungen in sein Grundrecht eingegriffen werden kann.211 Dafür muss die staatliche Überwachungsmaßnahme und ihre Voraussetzungen gesetzlich normiert sein. Ein entsprechendes Gesetz muss Auskunft erteilen über die Art der Straftaten, die zu einer Überwachung führen können und die Kategorien der Personen, die überwacht werden können. Zudem muss das Gesetz die Dauer der Überwachungsmaßnahme begrenzen.212 2. Verhältnismäßigkeit Die nächste Garantie konkretisiert den in Artikel 52 Absatz 1 Satz 2 Grundrechtecharta vorgesehenen Grundsatz der Verhältnismäßigkeit, der auch im Falle staatlicher Überwachungsmaßnahmen gilt. Der EuGH hat in der Schrems I-Entscheidung betont, dass im Drittstaat kein pauschaler Zugriff auf personenbezogene Daten gestattet sein darf.213 Ausnahmen des Datenschutzes im Drittstaat müssen auf das „absolut Notwendige“ begrenzt sein.214 Es bedarf vielmehr einer zielorientierten Differenzierung, Einschränkung oder Ausnahme der Speicherung, die gesetzlich festgelegt ist.215 Daher ist die von einem konkreten Ziel unabhängige Aufbewahrung von Daten wie bei einer Vorratsdatenspeicherung nicht verhältnismäßig.216 Es müssen hinreichend stichhaltige Gründe für die Annahme einer ernsthaften Bedrohung der nationalen Sicherheit vorliegen, um sich auf Ausnahmen zu berufen.217 Im Urteil zur Vorratsdatenspeicherung wurde weiter konkretisiert, dass die Bedrohung sich als echt und gegenwärtig oder vorhersehbar erweist.218 Gesetzliche 210
Artikel 29-Datenschutzgruppe, WP 237, 6. Europäischer Datenschutzausschuss, Empfehlungen 02/2020, Rn. 27 ff. 212 Europäischer Datenschutzausschuss, Empfehlungen 02/2020, Rn. 30 f. 213 EuGH, U. v. 6. 10. 2015 – C-362/14 = ZD 2015, 549, 555 Rn. 94. 214 EuGH, U. v. 6. 10. 2015 – C-362/14 = ZD 2015, 549, 554 Rn. 92, 93. 215 EuGH, U. v. 6. 10. 2015 – C-362/14 = ZD 2015, 549, 554 Rn. 93. 216 Europäischer Datenschutzausschuss, Empfehlungen 02/2020, Rn. 37. 217 Europäischer Datenschutzausschuss, Empfehlungen 02/2020, Rn. 34. 218 EuGH, Pressemitteilung Nr. 123/20 vom 6. Oktober 2020, abrufbar unter: https://curia. europa.eu/jcms/upload/docs/application/pdf/2020-10/cp200123en.pdf. 211
B. Europäische Rahmenbedingungen für Behördenzugriffe
89
Überwachungsmaßnahmen müssen gemäß der Schrems II-Entscheidung Einschränkungen vorsehen, um dem Grundsatz der Verhältnismäßigkeit zu genügen und den Umfang, in dem die Rechte der betroffenen Person eingeschränkt werden, selbst festlegen.219 Zudem bedarf es einer gesetzlichen Regelung im Drittstaat, die den auf die Speicherung folgenden Zugang und jede anderweitige Verarbeitung durch die Behörden auf verhältnismäßige Zwecke beschränken und den Zugriff auf Personen begrenzen, die einen Zugriff benötigen.220 3. Unabhängige Aufsicht Ferner sollte für Überwachungsmaßnahmen ein Mechanismus mit wirksamer und unabhängiger Aufsicht garantiert werden.221 Die unabhängige Kontrolle kann durch einen Richter oder eine andere unabhängige Stelle wie eine Behörde gewährleistet werden, sofern die Entscheidungen tatsächlich ohne äußere Beeinflussungen ergehen. Bei der Beurteilung der Unabhängigkeit muss die Art und Weise der Ernennung und die Rechtsstellung des Überwachungsorgans berücksichtigt werden.222 Der Kontrolle vorbehalten werden sollte einerseits der Akt der Überwachungsmaßnahme an sich, der zur Datenerhebung führt. Andererseits verweist die Artikel29-Datenschutzgruppe insbesondere auf das Urteil vom EuGH zu Digital Rights, in der das Gericht bemängelt hat, dass der Zugang von Behörden zu den auf Vorrat gespeicherten Daten keiner weiteren vorherigen Kontrolle unterliegt.223 In Fällen, in denen eine vorherige Prüfung durch die Aufsicht aufgrund begründeter Dringlichkeit nicht geboten ist, verlangt der EuGH eine anschließende Überprüfung, die innerhalb kurzer Zeit erfolgen soll.224 4. Effektive Beschwerdemöglichkeit Die letzte Garantie stellt eine effektive Beschwerdemöglichkeit des Einzelnen dar. Der EuGH hat in Schrems I mit Verweis auf Artikel 47 Absatz 1 Grundrechtecharta festgestellt, dass das Vorhandensein einer gerichtlichen Kontrolle „dem Wesen eines Rechtsstaats inhärent“ ist.225 Der EuGH sieht die Anforderungen an einen wirksamen gerichtlichen Rechtsbehelf auch dann erfüllt, wenn die Rechte vor 219 EuGH, U. v. 16. 7. 2020 – C-311/18 = MMR 2020, 597, 606 Rn. 180; Europäischer Datenschutzausschuss, Empfehlungen 02/2020, Rn. 36. 220 EuGH, U. v. 6. 10. 2015 – C-362/14 = MMR 2020, 597, 599 Rn. 93; Europäischer Datenschutzausschuss, Empfehlungen 02/2020, Rn. 27. 221 Europäischer Datenschutzausschuss, Empfehlungen 02/2020, Rn. 39. 222 Europäischer Datenschutzausschuss, Empfehlungen 02/2020, Rn. 42. 223 s. EuGH, U. v. 8. 4. 2014 – C-293/12 u. C-594/12 =MMR 2014, 412, 415 Rn. 66. 224 Europäischer Datenschutzausschuss, Empfehlungen 02/2020, Rn. 41. 225 EuGH, U. v. 6. 10. 2015 – C-362/14 =ZD 2015, 549, 555 Rn. 95.
90
3. Kap.: EU-Datenschutzrechtsniveau als Vergleichsmaßstab
einer anderen Instanz geltend gemacht werden können, die hinreichend unabhängig ist.226 Sowohl der EuGH als auch der EGMR haben erkannt, dass die Geltendmachung der Rechte vor Gericht grundsätzlich eine Benachrichtigung der betroffenen Person über die Überwachungsmaßnahme voraussetzen. Diese ist jedoch nicht immer möglich, ohne die Überwachung zu gefährden. In diesen Fällen sollte daher eine Benachrichtigung im Anschluss an die Ermittlung erfolgen.227 Der Rechtsbehelf in Artikel 47 Grundrechtecharta setzt voraus, dass Rechte bestehen, die gerügt werden können.228 Der EuGH hat für behördliche Überwachungen erklärt, dass eine betroffene Person das Recht haben muss, gerichtlich den Zugang, die Berichtigung oder die Löschung zu erwirken.229 5. Bewertung Die vier Garantien werden vom europäischen Datenschutzausschuss als Kernelemente bezeichnet, die in einer zusammenhängenden Gesamtschau den Vergleichsmaßstab für Überwachungsmaßnahmen im Drittstaat darstellen.230 Da das Datenschutzniveau im Drittstaat einer Gleichwertigkeit zum Recht der EU bedarf, erfordert die Bewertung dieser Garantien nach der Auffassung des europäischen Datenschutzausschusses ein gewisses Maß an Auslegung.231 Somit wird Datenübermittlern die Bewertung des Datenschutzniveaus im Drittstaat ungemein erschwert. Aufgrund der jüngsten Rechtsprechung des EuGH zu Schrems steht jedenfalls fest, dass die USA den Garantien in der Gesamtschau nicht gerecht werden. Die Anforderungen der vier Elemente sind dennoch wichtig für die Bewertung des bestehenden Rechts der US-amerikanischen Nachrichtendienste, um die konkreten Defizite und ihre Ursachen festzustellen und darauf basierend anschließend Lösungen für Datenübermittlungen in die USA zu etablieren. Zudem können die in der Orientierungshilfe gestellten Anforderungen, die nicht speziell an das Vorliegen einer Überwachung knüpfen, bei der Bewertung von Ausnahmen des US-Datenschutzes Berücksichtigung finden.232 Insgesamt verfolgen die vier Garantien einen strengen Ansatz für die Rechtmäßigkeit von Überwachungsmaßnamen.233 Aufgrund der Vorsehung von Schutzmaßnahmen zu verschiedenen zeitlichen Stadien und Bereichen von Überwa226
Europäischer Datenschutzausschuss, Empfehlungen 02/2020, Rn. 47. Europäischer Datenschutzausschuss, Empfehlungen 02/2020, Rn. 44. 228 Römling, ZEuS, 2019, 160. 229 Europäischer Datenschutzausschuss, Empfehlungen 02/2020, Rn. 43. 230 Europäischer Datenschutzausschuss, Empfehlungen 02/2020, Rn. 48. 231 Europäischer Datenschutzausschuss, Empfehlungen 02/2020, Rn. 49. 232 Vgl. EuGH, Pressemitteilung Nr. 123/20, indem der EuGH seine Ausführungen zu Eingriffen zugunsten der nationalen Sicherheit mit den Auslegungen zu den sonstigen Ausnahmen in Art. 23 Abs. 1 DSGVO verglichen hat. 233 Cording/Götzinger, CR 2018, 636, 639. 227
B. Europäische Rahmenbedingungen für Behördenzugriffe
91
chungsmaßnahmen wird das geltende Recht der nationalen Sicherheit in den EUMitgliedstaaten unmittelbar durch die Rechtsprechung des EuGH und des EGMR tangiert. Während im Jahre 2016 noch vom europäischen Datenschutzausschuss betont wurde, dass die EU keine „Doppelmoral“ betreibt, indem sie von den Drittstaaten mehr fordert, als ihre Mitgliedstaaten selbst rechtlich umsetzen,234 hat sie in der neuen Orientierungshilfe abschließend lediglich festgestellt, dass sich diese Standards aus dem EU-Recht und der Rechtsprechung des EuGH und des EGMR ergeben, die für die Mitgliedsstaaten verbindlich ist.235 Ob die Mitgliedstaaten der Aufforderung des europäischen Datenschutzausschusses gefolgt sind, ihre Überwachungsgesetze anzupassen, und die Garantien nun – anders als im Jahr 2016 – der Praxis der Mitgliedstaaten entsprechen, wurde offen gelassen.236 Das jüngste Urteil zur Vorratsdatenspeicherung deutet auf einen zur Rechtsprechung gegensätzlichen Status Quo der Mitgliedstaaten hin.
234 235 236
Artikel 29-Datenschutzgruppe, WP 237, 12. Europäischer Datenschutzausschuss, Empfehlungen 02/2020, Rn. 56. Artikel 29-Datenschutzgruppe, WP 237, 12.
Viertes Kapitel
Angemessenes Datenschutzniveau in den USA? Die Bewertung des US-Datenschutzniveaus setzt eine umfassende Untersuchung des bestehenden datenschutzrechtlichen Systems voraus.1 Dabei ist ein Verständnis des Datenschutzrechts in den USA notwendig,2 um im Einklang mit der Rechtsprechung des EuGH das „tatsächliche“ Schutzniveau zugrunde zu legen.3 Vor diesem Hintergrund werden ausgewählte Rechtsnormen, ihre Hintergründe und die Ansätze der praktischen Schutzgewährung in diesem Kapitel untersucht. Hier anknüpfend wird die Angemessenheit des Schutzes unter Berücksichtigung der Ergebnisse der vorherigen Kapitel geprüft.
A. Verfassungsrecht auf Bundesebene I. Vierter Verfassungszusatz 1. Privatsphärenschutz Im Gegensatz zum europäischen Recht, ist der Schutz personenbezogener Daten nicht ausdrücklich in der Verfassung der USA normiert. Allerdings kann der Schutz auf Privatsphäre aus dem vierten Zusatz der Verfassung abgeleitet werden.4 Der dort enthaltene Schutz des Einzelnen vor unangemessenen Durchsuchungen und Beschlagnahmen durch den Staat impliziert ein Recht auf Privatsphäre gegenüber dem Staat.5 Somit entfaltet der implizierte Privatsphärenschutz in den USA, im Gegensatz zum europäischen Grundrechteschutz6, keine Wirkung gegenüber Maßnahmen von Privatpersonen. Außerdem schützt der vierte Zusatzartikel nur US-amerikanische Staatsangehörige und Personen, die sich dauerhaft legal in den USA aufhalten.7
1
Vgl. EU-Kommission, COM (2017) 7, S. 7. Determann, NVwZ 2016, 561, 562, 567. 3 EuGH, U. v. 6. 10. 2015 – C-362/14 = ZD 2015, 549, 553 Rn. 73. 4 Warden v. Hayden, 387 U.S. 294, 304 (1967). 5 Fourth Amendment to the U.S. Constitution: „Unreasonable searches and seizures“. 6 Jarass, GR-Ch., Art. 51 Rn. 31 ff. 7 U.S. v. Verdugo-Urquidez, 494 U.S. 259, 266 ff. (1990); Simitis/Hornung/Spiecker/ Schantz, DSGVO, Art. 45 Rn. 43. 2
A. Verfassungsrecht auf Bundesebene
93
2. „Third-party doctrine“ Der Schutz auf Privatsphäre im vierten Verfassungszusatz kann nicht mit dem Schutz des Grundrechts auf Privatsphäre in Europa gleichgesetzt werden. Grund hierfür stellt insbesondere die sog. „third-party doctrine“ dar. Demnach sollen Daten, die freiwillig an Dritte übergeben werden, nicht dem Schutz der Privatsphäre unterliegen. Ausgangspunkt für die Ausschließung des Schutzes stellt die Annahme dar, dass der Einzelne durch die Zurverfügungstellung seiner Daten an Dritte billigerweise keinen Privatsphärenschutz mehr erwarten kann.8 Dabei soll eine Rolle spielen, ob diese Erwartungshaltung in der Gesellschaft anerkannt ist.9 Nach dem Grundsatz der „third-party doctrine“ ist es anerkannt, dass betroffene Personen, die ihre Informationen bei Dritten gespeichert haben, das Risiko eines staatlichen Zugriffs auf eigene personenbezogene Daten bewusst in Kauf genommen haben.10 a) FISC-Rechtsprechung zu Metadaten Sich der Argumentation der „third-party doctrine“ bedienend, bestätigte das für die Absegnung geheimdienstlicher Aktivitäten zuständige FISA-Gericht, dem sog. FISC, im Jahr 2013, dass Metadaten von Telefonaten nicht vom vierten Verfassungszusatz geschützt werden.11 Da der Telefonanbieter als Dritter über diese Daten verfüge, sei von einem staatlichen Zugriff auf diese auszugehen. Bei konsequenter Anwendung der „third-party doctrine“ auf die freiwillige Übermittlung von Daten an Dritte werden nahezu alle Informationen im Zusammenhang mit der Inanspruchnahme von online Diensten, wie E-Mail und OnlineBanking, und dem bloßen Abruf von Internetseiten vom Privatsphärenschutz ausgeschlossen.12 Ob der Zugriff des Staates auf solche Informationen tatsächlich von der betroffenen Person erwartet wird, ist letztendlich eine Wertungsfrage. Es existiert ein großer Spielraum für Argumente, was den Zugriff von Geheimdiensten auf personenbezogene Daten erheblich erleichtert, wie das Urteil des FISC veranschaulicht. Die Abhängigkeit des Schutzes von einem „subjektiven“13 Element führt außerdem dazu, bestimmte Personengruppen eher vom Schutz personenbezogener Daten auszuschließen. So können für die Telefonanbieter oder nationalen Geheimdienste tätige Personen aufgrund ihres Insiderwissens schneller von einem staatlichen Zugriff auf Daten ausgehen als andere Personen.
8
Katz v. United States, 389 U.S. 347 (1967): „Reasonable expectation of privacy“. Smith v. Maryland, 442 U.S. 735, 740 (1979). 10 Katz v. United States, 389 U.S. 347 (1967): „The telephone user assumes the risk that the company will provide that information to the government“. 11 FISC, Order BR 13 – 109, 29. 08. 2013, S. 7 ff. 12 Vgl. United States v. Jones, 132 S.Ct. 945, 957 (2012); LIBE, PE 536.459, A comparison between US and EU data protection legislation for law enforcement purposes, S. 51. 13 Supreme Court, 389 U.S. 347 (1967). 9
94
4. Kap.: Angemessenes Datenschutzniveau in den USA?
b) Subjektive Erwartungshaltung Es ist auch dem europäischen Datenschutzrecht nicht fremd, der Annahme des Betroffenen, eine Datenverarbeitung werde voraussichtlich erfolgen, Gewicht zu verleihen. Die Erwartungshaltung des Betroffenen wird im Rahmen der Bewertung einer fairen Verarbeitung nach Treu und Glauben berücksichtigt.14 Allerdings kann die subjektive Erwartung der betroffenen Person nur dort berücksichtigt werden, wo das Gesetz einen entsprechenden Raum für solche Erwägungen zulässt und nicht pauschal den Schutz der DSGVO ausschließen.15 An Stellen, in denen die DSGVO die Ergreifung konkreter Schutzmaßnahmen vom bestehenden Risiko der Datenverarbeitung bedingt, kann eine Risikominimierung dadurch eintreten, dass die betroffene Person „vernünftigerweise“ mit einer Datenverarbeitung gerechnet hat.16 Die Vertraulichkeitserwartung ist allerdings nur ein Aspekt, der bei der Entscheidung über die konkreten Schutzmaßnahmen berücksichtigt wird. Der Verantwortliche hat alle bestehenden Risiken und Umstände im Einzelfall zu berücksichtigen.17 Es findet in jedem Falle also eine Abwägung aller widerstreitenden Interessen und Grundrechte statt. Zudem sieht die DSGVO vor, dass die vernünftigen Erwartungen der betroffenen Person eine Datenverarbeitung im Falle überwiegender berechtigter Interessen des Verantwortlichen oder eines Dritten rechtfertigen kann, sodass es keiner Einwilligung oder anderen Rechtsgrundlage für die Datenverarbeitung bedarf.18 Jedoch soll dies ausdrücklich nicht für die Verarbeitung durch Behörden gelten, da zulässige Datenverarbeitungen zur Erfüllung behördlicher Aufgaben explizit in einer Rechtsnorm normiert werden sollen.19 Dies entspricht dem unionsgrundrechtlich normierten Grundsatz des Vorbehalts des Gesetzes in der EU.20 Daher ist die Ablehnung des Datenschutzes für Verarbeitungen personenbezogener Daten durch öffentliche Stellen aufgrund dessen Vorhersehbarkeit ohne konkrete gesetzliche Normierung nicht mit den Grundrechten der Union vereinbar. Aus diesen Gründen kann die Berücksichtigung der subjektiven Erwartungshaltung der betroffenen Person in der DSGVO nicht mit dem Ausschluss des Schutzes in der US-amerikanischen „third-party doctrine“ verglichen werden.
14 Siehe 3. Kapitel dieser Arbeit. Ehmann/Selmayr/Heberlein, DSGVO Art. 5 Rn. 9; Spindler/Schuster/Dalby, DSGVO, Art. 5 Rn. 5. 15 Ebda. 16 Veil, ZD 2018, 9, 14; DSGVO EG 47 S. 2, 3. 17 Vgl. Art. 30 Abs. 1, 5; 35 Abs. 1; 36 Abs. 1; 37 DSGVO. 18 Siehe 3. Kapitel dieser Arbeit. EG DSGVO 47 S. 1 ff.; Ehmann/Selmayr/Heberlein, DSGVO Art. 5 Rn. 10. 19 DSGVO EG 47 S. 5. 20 Art. 8 Abs. 2 S. 1; 52 Abs. 1 S. 1 GR-Ch., Art. 8 Abs.2 S. 2 EMRK.
A. Verfassungsrecht auf Bundesebene
95
c) Schutzaufrechterhaltende Rechtsprechung Es ist darauf hinzuweisen, dass entgegengesetzte Urteile in den USA existieren, die einen Schutz von Telefonverbindungsdaten vor staatlichen Zugriffen unter dem vierten Verfassungszusatz befürworten. So wurde beispielsweise zwei Jahre nach der Entscheidung des FISA-Gerichts ein solcher Schutz jedenfalls indirekt anerkannt.21 Sich festlegen, unter welche Alternative des vierten Verfassungszusatzes ein solcher staatlicher Zugriff Anwendung findet, wollte das Berufungsgericht nicht.22 Gleichzeitig wurde die kontroverse Haltung des Supreme Courts zu dieser Thematik angesprochen.23 Der Supreme Court hat sich im Jahr 2018 für den Schutz des vierten Verfassungszusatzes ausgesprochen mit der Folge, dass ein Durchsuchungsbefehl benötigt wird, wenn es sich um Informationen über die Verbindungen von Handys zu Sendemasten handelt. In dem Urteil wird sogar explizit zur „third-party doctrine“ referiert, allerdings mit dem Hinweis, dass sich die Qualität der Datenkategorien maßgeblich unterscheide, wenn es nur um Telefonnummern und Zahlungsbelege geht oder eben um die Verbindung zu Sendemasten, die Aufschluss über die Aufenthaltsorte und die zugehörige Aufenthaltszeit liefern und somit einen Einblick in das intime Leben einer Person bieten.24 Dieses Urteil ist als eine Einschränkung der „third-party doctrine“ zu sehen, jedoch handelt es sich, wie im Urteil klargestellt, nur um eine „begrenzte Entscheidung:“25 Andere bestimmte Entscheidungen sowie Datenzugriffe zugunsten auswärtiger Angelegenheiten26 oder der nationalen Sicherheit werden vom Urteil nicht adressiert.27 Zudem muss beachtet werden, dass weiterhin Ausnahmen zugunsten von Notfällen zugelassen sind.28 Die Frage, ob ein Durchsuchungsbefehl für einen kürzeren Überwachungszeitraum als sieben Tage benötigt wird, wurde nicht beantwortet.29 In den USA wurde dieses Urteil überwiegend als „bahnbrechender Sieg für die Datenschutzrechte im digitalen Zeitalter“ gesehen.30 Der Kritik unterliegt allerdings die begrenzte Reichweite des Urteils. Da die meisten Informationen sich im Besitz 21
United States Court of Appeals for the second circuit, Docket No. 14-42-cv, S. 28. Ebda: Nach der Auffassung des Berufungsgerichts soll es sich wohl eher um eine Beschlagnahme („seizure“) als eine Durchsuchung („search“) handeln. 23 United States Court of Appeals for the second circuit, Docket No. 14-42-cv, S. 83. 24 Supreme Court, Carpenter vs US – Docket No. 16 – 402, S. 11, 12: „provides an intimate window into a person’s life“. 25 Supreme Court, Carpenter vs US – Docket No. 16 – 402, S. 17, „narrow“. 26 „foreign affairs“. 27 Supreme Court, Carpenter vs US – Docket No. 16 – 402, S. 18. 28 Supreme Court, Carpenter vs US – Docket No. 16 – 402, S. 22. 29 Vgl. Supreme Court, Carpenter vs US – Docket No. 16 – 402, S. 21. 30 ACLU, Supreme Court rules Police need a Warant to track Cellphones, 22. Juni 2018. Abrufbar unter: https://www.aclu.org/press-releases/supreme-court-rules-police-need-warranttrack-cellphones?redirect=news/supreme-court-rules-police-need-warrant-track-cellphones. 22
96
4. Kap.: Angemessenes Datenschutzniveau in den USA?
von Dritten befinden, hätte das Urteil eine allgemeinere Geltung beanspruchen sollen.31 Das Urteil führt aufgrund der begrenzten Geltung zu keiner Änderung der Bewertung der „third-party doctrine“ aus europäischer Sicht. Da Datenzugriffe von Behörden auf aus der EU übermittelte Daten regelmäßig zugunsten auswärtiger Angelegenheiten oder der nationalen Sicherheit erfolgen, führt das Urteil zu keinem Ausschluss der „third-party doctrine“. d) Bewertung durch die EU-Kommission In Privacy Shield bewertet die EU-Kommission den vierten Zusatzartikel zur USamerikanischen Verfassung als notwendig und verhältnismäßig im Sinne des europäischen Rechts.32 Die Problematik der „third-party doctrine“ wird im Privacy Shield Text allerdings nicht direkt erwähnt. Die EU-Kommission verlässt sich stattdessen vielmehr darauf, dass „grundsätzlich“ eine gerichtliche Anordnung benötigt wird und der oberste Gerichtshof wiederholt Durchsuchungen ohne richterliche Anordnung „als Ausnahmefälle“ bezeichnet hat.33 Mit der Tatsache, dass sich die Ausnahmen auf die für Datenübermittlungen relevanten Bereiche der auswärtigen Angelegenheiten oder nationalen Sicherheit beziehen, hat sich die EU-Kommission nicht beschäftigt. Ferner hat sie die Rechtsprechung von Spezialgerichten wie FISC nicht erwähnt. Somit hat die EU-Kommission das Recht der USA nicht umfassend gewürdigt, wie Artikel 45 Absatz 2 DSGVO es verlangt. e) Ergebnis Trotz der neusten Rechtsprechung zur „third-party doctrine“ und entgegen der Auffassung der EU-Kommission bleibt es bei der Bewertung, dass der Schutz auf Privatsphäre im vierten Verfassungszusatz nicht mit dem Schutz des Grundrechts auf Privatsphäre in Europa gleichgesetzt werden kann. Diskussionen über die Reichweite der „third-party doctrine“ sind besonders der Tatsache geschuldet, dass der Schutz auf Privatsphäre nicht ausdrücklich in der Verfassung normiert ist. Diese Unsicherheiten gehen zu Lasten des Schutzes personenbezogener Daten auf höchster Ebene mit dem Resultat, dass der vom vierten Verfassungszusatz gewährte Schutz stark von den Umständen des Einzelfalls variiert.34 Aufgrund der unklaren und strittigen Reichweite des Schutzbereiches lässt sich das aus der Verfassung ableitbare Recht auf Schutz personenbezogener Daten in den USA nicht mit dem in der DSGVO konkretisierten Grundrecht auf Datenschutz in der Union vergleichen. 31 Solove, Carpenter v. United States, Cell Phone Location Records, and the Third Party Doctrine, 1. Juli 2018. Abrufbar unter: https://teachprivacy.com/carpenter-v-united-states-cellphone-location-records-and-the-third-party-doctrine/. 32 EU-Kommission, Durchführungsbeschl. 2016/1250 v. 12. Juli 2016 =Privacy Shield, EG 126 S. 4. 33 Ebda. 34 Lejeune, CR 11/2013, 755.
B. Datenverarbeitungen durch Private
97
II. Erster Verfassungszusatz Ein Recht auf Privacy wird auch in Zusammenhang mit dem ersten Verfassungszusatz diskutiert. Dieser Verfassungszusatz schützt unter anderem das Recht auf Meinungsfreiheit.35 Zugrunde liegt das Verständnis, die Meinungsfreiheit schütze das Verbreiten von Ansichten und Informationen, was somit Daten als Informationen einschließt.36 Demnach kann sich ein Schutz auf die Übermittlung und andere Arten der Offenlegung von Daten und zusammenhängenden Verarbeitungen beziehen.37 Eine Erstreckung des Schutzes auf jegliche Verarbeitungshandlungen unabhängig von einer Preisgabe der Daten liegt folglich nicht vor. Zudem ist die Problematik, welche Meinungsinhalte vom ersten Verfassungszusatz geschützt werden, ebenso auf die Verbreitung personenbezogener Daten übertragbar.38 Somit hängt der Schutz personenbezogener Daten unter dem ersten Verfassungszusatz von wesentlichen Umständen des Einzelfalls ab und vermag keinen generellen Anspruch auf Schutz personenbezogener Daten und dessen Verarbeitung zu vermitteln.
B. Datenverarbeitungen durch Private I. Ausgewähltes Bundesrecht In den USA besteht kein allgemeines Bundesrecht, das gleichsam der DSGVO dem Schutz aller Arten von personenbezogenen Daten dient. Stattdessen wendet sich das Recht auf US-amerikanischer Bundesebene lediglich einzelnen Sektoren zu, in denen Datenverarbeitungen besonders schützenswert erscheinen. Die parallele Existenz spezieller Datenschutzgesetze in einigen Bundesstaaten komplettiert das Bild eines Datenschutzes in Form eines „Flickwerks“39, der sich aus Gesetzen und Regelungen auf verschiedenen Ebenen zusammensetzt. Die bundesstaatlichen sektorspezifische Regelungen bieten teilweise einen hohen Schutz, der dem europäischen Datenschutz ähnelt.40 Dennoch wurde bislang keine Teilangemessenheitsentscheidung der EU-Kommission erlassen, die es gestatten würde, einem Sektor zugehörige personenbezogene Daten in die USA zu übermitteln. Die Mög35
First Amendment to the United States Constitution: „Freedom of Speech“. Richards, 56 Wiliam & Mary Law Review, 1501, 1524. 37 Vgl. Richards, 56 Wiliam & Mary Law Review, 1501, 1524: „Ability to share data“. 38 Vgl. Richards, 56 Wiliam & Mary Law Review, 1501, 1524 ff, siehe auf S. 1527 ein Verweis auf Urteile, die virtuelle Kinderpornografie, Drohungen, Lügen, Diskriminierung und Hassreden dem Schutz des ersten Verfassungszusatzes zuordnen. 39 Schwartz, Referat 69. DJT 2012, O96. Auch „Flickteppich“ genannt, s. Simitis/Hornung/ Spiecker/Schantz, DSGVO, Art. 45 Rn. 42. 40 Simitis/Hornung/Spiecker/Schantz, DSGVO, Art. 45 Rn. 42. 36
98
4. Kap.: Angemessenes Datenschutzniveau in den USA?
lichkeit einer Angemessenheitsentscheidung, die sich auf einen oder mehrere Sektoren in einem Drittstaat bezieht, bestand bereits in der DSRL und ist nun erstmalig ausdrücklich41 vorgesehen.42 Im Folgenden werden repräsentative sektorspezifische US-amerikanische Rechtsakte und ihre wesentlichen Gemeinsamkeiten und Unterschiede zur DSGVO dargestellt. Dabei werden auch ihre Hintergründe und aktuelle Entwicklungen erörtert, die bei der anschließenden Diskussion um zukunftsorientierte Optionen für Datenübermittlungen von der EU in die USA berücksichtigt werden. 1. Children’s Online Privacy Protection Act Eine bundesstaatliche Regelung in den USA, die wesentliche europäische Datenschutzgrundsätze widerspiegelt, ist der Children’s Online Privacy Protection Act, abgekürzt COPPA. Dieser befasst sich mit der Behandlung von Daten von Kindern unter dreizehn Jahren. a) Konkrete Anforderungen an die Einwilligung Auf Grundlage des COPPA basiert eine Rechtsverordnung der Federal Trade Commission, die Webseiten- und Online-Service-Betreibern Pflichten bei der Datenverarbeitung von Kindern auferlegt. Diese Pflichten erstrecken sich auch auf die Einholung einer Einwilligung der Eltern.43 Dies stimmt insoweit mit der DSGVO überein, als dass Minderjährige erst dann selbst einwilligen können, wenn sie das dreizehnte Lebensjahr vollendet haben.44 Für die Altersgrenze in der DSGVO galt der COPPA als Vorbild.45 Da in der DSGVO für Minderjährige unter 13 Jahren noch andere Rechtfertigungsgründe neben der ausdrücklichen Einwilligung in Betracht kommen, handelt es sich bei der Einwilligung in dem COPPA um eine vergleichsweise strenge Regelung. Zudem werden im Gegensatz zur DSGVO, in der vorgeschrieben ist, dass der Verantwortliche „angemessene Anstrengungen“ zur Herkunft der Einwilligung unternehmen soll,46 in dem COPPA spezifischere Anforderungen an die elterliche Einwilligung gestellt. In diesem Sinne sind neben der Schriftlichkeit der Einwilligung konkrete Maßnahmen zu ihrer Überprüfung vorgesehen.47 Zur Sicherstellung der Echtheit der Einwilligung verlangt der COPPA die Identifizierung der Eltern 41
Art. 45 Abs. 1 DSGVO. Art. 25 Abs. 6 DSRL; Geppert, ZD 2018, 62, 63. 43 16 CFR § 312.5 COPPA; Rauda, MMR 2017, 15, 18. 44 Art. 8 Abs. 1 Uabs. 2. In der EU steht es den Mitgliedstaaten frei, ein höheres Alter festzulegen, Arg. ex. Art. 23 Abs. 1 DSGVO. 45 Schantz, NJW 2016, 1841, 1845. 46 Art. 8 Abs. 2 DSGVO. 47 16 CFR § 312.5 (b)(2) COPPA; Rauda, MMR 2017, 15, 18. 42
B. Datenverarbeitungen durch Private
99
anhand verifizierter Zahlungsmittel, des Anrufs durch eine geschulte Hotline, des Abgleichs mit einer Datenbank und andere Verifikationsmittel.48 Da die Formulierung in der DSGVO einen großen Auslegungsspielraum eröffnet, sind die Anforderungen in der EU an die Verifizierung nicht klar. Es besteht besondere Rechtsunsicherheit, da in der EU zeitgleich der Grundsatz der Datensparsamkeit bei der Erhebung von Verifizierungsdaten der Eltern berücksichtigt werden muss.49 Die konkreten Handlungsanweisungen im COPPA führen somit zu einem höheren Schutz von Minderjährigen in den USA als in der EU. b) Datenminimierung Der COPPA ist das einzige US-amerikanische Recht auf Bundesebene, welches das Prinzip der Datenminimierung der Daten enthält.50 Die Erforderlichkeit der Daten für den ursprünglichen Zweck bezieht sich sowohl auf die Erhebung als auch auf die Speicherung personenbezogener Daten.51 Daten, die über das für den ursprünglichen Verarbeitungszweck Erforderliche hinausgehen, müssen gelöscht werden.52 Ein Grund für die mangelnde Vorsehung der Erforderlichkeit und Datenminimierung in den USA liegt in der Kultur und Praxis im Hightech-Standort Silicon Valley. In diesem wird darauf abgezielt, so viele Daten wie möglich zu erheben, um hieraus neue Technologien zu entwickeln und andere Früchte zu ziehen.53 Da unendliche Kombinierungsmöglichkeiten von verschiedenen Datensätzen bestehen und neue Erkenntnisse aus diesen Verknüpfungen entstehen können, wollen Unternehmen sich nicht auf eine Begrenzung der Datenmenge festlegen. Um den potenziellen zukünftigen Wert wissend, streben sie die größtmögliche Datenspeicherung an. Die Reduzierung der Erhebung und Sammlung von Daten wurde aus diesem Verständnis heraus als „Innovationskiller“54 verstanden. Ein anderer Grund, der gegen das Prinzip der Erforderlichkeit spricht, ist die zusammenhängende Löschung von Daten, welche dem ausdrücklich verfassungsrechtlich normierten Recht auf freie Meinungsäußerung und Verbreitung von Informationen in den USA zuwiderläuft.55 Dieser Schutz genießt in den USA einen
48
Ebda. Kühling/Buchner, DSGVO, Art. 8 Rn. 27; Auer-Reinsdorff/Conrad/Hausen, § 36 Rn. 207 ff. 50 Hoofnagle, S. 311. 51 16 CFR §§ 312.7, 312.10. 52 16 CFR § 312.10 S. 2. 53 Hoofnagle, S. 311. 54 Salzmann/Schindler, ZD-Aktuell 2018, 06293. 55 Schwartz/Peifer, 106 The Georgetown Law Journal, 115, 134; Hoofnagle, S. 316. 49
100
4. Kap.: Angemessenes Datenschutzniveau in den USA?
deutlich höheren Stellenwert als in der EU.56 Selbst in den wenigen Fällen, in denen es ein sektorales Recht auf Beschränkung von Verarbeitungen gibt, wird dieses teilweise als problematisch mit der aktuellen amerikanischen Rechtsprechung zur Meinungsäußerung eingestuft.57 In Anbetracht dieser Herausforderungen für die Datenminimierung ist der COPPA ein fortschrittliches Recht. Es demonstriert den Ansatz der USA, Datenverarbeitungen, die ein erhöhtes Risiko für die Interessen und Schutzgüter betroffener Person bedeuten, durch eigene Rechtsakte zu schützen. 2. Schutz von Finanzdaten In den USA herrschen verschiedene Rechtsakte, die personenbezogene Daten im Bereich des Finanzwesens schützen. Diese Rechtsakte verfolgen eine zur DSGVO ähnliche Ausgestaltung von Rechten und Pflichten im Zusammenhang mit dem Schutz personenbezogener Daten. Der Schutzansatz unterscheidet sich allerdings von dem in der DSGVO. a) Vergleichbare Rechte zur DSGVO Der Fair Credit Reporting Act, abgekürzt FCRA, schützt Finanzdaten und andere für die Krediterteilung relevante Daten. Durch den FCRA wurden erstmalig transparente Regelungen für den Umgang mit Kundendaten geschaffen. Deshalb stellt der FCRA einen „Grundstein“ für das US-amerikanische Datenschutzrecht dar.58 Der FCRA weist gewisse Regelungen auf, die mit der DSGVO vergleichbar sind. Im FCRA wird die von den Verantwortlichen anzuwendende Fairness59 und Sorgfalt hinsichtlich der Korrektheit60 der Informationen und der Privatsphäre61 der Kunden betont. Kunden wird sowohl ein Recht auf Zugang zu ihren Daten62 als auch zur Berichtigung oder Löschung unrichtiger Daten gewährt.63 Zudem müssen Daten auf den neusten Stand gebracht sein.64 Der FCRA sieht außerdem Beschränkungen für die Erstellung von Kreditberichten vor, die sich auf ältere Informationen beziehen. Nach einem gewissen Zeitraum65 sollen diese Informationen keine Relevanz 56
447. 57 58 59 60 61 62 63 64 65
Determann, Kommunikationsfreiheit im Internet, S. 468 ff., 622; ders., ZD 2018, 443, Hoofnagle, S. 316; Schwartz/Peifer, 106 The Georgetown Law Journal, 115, 134. Genz, S. 60; Schwartz/Peifer, 106 The Georgetown Law Journal, 115, 134. 15 U. S. C. § 1681 (a) (1). 15 U.S.C §§ 1681 (a) (1), 1681d (a) (1). 15 U. S. C. § 1681(a)(4). 15 U. S. C. § 1681 g. 15 U. S. C. § 1681i (f) (2) (B); 1681 s-2 (a) (2) (B). 15 U. S. C. § 1681i. In der Regel sieben Jahre, s. 15 U. S. C. § 1681c (a) (2)–(5).
B. Datenverarbeitungen durch Private
101
mehr für entsprechende Berichte haben.66 Dieses Recht wird als Recht darauf, im Verborgenen zu bleiben, bezeichnet.67 Es spiegelt den Gedanken wider, dass sich negativ auswirkende Informationen Verbrauchern nicht ewig folgen sollten.68 Dieser Grundsatz ist gleichwertig zum Ansatz des EuGH in Google vs. Spain, in dem der Weg für das Recht auf Vergessenwerden geebnet wurde. Im Finanzwesen ist die Erstellung von Profilen auf Grundlage erhobener Daten zur Vergabe von Konditionen von Krediten eine folgenreiche Datenverarbeitung für betroffene Personen. Der FCRA enthält Rechte, die es der betroffenen Person ermöglichen, eine Erklärung zu Entscheidungen über die Kreditwürdigkeit zu erhalten und diese anzufechten.69 Somit bestehen Sicherheitsmaßnahmen, die einen Schutz bieten, der den Anforderungen für automatisierte Entscheidungen und Profiling in Artikel 22 DSGVO ähnelt.70 b) Keine Transparenz für behördliche Datenzugriffe Der Schutz von Finanzdaten wird durch den Gramm-Leach-Bliley-Act ergänzt, abgekürzt GLBA, der weitere Bedingungen an die Offenlegung von Informationen durch die Finanzinstitute knüpft. Demnach müssen Finanzinstitute über die eigenen Richtlinien und Praktiken im Zusammenhang mit der Offenlegung von Informationen informieren.71 Dies führt allerdings zu keiner Transparenz in Bezug auf Zugriffen zugunsten der nationalen Sicherheit. Denn die Pflicht schließt keine Informationen über die Übermittlung von Informationen an Behörden ein.72 Die Aufklärung über die Prozesse, die der Entsprechung einer Behördenanfrage zugrunde liegen, steht somit im Ermessen der Finanzinstitute. In der EU sind solche Informationen ebenso freiwillig. Dennoch ist die Offenlegung entsprechender Informationen durch Finanzdienstleister für Datenübermittlungen von der EU in die USA von Bedeutung. Sie kann Unternehmen in der EU dabei behilflich sein, das Risiko eines Behördenzugriffs einzuschätzen.
66
15 U. S. C. § 1681c. Engl.: „Right to obscurity“. McCarthy, GRUR Int. 2016 604, 611. Brill, Why You Have the Right to Obscurity, 15 April, 2015. Abrufbar unter: https://www.ftc.gov/system/files/docu ments/public_statements/637101/150415righttoobscurity.pdf. 68 Ebda. 69 Vgl. zum „credit score“ in 15 U. S. C. § 1681; EU-Kommission, ADM and the EU-US Privacy Shield, Oktober 2018 – 2, 110. 70 EU-Kommission, ADM and the EU-US Privacy Shield, Oktober 2018 – 2, 111. Abrufbar unter: https://ec.europa.eu/info/sites/info/files/independent_study_on_automated_decision-ma king.pdf. 71 15 U. S. C. § 6803 (a). 72 15 U. S. C. § 6803 (d); FDIC, Consumer Compliance Examination Manual, VIII-1.1, Juni 2016. Abrufbar unter: https://www.fdic.gov/regulations/compliance/manual/8/VIII-1.1.pdf. 67
102
4. Kap.: Angemessenes Datenschutzniveau in den USA?
c) Grundsätzliche Erlaubnis zur Verarbeitung Die meisten Schutzmaßnahmen des FCRA und GLBA beziehen sich nicht auf alle Verarbeitungsschritte, sondern nur auf einzelne Verarbeitungsmaßnahmen, wie die Transparenzpflicht in Bezug auf die Offenlegung von Informationen veranschaulicht. Dies ist ein maßgeblicher Unterschied zur DSGVO, der sich in allen USamerikanischen Rechtsakten wiederfindet. Diese Differenz resultiert aus der Tatsache, dass Datenverarbeitungen in den USA grundsätzlich erlaubt sind, solange nichts Anderweitiges geregelt ist. Ein Gesetzesvorschlag mit einem Rechtfertigungsbedürfnis für umfassende Verarbeitungsschritte wurde vom US-Kongress erwogen und letztendlich aus verschiedenen Gründen abgelehnt.73 Ein wesentlicher Grund war die mangelnde Einschätzung von allgemeinen Datenverarbeitungen als Gefährdungen.74 Der FCRA wurde bereits im Jahre 1970 erlassen. Daher ist davon auszugehen, dass der USKongress die Risiken von heutigen Datenverarbeitungen, die durch neue Techniken und die Ubiquität des Internets hervorgerufen werden, nicht überschauen konnte. d) Einwilligung durch Opt-Out Ein weiterer Unterschied zum europäischen Datenschutzrecht, der anhand des Beispiels der Finanzdaten sichtbar ist, stellt die Ausgestaltung der Einwilligung dar. Für die Weitergabe von Finanzdaten ist keine ausdrücklich zu erteilende Einwilligung erforderlich, die den Anforderungen der DSGVO gerecht wird. Vielmehr reicht eine Opt-Out Lösung aus, um dem Kunden in diesem Fall die Wahl zu belassen, ob eigene Gesundheitsinformationen an Dritte übermittelt werden dürfen.75 Einwilligungen ohne aktive Kundgabe des Willens Betroffener sind in den USA im Gegensatz zur EU76 nicht generell von Vorneherein unzulässig. Daher kann auf eine Opt-Out Lösung für die Erteilung von Einwilligungen zurückgegriffen werden, solange nichts Anderweitiges im US-Recht bestimmt ist. e) Aufsicht durch die Federal Trade Commission Im Bereich der Finanzdatenverarbeitung erregte in den letzten Jahren eine der größten US-amerikanischen Kreditauskunfteien, Equifax, Aufsehen. Im September 2017 verkündete Equifax erlittene Datenpannen, welche Hackern den Zugriff auf personenbezogene Daten von mehr als 147 Millionen Betroffenen ermöglichte. Hintergrund waren mangelnde Sicherheitsvorkehrungen. Personenbezogene Daten wie Sozialversicherungsnummern, Geburtsdaten und Adressen wurden von Equifax 73 74 75 76
Determann, NVwZ 2016, 561, 565; Schwartz, 118 Yale Law Review 2009, 902, 911. Determann, NVwZ 2016, 561, 565; Schwartz, 118 Yale Law Review 2009, 902, 913. 15. U.S.C § 6802 (b). Siehe 3. Kapitel dieser Arbeit.
B. Datenverarbeitungen durch Private
103
unverschlüsselt gespeichert.77 Der FCRA schreibt zwar nicht ausdrücklich die Verschlüsselung vor, zwingt jedoch Finanzinstitute angemessene technische und physische Sicherheitsmaßnahmen zu erlassen.78 Die Formulierung ähnelt den Anforderungen der Sicherheit von Datenverarbeitungen in der DSGVO79 und deutet darauf hin, dass alle Umstände und Risiken des Einzelfalls ausschlaggebend für die konkreten Schutzmaßnahmen sind. aa) Handlungspotenzial Für die Durchsetzung des FCRA ist die Federal Trade Commission, abgekürzt FTC, zuständig, die diese Aufgabe als Priorität einstuft.80 Die FTC dient dem Verbraucherschutz und ist in diesem Sinne befugt, gegen unfaire oder irreführende Praktiken vorzugehen.81 Im konkreten Fall hat sich die FTC für die Zahlung eines Schadensersatzes der Betroffenen der Datenpanne eingesetzt und konnte sich mit Equifax auf eine Rekordsumme von über 425 Millionen US-Dollar einigen.82 Diese Einigung demonstriert das immense Handlungspotenzial der FTC. Der Fall Equifax lenkte die Aufmerksamkeit auf den Datenhandel in den USA, da auch solche Verbraucher betroffen waren, die niemals in direktem Kontakt mit Equifax standen. Insgesamt führte diese Datenpanne zu einer ungemeinen Steigerung der Sensibilität hinsichtlich Übermittlungen und Speicherungen von Daten in den USA.83 Daran nahm in besonderem Maße die FTC teil, da sie Verbraucher wiederholt dazu ermutigte, ihre Rechte auf Schadensersatz gegenüber Equifax geltend zu machen.84 Für den Schadensausgleich standen alternativ zur Zahlung eines Geldbetrages die Inanspruchnahme kostenloser Kreditüberwachungsdienste zur Verfügung. Zudem wurde Equifax dazu verpflichtet, betroffene Personen kostenfrei mindestens sieben Jahre dabei zu unterstützen, die Folge von Identitäts-
77
Sokolov, Megahack Equifax’ war „absolut vermeidbar“, 28. Dezember 2018. Abrufbar unter: https://www.heise.de/security/meldung/Megahack-Equifax-war-absolut-vermeidbar-42 59677.html?seite=all. 78 16 CFR Part 314; 15 U.S.C § 6801 (b). 79 Art. 32 DSGVO. Siehe 3. Kapitel dieser Arbeit. 80 Determann, California Privacy Law, S.92. 81 Sec. 5 FTC Act („unfair or deceptive acts or practices in or affecting commerce“), Privacy Shield EG 59. 82 FTC, Equifax Data Breach Settlement, Januar 2020. Abrufbar unter: https://www.ftc.gov/ enforcement/cases-proceedings/refunds/equifax-data-breach-settlement. 83 Kerry, Why protecting privacy is a losing game today – and how to change the game. Abrufbar unter: https://www.brookings.edu/research/why-protecting-privacy-is-a-losing-gametoday-and-how-to-change-the-game/. 84 Vgl. FTC, Encourages Consumers to Opt for Free Credit Monitoring, as part of Equifax Settlement, 31. Juli 2019. Abrufbar unter: https://www.ftc.gov/news-events/press-releases/201 9/07/ftc-encourages-consumers-opt-free-credit-monitoring-part-equifax.
104
4. Kap.: Angemessenes Datenschutzniveau in den USA?
diebstählen durch ihre Sicherheitsverletzung zu beseitigen.85 Die Reaktionen der FTC veranschaulichen, dass der FTC wie den Aufsichtsbehörden in der EU ein weites Auswahlermessen bei der Auferlegung von Pflichten zur Verfügung steht. Sie hat somit Befugnisse, die geeignet sind, ein angemessenes Datenschutzniveau zu gewährleisten. bb) Unabhängigkeit der FTC Fraglich ist, ob die FTC darüber hinaus mit den EU-Aufsichtsbehörden, insbesondere ihrer Unabhängigkeit, vergleichbar ist. Denn als allgemeine Verbraucherschutzbehörde stehen der FTC nur begrenzte Mittel für den Schutz der Privatsphäre zu Verfügung.86 Die Aufsichtsbehörde des Vereinten Königreichs (ICO) verfügt beispielsweise über knapp fünfzehn Mal mehr Mitarbeitern für den Schutz der Privatsphäre.87 Zudem obliegt die Entscheidung über die finanziellen Mittel der FTC dem US-Kongress. Diese Entscheidungshoheit führt dazu, dass die Unabhängigkeit der FTC in Frage gestellt werden kann. In der Vergangenheit hat der US-Kongress bereits Stilllegungen gegenüber der FTC angeordnet.88 Somit kann nicht ausgeschlossen werden, dass von der FTC ergriffene Maßnahmen vom US-Kongress beeinflusst werden.89 Eine Schaffung ausreichender Ressourcen mit festgelegten Bemessungskriterien würde einer solchen Beeinflussung entgegenwirken.90 Einen Schritt in diese Richtung könnte die von dem US-Präsidenten Joe Biden vorgenommene Ernennung des neuen Vorsitzes der FTC darstellen.91 Die von ihm ausgewählte Besetzung ist dafür bekannt, sich für vermehrte Ressourcen der FTC einzusetzen.92 Mit der Ernennung
85 FTC, Equifax Data Breach Settlement, Januar 2020. Abrufbar unter: https://www.ftc.gov/ enforcement/cases-proceedings/refunds/equifax-data-breach-settlement. 86 Vgl. Myers, FTC Enforcement of the U.S.-EU Safe Harbor Framework, S. 9. Abrufbar unter: https://iapp.org/media/pdf/resource_center/IAPP_FTC_SH-enforcement.pdf. 87 Vgl. Hoofnagle/Hartzog/Solove, The FTC can rise to the Privacy Challenge without help from Congress. Abrufbar unter: https://www.brookings.edu/blog/techtank/2019/08/08/the-ftccan-rise-to-the-privacy-challenge-but-not-without-help-from-congress/. 88 Hoofnagle/Hartzog/Solove, The FTC can rise to the Privacy Challenge without help from Congress; Carson, So the fine is $5B: Does that change anything?, abrufbar unter: https://iapp. org/news/a/so-the-fine-is-5b-does-that-change-anything/; Spies, MMR 2016, 357, 358. 89 Hoofnagle/Hartzog/Solove, The FTC can rise to the Privacy Challenge without help from Congress; Spies MMR 2016, 357, 358. 90 Hoofnagle/Hartzog/Solove, The FTC can rise to the Privacy Challenge without help from Congress. 91 FTC, Commissioner Rebecca Kelly Slaughter Designated Acting Chair of the Agency, 21. Januar 2021. Abrufbar unter: https://www.ftc.gov/news-events/press-releases/2021/01/ftccommissioner-rebecca-kelly-slaughter-designated-acting-chair. 92 Greenbaum, Slaughter Named Acting FTC Chair, 21. Januar 2021. Abrufbar unter: https: //www.lexology.com/library/detail.aspx?g=c8c62658-7573-47f8-b380-88954b8c41b4.
B. Datenverarbeitungen durch Private
105
bleibt abzuwarten, ob künftig eine finanzielle Unabhängigkeit gewährleistet werden kann, die den europäischen Anforderungen gerecht wird. 3. Health Insurance Portability and Accountability Act Das Profiling abdeckende und andere der DSGVO-ähnliche Verarbeitungsregeln werden von dem Health Insurance Portability and Accountability Act, abgekürzt HIPAA, aufgestellt. Sein Geltungsbereich betrifft Gesundheitsdaten. Dabei handelt es sich um Informationen, die sich auf die vergangene, gegenwärtige oder künftige Gesundheit oder den Zustand sowie die Zahlung für die Gesundheitsversorgung einer Person beziehen.93 a) Umfangsreiche Zugangsrechte Das Recht auf Zugang zu Gesundheitsdaten ist umfangreich und schützt von Rechnungen bis hin zu medizinischen Aufzeichnungen alle Daten, die dazu geeignet sind, die Grundlage für Entscheidungen über Individuen darzustellen94 Betroffene Personen sind in jedem Falle in die Entscheidung eingebunden, in welcher Form die Daten zur Verfügung gestellt werden.95 Dadurch wird der Wille von Betroffenen stärker berücksichtigt als in der DSGVO.96 Den Datenverarbeitern steht nur ein Zeitraum von dreißig Tagen zur Verfügung, um den Anträgen nach dem HIPAA zu entsprechen.97 In der DSGVO ist für die Erfüllung des Rechts auf Datenübertragung kein konkreter Zeitraum angegeben.98 Das in dem HIPAA vorgesehene Recht auf Zugang ist somit effektiver gestaltet als in der DSGVO. b) Datensicherheit Adressaten der HIPAA Regelungen werden verpflichtet, angemessene administrative, technische und physische Maßnahmen zu ergreifen, um die einschlägigen Informationen zu schützen.99 Konkret benannt werden beispielsweise Schulungen von Mitarbeitern und die Implementierung von Richtlinien, um unberechtigten Zugriff und Offenlegung zu verhindern.100 Dem Wortlaut der DSGVO gleichend, 93
45 CFR § 160.103. EU-Kommission, Final Report – ADM and the EU-US Privacy Shield, 2018, S. 98. 95 45 CFR § 164.524 (c)(2). 96 Siehe 3. Kapitel dieser Arbeit zum Recht auf Kopien und Datenübertragbarkeit in der DSGVO. 97 45 CFR § 164.524 (b)(2). 98 Die Mitgliedstaaten haben allerdings die Möglichkeit zur Präzisierung, arg. ex Art. 23 DSGVO. 99 45 CFR § 164.530 (c)(1). 100 45 CFR §§ 164.530 (a)(i), (i)(1), 164.312. 94
106
4. Kap.: Angemessenes Datenschutzniveau in den USA?
sollen die Vertraulichkeit, Integrität und Abrufbarkeit der Daten gewährleistet sein.101 Zu den zu ergreifenden Maßnahmen gehören Analysen und Bewertungen von Risiken,102 sowie die Erstellung eines Plans für Notfälle oder andere Zwischenfälle.103 Dies beinhaltet auch die Erstellung von Datenbackups. In Fällen der Verletzung personenbezogener Daten müssen die Betroffen ohne unangemessene Verzögerung informiert werden.104 Das Gesetz stellt Mindestanforderungen an den Inhalt einer solchen Mitteilung auf, die an die Meldung an die Aufsichtsbehörde in der DSGVO erinnern.105 Sind mehr als 500 Einwohner eines Staats betroffen, müssen zudem die Behörden und darüber hinaus die Medien informiert werden.106 Die vorgesehene Risikoanalyse und erinnert an die Datenschutzfolgeabschätzung in der DSGVO. Insgesamt gleichen die verschiedenen Dokumentationspflichten dem in der DSGVO vorhandenen Prinzip der Rechenschaftspflicht und gehen mit der vorgesehenen Informierung der Medien sogar über die Anforderungen der DSGVO hinaus. c) „De-Identifizierung“ Dem Schutz des HIPAA unterliegen nicht solche Daten, die „de-identifiziert“ wurden. Dabei handelt es sich um Daten, deren Identifikationsmerkmale entfernt wurden und die keinen vernünftigen Anlass zur Annahme geben, dass die Informationen zur Identifizierung genutzt werden können.107 Das Risiko muss sehr gering sein, dass die Informationen zu einer Identifizierung führen können.108 Für die Risikominimierung sieht das Gesetz bestimmte Kontaktinformationen vor, die von Datensätzen entfernt werden müssen.109 Auch die DSGVO entbindet Datenverarbeiter von ihrer Schutzpflicht, wenn Identifikationsmerkmale im Rahmen einer Anonymisierung entfernt wurden.110 Die Anonymisierung in der DSGVO setzt voraus, dass kontinuierlich sichergestellt ist, dass anhand der bestehenden Risiken im Einzelfall keine Identifizierung der betroffenen Person möglich ist.111 Im Einklang mit der Rechenschaftspflicht der DSGVO schließt dies eine Prüfung nach dem je-
101 102 103 104 105 106 107 108 109 110 111
45 CFR § 164.306. 45 CFR § 164.308 (a). 45 CFR § 164.308 (a)(7). 45 CFR § 164.404. Artikel 33 Abs. 3 DSGVO. 45 CFR §§ 164.406, 164.408. 45 CFR § 164.514(a), (b). 45 CFR § 164.514(b)(1)(i). 45 CFR § 164.514(b)(2). Siehe 3. Kapitel dieser Arbeit. Ehmann/Selmayr/Klabunde, DSGVO, Art. 4 Rn. 20.
B. Datenverarbeitungen durch Private
107
weils aktuellen Stand der Technik ein.112 Der in dem HIPAA verfolgte festgelegte Ansatz, bestimmte Informationen von Datensätzen zu lösen, lässt keinen Raum für eine fortlaufende Berücksichtigung der konkreten Umstände und Risiken im Einzelfall. Somit erfüllt die in dem HIPAA vorgesehene De-Identifizierung nicht die Anforderungen, die in der DSGVO an eine Anonymisierung gestellt werden.113 Zudem werden in HIPAA Schutzmaßnahmen für die Nutzung und Weitergabe von sog. „limited data sets“ reduziert. Dabei handelt es sich um Daten, die weitgehend deidentifiziert wurden, aber weiterhin Aufschluss über den Standort des Betroffenen liefern können.114 In der DSGVO ist durch die Nennung der Anonymisierung und Pseudonymisierung ebenso eine Abstufung der Identifizierungsmöglichkeit enthalten. Allerdings hat die Pseudonymisierung, bei der eine Identifizierung weiterhin möglich ist, keinerlei Auswirkungen auf die Anwendbarkeit der Regeln der DGSVO. Das europäische Datenschutzrecht sieht keine Reduzierung ihrer Schutzmaßnahmen für Informationen vor, die weiterhin eine Identifizierung einer betroffenen Person erlauben. d) Schutz für innovative Herausforderungen? aa) Adressatenkreis Gesundheitsdaten, die von Unternehmen aus anderen Branchen als der Gesundheitsindustrie verarbeitet werden, unterliegen meist nicht dem Schutz von dem HIPAA. Dessen Anwendungsbereich unterliegen Gesundheitsdaten nämlich nur dann, wenn sie von Gesundheitsdienstleistern und Arbeitsgebern, Schulen oder Universitäten erhoben werden.115 Neben Versicherungen und anderen klassischen Gesundheitsdienstleistern existieren zahlreiche Unternehmen, die Gesundheitsdaten erheben. So ist beispielsweise eine vermehrte Inanspruchnahme von Apps, welche Gewohnheiten verfolgen und Gesundheitsinformationen verarbeiten, zu beobachten. Da diese nicht von HIPAA erfasst werden, wurde in den USA die Sorge laut, die Regelungen des HIPAA könnten nicht zeitgemäß sein.116 bb) Selbstzertifizierung am Beispiel biometrischer Daten Die beschränkte Anwendbarkeit von dem HIPAA wird auch in Bezug auf die Verarbeitung von biometrischen Daten diskutiert. Da biometrische Daten einzigartig 112
Ebda.; Stürmer, ZD 2020, 626, 620. Ehmann/Selmayr/Klabunde, DSGVO, Art. 4 Rn. 20. 114 45 CFR § 164.514(e); Determann, California Privacy Law, S. 131. 115 45 CFR § 160.103. 116 Richardson, Senate Privacy Bill Would Expand HIPAA, Restrict Health Apps, 14. Juni 2019. Abrufbar unter: https://news.bloomberglaw.com/privacy-and-data-security/lawmakersfloat-federal-wearable-devices-privacy-legislation. 113
108
4. Kap.: Angemessenes Datenschutzniveau in den USA?
für jedes Individuum sind und nicht mehr geändert werden können, besteht ein erhöhtes Risiko für einen Identitätsdiebstahl nach dem Zugriff auf diese Daten.117 Der HIPAA enthält keinen Erlaubnisvorbehalt für Datenverarbeitungen. Über den HIPAA hinaus gibt es kein bundesstaatliches Recht für die Verarbeitung von biometrischen Daten. Bislang haben fünf Bundesstaaten speziell ausgerichtete Regelungen in diesem Bereich geschaffen.118 Konsequenz ist, dass es Softwareanbietern in den restlichen 45 US-Bundesstaaten erlaubt ist, zu Zwecken der Identitätserkennung Bilder ohne Einwilligung zu nutzen, wenn sich betroffene Personen zu deren Entstehungszeitpunkt in der Öffentlichkeit befanden.119 Aufgrund der besonderen Sensibilität biometrischer Daten nutzen viele Unternehmen den Weg der Selbstzertifizierung. Durch eine Selbstzertifizierung etablieren Unternehmen ihre eigenen Datenschutzrichtlinien, die über die Regelungen von dem HIPAA hinausgehen, und verpflichten sich verbindlich, diese zu befolgen. Dadurch erhoffen sie sich ein gesteigertes Vertrauen in die Datenverarbeitung. Die FTC ist grundsätzlich dafür zuständig, die Einhaltung von solchen Datenschutzrichtlinien durchzusetzen. Allerdings hat die FTC im Bereich der biometrischen Datenverarbeitung ausdrücklich auf die Verfolgung von Verstößen gegen Pflichten aus erfolgter Selbstzertifizierung verzichtet. Diesen Ansatz verfolgt sie, um Entwicklungen im jungen Bereich der Verarbeitung biometrischer Daten zu fördern.120 Durch den Verzicht der FTC bestehen Zweifel an der Effektivität der Selbstzertifizierung. Von der Ankündigung der FTC bleibt die Durchsetzung bestehender gesetzlicher Anforderungen nämlich unberührt.121 cc) Zwischenergebnis Eine Erfassung neuer Entwicklungen durch Rechtsakte wie den HIPAA könnte durch weitergefasste Schutzbereiche realisiert werden. Die Verwendung von weiteren und abstrakteren Formulierungen im US-Recht wurden im Zusammenhang mit datenschutzrechtlichen Regeln als nicht spezifisch und anpassungsfähig genug angesehen.122 Während die Anpassungsfähigkeit des sektoriell ausgestalteten Rechts für neue Technologien, die aus bereits normierten Themen und Gegenständen ent-
117
Vgl. 740 ILCS 14/5(c). Illinois, Kalfornien, New York, Texas und Washington (Stand Dezember 2020). 119 Thales, Biometric data and data protection regulations (GDPR and CCPA). Letzte Aktualisierung: 21. Dezember 2020. Abrufbar unter: https://www.gemalto.com/govt/biome trics/biometric-data. 120 FTC, Facing Facts: Best Practices For Common Uses of Facial Recognition Technologies, Oktober 2012. Abrufbar unter: http://www.ftc.gov/os/2012/10/121022facialtechrpt.pdf. 121 Ebda. 122 Determann, NVwZ 2016, 561, 565; Schwartz, 118 Yale Law Review 2009, 902, 910 ff. 118
B. Datenverarbeitungen durch Private
109
stehen, im Einzelfall zutreffen mag,123 demonstriert der begrenzte Schutz des HIPAA für biometrische Daten das Gegenteil. Zudem ist der begrenzte Adressatenkreis des HIPAA nicht darauf ausgerichtet, aktuelle Verarbeitungen von Gesundheitsdaten zu schützen.124 Es kann nicht davon ausgegangen werden, dass die Regelungen des HIPAA von App-Anbietern oder anderen Unternehmen, die nicht direkte Adressaten des HIPAA sind, ohne Weiteres125 beachtet werden.126 Somit wird am Beispiel des HIPAA deutlich, wie sektorales Recht den klassischen, aus den sektorspezifischen Datenverarbeitungen entstehenden Gefährdungen entgegenwirkt, aber keinen Schutz vor branchenübergreifenden Datenverknüpfungen bietet. 4. Bewertung der Angemessenheit des Bundesrechts a) Vergleichbarkeit der Betroffenenrechte Die Durchsicht verschiedener Rechtsakte demonstriert, dass es in den USA durchaus Regelungen gibt, die mit der DSGVO vergleichbar sind und teilweise sogar über die dortigen Anforderungen hinausgehen. In diesem Sinne ist positiv hervorzuheben, dass in dem HIPAA ein Recht auf Zugang zu personenbezogenen Daten besteht, das weiter auf die Interessen der betroffenen Person eingeht als das neuere Recht auf Datenportabilität in der EU. Zudem wirkt sich bei der Bewertung des USamerikanischen Recht positiv aus, dass – nach dem Verständnis der EU – besonders schutzbedürftige Datenverarbeitungen berücksichtigt werden. Besonders COPPA sieht strengere Regeln für die Datenverarbeitung in Bezug auf Kinder vor. Dies kann auf die sektorale Gliederung des US-amerikanischen Datenschutzrechts zurückgeführt werden. Diese Ausgestaltung erlaubt detailliertere Regelungen als die DSGVO, die für alle Betroffenen und Datenverarbeiter gilt und somit nur in geringerem Umfang auf besonders schutzbedürftige Umstände eingehen kann. Der Schutzradius der DSGVO ist somit einerseits enger, da er nicht alle sektorspezifischen Besonderheiten berücksichtigen kann. Gleichzeitig ist er aber auch weiter, weil er sich auf
123 Vgl. Schwartz, 118 Yale Law Review 2009, 902, 912 mit Verweis auf die Erstreckung des Schutzes vom US Video Privacy Protection Act of 1988 auf DVDs. 124 Auch an den Beispielen des FCRA und GLBA, die nur für Finanzinstitutionen und Kreditbüros gelten. Werden Finanzdaten wie Informationen über Kreditkartentransaktionen von anderweitigen Unternehmen wie beispielsweise Facebook oder Google erhoben, finden der FCRA und GLBA jedenfalls nicht unmittelbar Anwendung. 125 Vgl. zum FCRA und GLBA: Reuters Corp., 299 F. Supp. 3d 400 (S.D.N.Y. 2017); Berry v. Schulman, 807 F.3d 600 (2015). 126 Vgl. zum FCRA und GLBA: Barrett, Seattle University Law Review, 1057, 1070; a. A.: Determann, California Privacy Law, 88: „Other companies that collect similar data on consumers may be subject to the FCRA rules.“; Levitin, Facebook: the new Credit Reporting Agency?, 21. August 2018. Abrufbar unter: https://www.creditslips.org/creditslips/2018/08/ facebook-the-new-credit-reporting-agency.html.
110
4. Kap.: Angemessenes Datenschutzniveau in den USA?
alle personenbezogenen Daten, unabhängig von ihrer Verarbeitung und den Verarbeitern, bezieht.127 b) Berücksichtigung von Analogien Die untersuchten US-amerikanischen Rechtsakte zeigen, dass neue Innovationen nicht automatisch von sektorspezifischen Schutzregelungen erfasst werden. So zeigt die fehlende Behandlung von Fitnesstrackern in HIPAA, dass die Bestimmungen nicht flexibel genug für neuartige Datenverknüpfungen und damit einhergehende Herausforderungen aus anderen Branchen sind. Auch wenn Analogien und Erweiterungen des Schutzes denkbar sind, kann ohne bekräftigende Rechtsprechung der Anwendbarkeit auf nicht adressierte Sachverhalte nicht von einer tatsächlichen Befolgung durch datenverarbeitende Unternehmen ausgegangen werden. Sektorale Angemessenheitsentscheidungen müssen dies berücksichtigen. Sie sollten sich daher nur auf Unternehmen in den USA beziehen, die ausdrücklich Adressaten angemessener US-Regelungen sind. c) Schwerpunkt bei der Auswahl der Schutzmaßnahmen In Fällen, in denen Schutzmaßnahmen vorhanden sind, wird häufig der Eindruck erweckt, der Praktikabilität der Datenverarbeitung werde ein höherer Stellenwert eingeräumt als dem Schutz der personenbezogenen Daten. Dies kann insbesondere am Falle der De-Anonymisierung in HIPAA und der allgemein grundsätzlich zulässigen Opt-Out Lösung für Einwilligungen nachvollzogen werden. Diese Divergenzen rühren aus der unterschiedlichen Stellung des Datenschutzrechts in der Verfassung. Allerdings muss in diesem Zusammenhang eingestanden werden, dass die Praktikabilität mit der tatsächlichen Befolgung und somit mit dem Erfolg des Datenschutzes einhergeht. Gerade die Voraussetzungen für eine Anonymisierung im Sinne der DSGVO mögen in Zeiten des unvorhersehbaren technischen Fortschritts eine Forderung sein, die irgendwann für bereits digital abrufbare Daten nicht mehr vollkommen zu erfüllen sein wird. Da bei der Beurteilung der Angemessenheit des Datenschutzniveaus im Drittstaat der Stand der Technik und die praktische Wirksamkeit berücksichtigt werden, stehen alternative Schutzmechanismen zur DSGVO nicht unmittelbar einer Gleichwertigkeit des Datenschutzniveaus entgegen. Aufgrund der Tatsache, dass die in dem HIPAA vorgesehene De-Identifizierung allerdings keine Berücksichtigung von Umständen und Risiken im Einzelfall zulässt und sowohl die Anonymisierung als auch technische Schutzvorkehrungen in der EU dies verlangen, ist der Ausschluss vom Schutz in diesen Fällen nicht angemessen.
127 Nahra, How emerging privacy laws are impacting the health care industry, 28. Januar 2020. Abrufbar unter: https://iapp.org/news/a/how-emerging-privacy-laws-are-impactingthe-health-care-industry/.
B. Datenverarbeitungen durch Private
111
d) Angemessenheit ohne Datenminimierung? Eine Vergleichbarkeit zum europäischen Datenschutzniveau ist bei den untersuchten Regelungen bis auf COPPA aufgrund der mangelnden Datenminimierung abzulehnen. Denn ohne die Datensparsamkeit wird exzessiven Datenverarbeitungen keine Grenzen gesetzt. Die Diskrepanz zum EU-Recht wird umso größer dadurch, dass Verarbeitungen in den USA grundsätzlich erlaubt sind, solange nichts Anderweitiges geregelt ist und oftmals nur einzelne Verarbeitungsschritte normiert sind. In Kombination mit der mangelnden Vorsehung einer automatischen Löschung personenbezogener Daten, die für den Erhebungszweck nicht mehr relevant sind, führt dies zur Möglichkeit einer größeren zulässigen Datenspeicherung als in der EU. Das in dem FCRA enthaltene Recht, im Verborgenen zu bleiben, führt zumindest dazu, dass die Verwendung älterer Finanzinformationen begrenzt wird. Allerdings ändert es nichts an der Möglichkeit einer fortgesetzten Speicherung korrekter Daten. e) Ergebnis Eine sektorale Angemessenheitsentscheidung kommt somit nur für Adressaten von dem COPPA in Betracht. Eine entsprechende Entscheidung hätte dann allerdings einen engen Anwendungsbereich, da sie nur Webseiten- und Online-Service-Betreiber in den USA erfassen würde. In einer Angemessenheitsentscheidung müsste ausgehandelt werden, welche im COPPA vorgesehenen Maßnahmen zur Identifizierung von Eltern in der EU geeignet sind und dabei nicht gegen den europäischen Grundsatz der Datensparsamkeit verstoßen. Zudem müsste sichergestellt werden, dass die weiteren Rechte und Pflichten aus der EU von den online Betreibern in den USA befolgt werden, damit der volle grundrechtliche Schutz aufrechterhalten bleibt. Hierfür könnte die Selbstzertifizierung von Unternehmen ein geeigneter Weg sein. Am Beispiel der biometrischen Daten wurden Zweifel an der effektiven Durchsetzung von selbstauferlegten Pflichten geäußert. Die bisherigen Angemessenheitsentscheidungen für die USA basieren auch auf der Selbstzertifizierung und ihrer Durchsetzung durch die FTC. Im fünften Kapitel dieser Arbeit wird die Effektivität der bisherigen Angemessenheitsentscheidungen erörtert und ihre mögliche Steigerung für künftige Lösungen untersucht. Das Recht der Sicherheitsbehörden ist getrennt von den festgestellten Schutzmaßnahmen zu beurteilen. Es ist nicht davon auszugehen, dass personenbezogene Daten von Minderjährigen im Zusammenhang mit Webseiten und Online Services besonders nützlich für die Ermittlungen von US-Behörden sind. Somit könnte eine Teilangemessenheitsentscheidung für diesen begrenzten Bereich einfacher ergehen als andere Entscheidungen in Bezug auf die USA.
112
4. Kap.: Angemessenes Datenschutzniveau in den USA?
f) Ausblick: Einheitliches US-Datenschutzrecht aa) Aktuelle Debatten Die bestehenden Schutzlücken und Datenschutzskandale steigern das Verlangen in den USA, „in größeren Dimensionen zu denken“.128 Die USA haben erkannt, dass allgemeine Datenverarbeitungen Gefährdungen für die Rechte betroffener Personen darstellen können. Immer mehr Stimmen sprechen sich daher für ein einheitliches Datenschutzrecht auf Bundesebene aus.129 Aufgrund der umfassenden Normierung von Rechten und Pflichten könnten der FCRA und GLBA gemeinsam den Rahmen für ein solches Bundesrecht festlegen. Angedacht wird auch, dass der HIPAA als Vorlage für Verhandlungen um ein einheitliches Datenschutzrecht dient.130 Es ist vorteilhaft, sich an gesammelten Erfahrungen mit bereits vorhandenen Rechtsakten in den Verhandlungen um ein Bundesrecht zu orientieren.131 In diesem Sinne konnte auch die DSGVO von den Erfahrungen mit der DSRL profitieren. Ein weitgefasstes Datenschutzrecht in den USA hätte den Vorteil, dass die Regeln für Datenverarbeitungen im gesamten Bundesstaat vereinheitlicht würden. Eine solche Harmonisierung würde, wie das Beispiel der EU veranschaulicht, zur Aufrechterhaltung eines Schutzes führen, der nicht so einfach umgangen werden kann. Zudem könnten allgemeinere Datenschutzregelungen zu einem Schutz von Daten führen, der bei der Verwendung moderner Technologien und dem Vorliegen sonstiger Herausforderungen, die vom Gesetzgeber nicht vorhergesehen wurden, aufrecht erhalten bleibt. In Anbetracht der COVID-Pandemie wurde sowohl von den Republikanern als auch von den Demokraten festgestellt, dass im Bereich der Verarbeitung von Gesundheitsdaten vom HIPAA nur begrenzter Schutz geboten wird.132 Daher wurden von beiden Parteien Gesetzesentwürfe in den Senat eingebracht.133 Ein Recht mit abstrakten Grundprinzipien, das nicht nur auf spezielle Selektoren ausgerichtet ist, bedeutet größere Flexibilität hinsichtlich einer dringend gebotenen Schutzerweite128 Kerry, Why protecting privacy is a losing game today – and how to change the game: „We need to think bigger, or we will continue to play a losing game“, 12. Juli 2018. Abrufbar unter: https://www.brookings.edu/research/why-protecting-privacy-is-a-losing-game-today-and-howto-change-the-game/. 129 Siehe Johannes, USA, Mögliche Auswirkungen der Präsidentschaft Joe Bidens auf den Datenschutz, ZD-Aktuell 2020, 0744. 130 Nahra, How emerging privacy laws are impacting the health care industry, 28. Januar 2020. Abrufbar unter: https://iapp.org/news/a/how-emerging-privacy-laws-are-impactingthe-health-care-industry/. 131 Ebda. 132 Johannes, ZD-Aktuell 2020, 07441. 133 Wicker, S.3663 – COVID-19 Consumer Data Protection Act of 2020, 07. Mai 2020. Abrufbar unter: https://www.congress.gov/bill/116th-congress/senate-bill/3663?q={. Eshoo, H.R.6866 – Public Health Emergency Privacy Act; 14. Mai 2020. Abrufbar unter: https://www.congress.gov/bill/116th-congress/house-bill/6866?q={.
B. Datenverarbeitungen durch Private
113
rung. Dies demonstriert die DSGVO, die aufgrund ihres weiten Anwendungsbereichs für alle Datenverarbeitungen im Zusammenhang mit der COVID-Pandemie Anwendung findet. Die in diesem Rahmen veröffentlichten Empfehlungen der Organe der EU134 oder nationalen Aufsichtsbehörden deuten darauf hin, dass auch bei einem Datenschutzrecht mit generellem Charakter weiterhin genügend Raum für die Berücksichtigung von Besonderheiten im Einzelfall besteht. Zwar haben diese Stellungnahmen in der EU keinen verbindlichen Charakter,135 sie üben dennoch erheblichen Einfluss auf das Datenschutzrecht in ihrer Stellung als „soft law“ aus.136 Besonders durch das Rechenschaftsprinzip in der DSGVO sind Verantwortliche gehalten, Stellungnahmen bei ihren Datenverarbeitungen zu berücksichtigen. In der USA ist denkbar, dass Empfehlungen der FTC aufgrund ihrer bisherigen Sensibilisierungsarbeit und insgesamt großen Einflussnahme im Zusammenhang mit Datenverarbeitungen von Verbrauchern einen vergleichbaren Stellenwert zu einem USDatenschutzrecht auf Bundesebene einnehmen wird. bb) Bedeutung für die EU Für die EU ändern die derzeitigen Debatten um ein einheitliches US-Recht derzeit noch nichts an der Bewertung von Datenübermittlungen in die USA. Die EU sollte allerdings angestrebte Partnerschaften mit der USA und gemeinsame digitale Projekte mit Joe Biden nutzen,137 um sich dafür einzusetzen, dass die Rechtsprechungen des EuGH zum nationalen Sicherheitsrecht in den USA nicht unberücksichtigt bleiben. Ein einheitliches US-Recht zum Datenschutz, das auf den hier genannten Schutzmaßnahmen des HIPAA basiert, könnte unzulässigen Behördenzugriffen entgegenwirken. Wird sich eines neues US-Bundesrecht an der Datensicherheit im HIPAA orientieren, besteht im Rahmen der Risikoanalyse Raum für die Berücksichtigung, dass unzulässige Behördenzugriffe ausgeschlossen werden sollen. Zudem sind die vorgesehenen Mitarbeiterschulungen und die Benachrichtigungen der Medien geeignete Mittel, auf Datenverstöße durch Behörden aufmerksam zu machen.
134 Vgl. Europäischer Datenschutzausschuss, Leitlinien 3/2020 für die Verarbeitung von Gesundheitsdaten für wissenschaftliche Forschungszwecke im Zusammenhang mit dem COVID-19-Ausbruch, 21. 4. 2020. 135 Vgl. Art. 288 Abs. 4 AEUV; Art. 58 Abs. 3 lit. b DSGVO. 136 Vgl. zum europäischen Datenschutzausschuss als „soft law“: Kühling/Buchner/Dix, 3. Aufl. 2020, Art. 70 Rn. 8; vgl. zu Empfehlungen des Europarats: von der Groeben/Schwarze/ Hatje/Breitenmoser/Weyeneth, AEUV, Art. 67 Rn. 47; vgl. zur Aufsichtsbehörde CNIL: Gerhold, EuZW 2020, 849, 854. 137 EU-Kommission, Pressemitteilung: EU-USA: Eine neue transatlantische Agenda für den globalen Wandel, 2. Dezember 2020.
114
4. Kap.: Angemessenes Datenschutzniveau in den USA?
II. Föderales Recht am Beispiel von Kalifornien Diskussionen um das föderale US-amerikanische Datenschutzrecht werden vom jüngst erlassenen kalifornischen Gesetz zum Datenschutz geleitet. Der sog. „California Consumer Privacy Act“, abgekürzt CCPA, wird als strengstes und umfassendstes Datenschutzrecht in den USA bezeichnet.138 Es diente zahlreichen anschließenden Gesetzesinitiativen in anderen Bundesstaaten als Vorlage.139 Somit manifestiert der CCPA den Wandlungsprozess der Datenschutzrechtskultur in den USA.140 Es soll als „Mini-DSGVO“ dem europäischen Datenschutzrecht sehr stark angenähert sein.141 Ob dieser Einschätzung zugestimmt werden kann und welche Auswirkungen CCPA auf die Bewertung des gesamten US-amerikanischen Datenschutzrechts hat, wird im Folgenden untersucht. Es wird insbesondere der Frage nachgegangen, ob die EU-Kommission eine isolierte Angemessenheitsentscheidung zu Kalifornien erlassen könnte.142 1. Entstehungsgeschichte Der CCPA wurde lediglich innerhalb von sechs Tagen vom Parlament erlassen, um der Verabschiedung eines Gesetzes aufgrund eines Volksentscheids im Rahmen der sog. Ballot Initiative zuvorzukommen.143 Dem Parlament ist es somit erfolgreich gelungen, ein Gesetz abzuwenden, zu dessen Änderung es eines erneuten Volksentscheids oder einer Parlamentsmehrheit von siebzig Prozent bedurft hätte. Der Antrag auf ein entsprechendes Gesetz durch Volksentscheid, für das doppelt so viele Unterschriften gesammelt wurden als erforderlich war, wurde im letzten Moment zurückgenommen.144 Der CCPA unterlag bereits mehreren Änderungen und ist zum 1. Januar 2020 in Kraft treten.145 Im Zusammenhang mit dem Datenschutz in Kalifornien muss angemerkt werden, dass bereits vor dem CCPA zahlreiche andere Rechtsakte Anwendung fanden. So lassen sich Normierungen zu generellen Bereichen wie Online-Privacy, Direktwerbung und Arbeitnehmerüberwachung, aber auch zu aktuellen Herausforderungen
138 Cho/Aram, Health Sector Does Not Completely Avoid the CCPA by HIPAA Exemption, 13. September 2019. Abrufbar unter: https://www.natlawreview.com/article/health-sector-doesnot-completely-avoid-ccpa-hipaa-exemption. 139 Vgl. Rippy, US State Comprehensive Privacy Law Comparison. Abrufbar unter: https:// iapp.org/resources/article/state-comparison-table/#. 140 Spies, ZD-Aktuell 2018, 04318; ders., ZD-Aktuell 2018, 06156. 141 Ebda. 142 Vgl. Art. 45 Abs. 1 DSGVO: „ein Gebiet […] in diesem Drittland“. 143 Determann, ZD 2018, 443, 444. 144 Determann, ZD 2018, 443, 444; Spies, ZD-Aktuell 2018, 06156. 145 Vgl. IAPP, CCPA Amendment Tracker. Letzte Aktualisierung: Sept. 29, 2020. Abrufbar unter: https://iapp.org/media/pdf/resource_center/CCPA_Amendment_Tracker.pdf.
B. Datenverarbeitungen durch Private
115
wie Fitnesstrackern, Nummernschild-Scannern und Drohnen finden.146 Zudem ist das Recht auf Privatsphäre ausdrücklich in der kalifornischen Verfassung normiert.147 Allerdings ist die Sektor- und Themenunabhängigkeit des CCPA in der gesamten USA eine Neuheit auf dem Gebiet des Datenschutzes. Das wachsende Begehren der kalifornischen Verbraucher, die Privatsphäre der eigenen Daten zu kontrollieren, insbesondere anlässlich des Cambrigde Analytica Skandals, wird für den Wandel verantwortlich gemacht.148 2. Anwendungsbereich für persönliche Informationen Vor dem Eintritt des CCPA stand in Kalifornien nicht der Schutz von Daten, sondern der Privatsphäre des Einzelnen im Vordergrund.149 Im CCPA wird der Anwendungsbereich nun erstmalig unmittelbar an den Begriff „persönliche Informationen“ angeknüpft, welcher wie der Begriff „personenbezogene Daten“ in der DSGVO weit definiert wird. Demnach werden Informationen geschützt, die eine bestimmte Person oder deren Haushalt identifizieren, beschreiben oder fähig sind, damit direkt oder indirekt in Zusammenhang gebracht zu werden.150 a) Verbraucher Durch den CCPA werden persönliche Informationen von in Kalifornien ansässigen Verbrauchern und Haushalten geschützt.151 Anders als die Verwendung des Begriffs „Verbraucher“ vermuten lässt, ist für das Unterfallen in den Schutzbereich jedoch nicht die Eigenschaft als Verbraucher, sondern nur die Ortsansässigkeit relevant.152 b) Erfassung des Haushalts Der Begriff „Haushalt“ wird in dem CCPA nicht definiert. Da er stets als Alternative zum Verbraucher genannt wird,153 ist für sein Vorliegen sinngemäß nicht auf einzelne, in einem bestimmten Haushalt lebende Personen abzustellen, sondern vielmehr auf den Haushalt als Ganzes. Diese Auslegung stimmt mit dem Schutz der Familie überein, den der CCPA ebenso unabhängig von einem Personenbezug
146 147 148 149 150 151 152 153
Determann, ZD 2018, 443. Art. I Sec. 1 California Constitution. Lejeune, CR 2018, 569, 570. Determann ZD 2018, 443. Übersetzung von Lejeune, CR 2018, 569, 570; Sec. 1798.140 (o) (1) CCPA. Sec. 1798.140 (o) (1), (g) CCPA. Sec. 1798.140 (g) CCPA, 18 CCR § 17014. „consumer or household“.
116
4. Kap.: Angemessenes Datenschutzniveau in den USA?
vorsieht.154 Durch die Anknüpfung an den Haushalt können Daten zum Wasser- und Stromverbrauch sowie Internetprotokolle geschützt werden.155 Im Vergleich dazu ist der DSGVO eine Bezugnahme auf eine Menschengruppe unabhängig vom Individuum für die Eröffnung des Schutzbereichs fremd. c) Referenz zu Gerätedaten Mit der Intention, der mangelnden Regulierung des Internet of Things entgegenzuwirken, wird im CCPA zudem ausdrücklich auf Daten mit Bezug zu Geräten verwiesen.156 Ob dem eine eigene Bedeutung zukommt, oder es sich um einen Unterfall von Informationen zu einem Verbraucher oder Haushalt handelt, ist nicht eindeutig. Anders formuliert, ist es fraglich, ob Daten mit Bezug zu bestimmten Geräten den Schutz des CCPA bereits vor dem Bestehen weiterer Identifizierungsmöglichkeiten genießen sollen. In der Praxis ist dies für Gerätedaten relevant, die zwar nicht einzeln, aber nach Verknüpfung mit anderen Informationen einer Person oder einem Haushalt zugeordnet werden können.157 Für eine eigenständige Bedeutung der Nennung von Informationen, die sich auf Geräte beziehen, könnte der moderne Ansatz sprechen, Daten unabhängig von ihrer Form nach ihrer Macht und ihrem künftigen Identifizierungspotential zu schützen.158 Gegen eine eigenständige Bedeutung der Referenz zu Gerätedaten spricht hingegen, dass der CCPA Geräteinformationen häufig an die Identifizierbarkeit von Verbrauchern knüpft oder voraussetzt, dass die Geräteinformationen auf Kategorien der im CCPA definierten persönlichen Informationen beruhen, die wiederum auf die Identifizierung von Verbrauchern oder Haushalten abstellen.159 Zudem setzt die Definierung von „Geräten“ im CCPA eine Verbindung zum Internet oder zu anderen Geräten voraus, was darauf schließen lässt, dass es für den Schutz von Geräteinformationen auf weitere Identifizierungsmöglichkeiten durch Verknüpfungen von Informationen ankommt. Somit ist abschließend festzuhalten, dass trotz Referenz zu Geräteinformationen im CCPA nur Daten mit Bezug zu einem Verbraucher oder Haushalt geschützt werden. Auch unter Zugrundelegung dieses engen Verständnisses hat der CCPA 154
Sec. 1798.140 (g), (x) CCPA; Hoeren/Pinelli, MMR 2018, 711, 713. Determann, Analysis: The California Consumer Privacy Act of 2018. Abrufbar unter: https://iapp.org/news/a/analysis-the-california-consumer-privacy-act-of-2018/; Hoeren/Pinelli, MMR 2018, 711, 713. 156 Hoeren/Pinelli, MMR 2018, 711, 713. 157 Vgl. Cohen, Rethinking Probabilistic Identifiers for the CCPA. Abrufbar unter: https: //www.aspentechpolicyhub.org/wp-content/uploads/2019/10/Po-Op_CCPA_-v4.pdf. 158 Vgl. Cohen, Rethinking Probabilistic Identifiers for the CCPA. 159 Sec. 1798.140 (p): „Probabilistic identifier means the identification of a consumer or a device to a degree of certainty of more probable than not based on any categories of personal information included in, or similar to, the categories enumerated in the definition of personal information […].“ 155
B. Datenverarbeitungen durch Private
117
damit immer noch einen weiteren Schutzbereich als die in jedem Falle auf den Personenbezug abstellende DSGVO. 3. Adressatenkreis Der CCPA gilt für in Kalifornien tätige160, kommerzielle Unternehmen, die wesentliche Umsätze aus der Verarbeitung persönlicher Informationen beziehen oder damit eine hohe Anzahl von kalifornischen Verbrauchern tangiert wird.161 Es finden sich keine Ausführungen dazu, wann Unternehmen im Sinne des CCPA als in Kalifornien tätig eingestuft werden können. Allerdings lässt sich das Steuerrecht als Hilfestellung zu Rate ziehen.162 Dort wird unter die wortgleiche Voraussetzung ein aktives Bemühen des Unternehmens, durch Geschäfte in Kalifornien Gewinne zu erzielen, subsumiert.163 Daraus lässt sich folgern, dass es auch im Rahmen von dem CCPA nicht auf einen Unternehmensstandort in Kalifornien, sondern vielmehr auf die Ausübung von Geschäftstätigkeiten mit in Kalifornien ansässigen Personen ankommt.164 Diese müssen dann mit der Datenverarbeitung im Zusammenhang stehen.165 Für die Wesentlichkeit der Geschäftstätigkeit sieht die Definition im CCPA vor, dass die Brutto-Einnahmen von Unternehmen 25 Millionen US-Dollar jährlich überschreiten oder sie mehr als 50 Prozent der jährlichen Einnahmen durch den Verkauf persönlicher Informationen beziehen. Die Wesentlichkeitsschwelle ist unabhängig von den Einnahmen überschritten, wenn Unternehmen die persönlichen Informationen von mehr als 50.000 kalifornischen Verbrauchern, Haushalten oder Geräten zu kommerziellen Zwecken verarbeitet. Durch die Notwendigkeit des Vorliegens einer der drei Fallgruppen werden besonders die Unternehmen privilegiert, die sich nur untergeordnet der Datenverarbeitung widmen oder insgesamt in kleinem Umfang tätig sind. Im Silicon Valley ansässige Großkonzerne können sich hingegen nicht auf den Ausschluss der Anwendbarkeit berufen. Auch der DSGVO ist es nicht fremd, kleinen und mittelständigen Unternehmen mit weniger als 250 Mitarbeitern eine Privilegierung für die Erstellung von Verarbeitungsverzeichnissen einzuräumen, sofern die Verarbeitung nicht risikobehaftet ist.166 Zudem wird für die Erforderlichkeit der Benennung eines Datenschutzbe-
160
„Doing business in California“. Sec. 1798.140 (c) CCPA. 162 Lejeune, CR 2018, 569, 571. 163 Vgl. FTC, Doing business in Caifornia. Last updated: 07/07/2020. Abrufbar unter: https: //www.ftb.ca.gov/file/business/doing-business-in-california.html. 164 Lejeune, CR 2018, 569, 571. 165 Uecker, ZD 2019, 67, 71. 166 Art. 30 Abs. 5 DSGVO. 161
118
4. Kap.: Angemessenes Datenschutzniveau in den USA?
auftragten auf den Umfang der Datenverarbeitung abgestellt.167 Einen völligen Ausschluss der Anwendbarkeit sieht die DSGVO allerdings nicht vor. 4. Verantwortlichkeit Für die Hauptverpflichtungen unter dem CPPA kommt es wie bei der DSGVO primär darauf an, ob das Unternehmen allein oder gemeinsam mit anderen über den Zweck und die Art und Weise der Verarbeitung entscheidet.168 Zudem trifft der CCPA auch Regelungen für sog. Service Provider, die im Auftrag des verantwortlichen Unternehmens agieren und daher durchaus mit Auftragsverarbeitern im Sinne der DSGVO vergleichbar sind. Ähnlich wie in der DSGVO muss ein schriftlicher Vertrag zwischen dem verantwortlichen Unternehmen und dem Service Provider abgeschlossen werden, der letzteren an den im Vertrag festgelegten Zweck bindet.169 5. Schutzausschluss a) Verbraucherstandort außerhalb Kaliforniens Für Unternehmen, die zwar in Kalifornien kommerziell tätig sind, aber persönliche Informationen zu einem Zeitpunkt erhoben und verkauft haben, an dem sich der Verbraucher nicht in Kalifornien aufhielt, besteht die Möglichkeit die Anwendbarkeit des CCPA auszuschießen. Der CCPA trifft allerdings Vorkehrungen, damit diese Ausnahme nicht zur Umgehung des CCPA genutzt werden kann.170 b) De-Identifizierung und Aggregierung Durch eine nachträgliche Ergänzung des CCPA wurde klargestellt, dass vom Anwendungsbereich solche persönlichen Informationen ausgenommen sind, die deidentifiziert oder aggregiert wurden.171 Aggregierte Daten sind Informationen mit Bezug auf eine Gruppe oder Kategorie von Verbrauchern, die vernünftigerweise172 weder mittelbar noch unmittelbar mit einem Verbraucher oder Haushalt in Verbindung gebracht werden können.173 Der Ausschluss aggregierter Daten steht mit dem Verständnis der EU im Einklang, da aggregierte Daten gewöhnlich nicht perso-
167 168 169 170 171 172 173
Art. 37 Abs. 1 DSGVO. Sec. 1798.140 (c) (1) CCPA. Sec. 1798.140 (v) CCPA. Sec. 1798.145 (a) (6) CCPA. Sec. 1798.145 (a) (5) CCPA. „reasonably“. Sec. 1798.140 (a) s. 1 CCPA.
B. Datenverarbeitungen durch Private
119
nenbezogen sind.174 Die Begriff „de-identifizierte Daten“ im CCPA ist enger gefasst als im HIPAA. Es ist im CPPA nicht vorgegeben, welche Merkmale für eine DeIdentifizierung entfernt werden sollen. Zudem müssen Unternehmen strengere Vorkehrungen treffen müssen, um eine Re-identifizierung zu verhindern.175 c) Vorrang vom Bundesrecht Der CCPA gilt nicht für Gesundheitsdaten, die unter den Schutz von HIPAA fallen.176 Aufgrund der Divergenz des Verständnisses von de-identifizierten Daten können Gesundheitsdaten, die im Sinne von HIPPA de-identifiziert wurden, dennoch dem Anwendungsbereich vom CCPA unterfallen.177 In diesem Fall führt der CCPA zu einem Schutz von Gesundheitsdaten, die sonst keinem Schutz unterliegen würden, solange die strengeren Anforderungen an eine De-Identifizierung nach der CPPADefinition nicht erfüllt sind.178 Dies gilt auch für Daten, die zwar von HIPAAAdressaten verarbeitet werden, mangels Bezuges zur Gesundheit oder Zahlung allerdings nicht dem Anwendungsbereich von HIPAA unterliegen.179 Zudem gelten die Grundregeln des CCPA nicht für Finanzdaten, die bereits vom FCRA oder GLBA geschützt werden. Diese Ausnahme ist allerdings nicht absolut, da weiterhin die Regelung des CCPA Anwendung findet, die kalifornischen Verbrauchern einen Schadensersatz- und Unterlassungsanspruch für Verletzungen des Datenschutzes als Folge von der Nichtergreifung angemessener Schutzmaßnahmen gewährt.180 6. Schutzmaßnahmen a) Erhebung und Verkauf von Daten Im Gegensatz zur DSGVO müssen die Rechte und Pflichten unter dem CCPA nicht bei allen Datenverarbeitungsprozessen beachtet werden, sondern, abhängig von der jeweiligen Verpflichtung, nur bei der Erhebung von Daten oder ihrem Verkauf. Dabei muss die Erhebung von Daten weit definiert werden und erfasst den Erhalt von 174
Kühling/Buchner/Klar, DSGVO, Art. 4 Rn. 15, 16; Hoeren/Sieber/Holznagel/Helfrich, Teil 16.1 Rn. 29 ff.; Hoeren/Pinelli, MMR 2018, 711, 713. 175 Vgl. Sec. 1798.140 (h) CCPA mit den kumulativen Voraussetzungen der Vorsehung von technischen Vorkehrungen und der Etablierung von Prozessen, die eine Re-identifizierung verbieten und einer versehentlichen Veröffentlichung vorbeugen müssen. 176 Sec. 1798.145 (c) CCPA. 177 Litten/Kagan, Where HIPAA Stops, CCPA Begins. Abrufbar unter: https://www.foxroth schild.com/publications/where-hipaa-stops-ccpa-begins/. 178 Vgl. für die weiterhin bestehende Informationspflicht in Sec. 179.130(a) (D) CCPA. 179 Litten/Kagan, Where HIPAA Stops, CCPA Begins. Abrufbar unter: https://www.foxroth schild.com/publications/where-hipaa-stops-ccpa-begins/. 180 Sec. 1798.145 (e) CCPA.
120
4. Kap.: Angemessenes Datenschutzniveau in den USA?
Daten durch jegliche Mittel.181 Auch der Verkauf von Daten unterliegt einer extensiven Definition, die jede Übermittlung der Daten gegen Geld oder eine andere wertbezogene Gegenleistung wie indirekte Vorteile oder Geschäftszwecke beinhaltet.182 Eine Übermittlung von Daten an Auftragsverarbeiter unterliegt allerdings dann nicht der Definition des Datenverkaufs, wenn über die Übermittlung in den AGB des übermittelnden Unternehmens informiert wird, die Übermittlung für Geschäftszwecke erforderlich ist und der Auftragsverarbeiter die Daten für keinen anderen Zweck verwendet.183 Es besteht kein generelles Verbot von der Erhebung und dem Verkauf von Daten im CCPA. Betroffene Personen können allerdings dem Verkauf von Daten widersprechen. Dafür müssen Unternehmen müssen auf ihrer Internetseite einen Link mit dem exakt vorgegebenen Wortlaut „Do Not Sell My Personal Information“ anbringen.184 b) Datenschutzgrundsätze Unternehmen trifft nach dem CCPA wie bei der DSGVO vor oder zum Zeitpunkt der Erhebung eine Informierungspflicht.185 Beide Rechtsakte schreiben die Benachrichtigung über die Kategorien erhobener Daten, den Zweck der Erhebung und das Bestehen subjektiver Rechte vor. Letzteres gilt beim CCPA nur für den Datenverkauf an Dritte. Eine weitere Gemeinsamkeit stellt die erneute Informierungspflicht im Falle der Verarbeitung für einen anderen Zweck als den Erhebungszweck dar.186 Über die geplante Dauer der Nutzung der Daten, die Übermittlung in einen Drittstaat und die Grundlage und Logik bei automatisierten Entscheidungen muss nicht informiert werden. Im Gegensatz zur DSGVO werden im CCPA konkrete Regelungen zu den Datenschutzhinweisen auf Unternehmenswebseiten getroffen.187 In diesem Rahmen muss auch über die Kategorien Dritter informiert werden, an die persönliche Informationen übermittelt werden.188 Welche Parteien und Dritte fallen, wird im CCPA nicht definiert. Bezüglich auf den Webseiten genannten Informationen hat der Verbraucher ein Auskunftsrecht nach dem CCPA, zu dessen Ausübung konkrete Mittel wie eine kostenfreie Telefonnummer und Internetadresse vorgeschrieben
181 182 183 184 185 186 187 188
„Collect“ in Sec. 1798.140 (e) CCPA. „Sell“ in Sec. 1798.140 (t) (1) CCPA; Determann, ZD 2018, 443, 443. Sec. 1798.140 (t) (2) CCPA. Sec. 1798.135 (a) (1), 1798.120 (a) CCPA. Sec. 1798.100 (b) S. 1 CCPA. Vgl. Sec. 1798.100 (b) S. 2 CCPA; Art. 13 Abs. 3 DSGVO. Sec. 1798.130 (a) (5) CCPA. Sec. 1798.110 (c) (4) CCPA.
B. Datenverarbeitungen durch Private
121
sind.189 Der CCPA sieht somit insgesamt konkretere Regelungen für die Art der Ausübung der Rechte und Pflichten vor als die DSGVO. Der CCPA schreibt ein ausdrückliches Diskriminierungsverbot vor, welches besagt, dass Verbraucher bei der Ausübung ihrer durch die CCPA erteilten Rechte nicht benachteiligt werden dürfen.190 Ein explizites Recht auf Gleichbehandlung ist in der DSGVO nicht vorgesehen. Allerdings herrscht der allgemeine Fairnessgrundsatz. Es ist nach dem CCPA allerdings erlaubt, finanzielle und andere Vorteile zu erteilen, um Verbraucher zur freiwilligen Datenherausgabe zu motivieren, wenn der Vorteil in direktem Bezug zum Wert der übermittelten Daten für das Unternehmen steht.191 Das Selbstbestimmungsrecht betroffener Person wird somit gestärkt. c) Recht auf Löschung aa) Umfang des Anspruchs Der CCPA beinhaltet ein umfangreiches Löschungsrecht für Verbraucher, das sich auf jegliche personenbezogenen Daten bezieht, die das Unternehmen vom Verbraucher erhoben hat. Dieses Recht gilt unabhängig vom Datenverkauf und Verwendungszweck. Ein wesentlicher Unterschied zur DSGVO stellt somit die Tatsache dar, dass das Löschungsrecht nach dem CCPA nicht auf die Unzulässigkeit der Verarbeitung beschränkt ist, sondern – abgesehen vom Vorliegen von Ausnahmegründen – bedingungslos gilt. Da dem CCPA weder der Datenminimierungs- noch der Speicherbegrenzungsgrundsatz entnommen werden kann, muss zur Löschung von Verbraucherdaten das Recht auf Löschung in Anspruch genommen werden. Eine Löschung findet somit nicht, wie von der DSGVO vorgesehen, antragsunabhängig statt. Gleich dem Löschungsrecht aus der DSGVO ist das Unternehmen nach dem CCPA verpflichtet, Auftragsverarbeiter zur Löschung der Daten anzuweisen.192 Eine Anweisung an andere Dritte nach Veröffentlichung der Daten entsprechend dem europäischen Recht auf Vergessenwerden ist in dem CCPA jedoch nicht vorgesehen. bb) Meinungsfreiheit und andere Ausnahmen Der extensive Löschungsanspruch des Verbrauchers wird durch mehrere Ausnahmefälle eingedämmt. Dementsprechend kann ein Antrag auf Löschung abgelehnt werden, um einen Vertrag mit Verbrauchern zu erfüllen, zur Vornahme von Sicherheitsvorkehrungen sowie zur rechtmäßigen Verarbeitung, die mit den Erwar189 190 191 192
Sec. 1798.110 (a), (c), (d), 1798.110, 1798.115, 1798.130 (a) (1) CCPA. Sec. 1798.125 CCPA. Sec. 1798.125 (b) (1) CCPA. Sec. 1798.105 (c) CCPA; Art. 19 DSGVO.
122
4. Kap.: Angemessenes Datenschutzniveau in den USA?
tungen des Verbrauchers oder dem Erhebungszweck vereinbar ist.193 Diese Fälle würden nach der DSGVO eine rechtmäßige194 Datenverarbeitung darstellen und dem Betroffenen bereits keinen Anspruch auf Löschung der Daten zusprechen.195 Da das Löschungsrecht im CCPA extensiv gestaltet ist, bedarf es weitreichenden Ausnahmen zur Kompensierung. Teilweise besteht bei den Ausnahmen ein Argumentationsspielraum für Unternehmen, in denen es auf die Umstände des Einzelfalls ankommt. In jedem Falle obliegt dem Unternehmen die Rechtfertigung zur Beibehaltung der Daten im Falle eines Löschungsbegehrens. Andere Fälle, in denen vom Recht auf Löschung abgesehen werden kann, sind sowohl im CCPA als auch in der DSGVO als Ausnahmen gestaltet. Diese bestehen zu Gunsten von Forschungszwecken, zur Erfüllung rechtlicher Verpflichtungen und zur Ausübung der Meinungsfreiheit.196 Während die DSGVO eine Abwägung des Datenschutzes und der Meinungsfreiheit vorsieht,197 wird dem Verantwortlichen nach dem ersten Verfassungszusatz weitestgehend Freiheit bei der Entscheidung gelassen, welche Informationen gelöscht werden.198 Diese Entscheidung ist oft von wirtschaftlichen Gründen getragen.199 In den USA wird insgesamt ein Ansatz erfolgt, welcher der freien Meinungsäußerung und dem Informationsfluss mehr Gewicht als dem Datenschutz verleiht, während der EuGH bislang dem Datenschutz Vorrang eingeräumt hat.200 Die unterschiedliche Wichtung führt dazu, dass in den USA eher von der Ausnahme vom Löschungsrecht zugunsten der Meinungsfreiheit Gebrauch gemacht wird als in der EU. d) Datenübertragbarkeit Ein Recht auf Datenübertragbarkeit ist im CCPA als Teil des Auskunftsrechts ausgestaltet.201 Ähnlich wie in der DSGVO sollen die persönlichen Informationen bei elektronischer Übermittlung, soweit technisch möglich, in einem leicht verwendbaren Format202 zur Verfügung gestellt werden. Dies soll dem Verbraucher eine 193
Sec. 1798.105 (d) (1), (2), (3), (7), (9) CCPA. Art. 6 Abs. 1 lit. b, c, 5 Abs. 1 lit. f DSGVO. 195 Art. 17 Abs. 1 DGSVO; vgl. zur Rechtswidrigkeit Simitis/Hornung/Spieck/Dix, Art. 17 Rn. 9. Ein entsprechendes Abstellen auf die Erwartungen des Betroffenen ist der DSGVO im Rahmen der Rechtfertigung der Datenverarbeitung zugunsten überwiegender Interessen des Verantwortlichen oder eines Dritten ebenfalls bekannt aus Art. 6 Abs. 1 lit. f DSGVO. 196 Vgl. Sec. 1798.105 (d) (4), (6), (8) CCPA; Art. 17 Abs. 3 lit. A, d DSGVO. 197 Kühling/Buchner/Herbst, Art. 17 Rn. 73; Paal/Pauly, DSGVO, Art. 17 Rn. 40; Taeger/ Gabel/Meents/Hinzpeter, DSGVO, Art. 17 Rn. 112; Trentmann CR 2017, 26, 33. 198 McCarthy, GRUR Int. 2016, 604, 610. 199 McCarthy, GRUR Int. 2016, 604, 610. 200 EuGH, U. v. 13. 5. 2014 – C-131/12 = NVwZ 2014, 857, 862 Rn. 72. Vgl. Taeger/Gabel/ Meents/Hinzpeter, DSGVO, Art. 17 Rn. 114; McCarthy, GRUR Int. 2016, 604, 609. 201 Sec. 1798.100 (d) CCPA. 202 „Readily useable“. 194
B. Datenverarbeitungen durch Private
123
ungehinderte Übermittlung der Informationen an Dritte ermöglichen. Ein ausdrückliches Recht auf eine direkte Datenübermittlung an Dritte sieht der CCPA im Gegensatz zur DSGVO nicht vor. Das Recht auf Datenübertragbarkeit im CCPA ist insofern weitreichender als das entsprechende Recht in der DSGVO, dass es für alle persönlichen Informationen gilt. Es hängt nicht wie in der DSGVO von automatisierten Verarbeitungsverfahren und dem Erhebungszusammenhang ab. Allerdings gibt es in der DSGVO auch das uneingeschränkte Recht auf Kopien der personenbezogenen Daten.203 Anders als die Rechte auf Datenübertragung und das Recht auf Kopien in der DSGVO muss das Recht im CCPA als Teil des Auskunftsrechts nicht explizit geltend gemacht werden. Wird vom Auskunftsrecht Gebrauch gemacht, trifft Unternehmen im Rahmen des technisch Möglichen also bereits automatisch die Pflicht, die Daten zur Verfügung zu stellen.204 Eine Einschränkung erfährt das weite Recht auf Datenübertragbarkeit im CCPA als Teil des Auskunftsrechts dadurch, dass es sich nur auf persönliche Informationen erstreckt, die innerhalb der letzten zwölf Monate vor der Anfrage erhoben wurden.205 7. Rechtsdurchsetzung a) Generalstaatsanwalt Zwar sieht der CCPA keine Aufsichtsbehörde im Sinne der DSGVO für Verstöße gegen den CCPA vor, allerdings wurde der kalifornische Generalstaatsanwalt, dessen generelle Aufgabe die Sicherstellung der angemessenen und einheitlichen Durchsetzung kalifornischer Gesetze ist, mit entscheidenden Befugnissen ausgestattet.206 Neben der Durchsetzung von Sanktionen erstreckt sich seine Zuständigkeit auf die Beratung von Unternehmen und die aktive Mitwirkung an der Entwicklung des CCPA.207 b) Haftung und Anspruch auf Schadenersatz Verbrauchern, deren persönliche Informationen unbefugt abgerufen208, verbreitet, gestohlen oder offengelegt wurden, stehen zivilrechtliche Rechtsbehelfe gegen das datenspeichernde Unternehmen zur Verfügung.209 Voraussetzung für die Klageer203
Art. 15 Abs. 3 DSGVO. Sec. 1798.100 (a), (c), (d), Sec. 1798.140 (y) CCPA; Takatsuki, CCPA Blog Series, Part 2: Rethinking access and data portability rights. Abrufbar unter: https://privacylawblog. fieldfisher.com/2019/ccpa-blog-series-part-2-rethinking-access-and-data-portability-rights. 205 Sec. 1798.130 (a) (3), 1798.110 (b). 206 Constitution of California, Article V, Sec. 13; Hoeren/Pinelli, MMR 2018, 711, 712. 207 Sec. 1798.155 (a); 1798.185 CCPA. 208 „access“. 209 Sec. 1798.150 CCPA. 204
124
4. Kap.: Angemessenes Datenschutzniveau in den USA?
hebung ist die mangelnde Verschlüsselung oder Schwärzung der persönlichen Informationen.210 Der CCPA legt fest, dass der entsprechende Anspruch auf Schadenersatz zwischen hundert und siebenhundertfünfzig US-Dollar betragen muss. Der eng vorgegebene Schadenersatzrahmen gilt, abhängig davon, was zu einem höheren Betrag führt, 211 entweder pro Datenpanne und Einwohner oder für jeden tatsächlich entstandenen Schaden.212 Zudem kann das Gericht zu einer Unterlassung, Feststellung und allen anderen Maßnahmen verurteilen, die es für angemessen hält.213 Betroffene Verbraucher können individuelle oder Sammelklage erheben.214 Abgesehen von Fällen mit reinen Vermögensschäden finden die Klagerechte nur sekundär Anwendung, nachdem dem Unternehmen dreißig Tage Zeit zur Heilung der Verstöße gegeben wurde.215 Nach Einreichung der Klage muss der Generalstaatsanwalt über die Klage informiert werden und kann diese in der Folge einstellen oder sie anstelle des Verbrauchers erheben.216 Eine solche Interventionsmöglichkeit in Zivilgerichtsverfahren seitens des Justizministeriums ist dem US-amerikanischen Rechtssystem neu.217 c) Sanktionen und Bußgelder Der CCPA sieht die Verhängung von Bußgeldern vor, die mangels Zuweisung zu Durchsetzungsbehörden wie der FTC im Rahmen eines Zivilprozesses durchgesetzt werden.218 Zuständig hierfür ist der Generalstaatsanwalt im Namen der Einwohner des Staates Kalifornien. Im Gegensatz zum Schadenersatz kann das Bußgeld für jegliche Verletzungen des CCPA verhängt werden, vorausgesetzt, die Verletzungen wurden dreißig Tage nach der Mitteilung nicht behoben. Das Bußgeld kann ausdrücklich gegen jeden, der gegen CCPA verstößt, verhängt werden. Dies schließt auch die Service Provider mit ein. Maximalstrafen von 2500 US-Dollar und, im Falle von vorsätzlichen Verstößen, 7500 US-Dollar sind vorgesehen. Die Maximalbeträge beziehen sich auf jede einzelne Verletzung. Die Höhe für eine Gesamtstrafe gegen ein Unternehmen, das mehrere Verletzungen begangen oder mehrere Verbraucher geschädigt hat, ist im Gegensatz zur DSGVO nicht beschränkt.219
210
Sec. 1798.150 (a) (1) S. 1 CCPA. Sec. 1798.150 (a) (1) (A) CCPA. 212 „actual damage“. 213 Sec. 1798.150 (a) (1) (B), (C) CCPA. 214 Sec. 1798.150 (b) CCPA. 215 Sec. 1798.150 (b) (1) CCPA. 216 Sec. 1798.150 (b) (2), (3) CCPA. 217 Determann, ZD 2018, 443, 446. 218 Sec. 1798.155 (b) CCPA. 219 Schmidt, Top 5 Operational Impacts of CCPA: Part 5 – Penalties and enforcement mechanisms. 21. August 2018. Abrufbar unter: https://iapp.org/news/a/top-5-operational-impa cts-of-cacpa-part-5-penalties-and-enforcement-mechanisms/. 211
B. Datenverarbeitungen durch Private
125
8. Bewertung des Datenschutzniveaus in Kalifornien a) Angemessener Anwendungsbereich des CCPA Bei Betrachtung des CCPA sticht zunächst der weite Anwendungsbereich hervor. Positiv gewertet werden kann hier nicht nur der sektorenunabhängige Schutz, sondern auch dass CCPA als Auffanggesetz für Daten fungiert, die entweder vom Schutz des HIPAA, GLBA oder FCRA ausgeschlossen sind oder aufgrund von Besonderheiten schon gar nicht den entsprechenden Schutzbereichen unterfallen. Der Anwendungsbereich des CCPA geht zudem über die DSGVO hinaus und erfasst ausdrücklich Fälle, die in der EU unter Geltung der DSRL erst einer Klärung durch die Gerichte bedurften.220 Aufgrund des Schutzes für Daten mit Bezug zu einem Haushalt ist CCPA besser auf das Internet of Things zugeschnitten als die auf den Personenbezug beharrende DSGVO. Somit bietet der CCPA einen Ausgangspunkt für ihren Schutz, der geeignet ist, ein angemessenes Datenschutzniveau zu bieten. b) Teilweise gleichwertige Rechte und Pflichten in CPPA aa) Fortschritt durch Widerspruchsrecht Auch in CCPA bleibt es bei dem zur DSGVO gegensätzlichen System ohne Erlaubnisvorbehalt mit der Konsequenz, dass einige Verarbeitungshandlungen wie eine Datenänderung keinem Schutz unterliegen. Zudem unterliegt die Erhebung personenbezogener Daten keiner Beschränkung. Die Opt-Out Lösung für den Datenverkauf erfüllt ebenso wenig die Anforderungen an eine Einwilligung in der DSGVO, führt aber aufgrund der strengen Vorgabe hinsichtlich der Anbringung eines Links zu einem einheitlichen und einfach auszuübenden Widerspruchsrecht für kalifornische Verbraucher. Die effektive Kontrolle über die Datenweitergabe in dem Staat, in dem die größten Datensammler der Welt sitzen, darf nicht unterschätzt werden und führt zu einem ungemeinen Fortschritt für das US-amerikanische Datenschutzrecht. bb) Schutz bei einer Weiterübermittlung Die Tatsache, dass der CCPA auch Unternehmen ohne Unternehmenssitz in Kalifornien Pflichten auferlegt, wenn ihre Datenverarbeitung im kommerziellen Zusammenhang mit Kalifornien steht, muss bei der Bewertung hoch angerechnet werden. Die Ausweitung des Schutzbereichs erinnert an die in Artikel 3 Absatz 2 DSGVO begründete Extraterritorialität. Auch die Regeln des CCPA beanspruchen weltweite Geltung.221 Für eine mögliche Angemessenheitsentscheidung zu Kalifornien ist dies von besonderer Wichtigkeit. Bei der Übertragung dieser 220 221
Lejeune, CR 2018, 569, 575. Uecker, ZD 2019, 67, 71
126
4. Kap.: Angemessenes Datenschutzniveau in den USA?
Schutzausweitung auf personenbezogene Daten, die im Rahmen einer EU-Kommissionsentscheidung von der EU nach Kalifornien übermittelt werden, kann der Schutz somit auch bei einer anschließenden Weiterübermittlung in einen anderen (Bundes-)Staat nicht einfach umgangen werden. cc) Steigerungspotenzial Wichtige Rechte der DSGVO wie das Recht auf Zugriff und das Recht auf Datenübertragbarkeit werden auch durch CCPA in angemessener, teilweise noch effektiverer Weise eingeführt. Der CCPA legt einen besonderen Schwerpunkt auf die Praktikabilität ihrer Rechte durch einheitliche vereinfachte Ausübungsmöglichkeiten. Die vorgesehenen Ausnahmen von Rechten sind grundsätzlich mit denen der DSGVO vergleichbar. Bei der Inanspruchnahme von Ausnahmen zugunsten der Meinungsfreiheit hängt dies von den Umständen im Einzelfall ab, ob eine Abwägung in der EU ebenso zu einem Vorrang der freien Meinungsäußerung gelangen würde. Risikobasierte Schutzmaßnahmen der DSGVO wie die Datenschutzfolgenabschätzung oder die Benennung von Datenschutzbeauftragten sind aufgrund des Ansatzes, dass Datenverarbeitungen grundsätzlich erlaubt sind, zwangsläufig im CCPA nicht vorhanden.222 Zudem genießen die Verarbeitungen biometrischer und anderer sensibler personenbezogener Daten im CCPA keinen besonderen Schutz. Die Vergleichbarkeit zum europäischen Recht hinsichtlich sensibler Datenverarbeitungen hängt somit von der Geltung und dem künftigen Erlass anderer Regelungen in Kalifornien und der USA ab. dd) Untergeordnete Rolle der Datenschutzgrundsätze CCPA enthält Verpflichtungen, die den europäischen Datenschutzrechtsgrundsätzen wie Fairness oder Transparenz zugeordnet werden können. Der Zweckbindungsgrundsatz wird in die Informierungspflicht eingebunden und genießt somit einen sekundären Stellenwert im Vergleich zur DSGVO.223 Dasselbe gilt für die Datensicherheit, wie sich anhand der beiläufigen Erwähnung in der Voraussetzung für die Klageerhebung erkennen lässt.224 Eine untergeordnete Rolle der Datenschutzgrundsätze spricht allerdings nicht automatisch gegen ein gleichwertiges Datenschutzniveau. Maßgeblich ist die Vergleichbarkeit des tatsächlich resultierenden Schutzes, den der CCPA vorsieht. Im CCPA ist geregelt, dass betroffene Personen über eine Zweckänderung, die zu einem Datenverkauf führt, informiert werden. Dadurch werden gleichzeitig das Widerspruchsrecht und der Grundsatz der Zweckbindung effektiviert. Der Schutz durch die Zweckbindung im CCPA ist durch 222 223 224
Lejeune, CR 2018, 569, 575. Vgl. Lejeune, CR 2018, 569, 575. Vgl. Hoeren/Pinelli, MMR 2018, 711, 715.
B. Datenverarbeitungen durch Private
127
die Möglichkeit des Eingreifens einer betroffenen Person mit der DSGVO vergleichbar. Zudem sind Service Provider durch ihre im CCPA vorgesehenen Verträge ohnehin an den ursprünglichen Verarbeitungszweck gebunden. Der Grundsatz der Datensicherheit ist weit formuliert und erlaubt, die Kategorie der Daten und andere Umstände des Einzelfalls einzubeziehen.225 Es lässt somit Raum für einen vergleichbaren Schutz zum risikobasierten Ansatz der Datensicherheit in der EU.226 ee) Auswirkung der fehlenden Datenminimierung Dem klassischen US-amerikanischen Muster folgend, ist das wichtige Recht auf Datenminimierung nicht vorhanden. Angesichts der Wichtigkeit dieses Rechts könnte man dem Datenschutzniveau des CCPA gänzlich die Vergleichbarkeit zur europäischen Regelung absprechen. Allerdings stellt sich die Frage, ob diese Schwachstelle nicht durch das umfangreichere Löschungsrecht in CCPA kompensiert werden kann. Der europäische Datenminimierungsgrundsatz verpflichtet Unternehmen zur regelmäßigen Überprüfung und Etablierung angemessener Prozesse, um sicherzustellen, dass alle nicht mehr benötigten Daten gelöscht werden.227 Das Recht auf Löschung in CCPA geht hingegen nicht über die Ergreifung von Vorkehrungen, die eine Entfernung der Daten vom eigenen Bestand und eine Kontaktierung von Service Providern im Falle eines entsprechenden Antrags ermöglichen, hinaus.228 Da keine automatische Begrenzung der Datenansammlung ohne aktives Handeln des Betroffenen erfolgt, kann eine mangelnde Datenminimierung nicht durch Löschungsansprüche ausgeglichen werden. Es bleibt somit bei dem Ergebnis, dass das fehlende Recht zur Datenminimierung der Vergleichbarkeit des CCPA zur DSGVO im Weg steht. Das mangelnde Prinzip der Datenminimierung wirkt sich auch auf andere Defizite im CCPA aus. So stellt die Beschränkung des Auskunftsrechts auf die Daten der letzten zwölf Monate eine erhebliche Einbuße dar. Betroffenen ist es somit nicht möglich, nachzuvollziehen, welche Daten über sie gespeichert sind. Ohne zeitliche Speicherbegrenzung besteht auch keine Klarheit zum maximalen Generierungs- und Verschaffungsalter der Daten. Aufgrund dieser Unsicherheiten ist in der DSGVO keine zeitliche Begrenzung für die Ausübung der Rechte des Datensubjekts vorgeschrieben.
225
Sec. 1798.150 (a) (1) CCPA: „the duty to implement and maintain reasonable security procedures and practices appropriate to the nature of the information“. 226 Siehe 3. Kapitel dieser Arbeit. 227 Vgl. ICO, Guide to Data Protection, Abrufbar unter: https://ico.org.uk/for-organisations/ guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/principles/dataminimisation/; Berliner Beauftragte für Datenschutz und Informationsfreiheit, Pressemitteilung 711.408.1 zu „Delivery Hero“. 19. September 2019. Abrufbar unter: https://www.datenschutzberlin.de/fileadmin/user_upload/pdf/pressemitteilungen/2019/20190919-PM-Bussgelder.pdf. 228 Sec. 1798.105 No. 3.
128
4. Kap.: Angemessenes Datenschutzniveau in den USA?
c) Verbesserungsmöglichkeiten bei der Durchsetzung Die Effizienz der Sanktionen kann im Vergleich zur EU aufgrund der Maximalstrafe von 7.500 US-Dollar angezweifelt werden.229 Da allerdings die Gesamthöhe der Summe aller einzelnen Verletzungen nicht beschränkt ist, haben Gerichte dennoch einen erheblichen Spielraum, ernstzunehmende Strafen zu erlassen. Basierend auf den veröffentlichten Zahlen hätten demnach im Cambridge Analytica Skandal Strafen bis zu 61.6 Milliarden US-Dollar für fahrlässige und bis zu 184.7 Milliarden für vorsätzliche Strafen erlassen werden können.230 Zudem darf die Bedeutung von Strafen für die Reputation von Unternehmen nicht unterschätzt werden.231 Das gleiche gilt für den Schadensersatz, bei dessen Erlass der Gedanke der DSGVO232 wiederzufinden ist, auf die höhere in Betracht kommende Summe abzustellen. Negativ ins Gewicht fällt allerdings, dass – mangels Aufsichtsbehörde – Sanktionen im Rahmen eines Zivilprozesses erlassen werden müssen. Aufgrund der Zweistufigkeit des Verfahrens durch die notwendige Involvierung des Generalstaatsanwalts erscheint dieses Verfahren komplex und langwierig, besonders im Vergleich zur direkten Kontaktierung einer mit Sanktionsbefugnissen ausgestatteten Aufsichtsbehörde. Das Klagerecht ist aufgrund der verschiedenen Handlungsmöglichkeiten des Gerichts und der möglichen Einreichung von Sammelklagen effektiv ausgestaltet. Die Subsidiarität der Klage durch Einräumung der Beseitigung des Schadens ist zweckgerecht. Bedauerlich ist, dass das Klagerecht nur bei Verletzungen der Datensicherheit und nicht bei sonstigen Verletzungen des CCPA besteht. Zudem erhält der Generalstaatsanwalt durch die Befugnis der Einstellung von Klagen die gesamte Kontrollmöglichkeit über die Ausübung des Klagerechts. Dies steht nicht im Einklang mit dem Leitgedanken der DSGVO, dem Betroffenen ein Recht auf einen gerichtlichen Rechtsbehelf zu erteilen, das gerade auch im Falle der Ablehnung durch die Aufsichtsbehörde durchgreift.233 Abschließend kann festgehalten werden, dass die Maßnahmen zur Durchsetzung der Rechte in der DSGVO und dem CCPA sehr unterschiedlich ausgestaltet sind. Es bleibt abzuwarten, ob das Gericht von der mangelnden Deckelung der Gesamtschadenssumme Gebrauch machen wird. Das Klagerecht ist aufgrund der beschränkten Anwendbarkeit und der Abhängigkeit vom Generalstaatsanwalt nicht mit dem der DSGVO vergleichbar. 229
Lejeune, CR 2018, 569, 576. Tarantino, California 2020: the effect of GDPR coming into play, 19. September 2018. Abrufbar unter: https://gdpr.report/news/2018/09/19/california-2020-the-effect-of-gdpr-co ming-into-play/. 231 Hoeren/Pinelli, MMR 2018, 711,715. 232 Für Sanktionen nach Artikel 83 DSGVO. 233 Art. 78 Abs. 2 DSGVO; DSGVO EG 141 S. 1. 230
B. Datenverarbeitungen durch Private
129
d) Zwischenergebnis Insgesamt ist festzuhalten, dass der CCPA dem europäischen Datenschutzrecht stark angenähert ist. Aufgrund der festgestellten Defizite wird sein Niveau allerdings nicht erreicht. e) Ausblick: Angemessenheitsentscheidung durch den neuen CPRA? Der CCPA wird künftig vom California Privacy Rights Act, abgekürzt CPRA, ergänzt.234 Der vorrangige CPRAwurde am 3. November 2020 beschlossen und wird ab dem 1. Januar 2023 in Kraft treten.235 Dieser Rechtsakt ist für die künftige Bewertung von Datenübermittlungen in die USA von erheblicher Bedeutung. Mehrere der neuen CPRA-Bestimmungen basieren auf den Grundsätzen der DSGVO mit dem Ziel, einen Angemessenheitsbeschluss zu erhalten.236 Somit könnten die hier festgestellten Defizite des CCPA durch eine Angleichung an die europäischen Grundsätze korrigiert werden. aa) Änderungen des CCPA durch den CPRA (1) Risikobasierter Anwendungsbereich Der CPRA nimmt eine Änderung am Anwendungsbereich des kalifornischen Datenschutzrechts vor. Unternehmen werden von ihr folglich unabhängig von Einnahmen erfasst, wenn sie die persönlichen Informationen von mehr als 100.000 kalifornischen Verbrauchern oder Haushalten verarbeiten.237 Der vorherige Schwellenwert wurde somit verdoppelt. Dies spricht allerdings nicht gegen eine Angemessenheitsentscheidung zum kalifornischen Recht, da die Ausdehnung des Schutzes auf aus der Union übermittelte personenbezogene Daten ohnehin erst vereinbart werden muss. In entsprechenden Verhandlungen kann sich auf den Schutz aller aus der Union übermittelten personenbezogenen Daten geeinigt werden.238
234
The California Privacy Rights Act of 2020 Amendments to Version 3. Abrufbar unter: https://www.oag.ca.gov/system/files/initiatives/pdfs/19-0021A1%20%28Consumer%20Priva cy%20-%20Version%203%29_1.pdf. 235 Spies, ZD-Aktuell 2020, 07398. 236 Kohne/et.al., CPRA Rivals GDPR’s Privacy Protections and Emphasizes Consumer Choice; 11. November 2020. Abrufbar unter: https://www.lexology.com/library/detail.aspx?g= f0e4b95c-1f39-44d2-a0f0-81da4fff630f. 237 Sec. 14 CPRA =Cal. Civ. Code § 1798.140 (d)(1)(B). 238 Vgl. zur Vereinbarung des Schutzes von Personaldaten in Privacy Shield Zusatzgrundsatz Nr. 9.
130
4. Kap.: Angemessenes Datenschutzniveau in den USA?
(2) Erweiterung des Opt-Out-Rechts Das Recht, dem Datenhandel im Wege der Opt-Out-Lösung zu widersprechen, wurde auf die Datenweitergabe erweitert.239 Somit können Datenübermittlungen an Dritte unabhängig von einer zugrundeliegenden Gegenleistung zwischen den Übermittlungsparteien verhindert werden. Es wird klargestellt, dass sich dieses Widerspruchsrecht der betroffenen Personen auch auf kontextübergreifende verhaltensorientierte Werbung bezieht.240 Die Verhinderung vom Online-Tracking gewinnt durch ihre Hervorhebung eine besondere Relevanz. Eine weitere Neuerung im Zusammenhang mit der Ausübung des Widerspruchsrechts ist das Verbot der Beeinträchtigung der freien Entscheidungsfindung des Benutzers durch eine in diesem Sinne entworfene oder manipulierte Benutzeroberfläche, sog. „dark patterns“.241 Auch in der EU werden „dark patterns“ bei der Abfrage einer Einwilligungserteilung genutzt, um die Voraussetzungen der DSGVO indirekt zu umgehen.242 Somit verfolgt das kalifornische Datenschutzrecht weiterhin einen Ansatz, der modernen Herausforderungen entgegenwirkt. Dieser wird auch dadurch verwirklicht, dass betroffenen Personen künftig eine technische Präferenz für die Datenweiterhabe zur Verfügung stehen soll, sog. „opt-out preference signal“.243 Durch ein solches Präferenzsignal könnte die Ausübung eines Widerspruchsrecht noch einfacher ermöglicht werden. Der CPRA greift bei seinen neuen Regelungen den in der DSGVO verankerten Gedanken des „privacy by design and default“ auf. Der Begriff eines Dritten als Datenempfänger wird erstmals mit einer Negativdefinition beschrieben.244 Demnach stellen Dritte keine Unternehmen dar, mit denen der Verbraucher absichtlich kommerziell agiert, sofern Datenübermittlungen in diesem Rahmen erfolgen. Dritte sind ferner keine Service Provider oder andere Vertragspartner des datenübermittelnden Unternehmens. Somit bleiben weiterhin Unterauftragsverarbeitungen und Datenübermittlungen zur Erfüllung von Vertragszwecken in jedem Falle möglich. Zu diesen Fällen legitimiert auch die DSGVO Datenverarbeitungen.245
239
Sec. 9 CPRA =Cal. Civ. Code § 1798.120 (a). Sec. 14 CPRA =Cal. Civ. Code § 1798.140 (k); Halpert/Bellamy/Berrios, CPRA analysis: The ,good‘ and ,bad‘ news for CCPA-regulated ,businesses‘, 5. Mai 2020. Abrufbar unter: https://iapp.org/news/a/cpra-analysis-the-good-and-bad-news-for-ccpa-regulated-businesses/. 241 Sec. 14 CPRA =Cal. Civ. Code §§ 1798.140 (l), 1798.140 (h). 242 Vgl. noyb, Say „NO“ to cookies – yet see your privacy crumble?, 10. Dezember 2019. Abrufbar unter: https://noyb.eu/sites/default/files/2020-03/pr-cookies-en.pdf. 243 Sec. 13 CCPA =Cal. Civ. Code § 1798.135(b)(1). 244 Sec. 14 CPRA =Cal. Civ. Code §§ 1798.140 (ai). 245 Vgl. Art. 6 Abs. 1 lit. b DSGVO. 240
B. Datenverarbeitungen durch Private
131
(3) Angemessener Schutz durch Opt-Out? Bei den Neuerungen hinsichtlich des Widerspruchs bleibt es bei dem Ansatz, dass eine Datenverarbeitung ohne das aktive Zutun durch die betroffene Person grundsätzlich erfolgen darf. Dies entspricht zwar nicht den Anforderungen an eine Rechtfertigung der Datenverarbeitung im Sinne der DSGVO, dennoch gewährt der CPRA ein angemessenes Datenschutzniveau. Denn für dieses ist anstelle eines deckungsgleichen Schutzes maßgeblich, dass sich „Mittel gleichwohl in der Praxis als wirksam erweisen“.246 Besonders der Effekt eines technischen Signals zu den Präferenzen einer Weitergabe gleicht einer Einwilligung. Denn wird das Begehren automatisch übermittelt bedeutet eine Inanspruchnahme des Widerspruchsrechts kein zusätzlicher Aufwand für die betroffene Person und keine Verzögerung ihrer getroffenen Wahl. Ein Widerspruch durch Signalaussendung stellt dann keinen Nachteil zu einer Einwilligung dar. Je nach konkreter Ausgestaltung der Präferenzen und ihren Kriterien zur Bestimmung ist diese Lösung geeignet, den Willen der betroffenen Person genau widerzuspiegeln. Unternehmen wurden in Kalifornien bereits dazu ermutigt, globale Datenschutzkontrollen zu entwickeln, die für jede Website oder jedes Unternehmen individuell angepasst und stetig aktualisiert werden können.247 Somit kann bereits bei Erhebung der Daten das Einverständnis für „für den bestimmten Fall“248 einer Datenübermittlung erteilt werden. Durch das ausdrückliche Verbot von „dark patterns“ stellt der CPRA zudem sicher, dass die Erteilung eines Widerspruchs freiwillig erfolgt. Da in der EU jede einzelne Datenverarbeitung gerechtfertigt werden muss ist, ist in der EU der Anreiz besonders groß, Einwilligungen so zu gestalten, dass sie zugunsten der eigenen Datenverarbeitung erfolgen oder im Zweifel so ausgelegt werden können. Eine klarstellende Regelung zu „dark patterns“ würde somit auch den Schutz in der EU effektivieren. Insgesamt drängt sich die Frage auf, ob das generelle Verbot einer Datenverarbeitung in einer digitalen Welt tatsächlich noch durchgesetzt werden kann.249 Zudem führt die stetige Erfragung von Einwilligungen in der EU dazu, dass Druck auf europäische Online-Nutzer ausgeübt wird, der die freie Willensbildung beeinflusst.250 Der in der europäischen Grundrechtecharta enthaltene Ansatz eines Verbots mit Erlaubnisvorbehalt schadet in der Praxis ihrem gleichzeitig normierten 246
EuGH, U. v. 6. 10. 2015 – C-362/14 =ZD 2015, 549, 553 Rn. 74; Siehe 2. Kapitel dieser Arbeit. 247 Kohne et.al., CPRA Rivals GDPR’s Privacy Protections and Emphasizes Consumer Choice; 11. November 2020. Abrufbar unter: https://www.lexology.com/library/detail.aspx?g= f0e4b95c-1f39-44d2-a0f0-81da4fff630f. 248 Art. 4 Nr. 11 DSGVO. 249 Vgl. Caruso, Dark patterns: born to mislead, 13. November 2019. Abrufbar unter: https: //www.europeandatajournalism.eu/eng/News/Data-news/Dark-patterns-born-to-mislead. 250 Gray et. al., Dark Patterns and the Legal Requirements of Consent Banners: An Interaction Criticism Perspective, S. 20 f. Abrufbar unter: https://arxiv.org/pdf/2009.10194.pdf.
132
4. Kap.: Angemessenes Datenschutzniveau in den USA?
Ziel251, die Freiwilligkeit der Einwilligung zu wahren. Die Reduzierung der Anfrage von Einwilligungen, die durch den kalifornischen Ansatz verfolgt wird, kann geeignet sein, die Selbstbestimmung betroffener Personen besser zu gewähren als die derzeitige Praxis in der EU.252 Auch durch das Diskriminierungsverbot in Kalifornien wird betroffenen Personen in den USA tatsächlich eine Wahl hinsichtlich der Datenweitergabe überlassen. Für andere Datenverarbeitungshandlungen wird besonders durch die Zweckbindung im kalifornischen Datenschutzrecht sichergestellt, dass die „informationelle Autonomie“ des Betroffenen gewahrt und anlasslosen Datenverarbeitungen vorgebeugt wird.253 Der in Kalifornien gewährte Schutz kann somit mit dem in der EU verglichen werden. (4) Neue Rechte nach dem Vorbild der DSGVO Der CPRA gewährt einen Anspruch darauf, unrichtige Informationen korrigieren zu lassen.254 Somit sind alle Rechte betroffener Personen, die in jedem Falle bei einer Datenverarbeitung in der EU gewährleistet sind,255 im kalifornischen Recht enthalten. Zudem wird nur eine neue risikobasierte Pflicht eingeführt, die der Datenschutz-Folgenabschätzung der EU ähnelt. Demnach sollen Unternehmen künftig eine Risikobewertung solcher Datenverarbeitungen durchführen, die ein signifikantes Risiko für die Privatsphäre oder Sicherheit von Verbrauchern darstellen.256 Die Risikoanalyse muss noch weiter ausgebaut werden. Die ersten Rahmenbedingungen gehen allerdings über die DSGVO hinaus, da die Bewertung des Risikos unabhängig vom Ausgang an eine Aufsichtsbehörde257 übermittelt werden und dies auf regelmäßiger Basis erfolgen soll. Das ausdrückliche Ziel dieser neuen Regelung stellt dar, Datenverarbeitungen, in denen das Schutzbedürfnis des Verbrauchers gegenüber anderen Interessen überwiegt, zu beschränken oder zu verbieten. Somit dient die Risikoanalyse einer regelmäßigen Abwägung aller widerstreitenden Interessen. Durch eine solche Abwägung für aus der EU übermittelte personenbezogene Daten wird der Bedeutung des Grundrechts auf Datenschutz Rechnung getragen.258
251
Jarass, GR-Ch., Art. 8 Rn. 10. Vgl. Gray et. al., Dark Patterns and the Legal Requirements of Consent Banners: An Interaction Criticism Perspective, S. 20 f. 253 Vgl. zur Zweckbindung in der EU: Albrecht/Jotzo, Teil 2 Rn. 5. 254 Sec. 6 CPRA = Cal. Civ. Code §1798.106. 255 Siehe 3. Kapitel dieser Arbeit unter A. III. (Rechte der betroffenen Person). 256 Sec. 21 CPRA = Cal. Civ. Code § 1798.185 (a)(15)(B). 257 Sog. California Privacy Protection Agency. 258 Siehe 2. Kapitel dieser Arbeit. 252
B. Datenverarbeitungen durch Private
133
(5) Erstmalige Definierung sensibler Daten Der CPRA schützt erstmalig sensible persönliche Daten.259 Sensible Daten stellen wie in der DSGVO Informationen über die ethnische Zugehörigkeit, Religion, Gewerkschaftszugehörigkeit, sexuelle Orientierung oder das Sexualleben dar.260 Die Definition ist weiter als in Artikel 9 DSGVO gefasst, da sie zusätzlich die individuelle Nummern der Sozialversicherung, des Führerscheins und des Reisepasses von Verbrauchern sowie Informationen über das Finanzkonto und die genaue Geolokalisierung schützt.261 Von der Definition werden auch genetische, gesundheitliche und biometrische Daten erfasst. Dadurch können Schutzlücken aus dem HIPAA geschlossen werden. Seinem Vorbild in Artikel 9 DSGVO entsprechend, müssen betroffene Personen über eine Verarbeitung solcher Daten aufgeklärt werden.262 Es besteht erstmalig auch das Recht, ein Unternehmen anzuweisen, die Nutzung sensibler Daten darauf zu beschränken, was für die Erfüllung von Diensten notwendig ist.263 Jede weitere Datenverarbeitung darf nicht von der Anweisung abweichen und ist somit verboten.264 Der Schutz sensibler personenbezogener Daten im Sinne von Artikel 9 DSGVO wird somit bei einer Übermittlung nach Kalifornien aufrecht erhalten und auf zusätzliche Informationen ausgedehnt. (6) Einführung der Datenminimierung Der CPRA führt erstmalig das Prinzip der Datenminimierung in Kalifornien ein. Dies bezieht sich ausdrücklich auf sensible personenbezogene Daten, aber auch auf andere Erhebungen, Nutzungen, Speicherungen und Übermittlungen von Verbraucherinformationen. Diese Verarbeitungshandlungen müssen vernünftigerweise notwendig und verhältnismäßig sein, um den ursprünglichen Zweck der Verarbeitung zu erreichen.265 Andere Verarbeitungszwecke müssen mitgeteilt werden und kompatibel mit dem Ursprungszweck sein.266 Somit werden die wesentlichen europäischen Datengrundsätze der Zweckbindung, Erforderlichkeit und Verhältnismäßigkeit bei einer Datenverarbeitung in Kalifornien eingehalten. Da die Datenminimierung ein grundlegendes Prinzip der Ausgestaltung des neuen Rechts darstellen soll, ist es mit dem Grundsatz der Union vergleichbar. Auch der europäische Grundsatz der Speicherbegrenzung wird durch die Erforderlichkeit der Datenverarbeitung tangiert. Er wird besonders dadurch verstärkt, dass Unternehmen ihre Speicherdauer offenlegen müssen.267 Ist dies nicht möglich, müssen wie in der EU die 259 260 261 262 263 264 265 266 267
Sec. 10 CPRA = Cal. Civ. Code § 1798.121 (a). Sec. 14 CPRA = Cal. Civ. Code § 1798.140 (ae). Spies, ZD-Aktuell 2020, 04407. Sec. 12 CPRA = Cal. Civ. Code § 1798.130 (c). Siehe ausdrückliche Einwilligung. Ebda. Sec. 10 CPRA = Cal. Civ. Code § 1798.121 (b). Sec. 14 CPRA = Cal. Civ. Code § 1798.140(e). Sec. 3 CPRA Purpose and intent – B.3. Sec. 4 CPRA = Cal. Civ. Code § 1798.100(a)(3).
134
4. Kap.: Angemessenes Datenschutzniveau in den USA?
Kriterien zur Festlegung der Speicherung an die betroffene Person mitgeteilt werden. Aufgrund der anfänglichen Bestimmung der Speicherdauer und der zweckgebundenen Beschränkung der Verarbeitung ist davon auszugehen, dass Unternehmen in Kalifornien personenbezogene Daten löschen müssen, die nicht mehr für den Erhebungszweck erforderlich sind. Somit gewährt Kalifornien künftig einen mit der EU vergleichbaren Schutz. (7) Eigene Datenschutzbehörde Die Zweifel an der Aufsicht des kalifornischen Datenschutzrechts durch den Generalstaatsanwalt wurden durch den Erlass des CPRA beseitigt. Der CPRA sieht eine zusätzliche Datenschutzbehörde vor, die sog. California Privacy Protection Agency.268 Dieser werden durch den CPRA Befugnisse eingeräumt, um die kalifornischen Datenschutzregeln durchzusetzen.269 Der CPRA sieht transparente und konkrete Anforderungen an die Ernennung der Mitglieder vor, die eine technologische und rechtliche Fachkunde einschließt.270 Ein besonderer Schwerpunkt liegt auf der Freiheit von jeder direkten und indirekten Beeinflussung. Die Ausgestaltung der neuen Datenschutzbehörde erinnert somit sehr an die Anforderungen an unabhängige und effektive Aufsichtsbehörden in der EU.271 Die neue Datenschutzbehörde ist besonders motiviert, Strafen zu verhängen, da Erlöse aus den von ihr erlassenen Bußgeldern ihr eigenes Wachstum über den sog. Consumer Privacy Fund fördert.272 Der Consumer Privacy Fund wird mit dem CPRA neu eingeführt und dient der Förderung des Datenschutzes. Er dient dazu, die Gesellschaft hinsichtlich ihrer Privatsphärenrechte zu sensibilisieren und auch Kinder in dem Bereich aufzuklären.273 Durch diese Maßnahmen wird das kalifornische Datenschutzrecht nachhaltig effektiviert. Denn nur bei Kenntnis des eigenen Rechts kann dieses auch ausgeübt werden. Ein Teil der Erlöse von Bußgeldern kommt daher auch NGOs mit datenschutzrechtlichem Schwerpunkt zugute. Die Förderung von NGOs deckt sich mit der Entwicklung in der EU, da seit dem Eintritt der DSGVO274 eine unmittelbare Repräsentierung Betroffener in Verfahren möglich ist und dies in der Praxis eine immer wichtigere Rolle spielt.
268
Sec. 24 CPRA = Cal. Civ. Code § 1798.199.10 (b). Sec. 24 CPRA = Cal. Civ. Code §§ 1798.199. 155 ff. 270 Sec. 24 CPRA = Cal. Civ. Code § 1798.199.15(a). 271 Art. 57 f. DSGVO. Siehe 3. Kapitel dieser Arbeit. 272 Determann, United States: California Privacy Rights Act – what you need to know, 18. November 2020. Abrufbar unter: https://www.lexology.com/library/detail.aspx?g=47a24 b78-467c-49d8-bee9-572b310a265c. 273 Sec. 18 CPRA = Cal. Civ. Code § 1798.160. 274 Art. 80 DSGVO. Siehe 3. Kapitel dieser Arbeit. 269
B. Datenverarbeitungen durch Private
135
bb) Praktische Herausforderungen Es bestehen durch diese Angleichung an die DSGVO keine wesentlichen Bedenken mehr an die Angemessenheit des kalifornischen Rechts unter der Geltung des CCPA und CPRA. Noch vorhandene einzelne Schutzabweichungen wie der Ausschluss des Schutzes von de-identifizierten Daten, der im CPRA aufrechterhalten bleibt,275 können in einer Angemessenheitsentscheidung ausgeglichen werden. In diesem Rahmen kann vereinbart werden, dass lediglich die Aggregierung personenbezogener Daten aus der EU zu einem Schutzausschluss führen darf. Eine Angemessenheitsentscheidung zu dem Bundesstaat, der gleichzeitig die Hauptniederlassungen der globalen Tech-Giganten herbergt, hätte erhebliche politische Konsequenzen.276 Da Kalifornien der gesamten USA durch den Erlass des CCPA als Vorbild gedient hat, ist davon auszugehen, dass andere Staaten ihrem Beispiel erneut folgen werden.277 In der Theorie könnten folglich mehrere Angemessenheitsentscheidungen für einzelne Bundesstaaten ausgehandelt werden. Für die EU-Kommission würde dies in der Praxis allerdings einen erheblichen Aufwand bedeuten. Der ausführliche Kriterienkatalog bei der Bewertung der Angemessenheit in Artikel 45 Absatz 2 DSGVO zwingt die EU-Kommission dazu, die geltende Gesetzeslage und Praxis in Betracht kommender Bundesstaaten umfassend zu würdigen. Somit müsste die EU-Kommission sich nicht nur mit den neuen Bundesrechtsakten auf datenschutzrechtlicher Ebene auseinandersetzen. Besonders die Verfassungen der einzelnen Bundesstaaten und die angestrebten Ziele datenschutzrechtlicher Regelungen haben für die Bedeutung des Privatsphärenschutzes Relevanz. So wird durch die Verankerung der Privatsphäre in der kalifornischen Verfassung und dem generell verbraucherorientierten Schwerpunkt in Kalifornien eine besonders einfache Ausübung von Rechten ermöglicht sowie ein transparenter Ansatz für Datenverarbeitungen verfolgt. Auch in Anbetracht der Tatsache, dass eine Angemessenheitsentscheidung eine fortlaufende Bewertung des Schutzniveaus erfordert,278 ist fraglich, ob die EU-Kommission dieser Anforderung für mehrere Bundesstaaten gerecht werden kann. In jedem Falle muss sie sich zusätzlich damit auseinandersetzen, wie den vom EuGH festgestellten Defiziten im US-Sicherheitsrecht entgegnet werden kann.279 Somit bleibt es dabei, dass der Erlass eines einheitliches Datenschutzrecht in den USA aus europäischer Sicht vorzugswürdig für eine Angemessenheitsentscheidung ist. Ein Konsens zum Inhalt eines solchen Gesetzes auf US-amerikanischer Bundesebene könnte wesentlich durch das kalifornische Datenschutzrecht beeinflusst
275 276 277 278 279
Sec. 14 CPRA = Cal. Civ. Code § 1798.140 (h). Spies, ZD 2020, 549, 550. Spies, ZD-Aktuell 2020, 07398. Siehe 2. Kapitel dieser Arbeit. Siehe 5. Kapitel dieser Arbeit.
136
4. Kap.: Angemessenes Datenschutzniveau in den USA?
werden. Durch seine Extraterritorialität zwingt es nämlich dazu, in den gesamten USA beachtet zu werden.
C. Datenverarbeitungen durch öffentliche Stellen Die erörterten branchenunabhängigen Regelungen für Datenverarbeitungen beziehen sich nicht auf Datenverarbeitungen durch öffentliche Stellen. Für behördliche Datenverarbeitungen besteht ein einheitliches Bundesrecht in den USA, das bei der Bewertung des Datenschutzniveaus einen besonderen Stellenwert einnimmt. Dies folgt daraus, dass die EU und die USA jahrelang Verhandlungen zu Datenverarbeitungen von US-Behörden geführt haben. Der EuGH hat dies unbeachtet gelassen, da für ihn bereits die vorgelagerten Zugriffsrechte von Sicherheitsbehörden bei der Bewertung des Datenschutzniveaus in den USA ausschlaggebend waren. Lösungsansätze müssen sich dennoch mit beiden Rechten auseinandersetzen, um bei einer auf einen behördlichen Zugriff folgenden Speicherung ein angemessenes Datenschutzniveau zu gewähren.
I. Allgemeine Datenverarbeitungen 1. Privacy Act 1974 und Freedom of Information Act Der Privacy Act aus dem Jahre 1974 nimmt beim Vergleich des US-Amerikanischen Datenschutzrechts mit dem europäischen Datenschutzrecht eine wichtige Funktion ein. Es ist das einzige Recht auf föderaler Ebene in den USA, das sämtliche280 personenbezogene Daten schützt, die bei Bundesbehörden gespeichert sind. Der Schutz des Privacy Acts wird um den Freedom of Information Act, abgekürzt FOIA, aus dem Jahre 1967 ergänzt. Obwohl es sich um altes Recht im Vergleich zur DSGVO handelt, entspricht der Privacy Act den europäischen Datenschutzrechtsanforderungen wohl am ehesten auf bundesstaatlicher Ebene.281 Trotz dieser eingenommenen Rolle als europäisch angenähertes Recht, veranschaulicht der Privacy Act gleichzeitig die wesentlichen Divergenzen beider Datenschutzrechtkulturen geradezu exemplarisch. Ein wichtiges Beispiel für die bestehenden Unterschiede ist die bestehende Diskriminierung von Ausländern im USamerikanischen Datenschutz. Dem Schutz des Privacy Acts unterliegen nur Staatsangehörige der USA oder Personen, die eine dauerhafte Aufenthaltsgenehmigung für die USA besitzen.282 Durch den Versuch, diese Ungleichheit durch den 280 Bingami, Study for LIBE, The US legal system on data protection in the field of Law enforcement, PE 519.215, S. 5. 281 Bingami, Study for LIBE, PE 519.215, S. 7. 282 5 U. S. C. § 552a (a) (2).
C. Datenverarbeitungen durch öffentliche Stellen
137
Erlass des sog. „Judicial Redress Acts“ und des „Umbrella Agreements“ zu überbrücken, stand der Umfang des im Privacy Act gewährten Schutzes bei den Verhandlungen um Privacy Shield im Fokus der EU. Im Folgenden werden der gewährte Schutz des Privacy Acts, Judicial Redress Acts und des Umbrella Agreements näher untersucht. a) Verarbeitungsgrundsätze aa) Übereinstimmungen mit der DSGVO Der Privacy Act enthält Anforderungen an die Speicherung, die Erhebung, die Nutzung und die Verbreitung personenbezogener Daten durch Bundesbehörden.283 Dies führt zu einem umfassenden Schutz der einzelnen Datenverarbeitungsvorgänge wie in der EU. Die Anforderungen an die Datenverarbeitungen im Privacy Act decken sich teilweise wörtlich und inhaltlich mit den europäischen Grundprinzipien für Datenverarbeitungen. So soll jede öffentliche Stelle personenbezogene Daten nur verarbeiten, soweit dies relevant und notwendig ist zur Erfüllung solcher Zwecke, zu denen die öffentliche Stelle verpflichtet ist.284 Werden von den Behörden gespeicherte Daten genutzt, um Entscheidungen in Bezug auf eine natürliche Person zu treffen, sollen die Daten präzise, relevant, aktuell und vollständig verarbeitet werden. Dies muss so erfolgen, wie es vernünftigerweise für eine faire Verarbeitung notwendig ist. Im Gegensatz zum vierten Verfassungszusatz beeinflussen subjektive Erwartungen den gewährten Schutz somit nicht. Dieser Grundsatz wird im Folgenden als Fairnessgrundsatz zusammengefasst.285 Der Fairnessgrundsatz aus dem Privacy Act hat für die EU eine besondere Bedeutung, da er ihr als Vorbild für den Schutz der Datenqualität galt.286 Zudem verpflichtet der Privacy Act die Behörde dazu, angemessene administrative, technische und physische Sicherheitsmaßnahmen zu etablieren, damit die Sicherheit und Vertraulichkeit der gespeicherten Daten im System gewährleistet ist.287 Besonders hier spricht die der DSGVO ähnelnde Formulierung dafür, dass das entsprechende Prinzip der Datensicherheit und Integrität zutreffend umgesetzt ist. Dazu trägt ebenso die Verpflichtung der Behörde bei, Verhaltensregeln für Personen aufzustellen, die Daten aufbewahren oder an der Entwicklung, der Gestaltung, dem Betrieb und der Aufbewahrung des datenspeichernden Systems beteiligt sind.288 283 284 285 286 287 288
5 U. S. C. § 552a (a) (3). 5 U. S. C. § 552a (e) (1). 5 U. S. C. § 552a (e) (5). Vgl. Hoeren, ZD 2016, 459, 460. 5 U. S. C. § 552a (e) (10). 5 U. S. C. § 552a (e) (9).
138
4. Kap.: Angemessenes Datenschutzniveau in den USA?
bb) Offenlegungen und Weiterübermittlungen Darüber hinaus legt der Privacy Act Bedingungen für die Offenlegung der Informationen fest, die bei den öffentlichen Stellen gespeichert sind. Demnach ist für die Offenlegung personenbezogener Daten grundsätzlich die vorherige schriftliche Einwilligung oder ein schriftlicher Antrag der betroffenen Person erforderlich. Aufgrund der Vermutung289, dass sich betroffene Personen in Subordinationsverhältnissen oftmals zur Preisgabe von Informationen genötigt sehen, soll die Einwilligung in der EU hingegen keine Rechtsgrundlage für Offenlegungen und andere Verarbeitungen durch Behörden darstellen.290 Unabhängig von der Einwilligung bestehen weitere Legitimierungsgrundlagen, die wiederum teilweise an Artikel 6 DSGVO erinnern.291 Darüber hinaus ist eine Weiterübermittlung personenbezogener Daten zulässig zum gewöhnlichen Gebrauch.292 Diese weite Formulierung hat aufgrund des großen Auslegungsspielraums Kritik erfahren.293 Dies ist besonders vor dem Hintergrund bedenklich, dass die hier genannten Bedingungen für jegliche Offenlegungen personenbezogener Daten an Privatpersonen oder Behörden und Nachrichtendienste gelten, unabhängig vom Empfängerstaat.294 Personenbezogene Daten von EUStaatsangehörigen, die bei US-Behörden gespeichert sind, können somit einfach an Drittstaaten ohne angemessenes Datenschutzniveau übermittelt werden, sofern dies dem gewöhnlichen Gebrauch entspricht. Voraussetzung dafür ist die Vereinbarkeit mit dem ursprünglichen Verarbeitungszweck.295 Diese Vereinbarkeit wird in der Praxis von der Rechtsprechung dann angenommen, wenn die Übermittlung im Einklang mit einer solchen Verwendung steht, die von der Behörde selbst im Bundesregister veröffentlicht und als gewöhnlich definiert wurde.296 Behörden können somit selbst Einfluss darauf nehmen, wann eine Datenübermittlung dem gewöhnlichen Brauch entspricht. b) Rechte betroffener Personen aa) Recht auf Zugang, Korrekturen und Kopien Beim Privacy Act werden die Rechte auf Zugang zu gespeicherten Daten und auf Erhalt von Kopien in einer verständlichen Form, die der betroffenen Person in der EU 289 290 291 292 293 294 295 296
Vgl. DSGVO EG 43 S. 1. DSGVO EG 43 S. 1. Vgl. 5 U. S. C. § 552a (b) (1), (2), (4)–(8), 11. 5 U. S. C. § 552a (b) (3), (a) (7): „routine use“. Genz, S. 52. 5 U. S. C. § 552a (b). Vgl. 5 U. S. C. § 552a (a) (7). Wasson, 35 Vill. L. Rev. 1990, 822, 823.
C. Datenverarbeitungen durch öffentliche Stellen
139
zustehen, ebenso gewährt.297 Voraussetzung ist stets, dass diese Daten im Rahmen ihrer Speicherung einer Identifikation zur Person wie dem Namen, einer Identifikationsnummer oder einem anderen Kennzeichen zugeordnet sind.298 Bei Unrichtigkeit der Daten steht der betroffenen Person das Recht auf Korrektur zu.299 Effektiviert wird dieses Recht durch den festgelegten Zeitraum von zehn Tagen, innerhalb dessen auf die Anfrage des Betroffenen reagiert werden muss.300 Der Transparenz und dem Rechtsschutz dienend, muss die Behörde im Falle einer Ablehnung der Korrektur über die zugrundeliegenden Gründe sowie über die Möglichkeit, diese Entscheidung überprüfen zu lassen und die hierfür zuständige Stelle informieren.301 Das Zugangsrecht im Privacy Act wird durch den FOIA ergänzt, dass allen Personen das Recht gewährt, einen Antrag auf Zugang zu amtlichen Unterlagen zu stellen.302 Der Rechtsbehelf nach dem FOIA ist nämlich weiter als der Rechtsbehelf nach dem Privacy Act. Der Rechtsbehelf nach dem FOIA erstreckt sich nicht nur auf personenbezogene Daten, die bei der Behörde unter Zuordnung zu einem Personenidentifikator („personal identifier“) gespeichert sind. Er erstreckt sich auch auf solche personenbezogenen Daten, die im behördlichen System unter von der Person unabhängigen Indikatoren abgespeichert sind. Somit kann, abhängig von der behördlichen Speicherung und Zuordnung personenbezogener Daten, ein Antrag nach dem FOIA erfolgreich sein und derselbe Antrag nach dem Privacy Act zu keiner Auskunft führen. bb) Kein Widerspruchsrecht Der Privacy Act sieht keinen Widerspruch gegen Datenverarbeitungen vor. Wie bereits dargestellt, enthält auch das europäische Datenschutzrecht keine generelle Möglichkeit der Einlegung eines Widerspruchs. Jedoch gewährt die DSGVO gerade einen Widerspruch gegen Verarbeitungen zur Ausübung öffentlicher Gewalt und Erfüllung öffentlicher Aufgaben, was sich mit dem Anwendungsbereich des Privacy Acts deckt.303 Das fehlende Widerspruchsrecht beeinflusst die Bewertung des Privacy Acts erheblich. Maßgeblich hierfür ist insbesondere die mangelnde eintretende Rechtsfolge des Widerspruchs in Form der Darlegung eines vorrangigen Interesses
297 298 299 300 301 302 303
5 U. S. C. § 552a (d) (1). 5 U. S. C. § 552a (d) (5). 5 U. S. C. § 552a (d) (2). 5 U. S. C. § 552a (d) (2) (A). 5 U. S. C. § 552a (d) (2). 5 U. S. C. § 552 as amended by public law no. 104 – 231, 110 STAT. 3048. Art. 21 Abs. 1 S. 1; 6 Abs. 1 lit. e DSGVO; vgl. Sydow/Reimer, DSGVO, Art. 6 Rn. 66.
140
4. Kap.: Angemessenes Datenschutzniveau in den USA?
und der inkludierten notwendigen Abwägung mit den gegenüberstehenden Rechten.304 Zwar sieht der Privacy Act allgemeine Interessenabwägungen vor, beispielsweise im Rahmen des Fairnessgrundsatzes, allerdings können diese nicht mit der Abwägung im Widerspruch gleichgesetzt werden. Vielmehr geht es bei der Abwägung als Folge des Widerspruchs um spezielle Verarbeitungsfälle und Situationen, die an die Person geknüpft sind und der datenverarbeitenden Stelle oftmals vor dem Widerspruch nicht bekannt sind.305 In den USA können diese Besonderheiten somit allenfalls nach Einlegung von Rechtsbehelfen berücksichtigt werden. c) Vielseitige Maßnahmen zur Effektivität Stellt die betroffene Person einen Antrag auf Korrektur der sie betreffenden gespeicherten personenbezogenen Daten und die Behörde lehnt die Korrektur ab, steht der betroffenen Person das Recht auf eine Überprüfung der Entscheidung zu.306 Zuständig für die Überprüfung ist der Leiter der Behörde oder ein von diesem benannter Beamter.307 Es handelt sich also um eine rein interne Selbstüberprüfung der Ablehnung durch die Behörde.308 Einen anderweitigen verwaltungsrechtlichen Rechtsbehelf sieht der Privacy Act nicht vor. Zudem steht der betroffenen Person das Recht auf einen gerichtlichen Rechtsbehelf und Kompensierung des erlittenen Schadens gegen die Behörde zu, wenn diese die Betroffenenrechte nicht erfüllt, der Grundsatz der Fairness nicht beachtet wird und dies zu einer Entscheidung mit nachteiligen Auswirkungen für die betroffene Person führt, oder andere Regeln des Privacy Acts nicht befolgt werden und sich dies zu Lasten der betroffenen Person auswirkt.309 Ferner sieht der Privacy Act Sanktionen für Verstöße vor. Die Mitarbeiter der Behörde können bei einer unzulässigen Weitergabe von Daten sowie beim Verstoß gegen andere Regeln des Privacy Acts wegen einer Ordnungswidrigkeit belangt werden.310 Der Schutz der betroffenen Person wird dadurch erweitert, dass zudem die Person strafbar ist, die bewusst und willentlich Informationen unter falschem Vor304
In der DSGVO obliegt dem Verantwortlichen der entgegengesetzte Beweis, dass zwingende schutzwürdige Gründe für die Verarbeitung bestehen, die überwiegen. Vgl. Art. 21 Abs. 1 S. 2 DSGVO; Kühling/Buchner/Herbst, DSGVO, Art. 21 Rn. 7; Paal/Pauly/Martini, DSGVO, Art. 21 Rn. 12. 305 Vgl. Wortlaut Art. 21 Abs. 1 S. 1 DSGVO; Robrahn/Bremert, ZD 2018, 291, 296. 306 5 U. S. C. § 552a (d) (3). 307 5 U. S. C. § 552a (d) (2) (B) (ii). 308 Vgl. Zum Umbrella Agreement, das auf das anwendbare Recht verweist: Korff, EU-US Umbrella Data Protection Agreement: Detailed analysis. Abrufbar unter: https://free-group. eu/2015/10/14/eu-us-umbrella-data-protection-agreement-detailed-analysis-by-douwe-korff/. 309 5 U. S. C. § 552a (g) (1). 310 5 U. S. C. § 552a (h) (i) (1), (2).
C. Datenverarbeitungen durch öffentliche Stellen
141
wand von einer Behörde anfragt.311 Strafen sollen in jedem Fall nicht mehr als 5.000 US-Dollar betragen, was sich wesentlich von den Höchstsummen in der DSGVO unterscheidet. Beim Vergleich zum EU-Recht wirkt sich die niedrige Höchstsumme allerdings nicht zwingend zulasten der Effektivität der Durchsetzung aus, da die hohen Strafen der DSGVO bei Verarbeitungen durch öffentliche Stellen nicht automatisch Anwendung finden. Die EU-Mitgliedstaaten können von einer entsprechenden Normierung absehen.312 d) Anforderungen an Ausnahmen Der Privacy Act gewährt Leitern von öffentlichen Stellen die Möglichkeit, Ausnahmen von den hier aufgeführten Bestimmungen des Privacy Acts zu regeln. 313 Dies beinhaltet sogar die Möglichkeit der Einlegung eines gerichtlichen Rechtsbehelfs gegen die Datenverarbeitung. Voraussetzung für das Ausschließen von Bestimmungen des Privacy Acts ist, dass die Daten bei einem Geheimdienst oder bei einer öffentlichen Stelle, deren Haupttätigkeit im Zusammenhang mit der Prävention, Ermittlung, Aufdeckung oder Verfolgung von Straftaten liegt, gespeichert werden. Darüber hinaus können sich alle anderen öffentlichen Stellen ebenso von gewissen Verpflichtungen des Privacy Acts befreien.314 Dies erstreckt sich unter anderem auf die wichtigen Zugangsrechte des Betroffenen und die wesentliche Regelung zur Beschränkung der Speicherung der Daten auf das, was zur Erfüllung rechtlicher Pflichten erforderlich ist. Bedingung hierfür ist, dass sich die Befreiung auf zum Zwecke der Strafverfolgung gesammeltes Ermittlungsmaterial erstreckt. Die mögliche Befreiung vom Privacy Act ist also völlig losgelöst von einem Verdachtsgrad oder der Art der verfolgten Straftat. Fraglich ist, wie sich die Ausnahmen vom Privacy Act beim Vergleich des Schutzes mit der EU auswirken. Denn auch in der EU fallen Verarbeitungen personenbezogener Daten zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung durch zuständige Behörden aus dem sachlichen Anwendungsbereich der DSGVO.315 Dies bedeutet allerdings nicht, dass diese Daten schutzlos gestellt sind. Für Verarbeitungen zu den hier genannten Zwecken durch zuständige Behörden gilt die sog. „JI-Richtlinie“316, auf die 311
5 U. S. C. § 552a (h) (i) (2). Siehe letztes Kapitel. 313 5 U. S. C. § 552a (j), (k). Von den hier aufgeführten Normierungen im Privacy Act betrifft das den Grundsatz der Erforderlichkeit der Datenverarbeitung, den Grundsatz von Treu und Glauben, die Richtigkeit und Aktualität der Daten, die Rechte des Betroffenen auf Zugang, Berichtung und Kopien sowie die Möglichkeit der Einlegung eines gerichtlichen Rechtsbehelfs. 314 5 U. S. C. § 552a (k). 315 Vgl. Art. 2 Abs. 2 lit. d DSGVO. 316 Richtlinie 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016. 312
142
4. Kap.: Angemessenes Datenschutzniveau in den USA?
in der DSGVO verwiesen wird.317 Diese enthält zahlreiche mit der DSGVO vergleichbare Regelungen.318 Die JIRL verfolgt den Zweck, der Bedeutung des Datenschutzes als Grundrecht gerecht zu werden und zu dessen konsequenter Anwendung in sämtlichen Bereichen der Unionspolitik beizutragen.319 Somit schützen die JIRL und die DSGVO gemeinsam das europäische Grundrecht auf Datenschutz als sog. „Gesamtkonzept“.320 An dieser Stelle wird die Konsequenz der differenzierten Ausgestaltung des Datenschutzes in den USA und der EU verdeutlicht. Verarbeitungen personenbezogener Daten werden in der EU in jedem Falle geschützt, durch das Grundrecht auf Datenschutz selbst und der damit bestehenden Anforderungen an die Einschränkung von Grundrechten321 sowie durch Konkretisierungsakte, wie die DSGVO oder die JIRL, die diesen Anforderungen gerecht werden müssen. Da in den USA der Datenschutz keinen solchen Rang in Anspruch nimmt, mangelt es an Mindestanforderungen für solche Verarbeitungen, die keinem Anwendungsbereich US-amerikanischer Datenschutzregeln unterliegen oder die als Ausnahme von diesen normiert sind. e) Bewertung der Angemessenheit des Privacy Acts aa) Unionsgleicher Anwendungsbereich und vergleichbare Grundsätze Zunächst ist bei der Bewertung der Angemessenheit des Privacy Acts festzustellen, dass der durch die Erfassung jeglicher Verarbeitungsakte und sämtlicher personenbezogener Daten entstehende weite Anwendungs- und Schutzbereich begrüßenswert ist. Die Regelungen für die Datenverarbeitungen erinnern zum Teil stark an die Gewährleistungen in der DSGVO. Besonders positiv ist hervorzuheben, dass dem europäischen Transparenzgrundsatz durch die Anzahl der verschiedenen Regelungen wie dem Auskunftsrecht und der Publizierung der Verarbeitung im Jahresregister322 Genüge getan wird. Die Verarbeitungsgrundsätze insgesamt, die einen ähnlichen Wortlaut mit der DSGVO aufweisen sowie durch Rechte der betroffenen Person und Pflichten der 317
DSGVO EG 19 S. 3. Bspw. die Grundsätze für die Datenverarbeitung in Art. 4, 5 JIRL, Vorgaben zur Verarbeitung sensibler personenbezogener Daten in Art. 10 JIRL, wesentliche Rechte und Pflichten entsprechend der DSGVO in den Kapiteln III und IV JIRL, Regeln zur Auftragsdatenverarbeitung in Art. 22 JIRL die Benennung eines Datenschutzbeauftragten in Art. 32 ff. JIRL sowie die Aufsicht durch eine Aufsichtsbehörde in Kapitel VI JIRL. 319 Entschließung des Europäischen Parlaments v. 6. 7. 2011 zur Mitteilung der EU-Kommission an das Europäische Parlament und den Rat „Gesamtkonzept für den Datenschutz“, 2011/2025(INI), Ziff. 6. 320 Entschließung des Europäischen Parlaments v. 6. 7. 2011 zur Mitteilung der EU-Kommission an das Europäische Parlament und den Rat „Gesamtkonzept für den Datenschutz“, 2011/2025(INI), Ziff. 6; Schantz/Wolff, Das neue Datenschutzrecht, Rn. 204. 321 Siehe Art. 52 Abs. 1 EU-GR-Ch. 322 5 U. S. C. § 552a (e) (4). 318
C. Datenverarbeitungen durch öffentliche Stellen
143
öffentlichen Stelle konkretisiert werden, tragen durchaus zu einem mit der EU vergleichbaren Schutz bei. Sehr effektiv ausgestaltet sind die Betroffenenrechte durch die Tatsache, dass die öffentliche Stelle nur einen engen Zeitraum zur Reaktion auf in Anspruch genommene Rechte hat. Um dem gerecht zu werden, ist die Behörde verpflichtet, bereits geeignete interne Vorgänge und Systeme zu etablieren, die eine zeitnahe und vollständige Antwort ermöglichen sollen.323 Der Zugang zu Daten, die bei der Behörde gespeichert sind, kann sowohl durch den Privacy Act als auch nach dem FOIA beantragt werden. Ein Antrag auf Zugang zu bei staatlichen Stellen gespeicherten personenbezogenen Daten nach dem FOIA vermag erfolgsversprechender zu sein als ein Antrag nach dem Privacy Act, weil der FOIA für alle Daten gilt. Für EU-Staatsangehörige ist maßgeblich, dass der FOIA keine Ausländer diskriminiert und dies unabhängig von weiteren Rechtsakten, die den Schutz angleichen. bb) Besonderheiten behördlicher Datenverarbeitungen Da die DSGVO Datenverarbeitungen durch Private und öffentliche Stellen grundsätzlich gleichbehandelt und Ausnahmen nur für besonders schutzbedürftige Umstände vorgesehen hat, fällt die mangelnde Berücksichtigung dieser Besonderheiten bei der Bewertung stark ins Gewicht. Aufgrund des fehlenden Widerspruchsrechts wird dem Subordinationsverhältnis zwischen Behörde und Betroffenen nicht gebührend Rechnung getragen. Mangels der Vorsehung einer anderweitigen Interessenabwägung sind die unionsrechtlichen Anforderungen nicht erfüllt. Die Abfrage einer Einwilligung ist aufgrund der möglichen Verweigerung und anschließenden Einlegung von Rechtsbehelfen sowie dem Bestehen anderer DSGVO-ähnelnder Legitimierungsgrundlagen noch mit den unionsrechtlichen Anforderungen in Einklang zu bringen. cc) Missachtung unionsrelevanter Anforderungen Bei der Bewertung des Privacy Acts sind ferner die Weiterübermittlung zum gewöhnlichen Gebrauch und die mangelnde Vorsehung einer zeitlichen Begrenzung der Speicherung von Daten ausschlaggebend. Die Regulierung der Weiterübermittlung von Daten nimmt einen hohen Wert bei der Bewertung der Angemessenheit des Drittstaats ein und wird entsprechend in der DSGVO hervorgehoben, um die Umgehung des Datenschutzniveaus zu vermeiden.324 Zudem bezieht sich der Privacy Act an vielen Stellen gerade auf die Aufrechterhaltung von internen Systemen zur Speicherung von Daten, ohne ein zeitliches Limit anzuvisieren. Einen expliziten Löschungsanspruch von Betroffenen, um einer zeitlich grenzenlosen Speicherung 323 324
5 U. S. C. § 552a (f). Siehe 2. Kapitel dieser Arbeit.
144
4. Kap.: Angemessenes Datenschutzniveau in den USA?
entgegen zu wirken, sieht der Privacy Act ebenso wenig vor. Der Privacy Act ist somit hinsichtlich der Weiterübermittlung und Speicherungsgrenze nicht angemessen. dd) Effektivität des Rechtsschutzes Hinsichtlich der erstrebten praktischen Wirksamkeit kann die ausdrückliche Normierung verschiedener Rechtsbehelfe und Sanktionen im Privacy Act gutgeheißen werden. Ernsthafte Zweifel müssen an dem administrativen Rechtsbehelf wegen der mangelnden Überprüfung durch eine neutrale Stelle erhoben werden.325 Zudem steht die Effektivität des vorgesehenen gerichtlichen Rechtsbehelfs aufgrund der einfachen Möglichkeit dessen Ausschlusses in Frage. Da Strafverfolgungsbehörden losgelöst von jeglichen Voraussetzungen die Anwendbarkeit gerichtlicher Rechtsbehelfe einmalig ausschließen können und die Folge ist, dass jegliche künftige Datenverarbeitungen durch Betroffene nicht mehr vor Gericht gerügt werden können, sind die Anforderungen an unionsrechtliche Ausnahmen nicht erfüllt. Denn pauschale Ausnahmen von Schutzmaßnahmen, unabhängig vom Verdachtsgrad sind nicht mit den Anforderungen der EU vergleichbar.326 Auch bei einem Antrag nach dem FOIA bestehen Zweifel an der Erfolgsaussicht aufgrund der Ablehnungsmöglichkeit zu Gunsten der nationalen Sicherheit und einer mangelnden unabhängigen Überprüfung dieser Entscheidung.327 Dies beeinflusst die Bewertung des Rechts der US-Sicherheitsbehörden, da ohne eine entsprechende Vorsehung eines Rechtsbehelf EU-Staatsangehörige keinen Rechtsschutz erhalten. ee) Folgen von Ausnahmen Durch die für sämtliche Behörden bestehende Möglichkeit, Ausnahmen wesentlicher Rechte und Pflichten des Privacy Acts für als Ermittlungsmaterial eingestufte personenbezogene Daten zu treffen, sind die Ausnahmen insgesamt zu weitreichend. Ein Beispiel für eine Behörde, die von den Ausnahmeregelungen in großem Maße Gebrauch macht, ist das FBI.328 Das Datensystem des FBI beinhaltet nicht nur personenbezogene Daten, die das FBI im Rahmen von Ermittlungen erhoben hat. Es enthält ebenso personenbezogene Daten von anderen Datenplattformen, die teilweise durch andere Behörden, aber auch durch Private und Unternehmen erstellt wurden. Ein Zusammenhang der Daten auf für Ermittlungen relevantes Material ist demnach nicht zwangsläufig gegeben.329 Auch der weite Kreis der von der Datenverarbeitung tangierten Personen, die neben dem Verdächtigen jede für die 325 326 327 328 329
Vgl. Meyer/Hölscheidt/Eser/Kubiciel, GR-Ch., Art. 47 Rn. 11. Cording/Götzinger, CR 2018, 636, 639. Artikel-29 Datenschutzgruppe, WP 238 S. 44. Vgl. Bignami, Studie für LIBE, PE 519.215, 2015, S. 12. Bignami, Studie für LIBE, PE 519.215, 2015, S. 12.
C. Datenverarbeitungen durch öffentliche Stellen
145
Straftat relevante Person wie Informanten, involvierte Beamte oder sogar Verwandte darstellen kann, veranschaulicht den weiten Wirkungsbereich der Ausnahmen.330 Soweit eine Behörde sich auf die Ausnahmen beruft, wird der jeweilige Schutz für sämtliche personenbezogene Daten tangierter Personen aufgehoben. Das Berufen auf Ausnahmen ist somit im Hinblick auf die weitreichenden Konsequenzen für zahlreiche betroffene Personen an zu geringe Voraussetzungen geknüpft und nicht auf das für die Strafverfolgung Erforderliche beschränkt. ff) Ergebnis Der Privacy Act gewährt somit keinen unionsgleichwertigen Schutz. Im Rahmen der Verhandlungen um Privacy Shield sind in den letzten Jahren neue Rechtsakte ergangen, die den Schutz des Privacy Acts mit dem Ziel erweitern, die personenbezogenen Daten von Unions-Staatsangehörigen zu schützen. Im Folgenden wird untersucht, ob die bestehenden Defizite des Privacy Acts in diesen Rechtsakten ausgeglichen werden und der Schutz wirksam auf EU-Staatsangehörige erstreckt wurde. 2. Korrekturen durch ausgehandelte Rechtsakte? Die EU und die USA haben sich nach jahrelangen Verhandlungen auf eine Erweiterung des Schutzes des Privacy Acts gehandelt. Die erzielten Ergebnisse könnten das bestehende Datenschutzniveau für Verarbeitungen durch öffentliche Stellen korrigieren. a) Judicial Redress Act für EU-Strafverfolgungsbehörden Der Judicial Redress Act war für die EU in ihren Verhandlungen mit der USA über ein neues Datenschutzschild ein substanzieller Aspekt zur Gewährleistung eines hohen Schutzniveaus personenbezogener Daten, die in die USA übermittelt werden. Die EU-Kommission sieht das Gesetz als „historischen Erfolg in den Bemühungen, das Vertrauen in den transatlantischen Datenverkehr wiederherzustellen“.331 aa) Vorstellung des Schutzes Der Schutz des Privacy Acts wurde im Jahr 2016332 auf nicht US-amerikanische Staatsangehörige ausgeweitet. In dem sogenannten Judicial Redress Act, abgekürzt 330
Bignami, Studie für LIBE, PE 519.215, 2015, S. 12 ff. Jourová, Statement on the signature of the Judicial Redress Act by President Obama, 24. 02. 2016. Abrufbar unter: https://ec.europa.eu/commission/presscorner/detail/en/STATE MENT_16_401. 332 Unterzeichnung durch Barack Obama am 24. Februar 2016. 331
146
4. Kap.: Angemessenes Datenschutzniveau in den USA?
JRA, ist erstmalig die Möglichkeit in den USA vorgesehen, dass Staatsangehörige aus anderen Staaten den Rechtsbehelf aus dem Privacy Act gegen US-amerikanische Gerichte einlegen können.333 Somit wird Ausländern die Chance zuteil, die Rechte auf Zugang, Kopie und Berichtigung durch die datenspeichernde Behörde gerichtlich zu erwirken und im Falle der unrechtmäßigen Offenlegung von Daten gegen die datenübermittelnde Behörde gerichtlich vorzugehen.334 Die Erstreckung der Klagemöglichkeit auf Ausländer stellt einen wichtigen Schritt für den Datentransfer zwischen der EU und der USA dar. Durch die Erweiterung des Schutzes wird „eine seit langem erhobene Forderung der EU erfüllt“.335 Der Präsident der EU-Kommission Jean-Claude Juncker hat bereits unter Geltung des Safe Harbor Abkommens ein Klagerecht der EU-Staatsangehörige vor US-Gerichten gefordert, das unabhängig vom einem Wohnsitz in den USA besteht.336 In diesem Sinne bezeichnete die EU-Kommissarin Vera Jourova den JRA als historische Errungenschaft in den Bemühungen, das Vertrauen in transatlantische Datenströme wiederherzustellen.337 Aufgrund der grundrechtlichen Bedeutung des Rechts auf einen wirksamen gerichtlichen Rechtsbehelfs in Artikel 47 Absatz 1 Grundrechtecharta und dessen Betonung in beiden Schrems-Entscheidungen des EuGH, ist das Bestehen einer Klagemöglichkeit für EU-Staatsangehörige für die Bewertung des Schutzniveaus in den USA sehr wichtig. bb) Geltung des Schutzes Angehörigen der Staaten, die vom JRA profitieren, sollen die Rechte im selben Umfang zustehen, wie den US-Staatsangehörigen.338 Dem Schutz des Judicial Redress Acts unterfallen nur Staaten, die bestimmte Voraussetzungen erfüllen.339 So erfasst es unter anderem Staaten, die mit den USA ein Abkommen abgeschlossen haben, in dem ein geeigneter Schutz der Privatsphäre bei der Übermittlung von Informationen zum Zwecke der Strafverfolgung vorgesehen ist.340 Dieser Geltungsbereich wird weiter dadurch eingeschränkt, dass zunächst der Justizminister der USA entscheiden muss, ob ein Staat diese Anforderung erfüllt und dessen Staatsangehörige somit vom JRA profitieren.341 In diesem Sinne hat der US-Justizminister mit Wirkung zum 01. Februar 2017 entschieden, dass auf personenbezogene Daten, 333
Smagon, ZD 2016, 55, 56. Sec. 2 (a) JRA. 335 EU-Kommission, COM 2016, 237, 12. 336 Juncker, Politische Leitlinien, 15. Juli 2014, S. 10. 337 Jourová, Statement on the signature of the Judicial Redress Act by President Obama, 24. Februar 2016. 338 Sec. 2 (b), (c) JRA. 339 Sec. 2 (d) JRA. 340 Sec. 2 (b) (A) (i) JRA. 341 Sec. 2 (d) (1) JRA. 334
C. Datenverarbeitungen durch öffentliche Stellen
147
die von EU-Strafverfolgungsbehörden in die USA übermittelt werden, der Judicial Redress Act Anwendung finden soll. Hintergrund ist, dass das sogenannte „Umbrella Agreement“ ein im Sinne des JRA geeignetes Abkommen für die Übermittlung personenbezogener Daten in die USA darstellen soll.342 Das Umbrella Agreement343 gilt für personenbezogene Daten, die von europäischen Strafverfolgungsbehörden in die USA übermittelt werden, mit Ausnahme der Behörden der Staaten Dänemark und das Vereinte Königreich.344 Das Rahmenabkommen gilt unabhängig davon, ob die personenbezogenen Daten weiteren Abkommen345 unterliegen.346 b) Umbrella Agreement Nach sechs Jahren347 Verhandlungen zwischen der EU und den USA wurde das sog. „Rahmenabkommen“348, auf Englisch Umbrella Agreement, abgekürzt DPPA, am 2. Juni 2016 unterzeichnet. Dieses nimmt neben der Funktion als geeignetes Abkommen für den JRA weitere Aufgaben wahr. Es soll den Informationsaustausch vereinfachen und gleichzeitig einen „hohen Datenschutzstandard“349 gewähren. Das Abkommen trifft verschiedene Regelungen zur Verarbeitung personenbezogener Daten mit dem Zweck der Verhütung, Aufdeckung, Untersuchung und Verfolgung von Straftaten und der Terrorismusbekämpfung, die von der EU und den USA umgesetzt werden sollen. Das DPPA hat einen besonderen Stellenwert für Datenübermittlungen von Europa in die USA, da es den Zweck verfolgt, das durch die Snowden-Enthüllungen erschütterte Vertrauen in den transatlantischen Datenverkehr wiederherzustellen.350 342
Vgl. US Justice Department, JRA of 2015, Attorney General designations. 23. Januar 2017. Abrufbar unter: https://www.federalregister.gov/documents/2017/01/23/2017-01381/judi cial-redress-act-of-2015-attorney-general-designations. 343 Auch „Data Protection and Privacy Agreement“ genannt, abgekürzt „DPPA“. 344 Art. 27 DPPA. Der Geltungsbereich des Umbrella Agreements erstreckt sich nämlich grundsätzlich nicht auf die Staaten Irland, Dänemark und das Vereinigte Königreich, außer Gegenteiliges wird von der EU-Kommission an die USA bekannt gegeben. Dies ist für den Staat Irland erfolgt, vgl. https://www.federalregister.gov/documents/2017/01/23/2017-01381/judicialredress-act-of2015-attorney-general-designations. 345 Z. B. Abkommen über Fluggastdatensätze oder Abkommen zum Programm zum Aufspüren der Finanzierung des Terrorismus. 346 Vgl. EU-Kommission, COM 2016, 237, 12; DPPA EG 4. 347 Am 26. Mai 2010 schlug die EU-Kommission einen Entwurf eines Mandats für die Aushandlung eines Abkommens über den Schutz personenbezogener Daten zwischen der EU und den USA vor, vgl. IP/10/609 und MEMO/10/216. 348 Abkommen zwischen den Vereinigten Staaten von Amerika und der Europäischen Union über den Schutz personenbezogener Daten bei der Verhütung, Untersuchung, Aufdeckung und Verfolgung von Straftaten, 10. Oktober 2016, ABl. L 336 S. 3 – 13. 349 EU-Kommission, Pressemitteilung zum EU-US-Datenschutzschild vom 29. Februar 2016. 350 EU-Kommission, Pressemitteilung zum EU-US-Datenschutzschild vom 29. Februar 2016; Juncker, Politische Leitlinien, 15. Juli 2014.
148
4. Kap.: Angemessenes Datenschutzniveau in den USA?
aa) Unionsgleiche Verarbeitungsgrundsätze Die Verarbeitung von Daten im Zusammenhang mit der Strafverfolgung muss transparent durch Erfüllung von Informierungspflichten unter Berücksichtigung von legitimen Interessen der betroffenen Person erfolgen und es müssen angemessene technische geeignete und organisatorische Maßnahmen zum Schutz der Daten getroffen werden.351 Angemessene Maßnahmen sollen auch hinsichtlich der Datenqualität getroffen werden, damit die Genauigkeit, Relevanz, Aktualität und Vollständigkeit der gespeicherten Daten sichergestellt wird.352 bb) Löschung und Ausnahmen Betroffene Personen sollen einen Anspruch auf Zugang und Berichtigung ihrer personenbezogenen Daten im Falle von Ungenauigkeiten oder unrichtiger353 Verarbeitung erhalten.354 Die Berichtigung kann neben der Korrektur auch in Form der Löschung oder Sperrung ausfallen.355 Dem Anschein nach vermag diese Formulierung den Schutz der betroffenen Person zu erweitern, insbesondere vor dem Hintergrund, dass der Privacy Act eine solche Definierung der Berichtigung in Form der Löschung nicht vorsieht. Dennoch dürfte einem Löschungsbegehren in der Praxis nicht entsprochen werden, da die Geltendmachung der in dem DPPA gewährten Ansprüche nur unter den in den USA geltenden rechtlichen Bedingungen zulässig ist und der Privacy Act als umfassendes föderales Recht keinen Löschungsanspruch für solche Daten vorsieht.356 Insgesamt steht es den Behörden in vielen Fällen frei, aufgrund des Verweises auf das geltende Recht in den USA, der damit anwendbaren zusammenhängenden normierten Ausnahmen im Privacy Act und zusätzlich normierter Ausnahmen357 im DPPA selbst, den Rechten des DPPA nicht nachzukommen. Beispiele für ausdrücklich normierte Ausnahmen im DPPA sind die Berufung auf die nationale Sicherheit oder die Behinderung von Ermittlungen und Verfahren.358
351
Vgl. Art. 20 Abs. 1, 2; 16 Abs. 2; 9 DPPA. Art. 8 Abs. 1 DPPA. 353 Art. 17 Abs. 1 S. 1 DPPA: „improperly“. 354 Art. 5 Abs. 2; 17 Abs. 1 S. 2 DPPA. 355 Art. 17 Abs. 1 S. 2 DPPA: „Correction or rectification may include […] erasure“. 356 Vgl. Art. 5 Abs. 2 S. 2, 17 Abs. 1 S. DPPA: „erasure or blocking“; Smagon, ZD 2016, 55, 57; Korff, EU-US Umbrella Data Protection Agreement: Detailed analysis. Abrufbar unter: https://free-group.eu/2015/10/14/eu-us-umbrella-data-protection-agreement-detailed-analysisby-douwe-korff/. 357 Bspw. bezüglich des Rechts auf Zugang in Art. 16 Abs. 2 DPPA. 358 Art. 16 Abs. 2 lit. b, d DPPA. 352
C. Datenverarbeitungen durch öffentliche Stellen
149
cc) Speicherungslimit im US-Recht Durchsetzungsschwierigkeiten der Löschungspflicht werden durch die Pflicht des DPPA kompensiert, die Speicherungsdauer im nationalen Recht festzulegen. Dabei sollen die Umstände der Verarbeitung und die Auswirkungen auf die Rechte tangierter Personen in Betracht gezogen werden, um personenbezogene Daten nicht länger zu speichern als für den Übermittlungszweck erforderlich ist.359 Diese Abwägung ist für eine angemessene Speicherfestlegung von Bedeutung, da sich die Informationen des DPPA auf jegliche Schwere von Straftaten beziehen können. Somit variiert die Sensibilität der gespeicherten Daten sowie das Interesse der Strafverfolgung. dd) Sensible Daten Hinsichtlich sensibler Daten forderte der europäische Datenschutzbeauftragte Giovanni Buttarelli eine Klarstellung im Umbrella Agreement, dass die massenhafte Übermittlung sensibler Daten von der EU in die USA unzulässig ist.360 Das DPPA sieht die Vornahme angemessener Schutzvorkehrungen für die Verarbeitung sensibler Daten vor.361 Eine solche Schutzmaßnahme ist die Beschränkung der legitimen Verarbeitungszwecke, was einer massenhaften Datenübermittlung entgegenwirken könnte. Jedoch ist nicht eindeutig, ob die vorgesehene Zweckbeschränkung nur die Verarbeitung der Daten nach dem Import einschließt oder auch bereits für die ursprüngliche Übermittlung der Daten zwischen der EU und den USA gilt. Da sich die Beschränkung auf Zwecke der „Verarbeitung“362 bezieht und die Definition der „Verarbeitung“ in dem DPPA363 den Wortlaut der „Übermittlung“ nicht vorsieht, aber an anderen Stellen ausdrücklich verwendet,364 kann nicht von einer Zweckbeschränkung bei der Übermittlung sensitiver Daten in die USA ausgegangen werden. Vor diesem Hintergrund ist verständlich, dass der europäische Datenschutzbeauftragte Giovanni Buttarelli sich in der obig angeführten Stellungnahme für diese Anpassung aussprach. ee) Einwilligungsbedingte Weiterübermittlung Das DPPA schafft nicht nur Rahmenbedingungen für den Austausch von Daten zwischen der EU und den USA, sondern begründet darüber hinaus auch Verpflichtungen für beabsichtigte Weiterübermittlungen. Die ursprünglich datenerhaltende Behörde ist an die ursprünglich übermittelnde Behörde aus dem anderen Staat 359 360 361 362 363 364
Art. 12 Abs. 1 DPPA. EU-Datenschutzbeauftragter, 2016/C 186/04, Rn. 56. Art. 13 Art. 1 DPPA. Art. 13 Abs. 1 S. 2 DPPA: „process“. Art. 2 Nr. 2 DPPA: „processing of personal information“. Art. 1 Abs. 2, 3 DPPA: „transfer“.
150
4. Kap.: Angemessenes Datenschutzniveau in den USA?
gebunden. Ohne vorherig erteilte Einwilligung der ursprünglich datenübermittelnden Behörde darf keine Weiterübermittlung an einen Drittstaat erfolgen.365 Für die Einwilligungserteilung sind alle relevanten Umstände einzubeziehen, was insbesondere die Gewährleistung eines angemessenen Datenschutzniveaus im Drittstaat einschließt.366 Der ursprünglich datenermittelnden Behörde soll die Möglichkeit eingeräumt werden, Bedingungen für die Weiterübermittlungen zu stellen.367 Durch diese Regelung wird sichergestellt, dass das europäische Erfordernis des angemessenen Datenschutzniveaus von den Behörden in den USA nicht umgangen wird. ff) Pflichten bei Verletzungen Das DPPA sieht in Artikel 10 eine Meldepflicht für Verletzungen personenbezogener Daten vor. Wird eine Verletzung aufgedeckt, besteht die Pflicht der datenerhaltenden Behörde, die ursprünglich datenexportierende Behörde und die betroffene Person hierüber zu benachrichtigen. Dies stellt einen wichtigen Schritt für die Zusammenarbeit zwischen den Strafermittlungsbehörden in den USA und in Europa dar, da über die Weiterübermittlung hinaus gegenseitige Pflichten nach dem Erhalt der Daten von der anderen Partei begründet werden. Diese Meldepflicht besteht in Fällen, in denen ein erhebliches Risiko eines Schadens besteht und stellt einen Teil der zu ergreifenden schadensmildernden Maßnahmen der Behörde dar.368 Die Meldepflicht besteht allerdings nur dann, wenn die Benachrichtigung die nationale Sicherheit nicht gefährdet.369 Eine Meldung an die betroffene Person soll darüber hinaus dann unterbleiben, wenn die Verfolgung von Straftaten und andere offizielle Ermittlungen oder Verfahren gefährdet sind.370 Diese Ausnahmen sind vor dem Hintergrund, dass das Abkommen die Kooperation der EU und der USA hinsichtlich der Verfolgung von Straftaten erleichtern soll, nachvollziehbar. Insbesondere wenn die betroffene Person keine Kenntnis von der Verarbeitung ihrer personenbezogenen Daten hat, führt eine Benachrichtigung über die Verarbeitung zu erheblichen Gefährdungen der Ermittlungen. Dennoch ist aufgrund des weiten Verständnisses der „nationalen Sicherheit“ in den USA bedenklich, dass sich die US-Behörden einfach auf deren Gefährdung berufen können und somit interne Verstöße gegen das Datenschutzrecht unentdeckt bleiben.371
365 366 367 368 369 370 371
Art. 7 Abs. 1 DPPA. Art. 7 Abs. 2 S. 1 DPPA. Art. 7 Abs. 2 S. 2 DPPA. Art. 10 Abs. 1 DPPA. Art. 10 Abs. 2 lit. b DPPA. Art. 10 Abs. 3 DPPA. Smagon, ZD 2016, 55, 56.
C. Datenverarbeitungen durch öffentliche Stellen
151
Es besteht auch keine explizite Pflicht, die Verletzung zu dokumentieren wie in Artikel 33 Absatz 5 DSGVO, sondern nur die allgemeine Pflicht, über effektive Methoden zum Nachweis der Rechtmäßigkeit der Verarbeitung zu verfügen.372 Im Falle eines Verstoßes gegen das Umbrella Agreement kann demnach nicht ohne Weiteres davon ausgegangen werden, dass dieser hinreichend dokumentiert und die betroffene Person nach Beendigung der Ermittlung hinreichend informiert wurde. gg) Benennung geeigneter Aufsichtsstellen Das DPPA legt fest, dass in den USA und in Europa eine oder mehrere Aufsichtsbehörden mit umfangreichen Funktionen und Befugnissen bestehen sollen. Die Aufsichtsbehörden sollen mit Befugnissen ausgestattet sein, die es ihr gestatten, auf Beschwerden von Einzelpersonen zu reagieren und Verstöße gegen das DPPA zu verfolgen. Sie sollen unabhängige Aufsichtsfunktionen und Befugnisse wahrnehmen, die das Recht auf Überprüfung, Untersuchung und Intervention einschließen. Geeignete Behörden werden in dem DPPA spezifiziert. Während in der EU die Zuständigkeit allein bei Datenschutzbehörden der EU und ihrer Mitgliedstaaten liegt,373 sollen in den USA verschiedene Behörden kumulativ den obengenannten Anforderungen an eine Aufsichtsbehörde nachkommen. Anstelle einer klaren Zuordnung der aufgezählten Funktionen und Befugnisse zu spezifischen Behörden, zählt das DPPA beispielhaft einige öffentliche Stellen als geeignete Aufsichtsbehörden auf. Demnach sollen unter anderem Generalinspekteure374, der Rechnungshof der Regierung, Datenschutz- und Staatsangehörigerechtsaufsichtsbehörden und andere exekutive sowie legislative Nachprüfungsinstanzen als Aufsichtsbehörden in Betracht kommen.375 Aufgrund dieser weitreichenden und nichtabschließenden Beispiele ist die Anzahl der geeigneten Aufsichtsbehörden immens. Mit dem Verzicht auf weitere Spezifizierungen entsteht eine Ungewissheit über die Befugnisse der genannten öffentlichen Stellen. Es kann daran gezweifelt werden, ob die geeigneten Behörden in den USA überhaupt kumulativ über die im Umbrella Agreement vorgesehenen Befugnisse wie die Löschung verfügen.376 Zudem sind einige der aufgezählten Kontrollinstanzen nicht unabhängig.377 Aufgrund dessen kritisierte der ehemalige Bundesbeauftragte für den Datenschutz,
372
Art. 11 Abs. 1 DPPA. Art. 21 Abs. 2 DPPA. 374 Sog. „Chief Privacy Officer“. 375 Art. 21 Abs. 3 DPPA: „inspectors general, chief privacy officers, government accountability offices, privacy and civil liberties oversight boards, and other applicable executive and legislative privacy or civil liberties review bodies.“ 376 Korff, EU-US Umbrella Data Protection Agreement: Detailed analysis, Abrufbar unter: https://free-group.eu/2015/10/14/eu-us-umbrella-data-protection-agreement-detailed-analy sisby-douwe-korff/. 377 Schaar, DANA 1/2016, 4, 6 ff. 373
152
4. Kap.: Angemessenes Datenschutzniveau in den USA?
Peter Schaar, die mangelnde Verpflichtung der Parteien im DPPA, eine unabhängige Aufsicht zu gewährleisten.378 hh) Rechtsbehelfe Das DPPA sieht vor, dass jeder Person ein verwaltungsrechtlicher Rechtsbehelf zur Verfügung stehen soll, sofern die Person der Auffassung ist, dass die Betroffenenrechte auf Zugang und Korrektur zu Unrecht abgelehnt wurden. Der Antrag wird im Einklang mit der anwendbaren Rechtsordnung des jeweiligen Staates, wo die Hilfe beantragt wird, bearbeitet. Da der Privacy Act für bei Bundesbehörden gespeicherte personenbezogene Daten gilt, besteht für diese Daten lediglich das Recht auf eine erneute Kontrolle durch dieselbe Behörde, die eine Korrektur abgelehnt hat.379 Das Umbrella Agreement beruht auf der Verpflichtung, die normierten Anforderungen in weiteren Rechtsakten umzusetzen. In diesem Rahmen wurde der bereits dargestellte Judicial Redress Act verabschiedet, welcher den Artikel 19 des Umbrella Agreements umsetzt. Besonders diese Regelung des Umbrella Agreements wird in einem internen Gutachten des Juristischen Dienstes des EU-Parlaments für die mangelnde Vereinbarkeit des Umbrella Agreements mit den Unionsgrundrechten verantwortlich gemacht.380 Ursache für die Unzulänglichkeit soll die Formulierung „any citizen of a Party“381 darstellen, die einen gerichtlichen Rechtsbehelf lediglich für Staatsangehörige der USA und der EU vorsieht, obwohl das Umbrella Agreement sich nicht nur auf personenbezogene Daten dieser Parteien beschränkt. Es erfasst jegliche personenbezogenen Daten, die zwischen den USA und der EU im Zusammenhang mit Straftaten übermittelt werden.382 Demnach sind die übermittelten personenbezogenen Daten der Betroffenen schutzlos, die nicht einer mitgliedstaatlichen Staatsangehörigkeit der EU oder der USA angehören. Dies betrifft nur die in die USA übermittelten Daten, denn die Grundrechte der Union sehen vor, dass jede Person ein Recht auf Datenschutz hat.383 Im Einklang mit dieser Vorgabe sehen Konkretisierungsakte wie die DSGVO keine Anknüpfung an eine Staatsangehörigkeit der betroffenen Person vor. Eine Korrektur dieser resultierenden Ungleichheit zwischen der EU und den USA sieht weder das Umbrella Agreement noch der Judicial Redress Act vor. Die Ab378 Schaar, EAID-Blog, 18. September 2015, Abrufbar unter: https://www.eaid-berlin.de/? tag=umbrella-agreement. 379 Korff, EU-US Umbrella Data Protection Agreement: Detailed analysis. 380 EU-Parlament, Legal Opinion Re: EU-US Umbrella agreement, SJ-0784/15 Rn. 28 ff., 14. Januar 2016. Abrufbar unter: http://statewatch.org/news/2016/feb/ep-legal-opinion-umbre lla.pdf. 381 Art. 19 Abs. 1 S. 1 DPPA. 382 Art. 3 DPPA. 383 Vgl. Art. 8 Abs. 1 S. 1 GR-Ch., Art. 16 Abs. 1 AEUV.
C. Datenverarbeitungen durch öffentliche Stellen
153
weichung vom Wortlaut des Artikel 18 DPPA, welcher das Recht eines administrativen Rechtsbehelfs jeder Person („any individual“) zuteilt, demonstriert vielmehr, dass der gerichtliche Rechtsbehelf bewusst nicht jedermann zur Verfügung stehen soll. Auch der Judicial Redress Act knüpft an den Wortlaut „citizen of designated countries“ an und lässt somit ebenso keinen anderweitigen Interpretationsspielraum zu. In diesem Sinne hat der EU-Datenschutzbeauftragte den Rechtsschutz kritisiert und eine Klarstellung gefordert, dass die Schutzgarantien des Umbrella Agreements für alle natürlichen Personen unabhängig von der Staatsangehörigkeit gelten.384 Diese Klarstellung ist bislang nicht erfolgt. ii) Todesstrafe als Folge einer Übermittlung Das Umbrella Agreement findet uneingeschränkt auf die Übermittlung zur Verfolgung von Straftaten Anwendung. Somit besteht die Möglichkeit, dass die Daten in einem Strafverfahren zur Verhängung der Todesstrafe verwendet werden, was der Kritik der deutschen Politik unterliegt.385 Dem ersten Anschein nach ist dies ein berechtigter Punkt und tangiert essenzielle europäische Grundrechte.386 Allerdings stellt das DPPA keine Angemessenheitsentscheidung im Sinne von Artikel 45 DSGVO dar, denn es erlaubt die Übermittlung personenbezogener Daten nicht.387 Das Verbot des Transfers personenbezogener Daten, die für die Todesstrafe relevant sind, ist vielmehr Rechtsakten zuzuordnen, die einen Transfer an US-Behörden legitimieren. Es muss beachtet werden, dass diese Daten in den meisten Fällen ohne das DPPA gar keinem Schutz bei der Übermittlung personenbezogener Daten unterliegen. jj) Aufhebung des Schutzes durch Trump-Dekret? Nach Verabschiedung des JRA und des Umbrella Agreements erteilte Donald Trump eine Anordnung an US-Behörden, die Nichtanwendung des Privacy Acts auf Ausländer in den USA ohne Aufenthaltstitel in Einklang mit dem anwendbaren Recht sicherzustellen.388 Fraglich sind die Auswirkungen dieser Anordnung auf die im JRA und DPPA vorgesehene Gleichstellung von EU-Ausländern. Bedeutende Datenschützer aus der Politik werten diese Anordnung Trumps als Verstoß gegen das
384 Europäischer Datenschutzbeauftragter, 2016/C 186/04, Rn. 56, Abrufbar unter: https: //edps.europa.eu/sites/edp/files/publication/16-05-25_oj_umbrella_agreement_de.pdf. 385 Bundesrat, Drucks. 90/16, 944. 386 Maunz/Dürig/Kersten, GG, Art. 102 Rn. 48 mit Verweis auf das Recht auf Leben in Art. 2 Abs. 2 EU-GR-Ch. und dem Abschiebeverbot in Art. 19 Abs. 2 EU-GR-Ch. 387 Art. 1 Abs. 3 DPPA. 388 Trump, Executive Order: Enhancing Public Safety in the Interior of the United States, 25. 01. 2017, Sec. 14. Abrufbar unter: https://www.federalregister.gov/documents/2017/01/30/2 017-02102/enhancing-public-safety-in-the-interior-of-the-united-states.
154
4. Kap.: Angemessenes Datenschutzniveau in den USA?
Umbrella Agreement und den JRA.389 Da der Schutz des JRA durch die Erklärung des US-amerikanischen Justizministers deklariert wurde, könnte die Anordnung von Donald Trump als entsprechende Aufhebung ausgelegt werden.390 Die EU-Kommissarin Jourouva schlug eine gegensätzliche Richtung ein und sah in der Anordnung Trumps keine Aufhebung. Die Amtshandlung sei vielmehr im Zusammenhang mit der Bekämpfung der illegalen Migration zu verstehen. Das Dekret von Trump bestätige demnach nur das, was in dem Privacy Act durch die Beschränkung auf US-Staatsangehörige und Wohnansässige ohnehin geregelt ist. Nach Jourouvas Bewertung gilt der JRA weiterhin für personenbezogene Daten von EU-Staatsangehörigen, da die Anordnung von Trump sich auf den Rahmen des anwendbaren Rechts beschränkt und somit der JRA zu achten ist.391 Für die Auffassung der EU-Kommissarin Jourouva spricht, dass die Anordnung Trumps ausdrücklich auf den Privacy Act verweist, allerdings den Schutz des JRA oder des Umbrella Agreements nicht explizit ausschließt. Aufgrund des engen zeitlichen Zusammenhangs zur vermehrten illegalen Migration in den USA und anderen von Trump angekündigten politischen Maßnahmen zur Bekämpfung dessen, kann die Anordnung nicht als Aufhebung des JRA oder Umbrella Agreements verstanden werden. c) Bewertung des JRA und des Umbrella Agreements Das Umbrella Agreement stellt ein wichtiges Abkommen dar, da es nach jahrelanger Verhandlungen Rahmenbedingungen für sämtliche personenbezogene Daten schafft, die zwischen den Strafverfolgungsbehörden der EU und der USA transferiert werden. aa) Ergänzungen des Privacy Acts Das Umbrella Agreement ergänzt die Inhalte des Privacy Acts um solche Verpflichtungen der Behörden, die zu den wesentlichen Schutzgarantien der EU gehören. Zu nennen sind hier insbesondere die Schranke an eine Weiterübermittlung in Drittstaaten sowie die Vorsehung besonderer Schutzmechanismen für die Verarbeitung sensitiver personenbezogener Daten.
389 Bspw. Albrecht, Twitter, 26. 01. 2017. Abrufbar unter: https://twitter.com/JanAlbrecht/ status/824553962678390784. 390 Schaar, Analyse: Amerika mauert sich ein – Privacy Shield vor dem Aus, 28. 01. 2017. Abrufbar unter: https://www.heise.de/newsticker/meldung/Analyse-Amerika-mauert-sich-einPrivacy-Shield-vor-dem-Aus-3609712.html. 391 Jourouva, Brief an Veld, 31. 01. 2017. Abrufbar unter: https://europa.d66.nl/content/uplo ads/sites/240/2017/01/Letter-Cssr-Jourova-to-MEP-int-Veld.pdf.
C. Datenverarbeitungen durch öffentliche Stellen
155
Die Fortschritte gelten allerdings nur für die zwischen den Strafverfolgungsbehörden transferierten Daten.392 Personenbezogene Daten, die Behörden auf andere Weise erlangen, unterfallen demnach nicht den Verarbeitungsbedingungen des Umbrella Agreements und richten sich stattdessen nur nach dem Privacy Act. In diesem Fall sind EU-Staatsangehörige wegen der ausschließlichen Geltung des Privacy Acts für US-Staatsangehörige schutzlos. bb) Korrekturen des Privacy Acts Wesentliche Rechte des europäischen Rechts, die dem Privacy Act fehlen, werden nicht durch das Umbrella Agreement eingeführt. Dies betrifft insbesondere den Widerspruch gegen Datenverarbeitungen und eine durchsetzbare Löschung personenbezogener Daten abseits der Korrektur. Aufgrund der Tatsache, dass Angehörigen der Staaten, die vom JRA profitieren, die Rechte im selben Umfang zustehen, wie den US-Staatsangehörigen,393 gelten für EU-Staatsangehörige dieselben weitreichenden Ausnahmen wie im Privacy Act mit der Folge, dass öffentlichen Stellen, die überwiegend im Zusammenhang mit der Verfolgung von Straftaten tätig sind, die Möglichkeit eines gerichtlichen Rechtsbehelfs ausschließen können. Der JRA verliert dann jegliche Bedeutung. Zudem beziehen sich einige im Privacy Act normierte Ausnahmen auf Ermittlungsbehörden und für ihre Tätigkeit relevantes Material.394 Dies deckt sich mit dem Anwendungsbereich des DPPA. Somit können wesentliche Pflichten von den USBehörden unter Berufung auf den Privacy Act ausgeschlossen werden. Durch die Normierung zusätzlicher Ausnahmen im DPPA, mit deren vermehrter Inanspruchnahme aufgrund des in der USA herrschenden Verständnisses der nationalen Sicherheit gerechnet werden kann, ist der tatsächliche Umfang der Befolgung des DPPA insgesamt in Frage zu stellen. cc) Aufsichtsstellen Auch die Aufsicht über die Einhaltung der Rahmenbedingungen ist kritisch zu begutachten. Das Bestehen von Aufsichtsbehörden stellt seit dem Eintritt der DSGVO ein Kriterium dar, das die Bewertung des Schutzniveaus wesentlich beeinträchtigt. Nach den in der EU herrschenden Maßstäben für die Bewertung des Drittstaats ist die Unabhängigkeit und die wirksame Funktionsweise für eine Aufsichtsbehörde wesentlich.395 Gerade diese Eigenschaften werden bei den in Betracht kommenden Aufsichtsbehörden in den USA angezweifelt. Eine mit der EU ver392 Simitis/Hornung/Spiecker/Schantz, DSGVO, Art. 45 Rn. 69, Börding, CR 2016, 431, 435; von Lewinski, EuR 2016, 405, 413. 393 Sec. 2 (b), (c) JRA. 394 5 U. S. C. § 552a (k). 395 Art. 45 Abs. 1 lit. b DSGVO.
156
4. Kap.: Angemessenes Datenschutzniveau in den USA?
gleichbare Aufsicht ist somit nicht gegeben. Dieses Problem könnte durch die künftige ausdrückliche Verpflichtung der unabhängigen Aufsicht gelöst werden.396 dd) Gleichstellung zu US-Staatsangehörigen Hinsichtlich der Gleichstellung von Staatsangehörigen der EU und der USA muss angemerkt werden, dass das in dem Privacy Act vorgesehene Recht, eine Speicherung entgegen des Fairnessgrundsatzes vor Gericht zu rügen, nicht im JRA vorgesehen ist.397 Darüber hinaus verweist der JRA auch nicht auf das Bestehen eines gerichtlichen Rechtsbehelfs für anderweitige Verstöße von Behörden gegen den Privacy Act.398 Eine vollständige Gleichsetzung von Ausländern und US-Amerikanern bewirkt der JRA somit nicht. Zudem entsteht eine erneute Diskriminierung für von der EU übermittelte personenbezogene Daten mit Bezug auf Angehörige von Drittstaaten. Dies ist nicht mit dem europäischen Grundrecht auf wirksamen gerichtlichen Rechtsschutz vereinbar, da „jedermann“ das Klagerecht aus Art. 47 Absatz 1 Grundrechtecharta zusteht.399 ee) Einfluss auf die US-Nachrichtendienste Aufgrund der überwiegenden Möglichkeit vorgesehene Schutzmaßnahmen aus Gründen der nationalen Sicherheit auszuschließen, können der JRA und das DPPA keinen wesentlichen Einfluss auf die noch folgende Bewertung der Zugriffsrechte von US-Nachrichtendiensten nehmen. Eine Einflussnahme auf die Angemessenheit des Datenschutzniveaus stand beim Erlass dieser Rechtsakte nicht im Vordergrund.400 Als Rechtshilfevereinbarung ist das Umbrella Agreement nicht für den Datenaustausch von Nachrichtendiensten geeignet.401 Solche Vereinbarungen stehen in der Kritik, zu langsam und ineffizient zu sein.402 Der Erlass des JRA und DPPA sind dennoch für die künftige Wertung wichtig, da sie demonstrieren, dass eine Annäherung zwischen der EU und den USA stattfindet, wenn gemeinsame Interessen verfolgt werden.403 Dies wird besonders durch die erstmalige Einführung der Klagemöglichkeit für EU-Staatsangehörige in den USA verdeutlicht.
396 Vgl. Schaar, EAID-Blog, 18. September 2015, abrufbar unter: https://www.eaid-berlin. de/?tag=umbrella-agreement. 397 Vgl. Sec. 2 (a) JRA, der nicht auf 5 U. S. C. § 552a (g) (1) (C) verweist. 398 Vgl. Einschränkung in Sec. 2 (a) (1) JRA. 399 Dörr/Lenz, 2. Teil Rn. 511. 400 Lejeune, ITRB 2016, 201, 207. 401 Schwartz/Peifer, CR 2017, 165, 167. 402 Bilgic, 32 Harvard Journal of Law & Technology 2018, 321, 358; Schwartz/Peifer, CR 2017, 165, 167. 403 Schwartz/Peifer, CRi 2019, 1, 8.
C. Datenverarbeitungen durch öffentliche Stellen
157
Gleichzeitig wird durch die Reaktionen auf die Anordnung von Donald Trump demonstriert, dass das „erschütterte Vertrauen in den transatlantischen Datenverkehr“404 nicht wiederhergestellt ist.405 Es entsteht der Eindruck, dass erfolgte Zugeständnisse der USA, die nicht im US-Recht aufgenommen werden, aufgrund ihrer Widerrufsmöglichkeit nicht verbindlich genug für die EU sind.406 Dies wird bei der Prüfung des Rechts der Nachrichtendienste von Bedeutung sein.
II. Endergebnis Insgesamt können der Erlass des DPPA und des JRA als erkennbarer Kompromiss der USA verstanden werden, den Rechtsschutz unter bestimmten Voraussetzungen auch anderen Staatsangehörigen zu gewähren. Die Schutzerweiterungen führen grundsätzlich zu einem Datenschutzniveau in den USA, das angemessene Schutzhandlungen von den datenerhaltenden Behörden vorsieht.407 Ungenauigkeiten wie das Verbot der massenhaften Übermittlung sensibler Daten könnten noch explizit geregelt werden, um Unklarheiten zu vermeiden. Da die Ausnahmen des DPPA und des Privacy Acts nicht auf das beschränkt sind, was für die Strafverfolgung erforderlich ist und somit den europäischen Anforderungen an die Einschränkung des Grundrechts auf Datenschutz nicht Genüge getan wird408 sowie die unionsgrundrechtliche Anforderung an einen wirksamen gerichtlichen Rechtsbehelf nicht erfüllt ist, besteht dennoch bei der Verarbeitung personenbezogener Daten durch Bundesbehörden zu Strafermittlungszwecken kein Schutz, der „dem in der Union im Licht der Charta garantieren Niveau gleichwertig ist“.409 Ebenso sprechen die in Betracht kommenden zahlreichen Aufsichtsbehörden aufgrund der bestehenden Zweifel an ihrer Unabhängigkeit und Kompetenz gegen die Schaffung eines wirksamen Überwachungsmechanismus, der vom EuGH in Schrems I gefordert wurde.410 In den USA herrscht somit kein angemessenes Datenschutzniveau für Verarbeitungen personenbezogener Daten durch öffentliche Stellen. Dies muss bei der Bewertung der behördlichen Zugriffe in den USA berücksichtigt werden.
404
EU-Kommission, Pressemitteilung zum EU-US-Datenschutzschild vom 29. Februar 2016; Juncker, Politische Leitlinien, 15. Juli 2014. 405 Vgl. Smagon, ZD 2016, 55, 58. 406 Vgl. Schaar, Analyse: Amerika mauert sich ein – Privacy Shield vor dem Aus, 28. 01. 2017. Abrufbar unter: https://www.heise.de/newsticker/meldung/Analyse-Amerika-mauertsich-ein-Privacy-Shield-vor-dem-Aus-3609712.html. 407 Vgl. Smagon, ZD 2016, 55, 58. 408 Art 52 Abs. 1 S. 2 EU-GR-Ch. 409 EuGH, U. v. 6. 10. 2015 – C-362/14 =ZD 2015, 549, 553 Rn. 73. 410 EuGH, U. v. 6. 10. 2015 – C-362/14 =ZD 2015, 549, 553 Rn. 81.
158
4. Kap.: Angemessenes Datenschutzniveau in den USA?
D. Überwachungen durch US-Behörden Der Zugriff durch US-Behörden auf personenbezogene Daten ist das derzeit wichtigste Kriterium bei der Übermittlung personenbezogener Daten aus der EU in die USA. Aufgrund der weitreichenden Befugnis US-amerikanischer Nachrichtendienste auf personenbezogene Daten zuzugreifen, hat der EuGH das Privacy Shield Abkommen in der Schrems II-Entscheidung als unrechtmäßig erklärt.411 Auch die Schrems I-Entscheidung des EuGH, die zur selben Rechtsfolge für den Vorgänger Safe Harbor führte, ist durch die Eingriffsbefugnisse der US-amerikanischen Sicherheitsbehörden bedingt.412 Da einer Angemessenheitsentscheidung eine umfassende Bewertung des nationalen Rechts durch die EU-Kommission zugrunde liegt, stellt sich die Frage, wieso die EU-Kommission in diesem Rahmen zweimal zu einem anderen Ergebnis als der EuGH gekommen ist. Der hohe Maßstab für ein angemessenes Datenschutzniveau bleibt gleich, unabhängig von der Instanz, die sie überprüft. Bestehende Zweifel hinsichtlich der Aspekte, die bei der Bewertung des Datenschutzniveaus im Drittstaat berücksichtigt werden müssen, wurden vom EuGH in Schrems I ausgeräumt. In Schrems I hat der EuGH am Safe Harbor Abkommen die mangelnde Auseinandersetzung der EU-Kommission mit den Zugriffen US-amerikanischer Sicherheitsbehörden kritisiert.413 Diese Kritik wurde in der DSGVO414 allerdings umgesetzt und von der EU-Kommission in Privacy Shield adressiert. Auf sechszehn Seiten stellt die EU-Kommission die Befugnisse US-amerikanischer Sicherheitsbehörden dar und bewertet sie, was wiederum vom EuGH in der Schrems IIEntscheidung berücksichtigt wurde.415 Somit lagen der Bewertung des durch Privacy Shield gebotenen Schutzes durch die EU-Kommission und den EuGH die gleichen Rechtsakte zugrunde. Hieran angelehnt werden im Folgenden Zugriffsrechte nationaler Sicherheitsbehörden untersucht.
411
EuGH, U. v. 16. 7. 2020 – C-311/18 =MMR 2020, 597, 606 Rn. 177 ff. EuGH, U. v. 6. 10. 2015 – C-362/14 =ZD 2015, 549, 553 Rn. 73. 413 EuGH, U. v. 6. 10. 2015 – C-362/14 =ZD 2015, 549, 553 Rn. 73. 414 Art. 45 Abs. 2 lit. a DSGVO: „nationale Sicherheit“; vgl. Sydow/Towfigh/Ulrich, DSGVO, Art. 45 Rn. 11. 415 Privacy Shield EG 67 – 124, 3.1. „Sammlung und Nutzung durch staatliche Stellen der USA aus Gründen der nationalen Sicherheit“; EuGH, U. v. 16. 7. 2020 – C-311/18 =MMR 2020, 597, 605 Rn. 166 ff. 412
D. Überwachungen durch US-Behörden
159
I. Recht zur Überwachung von aus der EU übermittelten Daten 1. Section 702 FISA Der Foreign Intelligence Surveillance Act416, abgekürzt FISA, das Gesetz über die Auslandsaufklärung, stellt eine der wichtigsten Rechtsgrundlagen für den Zugriff von US-Behörden auf von der DSGVO geschützte personenbezogene Daten dar. Es ermächtigt zum Zugriff auf Daten, die Gegenstand einer Übermittlung personenbezogener Daten in die USA sind oder waren. a) Ausländische Geheimdienstinformationen FISA erhält verschiedene Befugnisse zur behördlichen Überwachung, die sich auf die elektronische Überwachung und den Zugriff auf Metadaten und Geschäftsaufzeichnungen erstrecken. Für Zielpersonen mit anderer als der US-amerikanischen Staatsangehörigkeit sieht FISA das Recht vor, auf jede Art von Information ohne Einschränkungen zuzugreifen.417 Solche Überwachungsmaßnahmen gegen Staatsangehörige anderer Staaten unterliegen der Befugnisnorm Sec. 702 FISA.418 Sie sind dabei auf Personen beschränkt, die sich nach dem Kenntnisstand der Behörden außerhalb der USA aufhalten.419 Neben Staatsangehörigen der USA sollen Personen mit dauerhafter Aufenthaltserlaubnis für die USA keine zielgerichteten Überwachungsobjekte sein, auch wenn sie sich außerhalb der USA befinden.420 Voraussetzung für Überwachungsmaßnahmen unter FISA ist stets, dass die Erlangung „ausländischer Geheimdienstinformationen“ einen signifikanten Zweck der Überwachungsmaßnahme darstellt.421 Die Definition ausländischer Geheimdienstinformationen422 erfasst solche Informationen, die der USA verhelfen, sich gegen Bedrohungen von ausländischen Mächten zu schützen oder sich auf die Außenpolitik423 der USA, die nationale Verteidigung oder Sicherheit beziehen.424 Für die Erhebung von Informationen, die sich auf Staatsangehörige der USA und Ansässige in den USA beziehen, gilt dies mit dem Zusatz, dass die Informationen für die Erfüllung dieser Zwecke notwendig sein müssen. 416
50 U. S. C. §§ 1801 – 1885 c. 50 U. S. C. § 1861: „any tangible things“. 418 50 U. S. C. § 1881a: „EG 67 – 124“. 419 50 U. S. C. § 1881a Überschrift: „Procedures for targeting certain persons outside the United States other than United States persons“. 420 50 U. S. C. §§ 1881 (a), 1801 (i). 421 Engl. „foreign intelligence information“. [ SEC. 104] 50 U. S. C. 1804 (a) (6) (B); [SEC. 303]50 U. S. C. 1823 (a) (6) (B), [SEC. 702] 50 U. S. C. 1881a (h) (2) (a) (v). 422 „Foreign intelligence information“. 423 „Foreign affairs“. 424 50 U. S. C. § 1801 (e). 417
160
4. Kap.: Angemessenes Datenschutzniveau in den USA?
b) Anbieter elektronischer Kommunikationsdienste Die Befugnis der Behörden in Sec. 702 FISA beschränkt sich auf solche Daten, auf die US-amerikanische „Anbieter elektronischer Kommunikationsdienste“425 Zugriff haben. Solche Unternehmen sind dazu verpflichtet, auf Anfrage der Behörden Daten herauszugeben oder bei dem behördlichen Zugriff Unterstützung zu leisten.426 Von der Definition eines Anbieter elektronischer Kommunikationsdienste sind Unternehmen und ihre Mitarbeiter und Vertreter erfasst, die Remote-Computing-Dienste sowie digitale oder elektronische Kommunikation anbieten oder zumindest Zugriff auf entsprechende Kommunikationsdaten haben.427 Somit können US-amerikanische Social Media Plattformen, E-Mail Anbieter und Cloud Hosts gemäß Sec. 702 FISA dazu verpflichtet werden, personenbezogene Daten von anderen Staatsangehörigen als den USA herauszugeben. Die Kooperation mit solchen Unternehmen ist für die Realisierung bekannter Überwachungsprogramme der USamerikanischen Geheimdienste zwingend notwendig.428 Snowden beschreibt in seinen Enthüllungsdokumenten von der NSA eingegangene geheime Partnerschaften mit Privatunternehmen, deren Identität er teilweise als eines der bestgehüteten Geheimnisse der NSA bezeichnet.429 Durch seine Enthüllungen konnten dennoch die weltweit größten Internetunternehmen Facebook, Yahoo, Apple, Google und Microsoft als Adressaten identifiziert werden.430 c) Foreign Intelligence Surveillance Court Auf Sec. 702 FISA gestützte Überwachungsmaßnahmen bedürfen der Ermächtigung des speziell hierfür geschaffenen, geheimtagenden Gerichts namens Foreign Intelligence Surveillance Court, FISC. Dem FISC steht es frei, Überwachungsmaßnahmen mit Dauer bis zu einem Jahr zu genehmigen.431 Dabei genügt dem Gericht eine Vorlage der geplanten allgemeinen Vorgehensweise für Überwachungsmaßnahmen durch die Leiter der zuständigen Sicherheitsbehörden.432 Beispiele für generelle Überwachungsprogramme, die jährlich von dem FISC genehmigt werden, sind „Prism“ und „Upstream“.433 Angaben zu konkreten Zielpersonen, zum Kreis der Betroffenen oder zu anvisierten Daten sind keine Voraussetzung für die gerichtliche Genehmigung. Hierdurch wird die Erhebung sensibler personenbezo-
425 426 427 428 429 430 431 432 433
„Electronic communication service provider“. 50 U. S. C. § 1881a (h) (2) (vi). 50 U. S. C. § 1881(b)(4). Siehe für „Upstream“ Greenwald, S. 159 ff. Greenwald, S. 167 ff. Ebenda. 50 U. S. C. § 1881a (a), (j). 50 U. S. C. § 1881a (h), (g), (j). Privacy Shield EG 109.
D. Überwachungen durch US-Behörden
161
gener Daten unter denselben Voraussetzungen wie für andere Daten ermöglicht.434 Zudem ist der Zugriff auf den Kommunikationsinhalt unter Berufung auf Sec. 702 FISA unabhängig von der Geltendmachung eines hinreichenden Anhaltspunktes435 vor dem FISC möglich, da Angehörige anderer Staaten als der USA grundsätzlich436 nicht vom Schutz des vierten Verfassungszusatzes profitieren.437 Der Anbieter der elektronischen Kommunikation hat das Recht, einen Antrag auf Erhalt von Daten beim FISC auf die Rechtmäßigkeit überprüfen zu lassen.438 Spätestens sechs Tage später wird eine Prüfung der Anordnung unter Sec. 702 FISA auf ihre Rechtmäßigkeit durch den zuständigen Richter durchgeführt und anschließend entweder die Ablehnung des Antrages oder die Weiterleitung an das Plenum beschlossen439. Die Überprüfung durch das Plenum soll dann erfolgen, wenn rechtliche Gründe oder keine leichtfertigen440 Gründe für Einwände sprechen, die eine Erweiterung, Änderung oder Beseitigung des bestehenden Rechts oder Erlassung neuen Rechts sprechen. Die Entscheidung des Richters unterliegt der Protokollierung. d) Minimierungsmaßnahmen FISA sieht vor, dass der Generalstaatsanwalt spezifische Verfahren zur Minimierung der Erfassung und Speicherung von Informationen unter Berücksichtigung des Zwecks und der Technik der Überwachung erlässt. Sofern diese Maßnahmen von den Behörden zu ergreifen sind, beschränken sich diese auf Vorkehrungen für USStaatsangehörige oder Personen mit dauerhafter Aufenthaltsberichtigung für die USA.441 Dies betrifft auch das Verbot von Weiterübermittlungen bereits erhobener Informationen an Dritte. Minimierungsmaßnahmen sind insbesondere vor dem Hintergrund der durch die Snowden Enthüllung in den Fokus der Öffentlichkeit stehenden Massenüberwachung442 relevant. Als zugrundeliegende Rechtsgrundlage für die massenhafte Sammlung von Metadaten fungierte insbesondere die den FISA Act ergänzende Norm Sec. 215 des Patriot Acts, der als Reaktion auf die Anschläge vom 11. Sep434
Becker/Nikolaeva, CR 2012, 170, 171; Pallasky, DuD 2002, 221, 225. „probable cause“. 436 Vgl. zur Ausnahme, dass für den Schutz des vierten Verfassungszusatzes von USAusländern ein bedeutsamer Kontakt mit den USA notwendig ist, der sich aus physischen Kontakten oder einer rechtlichen Beziehung zu den USA (bspw. durch eine Aufenthaltsgenehmigung) ergeben kann: Schwartz/Peifer, CR 2017, 170, 171. 437 Vgl. Boehm, Study for LIBE, PE 536.459, September 2015, S. 64; Spies; ZD-Aktuell 2018, 05932. 438 50 U. S. C. § 1881a (i) (4). 439 50 U. S. C. § 1881a (i) (4) (D). 440 „nonfrivolous“. 441 Vgl. Sec. 702 e (1), 101 (h) FISA. 442 Engl. „bulk surveilance“. 435
162
4. Kap.: Angemessenes Datenschutzniveau in den USA?
tember 2001 verabschiedet wurde und Behörden weitreichende Befugnisse im Kampf gegen Terroristen einräumte.443 Der Patriot Act ist allerdings im Jahr 2015 ausgelaufen. Seitdem werden der Informationsbeschaffung und Ansammlung durch Geheimdienste vermehrt Grenzen gesetzt.444 So setzt der im Jahr 2015 in Kraft getretene Freedom Act das Verbot von Massenerhebungen unter FISA-Anordnungen fest.445 Dieses Ziel fördernd, sollen konkrete Suchkriterien446 wie Namen, Accounts, Adressen oder personenzugeordnete Geräte bei Ermittlungen angewandt werden.447 Allerdings referiert der Freedom Act im Rahmen des Verbots der Massenüberwachung nicht zu Sec. 702 FISA, sondern verweist auf andere Rechtsgrundlagen im FISA, die nicht speziell auf Ausländer gerichtet sind. e) Genehmigte Überwachungsprogramme Die bekanntesten Programme der US-amerikanischen Geheimdienste sind „Prism“ und „Upstream“.448 Nach den Snowden Enthüllungen konnte festgestellt werden, dass die hierdurch erlangten Informationen einen Großteil der der durch die NSA gesammelten Informationen darstellten.449 Es bestehen keine Hinweise darauf, dass diese beiden Programme eingestellt wurden. aa) Prism Im Rahmen von „Prism“ sendet die Regierung eine Behördenanordnung zu einem Selektor, beispielsweise eine E-Mail-Adresse, an einen elektronischen Kommunikationsdienstanbieter, der dazu gezwungen ist, alle unter diesem Selektor gespeicherten Daten herauszugeben.450 NSA erhält alle Daten, die unter „Prism“ erhoben wurden. Das CIA und das FBI erhalten hingegen nur ausgewählte Daten.451 Aus den Snowden Dokumenten folgt, dass die NSA mit „Prism“ direkt auf die Server der neun größten Internetfirmen zugreifen konnte.452 Entsprechende Unternehmen haben bestritten, der NSA direkten Zugang zu ihren Servern gewährt zu haben.453 443
S. 59. 444
Public Law 107 – 56 vom 26. Oktober 2011; vgl. Boehm, Study for LIEBE, PE536.459,
Manes, The Yale Law Journal Forum, 3. März 2016, 343, 344. Vgl. Änderung von Sec. 103, 201 und 501. 446 „specific selection term“. 447 Privacy Shield EG 79. 448 Privacy Shield EG 81. 449 Jedenfalls zur Zeit der Snowden Enthüllungen Greenwald, S. 180, 181. 450 PCLOB, Report on Sec. 702 FISA, 2. Juli 2014, S. 7. 451 Ebenda. 452 Greenwald S. 168 ff., siehe dort: PRISM ist das Programm, das zur direkten Datenerhebung von Servern US-Amerikanischer Kommunikationsanbieter wie Microsoft, Yahoo, Google, Facebook, PalTalk, AOL, Skype, YouTube und Apple ermächtigt. 453 Greenwald S. 168 ff.; Lejeune, CR 2013, 755 756. 445
D. Überwachungen durch US-Behörden
163
bb) Upstream – Glasfaserkabelanzapfung Bei der Überwachung, die unter dem Namen „Upstream“ erfolgt, werden international genutzte Glasfaserkabel für die Datenübertragung wie Unterseekabel von den nationalen Sicherheitsbehörden angezapft und die Daten kopiert oder Datenflüsse unmittelbar in NSA-Archive umgeleitet.454 Das ermöglicht den Zugriff auf Daten, die von der EU zielgerichtet in die USA übermittelt werden, bevor die Daten beim Adressaten angekommen sind. Gleichzeitig wird hierdurch der Zugriff auf Daten ermöglicht, die nicht für die USA bestimmt waren und nur zur Erreichung eines anderen Zielstaates durch die USA oder ihre Systeme fließen. Das Programm steht nur der NSA zur Verfügung.455 cc) About-collection Im Kontext mit US-Überwachungsprogrammen wird die Selektion der Personen, die von entsprechenden Überwachungsmaßnahmen betroffen sind, diskutiert. Um als Objekt einer Überwachungsmaßnahme unter „Upstream“ erfasst zu werden, hat vormals die Nennung von verdächtigen Informationen in Nachrichten genügt. Dafür wurde die gesamte Kommunikation durchsucht, um festzustellen, ob in einer Kommunikation der Selektor erwähnt wurde, sog. „about collection“.456 Zur Vermeidung der Erfassung von „US-Personen oder anderer Personen“, die sich nicht in direktem Kontakt mit einem Verdächtigen befinden, wurde von der NSA im April 2017 verkündet, dass die „about collection“ insoweit beendet wird, dass nun mindestens einer der Beteiligten einer Konversation als Verdächtiger eingestuft sein muss.457 Im selben Jahr der Einstellung wurde eine Rückkehr zur „about collection“ vom damaligen NSA-Direktor Michael Rogers nicht ausgeschlossen. Notwendig sei hierfür die technische Möglichkeit, bei der Anwendung der „about collection“ den Zugriff auf den Inhalt der Kommunikation auszuschließen.458 In der Wiedergenehmigung des FISA Amendment Acts aus dem Jahr 2017 wird der NSA das Recht vorbehalten, in dringenden Ausnahmefällen459 auf die „about collection“ zurückzugreifen.460 Verstöße hiergegen müssen dem Kongress gemeldet werden.461 Die 454 Greenwald, S. 147, 159; EFF, Upstream vs. PRISM. Abrufbar unter: https://www.eff. org/de/pages/upstream-prism. 455 PCLOB, Report on Sec. 702 FISA, 2. Juli 2014, S. 7. 456 EFF, All About „About“ Collection. Abrufbar unter: https://www.eff.org/de/pages/ about-collection. 457 NSA, Release No: PA-044 – 18, 28. April 2017. Abrufbar unter: https://www.nsa.gov/ news-features/press-room/Article/1618777/nsa-stops-certain-foreign-intelligence-collection-ac tivities-under-Sec.-702/. 458 Tummarello/Cardozo, Liveblogging Today’s Senate Intelligence Hearing on Sec. 702, 7. Juni 2017. Abrufbar unter: https://www.eff.org/de/deeplinks/2017/06/liveblogging-todays-se nate-intelligence-hearing-section-702. 459 „exception for emergency acquisition“. 460 FISA Amendments Reauthorization Act of 2017 Sec. 103 para. 2 s. 2.
164
4. Kap.: Angemessenes Datenschutzniveau in den USA?
reguläre „about collection“ kann jederzeit wieder aufgenommen werden. Erforderlich ist lediglich, dass der Generalstaatsanwalt und der Direktor der nationalen Geheimdienste, sog. ODNI, dem Kongress dreißig Tage vorher eine schriftliche Absichtserklärung vorlegen.462 f) Betroffenenrechte aa) Schweigeanordnung FISA sieht keine Rechte der betroffenen Personen auf Zugriff und Korrektur personenbezogener Daten vor. Dies ist insoweit zweckgerecht, dass Überwachungsmaßnahmen regelmäßig mit einer Geheimhaltungspflicht, sog. „gag order“, versehen sind.463 Erhält ein Dritter wie ein Telekommunikationsanbieter eine Schweigepflicht, darf die betroffene Person nicht über den Inhalt und bereits nicht über das Bestehen des Herausgabeverlangens informiert werden. Eine Mitteilung erfolgt erst, wenn die Informationen in einem Verfahren gegen die Person genutzt werden sollen.464 bb) Freedom Act Der Entschluss, eine Informationsanfrage von Behörden als geheim einzustufen, ist nicht mehr endgültig. Durch den bereits erwähnten Freedom Act werden Ermittlungsbehörden zur intervallartigen Überprüfung veranlasst, ob die Schweigepflicht weiterhin notwendig ist.465 Demnach sollen geheime behördliche Anfragen für die Benachrichtigung des Betroffenen freigegeben werden, wenn der Zweck für den Erlass der Schweigeanordnung entfallen ist, beispielsweise durch Einstellung oder Ende der Ermittlungen. Im Freedom Act wurden allerdings auch keine Rechte der betroffenen Person auf Zugriff oder Korrekt eingeführt, sodass sich betroffene Personen auf die allgemeinen Rechtsbehelfe für bei Behörden gespeicherte Daten nach dem FOIA und dem Privacy Act berufen müssen, die zu Gunsten der nationalen Sicherheit abgelehnt werden dürfen.466
461
FISA Amendments Reauthorization Act of 2017 Sec. 103 para. 3. FISA Amendments Reauthorization Act of 2017 Sec. 103 para. 1; Kohse, The FISA Amendments Reauthorization Act of 2017, 18. Januar 2018. Abrufbar unter: https://www.lawfa reblog.com/summary-fisa-amendments-reauthorization-act-2017. 463 50 U. S. C. § 1874. 464 50 U. S. C. § 1806 (c), (d). 465 USA FREEDOM Act, 12 U. S. C. 3414 note, Page 129 Stat. 288. 466 Siehe 4. Kapitel Abschnitt B. dieser Arbeit. 462
D. Überwachungen durch US-Behörden
165
cc) Klageberechtigung Für den Fall, dass eine betroffene Person Kenntnisse über die eigene Überwachung hat, kann sie für entstandene Schäden eine Kompensation verlangen, wenn die Überwachung rechtswidrig erfolgte.467 Bestätigt das Gericht die Rechtswidrigkeit, werden Disziplinarverfahren gegen verantwortliche Beamte eingeleitet. Allerdings nur dann, wenn Anhaltspunkte für einen absichtlichen oder willentlichen Verstoß bestehen.468 Die betroffene Person kann sich zudem gegen die Nutzung von Informationen, die aus rechtswidrigen Ermittlungen stammen, in anschließenden Gerichts- oder Verwaltungsverfahren zur Wehr setzen.469 Entsprechende Klagen werden in der Praxis häufig abgewiesen, da betroffenen Personen der nach der Verfassung notwendige Nachweis über ihre Klagebefugnis für geheime Überwachungsmaßnahmen nicht gelingt.470 Für die Klagebefugnis vor US-Gerichten muss eine Rechtsverletzung sicher bevorstehen.471 Vermutungen einer Rechtsverletzung oder die bloße Möglichkeit einer künftigen Verletzung reichen nicht aus.472 Es muss eine überwiegende Wahrscheinlichkeit einer Verletzung vorliegen.473 Insbesondere reicht die Angst vor einer rechtwidrigen Überwachung durch Nachrichtendienste ohne unmittelbar vorstehenden konkreten Schaden nicht aus.474 Diese Anforderungen sind für Betroffene von Überwachungen schwer umzusetzen, weil sie zum einen den Nachweis über die bestehende Ermittlung und zum anderen die Rechtswidrigkeit erbringen müssen und das im Rahmen eines Bereichs, der für sein Gelingen von Heimlichkeit abhängt. 2. NSL Dem FBI stehen zusätzlich zur Erlangung von Daten sog. National Security Letter, abgekürzt NSL, zur Verfügung. Das US-amerikanische Recht kennt verschiedene NSL, die Unternehmen sektorspezifisch zur Herausgabe von Daten an das FBI verpflichten. Dabei handelt es sich in erster Linie um Unternehmen, die Finanz-
467
50 U. S. C. § 1810; 18 U. S. C. § 2712. 18 U. S. C. § 2712 (c). 469 50 U. S. C. § 1806 (e). 470 Art. III Sect. 2 US-Constitution, Clapper v. Amnesty Int’l USA, 133 S.Ct. 1138, (2013); Privacy Shield EG 115. 471 Clapper v. Amnesty Int’l USA, 133 S.Ct. 1138, 1144, 1147 (2013): „certainly impending“. 472 Clapper v. Amnesty Int’l USA, 133 S.Ct. 1138, 1144, 1147 (2013). 473 Clapper v. Amnesty Int’l USA, 133 S.Ct. 1138, 1160 (2013): „reasonably likely or highly likely“. 474 LexisNexis, Law School Case Brief, Conclusion. Abrufbar unter: https://www.lexisnexis. com/community/casebrief/p/casebrief-clapper-v-amnesty-int-l-usa. 468
166
4. Kap.: Angemessenes Datenschutzniveau in den USA?
und Kreditdaten verarbeiten.475 Die wichtigste NSL bezieht sich auf Anbieter von drahtgebundenen oder elektronischen Kommunikationsdiensten,476 was den Anwendungsbereich mit Sec. 702 FISA vergleichbar macht. Voraussetzung hierfür ist die Relevanz der Informationen für Ermittlungen zum Schutz gegen den internationalen Terrorismus oder ausländische Spionage.477 Da die Relevanz zu diesen Ermittlungen ausreicht ist der Anwendungsbereich wie bei dem FISA nicht durch konkret bevorstehende Gefährdungen bedingt. Auch im Übrigen gleichen die Voraussetzungen von NSL-Anordnungen den Voraussetzungen für FISA-Anordnungen. Der wichtigste Unterschied von NSL-Anordnungen ist, dass das FBI die NSL-Anordnungen gegenüber Unternehmen ohne vorherige Einbindung der Gerichte aussprechen darf. Dies führt insbesondere im Hinblick auf die Schweigeanordnungen zur mangelhaften Kontrollmöglichkeit der Maßnahme. 3. EO12333 a) Befugnisse Die primäre Rechtsgrundlage, unter der die NSA ausländische Geheimdienstinformationen sammelt, ist die Executive Order, abgekürzt EO, mit der Nummer 12333.478 Dabei handelt es sich um eine Anordnung, die am 4. Dezember 1981 vom US-Präsidenten Ronald Reagan erlassen wurde. Sie erlaubt die Erfassung und Verarbeitung, einschließlich der Verbreitung, von Informationen von US-Staatsangehörigen und US-Ausländern im Rahmen der US-amerikanischen nachrichtendienstlichen Tätigkeit.479 Ein Zusammenhang mit Bedrohungen der nationalen Sicherheit ist nicht erforderlich.480 Die Befugnis erstreckt sich auf die Informationsgewinnung durch die Signalaufklärung und somit auf Daten, die über Funk, Kabel und andere elektromagnetische Mittel weitergegeben oder zugänglich sind.481 Adressaten von Anordnungen unter der EO12333 sind nicht auf Anbieter der elektronischen Kommunikation beschränkt.482 Ermittlungen müssen sich auf die Fähigkeiten, Absichten und Aktivitäten ausländischer Mächte, Organisationen oder Personen beziehen.483
475
12 U. S. C. § 3413(a)(5); 15 U. S. C. § 1681u(a). 18 U. S. C. § 2709. 477 18 U. S. C. § 2709 (b): „international terrorism or clandestine intelligence activities“. 478 Gorski/ACLU, Summary of U.S. Foreign Intelligence Surveillance, Rn. 46. 479 EO12333 § 2.3. 480 Gorski/ACLU, Summary of U.S. Foreign Intelligence Surveillance, Rn. 53. 481 Lawne, US surveillance: s702 FISA, EO 12333, PRISM and UPSTREAM, 13. August 2020. Abrufbar unter: https://www.fieldfisher.com/en/insights/us-surveillance-s702-fisaeo-12333-prism-and-ups. 482 Ebd. 483 EO12333 § 3.4(d). 476
D. Überwachungen durch US-Behörden
167
b) Unklarer territorialer Anwendungsbereich Seit dem Inkrafttreten des FISA sollen in der Praxis Überwachungsmaßnahmen, die sich auf die Executive Order stützen, hauptsächlich im US-amerikanischen Ausland stattfinden.484 Der Normtext der EO12333 beschränkt sich allerdings nicht auf Maßnahmen im Ausland. Es ist unklar, ob auf die EO12333 Überwachungsmaßnahmen gestützt werden, die sich auf Daten im Transit durch die USA beziehen. Der irische High Court erklärt im Vorabentscheidungsverfahren zu Schrems II, dass er diese Daten auch dann vom Anwendungsbereich der EO12333 erfasst sieht, wenn die USA nicht das eigentliche Ziel der Daten darstellen.485 c) Ausländerdiskriminierung und Verhältnismäßigkeit Die EO12333 benachteiligt Angehörige anderer Staaten als den USA, indem geringe Anforderungen an sie betreffende Maßnahmen gestellt werden. Überwachungsmaßnahmen in Bezug auf Personen aus den USA dürfen nur unter Einhaltung zusätzlicher Voraussetzungen erfolgen. Sie können nur unter den Regeln von Verfahren erfolgen, die vom Leiter der betreffenden Behörde festgelegt und vom Generalstaatsanwalt genehmigt wurden.486 Auf der EO12333 basierende Maßnahmen, die innerhalb der USA durchgeführt werden oder sich gegen US-Staatsangehörige im Ausland richten dürfen nur unter der am wenigsten eingreifenden Sammeltechnik erfolgen.487 Da somit EU-Staatsangehörige nicht von dieser Regelung profitieren und sonst keine weiteren Begrenzungen bestehen, schließt die EO12333 eine Massenerhebung von Informationen von EU-Staatsangehörigen nicht aus. Aufgrund fehlendender Begrenzungen schließt dies Metadaten und den Inhalt von Kommunikationen ein.488 Der Umfang der Verwendung von der EO 12333 in der Praxis, einschließlich der Verhältnismäßigkeit auf ihr basierender Überwachungsmaßnahmen, ist noch unklar. Da es sich um eine Anordnung des US-Präsidenten handelt, kann diese jederzeit vom US-Präsidenten geändert oder aufgehoben werden.489 Auf der EO12333 basierende Maßnahmen unterliegen keiner gerichtlichen Überprüfung, sodass gerichtliche Dokumentationen fehlen.490 Es bestehen zudem keine Rechtsbehelfe gegen auf der
484 Artikel-29 Datenschutzgruppe, WP 238 S. 35; ACLU, Suggested List of Issues Prior to Reporting to Country Report Task Force on the United States, S. 14. 485 High Court Irland, DPC vs. Facebook Ireland Ltd. and Maximilian Schrems, 2016 No. 4809 P, 3. Oktober2017, Rn. 179 S. 93. 486 EO12333 § 2.3. 487 EO12333 § 2.4. 488 Gorski/ACLU, Summary of U.S. Foreign Intelligence Surveillance, Rn. 50. 489 Artikel-29 Datenschutzgruppe, 2. Jährliche Überwachung Privacy Shield, Rn. 87. 490 Artikel-29 Datenschutzgruppe, 2. Jährliche Überwachung Privacy Shield, Rn. 87.
168
4. Kap.: Angemessenes Datenschutzniveau in den USA?
EO12333 beruhende Maßnahmen, sodass die Behörden nicht zur Offenlegung der von ihr gespeicherten Informationen verpflichtet werden können.491 4. Bewertung a) Anwendungsbereich des FISA Durch die Definition der „ausländischen Geheimdienstinformation“ in dem FISA entsteht ein weiter Anwendungsbereich für die hierauf basierenden Überwachungsmaßnahmen. Denn neben Informationen, die Terror und andere Verteidigungsinteressen der USA wie die nationale Sicherheit betreffen, werden auch Informationen mit Bezug auf legale politische Organisationen mit Sitz im USAAusland erfasst, sofern sie die Durchführung der Außenpolitik der USA betreffen.492 Da der Begriff der „Außenpolitik“ im FISA nicht näher umschrieben wird, besteht ein großer Ermessensspielraum der Behörden.493 Dieser bezieht sich in Kombination mit der Berechtigung zur Erhebung aller Information unter Sec. 702 FISA auch auf besonders schutzbedürftige und sensible Daten. Die Befugnisse der Behörden überschreiten daher solche der EU.494 b) Gefährdungszusammenhang von FISA und NSL Der Anwendungsbereich von NSL-Anordnungen gegen Telekommunikationsanbieter ist im Vergleich zu FISA-Anordnungen durch die Beschränkung auf zwei Fallgruppen, den internationalen Terrorismus und die Auslandsspionage, enger gefasst. Allerdings führt zu einer weiten Anwendbarkeit, dass die Überwachungsmaßnahmen nach dieser NSL-Anordnung nur „relevant“ für Ermittlungen in diesem Zusammenhang sein müssen. Bei FISA-Anordnungen scheint dieser Zweckzusammenhang enger gefasst zu sein, da die Verschaffung solcher Informationen einen „signifikanten Zweck“ darstellen muss. Die zugrundeliegenden Wortlaute beider Anordnungen sind nicht dazu geeignet, Behörden dazuzuhalten, die Informationsbeschaffung auf das absolut Notwendige zu beschränken. c) Korrekturen durch den Freedom Act? Die Einführung des Freedom Acts und der gleichzeitig erfolgte Wegfall vom Patriot Act sind wesentliche Schritte zur Eingrenzung der Befugnisse der Sicherheitsbehörden, die infolge des 11. September 2001 extensiv erweitert wurden. Da Datenerhebungen unter FISA-Anordnungen ausdrücklich im Freedom Act auf 491
Privacy Shield EG 115. Vgl. Europäisches Parlament, Generaldirektion interne Politikbereiche, Fachabteilung C: Bürgerrechte und konstitutionelle Angelegenheiten, PE 474.405, S. 24. 493 Artikel-29 Datenschutzgruppe, WP 238, 39. 494 Vgl. Molnar-Gabor/Kaffenberger, ZD 2017, 18, 23. 492
D. Überwachungen durch US-Behörden
169
konkrete Suchkriterien begrenzt und Massenerhebungen verboten werden, können sich Behörden in der Praxis nicht auf die Möglichkeit einer extensiven Auslegung solcher FISA-Überwachungsbefugnisse berufen, auf die der Freedom Act ausdrücklich Bezug nimmt.495 Aufgrund der fehlenden Bezugnahme vom Freedom Act auf Sec. 702 FISA mangelt es allerdings an einer rechtlichen Verpflichtung, seine Beschränkungen auf Überwachungsmaßnahmen gegen Staatsangehörige und Wohnansässige anderer Staaten als der USA anzuwenden. d) Anwendungsbereich von der EO12333 Der Anwendungsbereich von der EO12333 ist noch weiter gefasst als Sec. 702 FISA, weil er sich nicht auf die nationale Sicherheit, Terrorismus oder Auslandsspionage bezieht. Da neben „Aktivitäten“ auch schwer nachweisbare Faktoren wie „Absichten“ und „Fähigkeiten“ den Anwendungsbereich eröffnen, ohne dass nähere Voraussetzungen hieran geknüpft werden, kann nach dem Wortlaut bereits jede ausländische Person Objekt einer Überwachung nach der EO12333 werden. Der Wortlaut beschränkt sich nicht auf bestimmte Straftaten oder Ordnungswidrigkeiten, die Überwachungsmaßnahmen rechtfertigen und lässt durch die weite Formulierung auch nicht auf solche schließen. Dadurch, dass die EO12333 keine Angaben zu dem geographischen Geltungsbereich, dem Umfang einer Datenverarbeitung oder der Art von Informationen, die gesammelt werden können, macht, ist der Anwendungsbereich in der Praxis unklar.496 Insbesondere die vom EuGH angenommene Praxis der Anzapfung von Glasfaserkabeln zur Erhebung von Daten, die nicht für die USA bestimmt sind, führen zu einer extensiven Erfassung potenzieller Überwachungsobjekte aus aller Welt. Überwachungsmaßnahmen nach der EO12333 sind daher für den Einzelnen nicht vorhersehbar. Die Anforderung der europäischen Gerichte an die gesetzliche Normierung von staatlichen Überwachungsmaßnahmen, die dem Einzelnen ermöglichen muss, nachzuvollziehen, unter welchen Voraussetzungen er von einer staatlichen Überwachung betroffen sein kann, wurde somit nicht erfüllt.497 e) Begrenzungen und Rechtsschutz Die Anwendungsbereiche der Grundlagen für die Behördenanordnungen sind weit gefasst, sodass eine weitreichende Sammlung personenbezogener Daten von EU-Staatsangehörigen möglich ist. Dies ist besonders vor dem Hintergrund der
495 Vgl. zur weiten Auslegung: US Department of Justice, Office of the Inspector General, A Review of the FBI’s Use of Sec. 215 Orders, May 2015, S. ,12, 66: „The FBI made strategic use of the legislative and technological changes by broadening the scope of materials sought in applications“. 496 Artikel-29 Datenschutzgruppe, 1. Jährliche Überprüfung Privacy Shield, S. 35. 497 Vgl. Simitis/Hornung/Spiecker/Schantz in Art. 45 Rn. 67; Börding, CR 2016, 431, 435.
170
4. Kap.: Angemessenes Datenschutzniveau in den USA?
Überwachungsprogramme „Prism“ und „Upstream“ problematisch498, da dadurch die Mehrheit personenbezogener Daten, die in den USA gespeichert sind und durch die USA fließen, erfasst werden können. Einschränkungen, die einer massenhaften Vorratsdatenspeicherung vorbeugen, gelten nur für US-Staatsangehörige oder bei dem FISA nur für Gesetze, die auf US-Staatsangehörige Anwendung finden. Da betroffene Personen kein Recht auf Löschung haben, können sie auf diesen Datenbestand nicht einwirken. Es bestehen ferner keine Rechte auf Zugang und Berichtigung erhobener Daten, sodass die Anforderungen des EuGH für behördliche Überwachungen nicht erfüllt sind.499 Für Behördenmaßnahmen unter Sec. 702 FISA gilt, dass das FISC geeignet ist, unverhältnismäßige Überwachungsprogramme zu verhindern. Durch die richterliche Dokumentationspflicht sind Entscheidungen zudem überprüfbar. Allerdings stehen bei dem gerichtlichen Genehmigungsprozess, der einmal jährlich erfolgt, konkrete behördliche Maßnahmen noch nicht fest. Der EuGH verlangt grundsätzlich eine vorherige Kontrolle einzelner behördlicher Maßnahmen, die nur bei besonderer Dringlichkeit nachträglich erfolgen darf.500 Selbst in diesen Fällen muss die Genehmigung schnellstmöglich nachgeholt werden.501 Ein pauschal502 vorgegebener Zeitraum für die Überprüfung behördlicher Maßnahmen widerspricht diesen Anforderungen des EuGH. In Anbetracht der Bedeutungslosigkeit für die einzelnen Datenzugriffe kann die Genehmigung durch das FISC als „Blankovollmacht“ bezeichnet werden.503 Für Überwachungen nach einer NSL und der EO12333 besteht keine gerichtliche Kontrolle, sodass Überwachungsmaßnahmen losgelöst von vorherigen Überprüfungen durch eine unabhängige Stelle erfolgen. Abschließend muss somit festgehalten werden, dass EU-Staatsangehörige in keiner Weise vor konkreten Überwachungsmaßnahmen geschützt werden.504 5. Erweiterte Schutzmaßnahmen unter PPD-28 Im Januar 2014 erließ Barack Obama neue Schutzmaßnahmen für die US-amerikanische Signalaufklärung in der Presidential Policy Directive, abgekürzt PPD-28. In der Anweisung des US-Präsidenten werden bestehende Anweisungen an die Nachrichtendienste präzisiert und wichtige Grundsätze für die Verarbeitung personenbezogener Daten aufgestellt. Die Regeln in der PPD-28 erlangen allgemeine Verbindlichkeit für alle Behörden und sind unabhängig von der angewandten Rechtsgrundlage. Somit kann die PPD-28 Schutz für Überwachungsmaßnahmen 498 499 500 501 502 503 504
Vgl. Simitis/Hornung/Spiecker/Schantz in Art. 45 Rn. 67. Europäischer Datenschutzausschuss, Empfehlungen 02/2020, Rn. 43. Europäischer Datenschutzausschuss, Empfehlungen 02/2020, Rn. 41. Europäischer Datenschutzausschuss, Empfehlungen 02/2020, Rn. 41. Vgl. Weichert, ZD 2016, 209, 216, der von einer „Pauschalprüfung“ spricht. Greenwald, S. 174. Severson, 56 Harv. Int’l L.J. 2015, 465, 481.
D. Überwachungen durch US-Behörden
171
bieten, die sich auf Sec. 702 FISA, die EO12333 oder eine NSL stützen. Betroffene Personen können aus den Gewährleistungen der PPD-28 allerdings keine Rechte ableiten.505 a) Gleichstellung von Ausländern Unter Betonung des Fortschritts und der Wichtigkeit der Erkenntnisgewinnung durch US-amerikanische Nachrichtendienste wird in der PPD-28 gleichzeitig das bestehende Risiko des Misstrauens anderer Staaten hervorgehoben und somit die Notwendigkeit, einen Schutz zu schaffen, der für alle Personen gilt. Dementsprechend ist in einer Fußnote in der PPD-28 angeordnet, dass Behörden persönliche Informationen von US-Ausländern gleich wie solche von US-Staatsangehörigen behandeln sollen.506 Gesondert werden in der PPD-28 das Verbreiten und Speichern von Informationen hervorgehoben. Diese Verarbeitungshandlungen sollen nur unter den Voraussetzungen erlaubt sein, die in der EO12333 ausschließlich für US-Staatsangehörige und Wohnansässige vorgesehen sind.507 In diesem Rahmen wird in der PPD-28 betont, dass die langzeitige Speicherung persönlicher Informationen losgelöst von Gefahren der nationalen Sicherheit ungeeignet und unnötig ist.508 b) Zweckbeschränkungen Die PPD-28 sieht Beschränkungen von Überwachungsmaßnahmen vor, die einer zweckgelösten Massenüberwachung entgegenwirken. Zum einen hat die Signalaufklärung so zielgerichtet wie möglich zu erfolgen.509 Dies soll durch die verwendete Technik sichergestellt werden.510 Zum anderen wird die Nutzung von Daten, die durch einen zulässigen Fall der Massenerhebung erlangt wurden, auf sechs Zwecke beschränkt.511 Die Zwecke erstrecken sich auf Bedrohungen der USA und ihrer Interessen durch: (i) Spionage und andere Bedrohungen ausgehend von fremden Mächten, (ii) Terrorismus, (iii) Massenvernichtungswaffen, (vi) transnationale Kriminalität, und (v) Cybersecurity512 sowie (vi) Bedrohungen der amerikanischen oder verbündeten Streitkräfte oder anderer amerikanischer oder verbündeter Personen513. Die Zweckbegrenzung unterliegt allerdings einigen Einschrän505 506 507 508 509 510 511 512 513
Sec. 6 (d) PPD-28. Annex 7 S. 1 PPD-28. PPD- 28 Sec. 4 (a)(i) mit Verweis auf Sec. 2.3 EO 12333. PPD- 28 Sec. 4 (a)(i). Sec. 1 (d) PPD-28: „Signals intelligence activities shall be as tailored as feasible“. Sec. 5 (d) PPD-28. Sec. 2 para. 2 PPD-28. Sec. 2 para. 2 No. 6 PPD-28. Sec. 2 para. 2 No. 5 PPD-28.
172
4. Kap.: Angemessenes Datenschutzniveau in den USA?
kungen. So gilt die Zweckbindung nicht für sämtliche Massenerhebungen, sondern nur für operativ oder technisch bedingte Massenerhebungen ohne Bindung an spezifische Selektoren.514 An die Masse der Daten knüpft das Erfordernis der Zweckbindung nicht an. Zudem besteht eine Ausnahme der Zweckbegrenzung für die Verwendung von Daten, die unabhängig von einschränkenden Spezifizierungsmerkmalen erhoben wurden, sofern die Daten nur temporär genutzt werden sollen, um dann wiederum eine zielgerichtete Ermittlung zu erleichtern.515 In den Ausnahmefällen der Zweckbegrenzung erfahren die weiten Anwendungsbereiche von Sec. 702 FISA und der EO12333 keine Eingrenzungen durch die PPD-28. Neben der Erhebung der Daten soll auch der Zugang zu Daten zweckgerichtet erfolgen. Ein Zugriff darf nur durch autorisiertes Personal auf need-to-know-Basis im Einklang mit internen Sicherheitsrichtlinien erfolgen. Diese Klarstellung in der PPD-28 ist besonders wichtig, weil nach den Snowden Enthüllungen kritisch in den Medien über großzügige Zugriffsmöglichkeiten von Beamten der ganzen USA auf aus Geheimdienstoperationen stammenden Daten berichtet wurde.516 Zudem wird dadurch das Ergebnis des Privacy Acts korrigiert, dass für als Ermittlungsmaterial eingestufte personenbezogene Daten weitreichende Ausnahmen gemacht werden können.517 c) Ombudsmechanismus aa) Kontaktstelle für EU-Staatsangehörige Um auf Bedenken ausländischer Regierungen hinsichtlich nachrichtendienstlicher Tätigkeiten der USA reagieren zu können, ist die Benennung einer US-amerikanischen Kontaktstelle, sog. „Senior Coordinator“, in der PPD-28 vorgesehen. Die Kontaktstelle hat die Aufgabe, auf geäußerte Bedenken von EU-Staatsangehörigen hinsichtlich möglicher Datenzugriffe durch US-amerikanische Sicherheitsbehörden einzugehen. Die neue Kontaktstelle wurde im Privacy Shield ausgebaut und trägt jetzt den Namen „Ombudsperson“.518 bb) Einfache Antragsstellung Staatsangehörigen der EU, die im Hinblick auf die Tätigkeit der US-amerikanischen Sicherheitsbehörden besorgt sind, steht das Recht zu, einen Antrag auf Abhilfe bei der zuständigen Behörde im eigenen EU-Mitgliedstaat zu stellen, welche 514
Annex 5 S. 2 PPD-28. Annex 5 S. 1 PPD-28. 516 Kelley, Egregious Cases Of US Government Employees Abusing Databases To Spy On Americans, 9. Juli 2013. Abrufbar unter: https://www.businessinsider.com/how-nsa-can-abusedata-on-americans-2013-7?r=DE&IR=T. 517 Siehe 4. Kapitel – 1. Teil dieser Arbeit unter Bezugnahme auf das FBI. 518 Privacy Shield EG 111 – 116. 515
D. Überwachungen durch US-Behörden
173
daraufhin die Ombudsstelle aufsucht.519 Ein Nachweis des Antragsstellers, dass ein Zugriff auf eigene Daten tatsächlich erfolgt ist, ist nicht erforderlich.520 cc) Auf Prüfung beschränkte Kompetenz Als Antwort auf den Antrag erhält der Antragssteller durch die zuständige Behörde in der EU eine Bestätigung der Ombudsstelle, dass die Beschwerde ordnungsgemäß geprüft wurde und relevante US-Gesetze, erlassene Rechtsakte sowie die im Privacy Shield dargelegten Grundsätze befolgt werden. Eine darüber hinausgehende Erklärung erfolgt nicht, denn „durch die Ombudsstelle wird weder bestätigt noch bestritten, dass die betreffende Privatperson Ziel einer Überwachungsmaßnahme war, noch bestätigt die Ombudsstelle die spezielle Abhilfe, die geleistet wurde“.521 Zwar arbeitet die Ombudsstelle eng mit den Sicherheitsbehörden wie dem ODNI zusammen, dennoch hat sie keine Befugnis, über die von ihnen zu ergreifenden Abhilfemaßnahmen zu entscheiden. dd) Derzeitige Besetzung Die Stelle der Ombudsperson war lange unbesetzt. Auf mehrfache dringliche Forderung der EU, zuletzt durch die EU-Kommission in der zweiten jährlichen Überprüfung des Privacy Shields, unter Androhung sonst „in Erwägung zu ziehen, geeignete Maßnahmen zu ergreifen“,522 wurde von Donald Trump erstmals eine ständige Ombudsperson anstelle einer vorläufigen ernannt. Keith Krach, ehemaliger Geschäftsführer des Unternehmens Docusign, das elektronische Signaturen und Vertragsunterzeichnungen anbietet, wurde als Untersekretär für Wirtschaftswachstum, Energie und Umwelt ernannt, was derzeit mit der Position als Ombudsstelle nach dem Privacy Shield einhergeht.523 Trotz Feststellung des EuGH, dass das Privacy Shield keinen angemessenen Datenschutz in den USA bietet, ist es Unternehmen in den USAweiterhin möglich, unter dem Privacy Shield selbstzertifiziert zu bleiben. Dann müssen sie allerdings weiterhin alle Pflichten einhalten. Somit besteht auch für EU-Staatsangehörige theoretisch die Möglichkeit, weiterhin die Ombudsperson zu kontaktieren.
519
Im Anhang III des Privacy Shields ist ein Schreiben des US-Außenministers John Kerry angehängt, in dem die Abläufe im Falle eines Beschwerdeantrags und die Befugnisse der Ombudsstelle beschrieben werden. 520 Privacy Shield EG 119 S. 5. 521 Anhang III Anlage A. 4. lit. e Privacy Shield. 522 EU-Kommission, US-Datenschutzschild: EU-Kommission pocht auf Ernennung einer ständigen Ompudsperson, 19. Dezember 2018. Abrufbar unter: https://ec.europa.eu/germany/ news/20181219-eu-us-datenschutzschild_de. 523 US Department of State, Privacy Shield Ombudsperson. Abrufbar unter: https://www. state.gov/privacy-shield-ombudsperson/.
174
4. Kap.: Angemessenes Datenschutzniveau in den USA?
6. Zusicherungen von Sicherheitsbehörden im Privacy Shield Bestehende Unklarheiten zu den Befugnissen der US-Nachrichtendienste könnten durch den Privacy Shield ausgeräumt worden sein. Anhang 6 des Privacy Shields enthält einen Brief des ODNI an das US-Handelsministerium524 und die International Trade Administration, in dem der General Counsel des ODNI auf verschiedene USamerikanische Rechtsakte und deren Anwendung in der Praxis Bezug nimmt.525 Darüber hinaus gibt das ODNI Zusicherungen bezüglich der nachrichtendienstlichen Tätigkeiten ab, die personenbezogene Daten von Staatsangehörigen der EU tangieren. Im Folgenden werden diese Zusicherungen der Sicherheitsbehörden dargestellt und in der anschließenden Bewertung der Tätigkeiten US-amerikanischer Sicherheitsbehörden untersucht, ob diese Zugeständnisse auf das in den USA herrschende Datenschutzniveau Einfluss nehmen. Der Brief wurde im Bundesregister der USA veröffentlicht.526 a) Prozesse im Hintergrund der Überwachung Der Brief des ODNI ist sehr bemüht, die Prozesse im Hintergrund einer Überwachungsmaßnahme zu veranschaulichen. Als zentrale Stelle wird das sogenannte National Signals Intelligence Commitee, SIGCOM, benannt, an das sich alle Auslandsaufklärung betreibende Sicherheitsbehörden der USA wenden müssen. Es agiert unter der Leitung des NSA-Direktors und wird vom Director for National Intelligence und vom Verteidigungsminister überwacht. Das SIGCOM überprüft, ob die Anfrage der Sicherheitsbehörden mit geltendem Recht und vom US-Präsidenten jährlich aufgestellten Schwerpunkten im Einklang steht. Es berücksichtigt dabei die Wichtigkeit des Informationsbedarfs, die Praktikabilität der Aufklärungsmaßnahme, aber auch datenschutzrechtliche Belange, wie die Zielgerichtetheit einer Datenerhebung und das Bestehen eines ungerechtfertigten Risikos für den Schutz der Privatsphäre einer Überwachungsmaßnahme.527 In diesem Rahmen wird die Erforderlichkeit der Signalaufklärung überprüft und ob zeitliche, geografische oder andere Einschränkungen zur Passgenauigkeit angewandt werden müssen. Die Genehmigung von Überwachungsmaßnahmen schließt die Entscheidung über zusätzliche Garantien für die Weitergabe und Speicherung im Einzelfall vor. Im Brief des ODNI wird dieses Verfahren als „Gewähr dafür, dass die Schwerpunkte der nachrichtendienstlichen Tätigkeit der USA allesamt von ranghohen politischen Entscheidungsträgern festgelegt werden“ gewertet.528
524 525 526 527 528
US-Department of Commerce. Litt, Schreiben an Antonipillai u. Dean, 22. Februar 2016. Privacy Shield EG 65 S. 5. Privacy Shield Anhang VI S. 4 ff. Privacy Shield Anhang VI S. 4.
D. Überwachungen durch US-Behörden
175
b) Gesteigerte Transparenz Im Rahmen der Transparenz der nachrichtendienstlichen Tätigkeit wird im Brief des ODNI besonders auf den Freedom Act und die dort vorgesehenen Veröffentlichungen von FISC-Entscheidungen verwiesen.529 Besonders die mit dem Freedom Act eingeführte Ermächtigung für betroffene Unternehmen, Angaben zu erhaltenen nachrichtendienstlichen Anfragen zu veröffentlichen, wird hervorgehoben. Daran anknüpfend wird in den Brief des ODNI auf die Zahlen über ergangene Behördenanfragen in dem Transparenzbericht eines großen Unternehmens Bezug genommen. Im konkreten Fall betrifft die veröffentlichte Zahl über Anfragen zur nationalen Sicherheit weniger als 0,005 Prozent der Kontonutzer des Unternehmens. Für den ODNI stellt dieses Beispiel „zweifelsohne“ ein Beleg dar, „dass die Anfragen zielgenau sind und einen angemessenen Umfang haben und die Erhebung weder massenhaft noch anlassunabhängig erfolgt“.530 Der gewählte Wortlaut erinnert sehr stark an die geäußerte Kritik des EuGH in Schrems I. c) Überwachung der nachrichtendienstlichen Tätigkeit Im Privacy Shield ist eine Reihe von Verantwortlichen aufgelistet, die primär mit der Überwachung der nachrichtendienstlichen Tätigkeiten beauftragt sind. Zuständig für die Überwachung ist das Privacy and Civil Liberties Oversight Board, abgekürzt PCLOB, das nicht nur mit der Ombudsstelle kooperiert, sondern auch öffentliche Analysen und Berichte verfasst. Für die Bewertung des Datenschutzniveaus der USA sind die Berichte des PCLOB von großer Bedeutung, da sie in den Bewertungen der EU-Kommission im Privacy Shield eingebunden sind.531 Zudem dienen der Überwachung die mit Empfehlungsbefugnissen ausgestatteten Generalinspekteure in den Nachrichtendiensten, das Civil Liberties and Privacy Office des ODNI, Datenschutzbeauftragte der Nachrichtendienste und weitere für die Überwachung zuständige Mitarbeiter in den Nachrichtendiensten. Ebenso als formelle Überwachungsmechanismen genannt werden der Kongress, das Verteidigungsministerium und das Justizministerium, da diese jeweils mit Aufsichtsfunktionen betraut sind.532 Aufgrund der Genehmigung der jährlichen Signalaufklärungsprogramme wird FISC auch als Überwachungsorgan benannt.
529 530 531 532
Privacy Shield Anhang VI S. 10. Privacy Shield Anhang VI S. 5. Vgl. Privacy Shield Fn. 83, 86. Privacy Shield Anhang 6 lit. d.
176
4. Kap.: Angemessenes Datenschutzniveau in den USA?
7. Bewertung unter Gegenüberstellung offizieller Einschätzungen a) Hinreichender Schutz nach Einschätzung der EU-Kommission aa) Einbeziehung behördlicher Zusagen In der Privacy Shield-Entscheidung referiert die EU-Kommission zu Sec. 702 FISA und NSL mit dem Verweis darauf, dass dies die einzigen Grundlagen für den behördlichen Zugriff auf Daten darstellen, die unter dem Privacy Shield in die USA transferiert werden.533 Die Voraussetzungen für Überwachungsmaßnahmen gemäß Sec. 702 FISA und die Genehmigung durch das FISC werden näher erörtert und als Beispiel für genehmigte Programme werden „Prism“ und „Upstream“ benannt.534 Die Anwendung von Sec. 702 FISA wird anhand von Beispielen untermauert, die einen engeren Anwendungsbereich als den tatsächlichen suggerieren: „um Daten zu übermitteln, weil sie mit dem internationalen Terrorismus, der Weitergabe von Kernwaffen oder feindseligen Cyberaktivitäten in Verbindung stehen“.535 Ausführungen zu der EO12333 sind vorhanden, allerdings beschränkt sich die EU-Kommission hauptsächlich auf Rahmenbedingungen, die nach der EO 12333 in Verbindung mit der PPD-28 gelten.536 Dass die EO12333 als mögliche Rechtsgrundlage für Überwachungsmaßnahmen in Betracht kommt, wird in einem Satz erwähnt, die Voraussetzungen allerdings nicht erörtert.537 An mehreren Stellen verlässt sich die EU-Kommission auf die dem Privacy Shield angehängten Zusicherungen der Behörden und beschränkt eigene Ausführungen auf die in den Zusicherungen angebrachten Verpflichtungen zur Eindämmung von Massenüberwachungen.538 Da alle in Betracht kommenden Rechtsgrundlagen für die Überwachung von EU-Staatsangehörigen angesprochen werden, ist davon auszugehen, dass die EU-Kommission den formellen Anforderungen einer Angemessenheitsentscheidung mit ihrer ausführlichen Auseinandersetzungen im Privacy Shield genügt.539 Der Fokus der Ausführungen der EU-Kommission liegt auf der Zielgenauigkeit von Überwachungsmaßnahmen in den USA.540 bb) Notwendigkeit und Verhältnismäßigkeit durch die PPD-28 Die EU-Kommission vertraut unter Bezugnahme auf den Brief des ODNI darauf, dass das Kriterium der Zielgenauigkeit in der PPD-28 einer „massenhaft oder an533 534 535 536 537 538 539 540
Privacy Shield EG 78. Privacy Shield EG 109. Privacy Shield EG 109 S. 5. Privacy Shield EG 69, 75, 76, 101 S. 2. Privacy Shield EG 115 S. 1. Privacy Shield EG 70 ff. Lewinski, EuR 2016, 405. Privacy Shield EG 71 ff., 89, 109 ff.
D. Überwachungen durch US-Behörden
177
lassunabhängig erfolgten Massenerhebung“ entgegenwirkt und „Ausnahmen nicht zur Regel“ werden.541 Die EU-Kommission geht in ihren Erwägungen sowohl auf die Grundsätze der PPD-28 als auch auf ihre normierten Ausnahmen ein. Allerdings erfolgt letzteres unvollständig und ohne Prüfung der Konsequenzen. Lediglich die in der PPD-28 zugelassenen Fälle der Massenerhebung, in denen „aufgrund technischer oder operativer Erwägungen“ eine gezielte Datenerhebung nicht möglich ist,542 werden von der EU-Kommission erwähnt.543 Beispiele für solche Ausnahmen oder Auslegungshilfen gegen ein exzessives Verständnis benennt die EU-Kommission nicht. Auch weitere in der PPD-28 vorgesehene Ausnahme der Zweckbegrenzung für die temporäre Verwendung von Daten544 und ihre weitreichende Folge in der Praxis, erwähnt die EU-Kommission nicht. Nach Auffassungen der EU-Kommission hat die „zielgerichtete Sammlung eindeutig Vorrang“, auch im Falle der Erhebung von Informationen über transatlantische Kabel.545 Den Erläuterungen des ODNI entnimmt die EU-Kommission, dass neben der Anvisierung konkreter Ziele, weiterhin „Filter und sonstige technische Mittel“ angewandt werden, die den Anteil nichtrelevanter Daten „auf das Mindestmaß reduzieren“.546 Für den Fall der erlaubten Massenüberwachungen547 sieht die EU-Kommission einen ausreichenden Schutz dadurch gegeben, dass die weitere Nutzung der Daten durch die PPD-28548 auf die sechs Ziele der nationalen Sicherheit beschränkt wird.549 Durch diese Gewährleistungen der PPD-28 sieht die EU-Kommission die Voraussetzungen des Wesensinhalts der Grundsätze der Notwendigkeit und Verhältnismäßigkeit erfüllt.550 cc) Ombudsstelle als effektiver Rechtsbehelf Die EU-Kommission deutet an, dass sie bestehende US-amerikanischen Rechtsbehelfe, die sich auch auf Ausländer erstrecken, aufgrund des verfassungsrechtlich verankerten, notwendigen Nachweises der Klagebefugnis nicht als effektiv einstuft.551 Vor diesem Hintergrund begrüßt die EU-Kommission den Ombudsmechanismus und sieht ihn als einen „Beleg für die Bereitschaft der US-Regierung insgesamt, Beschwerden von EU-Staatsangehörigen nachzugehen und einer Klärung 541 542 543 544 545 546 547 548 549 550 551
Privacy Shield EG 71. Annex 5 S. 2 PPD-28. Privacy Shield EG 72 S. 2, 3. Annex 5 S. 1 PPD-28. Privacy Shield EG 75, 76 S. 2. Privacy Shield EG 73 S. 5. Privacy Shield: „Sammelerhebungen“. Sec. 2 para. 2 PPD-28. Privacy Shield EG 74. Privacy Shield EG 76 S. 1. Privacy Shield EG 115.
178
4. Kap.: Angemessenes Datenschutzniveau in den USA?
zuzuführen“.552 Durch die mangelnde Verpflichtung im Ombudsmechanismus, einen Nachweis oder „auch nur“553 Anhaltspunkte für eine Überwachung zu erbringen, entsteht für EU-Staatsangehörige ein günstiger Kontrast zum US-Recht, der durch die EU-Kommission mehrfach hervorgehoben wird.554 Die EU-Kommission schätzt die Abhilfemöglichkeiten der Ombudsperson als hinreichend ein und kommt zu dem Schluss, dass somit ein effektiver Rechtsschutz in den USA für Daten besteht, die unter dem Privacy Shield übermittelt werden.555 Dies folgert sie aus Zusicherungen der Behörden, dass der Ombudsperson alle Mittel zur Beantwortung von Anfragen eingeräumt werden sollen, was den Austausch mit Generalinspekteuren und anderen Stellen, die Nachrichtendienste überwachen, einschließt.556 Die durch die Zusammenarbeit mit verschiedenen Institutionen entstehende „mehrgliedrige Struktur“ wertet die EU-Kommission als Garantie für die Unabhängigkeit der Ombudsstelle.557 Zusätzlich sieht die EU-Kommission dadurch die notwendige Sachkompetenz der Ombudsperson gewahrt.558 Darüber hinaus vertraut die EU-Kommission auf die Zusicherung der US-Regierung dass die Nachrichtendienste rechtswidrige Überwachungen, die von der Ombudsperson aufgedeckt werden, einstellen und Verstöße abstellen.559 b) Kein angemessenes Datenschutzniveau für den EuGH aa) Keine Verhältnismäßigkeit der Ausnahmen Der EuGH hat sich in der Schrems II-Entscheidung mit den verschiedenen Überwachungsbefugnissen nach Sec. 702 FISA und der EO12333 sowie den Einschränkungen in der PPD-28 beschäftigt. Die Wertung von Sec. 702 FISA beginnt der EuGH mit der mangelnden Erkennbarkeit von Einschränkungen und Garantien für US-Ausländer.560 Dieser Wertung legt der EuGH die Genehmigung von Überwachungsprogrammen durch FISC und die Schlussanträge des Generalanwalts zu Schrems II zugrunde.561 Letzterer hat daran gezweifelt, ob die Kriterien für die Wahl der Selektoren hinreichend klar und genau sind. Er äußerte Bedenken an einem ausreichenden Schutz zur 552
Privacy Shield EG 118. Privacy Shield EG 122 S. 2. 554 Privacy Shield EG 118, 119 S. 4, 122 S. 2. 555 Privacy Shield EG 123. 556 Privacy Shield EG 120. 557 Privacy Shield EG S. 117, 118. 558 Privacy Shield EG 118 S. 1. 559 Privacy Shield EG 120 S. 3. 560 EuGH, U. v. 16. 7. 2020 – C-311/18 =MMR 2020, 597, 606 Rn. 180 S.1, 2. 561 EuGH, U. v. 16. 7. 2020 – C-311/18 =MMR 2020, 597, 606 Rn. 179 f.; Bot, Schlussanträge zur Rs. C-362/14, Rn. 291, 292, 297. 553
D. Überwachungen durch US-Behörden
179
Vorbeugung gegen Missbrauchsgefahren aufgrund der fehlenden Genehmigung individueller Selektoren durch das FISC oder andere administrative Organe.562 Bereits in Schrems I wurde vom Generalstaatsanwalt klargestellt, dass „eine Regelung, die generell die Speicherung aller personenbezogenen Daten […] gestattet, ohne irgendeine Differenzierung, Einschränkung oder Ausnahme anhand des verfolgten Ziels vorzunehmen“ nicht auf das absolut Notwendige beschränkt ist.563 Daher gewährleiste die Genehmigung von Überwachungen nach Sec. 702 FISA durch die Absegnung abstrakter Selektoren und Überwachungsprogramme keine hinreichende Differenzierung. Für den EuGH kann „unter diesen Umständen“ kein gleichwertiger Schutz betroffener Personen geboten werden.564 Der EuGH wertet die weiterhin erlaubte Massenüberwachung nach der PPD-28 im Hinblick auf Überwachungen gemäß der EO12333 und die dadurch entstehende Möglichkeit, auf Daten während der Übermittlung in die USA zuzugreifen, als zu weitreichend ein. Denn durch die mangelnde vorgesehene gerichtliche Kontrolle in der EO12333 „besteht jedenfalls keine hinreichend klare und präzise Eingrenzung des Umfangs“ einer Massenüberwachung.565 Aufgrund dieser Feststellungen zum US-Recht kommt der EuGH zu dem Schluss, dass die Mindestanforderungen für den Grundsatz der Verhältnismäßigkeit nicht durch Sec. 702 FISA oder die EO12333 in Verbindung mit der PPD-28 gewahrt werden und auf diese Vorschriften gestützten Überwachungsprogramme nicht auf das zwingend erforderliche Maß beschränkt sind.566 bb) Kein effektiver Rechtsschutz in den USA Der EuGH schätzt PPD-28 als „nicht geeignet“ ein, um ein angemessenes Schutzniveau zu gewährleisten. Dies begründet er mit der mangelnden Verbindlichkeit, da keine Rechte verleiht werden, die Betroffene gerichtlich durchsetzen können, was von der amerikanischen Regierung gegenüber dem EuGH bestätigt wurde.567 Dies gilt sowohl für Sec. 702 FISA als auch die EO12333 unter Einbeziehung der PPD-28. In diesem Rahmen stellt der EuGH fest, dass das Fehlen von Rechtsbehelfen in der EO12333 eine „Lücke im gerichtlichen Rechtsschutz“ darstellt, unter der keine Angemessenheit des US-amerikanischen Rechtsschutzes angenommen werden kann.568 Der EuGH betont in diesem Zusammenhang die Wichtigkeit von wirksamen Rechtsbehelfen im Drittstaat, weil von Datenübermittlungen Betroffene „mit dem Problem konfrontiert sein […] können“, dass die 562 563 564 565 566 567 568
Bot, Schlussanträge zur Rs. C-362/14, Rn. 297 f. Bot, Schlussanträge zur Rs. C-362/14, Rn. 292. EuGH, U. v. 16. 7. 2020 – C-311/18 =MMR 2020, 597, 606 Rn. 180. EuGH, U. v. 16. 7. 2020 – C-311/18 =MMR 2020, 597, 606 Rn. 183 S. 2. EuGH, U. v. 16. 7. 2020 – C-311/18 =MMR 2020, 597, 606 Rn 184 EuGH, U. v. 16. 7. 2020 – C-311/18 = MMR 2020, 597, 606 Rn. 181. EuGH, U. v. 16. 7. 2020 – C-311/18 = MMR 2020, 597, 607 Rn. 191.
180
4. Kap.: Angemessenes Datenschutzniveau in den USA?
Verwaltungsbehörden und Gerichte der EU aufgrund mangelnder Befugnisse und Mittel keine Abhilfe leisten können.569 Daher seien Betroffene auf die Rechtsbehelfe im Drittstaat angewiesen. cc) Keine Korrektur durch Ombudsperson Der EuGH stellt fest, dass der durch den Ombudsmechanismus eröffnete Rechtsweg keine Garantien bietet, die zu Artikel 47 Grundrechtecharta gleichwertig sind. Daher habe die EU-Kommission die Anforderungen aus der Grundrechtecharta570 und Artikel 45 DSGVO bei der Feststellung eines angemessenen Datenschutzniveaus verkannt.571 Dies folgert der EuGH daraus, dass Betroffenen keine Rechte zur Verfügung stehen, die gegenüber der Ombudsperson geltend gemacht werden können. Zwar bezieht er in seine Wertung die im Privacy Shield vorgesehene Verpflichtung der US-Regierung ein, Verstöße abzustellen. Allerdings sieht der EuGH diese als nicht ausreichend an. Er bemängelt das Fehlen von entsprechenden gesetzlichen Garantien und von Befugnissen der Ombudsperson, gegenüber den Nachrichtendiensten verbindliche Entscheidungen zu treffen.572 Zudem hegt der EuGH Zweifel an der Unabhängigkeit der Ombudsperson von der Exekutive wegen der Ernennung durch den Außenminister und den nichtvorhandenen Garantien für die Abberufung der Ombudsperson.573 c) Eigene Bewertung Bei der Bewertung der Überwachungsmaßnahmen in den USA sollte die Orientierungshilfe des europäischen Datenschutzausschusses herangezogen werden.574 Die von ihr ermittelten vier Garantien stellen die Kernelemente für den Vergleich zur EU dar. Die Garantien gehen über die Rechtsprechung des EuGH hinaus, weil sie zusätzlich Entscheidungen des EGMR einbeziehen. aa) Transparente Eingriffsbefugnisse? (1) Die EU übersteigende Transparenz Durch die Offenlegung der Schwerpunktsetzung von Nachrichtendiensten in Privacy Shield wird ein guter Überblick über die Prozesse und Verantwortlichen im Hintergrund einer Überwachungsmaßnahme vermittelt. Dies fällt bei einem Vergleich mit der europäischen Rechtlage besonders positiv ins Gewicht, da die meisten 569 570 571 572 573 574
EuGH, U. v. 16. 7. 2020 – C-311/18 = MMR 2020, 597, 607 Rn. 189. Art. 7, 8, 47 GR-Ch. EuGH, U. v. 16. 7. 2020 – C-311/18 = MMR 2020, 597, 607, Rn. 197, 198. EuGH, U. v. 16. 7. 2020 – C-311/18 = MMR 2020, 597, 607, Rn. 196. EuGH, U. v. 16. 7. 2020 – C-311/18 = MMR 2020, 597, 607, Rn 195. Siehe 3. Kapitel dieser Arbeit (unter B. IV.).
D. Überwachungen durch US-Behörden
181
europäischen Staaten diese internen Prozesse der Nachrichtendienste nicht offenlegen.575 Zudem sind die vom ODNI angegebenen Kriterien bedeutsam für das Verständnis, welche Leitlinien bei der Zulässigkeit nachrichtendienstlicher Tätigkeiten und somit bei der Auslegung des Rechts eine Rolle spielen. (2) Festgelegte Strategien zur Abwägung Dem ODNI gelingt es, durch die schrittweise Darstellung der Hintergrundprozesse glaubhaft darzulegen, dass die Entscheidungen über die konkrete Signalaufklärung nicht dem Ermessen Einzelner überlassen bleibt, sondern Gegenstand von festgelegten Schwerpunkten sind.576 Da die Schwerpunkte jährlich aufgestellt werden, besteht genügend Raum dafür, aktuelle und anlassbezogene Zielsetzungen konkret zu formulieren, anstatt ihre Berücksichtigung der Auslegung des Einzelnen zu überlassen. Zudem lassen die vom ODNI angegebenen Kriterien, die für die Prüfung einer Auslandsaufklärung relevant sind, auf eine stattfindende Abwägung der widerstreitenden Interessen schließen. Die Einbeziehung der Ziele, Erforderlichkeit und Risiken von Überwachungsmaßnahmen erinnert an die Prüfung von Grundrechten in der EU. Bei Berücksichtigung der Interessen der nationalen Wirtschaft und Außenbeziehungen kann allerdings von keiner datenschutzaffinen Wichtung zu Gunsten natürlicher Personen ausgegangen werden, wie sie in der EU stattfindet.577 (3) Stabilität und Verbindlichkeit Bei der Prüfung der Kriterien des ODNI erscheint problematisch, dass die konkrete Maßnahme der Auslandsaufklärung nicht nur im Einklang mit US-amerikanischem Recht stehen muss, sondern auch mit den vom US-Präsidenten jährlich aufgestellten Schwerpunkten. Die Bewertung einer Auslandsaufklärung hängt somit auch davon ab, wie privatsphärenfreundlich der aktuelle US-Präsident ist. In diesem Zusammenhang muss beachtet werden, dass ernsthafte Zweifel an der Glaubhaftigkeit der offengelegten Informationen der Intelligence Community durch widersprüchliche Aussagen vom Präsidenten Donald Trump und Handlungen von Barack Obama bestehen.578 Solchen Unsicherheiten könnte durch eine gesetzliche Verankerung der Schwerpunktsetzung des ODNI vorgebeugt werden. Die Zusicherungen des ODNI wurden zwar im Bundesregister der USA veröffentlicht, dennoch sind sie 575 Margulies, Privacy Shield’s Prospects: The Good, the Bad, and the Ugly, 3. März 2016. Abrufbar unter: https://www.lawfareblog.com/privacy-shields-prospects-good-bad-and-ugly. 576 Privacy Shield Anhang VI, S. 3. 577 Siehe 2. Kapitel dieser Arbeit. 578 Vgl. zur bislang unbewiesenen Anschuldigung, der ehemalige Präsident Obama habe Trump noch während seiner Amtszeit abhören lassen, die den Anschein erweckt, dass USamerikanische Präsidenten nach Belieben Überwachungen anordnen können: Schwartz/Peifer, 106 The Georgetown Law Journal, 115, 172 f.; Shear/Schmidt, Trump, Offering No Evidence, Says Obama Tapped His Phones, 4. März 2017. Abrufbar unter: https://www.nytimes.com/201 7/03/04/us/politics/trump-obama-tap-phones.html.
182
4. Kap.: Angemessenes Datenschutzniveau in den USA?
nicht rechtlich verbindlich.579 Auch mögliche Beschränkungen in den jährlich aufgestellten Schwerpunkten der Nachrichtenbehörden begründen keine Verbindlichkeit.580 Die EU kann die Verpflichtungen des ODNI daher nicht gegenüber den USA durchsetzen. Da die Befolgung der Zusicherungen des ODNI von aktuellen politischen Geschehnissen abhängt, haben sie keinen Einfluss auf eine zukunftsorientierte Bewertung des Datenschutzniveaus in den USA. Zudem genügt die mangelnde gesetzliche Implementierung nicht der EU-Rechtsprechung, die verlangt, dass der Einzelne durch transparente Normen die Anforderungen an Überwachungsmaßnahmen nachvollziehen kann.581 bb) Gewährleistung der Verhältnismäßigkeit durch die PPD-28? (1) Gleichstellung zu US-Staatsangehörigen Die Gleichstellung von US-Staatsangehörigen und Ausländern ist ein ungemeiner Fortschritt, um den vorhandenen Schutz in den USA auf von der EU übermittelte Daten auszudehnen. Besonders die Minimierungsmaßnahmen im FISA und der EO12333 können somit auch zu Gunsten von Ausländern Anwendung finden. Insbesondere die Tatsache, dass die Angleichung vom Rechtsstatus von Ausländern an keine bestimmte Rechtsgrundlage, sondern an dem Verständnis von persönlichen Informationen geknüpft wird, ist für eine Rechtsangleichung effektiv. Die beiläufige Erwähnung der Gleichstellung in den Fußnoten anstelle innerhalb des Haupttextes der PPD-28 führt allerdings zu Zweifeln an der Ernsthaftigkeit dieser Gleichstellung.582 Da für die Angemessenheit des Datenschutzes die Gleichwertigkeit zum Recht in der EU maßgeblich ist, muss berücksichtigt werden, dass auch in einigen europäischen Mitgliedstaaten eine Diskriminierung von ausländischen Staatsangehörigen im Überwachungsrecht stattfindet.583 Somit kommt es für die Bewertung des PPD-28 nicht auf die Gleichstellung von Staatsangehörigen der EU und USA an, sondern auf die Gewährung eines gleichwertigen Schutzes bei Überwachungsmaßnahmen, die aus der EU übermittelte Daten betreffen. (2) Präzisierungen der Anwendungsbereiche Die Begrenzung der Massenerhebung auf die sechs Zwecke stellt trotz ihrer generellen Form584 eine Eingrenzung der weiten Anwendungsbereiche von Anord579 Netzwerk Datenschutzexpertise, Privacy Shield – Darstellung und rechtliche Bewertung, S. 3, 30. 580 Severson, 56 Harv. Int’l L.J. 2015, 465, 481. 581 Siehe 3. Kapitel dieser Arbeit. 582 Annex 7 S. 1 PPD-28. 583 Vgl. für Deutschland, Frankreich und Großbritannien: Manpearl, Flordia Journal of International Law 2017, 303, 340 ff. 584 Simitis/Hornung/Spiecker/Schantz in Art. 45 Rn. 67.
D. Überwachungen durch US-Behörden
183
nungen unter dem FISA, der NSL und der EO12333 dar. Für Sec. 702 FISA bedeutet dies, dass allgemeine Bedrohungen von ausländischen Mächten, die vom Anwendungsbereich erfasst werden, durch die Fallgruppen in der PPD-28 präzisiert werden. Das oben festgestellte Ergebnis, dass Sec. 702 FISA unabhängig von konkreten Gefährdungen in Anspruch genommen werden kann, wird zudem dadurch korrigiert, dass die PPD-28 die Gleichbehandlung von US-Ausländern anordnet. FISA sieht für Überwachungsmaßnahmen in Bezug auf Staatsangehörige der USA vor, dass Informationen für die Erfüllung vorgesehener Zwecke „notwendig“ sein müssen. Diese Gleichbehandlung wurde zwar nicht in FISA aufgenommen, allerdings hat die USRegierung eine entsprechende Anpassung durch Sicherheitsbehörden bestätigt.585 Für Überwachungsmaßnahmen nach EO12333 sind die sechs Verarbeitungszwecke besonders hervorzuheben, weil somit zumindest für Massenüberwachungen ein Zusammenhang mit Bedrohungen notwendig ist. Neben der Zweckbindung veranschaulichen die erstrebte Datenminimierung und die Transparenzmaßnahmen eine Annäherung an europäische Datenschutzgrundsätze. (3) Zulässigkeit von Massenerhebungen Bei der Bewertung der Zweckbegrenzung in der PPD-28 ist zu beachten, dass sich die Zweckbegrenzung nicht auf generelle Massenüberwachungen bezieht, sondern nur auf solche, die operativ oder technisch bedingt von Selektoren unabhängig erfolgen. Durch die Formulierung wird der Eindruckt erweckt, dass die einfache Handhabe der Überwachungsmaßnahmen den Schutz betroffener Personen im Einzelfall überwiegt.586 Besonders eine Massenüberwachung aus operativen Gründen kann weit ausgelegt werden. Ohne objektive Kriterien zur Bestimmung der Anforderungen an Umstände, die eine Anwendung von Selektoren entbehren, können die Schutzmaßnahmen der PPD-28 einfach umgangen werden. (4) Ausnahmen Die in der PPD-28 vorgesehenen Ausnahmen zu den sechs Zwecken sind dazu geeignet, die beschränkende Wirkung der Überwachungsmaßnahmen auszuhöhlen. Besonders die Ausnahme zur Massenerhebung für eine vorübergehende Nutzung von Daten birgt das Risiko einer exzessiven Auslegung. Es ist nicht geklärt, wie lange eine Nutzung erfolgen darf, um als temporär zu gelten. Ferner ist nicht in der PPD-28 festgelegt, wann die Nutzung geeignet ist, eine zielgerichtete Überwachungsmaßnahme zu fördern, was die zweite Voraussetzung dieser Ausnahme darstellt. Diese weit gefassten Formulierungen ermöglichen es Behörden somit, nahezu jede Verwendung der durch die Massenerhebung erhobenen Daten zu legitimieren.587 Eine
585 586 587
Europäischer Datenschutzausschuss, Empfehlungen 02/2020 Rn. 58. Börding, CR 2016, 431, 435. Börding, CR 2016, 431, 435.
184
4. Kap.: Angemessenes Datenschutzniveau in den USA?
Beschränkung der Ausnahmen auf das absolut Notwendige, wie es der EuGH fordert, liegt daher nicht vor. (5) Rechte aus der PPD-28 Die PPD-28 ist für Behörden verbindlich, allerdings können betroffene Personen aus ihr keine direkten Rechte ableiten.588 Die PPD-28 kann als verwaltungsinterne Anordnung keine Rechte für Einzelpersonen in den USA schaffen.589 Ihre Änderungen wurden auch nicht in dem FISA oder der EO12333 aufgenommen. Somit können sich betroffene Personen nicht gerichtlich zur Wehr setzen, wenn Behörden die in PPD-28 vorgesehene Zweckbindung, Datenminimierung oder das Diskriminierungsverbot bei ihren Überwachungen unzureichend berücksichtigen.590 Dadurch wird die durch den Freedom Act vorgesehene Benachrichtigung im Anschluss an Überwachungsmaßnahmen in der Praxis bedeutungslos. Die Verhältnismäßigkeit von Überwachungsmaßnahmen kann somit auch im Einzelfall nicht gewahrt werden. Im Zusammenhang mit der Verbindlichkeit der PPD-28 wird kritisiert, dass sie als Anweisung des Präsidenten jederzeit widerrufen werden kann.591 cc) Überwachung auf verschiedenen Ebenen Die Anzahl der verschiedenen Überwachungsorgane ist zunächst positiv hervorzuheben. Insbesondere die Klarstellung, dass die Tätigkeiten der US-Nachrichtendienste auf verschiedenen Ebenen überwacht werden, spricht für eine umfangreiche Aufsicht. Allerdings sind die meisten Aufsichtsstellen den Nachrichtendiensten unterstellt. Ihre Überwachung ergeht bereits naturgemäß nicht ohne äußere Beeinflussung und ist daher nicht geeignet, eine unabhängige Aufsicht zu gewährleisten.592 Die Organe, die nicht den Nachrichtendiensten unterstellt sind, erfüllen nicht die übrigen Anforderungen des EuGH an eine vorherige Kontrolle von behördlichen Überwachungen. Der PCLOB hat durch seine Reports die eigene Unabhängigkeit bewiesen.593 Da seine Tätigkeit sich auf Analysen, Bewertungen und Empfehlungen fokussiert, ist er allerdings nicht geeignet, unzulässige Behördenüberwachungen und Datennutzungen zu verhindern. Der Kongress, das Verteidigungsministerium und das Justizministerium können zwar Überwachungsmaßnahmen verhindert, allerdings gewährleisten sie keine Überprüfung der einzelnen Überwachungsprogramme. 588 589 590
203.
Sec. 6 (d) PPD-28; Artikel-29 Datenschutzgruppe, WP 238, S. 44. Artikel-29 Datenschutzgruppe, WP 238, S. 44. Boehm, EDPL 2016, 178, 187; Börding, CR 2016, 431, 434 f.; Lejeune ITRB 2016, 201,
591 Simitis/Hornung/Spieker/gen. Döhmann/Schantz, DSGVO, Art. 45 Rn. 67; Brauneck, EuZW 2020, 933. 592 Europäischer Datenschutzausschuss, Empfehlungen 02/2020, Rn. 39. 593 Artikel 29-Datenschutzgruppe, WP 238 S. 42.
D. Überwachungen durch US-Behörden
185
dd) Effektiver Rechtsbehelf durch die Ombudsperson? (1) Neue einfache Abhilfestelle Die Schaffung einer neuen Stelle, die speziell für Fragen im Rahmen europäischer Datenübermittlungen in die USA eingeschaltet werden kann, hat das Abkommen zum Privacy Shield im Vergleich zum Vorgänger Safe Harbor gestärkt, bei dem Betroffene sich nur auf die allgemeinen Rechtsbehelfe berufen konnten. Die EUKommission sieht in der Involvierung der Behörde im eigenen Mitgliedstaat den formalen Vorteil, dass Anträge in eigener Sprache verfasst werden können.594 Dem kann beigepflichtet werden, da die Kontaktierung einer europäischen Stelle für die meisten EU-Staatsangehörigen eine niedrigere Hemmschwelle darstellen dürfte als die Einreichung eines Antrags bei einer US-amerikanischen Behörde. Hierbei ist besonders hervorzuheben, dass für die Kontaktierung der Ombudsperson kein Nachweis über einen Behördenzugriff erbracht werden muss. Vor dem Hintergrund der hohen Anforderungen an die Betroffenheit in US-amerikanischen Gerichtsverfahren gewinnt die Ombudsperson eine Rolle als Schlüsselfigur für betroffene Person.595 (2) Keine Information über konkrete Betroffenheit Kritisiert werden kann, dass die Antwort der Ombudsstelle den Antragsstellern keine Informationen über die konkrete Betroffenheit und die Abhilfemaßnahmen liefert. Zwar ist die Geheimhaltung in Fällen, in denen Datenverarbeitungen zugunsten der nationalen Sicherheit oder aufgrund von strafrechtlichen Ermittlungen erfolgt sind, nachvollziehbar, allerdings könnte eine Information dann erfolgen, wenn Datenverarbeitungen nie stattgefunden haben oder keine Ermittlungen gefährdet sind. Der EuGH und EGMR haben bekräftigt, dass Personen über die eigene Betroffenheit jedenfalls im Anschluss an eine Ermittlung aufgeklärt werden sollen.596 Beschwerdeführern ist es durch die Standardantwort nicht möglich, nachzuvollziehen, ob eine Beeinträchtigung der eigenen Rechte tatsächlich erfolgt ist und Abhilfe geschafft wurde. Damit wird betroffenen Personen die Möglichkeit genommen, ihre Rechte in Anspruch zu nehmen.597 Somit verlieren betroffene Personen bei einer Übermittlung von der EU in die USA de facto jegliche Rechte gegenüber den Behörden.
594 595
S. 19. 596
Privacy Shield EG 119 S. 2. Europäischer Datenschutzausschuss 2. Jährliche Überprüfung Privacy Shield, Rn. 99
Europäischer Datenschutzausschuss, Empfehlungen 02/2020, Rn. 44. Artikel 29-Datenschutzgruppe, WP 238; Meyer/Hölscheidt/Eser/Kubiciel, GR-Ch., Art. 47 Rn. 11. 597
186
4. Kap.: Angemessenes Datenschutzniveau in den USA?
(3) Keine Weisungsbefugnis Die Effektivität der Abhilfe der Ombudsstelle kann durch die mangelnde Befugnis der Ombudsstelle, andere Sicherheitsbehörden anzuweisen, bezweifelt werden. Die Ombudsstelle ist zwar berechtigt, alle benötigten Informationen zu erhalten und den Secretary of State sowie andere Stellen wie das PCLOB einzubinden, jedoch kann die Ombudsstelle eigene vorgeschlagene Abhilfemaßnahmen nicht direkt durchsetzen.598 Von der Intelligence Community wurde die uneingeschränkte Verpflichtung zur Kooperation mit der Ombudsstelle zugesagt599, es besteht allerdings keine vorgeschriebene Verpflichtung, die Empfehlungen der Ombudsstelle zu berücksichtigen. Ob eine nicht verbindliche „Weisungskette“600 den Anforderungen von Artikel 47 Grundrechtecharta gerecht wird, muss in Frage gestellt werden.601 Dagegen spricht, dass ein Recht auf einen wirksamen Rechtsbehelf in Anlehnung an Artikel 13 EMRK eine Abhilfemöglichkeit voraussetzt,602 die adäquat sein muss.603 (4) Bedenken an der Unabhängigkeit und die Kompetenz Es bestehen Bedenken an der Unabhängigkeit der Ombudsstelle. Sie gehört zum State Department, das wiederum über eine Untergliederung604 verfügt, die direkt zur Intelligence Community gehört.605 Eine strikte Trennung von der Intelligence Community ist somit nicht vorhanden. Bereits formal kann somit eine Einflussnahme nicht ausgeschlossen werden. Zudem kann die Ombudsperson jederzeitig von ihrem Amt entlassen werden.606 Dies fällt bei einem Vergleich mit den Anforderungen an die Aufsichtsbehörden nach der DSGVO, in der die normative Festlegung der Amtszeit und Beendigung vorgesehen ist,607 und dies eine Hauptvoraussetzung der Unabhängigkeit darstellt,608 stark ins Gewicht. Bei der Ombudsperson bestehen keine festgelegten Bedingungen, die einer mittelbare Beeinflussung vorbeugen. Zudem gewinnt die Angliederung an das Untersekretariat für Wirtschaftswachstum, Energie und Umwelt im Vergleich zur effektiven Ausgestaltung von europäischen Aufsichtsbehörden Bedeutung. Ihre Leistungsfähigkeit wird auf ver598
EU-Kommission, SWD (2018) 497 final, S. 33, 34. EU-Kommission, SWD(2018) 497 final, S. 34. 600 Brauneck, EuZW 2020, 933, 938. 601 Befürwortend Brauneck, EuZW 2020, 933, 938. 602 Vedder/Heintschel von Heinegg/Folz, GR-Ch., Art. 47 Rn. 3. 603 Meyer/Hölscheidt/Eser/Kubiciel, GR-Ch., Art. 47 Rn. 11; Frowein/Peukert, EMRK, Art. 13 Rn. 6. 604 (Department of State’s) Bureau of Intelligence and Research. 605 La Quadrature du Net, Nr. 118, S. 48, 49 ODNI, Members of the IC. Abrufbar unter: https://www.dni.gov/index.php/what-we-do/members-of-the-ic#dos. 606 Artikel-29 Datenschutzgruppe, WP 238 S. 49, Europäischer Datenschutzausschuss, 2. Jährl. Überprüfung Rn. 100 S. 19. 607 Art. 54 Abs. 1 lit. d, f DSGVO. 608 EuGH, U. v. 08. 04. 2014 – C-288/12 =ZD 2014, 301, 303 Rn. 56. 599
D. Überwachungen durch US-Behörden
187
schiedenen Ebenen sichergestellt.609 Es werden keine Anforderungen an die Sachkunde der Ombudsstelle geknüpft. Dies wird allerdings für eine effektive Wahrnehmung der Rolle der Ombudsstelle gefordert.610 Entgegen der Auffassung der EUKommission reicht es nicht aus, dass die Kooperationsstellen, die Aufsicht über Nachrichtendienste ausüben, die Ombudsperson mit ihrer Sachkompetenz unterstützen. Die Ombudsperson muss eigenständig ihre Aufgaben erfüllen können, um keiner „indirekte[n] Beeinflussung von außen“611 zu unterliegen. Eine sachkundige Kompetenz der Ombudsstelle hängt also von der Auswahl in der Praxis ab und wird nicht von vorneherein gewährleistet. (5) Künftige Verbesserungsmöglichkeit Die durch das Privacy Shield realisierte Implementierung einer Ombudsstelle als spezieller Ansprechpartner für Aktivitäten der US-amerikanischen Sicherheitsbehörden ist ein guter Grundgedanke, der bei richtiger Definierung der Rahmenbedingungen aufgrund der einfachen Beschwerdemöglichkeit in Zukunft geeignet sein kann, einen effektiven Schutz zu bieten. Dafür sind die Erteilung direkter Weisungsbefugnisse und eine Sicherstellung der Unabhängigkeit der Ombudsperson essenziell. ee) Zusammenfassung Die hier festgestellten Defizite des PPD-28 führen dazu, dass die Kernbereiche der Grundrechte auf Datenschutz und auf einen wirksamen Rechtsbehelf nicht hinreichend geschützt sind.612 Die unterschiedlichen Bewertungen des gebotenen Schutzes in den USA durch die EU-Kommission und den EuGH resultieren im Wesentlichen aus den Anknüpfungspunkten der Bewertungen. Während die EUKommission sich auf die abgegebenen Zugeständnisse der USA gestützt hat, lag der Schwerpunkt des EuGH auf rechtlich verbindlichen Gewährleistungen, insbesondere auf „den geltenden einschlägigen Rechtsvorschriften“613. Der Kriterienkatalog zur Bewertung eines Datenschutzniveaus in Artikel 45 DSGVO lässt keinen Raum für die Berücksichtigung von unverbindlichen Behördenzusagen. Dies ist zweckgemäß, da die hier festgestellten Defizite des US-Sicherheitsrecht demonstrieren, dass gewährte Rechte ohne die Möglichkeit ihrer Durchsetzung de facto bedeutungslos sind. Die EU hat auf die Verbindlichkeit der gerügten Schutzmaßnahmen in den USA Einfluss. Der Ombudsmechanismus, der als Reaktion auf die Schrems I-Entscheidung des EuGH ausgebaut wurde, veranschaulicht dies. Zwar ist die Ombudsstelle nicht im US-Recht, sondern in der Präsidentenanordnung verankert, dennoch zeigt 609 610 611 612 613
Artikel 52 Abs. 4 DSGVO. Artikel-29 Datenschutzgruppe, WP 238 S. 49. Art. 52 Abs. 2 DSGVO. Weichert, ZD 2016, 209, 217. Art. 45 Abs. 2 DSGVO.
188
4. Kap.: Angemessenes Datenschutzniveau in den USA?
dieser Mechanismus den Einfluss der Rechtsprechung des EuGH in den USA. Auch der UN-Sicherheitsrat hat infolge der Rechtsprechung des EuGH zum Fall Kadi614 die Stelle einer unabhängigen Ombudsperson errichtet.615 In diesem Verfahren entschied der EuGH, dass eine Resolution der UN zu Wirtschaftssanktionen in der EU ohne Vorsehung eines effektiven individuellen Überprüfungsmechanismus nicht befolgt werden könne. Die Rechtsprechung des EuGH kann also im Einzelfall dazu führen, dass seine aufgestellten Grundsätze über die EU hinaus eine rechtliche Verankerung finden. Da die Schrems II-Entscheidung alle Datenübermittlungen von der EU in die USA tangiert, besteht ein gewisser Druck, eine rechtssichere und verbindliche Lösung für die vom EuGH festgestellten unzulässigen Behördenzugriffe zu finden. In welcher Form verbindliche Schutzanpassungen erfolgen werden, bleibt abzuwarten. Dabei werden die Amtshandlungen und Schwerpunkte von Präsiden Biden eine Rolle spielen.
II. Zugriff US-amerikanischer Geheimdienste auf Daten in der EU Das herrschende US-amerikanische Datenschutzniveau im Bereich der nationalen Sicherheit wird nicht nur von innerstaatlichen Überwachungsmaßnahmen, sondern auch von grenzüberschreitenden Zugriffsanfragen bestimmt. Die Befugnisse US-amerikanischer Behörden, personenbezogene Daten, die auf Servern in der EU gespeichert sind, heraus zu verlangen, beeinflussen die künftigen Lösungen zur Legitimierung von Datenübermittlungen von der EU in die USA auf erhebliche Weise. Entsprechende Handlungsoptionen US-amerikanischer Behörden demonstrieren, dass es für US-amerikanische Unternehmen zur Erfüllung europäischer Anforderungen nicht ausreicht, die personenbezogenen Daten in der EU oder in anderen Staaten außerhalb der USA zu speichern. Lösungen für Datenübermittlungen von der EU in die USA haben zwangsläufig die Voraussetzungen grenzüberschreitender Befugnisse US-amerikanischer Geheimdienste zu reflektieren. 1. Befugnis zur Datenanfrage außerhalb der USA a) Section 702 FISA und EO12333 Der Anwendungsbereich von US-amerikanischen Überwachungsmaßnahmen wie Sec. 702 FISA und EO12333 ist vom Wortlaut nicht auf den Raum der USA beschränkt. Dies wird von den US-amerikanischen Behörden genutzt, um die transatlantischen Glasfaserkabel anzuzapfen.616 Es ist ungewiss, ob die US-ameri614 615 616
EuGH, U. v. 3. September 2008 – verbundene RS C-402/05 P und C-415/05 P. Holterhus, S. 22 f. Siehe oben zu „Upstream“.
D. Überwachungen durch US-Behörden
189
kanischen Sicherheitsbehörden darüber hinaus Unternehmen, die sich nicht in den USA befinden, unter Berufung auf Sec. 702 FISA oder die EO12333 zur Herausgabe von Daten verpflichten. Dafür sprechen öffentliche Erklärungen mehrerer USamerikanischer Cloudanbieter, wonach sie dem Ort der Speicherung für Anfragen nach Sec. 702 FISA keine Bedeutung zugemessen haben, sondern dem Auskunftsverlangen unabhängig des Speicherortes nachgekommen sind.617 Dies deutet daraufhin, dass US-amerikanische Unternehmen sich jedenfalls dazu verpflichtet fühlen, nationalen Behörden einen Zugriff auf personenbezogene Daten, die in anderen Staaten gespeichert sind, zu gewähren. b) Vierter Verfassungszusatz als territoriale Beschränkung? Im Jahr 2013 setzte sich Microsoft in den USA gegen eine Anordnung einer USBehörde zur Herausgabe von im irländischen Rechenzentrum gespeicherten Daten zur Wehr. Während das erstinstanzliche Gericht in New York aufgrund mangelnder territorialer Beschränkungen im Gesetz von einer Verpflichtung ausging und die Klage abwies,618 hat das Berufungsgericht eine solche verneint und Microsoft Recht gegeben. Nach Auffassung des Berufungsgerichts wirke die zugrundeliegende Rechtsgrundlage619 der Anordnung nicht über das Staatsgebiet der USA hinaus.620 Im Zweifel sei davon auszugehen, dass Gesetze in den USA nur nationale Wirkungen entfalten.621 Eine andere Intention des Gesetzgebers sei dem Gesetz nicht zu entnehmen. Der Wortlaut der Befugnis in der Anordnung,622 der sich mit der Formulierung in dem nur für US-Amerikaner geltenden vierten Verfassungszusatz decke, spreche für einen indizierten staatsgebundenen Privatsphärenschutz und somit gegen eine darüberhinausgehende beabsichtigte extraterritoriale Anwendung.623 Diese Entscheidung unterlag der Kritik, dass das Berufungsgericht die territorial unabhängige Natur von Daten verkannt haben soll.624 Aufgrund der Relevanz der Entscheidung des Berufungsgerichts legte die US-Regierung den Fall dem Supreme Court vor.
617 Melin, Is FISA 702 extraterritorial?, 24.11.20. Abrufbar unter: https://www.linkedin. com/pulse/fisa-702-extraterritorial-daniel-melin/. 618 US District Court for the Southern District of New York, No. 12 – 20218, 25. April 2014. 619 Durchsuchungsanordnung unter dem Act Gesetz zur Speicherung von Kommunikation, sog. Stored Communications Act, 18 U. S. C. §§ 2701 – 2712. 620 Microsoft Corp. v. United States, 829 F.3d 197, 201, 222. 621 Microsoft Corp. v. United States, 829 F.3d 197, 201, 226; Schwartz/Peifer, CR 2017, 165, 166. 622 „Warrant“. 623 Microsoft Corp. v. United States, 829 F.3d 197, 201, 212; 130 Harvard Law Review, 2016, 769, 771. 624 Microsoft Corp. v. United States, 130 Harvard Law Review, 2016, 769, 773 f.
190
4. Kap.: Angemessenes Datenschutzniveau in den USA?
c) Supreme Court-Entscheidung und Erlass des CLOUD-Acts Der Fall wurde vom US-amerikanischen Kongress zum Anlass genommen, den Clarifying Lawful Overseas Use of Data Act, sog. CLOUD-Act, am 23. März 2018 einzuführen.625 Der CLOUD-Act ermächtigt US-amerikanische Sicherheitsbehörden ausdrücklich dazu, Daten von Anbietern der elektronischen Kommunikation anzufordern, die außerhalb der USA gespeichert sind. Die Entscheidung des Supreme Court wurde mit Spannung erwartet, da der CLOUD-Act die Rechtsfrage entscheidet, über die erst in höchster Instanz entschieden werden sollte. Allerdings enthält die Entscheidung des Supreme Court keine inhaltlichen Ausführungen zu den Befugnissen US-amerikanischer Geheimdienste, da der Fall mit Verweis auf einen neuen Durchsuchungsbeschluss unter dem CLOUD-Act abgewiesen wurde.626 d) Voraussetzung des CLOUD-Acts Eine erfolgreiche Anordnung auf Herausgabe der Daten setzt voraus, dass der Telekommunikationsanbieter die Daten besitzt oder Kontrolle über die Daten ausübt.627 Dies kann in der Praxis häufig bei US-amerikanischen Mutterkonzernen angenommen werden. Hat allerdings keiner der Angestellten des Mutterkonzerns tatsächlichen Zugriff auf die personenbezogenen Daten der Tochtergesellschaft, darf eine Aufforderung zur Herausgabe der Daten nach dem CLOUD-Act abgelehnt werden.628 2. Eigener Rechtsbehelf im CLOUD-Act Durch den Erlass des CLOUD-Acts könnte der Schutz von EU-Staatsangehörigen im Falle eines Zugriffs von US-Behörden auf ihre in der EU gespeicherten Daten erweitert worden sein. Der CLOUD-Act sieht nämlich einen eigenen gerichtlichen Rechtsbehelf für Empfänger einer Anordnung unter dem CLOUD-Act vor, der unabhängig von der zugrunde liegenden Rechtsgrundlage für die Behördenmaßnahme einschlägig ist. Der Rechtsbehelf berechtigt dazu, die Änderung oder Aufhebung der Anordnung gerichtlich zu bewirken.629 Seine Einlegung ist allerdings an drei Voraussetzungen gebunden.
625 626 627 628 629
H.R.4943 – 115. Kongress (2017 – 2018). Supreme Court, US vs. Microsoft, 584 U. S. April 17 (2018). 18 U. S. C. § 2713. Determann/Nebel, CR 2018, 408, 410. 18 U. S. C. § 2703(h)(2)(A–B).
D. Überwachungen durch US-Behörden
191
a) Schutz für ausländische Staatsangehörige Eine Voraussetzung hierfür ist der Verdacht des Telekommunikationsanbieters, dass die von der Überwachungsmaßnahme betroffene Person weder die US-amerikanische Staatsangehörigkeit noch einen dauerhaften Aufenthaltstitel der USA besitzt.630 Der Schutz kommt hier ausdrücklich nur ausländischen Staatsangehörigen zugute, damit US-amerikanische Behörden keine Daten anfragen, die nicht ihrer völkerrechtlichen Zuständigkeit unterliegen. b) Wesentliches Risiko der Rechtsverletzung Weitere Voraussetzung für den Rechtsbehelf ist, dass die Offenlegung der Informationen ein „wesentliches Risiko“ der Rechtsverletzung des Staates, in dem die Daten gespeichert sind, durch den Telekommunikationsanbieter begründet.631 Diese Voraussetzung eröffnet den Gerichten ein großes Ermessen, das zu Bedenken hinsichtlich der hinreichenden Wahrung europäischer Interessen führt.632 Die gerichtliche Beurteilung erfordert eine Interessenabwägung hinsichtlich der Wahrscheinlichkeit und dem Umfang einer möglichen Rechtsverletzung sowie der in Betracht kommenden Sanktionen des datenspeichernden Staates.633 Auch alternative Wege zur Erlangung der Daten, die weniger in die Rechte des Drittstaats eingreifen wie beispielsweise Rechtshilfeabkommen, müssen in diesem Rahmen berücksichtigt werden.634 c) Abkommen im Sinne des CLOUD-Acts Der CLOUD-Act misst einer möglichen Rechtsverletzung des Staates nur dann eine Bedeutung zu, wenn der Staat, in dem die angefragten Daten gespeichert sind, ein Abkommen im Sinne des CLOUD-Acts mit den USA getroffen hat.635 Ohne ein solches Abkommen besteht kein zusätzlicher Rechtsbehelf. Ein solches Abkommen setzt das Vorliegen materieller und verfahrensrechtlicher Regeln zum Schutze der Privatsphäre in dem Staat des Vertragspartners der EU voraus. Ein Vertragspartner muss diesen Schutz für die einzelnen Verarbeitungsschritte der Erhebung, Speicherung, Nutzung und Weiterübermittlung regeln und dabei eine effektive Aufsicht vorsehen.636 Die ausländische Regierung muss zudem geeignete Verfahren vorsehen, um speziellen Schutz von US-Staatsangehörigen zu gewährleisten. Dies betrifft 630 631 632 633 634 635 636
18 U. S. C. § 2703(h)(2)(B)(iii). 8 U. S. C. § 2703(h)(2)(B)(i). Lejeune, IRTB 118, 121. Gausling, MMR 2018, 578, 581. Gausling, MMR 2018, 578, 581. 18 U. S. C. § 2523(h)(1). 18 U.S. C. § 2523(b)(1) (B) (iv).
192
4. Kap.: Angemessenes Datenschutzniveau in den USA?
insbesondere die Pflicht zur Minimierung in Bezug auf die Beschaffung, Aufbewahrung und Verbreitung von Informationen, die dem Abkommen unterliegen.637 3. Auswirkungen von Abkommen unter dem CLOUD-Act Fraglich ist, welche Auswirkungen ein Abkommen unter dem CLOUD-Act auf Datenübermittlungen in die USA nach dem EU-Recht hat. Neben dem Erhalt eines zusätzlichen Rechtsbehelfs könnte ein solches Abkommen einen weitergehenden Schutz erzielen. Die EU-Kommission strebt selbst ein Abkommen unter dem CLOUD-Act mit den USA an, um den Empfang von für Ermittlungen relevanter Daten zu erleichtern und zu beschleunigen.638 a) Anwendung von Artikel 48 DSGVO Ein Abkommen unter dem CLOUD-Act könnte als internationales Abkommen im Sinne von Artikel 48 DSGVO gesehen werden. Gemäß Artikel 48 DSGVO dürfen grenzüberschreitende gerichtliche oder behördliche Anordnungen nur dann anerkannt oder vollstreckt werden, wenn sie auf eine internationale Übereinkunft zwischen dem ersuchenden Drittland und der EU oder einem ihrer Mitgliedstaaten gestützt sind. aa) CLOUD-Act als internationale Übereinkunft Es ist nicht geklärt, ob ein unter dem CLOUD-Act geschlossenes Abkommen als internationale Übereinkunft im Sinne von Artikel 48 DSGVO eingestuft werden kann.639 Dagegen könnte sprechen, dass der CLOUD-Act bloß einseitig Anforderungen an das Recht des kooperierenden Staates stellt, aber, abgesehen vom für Telekommunikationsanbieter zur Verfügung stehenden Rechtsbehelf, keine Bedingungen für die eigene Datenanfrage und den anschließenden Umgang mit den Daten vorsieht.640 Deshalb wird es auf die konkrete Ausgestaltung des Vertrages zwischen der EU und den USA ankommen und den wechselseitigen Pflichten, die auferlegt werden. Entscheidend ist dann, ob die darin geregelten wechselseitigen Pflichten einer Überprüfung anhand der Regelungen der DSGVO standhalten und ihrem Schutzniveau entsprechen.641 Auch ohne Einigung zwischen der EU und den USA unter dem CLOUD-Act muss aufgrund bestehender Bemühungen um ein solches 637
18 U.S. C. § 2523(b)(2). EU-Kommission, COM (2019) 70 final. 639 Dagegen Lejeune, ITRB 2018, 118, 121; Schwartz/Peifer, CRi 2019, 1, 8. Jedenfalls nicht ablehnend: Datenschutzausschuss/Europäischer Datenschutzbeauftragter, Annex: Initial legal assessment of the impact of the US CLOUD Act, 10. Juli 2019. 640 Lejeune, ITRB 2018, 118, 121. 641 Sydow/Towfigh/Ulrich, Art. 48 Rn. 6; Laue/Nink/Kremer, § 5 Rn. 57. 638
D. Überwachungen durch US-Behörden
193
Abkommen geklärt werden, welche Folgen eine internationale Übereinkunft für Datenübermittlungen in die USA hat. bb) Rechtfertigung von Datenübermittlungen nach Artikel 48 DSGVO Die Bedeutung, die Artikel 48 DSGVO für EU-grenzüberschreitende Datenübermittlungen einnimmt, ist nicht geklärt.642 Es bestehen verschiedene Auslegungsmöglichkeiten. (1) Wörtliche und systematische Auslegung Die Rechtsfolge von Artikel 48 DSGVO, dass grenzüberschreitende Anordnungen gerichtlicher oder behördlicher Natur nur dann anerkannt oder vollstreckt werden, wenn sie auf eine internationale Übereinkunft zwischen dem ersuchenden Drittland und der EU oder einem ihrer Mitgliedstaaten gestützt sind, gilt „unbeschadet anderer Gründe für die Übermittlung gemäß [dem fünften] Kapitel“ der DSGVO. Der Verweis auf die anderen Gründe im fünften Kapitel könnte so auszulegen sein, dass ein internationales Abkommen im Sinne von Artikel 48 DSGVO eine gleich wirksame Legitimationsgrundlage zur grenzüberschreitenden Datenübermittlung darstellt wie die weiteren im fünften Kapitel aufgeführten Legitimationsgründe. Ein internationales Abkommen stünde dann gleichberechtigt neben weiteren Mechanismen zur Gewährleistung eines angemessenen Datenschutzniveaus, auf deren Vorliegen es sodann nicht mehr ankäme. Die Referenz zum fünften Kapitel könnte allerdings auch dahingehend verstanden werden, dass die dort aufgestellten Anforderungen trotz des Vorliegens einer internationalen Übereinkunft erfüllt sein müssen und diese Übereinkunft allein kein angemessenes Datenschutzniveau für Datenübermittlungen begründen kann. Die systematische Einreihung von Artikel 48 DSGVO zwischen den BCR643 als Mittel zur Gewährleistung eines angemessenen Datenschutzniveaus und Ausnahmen von der Voraussetzung eines angemessenen Datenschutzniveaus644 kann für beide Auslegungsmöglichkeiten sprechen. (2) Historische und sinngemäße Auslegung Die Entstehungsgeschichte von Artikel 48 DSGVO spricht dafür, dass der Schutz aus dem fünften Kapitel durch diese Norm gestärkt und keine alternative Übermittlungsgarantie geschaffen werden sollte. Der interne Entwurf der EU-Kommis-
642 643 644
Metz/Spittka, ZD 2017, 361, 365; Schwartz/Peifer, CRi 2019, 1, 8. Art. 47 DSGVO. Art. 49 DSGVO.
194
4. Kap.: Angemessenes Datenschutzniveau in den USA?
sion645 sah im Falle einer behördlichen oder gerichtlichen Anordnung auf Herausgabe bestimmter Daten eines Drittstaates, der keine internationale Übereinkunft mit der EU abgeschlossen hat, die Einholung einer Genehmigung der Datenübermittlung vor.646 Zuständig für diese Genehmigung sollte die zuständige Aufsichtsbehörde des Staates sein, dem die von der Anordnung betroffene Person angehört.647 Für die Genehmigung sollte die Aufsichtsbehörde in Betracht ziehen, ob die Datenübermittlung für das behördliche oder gerichtliche Verfahren oder das öffentliche Interesse notwendig ist und auch im Übrigen nicht gegen die Datenschutzgrundverordnung verstößt.648 Die Streichung der Anforderung, eine Genehmigung der Aufsichtsbehörde einzuholen, soll in ihrer Gesamtheit auf politische Gegenstimmen aus den USA zurückzuführen sein.649 Hintergrund ist die Annahme, die für die Genehmigung notwendige Offenlegung des Datenzugriffs gefährde die Ermittlungen und verstoße gegen US-Recht.650 Zudem befanden Kritiker die Souveränität der USA durch die Überprüfung der Notwendigkeit der Übermittlung als tangiert.651 Um sich dennoch gegenüber geheimer grenzüberschreitender Behördenanordnungen der USA, die durch die Snowden Enthüllungen aufgedeckt wurden, zu positionieren, wurde Artikel 48 DSGVO neu formuliert und in seiner jetzigen Fassung aufgenommen. Daher wird Artikel 48 DSGVO die „Anti-FISA-Klausel“ genannt.652 Diese Norm sollte also nie eine weitere Übermittlungsgarantie schaffen, aber dennoch einen Vorrang internationaler Übereinkünfte gegenüber heimlicher Behördenanordnungen im Alleingang festsetzen durch die Klarstellung, dass diese als unzulässig eingestuft werden.653 Hintergrund ist die Annahme, dass internationale Einkünfte zu Behördenauskünften dem Schutz der betroffenen Person dienen, da es üblich ist, eine gerichtliche oder behördliche Prüfung der Behördenanfrage als Grundvoraussetzung zu vereinbaren.654 Der Erlass von Artikel 48 DSGVO hat also überwiegend eine „symbolische Wirkung“.655 Da Artikel 48 DSGVO den Schutz des fünften Kapitels nie verringern, sondern stärken sollte, befreit eine internationale 645 DSGVO Entwurf Version 56 (29/11/2011), abrufbar unter: https://www.statewatch.org/ media/documents/news/2011/dec/eu-com-draft-dp-reg-inter-service-consultation.pdf. 646 Kühling/Buchner/Schröder, DSGVO, Art. 48 Rn. 6; Albrecht, CR 2016, 88, 95. 647 Art. 42 Abs. 2 DSGVO Entwurf Version 56; Kühling/Buchner/Schröder, DSGVO, Art. 48 Rn. 6. 648 Art. 42 Abs. 3 DSGVO Entwurf Version 56; Kühling/Buchner/Schröder, DSGVO, Art. 48 Rn. 6. 649 Kühling/Buchner/Schröder, DSGVO, Art. 48 Rn. 7; Albrecht/Jotzo, Teil 6 Rn. 29; Albrecht, CR 2016, 88, 95. 650 Kühling/Buchner/Schröder, DSGVO, Art. 48 Rn. 7. 651 Kühling/Buchner/Schröder, DSGVO, Art. 48 Rn. 7. 652 Paal/Pauly, DSGVO, Art. 48 Rn. 2 Schantz/Wolff, Rn. 801; Simitis/Hornung/Spiecker/ Albrecht, Einleitung, Rn. 191. 653 Schantz/Wolff, Das neue Datenschutzrecht, Rn. 802. 654 Simitis/Hornung/Spiecker/Schantz, DSGVO, Art. 48 Rn. 2. 655 Schantz/Wolff, Das neue Datenschutzrecht, Rn. 802.
D. Überwachungen durch US-Behörden
195
Einkunft nicht von den anderen Voraussetzungen des fünften Kapitels. Sie ist daher grundsätzlich nicht geeignet, eine Datenübermittlung zu legitimieren. Eine internationale Übereinkunft kann allerdings Einfluss auf die Ausnahmen von den Datenübermittlungen im fünften Kapitel der DSGVO haben. b) Einfluss auf Ausnahmen nach Artikel 49 DSGVO Der europäische Datenschutzausschuss hat Leitlinien zu Behördenanordnungen zu in der EU gespeicherten personenbezogenen Daten unter dem CLOUD-Act veröffentlicht.656 In den Leitlinien wird festgestellt, dass mangels Einschlägigkeit weiterer Legitimationsgründe für Datenübermittlungen an US-Behörden lediglich Ausnahmen nach Artikel 49 DSGVO als Rechtfertigung für den grenzüberschreitenden Datentransfer in die USA dienen können. Der europäische Datenschutzausschuss diskutiert einschlägige Ausnahmetatbestände nach Artikel 49 DSGVO für Datenübermittlungen in die USA infolge entsprechender Aufforderungen an USUnternehmen. Der europäische Datenschutzausschuss sieht die Beantwortung grenzüberschreitender Behördenanordnungen unter dem CLOUD-Act dann als zulässig an, wenn lebenswichtige Interessen gewahrt werden.657 Der Wortlaut setzt ausdrücklich einen strengen Rahmen für diesen Tatbestand.658 Da eine Einwilligung der betroffenen Person vorrangig ist, verbleiben wenige Fälle, in denen auf diese Ausnahme zurückgegriffen werden kann. Somit übt ein Abkommen unter dem CLOUD-Act keinen Einfluss auf die Ausnahmen von den Datenübermittlungen im fünften Kapitel der DSGVO aus. c) Einfluss auf der ersten Stufe der Rechtfertigung Ein Abkommen unter dem CLOUD-Act hat zwar keine Auswirkung auf die Ausnahmen von den Übermittlungsgarantien, allerdings könnte es die vorgelagerten allgemeinen Voraussetzungen der DSGVO an eine Datenübermittlung beeinflussen. Der europäische Datenschutzausschuss hat in seinen Leitlinien einschlägige Rechtsgrundlagen für die Datenübermittlung als Teil einer Datenverarbeitung nach Artikel 6 DSGVO geprüft, also auf der ersten 1. Stufe659 der Rechtmäßigkeitsprüfung.660 Demnach können internationale Übereinkünfte einen Einfluss auf die 656 Europäischer Datenschutzausschuss/Europäischer Datenschutzbeauftragter, Annex: Initial legal assessment of the impact of the US CLOUD Act, 10. Juli 2019. 657 Art. 6 Abs. 1 lit. d, 49 Abs. 1 lit. f DSGVO; Europäischer Datenschutzausschuss/Europäischer Datenschutzbeauftragter, Annex: Initial legal assessment of the impact of the US CLOUD Act, 10. Juli 2019, S. 7 f. 658 Ehmann/Selmayr/Heberlein, Art 6 Rn. 24. 659 Europäischer Datenschutzausschuss/Europäischer Datenschutzbeauftragter, Annex: Initial legal assessment of the impact of the US CLOUD Act, 10. Juli 2019. 660 Kritisch Kühling/Buchner/Schröder, DSGVO, Art. 48 Rn. 29.
196
4. Kap.: Angemessenes Datenschutzniveau in den USA?
Rechtmäßigkeit einer Datenverarbeitung zugunsten a) öffentlicher Interessen,661 b) rechtlicher Interessen662 und c) berechtigter Interessen663 haben. aa) Öffentliches Interesse der USA Regelungen der DSGVO, die auf die Erfüllung eines öffentlichen Interesses abstellen, zielen ausschließlich auf das öffentliche Interesse der EU ab. Ohne die Einigung auf eine internationale Übereinkunft zwischen der EU und der USA unter dem CLOUD-Act dienen Datenübermittlungen grundsätzlich664 nur den Interessen der USA.665 Die in einem solchen Abkommen begründete Pflicht zur Datenübermittlung ist hingegen geeignet, die Interessen der EU zu tangieren. bb) Rechtliche Verpflichtung Auch die Legitimierung einer Datenverarbeitung zur Erfüllung rechtlicher Pflichten wird von einer bestehenden Rechtspflicht in der EU tangiert. Ohne Abkommen zwischen der EU und den USA kann eine Datenverarbeitung somit allein aufgrund bestehender Pflichten in der EU erfolgen.666 cc) Berechtigtes Interesse des Telekommunikationsanbieters Der europäische Datenschutzausschuss erkennt den Konflikt, dem internationale Unternehmen mit grenzüberschreitenden Behördenanordnungen ausgesetzt sind. Diese werden oftmals gezwungen sein, zwischen einem Verstoß gegen die Regelungen der DSGVO oder gegen das an ihrem Hauptsitz geltende Recht zu wählen. Aufgrund der Tatsache, dass ohne internationales Übereinkommen kein effektiver Rechtsbehelf vertraglich zugesichert wird, vermutet der europäische Datenschutzausschuss, dass das das Interesse der betroffenen Person an ihrem Schutz der Daten überwiegt.667 Diese Auffassung erfüllt nicht die Anforderungen der DSGVO, dass für diesen Legitimierungstatbestand stets eine Abwägung im Einzelfall vorgenommen werden 661
Art. 6 Abs 1 lit. e DSGVO. Art. 6 Abs 1 lit. c DSGVO. 663 Art. 6 Abs. 1 lit. f DSGVO. 664 Ausnahme, wenn Überwachungsmaßnahmen die Interessen der EU gleichermaßen tangieren. 665 Europäischer Datenschutzausschuss/Europäischer Datenschutzbeauftragter, Annex: Initial legal assessment of the impact of the US CLOUD Act, S. 4. 666 Europäischer Datenschutzausschuss/Europäischer Datenschutzbeauftragter, Annex: Initial legal assessment of the impact of the US CLOUD Act, S. 4. 667 Europäischer Datenschutzausschuss/Europäischer Datenschutzbeauftragter, Annex: Initial legal assessment of the impact of the US CLOUD Act, S. 5; Kühling/Buchner/Schröder, DSGVO, Art. 48 Rn. 27. 662
D. Überwachungen durch US-Behörden
197
soll.668 Durch die Feststellung des europäischen Datenschutzausschusses, dass ohne internationale Übereinkunft das Interesse der betroffenen Person grundsätzlich überwiegt, ist allerdings kein Raum mehr für Besonderheiten des Einzelfalls. Dieser Ansatz kann für anschließende Datenübermittlungen in die USA gerechtfertigt werden. Da der Wesensgehalt des Rechts auf einen effektiven Rechtsbehelf durch Datenübermittlungen in die USA tangiert ist, ist es zweckgemäß, einen hinreichenden Schutz bereits auf 1. Stufe zu gewähren. dd) Zwischenergebnis Der Abschluss eines Abkommens zwischen der EU und den USA unter dem CLOUD-Act kann zwar nicht die Bewertung des angemessenen Datenschutzes positiv beeinflussen, allerdings kann es die Erfüllung der allgemeinen zwingendenden Anforderungen der DSGVO erleichtern. d) Einfluss durch Abkommen mit anderen Drittstaaten Abkommen unter dem CLOUD-Act, die von den USA mit anderen Drittstaaten geschlossen werden, beeinflussen das bestehende Datenschutzniveau in den USA, da sie einen gegenseitigen Datenaustausch vereinfachen. Durch Weiterübermittlungen der personenbezogenen Daten, die zuvor aus der EU in die USA transferiert wurden, könnte das Datenschutzniveau der DSGVO umgangen werden. Nach Auffassung der EU-Kommission steht die Offenlegung solcher Daten im Einklang mit den europäischen Anforderungen.669 Dies begründet die EU-Kommission mit den umfangreichen Anforderungen an Rechtsnormen von Vertragsstaaten, die im CLOUD-Act vorgesehen sind. Der EU-Kommission ist insoweit zuzustimmen, dass die Vorsehung eines Schutzes für die einzelnen Datenverarbeitungsschritte und einer effektiven Aufsicht erfüllt sind.670 Der wichtige Grundsatz der Datenminimierung gilt nicht notwendigerweise für personenbezogene Daten, die der EU unterliegen, da der CLOUD-Act diese Bedingung nur hinsichtlich Staatsangehöriger der USA stellt. Welche Schutzgarantien für EU-Staatsangehörige gelten, hängt somit von den Einzelvereinbarungen ab, die von der USA mit Drittstaaten geschlossen werden. In diesem Sinne hat die EU-Kommission angekündigt, die ersten Abkommen der USA mit anderen Staaten unter dem CLOUD-Act abzuwarten und anschließend die Auswirkungen auf Datenübermittlungen von der EU in die USA näher zu überprüfen.
668 669 670
Siehe 3. Kapitel dieser Arbeit; Albrecht/Jotzo, Teil 3 Rn. 51. EU-Kommission, SWD (2018) 497 final, S. 30. Siehe 3. Kapitel dieser Arbeit.
198
4. Kap.: Angemessenes Datenschutzniveau in den USA?
e) Bewertung aa) Fokus auf effektiven Rechtsbehelf Bei der Bewertung des unter dem CLOUD-Act bestehenden Datenschutzniveaus wäre es verfehlt, grenzüberschreitende Datenanfragen von Behörden als Vergleichsmaßstab zugrunde zu legen. In den einzelnen EU-Mitgliedstaaten finden Anfragen auf personenbezogene Daten statt, die ebenso die Grenzen der EU überschreiten.671 Auch nach offiziellen Einschätzungen ist das dem CLOUD-Act zugrundeliegende Verfahren mit jenem in Deutschland vergleichbar.672 Zudem hat das Vereinigte Königreich den CLOUD-Act noch als EU-Mitglied unterschrieben.673 Für die Angemessenheit des Datenschutzniveaus in den USA und den einhergehenden Vergleich der Rechtsordnungen kommt es auf die Ausgestaltung abgeschlossener internationaler Übereinkünfte zwischen den USA und Drittstaaten an und ob der Aufrechthaltung europäischer Garantien für personenbezogene Daten aus der EU, die zuvor in die USA übermittelt wurden, gebührend Rechnung getragen wird.674 Da lediglich das Vereinigte Königreich den CLOUD-Act unterzeichnet hat, hängt dieser Schutz derzeit von dem Ergebnis der Verhandlungen zum Datenschutz zwischen dem Vereinigten Königreich und der EU ab. bb) Internationales Übereinkommen unter dem CLOUD-Act Da der europäische Datenschutzausschuss ohne ein internationales Abkommen zwischen der EU und den USA lediglich einen Ausnahmetatbestand im fünften Kapitel, der wiederum die höchsten Anforderungen stellt, für Datenübermittlungen in die USA befürwortet hat, zeigt sich an dieser Stelle der Versuch der EU, die USBehörden bei ihren Überwachungsmaßnahmen an vertragliche Pflichten zu binden. Künftige Übereinkommen, die von den USA unter dem CLOUD-Act getroffen werden, haben enorme Relevanz für Datenübermittlungen von der EU in die USA. Der CLOUD-Act bestätigt die Befugnis US-amerikanischer Geheimdienste und Gerichte, in Drittstaaten Daten anzufragen. Somit bleibt es ohne Abkommen beim allgemeinen Zugriffsrecht der Behörden in den USA.675 Durch ein Abkommen unter dem CLOUD-Act könnte die EU die Rahmenbedingungen für grenzüberschreitende Anfragen festlegen und vom zusätzlichen Rechtsbehelf profitieren. 671
Schuppert/von Reden ZD 2013, 210; Voigt, MMR 2014, 158, 161. Piltz, Schrems II: US CLOUD Act kein Problem? Zumindest nach Ansicht der Landesregierung NRW, 26.10.20. Abrufbar unter: https://www.delegedata.de/2020/10/schrems-iius-cloud-act-kein-problem-zumindest-nach-ansicht-der-landesregierung-nrw/. 673 UK/USA, Agreement on Access to Electronic Data for the Purpose of Countering Serious Crime, 3. Oktober 2019. 674 Europäischer Datenschutzausschuss, Letter to the Members of the European Parliament, Ref: OUT 2020 – 0054, 15. Juni 2020. 675 Determann/Nebel, CR 2018, 408, 409; Lejeune, ITRB 2018, 118, 121. 672
D. Überwachungen durch US-Behörden
199
Die Argumentation des europäischen Datenschutzausschusses und die Intentionen des Gesetzgebers bei Erlass des Artikel 48 DSGVO deuten darauf hin, dass ein effektiver gerichtlicher Rechtsbehelf gegen die datenanfragende Behörde in den USA maßgeblich für die Bewertung der Angemessenheit einer internationalen Übereinkunft zwischen der EU und den USA ist. Aufgrund der Vorsehung eines gerichtlichen Rechtsbehelfs im CLOUD-Act ist dieser somit grundsätzlich geeignet, ein angemessenes Datenschutzniveau herzustellen. Ermessenseinschränkende Rahmenbedingungen können dem großen Ermessenspielraums der entscheidenden Gerichte entgegenwirken. Insbesondere die Bedeutung eines „wesentlichen Risikos“ der Verletzung des EU-Rechts kann von der EU näher bestimmt und unter aktueller Rechtsprechung zu Bedenken an das US-Sicherheitsrecht konkretisiert werden. Ein künftiges Abkommen wird, im Gegensatz zu den Regelungen im CLOUDAct, Reziprozität, voraussetzen, um die Anforderungen der EU an eine internationale Übereinkunft zu erfüllen.676 Um den Anforderungen des europäischen Datenschutzes gerecht zu werden, müssen in einem internationalen Übereinkommen unter dem CLOUD-Act die in dieser Arbeit festgestellten Defizite des Rechts der nationalen Sicherheit in den USA adressiert werden. Daher muss eine solche internationalen Übereinkunft Geltungsvorrang zum Recht der USA erlangen.677 Ob der CLOUD-Act diesen Anforderungen gerecht werden kann, ist nicht klar.678 cc) Globale Lösungen Die EU arbeitet selbst an einer eigenen Verordnung, die den Behörden den grenzüberschreitenden Direktzugriff ermöglichen soll, sog. E-Evidence-Verordnung.679 Diese bezieht sich vorerst nur auf den grenzüberschreitenden Zugriff innerhalb der EU.680 Eine Ausweitung über die Grenzen der EU hinaus kann nicht ausgeschlossen werden. Der Entwurf steht in der Kritik, die Grundrechte „gravierend“ einzuschränken und für den Empfänger einer Behördenanordnung eine „Zumutung“ darzustellen.681
676 Europäischer Datenschutzausschuss/Europäischer Datenschutzbeauftragter, Joint Response to the LIBE Committee on the impact of the US Cloud Act on the European legal framework for personal data protection, 10. Juli 2019, S. 2. 677 Vgl. Europäischer Datenschutzausschuss, Letter to the Members of the European Parliament, Ref: OUT 2020 – 0054, 15. Juni 2020. 678 Vgl. Europäischer Datenschutzausschuss/Europäischer Datenschutzbeauftragter, Annex: Initial legal assessment of the impact of the US CLOUD Act, S. 10. 679 EU-Kommission, COM (2018) 225 final, Vorschlag für eine Verordnung über Europäische Herausgabeanordnungen und Sicherungsanordnungen für elektronische Beweismittel in Strafsachen. Abrufbar unter: https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri= CELEX:52018PC0225. 680 Schaar, MMR 2018, 705. 681 Schaar, MMR 2018, 705.
200
4. Kap.: Angemessenes Datenschutzniveau in den USA?
Eine Einigung auf einen globalen Standard ist vorzugswürdig. Sie könnte vor allem Anordnungsempfänger entlasten. Dadurch könnte vorgebeugt werden, dass andere Staaten der USA folgen und eigene Rahmenbedingungen zu grenzüberschreitenden Behördenbegriffen festlegen, die zu einem internationalen Flickenteppich führen könnten.682 Anstelle der Entstehung widersprüchlicher Regelungen können dann einheitliche Standard etabliert werden. Ohne globalen Konsens kann zudem nicht ausgeschlossen werden, dass andere Drittstaaten, in denen Mutterkonzerne globaler Unternehmen sitzen, derzeit unzulässige Datenanfragen in der EU oder in anderen Staaten mit einer Angemessenheitsentscheidung durchführen. Zudem hätte dies den Vorteil für die Bewertung des Datenschutzniveaus in den USA, dass die EU-Behörden nicht die von den USA abgeschlossenen Übereinkünfte unter dem CLOUD-Act überwachen müssten, um unzulässige Weiterübermittlungen vorzubeugen.683 dd) Ergebnis Es bleibt abzuwarten, welchen Weg die EU verfolgt. Eine globale Einigung zur Bestimmung von Rahmenbedingungen ist zur Vermeidung von Widersprüchen bei der Bewertung der Angemessenheit des Datenschutzniveaus anderer Staaten gegenüber dem Erlass des derzeitigen Entwurfs der E-Evidence-Verordnung vorzugswürdig.
682
Bilgic, 32 Harvard Journal of Law & Technology 2018, 321, 351. Kris, Preliminary Thoughts on Cross-Border Data Requests, 28. September 2015. Abrufbar unter: https://www. lawfareblog.com/preliminary-thoughts-cross-border-data-requests. 683 Bilgic, 32 Harvard Journal of Law & Technology 2018, 321, 352.
Fünftes Kapitel
Legitimierungen von Datenübermittlungen in die USA Die Ergebnisse der Analyse des US-Rechts aus dem vorherigen Kapitel zeigen, dass das US-Recht sowohl bei der Verarbeitung personenbezogener Daten durch Private als auch durch öffentliche Stellen kein angemessenes Datenschutzniveau ohne weitere Schutzmaßnahmen bietet. Da die für ein angemessenes Datenschutzniveau festgestellten Defizite davon abhängen, ob auf das Recht des Bundes oder einzelner Staaten abgestellt wird und ob Private oder öffentliche Stellen personenbezogene Daten verarbeiten, variieren die zu ergreifenden Schutzmaßnahmen. Eine bestandsfähige Lösung, die Datenübermittlungen von der EU in die USA legitimiert, muss aber zumindest Datenverarbeitungen durch Private und öffentliche Stellen adressieren. Eine entsprechende Lösung für beide Datenverarbeiter muss nicht durch denselben Mechanismus erfolgen. Beide Datenverarbeiter müssen allerdings von einer langfristigen Lösung erfasst werden, da, wie aus den Wertungen der SchremsEntscheidungen des EuGH hervorgeht, der Zugriff nationaler Sicherheitsbehörden auf personenbezogene Daten in den USA auch bei Datenverarbeitungen durch Private nicht ausgeschlossen werden kann. Aufgrund des Ergebnisses des vorherigen Kapitels, dass die für eine Angemessenheit des Datenschutzniveaus erforderlichen Schutzmaßnahmen abhängig von der Rechtsnatur des Datenverarbeiters divergieren, werden mögliche zusätzliche Schutzmaßnahmen in diesem Kapitel zunächst getrennt geprüft und gewürdigt. Das Fazit zielt auf eine umfassende Bewertung ab. Der erste Teil des Kapitels (A.) beschäftigt sich mit der Frage, welche Mechanismen und Garantien zur Legitimierung von Datenübermittlungen von der EU in die USA existieren. Aufgrund der durch die Schrems II-Urteile entstandenen Rechtsunsicherheit bezüglich einer bestandskräftigen Lösung werden die Vorzüge der jeweiligen Mechanismen und Garantien herausgearbeitet und Ansätze für mögliche künftige Lösungen definiert. Die für die Ungültigkeitserklärungen zum Privacy Shield und Safe Harbor maßgeblichen Erwägungen des EuGH beruhen auf den Befugnissen der US-amerikanischen Nachrichtendienste.1 Aufgrund der Schicksale der beiden Angemessenheitsentscheidungen zu Datenübermittlungen von der EU in die USA bestehen Bedenken, ob ein angemessenes Datenschutzniveau überhaupt noch durch ein Datenschutzabkommen wie Privacy Shield erreicht werden kann. Zwar bestehen noch 1
S. letztes Kapitel.
202
5. Kap.: Legitimierungen von Datenübermittlungen in die USA
die weiteren Übermittlungsgarantien, allerdings hat die Entscheidung des EuGH in Schrems II diese ebenso durch das Anknüpfen an das allgemein geltende USamerikanische Sicherheitsrecht tangiert. Um das Risiko nicht angemessener Zugriffe der Sicherheitsbehörden zu senken und weiterhin europäische Datenübermittlungen in die USA zu legitimieren, kommen – wie der EuGH zutreffend festgestellt hat – verschiedene Maßnahmen von in Betracht.2 Welche Schutzmaßnahmen hierfür besonders geeignet sind und bei welchen Legitimierungsmechanismen zu Datenübermittlungen diese in Betracht kommen, wird im 2. Teil dieses Kapitels (Teil B.) erörtert.
A. Mechanismen zur Legitimierung von Datenübermittlungen I. Standardvertragsklauseln (SCC) Die in der Praxis bedeutendste Garantie zur Gewährleistung eines angemessenen Datenschutzniveaus für den Fall, dass keine Angemessenheitsentscheidung der EUKommission vorliegt, sind die in der DSGVO vorgesehenen Standardvertragsklauseln,3 abgekürzt SCC4. Dabei handelt es sich um von der EU-Kommission formulierte Vertragsklauseln, die zwischen dem europäischen Datenübermittler und dem Datenempfänger im Drittstaat vereinbart werden.5 Die SCC bezeichnen den Datenübermittler als „Datenexporteur“ und den Datenempfänger als „Datenimporteur“. Die SCC werden von der EU-Kommission gemäß dem Prüfverfahren nach Artikel 93 Absatz 2 DSGVO als Beschluss erlassen. 1. Wirksamkeit für die USA Die Gültigkeit der SCC war aufgrund der in der Schrems II-Entscheidung gerügten Tätigkeit der US-amerikanischen Sicherheitsbehörden mit Zweifeln behaftet. Facebook hat im Schrems-Verfahren vor dem irischen Gerichtshof behauptet, der verwendete Legitimierungsmechanismus für Datenübermittlungen in die USA sei die Verwendung der SCC und nicht das vom EuGH im Vorlageverfahren zur selben Sache für ungültig erklärte Safe Harbor-Abkommen oder sein Nachfolger Privacy
2
EuGH, U. v. 16. 7. 2020 – C-311/18 =MMR 2020, 597, 603 Rn. 139. Art. 46 Abs. 2 lit. c: „Standarddatenschutzklauseln“. 4 Engl. „Standard Contractual Clauses“. 5 Kl. 5 lit. b Beschl. 2001/497/EC; Kl. 5 lit. a Beschl. 2010/87/EU; II lit. d Beschl. 2004/ 915/EC. 3
A. Mechanismen zur Legitimierung von Datenübermittlungen
203
Shield.6 Dies nahm der oberste irische Gerichtshof zum Anlass, die Gültigkeit in einem erneuten Vorlageverfahren durch den EuGH überprüfen zu lassen. Bedenken an die Zulässigkeit wurden vom EuGH in Schrems II durch die Feststellung ausgeräumt, dass die Prüfung der SCC7 anhand der Art. 7, 8 und 47 Grundrechtecharta nichts ergeben hat, was ihre Gültigkeit berühren könnte.8 Allerdings kann die bestehende Rechtslage in einem Drittstaat die Notwendigkeit begründen, „zusätzliche Maßnahmen“ zu der Vereinbarung der Standardvertragsklauseln zu ergreifen, um das angemessene Datenschutzniveau im Drittstaat aufrechtzuerhalten (siehe Teil B).9 2. Bislang genutzte SCC a) Zwei vorgesehene Konstellationen Die EU-Kommission hat vor dem Eintritt der DSGVO drei Beschlüsse mit Standardvertragsklauseln erlassen, auf die sich Unternehmen bei Datenübermittlungen in Drittstaaten stützen können. Zwei dieser Beschlüsse können für Datenübermittlungen von Verantwortlichen in der EU an Verantwortliche in Drittstaaten genutzt werden.10 Die anderen Vertragsklauseln gewährleisten ein angemessenes Datenschutzniveau für die Übermittlung personenbezogener Daten von Verantwortlichen in der EU an Auftragsdatenverarbeiter in Drittstaaten.11 b) Anwendung der SCC auf weitere Konstellationen Standardvertragsklauseln liegt die Verpflichtung zugrunde, den Wortlaut des Vertrages nach Abschluss nicht zu ändern.12 Der Inhalt der SCC darf bereits vor Abschluss der Vereinbarung nicht zulasten der betroffenen Person geändert oder ausgelegt werden.13 Weitere Klauseln oder zusätzliche Garantien, die nicht im Widerspruch zu den restlichen SCC stehen oder in den Grundrechteschutz eingreifen, dürfen allerdings hinzugefügt werden.14 Daher besteht auch das Recht, die SCC auf weitere, nicht ausdrücklich vorgesehene Konstellationen zu erstrecken. Dafür sind 6 noyb, EuGH verhandelt über EU-US Datenübermittlungen (Standarddatenschutzklauseln und Privacy Shield), 17. 09. 2019. Abrufbar unter: https://noyb.eu/de/eugh-verhandelt-ueber-euus-datenuebermittlungen-standarddatenschutzklauseln-und-privacy-shield. 7 EU-Kommission, Beschluss 2010/87/EU. 8 EuGH, U. v. 16. 7. 2020 – C-311/18 =MMR 2020, 597, 603 Rn. 149. 9 EuGH, U. v. 16. 7. 2020 – C-311/18 =MMR 2020, 597, 603 Rn. 139. 10 EU-Kommission, Beschl. 2001/497/EC; 2004/915/EC. 11 EU-Kommission, Beschl. 2010/87/EU. 12 Kl. 11 Beschl. 2001/497/EC, 2010/87/EU; VII. Beschl. 2004/915/EC. 13 Kühling/Buchner/ Schröder, DSGVO, Art. 46 a); Datenschutzkonferenz, Kurzpapier Nr. 4: Datenübermittlung in Drittländer, abrufbar unter: datenschutzzentrum.de/uploads/dsgvo/ kurzpapiere/DSK_KPNr_4_Datenuebermittlung-Drittlaender.pdf. 14 DSGVO EG 109.
204
5. Kap.: Legitimierungen von Datenübermittlungen in die USA
insbesondere Übermittlungen eines europäischen Auftragsdatenverarbeiters an einen Unterauftragsdatenverarbeiter im Drittstaat geeignet, weil sich der Wortlaut der SCC nicht auf diese praktisch relevante Konstellation erstreckt. In diesem Fall bedarf es einer zusätzlichen vom Verantwortlichen erteilten Ermächtigung des europäischen Auftragsdatenverarbeiters, die SCC mit Unterauftragsdatenverarbeitern im Drittstaat abzuschließen. c) Allgemeine vorformulierte Pflichten Die Standardvertragsklauseln legen beiden Vertragsparteien allgemeine Pflichten auf, um ein angemessenes Datenschutzniveau im Drittstaat zu gewährleisten.15 Diese Pflichten beziehen sich auf die europäischen Datenschutzgrundsätze der Zweckbindung, Datenqualität, Verhältnismäßigkeit, Transparenz, Sicherheit und Vertraulichkeit.16 Zudem müssen in der EU gewährte Rechte der betroffenen Person sowie die Beschränkung der Weiterübermittlung und der Unterauftragsverarbeitung gewährleistet werden.17 Ferner regeln sie Haftungsfragen und Schlichtungsverfahren für Streitigkeiten, um die Position der betroffenen Person zu stärken.18 Als anwendbares Recht kommt nur das Recht des Mitgliedstaates in Betracht, in dem der Datenexporteur ansässig ist.19 Da es sich um vorformulierte Vertragsklauseln handelt, werden Besonderheiten der individuellen Datenübermittlung nur im Rahmen von Beschreibungen der Übermittlung, die von den Parteien im Anhang auszufüllen sind, berücksichtigt. Die auszufüllenden Bereiche beziehen sich auf die Zwecke der Übermittlung, die Kategorien der betroffenen Personen und personenbezogenen Daten, einschließlich sensibler Daten, sowie die Empfänger oder Kategorien von Empfängern und den Aufbewahrungszeitraum.20 d) Pflichten in Bezug auf Zugriffe von Sicherheitsbehörden aa) Informationspflichten auch bei Schweigepflicht Der Datenimporteur erklärt sich mit der Unterzeichnung der SCC dazu bereit, dass er den Datenexporteur unverzüglich in Kenntnis setzt, wenn er die Pflicht, personenbezogene Daten nur in Übereinstimmung mit den SCC zu verarbeiten, „aus irgendwelchen Gründen“ nicht einhalten kann.21 Der EuGH stellt in der Schrems II15
Kl. 4, 5 Beschl. 2001/497/EC, 2010/87/EU; I., II. Beschl. 2004/915/EC. Anl. 2 Beschl. 2001/497/EC; Art. 3 lit. e, g, Kl. 5, 11 Beschl. 2010/87/EU; Anhang A Beschl. 2004/915/EC. 17 Anl. 2 Nr. 5, 6 Beschl. 2001/497/EC; Kl. 5 lit. g, i, j, 11 Beschl. 2010/87/EU; II. lit. i, Anhang A Nr. 5Beschl. 2004/915/EC. 18 Kl. 6, 7 Beschl. 2001/497/EC, 2010/87/EU; III., V. Beschl. 2004/915/EC. 19 Kl. 10 Beschl. 2001/497/EC, 2010/87/EU; IV. Beschl. 2004/915/EC. 20 Anlage 1 Beschl. 2001/497/EC, 2010/87/EU; Anhang B Beschl. 2004/915/EC. 21 Kl. 5 lit. a Beschl. 2010/87/EU. 16
A. Mechanismen zur Legitimierung von Datenübermittlungen
205
Entscheidung klar, dass diese Pflicht auch im Falle einer behördlichen Zugriffsanordnung mit Schweigepflicht besteht.22 In einem solchen Fall ist die Angabe von Gründen entbehrlich. Diese Informationspflicht besteht aufgrund der Weisungsgebundenheit von Auftragsverarbeitern ausdrücklich nur bei den SCC, die sich auf Auftragsverarbeiter in Drittstaaten beziehen, nicht jedoch bei SCC zwischen Verantwortlichen. Fraglich ist, ob die Informationspflicht auch bei behördlichen Anfragen hinsichtlich solcher Daten bestehen, die zwischen zwei Verantwortlichen übermittelt werden. Eine solche Pflicht für Verantwortliche könnte sich dadurch ergeben, dass ein SCC-Regelwerk eine Weiterübermittlung an Dritte in einem Drittstaat nur im Zuge einer vorherigen Information des Datenexporteurs als zulässig einstuft.23 Ob der Begriff „Dritte“ Behörden ebenfalls erfasst, ist nicht eindeutig. Zudem besteht diese Pflicht ausdrücklich nur bei einer Alternative der SCC zwischen den Verantwortlichen. Wenn einer behördlichen Zugriffsanfrage nicht entsprochen wird, hat keine Weiterübermittlung stattgefunden und es kann keine Informationspflicht hergeleitet werden. Somit kann die vom EuGH für Auftragsverarbeiter bestätigte Pflicht zur Benachrichtigung im Falle behördlicher Zugriffe nicht ohne Weiteres auf Verantwortliche im Drittstaat übertragen werden. bb) Prüfungspflicht Zudem verpflichten die SCC den Datenimporteur zur Abgabe einer Erklärung, dass er seines Wissens nach keinen Gesetzen unterliegt, die ihm die Einhaltung seiner vertraglichen Pflichten unmöglich machen, und dass er den Datenexporteur über Gesetzesänderungen, welche den Schutz der SCC nachteilig beeinflussen, informiert.24 Die Datenempfänger im Drittstaat übernehmen damit die anspruchsvolle Aufgabe, die Gesetzeslage im Drittstaat selbst zu verfolgen, zu prüfen, und einzuschätzen, ob sie ihre Pflichten unter den SCC weiterhin einhalten können.25 Die SCC überlassen diese Verantwortung jedoch nicht alleine dem Datenimporteur. Ebenso garantiert auch der Datenexporteur durch Unterzeichnung der SCC, dass die Übermittlung der Daten im Einklang mit den Datenschutzgesetzen seines EUMitgliedstaates erfolgen werde.26 Somit verpflichten die SCC beide an der grenzüberschreitenden Übermittlung Beteiligte zur Prüfung, ob das Recht des Bestimmungsdrittlands, einschließlich des Rechts der nationalen Sicherheit, dem Datenempfänger eine Einhaltung der SCC erlaubt.27 22
EuGH, U. v. 16. 7. 2020 – C-311/18 =MMR 2020, 597, 603 Rn. 139. Ziff. II. lit. i Beschl. 2004/915/EC. 24 Kl. 5 lit. a Beschl. 2001/497/EC; Kl. 5 lit. b Beschl. 2010/87/EU; Ziff. II. lit. c Beschl. 2004/915/EC. 25 Kühling/Buchner/Schröder, DSGVO, Art. 46 Rn. 29. 26 Kl. 4 lit. a Beschl. 2001/497/EC, Beschl. 2010/87/EU; I. lit. a, b Beschl. 2004/915/EC. 27 EuGH, U. v. 16. 7. 2020 – C-311/18 =MMR 2020, 597, 603 Rn. 141. 23
206
5. Kap.: Legitimierungen von Datenübermittlungen in die USA
Ist der Datenempfänger nicht mehr in der Lage die SCC einzuhalten, besteht nach der Rechtsprechung des EuGH in Schrems II eine Pflicht des Datenexporteurs, die Datenübermittlung auszusetzen oder von den SCC zurückzutreten.28 Diese Pflicht folgert der EuGH aus der in den SCC vorgesehenen Verpflichtung des Datenexporteurs, das Recht seines EU-Mitgliedstaates einzuhalten.29 Der EuGH hat somit die abschließende Verantwortung zur Handlung beim europäischen Datenexporteur begründet. 3. Entwurf der neuen SCC a) Verfahren Die EU-Kommission hat die SCC bearbeitet und einen Entwurf mit neuen SCC veröffentlicht.30 Bis zum 10. Dezember 2020 wurde der Allgemeinheit die Möglichkeit eröffnet, sich an der öffentlichen Konsultation zu dem Entwurf der SCC zu beteiligen. Die neuen SCC werden in einem Durchführungsrechtsakt verabschiedet, der die Involvierung von Ausschüssen mit Delegierten der Mitgliedstaaten, hier der Europäische Datenschutzausschuss,31 vorsieht (sog. Komitologie-Verfahren).32 Gibt der Ausschuss eine befürwortende Stellungnahme mit qualifizierter Mehrheit ab, wird der Entwurf von der EU-Kommission erlassen.33 b) Übergangsfrist Nach dem Inkrafttreten der neuen SCC dürfen ausschließlich diese unterzeichnet werden. Es ist allerdings möglich, für Datenübermittlungen, die sich bereits vorher auf SCC stützten, weiterhin die alte Version der SCC bis zum Ablauf einer Übergangszeit von einem Jahr anzuwenden.34 In diesem Fall sind aber bereits vor dem Ende der Übergangszeit zusätzliche Maßnahmen für Datenübermittlungen in die USA zu ergreifen, um die Voraussetzungen des EuGH nach Schrems II zu erfüllen und sicherzustellen, dass die personenbezogenen Daten vor Zugriffen durch Si28
EuGH, U. v. 16. 7. 2020 – C-311/18 =MMR 2020, 597, 603 Rn. 140. EuGH, U. v. 16. 7. 2020 – C-311/18 =MMR 2020, 597, 603 Rn. 140. 30 EU-Kommission, Commission Implementing Decision on standard contractual clauses for the transfer of personal data to third countries, 12. November 2020. Abrufbar unter: https: //ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/12741-Commission-Imple menting-Decision-on-standard-contractual-clauses-for-the-transfer-of-personal-data-to-thirdcountries. 31 Ziegler, Schrems II – Update: EU-Behörden kommunizieren weiteres Vorgehen, 4. September 2020. Abrufbar unter: https://datenrecht.ch/schrems-ii-update-eu-behoerden-kom munizieren-weiteres-vorgehen/. 32 Art. 291 AEUV; EU VO Nr. 182/2011 vom 16. Februar 2011; vgl. https://ec.europa.eu/in fo/law/law-making-process/adopting-eu-law/implementing-and-delegated-acts_en. 33 Art. 5 Abs. 2, Art. 2 Abs. 2 lit iv. VO Nr. 182/2011. 34 SCC Entwurf EG 24, Art. 6 No. 3. 29
A. Mechanismen zur Legitimierung von Datenübermittlungen
207
cherheitsbehörden geschützt sind.35 Nach dem Ablauf des einen Jahres muss die alte Version der SCC durch die neuen SCC ersetzt werden oder Übermittlungen auf andere Legitimierungen gestützt werden.36 c) Änderungen aa) Weitere Verarbeitungskonstellationen durch neue Module Der Entwurf zu den neuen SCC sieht in einem Beschluss vier verschiedene Konstellationen der Übermittlungsbeteiligten vor. Er enthält die bekannten Konstellationen der alten SCC, die sich auf eine Übermittlung personenbezogener Daten von Verantwortlichen, die der DSGVO unterliegen, an in Drittstaaten ansässige Verantwortliche (1. Modul), oder Auftragsdatenverarbeiter (2. Modul) beziehen. Zudem ist nun ausdrücklich der EU-überschreitende Transfer zwischen zwei Auftragdatenverarbeitern (3. Modul) und die Übermittlung von der DSGVO unterliegenden Auftragsdatenverarbeiter an Verantwortliche in einen Drittstaat (4. Modul) normiert worden. Da der Anwendungsbereich der DSGVO nach Artikel 3 Absatz 2 DSGVO um das Marktortprinzip erweitert wurde, ist es durchaus möglich, dass die SCC von einem im Drittstaat ansässigen Unternehmen als Datenexporteur bei Übermittlungen an Unternehmen im selben oder einem anderen Drittstaat als Datenimporteur, der wiederum nicht von DSGVO erfasst wird, verwendet werden.37 Findet die DSGVO Anwendung auf ein Unternehmen in einem Drittstaat ist es konsequent für dessen Übermittlungen die DSGVO uneingeschränkt anzuwenden und somit auch die SCC, selbst wenn die Übermittlung im selben Drittstaat stattfindet. Darüber hinaus wird klargestellt, dass es auch für mehr als zwei Parteien möglich sein soll, die Standardvertragsklauseln zu vereinbaren und ein Abschluss allen Beteiligten der Datenverarbeitungskette gestattet wird.38 Da in der DSGVO vorgesehen ist, dass Auftragsverarbeiter anderen Unterauftragsverarbeitern dieselben Datenschutzpflichten auferlegen, die zwischen dem Verantwortlichen und dem Auftragsverarbeiter vereinbart wurden, ist die direkte Vereinbarung von SCC zwischen diesen Parteien ohne Zwischenermächtigung zweckgemäß.39
35 36 37 38 39
Arg. ex. SCC Entwurf EG 24, Art. 6 Nr. 3. Ebda. SCC Entwurf Annex Sec. 2 cl. 9a s. 1; SCC Entwurf EG 7. SCC Entwurf EG. 10; SCC Entwurf Annex cl. 6 docking clause – optional. Artikel 28 Abs. 3, 4 DSGVO.
208
5. Kap.: Legitimierungen von Datenübermittlungen in die USA
bb) Klare und detaillierte Pflichten Die Regelung, dass keine nachteiligen Änderungen der SCC vereinbart werden dürfen,40 wurde von den alten SCC übernommen. Dasselbe gilt für die Anwendbarkeit des EU-Rechts,41 die Umsetzung europäischer Datenschutzgrundsätze und die Beschreibung der konkreten Übermittlung im Anhang. Zudem sehen die neuen SCC wie ihre Vorgänger Pflichten für die Vertragsparteien vor, die sie bei der Datenübermittlung sowie der restlichen Verarbeitung einzuhalten haben. Allerdings sind diese nun detaillierter ausgestaltet und enthalten konkrete Anweisungen, die teilweise an die einzelnen Module angepasst sind. Besonders die Verpflichtungen zur Datensicherheit enthalten konkrete Vorgaben wie die Verschlüsselung, Anonymisierung und Pseudonymisierung.42 Der Anhang zur Beschreibung der übermittelten Daten wird um zwei weitere ergänzt. Der zweite Anhang bezieht sich auf weitere Vorgaben zu technischen und organisatorischen Maßnahmen des Datenimporteurs. Dabei sind konkrete Themenbereiche wie die Datenwiederherstellung vorgegeben, die durch Schutzhandlungen adressiert werden sollen.43 Im dritten Anhang müssen konkrete Unterauftragsverarbeiter benannt werden und nicht nur Kategorien von Datenempfängern.44 Diese Angaben müssen auch der betroffenen Person mitgeteilt werden.45 Ein weiteres Beispiel für die detailliertere Ausgestaltung stellt die Nennung konkreter Bestandteile der SCC dar, die im Rahmen der Erfüllung von Transparenzpflichten zugunsten des Schutzes von Geschäftsgeheimnissen und vertraulicher Informationen bei der Informationserteilung an die betroffene Person redigiert werden dürfen.46 An mehreren Stellen enthält der Entwurf zudem die Pflicht des Datenimporteurs, die Einhaltung konkreter Klauseln bei Datenverarbeitungen zu dokumentieren und das Ergebnis auf Anfrage den Datenaufsichtsbehörden zur Verfügung zu stellen.47 cc) Praxisorientierte Anpassungen an die DSGVO Die Verpflichtungen der neuen SCC wurden an vielen Stellen an die DSGVO angepasst. Die durch die Dokumentationspflicht begründete Rechenschaftspflicht in den neuen SCC ist ein Beispiel für die Anpassung. Zudem werden besonders praxisorientierte Pflichten aus der DSGVO, welche eine Einhaltung oder Durchsetzung 40 41 42 43 44 45 46 47
SCC Entwurf Annex, Sec. 1. cl. 1 lit. c. SCC Entwurf Annex, Sec. 3 cl. 2. SCC Entwurf Annex Sec. 2 cl. 1 module 1 1.4, 1.5, module 2, 3 1.6, module 4 1.2. SCC Entwurf Annex – Annex II. SCC Entwurf Annex – Annex III. SCC Entwurf Annex Sec. II cl. 1.2 lit. a (iii) module 1. SCC Entwurf Annex Sec. 2 cl. 1 module 1 1.2 lit. c, module 2,3 1.3. Z. B. SCC Entwurf Annex Sec. 2 cl. 1 Module 1, 2, 3, 4 1.9.
A. Mechanismen zur Legitimierung von Datenübermittlungen
209
von Pflichten erleichtern, in den neuen SCC aufgegriffen. Für die Unterauftragsverarbeitung wurde beispielsweise das Erfordernis der vorherigen schriftlichen Einwilligung des Datenexporteurs an die DSGVO angepasst und durch die vorherige schriftliche Genehmigung, die entweder gesondert im Hinblick auf spezifische Unternehmen (Option 1) oder allgemein für jegliche Unternehmen (Option 2) erfolgen kann, konkretisiert.48 Zudem wurde das Gedankengut der DSGVO, dass auf exzessive Informationsanfragen der betroffenen Person durch ein angemessenes Entgelt entgegnet werden darf, in den SCC aufgenommen.49 Anfragen von Betroffenen sollen wie in der DSGVO grundsätzlich innerhalb eines Monats beantwortet werden.50 Die Haftung für Verstöße wurde an die DSGVO insoweit angepasst, dass eine gesamtschuldnerische Haftung auch bei der Übermittlung an Auftragsverarbeiter im Drittstaat gegenüber der betroffenen Person vorgesehen ist.51 Außerdem ist nunmehr klargestellt, dass, wie in der DSGVO, sowohl für materielle als auch immaterielle Schäden gehaftet werden muss.52 Die in den alten SCC vorgesehene Möglichkeit Streitigkeiten in Schlichtungsverfahren beizulegen, wurde aufgegeben. Stattdessen besteht jetzt nur noch – der DSGVO nachempfunden – die Möglichkeit, Streitigkeiten vor Gerichten der EU-Mitgliedstaaten beizulegen.53 Eine ausdrückliche Verpflichtung für Verantwortliche im Drittstaat, Anfragen im Hinblick auf das mit der DSGVO eingeführte Recht der Datenportabilität zu entsprechen, ist nicht vorgesehen, sondern nur das Recht auf den Erhalt von Kopien.54 Genauso wenig sind die mit der DSGVO eingeführten Pflichten der Benennung eines Datenschutzbeauftragten und der Durchführung einer Datenschutzfolgeabschätzung für Verantwortliche im Drittstaat in den neuen SCC vorgeschrieben. In den drei Modulen, in denen Auftragsverarbeiter involviert sind, ist zumindest die ausdrückliche Pflicht vorgesehen, den Verantwortlichen oder die Partei, die direkt unter die DSGVO fällt, bei der Erfüllung der Pflichten aus der DSGVO zu unterstützen.55 In Anhang 2 der neuen SCC, in dem eine Beschreibung von durch den Datenimporteur umgesetzten technischen und organisatorischen Maßnahmen des Datenimporteurs vorgesehen ist, wird ausdrücklich auf die Datenportabilität Bezug genommen. Da weitere Maßnahmen im Anhang sich auf andere in den neuen SCC enthaltene Grundsätze und Verpflichtungen wie die Datenminimierung, Sicherheit,
48
Vgl. Kl. 11. Beschl. 2010/87/EU; Art 28 II 1 DSGVO; SCC Entwurf Annex Sec. 2 cl. 4 module 2, 3 lit. a option 1 „specific prior authorisation“ und option 2 „general written authorisation“. 49 Vgl. Art. 12 Abs. 5 DSGVO; SCC Entwurf Annex Sec. 2 cl. 5 module 1 lit. e. 50 Vgl. Art. 12 Abs. 3; Art. 14 Abs. 3 lit. a DSGVO; SCC Entwurf Annex Sec. 2 cl. 5 module 1 lit. b. 51 SCC Entwurf Annex Sec. 2 cl. 7 module 1, 3 lit. d, module 2, 4 lit. e. 52 SCC Entwurf Annex Sec. 2 cl. 7 lit. a. 53 SCC Entwurf Annex Sec. 3 cl. 3. 54 SCC Entwurf Annex Sec. 2 cl. 5 module 1 lit. b (i). 55 SCC Entwurf Annex Sec. 2 cl. 5 module 2 lit. b, module 3 lit. b, module 4.
210
5. Kap.: Legitimierungen von Datenübermittlungen in die USA
Datenqualität sowie die Rechenschaftspflicht beziehen, ist davon auszugehen, dass die Datenportabilität auch von Verantwortlichen in Drittstaaten einzuhalten ist. dd) Ausdrückliche weitreichende Pflichten bei behördlichen Zugriffsanfragen Der Entwurf zu den neuen SCC regelt nun erstmalig ausdrückliche Pflichten des Datenimporteurs im Falle behördlicher Zugriffsanfragen mit Bezug auf die übermittelten Daten. Diese Pflichten bestehen für alle 4 Module. (1) Keine Unsicherheiten mehr bezüglich der Meldepflicht Der Datenexporteur muss in jedem Falle über eine behördliche Zugriffsanfrage benachrichtigt werden und das gilt unabhängig davon, ob der Datenempfänger im Drittstaat als Auftragsverarbeiter auf Weisung des Datenübermittlers handelt oder Verantwortlicher ist.56 Handelt es sich bei dem Datenimporteur um einen Unterauftragsverarbeiter wird klargestellt, dass der Verantwortliche von dem datenexportierenden Auftragsdatenverarbeiter in der EU informiert werden soll. Im Vergleich zu den alten SCC bestehen keine Zweifel mehr über die Benachrichtigungspflichten bei Verstößen gegen die neuen SCC, weil nun eine allgemeine Informationspflicht des Datenimporteurs für den Fall besteht, dass er aus einem beliebigen Grund nicht mehr in der Lage ist, die Klauseln der neuen SCC einzuhalten.57 Die neuen SCC benennen erstmalig konkrete Informationen, die vom Datenimporteur im Rahmen einer Mitteilung über die behördlichen Zugriffe an den Datenexporteur zur Verfügung gestellt werden müssen.58 Zudem erfolgt in den neuen SCC eine für Übermittlungen in die USA bedeutsame Klarstellung, dass die Informationspflichten nicht nur im Falle behördlicher Zugriffsanordnungen bestehen, sondern auch, wenn das Unternehmen im Drittstaat einen direkten Zugriff der Behörden mitbekommen hat.59 Letzterer Fall ist besonders für Programme wie Prism oder die direkte Anzapfung von Glasfaserkabeln, die keine behördlichen Anfragen an Unternehmen vorsehen, von Bedeutung. Die betroffenen Personen sind somit nicht schlechter gestellt, wenn Behörden ohne Anfragen auf die Daten zugreifen. Erstmalig soll die Benachrichtigung über behördliche Zugriffe auch ausdrücklich an die betroffene Person erfolgen, wenn dies „möglich“ ist.60 Wann dies möglich ist und welche Anforderungen an die Identifizierung und Kontaktierung der betroffenen Person gestellt werden, ist nicht beschrieben. 56 57 58 59 60
SCC Entwurf Annex Sec. 2 cl. 3.1. lit. a. SCC Entwurf Annex Sec. 2 cl. 3.1. lit. a. SCC Entwurf Annex Sec. 2 cl. 3.1. lit. a(i). SCC Entwurf Annex Sec. 2 cl. 3.1. lit. a(ii). SCC Entwurf Annex Sec. 2 cl. 3.1. lit. a(ii).
A. Mechanismen zur Legitimierung von Datenübermittlungen
211
In den neuen SCC ist vorgesehen, dass das Unternehmen im Drittstaat, wenn es einen Grund zur Annahme hat, dass es die vorgeschriebenen Pflichten nicht mehr erfüllen kann, die zuständige Aufsichtsbehörde über die Situation informieren muss.61 Das gilt auch, wenn der Datenexporteur zusätzliche Maßnahmen getroffen hat, die nach seiner Abwägung eine Erfüllung der Pflichten gewährleisten. Die Mitteilung hat in diesem Fall zusammen mit einer „Erklärung“62 zu erfolgen.63 (2) Bemühung um Aufhebung von Schweigeanordnungen Besteht eine Schweigepflicht über den begehrten Zugriff der Behörden muss sich der Datenimporteur dazu bereit erklären, sich nach besten Kräften64 um eine Aufhebung der Schweigeanordnung zu bemühen, um so viele Informationen wie möglich und so bald wie möglich zu übermitteln.65 Dieses Bemühen muss der Datenimporteur ausdrücklich dokumentieren. (3) Veröffentlichung über ergangene Anordnungen Der Datenimporteur erklärt sich durch Unterzeichnung der neuen SCC bereit, dem Datenexporteur während der Vertragsdauer so viele relevante Informationen wie möglich über die eingegangenen Behördenanfragen zu übermitteln.66 Dies soll in regelmäßigen Abständen erfolgen und insbesondere Informationen über die Anzahl der Anordnungen und die Art der angeforderten Daten einschließen. Zudem soll die ersuchende Behörde benannt und im Falle einer Anfechtung über diese aufgeklärt werden. Voraussetzung ist, dass die Preisgabe dieser Informationen nach den Gesetzen des Bestimmungslandes zulässig ist. In den USA ist eine entsprechende Ermächtigung im Freedom Act an Adressaten von NSL oder FISA Anordnungen gerichtet und bezieht sich auf die ungefähre Anzahl behördlicher Anfragen auf Datenzugriffe und tangierte Betroffene.67 (4) Aufbewahrungspflicht Die neuen SCC sehen vor, dass sich der Datenimporteur zur Aufbewahrung der Informationen über die Erfüllung der in Bezug auf behördliche Anordnungen bestehenden Pflichten für die Dauer der Laufzeit der Vereinbarung verpflichtet. Auf Anfrage der zuständigen europäischen Aufsichtsbehörde muss der Datenimporteur diese Informationen zur Verfügung stellen.
61 62 63 64 65 66 67
SCC Entwurf Annex Sec. 2 cl. 2 lit. f s. 1. „Explanation“. SCC Entwurf Annex Sec. 2 cl. 2 lit. f s. 2. „best efforts“. SCC Entwurf Annex Sec. 2 cl. 3.1. lit. b. SCC Entwurf Annex Sec. 3 cl. 1 lit. c. USA FREEDOM Act, Sec. 603, Page 129 Stat. at 295 – 97; 50 U.S. Code § 1874.
212
5. Kap.: Legitimierungen von Datenübermittlungen in die USA
(5) Ausdrückliche Pflicht zur Aussetzung oder Kündigung Ist der Datenempfänger nicht mehr in der Lage, die neuen SCC einzuhalten oder verstößt er gegen die Klauseln, ist der europäische Datenexporteur nun ausdrücklich dazu verpflichtet, die Datenübermittlung auszusetzen oder den Vertrag zu kündigen.68 Einer Auslegung der für den Datenexporteur bestehenden Pflicht zur Einhaltung der DSGVO, die der EuGH in der Schrems II-Entscheidung vorgenommen hat, bedarf es für die Verpflichtung zur Aussetzung oder Kündigung somit nicht mehr. (6) Überprüfung der Legalität und Rechtsmittelausschöpfung Der letzte Absatz zu den Pflichten im Zusammenhang mit behördlichen Anordnungen trägt die Überschrift „Überprüfung der Legalität und Datenminimierung“.69 Der Datenimporteur wird in dieser Klausel dazu verpflichtet, die Rechtmäßigkeit des begehrten behördlichen Datenzugriffs nach den Gesetzen des Bestimmungslandes sorgfältig zu überprüfen und im Falle einer gefolgerten Unrechtmäßigkeit mit rechtlichen Mitteln gegen diese vorzugehen.70 Dabei muss der Datenimporteur alle abrufbaren Rechtsmittel, einschließlich solcher zum einstweiligen Rechtsschutz bis zum Ergehen einer Hauptentscheidung, auszuschöpfen. In der Klausel wird klargestellt, dass die personenbezogenen Daten erst dann an die Behörden offengelegt werden sollen, wenn eine Verpflichtung nach den geltenden Verfahrensvorschriften besteht. Im Hinblick auf die Überprüfungen der Anordnung und Einlegung von Rechtsmitteln bestehen erneut Pflichten zur Dokumentation und Kooperation mit der zuständigen Aufsichtsbehörde.71 (7) Datenminimierung Die letzte Pflicht des Datenimporteurs im Falle behördlicher Zugriffsanordnungen sieht die Einhaltung des Grundsatzes der Datenminimierung bei der Entsprechung einer rechtmäßigen Anfrage vor. Demnach ist ihm nur die minimal zulässige Informationsmenge auf der Grundlage einer angemessenen Auslegung des Ersuchens bereitzustellen.72 Diese Pflicht stellt eine große Verantwortung des Datenimporteurs dar, da er eine nach seiner Einschätzung rechtmäßige Anordnung restriktiv gegenüber den Behörden auslegen muss. Der Datenimporteur ist in der Praxis oftmals nicht in der Lage einzuschätzen, welche Daten die Behörde für die Erfüllung ihrer in der Anordnung angegebenen Pflicht benötigt. Zudem differenzieren die Informationen, die in der Anordnung angegeben werden dürfen und müssen, je nach der Behörde und dem Drittstaat. Konflikte zwischen der Verpflichtung im EU-Recht 68 69 70 71 72
SCC Entwurf Annex Sec. 3 cl. 1 lit. b. SCC Entwurf Annex Sec. 2 cl. 3.2. SCC Entwurf Annex Sec. 2 cl. 3.2 lit. a. SCC Entwurf Annex Sec. 2 cl. 3.2 lit. b. SCC Entwurf Annex Sec. 2 cl. 3.2 lit. c.
A. Mechanismen zur Legitimierung von Datenübermittlungen
213
und dem Recht des Drittstaats sind vorprogrammiert. Die Pflicht zur Datenminimierung wird etwas dadurch gelockert, dass keine Dokumentation über die Abwägungen und Entscheidungen zu erfolgen hat. ee) Widerrufsmöglichkeit Die neuen SCC sehen ein Widerrufsrecht von ihren Verpflichtungen vor, wenn die EU-Kommission eine Angemessenheitsentscheidung zum betreffenden Drittstaat erlässt.73 Ein Widerruf bereits unterzeichneter SCC könnte insbesondere für den Datenexporteur von Vorteil sein, weil die bisherigen Angemessenheitsentscheidungen keine über die DSGVO hinausgehenden Pflichten des Datenexporteurs begründet haben. Ein weiteres Widerrufsrecht sieht die EU-Kommission dann vor, wenn die DSGVO ein Teil des Rechtsrahmens des betroffenen Drittstaat wird.74 Das ist der Fall, wenn die EU einen Drittstaat als Mitgliedstaat aufnimmt. Dann sind die Verpflichtungen unter den SCC aufgrund der unmittelbaren Anwendbarkeit der DSGVO auf den neuen Mitgliedstaat und des Grundsatzes der freien Datenübermittlung in der EU entbehrlich. Ein anderer Fall, auf den der Wortlaut hier abzielen könnte, ist die Übernahme der rechtlichen Pflichten und Regeln der DSGVO. Dafür spricht, dass das europäische Datenschutzrecht die einflussreichste Quelle für den Schutz der Privatsphäre darstellt.75 Der Standard der DSGVO und ihres Vorgängers, der auf dem Übereinkommen Nr. 108 des Europarates basiert,76 dient den meisten Gesetzen zur Privatsphäre weltweit als Grundlage.77 Allerding spricht der Wortlaut der neuen SCC direkt von der Übernahme der DSGVO in der eigenen Rechtsordnung und nicht von ihren Grundsätzen. Da die DSGVO direkt nur ihre Mitgliedstaaten binden kann, ist davon auszugehen, dass der Wortlaut nicht darauf abzielt, einen Widerruf für die Einbindung der Werte der DSGVO vorzusehen. Somit sind auch bei Anpassung des Rechts des Drittstaats an die DSGVO weiterhin die SCC einzuhalten bis eine Angemessenheitsentscheidung zum Drittstaat ergeht. ff) Anwendbarkeit der SCC auf Artikel 3 Absatz 2 DSGVO In den neuen SCC wird klargestellt, dass die SCC von einem im Drittstaat ansässigen Unternehmen, das nach dem Marktortprinzip direkt unter die DSGVO fällt, für eine Datenübermittlung in demselben oder einen anderen Drittstaat verwendet
73
SCC Entwurf Annex Sec. 3 clause 1 lit. e. Ebda: „the GDPR becomes part of the legal framework of the country to which the personal data is transferred“. 75 Schwartz/Peifer, 106 The Georgetown Law Journal, 115, 120. 76 Art. 29 DSGRP, WP 12, 3. 77 Greenleaf, S. 57; Schwartz/Peifer, 106 The Georgetown Law Journal, 115, 120. 74
214
5. Kap.: Legitimierungen von Datenübermittlungen in die USA
werden muss.78 Fraglich ist, ob eine Datenübermittlung an ein solches Unternehmen im Drittstaat, das unter den territorialen Anwendungsbereich der DSGVO fällt, auf den SCC beruhen muss. Die Formulierung in den SCC bezieht sich lediglich auf eine Datenübermittlung von einem solchen Unternehmen hinweg an ein anderes.79 Ferner heißt es zum Anwendungsbereich der SCC: „Die im Anhang aufgeführten Standardvertragsklauseln gelten als angemessene Garantien […]80 von einem der [DSGVO] unterliegenden Verantwortlichen oder Auftragsverarbeiter (Datenexporteur) an einen nicht der Verordnung (EU) 2016/679 unterliegenden Verantwortlichen oder (Unter-)Auftragsverarbeiter (Datenimporteur).“81 Die neuen SCC implizieren hiermit, dass die Anforderungen der DSGVO an Datenübermittlungen nur einzuhalten sind, wenn der Datenempfänger nicht bereits selbst der DSGVO unterliegt unabhängig davon, ob der Datenempfänger im Drittstaat sitzt oder in der EU.82 d) Bewertung Der Entwurf zu den neuen SCC berücksichtigt aktuelle globale Entwicklungen und gibt den Vertragsparteien in Hinblick auf ihren erweiterten Blickwinkel bei Datenübermittlungen in Drittstaaten Pflichten auf. Als Instrument, das der Herstellung eines angemessenen Datenschutzniveaus dient, bestehen Verbesserungsmöglichkeiten, um eine weitergehende Gleichwertigkeit zum Grundrecht auf Datenschutz zu erreichen. aa) Komplexerer Aufbau Die neuen SCC haben dadurch, dass nun vier Module für Datenübermittlungen zur Verfügung stehen, praktische Probleme gelöst und einen passgenaueren und somit einzelfallgerechteren Schutz ermöglicht. Gleichzeitig ist aufgrund der Erfassung aller Module in einem Dokument eine konkrete Prüfung nötig, welche Pflichten auf die konkrete Übermittlungen Anwendung finden.83 Der komplexe Aufbau wird dadurch kompensiert, dass konkretere Handlungsanweisungen dem Datenimporteur im Drittstaat die Erfüllung ihrer Aufgaben wiederum erleichtern.84 78
SCC Entwurf Annex Sec. 2 cl. 9a s. 1; SCC Entwurf EG 7. SCC Entwurf EG 7 S. 2: „This also includes the transfer of personal data by a controller or processor not established in the Union.“ 80 „im Sinne von Artikel 46 Absatz 1 und Absatz 2 Buchstabe c der Verordnung (EU) 2016/ 679 für die Übermittlung personenbezogener Daten“. 81 SCC Entwurf Art. 1 Nr. 1. 82 Kuner, Comments on the Draft Commission Implementing Decision on SCC for the Transfer of Personal Data to Third Countried, Dezember 2020. Abrufbar unter: https://ec.euro pa.eu/info/law/better-regulation/have-your-say/initiatives/12741-Commission-ImplementingDecision-on-standard-contractual-clauses-for-the-transfer-of-personal-data-to-third-countries/ F1302345. 83 Lachenmann, ZD-Aktuell 2020, 07417. 84 Lachenmann, ZD-Aktuell 2020, 07417. 79
A. Mechanismen zur Legitimierung von Datenübermittlungen
215
bb) Ersetzung der alten SCC Die Ersetzung aller bestehenden SCC innerhalb eines Jahres stellt aufgrund der hohen Anzahl an alten SCC, die seit 2001 vereinbart wurden, und der gleichzeitig bestehenden Pflicht, hinreichende zusätzliche Maßnahmen zu ergreifen, um der Schrems II-Entscheidung gerecht zu werden, eine große Herausforderung für Unternehmen dar.85 Möglicherweise wird die EU-Kommission auf in der Konsultationsphase veröffentliche Kritiken86 reagieren und die Frist verlängern oder bereits abgeschlossene SCC von einer Erneuerung verschonen. cc) DSGVO-übertreffende Pflichten Die Handlungspflichten der neuen SCC gehen teilweise über die Anforderungen der DSGVO hinaus. Nach den Informationspflichten in der DSGVO genügt es, dass die betroffene Person über Kategorien von Datenempfängern informiert wird, wobei eine abstrakte Beschreibung genügt.87 In den neuen SCC ist eine Informierung über konkrete Empfänger vorgesehen, was dazu führt, dass unter Umständen Kontaktdaten erhoben werden, die für die eigentliche Datenverarbeitung nicht notwendig sind.88 Informationen über den konkreten Empfänger können der betroffenen Person bei der Einschätzung helfen, ob ihre Daten einem erhöhten Zugriffsrisiko durch die Behörden im Drittstaat ausgesetzt sind. Somit ist es im Hinblick auf die Schrems IIEntscheidung zweckgerecht, höhere Anforderungen an Datenempfänger in Drittstaaten zustellen. dd) Keine vollständige Anpassung an die DSGVO Anpassungen an die DSGVO sind wichtig, um das durch die DSGVO bestehende Datenschutzniveau in der EU tatsächlich im Drittstaat aufrechtzuerhalten. Eine vollständige Anpassung an die neuen Garantien der DSGVO ist allerdings nicht erfolgt. Mit der DSGVO eingeführte Schutzvorkehrungen wie die Datenportabilität, die Benennung eines Datenschutzbeauftragten oder Datenschutzfolgeabschätzungen 85
Bitkom, Position Paper, Commission Implementing Decision on Standard Contractual Clauses for the Transfer of Personal Data to Third Countries, 09.12. 2020, S. 2. Abrufbar unter: https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/12741-Commission-Im plementing-Decision-on-standard-contractual-clauses-for-the-transfer-of-personal-data-tothird-countries/F1306021. 86 Ebda; EuroISPA, Comments on the new draft SCCs, S. 2. Abrufbar unter: https://ec.euro pa.eu/info/law/better-regulation/have-your-say/initiatives/12741-Commission-ImplementingDecision-on-standard-contractual-clauses-for-the-transfer-of-personal-data-to-third-countries/ F1305644. 87 Gola/Franck, DSGVO Art. 13 Rn. 17; Simitis/Scholz/Sokol, BDSG, § 4 Rn. 43; aA für die Ansicht, dass Empfängerkategorien der Pflicht nur genügen, wenn die Empfänger noch nicht feststehen: Härting, DSGVO, Rn. 59. 88 Bitkom, Position Paper, Commission Implementing Decision on Standard Contractual Clauses for the Transfer of Personal Data to Third Countries, 09.12. 2020, S. 5.
216
5. Kap.: Legitimierungen von Datenübermittlungen in die USA
sind unterblieben. Die EU-Kommission sollte diese Schutzvorkehrungen noch in die neuen SCC einbauen, damit EU-Staatsangehörige keinen Nachteil bei Datenübermittlungen in die USA erfahren. In diesem Rahmen sollte die EU-Kommission zudem eine wörtliche Anpassung an die DSGVO vornehmen, um bestehende Unsicherheiten zu klären.89 Es besteht die Besorgnis, dass nationale Aufsichtsbehörden ohne eine ausdrückliche Anpassung an den Wortlaut der DSGVO und die Grundrechtecharta bei der Ausübung ihrer in den SCC bestätigten Befugnisse, keine objektiven Kriterien für die Bewertung der konkreten Datenübermittlung einbeziehen.90 ee) Verbesserungsmöglichkeiten für Behördenanfragen (1) Genehmigungsfreiheit Die Tatsache, dass ein datenempfangendes Unternehmen im Drittstaat, die zuständige Aufsichtsbehörde über eine Situation informieren muss, in der sie zusätzliche Maßnahmen getroffen hat, unterliegt Kritik.91 Da sie der Aufsichtsbehörde in diesem Fall eine „Begründung“ über das Risiko der Nichtbefolgung und die ergriffenen Abhilfemaßnahmen schuldet,92 wird hierdurch die Anforderung der DSGVO, eine Genehmigungsfreiheit bei der Berufung auf die SCC sicherzustellen,93 indirekt umgangen.94 Denn die Datenübermittlung muss unterbleiben, wenn die Aufsichtsbehörde diese im Anschluss an die Mitteilung untersagt.95 Somit kommt die Mitteilungspflicht faktisch einer Genehmigungspflicht gleich. In Anbetracht der Schrems II-Rechtsprechung könnten Anforderungen, die über das fünfte Kapitel der DSGVO hinausgehen, gerechtfertigt sein. Die Schrems IIRechtsprechung trägt der Bedeutung des Datenschutzes als Grundrecht bei der Auslegung der Anforderungen des fünften Kapitels Rechnung. Das im fünften Kapitel prägende Leitkriterium des angemessenen Datenschutzniveaus dient primär der Verwirklichung des Grundrechts auf Datenschutz.96 Da die Genehmigungsfreiheit im fünften Kapitel DSGVO nur für solche Übermittlungen vorgesehen ist, die weiterhin ein angemessenes Datenschutzniveau gewährleisten, bedarf es grundsätzlich keinen Anforderungen, die über das fünfte Kapitel hinausgehen. Eine 89
EuroISPA, Comments on the new draft SCCs, S. 2; Vodafone, Standard Contractual Clause Consultation S. 2 Nr. 4. 90 Vodafone, Standard Contractual Clause Consultation S. 2 Nr. 3, Tabelle Reihe 6. 91 Salesforce, Comments on European Commission’s draft Standard Contractual Clauses, S. 1, 2. 92 SCC Entwurf Annex Sec. 2 cl. 2 lit. f s. 2. 93 Art. 46 Abs. 2 DSGVO. 94 Salesforce, Comments on European Commission’s draft Standard Contractual Clauses, S. 1, 2. 95 SCC Entwurf Annex Sec. 2 cl. 2 lit. f s. 3. 96 Siehe 2. Kapitel dieser Arbeit.
A. Mechanismen zur Legitimierung von Datenübermittlungen
217
Ausnahme stellen Situationen dar, in denen der Wesensgehalt des Grundrechts auf Datenschutz tangiert ist. Da andere Grundrechte dann zurücktreten müssen,97 kommen Schutzmaßnahmen, die über das fünfte Kapitel der DSGVO hinausgehen, in Betracht. Die EU-Kommission sollte die Mitteilungspflicht auf diese Situationen beschränken. (2) Unterstützung Die EU-Kommission hat in den neuen SCC zum ersten Mal ausdrücklich Verpflichtungen für Unternehmen im Drittstaat vorgesehen, die speziell für behördliche Zugriffe konzipiert sind. Dies ist als Reaktion auf die EuGH-Rechtsprechung zu Schrems II zu verstehen, in der eine Vornahme „zusätzlicher Maßnahmen“ zu den alten SCC für Kollisionen von dem Recht der nationalen Sicherheit im Drittstaat und dem EU-Recht gefordert wird. Die in den neuen SCC enthaltenen Pflichten in Bezug auf Behördenzugriffe stellen ein einheitliches Maß an Schutzmaßnahmen für Behördenzugriffe sicher. Dieses Mindestmaß entlastet Unternehmen, da sie jedenfalls quantitativ die Pflicht der Vornahme weiterer vertraglicher „zusätzlicher Maßnahmen“ durch die Vorsehung einer Vielzahl von Pflichten bereits reduziert. Gleichzeitig ist dieses festgelegte Mindestmaß dazu geeignet, den Beteiligten einer Datenübermittlung Pflichten aufzuerlegen, die andere grundrechtliche Interessen auf nicht unerhebliche Weise tangieren. Dies gilt zum Beispiel für die Verantwortung des Datenempfängers, in die Bewertung behördlicher Zugriffsanfragen den Grundsatz der Datenminimierung und das sonstige Unionsrecht einzubeziehen. Dabei muss berücksichtigt werden, dass sich das Unternehmen im Drittstaat bei einer unzulässigen Ablehnung von Behördenanfragegen dem Risiko aussetzt, im eigenen Staat strafrechtlich belangt zu werden. Daher sind bestimmte Pflichten der neuen SCC somit besonders geeignet, Unternehmen im Drittstaat von der Vereinbarung der neuen SCC abzuhalten. Dadurch wird mittelbar das unionsgrundrechtlich geschützte98 Recht auf freie Wahl des Vertragspartners von Unternehmen in der EU beeinflusst, die personenbezogene Daten in die USA übermitteln wollen. Deshalb sollten Unternehmen in der EU soweit wie möglich von den Aufsichtsbehörden bei der Erfüllung der in den SCC vorgesehenen Pflichten unterstützt werden. Zudem sollte die EU-Kommission ihre Anforderungen an die Unternehmen im Drittstaat weiter konkretisieren. In diesem Rahmen sollte sie definieren, unter welchen Umständen dem Datenimporteur die Benachrichtigung der betroffenen Person über behördliche Zugriffe „möglich“ ist. Dabei sollte sie insbesondere Anforderungen an die Identifizierung der betroffenen Person für die Kontaktaufnahme stellen und bei bereits pseudonymisierten Daten in Erwägung ziehen, ob die Be-
97 98
Siehe 2. Kapitel dieser Arbeit. Jarass, GR-Ch., Art. 16 Rn. 10; Meyer/Hölscheidt/Bernsdorff, GR-Ch., Art. 16 Rn. 13.
218
5. Kap.: Legitimierungen von Datenübermittlungen in die USA
nachrichtigungspflicht nicht entfallen sollte, um den Behörden im Drittstaat eine Identitätsfeststellung nicht erst zu ermöglichen.99 (3) Verhältnismäßigkeit Das neue Mindestmaß an zusätzlichen Maßnahmen kann in Anbetracht des konkreten Risikos eines Behördenzugriffs die Grenze der Verhältnismäßigkeit im Einzelfall überschreiten. Dies kommt besonders bei Drittstaaten in Betracht, die im Gegensatz zu den USA kein Recht der nationalen Sicherheit aufweisen, das Bedenken hinsichtlich eines ausreichenden Schutzes bei einer Datenübermittlung aus der EU aufwirft. Die konkrete Bezeichnung aller künftigen Datenempfänger anstelle der Angabe der Kategorien von Datenempfängern ist ohne konkretes Risiko eines unzulässigen Datenzugriffs unverhältnismäßig. Diese Pflicht ist geeignet, einen Vertragsschluss zwischen den Beteiligten einer geplanten Datenübermittlung aufgrund der Offenlegung dieser für Unternehmen schützenswerten Informationen verhindern. Dabei handelt es sich zwar um eine Pflicht, die unabhängig von Behördenzugriffen in den neuen SCC verankert ist, allerdings dient sie der Bewertung eines potenziellen Zugriffs auf die Daten. Sie ist daher im Zusammenhang mit Verpflichtungen zu Behördenzugriffen zu sehen. Solche zusammenhängenden Pflichten sollten in den neuen SCC anhand des bestehenden Risikos eines unverhältnismäßigen Behördenzugriffs und nicht generell vorgeschrieben werden. ff) Klarstellungen zum Ausschluss der SCC auf das Marktortprinzip Die Tatsache, dass die EU-Kommission impliziert, dass Standardvertragsklauseln und das restliche fünfte Kapitel der DSGVO nicht auf Unternehmen im Drittstaat Anwendung finden, spricht mit dem in dieser Arbeit100 verfolgten Verständnis überein. Um Rechtslücken zu vermeiden, sollte die EU-Kommission klarstellen, dass die direkte Anwendung der DSGVO auf Unternehmen im Drittstaat aufgrund unmittelbarer Pflicht der Rechenschaftspflicht nicht zu einem niedrigeren Schutz führt.
II. Andere Übermittlungsgarantien Im fünften Kapitel sind neben den SCC weitere Garantien vorgesehen, die bei Datenübermittlungen in einen Drittstaat ohne Angemessenheitsentscheidung in Betracht kommen. Ihre Einhaltung dient der Gewährung eines angemessenen Datenschutzniveaus im Drittstaat.
99 Bitkom, Position Paper, Commission Implementing Decision on Standard Contractual Clauses for the Transfer of Personal Data to Third Countries, 09.12. 2020, S. 10. 100 Siehe 1. Kapitel dieser Arbeit.
A. Mechanismen zur Legitimierung von Datenübermittlungen
219
1. Angemessenheitsentscheidungen Die EU-Kommission könnte eine Angemessenheitsentscheidung mit Bezug auf das US-Recht erlassen. Dies kommt insbesondere für das neue kalifornische Recht, den CPRA, oder den Schutz von Daten Minderjähriger unter dem COPPA in Betracht. Abgesehen von einer begrenzten Angemessenheitsentscheidung könnte sie zudem die Angemessenheit des Datenschutzniveaus in den USA unter der Bedingung der Einhaltung weiterer Schutzmaßnahmen erklären. a) Drittes Datenschutzschild Nach der Schrems II-Entscheidung haben das US-Handelsministerium und die EU-Kommission Diskussionen eingeleitet, um das Potenzial eines verbesserten Abkommens zwischen der EU und den USA zu bewerten.101 Der EuGH hat in seinem Urteil zu Schrems II nicht die Ungeeignetheit von Angemessenheitsentscheidungen zu Datenübermittlungen von der EU in die USA erklärt, sondern die Unzulänglichkeit des Privacy Shield. Die Vereinbarung einer Angemessenheitsentscheidung mit Bezug auf die USA ist somit weiterhin möglich. Die offizielle gemeinsame Presseerklärung der EU und USA referiert ausdrücklich zu einem „verbesserten EU-US Privacy Shield“.102 Der Vorteil zu einem völlig neuen Abkommen ist, dass auf bereits gewonnenen Erkenntnissen aufgebaut werden kann. Da Privacy Shield von der Funktionsweise und den wesentlichen Datenschutzgrundsätzen auf seinen Vorgänger Safe Harbor beruht, können offizielle Stellungnahmen seit dem Jahr 2000 herangezogen werden, um Schutzdefizite auszugleichen.103 Dabei sollten die im vierten Kapitel festgestellten Defizite des Ombudsmechanismus Gegenstand von Verhandlungen um eine neue Angemessenheitsentscheidung sein. Der Schwerpunkt der Korrekturen sollte auf den vom EuGH gerügten Umständen104 der unzureichenden Befugnisse gegenüber den Nachrichtendiensten und der mangelnden Unabhängigkeit der Ombudsperson liegen. Im Bereich der nationalen Sicherheit sieht Privacy Shield Ausnahmen zugunsten der nationalen Sicherheit vor, deren Auslegung nach dem US-Recht erfolgt.105 In einem dritten Datenschutzschild müssen entsprechende Ausnahmen zugunsten der nationalen Sicherheit die in dieser Arbeit festgestellten Anforderungen berücksichtigen und insbesondere eine Abwägung der widerstreitenden Interessen vorse101 US-Handelsminister Ross/EU-Kommissar für Justiz Reynders, Gemeinsame Pressemitteilung, 10. August 2020. Abrufbar unter: https://ec.europa.eu/newsroom/just/item-detail. cfm?item_id=684836 und https://2017-2021.commerce.gov/news/press-releases/2020/08/jointpress-statement-us-secretary-commerce-wilbur-ross-and-european.html. 102 Ebda. 103 Vgl. für Privacy Shield: Ritzer, CB 2016, 364, 367. 104 EuGH, U. v. 16. 7. 2020 – C-311/18 =MMR 2020, 597, 607, Rn 195 f. 105 Artikel 29-Datenschutzgruppe, WP 238 S. 26; Molnar-Gabor/Kaffenberger, ZD 2017, 18, 19.
220
5. Kap.: Legitimierungen von Datenübermittlungen in die USA
hen. Ansonsten laufen Ausnahmen der Gefahr hinaus, die Interessen der US-Unternehmen automatisch stärker zu werten als das Recht des Einzelnen.106 Auch hinsichtlich der sonstigen auferlegten Pflichten im Privacy Shield besteht Verbesserungsbedarf, insbesondere im Hinblick auf eine vollständige Anpassung an die Grundsätze,107 Rechte und Pflichten der DSGVO.108 Ein drittes Datenschutzschild ist trotz notwendiger Änderungen besonders für die US-Unternehmen, die bereits am Privacy Shield teilnehmen, von Interesse, weil das für die Überwachung zuständige US-Handelsministerium die fortlaufende Verwaltung des Privacy Shield Programms zugesagt hat.109 Somit sind teilnehmende Unternehmen in den USA weiterhin verpflichtet, die Verarbeitungsbedingungen aus dem Privacy Shield zu erfüllen. Unternehmen können zwar jederzeit ihre Selbstbindung widerrufen, allerdings müssen die Anforderungen in Bezug auf bereits erhaltene Daten unter dem Privacy Shield weiterhin erfüllt werden.110 Die für die Durchsetzung des Privacy Shield zuständige FTC hat ihre entsprechende Erwartungshaltung an die Befolgung bestehender Pflichten durch Unternehmen kundgetan.111 b) Selbstzertifizierung und Durchsetzung durch die FTC Im Privacy Shield wurde das System der Selbstzertifizierung aus Safe Harbor übernommen. Dies bedeutet, dass Privacy Shield nicht automatisch für US-amerikanische Unternehmen gilt, die Daten aus der EU empfangen. Stattdessen erlangt Privacy Shield für solche Unternehmen in den USA Geltung, die sich freiwillig zur Einhaltung der Datenschutzgrundsätze verpflichtet haben.112 Im Zusammenhang mit biometrischen Daten wurde bereits die Schwierigkeit der Durchsetzung selbstzertifizierter Maßnahmen erörtert. Da es sich nicht um allgemein verbindliches Recht handelt, steht im Ermessen der FTC, ob sie die Befolgung der
106
18, 19.
Artikel 29-Datenschutzgruppe, WP 238 S. 26; Molnar-Gabor/Kaffenberger, ZD 2017,
107 Die Datenschutzgrundsätze sehen beispielsweise die Verhältnismäßigkeit nicht vor und die Erforderlichkeit nur in der Zweckbindung, vgl. Privacy Shield Anhang 2 II. 5 lit. b. 108 Börding, CR 2016, 431; 440.; Weichert, Privacy Shield – Darstellung und rechtliche Bewertung, S.27. 109 US-Handelsministerium, Privacy Shield Programm Overview, https://www.privacys hield.gov/Program-Overview. 110 US-Handelsministerium, FAQs – EU-U.S. Privacy Shield Program Update vom 20. August 2020. Abrufbar unter: https://www.privacyshield.gov/article?id=EU-U-S-PrivacyShield-Program-Update. 111 FTC, Update on the Privacy Shield Framework, https://www.ftc.gov/tips-advice/busi ness-center/privacy-and-security/privacy-shield. 112 Privacy Shield EG 19; Privacy Shield, Anhang II, Grundsätze des EU-US-Datenschutzschilds vorgelegt vom Amerikanischen Handelsministerium.
A. Mechanismen zur Legitimierung von Datenübermittlungen
221
selbstauferlegten Pflichten durchführt.113 Für Privacy Shield hat sich die FTC dazu verpflichtet, die Durchsetzung strikter zu verfolgen als bei Safe Harbour.114 Ohne eine Verpflichtung zur ernsthaften Überprüfung von Anfragen zur Durchsetzung kann eine Angemessenheit nicht angenommen werden. Zu diesem Zweck könnte zwischen der EU und der USA in einer Angemessenheitsentscheidung ausgehandelt werden, wie viele Ressourcen pro Beschwerde aus der EU mindestens eingesetzt werden sollen. Dabei sollte sich die Vereinbarung im Einklang mit der DSGVO115 auf personelle, technische und finanzielle Ressourcen erstrecken. In Anbetracht der Ernennung des neuen FTC-Vorsitzes bleibt jedoch abzuwarten, ob eine entsprechende Einigung zwischen der EU und den USA noch notwendig sein wird.116 Eine vom FTC-Vorsitz erstrebte generelle Erhöhung der verfügbaren Ressourcen würde sich positiv auf die Behandlung von Beschwerden aus der EU auswirken. 2. SCC von Aufsichtsbehörden Die Möglichkeit, SCC zu erlassen, ist nicht nur der EU-Kommission vorbehalten.117 Die nationalen Aufsichtsbehörden können eigene SCC entwerfen, die allerdings im Anschluss von der EU-Kommission genehmigt werden müssen. Zuvor muss der Entwurf dem europäischen Datenschutzausschuss zur Stellungnahme vorgelegt werden.118 Dessen Einbindung fördert die Einhaltung des datenschutzrechtlichen Schwerpunktes, um tatsächlich ein angemessenes Datenschutzniveau durch die vorgesehenen Pflichten herzustellen.119 Die nationalen Aufsichtsbehörden können ihre eigenen SCC auf bestimmte Kategorien von Daten, Zwecke oder Beteiligte an Datenübermittlungen ausrichten. Durch die spezifischeren Rahmenbedingungen sind die SCC von Aufsichtsbehörden geeignet, einen auf den Einzelfall besser angepassten und somit verhältnismäßigeren Schutz als bei der Verwendung der SCC von der EU-Kommission herzustellen. Daher sind SCC von nationalen Aufsichtsbehörden besonders geeignet, im Einklang mit der Rechtsprechung des EuGH zu Schrems II, Schutzmaßnahmen in Anbetracht möglicher behördlicher Zugriffe in den USA vorzunehmen. In diesem Rahmen können sie sich auf Übermittlungen beziehen, die nicht direkt vom Anwendungsbereich von US-amerikanischen Überwachungsgesetzen wie Sec. 702 oder EO12333 erfasst sind. In Betracht kommen SCC, die nicht auf die Übermittlung von Daten ausgerichtet sind, die im Zusammenhang mit der elektronischen Kommuni-
113 114 115 116 117 118 119
Räther/Seitz, MMR 2002, 425, 430. Determann/Weigl, EUZW 2016, 811. 816. Art. 52 Abs. 4 DSGVO. Siehe 4. Kapitel dieser Arbeit. Art. 46 Abs. 1 lit. d DGVO. Art. 64 Abs. 1 lit. d DSGVO. Vgl. Botta, CR 2020, 505, 511.
222
5. Kap.: Legitimierungen von Datenübermittlungen in die USA
kation oder ihren Anbietern stehen.120 Da die SCC der nationalen Aufsichtsbehörden den „gleichen Rang“121 wie die SCC von der EU-Kommission genießen, sollte diese Möglichkeit in Anspruch genommen werden, um den derzeitigen Mangel an rechtssicheren Mitteln für Datenübermittlungen in die USA zu kompensieren. 3. Binding Corporate Rules Eine weitere Übermittlungsgarantie stellt die Vereinbarung der Binding Corporate Rules,122 abgekürzt BCR, dar.123 Die BCR können Datenübermittlungen in Drittstaaten innerhalb einer Unternehmensgruppe legitimieren. Sie benötigen eine einmalige Genehmigung der zuständigen Aufsichtsbehörde. Anschließend können Datenübermittlung aus der EU in Drittstaaten innerhalb der Unternehmensgruppe genehmigungsfrei erfolgen. Die DSGVO schreibt einen Mindestinhalt zu Rechten der betroffenen Person und Pflichten der Mitglieder des Unternehmens vor, um die Einhaltung ihrer allgemeinen Datenschutzgrundsätze im Drittstaat zu wahren.124 Dabei wird ein besonderer Fokus auf die Durchsetzung und Effektivierung von Rechten und Pflichten gelegt. Besonders die unternehmensinterne Überprüfung der Pflichtbefolgung und die Zusammenarbeit mit der Aufsichtsbehörde müssen in den BCR beschrieben werden.125 Ihre Verwendung zieht den Vorteil mit sich, dass sie, basierend auf den vorgesehenen Mindestanforderungen, für Unternehmen individuell gestaltbar sind.126 Der europäische Datenschutzausschuss hat bestätigt, dass die BCR auch nach der Schrems II-Entscheidung weiterhin genutzt werden können und die Vornahme „zusätzlicher Maßnahmen“ von den konkreten Umständen der Datenübermittlungen bedingt ist.127 Aufgrund der inter-partes Wirkung von BCR müssen zusätzliche Maßnahmen für Datenübermittlungen in die USA in Anbetracht der mangelnden Bindung der USamerikanischen Sicherheitsbehörden ergriffen werden. BCR sind besonders geeignet, Mitarbeiter in einem Unternehmenskonzern für die Voraussetzungen rechtmäßiger Behördenanfragen auf personenbezogene Daten zu sensibilisieren und interne 120 Siehe zum Anwendungsbereich der Überwachungsgesetze in den USA Kapitel 4 Teil 2 dieser Arbeit. 121 Kühling/Buchner/Schröder, DSGVO, Art. 46 Rn. 23. 122 Dt. Version: Verbindliche interne Datenschutzvorschriften. 123 Art. 46 Abs. 2 lit. b, Art. 47 DSGVO. 124 Art. 47 Abs. 2 DSGVO. 125 Art. 47 Abs. 2 lit. i-n. 126 Ritzer, CB 2016, 364, 365. 127 Europäischer Datenschutzausschuss, FAQ on the judgment of the Court of Justice of the European Union in Case C-311/18 – Data Protection Commissioner v Facebook Ireland Ltd and Maximillian Schrems, 23.07.20, S. 3 Frage 6: https://www.europarl.europa.eu/meetdocs/2 014_2019/plmrep/COMMITTEES/LIBE/DV/2020/09-02/EDPB_FAQs_EN.pdf.
A. Mechanismen zur Legitimierung von Datenübermittlungen
223
Kontaktstellen und Handlungspflichten für den Fall des Eintritts einer Behördenanfrage festzulegen. Zudem können interne Überwachungen der Einhaltung der Pflichten der BCR geeignet sein, die unzulässige Zusammenarbeit von Mitarbeitern mit den Nachrichtendiensten schnell aufzudecken. Das Risiko eines behördlichen Zugriffs auf die Daten kann eingegrenzt werden, da die Kategorien personenbezogener Daten für das Genehmigungsverfahren festgelegt werden müssen und der Adressatenkreis begrenzt ist.128 Aufgrund dieser Umstände sind die BCR geeignet, ein höheres Schutzniveau als die SCC der EU-Kommission zu bieten.129 Der große Nachteil an den BCR ist hingegen, dass ihr Genehmigungsverfahren zeitaufwändig ist sowie besonders für kleinere Unternehmen anspruchsvoll und in Anbetracht der erforderlichen rechtlichen Unterstützung kostspielig sein kann.130 4. Weitere Übermittlungsgarantien Die DSGVO sieht weitere Garantien für die Rechtfertigung von Datenübermittlungen vor, auf die in der Praxis nur selten oder gar nicht abgestellt wird. Darunter fallen Verhaltensregeln (Codes of Conduct)131 für bestimmte Branchen und Zertifizierungsverfahren132. Diese Garantien müssen einmalig von Aufsichtsbehörden oder akkreditierten Stellen genehmigt werden.133 Anschließende Datenübermittlungen erfolgen genehmigungsfrei. Codes of Conduct und Zertifizierungen durch eine Selbstverpflichtung wie bei Privacy Shield sind in den USA üblich. Ihre Verwendung muss allerdings weiterhin sicherstellen, dass ein angemessenes Datenschutzniveau besteht. Besonders Codes of Conduct sind geeignet, einen darüberhinausgehenden Schutz zu bieten, wenn es die betreffende Branche erfordert und dies der bestehende Standard ist. 134 Zudem benennt die DSGVO weitere Mechanismen, bei denen Übermittlungen allerdings weiterhin von der zuständigen Aufsichtsbehörde zu genehmigen sind, wie beispielsweise individuelle Vertragsklauseln.135 Diese Übermittlungsgarantien sind nicht abschließend.136 Die Berufung auf diese Übermittlungsgarantien könnte eine neue Chance für Unternehmen darstellen, die personenbezogene Daten in die USA übermitteln 128
Moos/Rothkegel, Anm. zu EuGH U.v. 16. 07. 2020 – C-311/18, ZD 2020, 511, 526. Ebda. 130 Wybitul/Ströbel/Ruess, ZD 2017, 503, 506. 131 Art. 46 Abs. 2 lit. e, 40 DSGVO. 132 Art. 42 Abs. 2 it. f DSGVO 133 Kühling/Buchner/Schröder, DSGVO, Art. 46 Rn. 37. 134 Vgl. Bitkom, Verarbeitung personenbezogener Daten in Drittländern, Version 1.2, September 2017, 4.6.1.3. Abrufbar unter: https://files.vogel.de/vogelonline/vogelonline/files/ 9604.pdf. 135 Paal/Pauly Art. 46 Rn. 44. 136 Vgl. „insbesondere“; Paal/Pauly Art. 46 Rn. 44. 129
224
5. Kap.: Legitimierungen von Datenübermittlungen in die USA
wollen, da sie wie die BCR einen begrenzten Anwendungsbereich haben und ihre konkreten Risiken für die Rechte der betroffenen Person im Vergleich mit den allgemeinen SCC absehbarer sind. Gleichzeitig besteht die Gefahr, dass ihre Verwendung aufgrund der nichtvorhandenen Erfahrung in der Praxis kein angemessenes Datenschutzniveau gewährleisten. Dies gilt insbesondere für die vom EuGH klargestellten hohen Anforderungen an Datenübermittlungen in die USA. Aufgrund der Rechtsnatur dieser Verträge und Zusicherungen können diese Übermittlungsgarantien naturgemäß Behörden in den USA nicht binden.137 5. Durchsetzbare Rechte und wirksame Rechtsbehelfe Bei allen Übermittlungsgarantien sieht die DSGVO ausdrücklich vor, dass der betroffenen Person durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen sollen.138 Diese müssen gleichwertig zur DSGVO sein, da Übermittlungsgarantien den Zweck verfolgen, ein angemessenes Datenschutzniveau zu gewährleisten.139 Die Einräumung entsprechender Rechte und Rechtsbehelfe kann durch einen Vertrag des Unternehmens im Drittstaat mit dem Datenexporteur der EU als Vertrag zugunsten Dritter erfolgen oder für den Fall der BCR, in einem Vertrag zwischen mehreren datentransferierenden Unternehmen einer Gruppe mit ausdrücklicher Drittbegünstigung.140 Diese Gewährleistungen können theoretisch ebenso in einem Vertrag zwischen einem Unternehmen im Drittstaat und der Aufsichtsbehörde in der EU vereinbart werden.141 Zudem könnte sich das Unternehmen im Drittstaat einseitig zur Erfüllung dieser Pflichten verpflichten, etwa durch die Übernahme einer Garantie.142 Der europäische Datenschutzausschuss hat sich im Einklang mit der DSGVO143 für die Gewährung eines Wahlrechts der betroffenen Person ausgesprochen, das sich darauf bezieht, bei welcher in Betracht kommenden Aufsichtsbehörde in der EU sie Beschwerde einlegen oder vor welchem Gericht sie klagen will.144 Die Durchsetzung von vertraglichen oder anderen Pflichten nach dem EU-Recht gegenüber Unternehmen in Drittstaaten könnte die Souveränität des Drittstaates 137
Europäischer Datenschutzausschuss, Recommendations 01/2020 Rn. 61. Art. 46 Abs. 1 DSGVO. 139 Simitis, BDSG § 4 b Rn. 52. a. A. Simitis/Hornung/Spiecker/Schantz, DSGVO Art. 46 Rn. 7; Sydow/Towfigh/Ulrich Art. 46 Rn. 15; Tinnefeld/Buchner/Petri/Hof S. 286. 140 Artikel 29-Datenschutzgruppe, WP 256, S. 7; Simitis/Hornung/Spiecker/Schantz, DSGVO, Art. 46 Rn. 8 ff. 141 Artikel 29-Datenschutzgruppe, WP 256, S. 7; Simitis/Hornung/Spiecker/Schantz, DSGVO, Art. 46 Rn. 8 ff. 142 Artikel 29-Datenschutzgruppe, WP 256, S. 7; Simitis/Hornung/Spiecker/Schantz, DSGVO, Art. 46 Rn. 8 ff. 143 Art. 77 Abs. 1, 79 DSGVO. 144 Artikel 29-Datenschutzgruppe, WP 256, S. 3. 138
A. Mechanismen zur Legitimierung von Datenübermittlungen
225
tangieren. Die Souveränität eines Staates betrifft die umfassende und selbstbestimmte Hoheitsgewalt nach innen und außen.145 Konkurrierende fremde Gewalten auf dem eigenen Staatsgebiet widersprechen dem.146 Daher tangiert eine selbstständige Durchsetzung des EU-Rechts durch die EU-Aufsichtsbehörden in den USA ihre Souveränität. Um diese zu wahren, muss die Zustimmung der USA zur Durchsetzung erteilt werden.147 Vor diesem Hintergrund ist die im Privacy Shield erteilte Zusage der FTC, Verstöße gegen dieses Abkommen eigenständig durchzusetzen, umso bedeutsamer. Denn in jedem Fall der Durchsetzung europäischer Garantien in einem fremden Staat ist ein Austausch mit den lokalen Behörden im Drittstaat erforderlich. Eine ausgehandelte Durchsetzung europäischer Datenschutzgrundsätze in den USA durch die FTC ist gegenüber der Erlangung von Einzelgenehmigungen der eigenen Durchsetzung durch die europäischen Aufsichtsbehörden effektiver.
III. Ausnahmen im fünften Kapitel Liegen die Voraussetzungen einer einschlägigen Übermittlungsgarantie nicht vor, darf eine Datenübermittlung in die USA nur erfolgen, wenn sie auf einen Ausnahmetatbestand nach Artikel 49 DSGVO gestützt werden kann. Ansonsten muss die Datenübermittlung unterbleiben. Es ist zu beachten, dass die Ausnahmen zum angemessenen Datenschutzniveau keine Ausnahmen von der Geltung und Achtung des Grundrechts auf Datenschutz begründen.148 Im Einklang mit dem in der Union vorhandenen Grundsatz der praktischen Wirkung („effet-utile“) muss das Datenschutzrecht weit verstanden werden, mit der Konsequenz, dass Ausnahmen nur in absoluten Ausnahmefällen gestattet sein dürfen.149 1. Ausnahmetatbestände zugunsten öffentlicher Interessen a) Schutz lebenswichtiger Interessen Die Möglichkeit, Ausnahmetatbestände gemäß Artikel 49 DSGVO in Anspruch zu nehmen, wurde in dieser Arbeit bereits im Zusammenhang mit Anfragen von Behörden unter dem US-amerikanischen CLOUD-Act, der sich auf eine generelle Zugriffsmöglichkeit auf in anderen Staaten gespeicherte personenbezogene Daten bezieht, erwähnt.150 Nach Auffassung des europäischen Datenschutzausschusses 145 146 147
763. 148 149 150
Herdegen, In: Kühnhardt/Mayer, S. 1259. Herdegen, In: Kühnhardt/Mayer, S. 1259. Simitis/Hornung/Spiecker/Schantz, DSGVO Art. 46 Rn. 14; Ellger, RabelsZ, 1996, 738, Artikel 29-Datenschutzgruppe, WP 114 S. 11. Vgl. Artikel 29-Datenschutzgruppe, WP 114 S. 9. Siehe Kapitel 4 Teil 2 dieser Arbeit.
226
5. Kap.: Legitimierungen von Datenübermittlungen in die USA
kommt für die Beantwortung einer Zugriffsanfrage unter dem CLOUD-Act zum derzeitigen Zeitpunkt151 lediglich eine Datenübermittlung von der EU in die USA zum „Schutz lebenswichtiger Interessen“152 in Betracht.153 Anwendungsfälle unter diesem Ausnahmetatbestand sind auf die strenge Voraussetzung beschränkt, dass „die betroffene Person aus physischen oder rechtlichen Gründen außerstande ist, ihre Einwilligung zu geben“.154 Das Bestehen eines formalen Zugriffsanfrage kann eine Datenübermittlung nach diesem Ausnahmetatbestand nur rechtfertigen, wenn weiterhin lebenswichtige Interessen einer anderen Person durch die Datenübermittlung verfolgt werden. b) Öffentliches Interesse in der EU Sind US-amerikanische Unternehmen in der EU nach dem Recht ihres Mutterkonzerns zur Herausgabe personenbezogener Daten verpflichtet, scheidet der Ausnahmetatbestand, der eine Übermittlung in einen Drittstaat „aus wichtigen Gründen des öffentlichen Interesses“155 legitimiert, ohne ein internationales Abkommen zwischen der EU und den USA aus.156 Denn dieser Ausnahmetatbestand setzt ein gesetzlich verankertes, konkretes öffentliches Interesse der EU oder eines Mitgliedstaats an der Übermittlung voraus.157 Daher reicht es nicht aus, wenn eine Datenübermittlung in einen Drittstaat einer Ermittlung dient, die wiederum einen abstrakten Zweck verfolgt, der als Interesse der EU gesetzlich anerkannt ist.158 Setzt die Erfüllung einer völkerrechtlichen Verpflichtung eines Mitgliedstaats oder der EU eine Datenübermittlung voraus, könnte die Übermittlung ihren gesetzlichen Interessen dienen.159
151 Europäischer Datenschutzausschuss/Europäischer Datenschutzbeauftragter, Annex: Initial legal assessment of the impact of the US CLOUD Act, S. 7 f. 152 Art. 49 Abs. 1 lit. f DSGVO. 153 Europäischer Datenschutzausschuss/Europäischer Datenschutzbeauftragter, Annex: Initial legal assessment of the impact of the US CLOUD Act, S. 8. 154 Art. 49 Abs. 1 lit. f DSGVO. 155 Art. 49 Abs. 1 lit. d DSGVO. 156 Europäischer Datenschutzausschuss/Europäischer Datenschutzbeauftragter, Annex: Initial legal assessment of the impact of the US CLOUD Act, S. 6. 157 Art. 6 Abs. 3 DSGVO; vgl. Europäischer Datenschutzausschuss/Europäischer Datenschutzbeauftragter, Annex: Initial legal assessment of the impact of the US CLOUD Act, S. 4, 5. 158 Europäischer Datenschutzausschuss/Europäischer Datenschutzbeauftragter, Annex: Initial legal assessment of the impact of the US CLOUD Act, S. 6. 159 Vgl. Art. 216 Abs. 2 AEUV; vgl. für Deutschland: Art. 25 GG.
A. Mechanismen zur Legitimierung von Datenübermittlungen
227
aa) Keine Pflichten im Umbrella-Agreement Das bereits erörterte Umbrella Agreement,160 auch DPPA genannt, legt Rahmenbedingungen für Datenübermittlungen von europäischen Strafverfolgungsbehörden in die USA fest. Das Umbrella Agreement enthält allerdings keine Verpflichtungen oder Befugnisse zu Datenübermittlungen. Somit kann das Umbrella Agreement kein öffentliches Interesse an der Datenübermittlung begründen.161 bb) Kein öffentliches Interesse durch PNR-Abkommen Die USA hat mit der EU ein Abkommen über die Übermittlung von Fluggastdatensätzen abgeschlossen, sog. PNR-Abkommen.162 Demnach dürfen die von Fluggesellschaften erhobenen personenbezogenen Daten an Behörden in Drittländern zum Zwecke der öffentlichen Sicherheit und Bekämpfung von Terrorismus und schwerer Kriminalität nach einer individuellen Bewertung der Notwendigkeit der konkreten Übermittlung für die Erreichung dieses Zwecks übermittelt werden.163 Somit könnten im Einzelfall personenbezogene Daten, die für die Erfüllung der Pflichten des PNR-Abkommens angefragt werden, ein öffentliches Interesse an der Übermittlung nach Artikel 49 Abs. 1 lit. d DSGVO begründen. Da die DSGVO allerdings nicht für Datenübermittlungen zum Zweck der nationalen Sicherheit und der gemeinsamen Außen- und Sicherheitspolitik gilt,164 stellt sich die Frage, ob die Erfüllung der vertraglichen Verpflichtung ausreicht, um ein konkretes öffentliches Interesse der EU an dieser Datenübermittlung zu begründen. Die EU hat eine eigene Richtlinie über die unionsinterne Verwendung von Fluggastdatensätzen „zur Verhütung, Aufdeckung, Ermittlung und Verfolgung von terroristischen Straftaten und schwerer Kriminalität“ erlassen, in der ein Informationsaustausch zwischen den Mitgliedstaaten vorgeschrieben ist.165 Dies könnte dafürsprechen, ein eigenes in der Union verankertes Interesse an der Übermittlung von Fluggastdatensätzen zugunsten dieser Zwecke zu bejahen. Der europäische Datenschutzausschuss hat bisher einen restriktiven Ansatz der Auslegung des „wichtigen öffentlichen Interesses“ gemäß Artikel 49 Absatz 1 lit. d DSGVO verfolgt und die Erfassung der Pflichten unter dem PNR ausdrücklich abgelehnt.166 Die Notwendigkeit der Übermittlung sei nicht nachgewiesen. In diese Richtung weisend hat der EuGH ein entsprechendes Abkommen zwischen der EU 160
Siehe 4. Kapitel dieser Arbeit. Europäischer Datenschutzausschuss/Europäischer Datenschutzbeauftragter, Annex: Initial legal assessment of the impact of the US CLOUD Act, S. 3. 162 EU-Kommission, Entscheidung vom 11. August 2012, ABl. EU 2004 L 235, 11. 163 Agentur der EU für Grundrechte und Europarat, Handbuch zum europäischen Datenschutzrecht, Ausgabe 2018, S. 318, 319. 164 DSGVO EG 18. 165 Art. 9 RL 2016/681/EU. 166 Artikel 29-Datenschutzgruppe, WP 114. 161
228
5. Kap.: Legitimierungen von Datenübermittlungen in die USA
und Kanada für ungültig erklärt.167 Er hegte Zweifel an der Zweckdienlichkeit der systematischen Erfassung aller Fluggäste und ihrer Gewohnheiten für die Bekämpfung von Terrorismus.168 Aufgrund der Erfassung sensibler personenbezogener Daten und einer generellen erlaubten Speicherung von fünf Jahren nach Erhalt der Daten, bewertete der EuGH das PCR-Abkommen als nicht auf das „absolut Notwendige“ beschränkt.169 Die gerügten Inhalte des PNR-Abkommens demonstrieren, dass eine Datenübermittlung zur Erfüllung der Pflichten dieses Abkommens nicht die Anforderungen an eine Ausnahmeregelung, die Artikel 49 DSGVO zum angemessenen Datenschutzniveau darstellt, erfüllt. Undifferenzierte Regeln, die bereits von ihrem Anwendungsbereich darauf ausgerichtet sind, breitflächige Datenübermittlungen zu erlauben, können nicht die Anforderungen an eine Ausnahmeregelung erfüllen. Im Einklang mit der Rechtsprechung des EuGH müssen Ausnahmen vom Grundrechteschutz auf das „absolut Notwendige“ beschränkt sein und bereits gesetzlich in der Art gestaltet sein, dass ihre von Einzelfällen abgesehene Inanspruchnahme nicht möglich ist. Erfüllungen der Pflichten des PNR-Abkommen können somit kein wichtiges öffentliches Interesse im Sinne von Artikel 49 Absatz 1 lit. d DSGVO begründen. cc) Kein öffentliches Interesse durch SWIFT-Abkommen Die EU hat ein Abkommen mit den USA vereinbart, das sich auf die Übermittlung von Zahlungsverkehrsdaten für die Zwecke des Programms zum Aufspüren der Finanzierung des Terrorismus bezieht.170 Das Abkommen ermächtigt die in Belgien ansässige Organisation „SWIFT“ personenbezogene Daten an das US-Finanzministerium zu übermitteln, wenn die in dem Abkommen festgelegten Kriterien erfüllt und Europol dies genehmigt hat.171 Dieses Abkommen sieht wie das PNR-Abkommen eine einseitige Verpflichtung der EU zur Übermittlung der personenbezogenen Daten vor.172 Ein Abkommen, das lediglich eine unilaterale Verpflichtung enthält, sollte nach Auffassung des europäischen Datenschutzausschusses kein öffentliches Interesse im Sinne von Artikel 49 Abs. 1 lit. d DSGVO begründen.173 Denn „jede andere Auslegung würde es einer ausländischen Behörde leicht machen, die Anforderung [des angemessenen Datenschutzniveaus] zu umgehen“. Um den 167
EuGH, Gutachten vom 26. 07. 2017 – 1/15 =ZD 2018, 23. EuGH, Gutachten vom 26. 07. 2017 – 1/15 =ZD 2018, 23, 30 Rn. 125 ff. 169 EuGH, Gutachten vom 26. 07. 2017 – 1/15 =ZD 2018, 23, 29 Rn. 140 ff. 170 EU-Rat, Beschluss v. 13. Juli 2010 über den Abschluss des Abkommens zwischen der Europäischen Union und den Vereinigten Staaten von Amerika über die Verarbeitung von Zahlungsverkehrsdaten und deren Übermittlung aus der Europäischen Union an die Vereinigten Staaten für die Zwecke des Programms zum Aufspüren der Finanzierung des Terrorismus (2010/412/EU), ABl. 2010 L195. 171 Agentur der EU für Grundrechte und Europarat, Handbuch zum europäischen Datenschutzrecht, Ausgabe 2018, S. 321. 172 Vgl. Art. 3 SWIFT-Abkommen. 173 Artikel 29-Datenschutzgruppe, WP 114, 17, WP 128, 25. 168
A. Mechanismen zur Legitimierung von Datenübermittlungen
229
Anforderungen eines Ausnahmetatbestandes vom angemessenen Datenschutzniveau, das einen hohen Grundrechteschutz in Drittstaaten anstrebt, gerecht zu werden, sollten erhöhte Anforderungen an die Pflichten gestellt werden, die ein öffentliches Interesse begründen können. Die unilaterale Verpflichtung des SWIFT-Abkommen suggeriert, dass das öffentliche Interesse der USA jenes der EU übersteigt. Unter dieser Voraussetzung sollten Datenübermittlungen in einen Drittstaat, nicht unter der Berufung auf einer Ausnahme legitimiert werden, die dazu führt, dass keine Mindeststandards der Unionsgrundrechte gefordert werden. Eine Erfüllung der im SWIFT-Abkommen enthaltenen Pflichten begründet kein wichtiges öffentliches Interesse der EU im Sinne des fünften Kapitels der DSGVO. dd) Zwischenergebnis Der Ausnahmetatbestand zugunsten eines wichtigen Interesses ist eng auszulegen. Vor dem Hintergrund, dass in den USA der anzuwendende Schutz bei Datenverarbeitungen durch Behörden im Regelfall von der US-amerikanischen Staatsangehörigkeit und dem legalen Wohnsitz in den USA abhängt,174 ist aufgrund des möglichen Totalverlusts an Schutzmaßnahmen gründlich zu prüfen, ob die Datenübermittlung auf Einzelfälle konzipiert wurde und zusätzlich ein Schwerpunkt auf das Vorhandensein tatsächlicher konkreter europäischer Interessen gelegt wird. Letzteres wird durch multilaterale Datenherausgabepflichten indiziert. c) Erforderlichkeit von Rechtsansprüchen Datenübermittlungen in die USA kommen zudem ausnahmsweise dann in Betracht, wenn sie für die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich sind.175 Dadurch können auch direkte Datenübermittlungen an US-Behörden gerechtfertigt sein, wenn sie einem konkreten Verfahren in den USA dienen.176 Die bloße Möglichkeit, dass in Zukunft ein Verfahren eingeleitet wird, reicht nicht aus.177 Der Tatbestand kann somit unabhängig von einem bestehenden Rechtsmittelhilfeabkommen in Anspruch genommen werden,178 wenn ein „enger Zusammenhang“179 zwischen der Datenübermittlung und einem in den USA bestehenden Fall besteht.180 Die pauschale Anfrage von personenbezogenen 174
Siehe 4. Kapitel dieser Arbeit. Art. 49 Abs. 1 lit. e DSGVO. 176 Europäischer Datenschutzausschuss/Europäischer Datenschutzbeauftragter, Annex: Initial legal assessment of the impact of the US CLOUD Act, S. 6 f. 177 Ebda. 178 Vgl. Europäischer Datenschutzausschuss, Leitlinien 2/18, S. 13. 179 Ebda: „close link“. 180 Europäischer Datenschutzausschuss/Europäischer Datenschutzbeauftragter, Annex: Initial legal assessment of the impact of the US CLOUD Act, S. 6 f. 175
230
5. Kap.: Legitimierungen von Datenübermittlungen in die USA
Daten, die sich auf einen großen Kreis betroffener Personen bezieht, kann somit nicht unter diesen Ausnahmetatbestand fallen. d) Wahrung zwingender berechtigter Interessen In Artikel 49 DSGVO ist eine weitere Ausnahme für den Fall vorgesehen, dass weder die anderen Übermittlungsgarantien noch die anderen Ausnahmen einschlägig sind. Die Ausnahme setzt voraus, dass die Übermittlung nicht wiederholt erfolgt und nur eine begrenzte Zahl von Personen von den übermittelten Daten erfasst sind. Zudem muss die Übermittlung für die „Wahrung der zwingenden berechtigten Interessen des Verantwortlichen“ erforderlich sein. Behördenanfragen an Cloudanbieter, die personenbezogene Daten im Rahmen dieser Dienstleistung für die betroffene Person und somit als Auftragsverarbeiter verarbeiten, verfolgen bei der Beantwortung von Behördenfragen grundsätzlich keine Interessen „des Verantwortlichen“.181 Daher können sich überwiegend Cloudnutzer auf diese Ausnahme berufen und nicht deren Anbieter.182 Für die Feststellung der zwingenden berechtigten Interessen des Verantwortlichen muss eine Abwägung aller Umstände im Einzelfall erfolgen, die zu dem Ergebnis kommt, dass die Interessen oder Rechte der betroffenen Person nicht überwiegen. Auf Grundlage der Abwägung sollen „geeignete Garantien“ für den Schutz des Betroffenen vorgenommen werden. Im Gegensatz zu den anderen Ausnahmen muss zudem sowohl die Aufsichtsbehörde von der Übermittlung in Kenntnis gesetzt als auch die betroffene Person von den zwingenden berechtigten Interessen informiert werden. Eine Berufung auf diese Ausnahme stellt eine „Ausnahme unter den Ausnahmen“183 dar und erfordert somit einen noch strengeren Maßstab bei der Auslegung.184 Der europäische Datenschutzausschuss sieht diese Ausnahme nicht für die Beantwortung von Behördenanfragen geeignet, da die Benachrichtigungspflicht den üblichen Geheimhaltungspflichten in den USA widerspricht und somit eine Untersuchung gefährden würde.185 Zwar sind die in den gag-ordern enthaltenen Geheimhaltungspflichten seit Eintritt des Freedom of Information Act in den USA auf die Notwendigkeit ihres Fortbestands zu prüfen,186 allerdings kann eine nachträgliche Informierung der Beteiligten, die im Zweifel erst nach Abschluss der Ermittlungen erfolgt, den Anforderungen von Artikel 49 DSGVO gerecht werden. Eine nachträgliche Informierung der Aufsichtsbehörde über die zwingenden Interessen 181 Europäischer Datenschutzausschuss, 2/2018, S. 15; Jotzo, Der Schutz personenbezogener Daten in der Cloud, Teil 5, Rn. 343; vgl. Gola/Klug, DSGVO, Art. 49 Rn. 12; Kühling/ Buchner/Schröder, DSGVO, Art. 49 Rn. 43. 182 Jotzo, Der Schutz personenbezogener Daten in der Cloud, Teil 5, Rn. 343. 183 Schantz, DSGVO, Art. 49 Rn. 52; Spoerr/BeckOK, Syst J., Rn. 288. 184 Spoerr/BeckOK, Syst J., Rn. 288. 185 Europäischer Datenschutzausschuss/Europäischer Datenschutzbeauftragter, ANNEX, Initial legal assessment of the impact of the US CLOUD Act, S. 7. 186 Siehe 4. Kapitel dieserArbeit.
A. Mechanismen zur Legitimierung von Datenübermittlungen
231
verfehlt den Zweck der Mitteilung, im Bedarfsfall die Datenübermittlung zu verhindern.187 Nach Auffassung des europäischen Datenschutzausschusses sei es zudem in der Praxis nicht umsetzbar, die datenerfragende Behörde in den USA zu „geeigneten Schutzmaßnahmen“ zu bewegen.188 Eine Datenübermittlung an Behörden, die auf den Ausnahmetatbestand der zwingenden Interessen beruht, kommt also nur in absoluten Ausnahmefällen in Betracht, in denen die Interessen des Verantwortlichen nach erfolgter Abwägung überwiegen, eine gag-order nicht vorhanden ist oder sich nicht auf europäische Aufsichtsbehörden beziehen und das anwendbare Recht in den USA der betroffenen Personen einen den Umständen entsprechenden hinreichenden Schutz bietet. 2. Ausnahmetatbestände zugunsten der Privatautonomie a) Einwilligung Ein weiterer Ausnahmetatbestand, auf den sich Datenübermittlungen in einen Drittstaat stützen können, liegt in der ausdrücklichen Einwilligung der betroffenen Person.189 Die Voraussetzungen richten sich nach den Anforderungen an Einwilligungen in Verarbeitungen von besonders schutzbedürftigen Daten in der DSGVO,190 die ein höheres Risiko für die betroffenen Personen darstellen und deshalb ebenso eine ausdrückliche Einwilligung mit detaillierter expliziter Angabe über die konkreten Umstände des Einzelfalls verlangen.191 Besonders hervorzuheben ist für Datenübermittlungen in die USA die Anforderung, dass betroffene Personen zuvor über die für sie bestehenden Risiken der Datenübermittlungen in einen Drittstaat ohne Gewährleistung eines angemessenen Datenschutzniveaus, einschließlich der mangelnden Durchsetzbarkeit von Betroffenenrechten, unterrichtet werden muss.192 Werden diese Voraussetzungen eingehalten, kann die Einwilligung auch für eine Reihe von Datenübermittlungen erteilt werden, solange es sich um bestimmte Datenübermittlungen handelt, auf die sich die Einwilligung bezieht.193 Der europäische Datenschutzausschuss hat bekräftigt, dass eine Einwilligungserklärung standardisiert verfasst werden kann.194 Dennoch stellt die Einwilligung als Teil einer strengen Ausnahmeregel keine Pauschaleinwilligung 187
Vgl. Art. 58 Abs. 2 lit. j DSGVO. Europäischer Datenschutzausschuss/Europäischer Datenschutzbeauftragter, ANNEX, Initial legal assessment of the impact of the US CLOUD Act, S. 7. 189 Art. 49 Abs. 1 lit. a DSGVO. 190 Siehe 3. Kapitel dieser Arbeit. 191 Europäischer Datenschutzausschuss, Leitlinien 2/18, S. 8 f.; Kühling/Buchner/ Schröder, DSGVO Art. 49 Rn. 15. 192 Sydow/Towfigh/Ulrich, DSGVO, Art. 49 Rn. 5; Ambrock/Karg, ZD 2017, 154, 157. 193 Europäischer Datenschutzausschuss, Leitlinien 2/18, S. 8 f. 194 Europäischer Datenschutzausschuss, Leitlinien 2/18, S. 9. 188
232
5. Kap.: Legitimierungen von Datenübermittlungen in die USA
für eine Vielzahl von Datenübermittlungen dar.195 Der europäische Datenschutzausschuss stuft die resultierende Hürde für die Einwilligung als hoch ein und folgert aufgrund des möglichen Widerrufs einer Einwilligung, dass diese „wohl nicht als geeignete langfristige Lösung für die Übermittlung in Drittländer angesehen werden kann“.196 Datenübermittlungen in die USA, die auf einer expliziten Einwilligung nach umfassender und verständlicher Belehrung über die entsprechenden Risiken beruhen,197 sind gerechtfertigt. Dies gebietet das Grundrecht auf informationelle Selbstbestimmung.198 Es wird die Auffassung vertreten, dass nach Übertragung der bundesverfassungsgerichtlichen Rechtsprechung die Einwilligung in transatlantische Datenübermittlungen der Disposition des Einzelnen entzogen sind.199 Die Annahme des EuGH zur Berührung des Wesensgehalts europäischer Grundrechte durch US-Nachrichtendienste stehe einer Einwilligung entgegen. Diese Ansicht ist allerdings nicht mit dem Selbstbestimmungsrecht des Betroffenen vereinbar.200 Die Einwilligung stellt das Hauptmittel zur Kontrolle der eigenen personenbezogenen Daten dar.201 Solange die betroffenen Personen in die Lage gebracht werden, alle Umstände und Risiken ihrer Datenübermittlungen in die USA zu verstehen und selbstbestimmt ihre Einwilligung abzugeben, kann das Grundrecht auf Datenschutz nicht ausgehöhlt werden. Dann entscheiden die in die USA datenübermittelnden Personen bewusst, welche Informationen einem möglichen Behördenzugriff ausgesetzt werden.202 Der EuGH hat bei der Feststellung der Grundrechtsverletzung eine weite Perspektive zur Bewertung genereller Behördenzugriffsmöglichkeiten eingenommen anstatt konkrete Einzelentscheidungen zugrunde zu legen.203 Die gegenteilige Auffassung führt aufgrund der wesentlichen Funktion der Einwilligung für das Grundrecht auf informationelle Selbstbestimmung tatsächlich zum umgekehrten Fall. Der Ausschluss von Artikel 49 Absatz 1 lit. a DSGVO resultiert in Anbetracht dieser ultima-ratio-Lösung für Datenübermittlungen in die USA darin, dass der Wesensgehalt des Grundrechts auf informationelle Selbstbestimmung angetastet wird. 195
Sydow/Towfigh/Ulrich, DSGVO, Art. 49 Rn. 5. Europäischer Datenschutzausschuss, Leitlinien 2/18, S. 8 f. 197 Vgl. Art. 4 Nr. 11 DSGVO. 198 Borges, NJW 2015, 3617, 3619; Heckmann/Starneker, jM 2016, 58, 61; Schwartmann; EuZW 2015, 864, 866. 199 ULD, Positionspapier zum Urteil des Gerichtshofs der Europäischen Union, 14. Oktober 2015, S. 3. Abrufbar unter: https://www.datenschutzzentrum.de/uploads/internationales/2 0151014_ULD-Positionspapier-zum-EuGH-Urteil.pdf. 200 Kühling/Buchner/Schröder, DSGVO, Art. 49 Rn. 16; Armbrock, NZA 2015, 1493, 1496. 201 Simitis/Hornung/Spiecker gen. Döhman/Klement, DSGVO, Art. 7, Rn. 20 zum „Grundrecht auf Einwilligung“ aus Art. 8 Abs. 2 S. 1 GR-Ch. 202 Armbrock, NZA 2015, 1493, 1496. 203 Simitis/Hornung/Spiecker/Schantz, DSGVO, Art. 49 Rn. 19. 196
A. Mechanismen zur Legitimierung von Datenübermittlungen
233
b) Verträge Der Ausnahmekatalog sieht zwei Tatbestände im Zusammenhang mit Vertragsabschlüssen vor, die ausnahmsweise eine Datenübermittlung in einen Drittstaat legitimieren. Ein Tatbestand zielt darauf ab, dass die Datenübermittlung für die Anbahnung oder Erfüllung eines Vertrages zwischen der betroffenen Person und dem Verantwortlichen erforderlich ist.204 Der weitere Tatbestand zielt darauf ab, dass die Übermittlung zum Abschluss oder zur Erfüllung eines Vertrages, der von dem Verantwortlichen im Interesse der betroffenen Person geschlossenen wurde, erforderlich ist.205 An das Interesse der betroffenen Person sind hier erneut hohe Anforderungen aufgrund des Ausnahecharakters zu stellen, so dass legitime Interessen des Arbeitgebers wie Prozessverlagerungen, Outsourcing nicht hierunterfallen können.206 Zudem sind hohe Anforderungen an die Erforderlichkeit zu stellen. So kann bei Übermittlungen personenbezogener Daten im Rahmen von Social-MediaDiensten bereits die Darlegung der Notwendigkeit der transatlantischen Übermittlung scheitern, wenn die tatsächliche Kommunikation der betroffenen Person nur mit Personen innerhalb der EU stattfindet.207 Zudem dürfen die Ausnahmen nur im Ausnahmefall angenommen werden, basierend auf einer Einzelfallentscheidung.208 Das wurde vom europäischen Datenschutzausschuss auch in Anbetracht der Schrems II-Rechtsprechung und der resultierenden zusammenhängenden Herausforderung, eine Datenübermittlung in die USA zu legitimieren, bekräftigt.209 Diese Ausnahmetatbestände können also nicht dafür genutzt werden, auf pauschaler Basis Datenübermittlungen in die USA zu übermitteln. Trotz des Selbstbestimmungsrechts der betroffenen Person, einen Vertrag mit einem Unternehmen in einem Drittstaat abzuschließen,210 würde eine andere Auslegung das fünfte Kapitel aushöhlen. Denn dann würden Datenübermittlungen zwangsläufig immer bei einem Vertragsschluss mit einem Drittstaat ohne Angemessenheitsentscheidung der Gefahr der Schutzlosigkeit unterliegen. Der Gesetzgeber wollte vielmehr durch das Kriterium der „Erforderlichkeit“211 für die Vertragserfüllungen und den Ausnahmecharakter der beiden Tatbestände symbolisieren, dass der Anspruch der betroffenen Person auf fortgeltenden Grundrechteschutz im Drittstaat grundsätzlich gewahrt bleibt. Verträge mit Unternehmen in Drittstaaten müssen somit weiterhin ein an-
204
Art. 49 Abs. 1lit. b DSGVO. Art. 49 Abs. 1lit. c DSGVO. 206 Kühling/Buchner/Schröder, DSGVO, Art. 49 Rn. 22. 207 Armbrock, NZA 2015, 1493, 1495. 208 Europäischer Datenschutzausschuss, Leitlinien 2/18, S. 10 ff. 209 Europäischer Datenschutzausschuss, FAQ on C-311/18, S. 4 Frage 8. 23. Juli 2020. Abrufbar unter: https://www.europarl.europa.eu/meetdocs/2014_2019/plmrep/COMMITTEES/ LIBE/DV/2020/09-02/EDPB_FAQs_EN.pdf. 210 Kühling/Buchner/Schröder, DSGVO, Art. 49 Rn. 19a. 211 Europäischer Datenschutzausschuss, Leitlinien 2/18, S. 10. 205
234
5. Kap.: Legitimierungen von Datenübermittlungen in die USA
gemessenes Datenschutzniveau gewährleisten, es sei denn, die Datenübermittlung ist ausnahmsweise für eine bestimmte Vertragserfüllung im Einzelfall erforderlich. c) Zwingende berechtigte Interessen Datenübermittlungen zwischen Privaten können ebenso auf die bereits angebrachte „Ausnahme von der Ausnahme“ gestützt werden. Die hohe Schwelle des zwingenden Interesses ist dabei zu berücksichtigen. Diese Schwelle ist beispielsweise dann erreicht, wenn ein Unternehmen die eigene Organisation oder Systeme vor einem unmittelbar bevorstehenden, schwerwiegenden Schaden schützen will.212 Zudem muss hier ein Schwerpunkt auf den „geeigneten Garantien“ liegen. Diese sind durch die Umstände im Einzelfall bedingt. Der europäische Datenschutzausschuss zieht die Beschränkung der anschließenden Datenverarbeitung, die Sicherstellung einer möglichst schnellen Löschung und die Vornahme zusätzlicher technischer und organisatorischer Maßnahmen in Betracht.213 Aufgrund der Tatsache, dass alle Umstände des Einzelfalls in die Bewertung der widerstreitenden Interessen einbezogen werden müssen, ist die Feststellung des EuGH in den beiden Schrems-Entscheidungen zu berücksichtigen. Wegen der von ihm als unverhältnismäßig bewerteten Befugnisse der nationalen Sicherheitsbehörden ist es im Einzelfall schwierig, ein überwiegendes zwingendes Interesse für Datenübermittlungen in die USA darzulegen. „Geeignete Garantien“ haben in jedem Falle die vom EuGH in Schrems II geforderten „zusätzlichen Maßnahmen“ für den Schutz vor Behördenzugriffen als Mindestmaß einzubeziehen, können aber auch darüber hinausgehen, wenn die Umstände des Einzelfalls dies gebieten. 3. Ergebnis Die Anforderungen an Ausnahmen vom angemessenen Datenschutzniveau als Kriterium, das den Anspruch des Einzelnen auf Schutz personenbezogener Daten realisiert, sind sehr hoch. Da die personenbezogenen Daten bei diesen Ausnahmen der Gefahr ausgesetzt sind, keinen Schutz im Drittstaat zu genießen, müssen die Ausnahmen auf absolute Einzelfälle beschränkt werden. Besonders hinsichtlich des US-Rechts im Bereich der nationalen Sicherheit besteht bei den Übermittlungen nach Artikel 49 DSGVO kein effektiver Rechtsbehelf gegen die US-Behörden und keine Pflicht zur Vornahme zusätzlicher Maßnahmen im Sinne der EuGH-Rechtsprechung zu Schrems II, um die Defizite zu kompensieren. Flächendeckende, schematische und systematische Datenübermittlungen können somit unabhängig von dem konkreten Ausnahmetatbestand nicht auf Artikel 49 DSGVO gestützt werden.
212 213
Europäischer Datenschutzausschuss, Leitlinien 2/18, S. 19. Europäischer Datenschutzausschuss, Leitlinien 2/18, S. 19.
B. Zusätzliche Schutzmaßnahmen
235
B. Zusätzliche Schutzmaßnahmen I. Rechtsgrundlage Der EuGH hat im Zusammenhang mit der Bewertung der SCC in Schrems II erklärt, dass „es je nach der in einem bestimmten Drittland gegebenen Lage erforderlich sein [kann], dass der Verantwortliche zusätzliche Maßnahmen ergreift, um die Einhaltung dieses Schutzniveaus zu gewährleisten“.214 Es stellt sich die Frage nach der Rechtsgrundlage einer solchen Forderung. Der DSGVO ist der Begriff der „zusätzlichen Maßnahmen“ fremd. In der DSGVO ist niedergeschrieben, dass eine Übermittlung personenbezogener Daten an ein Drittland ohne eine Angemessenheitsentscheidung der EU-Kommission nur erfolgen darf, sofern der Verantwortliche oder der Auftragsverarbeiter geeignete Garantien vorgesehen hat und der betroffenen Person durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen.215 Der Begriff „geeignete Garantien“ bezieht sich auf die Übermittlungsgarantien, die im vorherigen Teil dieser Arbeit erörtert werden. Es ist in der DSGVO vorgesehen, dass diese Übermittlungsgarantien geeignete Garantien darstellen „können“.216 Diese vorsichtige Formulierung wird in anderssprachigen Fassungen der DSGVO ebenso verwendet.217 Sie steht besonders im Kontrast zu einer Übermittlung in einen Drittstaat mit einer positiven Angemessenheitsentscheidung der EU-Kommission, denn nach der DSGVO „darf“ eine solche ausdrücklich „vorgenommen werden“.218 Die unterschiedlichen Wortlaute deuten darauf hin, dass ein Datenübermittler bei Berufen auf eine der Übermittlungsgarantien nicht automatisch von einer Legitimierung von Datenübermittlungen in einen Drittstaat ausgehen kann, bei Berufen auf eine Angemessenheitsentscheidung der EU-Kommission allerdings schon. Die Differenzierung ist vor dem Hintergrund geboten, dass alle Bestimmungen des fünften Kapitels in der DSGVO so anzuwenden sind, dass das durch die DSGVO gewährleistete Schutzniveau für natürliche Personen nicht untergraben wird.219 Die Angemessenheitsentscheidungen der EU-Kommission werden speziell für Übermittlungen in einen bestimmten Drittstaat beschlossen. Die Besonderheiten des Rechtssystems und die Effektivität beeinträchtigende Umstände im Drittstaat, einschließlich der Zugriffe auf personenbezogene Daten durch Behörden, wurden von der EU-Kommission im Rahmen ihrer Abwägungen für die Angemessenheitsentscheidung bereits berücksichtigt.220 Hingegen sind die Garantien der DSGVO all214 215 216 217 218 219 220
EuGH, U. v. 16. 7. 2020 – C-311/18 =MMR 2020, 597, 603 Rn. 139. Art. 46 Abs. 1 DSGVO. Art. 46 Abs. 2 DSGVO. Engl. Fassung: „may be provided for“; franz. Fassung: „peuvent être fournies“. Vgl. Art. 45 Abs. 1 DSGVO. Art. 44 S. 2 DSGVO. Vgl. EuGH, U. v. 16. 7. 2020 – C-311/18 =MMR 2020, 597, 602 Rn. 129.
236
5. Kap.: Legitimierungen von Datenübermittlungen in die USA
gemeine Mechanismen, die auf Datenübermittlungen in alle Drittstaaten angewandt werden können, ohne Berücksichtigung der Besonderheiten des anwendbaren Rechts des Drittstaates. Es kann nicht davon ausgegangen werden, dass Übermittlungsgarantien geeignet sind, ein angemessenes Datenschutzniveau in jedem Fall zu gewähren. Dies gilt auch für die Standardvertragsklauseln, auch wenn diese wie eine Angemessenheitsentscheidung von der EU-Kommission erlassen werden. Eine entsprechende Verpflichtung der EU-Kommission, das Datenschutzniveau im Drittstaat umfassend beim Erlass von Standardvertragsklauseln zu prüfen, kann aus der DSGVO nicht gefolgert werden.221 Somit kann es für alle Garantien, auf die Datenübermittlungen in einen Drittstaat ohne Angemessenheitsentscheidung gestützt werden, je nach der „gegebenen Lage“ im Drittstaat geboten sein, zusätzliche Maßnahmen zu ergreifen, um ein angemessenes Datenschutzniveau zu gewährleisten. Der EuGH hat somit keine neuen Regeln an Datenübermittlungen aufgestellt, sondern betont, was ohnehin schon gilt.
II. Lage in den USA Der EuGH knüpft im Schrems II-Urteil die Notwendigkeit der Vornahme zusätzlicher Maßnahmen an die „gegebene Lage“ im Drittstaat an. Für deren Ermittlung sieht der EuGH eine Prüfung vor, ob „das Recht des Bestimmungsdrittlands nach Maßgabe des Unionsrechts einen angemessenen Schutz der […] personenbezogenen Daten gewährleistet“.222 Die „gegebene Lage“ im Drittstaat bezieht sich also auf die Gewährleistung eines angemessenes Datenschutzniveaus unter Berücksichtigung aller Umstände, die in Artikel 45 Absatz 2 DSGVO genannt und darüber hinaus geeignet sind, die Vergleichbarkeit zum Datenschutzniveau in der EU zu beeinträchtigen (siehe 2. Kapitel). 1. Unverhältnismäßige Zugriffsrechte der Nachrichtendienste Im Schrems II-Urteil hat der EuGH durch die Bewertung, dass die USA aufgrund der unverhältnismäßigen Zugriffsrechte der Nachrichtendienste und dem mangelnden effektiven Rechtsschutz hiergegen kein angemessenes Datenschutzniveau bietet, den Datenexporteuren die Bewertung der in den USA herrschenden Lage abgenommen.223 Für Datenübermittlungen in die USA, die nicht auf einer Angemessenheitsentscheidung beruhen, müssen zusätzliche Maßnahmen für den Bereich der nationalen Sicherheit ergriffen werden.
221 222 223
EuGH, U. v. 16. 7. 2020 – C-311/18 =MMR 2020, 597, 602 Rn. 130. EuGH, U. v. 16. 7. 2020 – C-311/18 =MMR 2020, 597, 602 Rn. 134. Golland, NJW 2020, 2593.
B. Zusätzliche Schutzmaßnahmen
237
2. Beschränkung auf die nationale Sicherheit? Aus der Schrems II-Entscheidung kann gefolgert werden, dass zu ergreifende zusätzliche Maßnahmen für auf SCC gestützte Datenübermittlungen in Drittstaaten sich nur auf den Bereich der nationalen Sicherheit beschränken. Zusätzlicher Maßnahmen, die weitere Bereiche adressieren, bedarf es nicht, solange das Recht des Drittstaats nicht im Widerspruch zu den SCC steht und den Vertragsparteien ihre Erfüllung nicht unmöglich gemacht wird.224 Denn nach Einschätzung des EuGH sehen die SCC wirksame Mechanismen vor, die in der Praxis gewährleisten können, dass das vom Unionsrecht verlangte Schutzniveau eingehalten wird und bei einem entsprechenden Verstoß Übermittlungen ausgesetzt oder verboten werden.225 Solange das in dem Drittstaat herrschende Recht die Einhaltung der SCC nicht tangiert, wie beispielsweise das nationale Sicherheitsrecht im Falle der USA, besteht somit kein Bedarf für weitere zusätzliche Maßnahmen. In diesem Fall wird ein angemessenes Datenschutzniveau bereits durch die SCC begründet.226 Dies gilt auch für die neuen SCC, da der Schutz, den der EuGH im Schrems II-Urteil als angemessen beurteilt, durch die alten SCC gewährleistet wird und die neuen SCC einen weitergehenden Schutz bieten.
III. Zusätzliche Maßnahmen zu allen Übermittlungsgarantien 1. Notwendigkeit für die neuen SCC Das im Einzelfall bestehende Bedürfnis für die Ergreifung zusätzlicher Maßnahmen wurde vom EuGH für die alten SCC festgestellt.227 Da die SCC sich auf vertragliche Garantien beschränken, kann es nach der Lage im Drittstaat erforderlich sein, darüberhinausgehende Maßnahmen zu ergreifen.228 Für die USA kommt insbesondere die Vornahme technischer und organisatorischer Maßnahmen in Betracht, welche die Rahmenbedingungen eines möglichen Zugriffs von Behörden verändern und einen Zugriff sogar gänzlich ausschließen können. Während vertragliche Schutzmaßnahmen in erster Linie darauf abzielen, wie der Datenimporteur auf behördliche Anfragen reagieren soll, streben organisatorische und technische Maßnahmen an, die tatsächliche Einwirkungsmöglichkeit des Datenimporteurs auf die personenbezogenen Daten zu begrenzen und Datenzugriffe für Behörden unattraktiver zu gestalten und zu erschweren. 224 225 226 227 228
EuGH, U. v. 16. 7. 2020 – C-311/18 =MMR 2020, 597, 603 Rn. 137. EuGH, U. v. 16. 7. 2020 – C-311/18 =MMR 2020, 597, 603 Rn. 137,148. Vgl. Hoeren, Anm. zu EuGH U. v. U. v. 16. 7. 2020 – C-311/18, MMR 2020, 597, 608. EuGH, U. v. 16. 7. 2020 – C-311/18 =MMR 2020, 597, 602 Rn. 133. Ebda.
238
5. Kap.: Legitimierungen von Datenübermittlungen in die USA
Im Hinblick auf US-amerikanische Sicherheitsbehörden sind besonders Vorkehrungen für solche Fälle von Bedeutung, in denen eine Verpflichtung des Datenimporteurs unerheblich ist, weil die Behörden auf keine Mithilfe des Datenimporteurs angewiesen sind, wie bei der Umleitung oder Abzapfung von Datenströmen. Daher kann bei der Unterzeichnung der neuen SCC, obwohl sie erstmalig ausdrückliche Verpflichtungen des Datenimporteurs für offene Behördenzugriffe treffen, nicht davon ausgegangen werden, dass sie automatisch ein angemessenes Datenschutzniveau gewährleisten. Zusätzliche Maßnahmen müssen auch bei den neuen SCC in Betracht gezogen werden. 2. Notwendigkeit für die anderen Übermittlungsgarantien Die anderen Übermittlungsgarantien beruhen ebenso auf vertraglichen Abreden und Zusicherungen der Parteien einer Datenübermittlung. Da die Behörden durch diese Garantien genauso wenig an verdeckten Datenzugriffen gehindert werden, sind bei allen Datenübermittlungen in die USA, die nicht auf einer Angemessenheitsentscheidung beruhen, zusätzliche Schutzmaßnahmen in Erwägung zu ziehen.229
IV. Einzelabwägung 1. Primäre Verantwortung des Datenexporteurs a) Prüfung des Datenschutzniveaus im Drittstaat durch alle Beteiligten Die Einschätzung, ob das Datenschutzniveau im Drittstaat zusätzliche Maßnahmen erfordert und welche das sind, obliegt bei Vereinbarung von SCC sowohl dem Datenexporteur als auch dem Datenimporteur. Der EuGH hat die Pflicht zur Überprüfung des Datenschutzniveaus im Drittstaat aus der an den Datenimporteur gerichteten Regelung gefolgert, dass ihm die Einhaltung seiner vertraglichen Pflichten unter dem geltenden Recht im Drittstaat nach seinem Wissen möglich sein muss.230 Die Prüfpflicht des Datenexporteurs sieht der EuGH durch die in den SCC enthaltene Erklärung begründet, dass die Übermittlung im Einklang mit den Datenschutzgesetzen des EU-Mitgliedstaates des Datenexporteurs erfolgt.231 Mit Unterzeichnung der neuen SCC gewährleisten die Parteien, dass sie keinen Grund zur Annahme haben, dass die anwendbaren Gesetze im Drittstaat, einschließlich solcher, 229 Europäischer Datenschutzausschuss, FAQ on the judgment of the Court of Justice of the European Union in Case C-311/18, 23. 07. 2020, S. 3 Frage 6. Abrufbar unter: https://www.eu roparl.europa.eu/meetdocs/2014_2019/plmrep/COMMITTEES/LIBE/DV/2020/09-02/EDPB_ FAQs_EN.pdf. 230 S. o. EuGH, U. v. 16. 7. 2020 – C-311/18 =MMR 2020, 597, 603 Rn. 141; Kl. 5 lit. a Beschl. 2001/497/EC; Kl. 5 lit. b Beschl. 2010/87/EU; II. lit. c Beschl. 2004/915/EC. 231 S. o. EuGH, U. v. 16. 7. 2020 – C-311/18 =MMR 2020, 597, 603 Rn. 141; Kl. 4 lit. a Beschl. 2001/497/EC, Beschl. 2010/87/EU; I. lit. a, b Beschl. 2004/915/EC.
B. Zusätzliche Schutzmaßnahmen
239
die behördliche Zugriffe regeln, den Datenimporteur an der Erfüllung seiner Verpflichtungen aus den SCC hindern.232 Beinhalten die anderen Übermittlungsgarantien keine entsprechende Klausel, die eine Pflicht zur Überprüfung des Datenschutzrechts im Drittstaat begründet, ist allein der Datenexporteur verpflichtet, die Rechtslage im Drittstaat zu überprüfen. Für den Datenexporteur ist eine vertragliche Verpflichtung irrelevant, weil nach Art. 44 ff. DSGVO die Voraussetzung für jede grenzüberschreitende Datenübermittlung die Angemessenheit des Datenschutzniveau im Drittstaat darstellt und von dessen Vorliegen ohne Angemessenheitsentscheidung nicht automatisch ausgegangen werden kann.233 Es bedarf somit einer Prüfung des Datenschutzniveaus im Drittstaat, um die Anforderungen der DSGVO an Übermittlungen in Drittstaaten zu erfüllen. Da der Datenimporteur im Drittstaat nicht an die DSGVO gebunden ist, muss sich dieser vertraglich zum Aufrechterhalten des europäischen Datenschutzniveaus verpflichten. b) In der DSGVO begründete Rechenschaftspflicht aa) Direkte Anwendbarkeit auf den Datenexporteur In Schrems II hat der EuGH festgestellt, dass die SCC auf dem „Verantwortungsbewusstsein“ des Datenexporteurs beruhen.234 Daraus folgert der EuGH, dass es „vor allem“ dem Datenexporteur obliegt „erforderlichenfalls mehr Garantien als die durch diese Klauseln gebotenen zu gewähren“:235 Der Datenexporteur trägt somit primär die Verantwortung für die Ergreifung zusätzlicher Maßnahmen. Beabsichtigt der Datenexporteur trotz der Wertung des EuGH in der Schrems II-Entscheidung, personenbezogene Daten in die USA zu übermitteln, hat er, aufgrund der in den SCC und BCR bestehenden Mitteilungspflicht bei nachteiligen Änderungen des Datenschutzniveaus im Drittstaat, die Pflicht, die für ihn zuständige Aufsichtsbehörde darüber zu informieren.236 Die vorgesehene Mitteilung über die Fortsetzung der Übermittlung, einschließlich der Gründe hierfür und die getroffenen zusätzlichen Maßnahmen, wurde ausdrücklich in den neuen SCC aufgenommen.237 Ohne Ergreifung zusätzlicher Maßnahmen muss der Datenexporteur Datenübermittlungen in
232
SCC Entwurf Annex Sec. 2 Kl. 2 lit. a. 2. Kapitel dieser Arbeit. 234 EuGH, U. v. 16. 7. 2020 – C-311/18 =MMR 2020, 597, 602 Rn. 134. 235 EuGH, U. v. 16. 7. 2020 – C-311/18 =MMR 2020, 597, 602 Rn. 134. 236 EuGH, U. v. 16. 7. 2020 – C-311/18 =MMR 2020, 597, 603 Rn. 139; Europäischer Datenschutzausschuss, Frequently Asked Questions on the judgment of the Court of Justice of the European Union in Case C-311/18 – Data Protection Commissioner v Facebook Ireland Ltd and Maximillian Schrems, S. 3, 5 23.07.20. Abrufbar unter: https://edpb.europa.eu/sites/default/ files/files/file1/20200724_edpb_faqoncjeuc31118_en.pdf. 237 SCC Entwurf EG 21. 233
240
5. Kap.: Legitimierungen von Datenübermittlungen in die USA
die USA aussetzen oder beenden.238 Das Verantwortungsbewusstsein des Datenexporteurs resultiert aus der in der DSGVO begründeten Rechenschaftspflicht für Datenübermittlungen.239 Der Verantwortliche für die Datenverarbeitung wird in der DSGVO dazu verpflichtet, eigenverantwortlich für die Rechtfertigung und Rechtmäßigkeit der Datenverarbeitung anhand der bestehenden Risiken für die Rechte der betroffenen Person Sorge zu tragen.240 Die Rechenschaftspflicht wird in den neuen SCC durch die erweiterte Dokumentationspflicht ausgebaut.241 bb) Ausweitung auf den Datenimporteur durch die neuen SCC Der Datenimporteur ist nach Ansicht des EuGH „in zweiter Linie“242 für die Rechtmäßigkeit des Datenerhalts und Konsequenzen im Falle der Unrechtmäßigkeit verantwortlich. Die neuen SCC begründen für den Datenimporteur im Drittstaat eine eigene Rechenschaftspflicht, die über die bereits in den Vorgängern243 vorgesehene Pflicht zur Kooperation mit den europäischen Aufsichtsbehörden hinausgeht. Mit Unterzeichnung der neuen SCC erklärt sich der Datenimporteur bereit, sich der Rechtsprechung der zuständigen Aufsichtsbehörde zu unterwerfen.244 Die zuständige Aufsichtsbehörde ist diese, die für den Datenexporteur zuständig ist.245 In den neuen SCC wird klargestellt, dass dies nach dem Niederlassungsprinzip die Behörde des Mitgliedstaates ist, in dem der Datenexporteur seinen Sitz hat.246 Sitzt der Datenexporteur selbst im Drittstaat, ordnen die SCC im Einklang mit dem den Anwendungsbereich begründenden Marktortprinzip aus Artikel 3 Absatz 2 DSGVO die Zuständigkeit der Behörde des Mitgliedstaates an, in dem die betroffene Person ansässig ist.247 Die Unterwerfung unter die zuständige Aufsichtsbehörde umfasst ausdrücklich die Pflicht, die von der zuständigen Aufsichtsbehörde getroffenen Maßnahmen, einschließlich Abhilfe- und Ausgleichsmaßnahmen, zu befolgen und dies schriftlich zu bestätigen.248 Somit riskiert der Datenimporteur bei einem Verstoß gegen die SCC die Verhängung von Bußgeldern und anderer Strafen durch die Aufsichtsbehörden. 238
EuGH, U. v. 16. 7. 2020 – C-311/18 =MMR 2020, 597, 602 Rn. 135. Europäischer Datenschutzausschuss, 41st Plenary session: EDPB adopts recommendations on supplementary measures following Schrems II, 11. November 2020. Abrufbar unter: https://edpb.europa.eu/news/news/2020/european-data-protection-board-41st-plenary-sessionedpb-adopts-recommendations_en. 240 Siehe 3. Kapitel dieser Arbeit. 241 S. o. SCC Entwurf Annex Sec. 2 cl. 1 Module 1, 2, 3, 4 1.9. 242 EuGH, U. v. 16. 7. 2020 – C-311/18 =MMR 2020, 597, 602 Rn. 135. 243 Z. B. Kl. 8 Beschl. 2010/87/EU. 244 SCC Entwurf Annex Sec. 1 Kl. 9 lit. b. 245 SCC Entwurf Annex Sec. 1 Kl. 9 lit. a. 246 SCC Entwurf Annex Sec. 1 Kl. 9 lit. a. 247 SCC Entwurf Annex Sec. 1 Kl. 9 lit. a. 248 SCC Entwurf Annex Sec. 1 Kl. 9 lit. a. 239
B. Zusätzliche Schutzmaßnahmen
241
Ob die Bußgelder gegen Datenimporteure im Drittstaat so hoch ausfallen können wie solche gegen Datenexporteure bei einem Verstoß gegen die DSGVO, wurde in den neuen SCC offengelassen. Die Aufsichtsbehörden können bei einer Verletzung der SCC durch den Datenexporteur den höchsten Satz einer Geldbuße verhängen.249 Durch die Unterwerfung unter die Rechtsprechung der zuständigen Aufsichtsbehörde muss jedenfalls davon ausgegangen werden, dass die Behörde sich bei der Verhängung von Bußgeld gegenüber dem Datenimporteur an denselben Umständen orientiert, die sie für die Bemessung des Bußgeldes gegen den Datenexporteur einbezogen hätte.250 Insgesamt hat die EU-Kommission somit das mit der DSGVO verstärkt ausgeprägte und betonte Rechenschaftsprinzip nun ebenso an die Datenimporteure im Drittstaat weitergegeben. Sie hat somit die Aufsicht europäischer Datenschutzbehörden umfassend auf solche Unternehmen im Drittstaat erstreckt, die nicht unter den – bereits erweiterten – Anwendungsbereich der DSGVO fallen. 2. In die Abwägung einzubeziehende Umstände in den USA Nach den in dieser Arbeit vorgestellten Wertungen des EuGH stellt die Übermittlung personenbezogener Daten in die USA aufgrund der potenziellen Zugriffe durch die Nachrichtendienste ein Risiko für die betroffene Person dar.251 Die Analyse, welche zusätzlichen Maßnahmen für Datenübermittlungen in die USA zu ergreifen sind, richtet sich somit nach den Regelungen der DSGVO, die an eine risikobasierte Wertung und das Rechenschaftsprinzip anknüpfen wie beispielsweise die Datenschutz-Folgeabschätzung.252 Dabei ist insbesondere die Wahrscheinlichkeit des Eintritts des Risikos einzubeziehen. Bei geringer Eintrittswahrscheinlichkeit kann die Pflicht zu Ergreifung zusätzlicher Maßnahmen reduziert oder völlig aufgehoben werden.253 Unter welchen Umständen ein Zugriff durch Nachrichtendienste nicht ausgeschlossen werden kann, ist den rechtlichen Voraussetzungen für die Befugnisse US-amerikanischer Behörden zu entnehmen.254 Das US-Handelsministerium hat als Reaktion auf die Schrems II-Entscheidung ein White Paper veröffentlicht,255 das zwar rechtlich nicht bindend ist, allerdings eine Analyse des Rechts beinhaltet und Argumente liefert, um die Beteiligten eines beabsichtigen Daten-
249
satzes. 250
Art. 83 Abs. 5 lit. c DSGVO: bis zu 20 Millionen Euro oder 4 Prozent des Jahresum-
Siehe Art. 83 Abs. 2 DSGVO. Kühling/Buchner/Schröder, DSGVO, Art. 46 Rn. 17a. 252 Vgl. Jungkind/Raspé/Schramm, NZG 2020, 1056, 1059. 253 Veil, ZD 2018, 9, 15. 254 Siehe 4. Kapitel dieser Arbeit. 255 NTIA, Information on U.S. Privacy Safeguards Relevant to SCCs and Other EU Legal Bases for EU-U.S. Data Transfers after Schrems II, 28.09.20. Abrufbar unter: https://www.com merce.gov/sites/default/files/2020-09/SCCsWhitePaperFORMATTEDFINAL508COMPLI ANT.PDF. 251
242
5. Kap.: Legitimierungen von Datenübermittlungen in die USA
transfers bei der Bewertung des bestehenden Risikos zu unterstützen.256 Welche Maßnahmen im konkreten Fall zu ergreifen sind, hängt somit insgesamt von den Umständen der konkreten Datenübermittlung im Einzelfall ab.257 a) Datenempfänger aa) Kommunikationsanbieter Datenübermittlungen, die US-amerikanische Anbieter elektronischer Kommunikationsdienste involvieren, fallen unter den Anwendungsbereich von Sec. 702 FISA und die in der Praxis wichtigste Rechtsgrundlage für NSL258. Der Sitz des USamerikanischen Unternehmens ist aufgrund der mangelnden räumlichen Beschränkung der Rechtsgrundlagen und der im CLOUD-Act vorgesehenen Herausgabepflicht von Daten unerheblich. Somit bergen Datenübermittlungen an elektronische Kommunikationsanbieter ein erhöhtes Risiko des Zugriffs US-amerikanischer Behörden. Werden die Daten nicht an einen US-amerikanischen Kommunikationsanbieter übermittelt, kann nicht automatisch von einem geringen Risiko ausgegangen werden. Zum einen setzt EO12333 nicht voraus, dass der Adressat einer Behördenanfrage ein Anbieter der elektronischen Kommunikation darstellt. Zum anderen muss überprüft werden, ob das Unternehmen eine Weiterübermittlung an einen anderen Anbieter elektronischer Kommunikation vornimmt und welche Unterauftragsverarbeiter beteiligt sind.259 Der gesamte Datenfluss muss analysiert werden.260 Zum besseren Verständnis, ob der Datenimporteur den gerügten Gesetzen zur Signalaufklärung unterliegt, sollte der Datenexporteur ihm gegenüber Fragen zu seiner allgemeinen Tätigkeit und den Bereichen und Daten, die davon tangiert werden, stellen.261 bb) Empfänger vergangener Behördenanfragen Das bestehende Risiko eines Zugriffs durch die Behörden kann durch Einbeziehung der vom Datenimporteur erstellten veröffentlichten Reports zu Anfragen von nationalen Sicherheitsbehörden abgewogen werden.262 Durch die im Freedom Act 256
Spies, ZD-Aktuell 2020, 07327. EuGH, U. v. 16. 7. 2020 – C-311/18 = MMR 2020, 597, 602 Rn. 134. 258 18 U. S. C. § 2709. 259 Noyb, FAQs on the CJEU case, 12. 07. 2020. Abrufbar unter: https://noyb.eu/en/faqscjeu-case. 260 Ebda. 261 Noyb, Nächste Schritte für EU-Unternehmen & FAQs 20.07.20. Bereitstellung vorgefertigter Fragebögen. Abrufbar unter: https://noyb.eu/de/naechste-schritte-fuer-eu-unterneh men-faqs. 262 Schwarz, Will Privacy Shield’s demise usher in transparency?, 25.08.20. Abrufbar unter: https://iapp.org/news/a/will-privacy-shields-demise-usher-in-transparency/. 257
B. Zusätzliche Schutzmaßnahmen
243
erlaubte Veröffentlichung der Anzahl behördlicher Anfragen und Angaben zum Kreis der Betroffenen können Schlüsse auf die künftige Wahrscheinlichkeit und Häufigkeit behördlicher Anfragen gezogen werden. cc) PRISM-Kooperationspartner In die Analyse des Übermittlungsrisikos sollte einbezogen werden, ob von Snowden aufgedeckte Kooperationspartner der Nachrichtendienste an der Übermittlung beteiligt sind. Eine Zusammenarbeit mit Unternehmen wie Microsoft, Yahoo, Google, Facebook, PalTalk, AOL, Skype, YouTube und Apple, die bereits im Rahmen von PRISM direkte Serveranzapfungen ermöglicht haben,263 kann für die Nachrichtendienste weiterhin von Interesse sein. dd) Verantwortliche und Auftragsverarbeiter Für die Bewertung des Übermittlungsrisiko sollte in Betracht gezogen werden, ob es sich bei den Beteiligten um Verantwortliche für die Datenverarbeitung oder Auftragsverarbeiter handelt.264 Davon hängt insbesondere ab, ob die im Drittstaat vorgenommene Datenverarbeitung nicht in die EU oder einen Drittstaat mit bestehender Angemessenheitsentscheidung verlagert oder reduziert werden kann. ee) US-amerikanische Behörden Ferner ist bei der Analyse des entstehenden Risikos zu berücksichtigen, wenn USamerikanische Behörden die Empfänger sind.265 Für die übermittelten Daten gelten dann der Privacy Act und der JRA mit der Folge, dass eine Weiterübermittlung der Daten an andere Behörden zulässig sein kann, wenn dies dem „gewöhnlichen Gebrauch“ entspricht.266 Der Datenexporteur sollte im Bundesregister überprüfen, wie der Datenimporteur den gewöhnlichen Gebrauch definiert hat und die Tangierung von Nachrichtendiensten. Zudem kann der Datenimporteur weitreichend die im USRecht vorgesehenen Schutzmaßnahmen wie den gerichtlichen Rechtsbehelf ausschließen.267
263 264 265 266 267
Greenwald S. 168 ff. Europäischer Datenschutzausschuss, Recommendations 01/2020, S. 12 Rn. 33. Europäischer Datenschutzausschuss, Recommendations 01/2020, S. 12 Rn. 33. Siehe 4. Kapitel dieser Arbeit. Siehe 4. Kapitel dieser Arbeit.
244
5. Kap.: Legitimierungen von Datenübermittlungen in die USA
b) Art der Daten und Zweck aa) Unternehmensbezogene Daten Personenbezogene Daten, die im Zusammenhang mit Informationen von Unternehmen stehen, wie Mitarbeiter-, Kunden- oder Verkaufsdaten, unterliegen keinem erhöhten Risiko eines behördlichen Zugriffs.268 Dasselbe gilt für Daten, die zum Zwecke von Marketing und Personalzwecken übermittelt werden.269 Es ist unwahrscheinlich, dass diese unternehmensbezogenen Daten im Zusammenhang mit Terrorismus und anderen Themen stehen, die für Nachrichtendienste von Interesse sind. Das US-Handelsministerium sieht ebenso wenig einen Grund zur Annahme, dass die US-Geheimdienste versuchen, diese Daten zu sammeln.270 Dies folgt aus der in der PPD-28 enthaltenen Beschränkung nachrichtendienstlicher Maßnahmen auf das erforderliche Maß.271 Zudem verbietet die PPD-28 ausdrücklich das Sammeln von Informationen, um einen kommerziellen Vorteil zu erzielen.272 bb) Allgemein zugängliche Daten Für die Risikoanalyse ist von Bedeutung, ob die personenbezogenen Daten, die Gegenstand der Übermittlung in die USA sind, allgemein zugänglich sind.273 Um das Erfordernis zusätzlicher Maßnahmen zu reduzieren oder auszuschließen, müssen die personenbezogenen Daten auch in den USA für die dort ansässigen Behörden zugänglich sein. cc) Vom US-Überwachungsrecht erfasste Daten Daten, die unter den Anwendungsbereich von Sec. 702 FISA und die vergleichbare NSL-Anordnung274 fallen, unterliegen einem erhöhten Risiko des Zugriffs durch Behörden.275 Solche Daten stellen insbesondere personenbezogene 268
NTIA, Information on U.S. Privacy Safeguards Relevant to SCCs and Other EU Legal Bases for EU-U.S. Data Transfers after Schrems II, 28.09.20, S. 2. 269 Europäischer Datenschutzausschuss, Recommendations 01/2020, S. 12 Rn. 33; vgl. zur Berücksichtigung des Zwecks bei der Wahl eines EU oder US-Anbieters Becker/Nikolaeva, CR 2012, 170, 176. 270 NTIA, Information on U.S. Privacy Safeguards Relevant to SCCs and Other EU Legal Bases for EU-U.S. Data Transfers after Schrems II, 28.09.20, S. 2. 271 NTIA, Information on U.S. Privacy Safeguards Relevant to SCCs and Other EU Legal Bases for EU-U.S. Data Transfers after Schrems II, 28.09.20, S. 2 mit Verweis auf PPD-28 § 1lit. b. 272 NTIA, Information on U.S. Privacy Safeguards Relevant to SCCs and Other EU Legal Bases for EU-U.S. Data Transfers after Schrems II, 28.09.20, S. 2 mit Verweis auf PPD-28 § 1lit. c. 273 Vgl. Veil, ZD 2018, 9, 13. 274 18 U. S. C. § 2709. 275 Jungkind/Raspé/Schramm, NZG 2020, 1056, 1058.
B. Zusätzliche Schutzmaßnahmen
245
Daten im Zusammenhang mit der Verteidigung eines Staates, der Politik, der inneren und äußeren Sicherheit, dem Terrorismus, der Energieversorgung sowie Betäubungsmitteln und Geldwäsche dar.276 Der Grundsatz der Risikoerhöhung bei Eröffnung des Anwendungsbereichs kann auf die EO12333 übertragen werden. Somit besteht ein erhöhtes Risiko für Daten im Zusammenhang mit der Signalaufklärung. Das betrifft Kommunikations- und andere Daten wie Metdadaten, die über Funk, Kabel und andere elektromagnetische Mittel weitergegeben sind. dd) Sensible Daten Die Übermittlung sensibler Daten beeinflusst das Verarbeitungsrisiko, auch wenn diese nicht das Risiko eines behördlichen Zugriffs erhöhen.277 Aufgrund ihrer besonderen Schutzbedürftigkeit können sie die Ergreifung zusätzlicher Maßnahmen im Einzelfall rechtfertigen. Genießen sensible Daten besonderen Schutz im Drittstaat kann sich das günstig für den Datenimporteur auf die Risikoprognose auswirken.278 Da der COPPA für eine Offenlegung von Daten die Einwilligung des gesetzlichen Vertreters voraussetzt, kann der Datenexporteur in seine Risikoanalyse einbeziehen, dass der gesetzliche Vertreter, jedenfalls ohne bestehende gag-order, von einer behördlichen Zugriffsanfrage informiert wird.279 c) Art der Verarbeitung Bei der Risikoanalyse ist die Art der für die zu übermittelnden personenbezogenen Daten zugrundeliegenden Datenverarbeitung einzubeziehen. Aus Spezialregelungen zu Profiling und automatisierter Entscheidungsfindung in der DSGVO folgt, dass diese Maßnahmen das Risiko für die betroffene Person steigern können und besonderen Schutz rechtfertigen können.280 Stammen die personenbezogenen Daten, die übermittelt werden sollen, aus großen Datenmengen mit komplexer Datenstruktur, der Verknüpfung verschiedener Datenbanken, der Analyse großer Datenmengen, dem Einsatz neuartiger Technologien oder komplexer Techniken oder aus einer Beteiligung vieler verschiedener oder unbekannter Akteure, stuft der europäische Datenschutzbeauftragte die entstehenden Risiken der betroffenen Person 276
Ebda. Becker/Nikolaeva, CR 2012, 170, 176; Jungkind/Rasé/Schramm, NZG 2020, 1056, 1058; Europäischer Datenschutzausschuss, Recommendations 01/2020, S. 12 Rn. 33; Europäischer Datenschutzbeauftragter, Strategy for Union institutions, offices, bodies and agencies to comply with the ,Schrems II‘ Rulings, 29.10.20, S. 8. 278 Art. 29-Datenschutzgruppe, WP 248, S. 12 Rn. 33. 279 Siehe 4. Kapitel dieser Arbeit. 280 Veil, ZD 2018, 9, 14. 277
246
5. Kap.: Legitimierungen von Datenübermittlungen in die USA
im Zusammenhang mit Datenübermittlungen in die USA jedenfalls dann als erhöht ein, wenn der Anwendungsbereich von FISA oder EO12333 eröffnet ist.281 Dies kann damit argumentiert werden, dass aus dem Verknüpfen und Analysieren personenbezogener Daten der Informationsgehalt über die betroffene Person steigt. Komplexe Datenverarbeitungen erlauben es, Informationen über betroffene Person zu bündeln und erweiterte Rückschlüsse auf Eigenschaften und Umstände der betroffenen Person zu ziehen. Daher kann für Nachrichtendienste in den USA ein größerer Anreiz bestehen, auf personenbezogene Daten mit potenziell größerem Informationswert zuzugreifen als auf einfachere personenbezogene Daten. d) Umfang der Datenübermittlung In die Risikoabwägung ist der Umfang der Datenübermittlung einzubeziehen.282 Eine umfangreiche Datenübermittlung tangiert eine höhere Zahl von betroffenen Personen oder eine breitere Bevölkerungsgruppe.283 Somit gilt, je umfangreicher die Datenübermittlung ist, umso höher ist das potenzielle Zugriffsinteresse von USamerikanischen Nachrichtendiensten auf die Daten. Der Umfang der Datenübermittlung kann anhand der verarbeiteten Datenmenge, der Brandbreite der unterschiedlich verarbeiteten Datenelemente, der Dauer oder Dauerhaftigkeit der Übermittlungen und dem geografischen Ausmaß evaluiert werden.284 Das geografische Ausmaß der Datenverarbeitung kann bei politischen Konflikten einzelner Mitgliedstaaten mit der USA eine Rolle spielen. e) Besonderheiten von Übermittlungen in die USA aa) Mögliche Unterwasserkabelanzapfung Aufgrund der Möglichkeit, dass Daten bereits während eines Datentransfers in die USAvon Nachrichtendiensten durch Anzapfung von Unterwasserkabeln abgefangen werden können, müssen das Datenformat und vor der Übermittlung angewandte Maßnahmen, die den Behörden ein Verständnis der Daten erschweren, in die Bewertung des Risikos einbezogen werden.285 Relevante Schutzmaßnahmen sind in diesem Zusammenhang die Pseudonymisierung, die Anonymisierung und die Verschlüsselung. 281 Europäischer Datenschutzbeauftragter, Strategy for Union institutions, offices, bodies and agencies to comply with the ,Schrems II‘ Rulings, 29.10.20, S. 8. 282 Jungkind/Rasé/Schramm, NZG 2020, 1056, 1058; Europäischer Datenschutzbeauftragter, Strategy for Union institutions, offices, bodies and agencies to comply with the ,Schrems II‘ Rulings, 29.10.20, S. 8; Artikel 29-Datenschutzgruppe, WP 248 Rev. 01 S. 11. 283 Artikel 29-Datenschutzgruppe, WP 248 S. 11. 284 Ebda. 285 Jungkind/Rasé/Schramm, NZG 2020, 1056, 1058; Noyb, FAQs on the CJEU case, 12. 07. 2020. Abrufbar unter: https://noyb.eu/en/faqs-cjeu-case.
B. Zusätzliche Schutzmaßnahmen
247
bb) CLOUD-Act Bei der Bewertung des Übermittlungsrisikos ist grundsätzlich zu berücksichtigen, ob die personenbezogenen Daten im Drittstaat gespeichert werden oder das Unternehmen im Drittstaat lediglich einen Fernzugriff auf die in der EU gespeicherten Daten hat.286 Allerdings ist der Anwendungsbereich von US-amerikanischen Überwachungsmaßnahmen wie Sec. 702 FISA und EO12333 räumlich nicht auf die USA beschränkt. US-Behördenzugriffe sind weltweit möglich.287 Für eine behördliche Anfrage unter dem CLOUD-Act reicht es aus, dass die tatsächliche Möglichkeit besteht, die von der Behörde erfragten Daten von einem Dritten zu erlangen.288 Somit kann dem Speicherort der Daten keine große Bedeutung für die Bewertung des Risikos eines Zugriffs durch US-Nachrichtendienste zugemessen werden. cc) Vertraulichkeitserwartung Das Risiko der Datenverarbeitung kann durch eine geringere Vertraulichkeitserwartung des Betroffenen gemindert werden.289 In der DSGVO findet sich das Gedankengut wieder, dass angesichts der Umstände, unter denen eine Datenverarbeitung erfolgt, die betroffene Person „vernünftigerweise“ mit einer weiteren Verarbeitung rechnen muss.290 Betroffene Personen könnten eine geringere Erwartungshaltung in Bezug auf ihren Schutz bei Datenübermittlungen in die USA haben, weil sie aufgrund der durch die Snowden-Enthüllungen und Schrems-Entscheidungen öffentlich diskutieren Datenzugriffe durch US-amerikanische Sicherheitsbehörden bei Preisgabe ihrer personenbezogenen Daten einen anschließenden Behördenzugriff unter Umständen für möglich halten müssen. Dieser Ansatz könnte bei der direkten Preisgabe personenbezogener Daten gegenüber US-amerikanischer Unternehmen angewandt werden. Dieser Ansatz darf in keinem Falle dazu führen, dass wie bei der „third-party doctrine“ in den USA der Schutz der betroffenen Person aufgrund einer subjektiven Erwartungshaltung ausgeschlossen wird. Sonst würde der Einbezug der subjektiven Erwartung der in diesem Kapitel festgestellten hohen Anforderungen zur Einwilligung291 als Ausnahme für ein angemessenes Datenschutzniveau zuwiderlaufen. Die Berücksichtigung der subjektiven Haltung kann im Einklang mit dem Verhältnismäßigkeitsgrundsatz dafürsprechen, die Vornahme einer milderen Maßnahme unter den zur Verfügung stehenden gleich effektiven Maßnahmen zu rechtfertigen. In jedem Falle handelt es sich um einen restriktiv in die Abwägung einzubeziehenden Umstand, der allenfalls bei Benachrichtigung der betroffenen Person über die Da286 287 288 289 290 291
Europäischer Datenschutzausschuss, Recommendations 01/20, S. 12 Rn. 33. Siehe 4. Kapitel dieser Arbeit. Siehe 4. Kapitel dieser Arbeit. Veil, ZD 2018, 9, 14. DSGVO EG 47 S. 2, 3. Art. 49 Abs. 1 lit. a DSGVO.
248
5. Kap.: Legitimierungen von Datenübermittlungen in die USA
tenübermittlung in die USA und die EuGH-Rechtsprechung zu Schrems II zum Tragen kommt. f) Zwischenergebnis Es bestehen zahlreiche Umstände, die bei der Entscheidung über zu treffende zusätzliche Maßnahmen für Datenübermittlungen berücksichtigt werden müssen. Den Anforderungen einer einzelfallorientierten Risikoanalyse gerecht zu werden, gestaltet sich für alle Beteiligten einer Datenübermittlung in die USA als ernstzunehmende Herausforderung. Die Maßnahmen haben nicht nur das für US-amerikanische Ermittlungsbehörden anwendbare Zugriffsrecht zu berücksichtigen, sondern auch das auf die Speicherung durch Unternehmen und Behörden anwendbare Recht nach dem Erhalt der Daten. Da die DSGVO einige Datenverarbeitungen als risikobehafteter für die betroffene Person einstuft, müssen auch hinreichende Kenntnisse über entsprechende Anforderungen bei der Ergreifung zusätzlicher Maßnahmen eingebunden werden. Neben den Kenntnissen über das gegenseitige anwendbare Recht müssen die Beteiligten an einer Datenübermittlung zudem das Ausmaß der konkreten Datenverarbeitung und ihre Komplexität einstufen. Aus all diesen Umständen müssen sie dann Schlüsse auf die Wahrscheinlichkeit behördlicher Zugriffsanfragen schließen. In jedem Falle müssen der Datenexporteur und der Datenimporteur eng zusammenarbeiten, um die für den Einzelfall relevanten Umstände herauszukristallisieren und bestehenden Risiken gerecht zu werden. Auch wenn der Datenexporteur vom EuGH als primär verantwortlich für die Datenübermittlung eingestuft wurde, führt die in den neuen SCC vorgesehene Unterwerfung des Datenimporteurs unter die Aufsichtsbehörde in der EU zu einer umfassenden und weitreichenden Haftung, die sich zum derzeitigen Stand nicht von der Verantwortung des Datenexporteurs unter der DSGVO differenzieren lässt. Somit tragen alle Beteiligten einer Datenübermittlung die Verantwortung dafür, dass sie keine hinreichenden zusätzlichen Maßnahmen getroffen haben, weil sie die bestehenden Risiken für Behördenzugriffe falsch eingeschätzt haben.
V. Konkrete zusätzliche Maßnahmen für Datenübermittlungen in die USA 1. Vertragliche Garantien Der EuGH hat betont, dass vertragliche Abreden den Behörden im Drittstaat naturgemäß keine Pflichten auferlegen.292 Auch wenn die Behörden im Drittstaat nicht an die vertraglichen Abreden des Datenexporteurs und Datenimporteurs ge292
EuGH, U. v. 16. 7. 2020 – C-311/18 =MMR 2020, 597, 601 f. Rn. 125, 133.
B. Zusätzliche Schutzmaßnahmen
249
bunden sind, werden bestehende Zugriffsmöglichkeiten hiervon unmittelbar beeinflusst. Das wird an den neuen SCC veranschaulicht, die dazu führen, dass Antworten des Datenimporteurs auf behördliche Anfragen hinausgezögert werden sowie Anfragen auf ihre Rechtswidrigkeit geprüft und bei Erfüllung auf das notwendige Maß reduziert werden. Daher kann es nach den vorliegenden Umständen im Einzelfall notwendig sein, vertragliche Garantien im Einklang mit dem nationalen Recht zu vereinbaren, die einen weitergehenden Schutz der Übermittlung gewährleisten. Diese sollten dann zur Vermeidung behördlicher Zugriffe auf die personenbezogenen Daten mit technischen und organisatorischen Maßnahmen kombiniert werden, um ein angemessenes Datenschutzniveau im Drittstaat herzustellen.293 a) Relevanz trotz der neuen SCC Die neuen SCC sehen ausdrücklich Verpflichtungen des Datenimporteurs im Hinblick auf Behördenanfragen vor. Dies könnte dazu führen, dass zusätzliche vertragliche Verpflichtungen entbehrlich sind. Allerding sollte die Verwendung von SCC die Parteien nicht daran hindern, weitere Klauseln oder zusätzliche Garantien hinzuzufügen, solange das bestehende Schutzniveau nicht untergraben wird.294 Nach dem ausdrücklichen Wortlaut der Erwägungsgründe der DSGVO sollen die Verantwortlichen und Auftragsverarbeiter sogar ermutigt werden, die SCC mit weiteren vertraglichen Verpflichtungen zu ergänzen, um zusätzliche Garantien zu bieten.295 Die neuen SCC wurden zwar in Anbetracht der Schrems II-Entscheidung erlassen, dennoch sind sie auf alle Drittstaaten anwendbar und können daher nicht auf die USamerikanischen Befugnisse, FISA und EO12333 Bezug nehmen. Zusätzliche vertragliche Verpflichtungen sind dazu geeignet, den Risiken einzelner Datenübermittlungen Rechnung zu tragen und Besonderheiten der Befugnisse der Nachrichtendienste im betroffenen Drittstaat zu adressieren. Damit gewinnen sie besonders für Datenübermittlungen in die USA aufgrund der vom EuGH gerügten Überwachungsprogramme Bedeutung. b) Empfehlung des Landesbeauftragten BW Der Landesbeauftragte für Datenschutz und Informationsfreiheit in BadenWürttemberg, abgekürzt LfdI BW, hat als Reaktion auf die Schrems II-Entscheidung eine Änderung der SCC in einer Orientierungshilfe nahegelegt.296 Die vorgeschlagenen Änderungen sind zulässig, da sie nicht im Widerspruch zu den SCC stehen und das von ihnen gewährte Datenschutzniveau nicht untergraben, sondern stärken. Die Empfehlung des LfDI BW beinhaltet Regelungen, die den neuen SCC ähneln, wie 293
Europäischer Datenschutzausschuss, Recommendations 01/S. 28 Rn. 93. DSGVO EG 109. 295 Ebda. 296 LfdI BW, Orientierungshilfe: Was jetzt in Sachen internationaler Datentransfer?, 25. 08. 2020, S. 8 ff mit Bezugnahme auf EU EU-Kommission Beschl. 2010/87/EU. 294
250
5. Kap.: Legitimierungen von Datenübermittlungen in die USA
beispielsweise die ausschließliche Einigung auf die Streitbeilegung vor einem Gericht des Mitgliedstaates anstelle von Schiedsgerichten und der gesamtschuldnerische Innenausgleich.297 Schutzmaßnahmen, die über die neuen SCC hinausgehen, werden im Folgenden vorgestellt. aa) Information an den Betroffenen über die Datenübermittlung Betroffene Personen sollen in jedem Fall über eine Datenübermittlung in einen Drittstaat ohne Angemessenheitsentscheidung informiert werden.298 Diese Verpflichtung besteht in jedem Fall vor oder sobald wie möglich nach der Übermittlung, unabhängig davon, ob eine Datenübermittlung bereits bei Erhebung der personenbezogenen Daten beabsichtigt war. Sie geht somit über die Pflichten in der DSGVO hinaus.299 Betroffene Personen können somit jederzeit von ihrem Widerspruchsrecht Gebrauch machen, wenn sie Grund zur Annahme haben, dass ein Zugriff durch die Behörden im Drittstaat bevorsteht. bb) Abstimmung mit der Aufsichtsbehörde Die betroffene Person soll zusätzliche über behördliche Zugriffsanfragen informiert werden. Im Falle einer Schweigeanordnung sollen anschließende Antworten auf die Anfragen und die weitere Vorgehensweise nur in Absprache mit der Aufsichtsbehörde erfolgen.300 Somit kann die Aufsichtsbehörde, soweit es ihr möglich ist, sicherstellen, dass ein Zugriff auf die personenbezogenen Daten im Einklang mit den europäischen Datenschutzgrundsätzen stattfindet. cc) Rechtswegbeschreitung bis zur letzten Instanz Die in den SCC vorgesehene Verpflichtung zur Anfechtung behördlicher Datenzugriffsanordnungen wird auch von der Aufsichtsbehörde empfohlen. Allerdings kann ein Datenimporteur dadurch einen weiteren Schutz als in den neuen SCC bieten, dass er sich nicht nur dazu verpflichtet, alle Rechtsmittel auszuschöpfen bis eine gerichtliche Hauptentscheidung vorliegt, sondern auch den Rechtsweg bis zur letzten Instanz zu beschreiten.301 Dann hat der Datenimporteur alle abrufbaren Mittel ausgeschöpft, um einen behördlichen Zugriff auf die personenbezogenen Daten zu verhindern. 297
Abänderung von Anhang Klausel 7 Abs. 1, nur Aufnahme von b und Aufnahme des in Anhang 2 genannten Beispiels für eine Entschädigungsklausel. 298 Abänderung Anhang Klausel 4 f mit Bezug auf Information bei der Übermittlung besonderer Datenkategorien. 299 Art. 13 Abs. 1 lit. f, Art. 14 Abs. 1 lit. f, 2 DSGVO. 300 Abänderung Anhang Klausel 5d i. 301 Ergänzung von Anhang Klausel 5d.
B. Zusätzliche Schutzmaßnahmen
251
c) Handlungsempfehlungen des europäischen Datenschutzausschusses Der europäische Datenschutzausschuss hat eine umfangreiche Handlungsempfehlung zu Datenübermittlungen in Drittstaaten unter Berücksichtigung der Schrems II-Entscheidung abgegeben. Neben technischen und organisatorischen Maßnahmen wurden auch vertragliche Verpflichtungen in die Empfehlung aufgenommen, die basierend auf den konkreten Risiken der Datenübermittlung weiteren Schutz vor behördlichen Zugriffen gewährleisten können. Einige Verpflichtungen decken sich mit den Inhalten der neuen SCC wie die Überprüfung und Anfechtung von Behördenanfragen und die Anwendung der Datenminimierung bei einer Zugriffsgewährung.302 Die nachfolgend aufgeführten Verpflichtungen bieten über die neuen SCC hinausgehende Schutzmaßnahmen. aa) Fragenkatalog als Vertragsbestandteil Der Datenimporteur könnte sich nicht nur im Rahmen der vorzunehmenden Risikoübermittlung dazu verpflichten, einen vom Datenexporteur zur Verfügung gestellten Fragenkatalog zur Anwendbarkeit von FISA und EO12333 auf die eigene Tätigkeit und bereits ergangene Anordnungen zu beantworten, sondern zusätzlich die Antworten zum Bestandteil des Vertrages machen. In diesem Rahmen könnte er dazu verpflichtet werden, die Richtigkeit innerhalb einer festgelegten Zeitspanne zu überprüfen und Änderungen in den Vertrag aufzunehmen.303 bb) Verpflichtung zur Vornahme zusätzlicher TOM Für Datenübermittlungen in die USA ist die Gewährung zusätzlicher technischer und organisatorischer Maßnahmen von Bedeutung. Auch wenn bereits ein Anreiz für die eigenständige Ergreifung dieser Maßnahmen angesichts der Schrems II-Entscheidung und der in den SCC geregelten Haftung gegenüber den Betroffenen besteht, ist eine gegenseitige Verpflichtung zur Vornahme spezifischer organisatorischer und technischer Maßnahmen ein effektives Mittel zur Gewährung der Befolgung.304 Zweifel hinsichtlich der zu ergreifenden technischen und organisatorischen Mittel können durch konkrete Verpflichtungen ausgeräumt werden. Darauf basierend kann neben der schuldrechtlichen Inanspruchnahme bei Vertragsverletzungen eine zusätzliche Vertragsstrafe vereinbart werden.
302 303 304
Europäischer Datenschutzausschuss, Recommendations 01/2020, Rn. 112. Vgl. Europäischer Datenschutzausschuss, Recommendations 01/2020, Rn. 101. Vgl. Europäischer Datenschutzausschuss, Recommendations 01/2020, Rn. 112, 119.
252
5. Kap.: Legitimierungen von Datenübermittlungen in die USA
cc) Keine Backdoors (1) Privacy by Design and Default Der europäische Datenschutzausschuss schlägt vor, dass sich der Datenexporteur vertraglich zu Backdoors für Verschlüsselungen positionieren soll.305 Daher sollte er vertraglich gewährleisten, dass er nicht absichtlich Hintertüren für den Zugang zu Systemen mit personenbezogenen Daten eingebaut hat und seine Systeme nicht absichtlich zugriffserleichternd gestaltet oder geändert hat.306 Dies setzt voraus, dass ihn das Recht im Drittstaat nicht dazu verpflichtet, Backdoors zu erstellen, den Zugriff zu eigenen System zu erleichtern oder die Schlüssel zur Entschlüsselung an Behörden zu übergeben.307 Es wird somit ein Schwerpunkt auf den mit der DSGVO in den Vordergrund gerückten Grundsatz „Privacy by Design and Default“ gelegt, der auch behördliche Zugriffe berücksichtigen soll. (2) Internationale Bewegungen mit ermittlungsbegünstigendem Ansatz Der europäische Datenschutzausschuss weist darauf hin, dass die bestehende Lage im Drittstaat Gewährleistungen in Bezug auf Backdoors unter Umständen unmöglich macht.308 In den USA besteht derzeit zwar kein Recht, das im Widerspruch zu dieser Gewährleistung steht, allerdings stellten die Republikaner im Senat im Juni 2020 einen neuen Gesetzentwurf zum „rechtmäßigen Zugang auf verschlüsselte Daten“309 vor und erneuerten damit frühere Bemühungen, Technologieanbieter zu zwingen, den Strafverfolgungsbehörden auf Vorlage eines Gerichtsbeschlusses Zugang zu personenbezogenen Daten zu gewähren.310 Die Annahme dieses Gesetzes würde nicht automatisch gegen die Möglichkeit der Gewährung eines angemessenen Datenschutzniveaus in den USA sprechen. Zum einen wird eine Backdoor-Verpflichtung auch in der EU diskutiert.311 Zuletzt forderte der EU-Ministerrat in einer Resolution Hintertüren für Ende-zu-Ende-Verschlüsselungen, die Behörden ihre Ermittlungsarbeiten ermöglichen sollen.312 Zum anderen könnte der Gesetzesentwurf dazu führen, dass weitere und konkretere ge305
Europäischer Datenschutzausschuss, Recommendations 01/2020 Rn. 103 Ebda. 307 Ebda. 308 Ebda. 309 Sog. Lawful Access to Encrypted Data Act. 310 Committee on the Judiciary, Balanced Solution to Bolster National Security, 23. Juni 2020. Abrufbar unter: https://www.judiciary.senate.gov/press/rep/releases/graham-cot ton-blackburn-introduce-balanced-solution-to-bolster-national-security-end-use-of-warrantproof-encryption-that-shields-criminal-activity. 311 ORF, Auf den Terroranschlag folgt EU-Verschlüsselungsverbot, 8. November 2020. Abrufbar unter: https://fm4.orf.at/stories/3008930/. 312 EU-Ministerrat, Draft Council Resolution on Encryption, 6. November 2020. Abrufbar unter: https://files.orf.at/vietnam2/files/fm4/202045/783284_fh_st12143-re01en20_783284.pdf. 306
B. Zusätzliche Schutzmaßnahmen
253
richtliche Kontrollen von Behördenzugriffen in den USA stattfinden als die jährliche Absegnung von Überwachungsprogrammen durch FISC. dd) Kurzfristige Reaktionsmöglichkeiten (1) Effektivere Audits durch den Datenexporteur Eine weitere Maßnahme, die weiteren Schutz für betroffene Personen bietet, ist die Durchführung von Audits und Inspektionen. Die vertragliche Gewährung der Vornahme von Inspektionen ist für den Datenexporteur nicht neu, könnte allerdings effektiver gestaltet und durchgesetzt werden. Der europäische Datenschutzausschuss schlägt eine kurze Ankündigungsfrist und Mechanismen vor, die ein rasches Eingreifen der Inspektionsstellen gewährleisten und die Autonomie des Exporteurs bei der Auswahl der Inspektionsstellen stärken.313 Diese Maßnahmen sind dazu geeignet, geheime Ermittlungen aufzudecken und darauf reagieren zu können. (2) Eigenständiges Handeln durch den Datenimporteur Der Datenimporteur sollte vertraglich dazu ermächtigt werden, zügig auf Behördenanfragen zu reagieren, ohne die Antworten des Datenexporteurs abzuwarten.314 Die Parteien können sich auf eine Wesentlichkeitsgrenze einigen, die ein eigenständiges Handeln rechtfertigt, wie die Sensibilität oder eine hohe Reichweite der angefragten personenbezogenen Daten.315 Die Handlungsoptionen in Form von der Löschung, Verschlüsselung oder Sicherung der personenbezogenen Daten sollten von vornherein festgelegt werden.316 Im Einzelfall können somit Datenzugriffe durch die Behörde verringert oder verhindert werden. (3) Schnelles Aussetzen der Datenübermittlungen Alle Beteiligten an einer Übermittlung könnten sich das Recht einräumen lassen, die Reaktionsfähigkeit auf behördliche Zugriffsanfragen zu prüfen. Die Parteien müssen in der Lage sein, die Datenübermittlungen auszusetzen oder ganz zu beenden, wenn kein angemessenes Datenschutzniveau mehr erreicht werden kann.317 Zudem sollten die Beteiligten ein Sonderkündigungsrecht für den Fall vereinbaren, dass kein rechtliches Instrument mehr vorliegt.318
313 314 315 316 317 318
Europäischer Datenschutzausschuss, Recommendations 01/2020; Rn. 105. Europäischer Datenschutzausschuss, Recommendations 01/2020; Rn. 109. Vgl. Europäischer Datenschutzausschuss, Recommendations 01/2020; Rn. 109. Europäischer Datenschutzausschuss, Recommendations 01/2020, Rn. 109. Ebda. Ritzer, CB 2016, 364, 367.
254
5. Kap.: Legitimierungen von Datenübermittlungen in die USA
ee) Erweiterte Transparenz (1) Tägliche Mitteilung an den Datenexporteur Die Verpflichtung, über behördliche Zugriffsanfragen zu informieren, könnte in häufigeren Intervallen erfolgen. Der europäische Datenausschuss macht den Vorschlag, dass der Datenimporteur den Datenexporteur mindestens täglich über behördliche Anfragen informiert. Bleibt eine Information aus, kann das dafür sprechen, dass der Datenimporteur eine behördliche Anfrage erhalten hat.319 Schweigeanordnungen können somit ihre Wirkung verlieren. Der Datenexporteur muss eine ordnungsgemäße Überwachung dieser Benachrichtigungen gewährleisten und der Datenimporteur dafür Sorge tragen, dass keine falschen Benachrichtigungen rausgeschickt werden.320 (2) Informierung der US-Behörde über den Konflikt Der Datenimporteur könnte sich vertraglich dazu verpflichten, die datenanfragende Behörde über den entstehenden Konflikt und seine nach den neuen SCC bestehende Pflicht, die Anfrage anzugreifen, informieren.321 Durch Aussicht des entstehenden Verzugs könnten die Daten ihre Relevanz für die Behörden verlieren und andere Ermittlungsmaßnahmen vorzugswürdiger sein. ff) Keine freiwillige Schutzverringerung Der Datenimporteur könnte sich dazu verpflichten, personenbezogene Daten nicht auf freiwilliger Basis an die Behörden herauszugeben. Dafür könnte sich der Datenimporteur dazu verpflichten, eine vorherige Einwilligung des Datenexporteurs und der betroffenen Person einzuholen.322 Die Anforderungen an die Freiwilligkeit der Einwilligung müssen dabei eingehalten werden, insbesondere in Subordinationsverhältnissen zwischen Arbeitnehmern und Arbeitgebern.323 Der Gedanke, dass der Schutz der betroffenen Person nicht freiwillig einem Risiko ausgesetzt werden soll, lässt sich auf allgemeine Regelungen im Drittstaat übertragen. Bestehen im Drittstaat optionale Ausnahmen, die den Schutz der betroffenen Person ausschließen oder verringern können, kann sich der Datenimporteur zur Nichtgeltendmachung dieser Ausnahmen verpflichten.
319 320 321 322 323
Europäischer Datenschutzausschuss, Recommendations 01/2020, Rn. 110. Europäischer Datenschutzausschuss, Recommendations 01/2020, Rn. 111. Europäischer Datenschutzausschuss, Recommendations 01/2020, Rn. 114. Europäischer Datenschutzausschuss, Recommendations 01/2020, Rn. 116, 117. Ebda.
B. Zusätzliche Schutzmaßnahmen
255
gg) Unterstützung der betroffenen Person Die Beteiligten einer Datenübermittlung könnten sich dazu verpflichten, die betroffene Person bei der Durchsetzung ihrer Rechte zu unterstützen.324 Besonders in den USA, in denen hohe Anforderungen an die Klagebefugnis gestellt werden, ist die betroffene Person auf alle Informationen, die für einen rechtswidrigen Zugriff sprechen, auf die Unterstützung der Beteiligten angewiesen. Der europäische Datenschutzausschuss hebt zudem die Rechtsberatung hervor, weil die Erfassung des Rechtssystems im Drittstaat ein komplexes und kostspieliges Unterfangen ist.325 hh) Vermeidung von Weiterübermittlungen Zudem könnte der Datenimporteur vertraglich ausschließen, die erhaltenen Daten in die USA oder einen anderen Drittstaat weiterzuleiten.326 Denn solche Weiterübermittlungen steigern das Risiko für behördliche Zugriffe. d) Ankündigungen von Microsoft Das Unternehmen Microsoft hat angekündigt, als erstes Unternehmen auf die Schrems II Rechtsprechung zu reagieren.327 In diesem Rahmen hat Microsoft verschiedene Versprechen im Zusammenhang mit behördlichen Zugriffsanfragen öffentlich abgegeben, die in die Verträge mit Datenexporteuren eingebunden werden können. aa) Angriff jeder Behördenanfrage Das erste Versprechen bezieht sich auf die vertragliche Verpflichtung, die bereits in den neuen SCC reflektiert ist, erhaltene behördliche Zugriffsanfragen anzugreifen. Das abgegebene Versprechen erscheint auf den ersten Blick noch über die Verpflichtung in den SCC hinauszugehen, weil Microsoft ausdrücklich jede Zugriffsanfrage angreifen will und nicht nur rechtswidrige. Allerdings stellt Microsoft zwangsläufig ebenso die Bedingung auf, dass die Anfechtung gesetzlich in dem Drittstaat erlaubt ist. In den USA bedeutet dies für Microsoft bei einer gewünschten Überprüfung durch FISC oder andere Gerichte die Darlegung der Rechtswidrigkeit.328 Das Versprechen von Microsoft geht für die USA somit nicht über die neuen SCC hinaus. 324
Europäischer Datenschutzausschuss, Recommendations 01/2020, Rn. 120, 121. Europäischer Datenschutzausschuss, Recommendations 01/2020, Rn. 121. 326 Europäischer Datenschutzausschuss, Recommendations 01/2020, Rn. 137. 327 Brill, New steps to defend your data, Microsoft Blog, 19.11.20. Abrufbar unter: https: //blogs.microsoft.com/on-the-issues/2020/11/19/defending-your-data-edpb-gdpr/. 328 Siehe Kapitel 4 Teil 2 dieser Arbeit. 325
256
5. Kap.: Legitimierungen von Datenübermittlungen in die USA
bb) Finanzieller Schadensausgleich Microsoft hat das Versprechen abgegeben, einen finanziellen Ausgleich an betroffene Personen zu zahlen, wenn Behördenanfragen entsprochen wird und dies ein Verstoß gegen die DSGVO darstellt. An welcher Höhe sich die Bemessung orientiert, wurde offengelassen. e) Zwischenergebnis Die vertraglichen Maßnahmen beziehen sich überwiegend auf Verpflichtungen des Datenimporteurs. Dieser muss genug Ressourcen einplanen, um den Vorschlägen zu gesteigerten Mitteilungs- und Informationspflichten gerecht zu werden. Besonders die vom LfDI BW vorgeschlagene Rechtswegbeschreitung bis zur letzten Instanz und die von Microsoft zugesagte Übernahme finanzieller Schäden des Betroffenen setzen ein hohes zur Verfügung stehendes Budget voraus. Die Vornahme zusätzlicher Maßnahmen, die organisatorisch, personell und finanziell einen höheren Aufwand für den Datenimporteur bedeuten, demonstrieren ein außerordentliches Bemühen des Datenimporteurs, das Datenschutzniveau der EU aufrechtzuerhalten. Diese Maßnahmen sollten daher insbesondere von solchen Datenimporteuren im Drittstaat ergriffen werden, die aufgrund ihrer Tätigkeit unter den Anwendungsbereich von FISA oder EO12333 fallen, wie beispielsweise Anbieter der elektronischen Kommunikation. Die Verpflichtung zur Vornahme festgelegter technischer und organisatorischer Maßnahmen sollte in jedem Falle für Datenübermittlungen in die USA vereinbart werden, um den durch die Snowden Enthüllungen aufgedeckten Überwachungsprogrammen hinreichend entgegenzuwirken. Der Datenimporteur sollte stets in der Lage sein, weitere technische und organisatorische Maßnahmen als die vereinbarten zu erbringen. 2. Organisatorische Maßnahmen Die Vornahme angemessener technischer und organisatorischer Maßnahmen gehört zu den wesentlichen Grundsätzen des europäischen Datenschutzrechts. Geeignete Maßnahmen für Datenübermittlungen in die USA können sich an solchen technischen und organisatorischen Maßnahmen orientieren, die in der EU vorgenommen werden, um unberechtigte Zugriffe Dritter zu verhindern. Zudem können sie sich auf Maßnahmen zum Schutz von Datenverarbeitungen mit höherem Risiko für die betroffene Person stützen. a) Erschwerung unzulässiger Behördenanfragen Die an einer Übermittlung Beteiligten können verschiedene organisatorische Maßnahmen treffen, um nicht gewünschte behördliche Zugriffe auf personenbezo-
B. Zusätzliche Schutzmaßnahmen
257
gene Daten zu erschweren. Dadurch kann das Risiko künftiger Anfragen gesenkt und können die Behörden dazu veranlasst werden, auf andere Übermittlungsmaßnahmen zurückzugreifen. aa) Begrenzung der zugriffsberechtigten Personen Eine geeignete Maßnahme für die Erschwerung der Beantwortung von Behördenanfragen durch den Datenimporteur stellt die Begrenzung der Personen dar, die einen Zugriff auf die personenbezogenen Daten haben. Der Kreis der Personen, die Zugriff auf personenbezogene Daten zur Zweckerfüllung benötigen, könnte durch organisatorische und strukturelle Veränderungen verkleinert werden.329 Je weniger Personen im Unternehmen des Datenimporteurs einen Zugriff auf die personenbezogenen Daten haben, umso besser können die Antworten auf behördliche Anfragen kontrolliert, nachverfolgt und letztendlich auch verhindert werden. Zur besseren Übersicht im Unternehmen könnte die Festlegung solcher Zugriffskonzepte durch eine zentrale Vergabestelle erfolgen. Zugriffsberechtigte Benutzerkonten sollten einzelnen Personen zugewiesen werden, anstelle mehrerer Personen in Form von Sammelkonten. bb) Reduzierung der Datenmenge Der Datenexporteur kann organisatorische Veränderungen tätigen, um die Datenmenge, die Gegenstand einer Übermittlung in die USA ist, zu reduzieren. Da der Datenexporteur an die Datenminimierung der DSGVO gebunden ist, muss er ohnehin die Datenerhebung und anschließende Übermittlung auf das beschränken, was für den Erhebungszweck notwendig ist.330 Für die Übermittlung in die USA sind aber noch darüberhinausgehende, die Datenmenge reduzierende Maßnahmen sinnvoll. Sie erfordern die Änderung der Strukturen der Datenverarbeitungen. Dafür kann der Datenexporteur zum Beispiel eine Trennung des relevanten Datensatzes vornehmen, der ansonsten mit einer gesamten Datenbank gebündelt übermittelt worden wäre.331 Dies kann im Einzelfall voraussetzen, dass die Erhebung der Daten in der EU trotz ihrer Rechtmäßigkeit bereits getrennt erfolgen muss. Es kann auch bedeuten, dass der Datenexporteur auf den rechtmäßigen Mehrwert verzichtet, den er durch Übersendung der Datenbank erhalten hätte. Hat der Datenimporteur einen Fernzugriff auf die Daten, beispielsweise auf eine firmeninterne Cloud, kann der Datenexporteur den Zugriff des Datenimporteurs beschränken und eine daran orientierte Neustrukturierung der Datenspeicherung
329 Vgl. Europäischer Datenschutzausschuss, Recommendations 01/2020 Rn. 131: „strict need-to-know-principle“; Grau/Granetzny, NZA 2016, 405, 410. 330 Siehe 3. Kapitel dieser Arbeit. 331 Europäischer Datenschutzausschuss, Recommendations 01/2020, Rn. 131.
258
5. Kap.: Legitimierungen von Datenübermittlungen in die USA
vornehmen.332 Erwägungen zu Reduzierungen der Datenmenge sollten auch personenbezogene Daten einbeziehen, deren Übermittlung aufgrund ihrer Sensibilität oder Komplexität ein erhöhtes Risiko für die betroffene Person darstellt (s. o.). Die Anwendung von Filtern, die solche Informationen automatisch anonymisieren oder löschen, kommt vor einer entsprechenden Übermittlung in Betracht. Soll auf die Verarbeitung durch den Datenimporteur nicht gänzlich verzichtet werden, ist ein denkbarer Ansatz, einen Teil der Datenverarbeitung, die in den USA vorgenommen wird, selbst in der EU vorzunehmen oder durch einen Anbieter in der EU erbringen zu lassen. cc) Datentreuhand-Modell US-amerikanische Unternehmen mit Niederlassungen in der EU haben die Möglichkeit, personenbezogene Daten auf dem Rechenzentrum eines europäischen Datentreuhänders zu speichern, um sich extraterritorialen Zugriffen zu entziehen. Im Einklang mit den Anforderungen an solche Behördenanfragen,333 sollten alle faktischen Zugriffsmöglichkeiten des US-amerikanischen Unternehmens ohne die Erlaubnis und das Zutun des Treuhänders ausgeschlossen werden.334 US-amerikanische Unternehmen in der EU, die auf einen Datentreuhänder abstellen, könnten sich gegenüber betroffenen Personen in der EU dazu verpflichten, dies für einen festgelegten Mindestzeitraum zu tun.335 dd) Vermeidung des Anwendungsbereichs von FISA und EO12333 Der Datenexporteur kann das Risiko eines behördlichen Zugriffs von personenbezogenen Daten in den USA erheblich reduzieren, wenn er den Anwendungsbereich der zugrunde liegenden Zugriffsbefugnisse meidet. Der Datenexporteur sollte daher die Übermittlung von Metadaten zu Kommunikationen wie die Namen der Kommunizierenden, verwendete Telefonnummern, E-Mail-Adressen, IP-Adressen, Benutzernamen sowie die Zeit und den Ort der Kommunikation in die USA vermeiden. Ist das nicht möglich, müssen wesentliche technische Vorkehrungen zum Schutz vor Behördenanfragen getroffen werden. Telekommunikationsanbieter und bekannte ehemalige PRISM-Kooperationspartner könnten ohne Nutzung eines europäischen Treuhänders als Datenempfänger gemieden werden und stattdessen auf europäische Anbieter umgestellt werden. 332
Vgl. Ebda. Siehe zur „faktischen Zugriffsmöglichkeit“ für Anfragen unter dem CLOUD-Act: Determann/Nebel, CR 2018, 408, 410“; generell für extraterritoriale Anfragen von US-Gerichten Rath/Kuß/Maiworm, CR 2016, 98, 102. 334 Rath/Kuß/Maiworm, CR 2016, 98, 102. 335 Vgl. zu Microsoft und der temporären Datentreuhandvereinbarung mit Telekom, Kühling/Buchner/Schröder, DSGVO, Art. 48 Rn. 29. 333
B. Zusätzliche Schutzmaßnahmen
259
Diese Pflicht könnte an alle Auftragsverarbeiter in der EU und in den USA weitergegeben werden. b) Aufdeckung erfolgter Zugriffe Es können verschiedene Maßnahmen ergriffen werden, um erfolgte Datenzugriffe aufzudecken. Daraus können Rückschlüsse auf das bestehende Behördeninteresse an den Daten und Konsequenzen für künftige Datenübermittlungen gezogen werden. aa) Protokollierung Der Datenexporteur und der Datenimporteur können Protokolle über die Umstände der Datenübermittlung anfertigen, um Unregelmäßigkeiten zu erkennen. Protokolle sollten die an der Übermittlung beteiligten Personen, den gewählten Übermittlungsweg und die Zeit des Versands und des Empfangs beinhalten, um in der Lage zu sein, Abweichungen festzustellen, die für einen auf dem Übermittlungsweg erfolgten Zugriff sprechen könnten. Eine weitere Möglichkeit liegt darin, die übermittelten Daten betreffenden Aktivitäten zugriffsberechtigter Nutzer zu protokollieren. Datenverarbeitungen, die für das datenempfangende Unternehmen unüblich sind, wie die großzügige Kopie von Datensätzen, können für eine bereits ergangene Behördenanfrage sprechen. Diese Protokolle könnten dem Datenexporteur vom Datenimporteur fortlaufend bereitgestellt werden, damit dieser selbst Unregelmäßigkeiten erkennen und auch im Falle einer behördlichen Schweigeanordnung unmittelbar Konsequenzen für künftige Datenübermittlungen ziehen kann. bb) Vollständigkeitsprüfung Der Datenimporteur sollte personenbezogene Daten nach ihrem Erhalt auf ihre Vollständigkeit überprüfen. Sind die empfangenen Daten unvollständig, könnte dies für einen vorherigen Zugriff während des Transfers sprechen. c) Vorfallmanagement Die DSGVO sieht geeignete Sicherheitsmaßnahmen nicht nur in der Vornahme vorbeugender Schutzmaßnahmen, sondern auch in der Regelung von Maßnahmen für den Fall des Eintritts von Vorfällen.336 Ergreift der Datenimporteur Vorkehrungsmaßnahmen für den Fall des Eintritts einer Behördenanfrage, kann sichergestellt werden, dass seine Mitarbeiter im Einklang mit den SCC-Verpflichtungen auf Anfragen reagieren.
336
Art. 32 Abs. 1 lit. c DSGVO.
260
5. Kap.: Legitimierungen von Datenübermittlungen in die USA
aa) Mitarbeitersensibilisierung (1) Sensibilisierung für die Rechtmäßigkeit nach dem US-Recht Der Datenimporteur sollte seine Mitarbeiter für behördliche Anfragen auf Daten sensibilisieren.337 Eine Sensibilisierung ist erforderlich, um dem Entsprechen rechtswidriger Behördenanfragen vorzubeugen und die übrige Einhaltung der unter den neuen SCC begründeten Verpflichtungen in der Praxis erfüllen zu können. Dafür eignen sich interne Richtlinien und Schulungen, die das zugriffsberechtigte Personal über die Voraussetzungen einer rechtmäßigen Zugriffsanfrage und die als Datenimporteur bestehenden Pflichten informieren.338 (2) Keine Sensibilisierung für die EU-Grundrechtecharta Der europäische Datenschutzausschuss betont, dass die Entwicklungen sowohl innerhalb des Drittstaates als auch innerhalb der EU zu verfolgen und bei Bedarf entsprechende Aktualisierungen vorzunehmen sind.339 Daher eigne sich eine Kooperation mit dem Datenexporteur, sofern dies möglich sei.340 Darüber hinaus stellt der europäische Datenschutzausschuss eine Anforderung an entsprechende Sensibilisierungsmaßnahmen, die direkt an die europäische Grundrechtecharta knüpft, auch wenn der Datenimporteur nicht ihrer Bindung unterliegt. Demnach sollen Schulungsmaßnahmen die Anforderungen des EU-Rechts hinsichtlich des Zugangs von Behörden zu personenbezogenen Daten enthalten, insbesondere gemäß Artikel 52 Absatz 1 der Grundrechtecharta. Dabei solle das Bewusstsein des Personals durch praktische Beispiele für Datenzugriffsanträge von Behörden und der Anwendung des Standards aus Artikel 52 Absatz 1 der Grundrechtecharta geschärft werden. Die Orientierung der Sensibilisierung an die EUGrundrechtecharta ist besonders deshalb überraschend, weil die Rechtmäßigkeit des behördlichen Zugriffs im Drittstaat sich nur nach dem geltenden Recht im Drittstaat richtet. Eine weitergehende Prüfung durch den Datenimporteur ist auch nicht in den neuen SCC vorgesehen und auch nicht sinngemäß, weil die Behörden im Drittstaat nicht an Artikel 52 Absatz 1 der Grundrechtecharta gebunden sind. Die Intention der Einbeziehung von Artikel 52 Absatz 1 Grundrechtecharta liegt wohl in der Referenz zur Schrems II-Entscheidung und der dort vom EuGH bestätigten Anforderungen an Eingriffe in europäische Grundrechte unter Verweis auf diesen Artikel.341 Eine ausdrückliche Bezugnahme auf die Anforderungen, die eine transparente gesetzliche Befugnisnorm und die Beschränkung auf das absolut
337 338 339 340 341
Europäischer Datenschutzausschuss, Recommendations 01/2020, Rn. 122 ff. Europäischer Datenschutzausschuss, Recommendations 01/2020, Rn. 122 ff. Europäischer Datenschutzausschuss, Recommendations 01/2020, Rn. 125. Ebda. EuGH, U. v. 16. 7. 2020 – C-311/18 =MMR 2020, 597, 605 Rn. 174 ff.
B. Zusätzliche Schutzmaßnahmen
261
Notwendige sowie die Verhältnismäßigkeit darstellen,342 hätten die bestehenden Zweifel über die Bedeutung ausgeräumt. Der Datenimporteur und seine Mitarbeiter müssen behördliche Anfragen also nicht dahingehend prüfen, ob sie im Einklang mit Artikel 52 Absatz 1 Grundrechtecharta stehen. bb) Reaktionsplan Die Beteiligten einer Datenübermittlung sollten einen internen Plan darüber aufstellen, welche Schritte bei behördlichen Anfragen zu tätigen sind und wer für deren Vornahme zuständig ist. Insbesondere sollte geklärt sein, welche Informationen über die Behördenanfrage zu dokumentieren und später an den Datenexporteur weiterzuleiten sind und wer die behördliche Anfrage auf ihre Rechtmäßigkeit prüft und den Datenexporteur informiert. Eine Aufsichtsperson sollte für die Einhaltung dieser Schritte bestimmt werden. Auch der Datenexporteur sollte intern klären, wie er den Datenimporteur bei Beantwortung der Behördenanfrage unterstützen und seine gegenüber den betroffenen Personen bestehende Informationspflicht erfüllen kann. Die frühzeitige Involvierung des Datenschutzbeauftragten sollte vorgesehen sein.343 Außerdem muss der Datenexporteur interne Vorbereitungen getroffen haben, um Datenübermittlungen an das erhöhte Risiko anzupassen und im bei Bedarf zu unterlassen. cc) Bestellung eines Expertenteams Der europäische Datenschutzausschuss schlägt die Bestellung eines in der EU angesiedelten Expertenteams für Datenschutz durch den Datenimporteur vor, das im Falle behördlicher Anfragen die Kommunikation mit der eigenen Rechtsabteilung und Unternehmensleitung sowie mit dem Datenexporteur führt.344 Dafür kommen ein entsprechendes Expertenteam aus dem Unternehmenskonzern des Datenimporteurs oder eine externe Stelle, welche die ähnliche Funktion eines externen Datenschutzbeauftragten übernimmt, in Betracht. Vom europäischen Datenschutzausschuss wird vorgeschlagen, dass das Expertenteam zudem die Anfechtung unverhältnismäßiger oder unrechtmäßiger Anfragen und die Informierung der betroffenen Personen übernimmt.345 Die Benennung eines Expertenteams kann dem Datenimporteur somit viele ihm in den neuen SCC zugeteilten Aufgaben abnehmen.
342 343 344 345
Siehe 2. Kapitel dieser Arbeit. Europäischer Datenschutzausschuss, Recommendations 01/2020, Rn. 133, 134. Europäischer Datenschutzausschuss, Recommendations 01/2020, Rn. 124. Ebda.
262
5. Kap.: Legitimierungen von Datenübermittlungen in die USA
d) Zwischenergebnis Organisatorische Maßnahmen sind von allen Parteien, die an einer Übermittlung in einen Drittstaat beteiligt sind, vorzunehmen. Sie fordern strukturelle Veränderungen und eine sorgfältige Planung, um behördliche Datenzugriffe tatsächlich zu erschweren und im Falle ihres Eintrittes entstehende Schäden zu minimieren. Organisatorische Maßnahmen, die darauf abzielen, Anfragen von US-Behörden zu erschweren, sind zwangsläufig mit Einbußen und Verzicht verbunden. Das betrifft sowohl Einbußen des Datenimporteurs, beispielsweise bei der Begrenzung des internen Zugriffs, als auch den Verzicht des Datenexporteurs, die Übermittlungen von für US-Behörden relevante personenbezogene Daten zu vermeiden. In der Praxis ist die Vornahme entsprechender organisatorischer Maßnahmen nicht immer eine realistisch durchzuführende Option. Ohne Angemessenheitsentscheidung mit Bezug auf die USA wird die Vornahme solcher Maßnahmen samt ihren Folgen für risikogesteigerte Datenübermittlungen nicht zu verhindern sein, um den Anforderungen der EU gerecht zu werden. Maßnahmen, die vorgenommen werden können, um erfolgte Zugriffe aufzudecken, sind aufwendig und versprechen nicht zwingend Erfolg. Behördliche Zugriffe erfolgen oftmals ohne Spuren zu hinterlassen, beispielsweise bei der von US-Behörden aufgedeckten Tätigkeit, eine Kopie von solchen Daten anzufertigen, die über Glasfaserkabel übertragen werden. Dennoch sollten Datenimporteure, die häufig unter den Anwendungsbereich der DSGVO fallende Daten erhalten, Protokollierungen der Datenübermittlungen vornehmen, um Unregelmäßigkeiten aufzudecken. Es kommen automatisierte Erfassungen der Umstände der Datenübermittlungen in Betracht, um den Arbeitsaufwand zu verringern. 3. Technische Vorkehrungen Die Vornahme technischer Schutzmaßnahmen ist für die Übermittlung personenbezogener Daten in die USA unerlässlich. Hierdurch kann selbst bei einem erfolgreichen Zugriff von Behörden auf die Daten gewährleistet werden, dass kein Zugriff auf personenbezogene Inhalte ohne weitere Anstrengungen durch die Behörden erfolgt. Die vorgeschlagenen Maßnahmen beziehen sich nicht auf eine Anonymisierung in der EU, da in diesem Falle keine personenbezogenen Daten mehr übermittelt werden. a) Ende-zu-Ende-Verschlüsselung Um personenbezogene Daten während des gesamten Datentransfers vor den Konsequenzen einer Glasfaserkabelanzapfung durch US-amerikanische Nachrichtendienste zu schützen, sollte eine Ende-zu-Ende-Verschlüsselung vorgenommen
B. Zusätzliche Schutzmaßnahmen
263
werden.346 Der Datenexporteur sollte sich dabei für eine starke Verschlüsselung entscheiden, die ein Lesen der Daten beinahe unmöglich macht.347 Der Verschlüsselungsalgorithmus und seine Parametrisierung sollten dem Stand der Technik entsprechen und unter Berücksichtigung der den Behörden des Empfängerlandes zur Verfügung stehenden Ressourcen und technischen Möglichkeiten als robust angesehen werden können.348 US-Unternehmen sollten handelsübliche Verschlüsselung verwenden, da sie sonst möglicherweise eine spezielle Lizenz für die Software benötigen.349 Die Schlüssel müssen zuverlässig verwaltet werden und sollten ausschließlich unter der Kontrolle des Datenexporteurs oder einer anderen in der EU ansässigen Stelle stehen.350 b) Pseudonymisierung Der Datenexporteur könnte die personenbezogenen Daten vor dem Transfer in die USA pseudonymisieren, sodass den US-amerikanischen Behörden anhand des Zugriffs auf die übermittelten Daten keine Identifizierung betroffener Personen gelingt. Die Pseudonymisierung hat unter Berücksichtigung aller Informationen zu erfolgen, über die die Behörden des Empfängerlandes bereits verfügen können.351 In Anlehnung an den HIPAA, der vorsieht, dass bestimmte Kontaktinformationen von Datensätzen entfernt werden müssen,352 können sich der Datenexporteur und der Datenimporteur ebenso auf konkrete Merkmale einigen, die getrennt aufbewahrt werden sollen. In Betracht kommt dies besonders für solche Informationen, die ein erhöhtes Zugriffsrisiko von US-Behörden bergen. Die zusätzlichen Informationen, die zur Identifizierung einer Person notwendig sind, sollten sich nach Ansicht des europäischen Datenschutzausschusses ausschließlich im Besitz des Datenexporteurs befinden. Ferner sollten sie getrennt in der EU oder einem Drittland, zu dem die EU-Kommission eine Angemessenheitsentscheidung erlassen hat, aufbewahrt werden.353 Dazu ist anzumerken, dass – sofern es sich bei dem Datenexporteur um ein Unternehmen handelt, das dem Konzern des Datenimporteurs angehört – aufgrund des möglichen Erhalts einer eigenen Zu-
346
Jungkind/Raspé/Schramm, NZG 2020, 1056, 1059. Kuner, Verfassungsblog, Schrems II Re-Examined, 25. 08. 2020. Abrufbar unter: https:// verfassungsblog.de/schrems-ii-re-examined/. 348 Europäischer Datenschutzausschuss, Recommendations 01/2020, S. 22 ff. 349 15 CFR 742.15; Evans/et. al, Schrems II landmark ruling: our recommendations, 27. 07. 2020, abrufbar unter: https://www.dataprotectionreport.com/2020/07/schrems-ii-landmark-ru ling-our-recommendations/. 350 Europäischer Datenschutzausschuss, Recommendations 01/2020, S. 22, 23. 351 Europäischer Datenschutzausschuss, Recommendations 01/2020, S. 23, 24. 352 45 CFR § 164.514(b)(2). 353 Ebda. 347
264
5. Kap.: Legitimierungen von Datenübermittlungen in die USA
griffsanordnung,354 eine Speicherung bei einer externen Stelle einen größeren Schutz gebieten kann.355 In jedem Fall sollten für die zur Identifizierung notwendigen Informationen angemessene technische und organisatorische Schutzmaßnahmen getroffen werden,356 die eine Weitergabe an die Nachrichtendienste im Drittstaat und einen eigenmächtigen Zugriff ausschließen.357 c) Datenverschleierung Der Datenexporteur könnte die Datensätze mit Zweckattributen versehen, die sich ausschließlich auf Bereiche beziehen, die weniger relevant für Behördenzugriffe sind wie HR oder Marketing. Auch die Bezeichnung der Daten vor dem Transfer und nach dem Erhalt sollte keine für die US-Behörden sicherheitsrelevante Bereiche tangieren, um die Aufmerksamkeit von Behörden zu vermeiden.358 d) Versand von Datenträgern Der Datenexporteur sollte andere Übermittlungswege als die elektronische Datenübermittlung in Erwägung ziehen, um Datenzugriffe zu vermeiden. Es kommt eine physische Versendung von Datenträgern in Betracht, wenn keine fortlaufende Aktualisierung der Daten von Nöten ist.359 e) Trennungsprinzip Informationen wie Metadaten zur Kommunikation, die für US-Behörden von besonderem Interesse sind, sollten nicht zusammen mit anderen Informationen übermittelt werden. Der Datenimporteur sollte solche Informationen auch getrennt von anderen Informationen über die betroffene Person speichern und verarbeiten. f) Mehrparteienverarbeitung Der Datenexporteur kann die Datenverarbeitung unter verschiedenen Unternehmen aufteilen, so dass kein Teil ausreicht, um die personenbezogenen Daten zu rekonstruieren und die betroffene Person zu identifizieren. Die Zusammenführung sollte der Datenexporteur nach dem Rückerhalt der bereits verarbeiteten Daten selbst
354
Siehe zum CLOUD-Act im vierten Kapitel dieser Arbeit. Vgl. DSGVO EG 29; Roßnagel, ZD 2018, 243, 247 zur Möglichkeit einer internen Pseudonymisierung. 356 Roßnagel, ZD 2018, 243, 246. 357 Europäischer Datenschutzausschuss, Recommendations 01/2020, S. 23, 24. 358 Jungkind/Raspé/Schramm, NZG 2020, 1056, 1058. 359 Ambrock, NZA 2015, 1493, 1495; Jungkind/Raspé/Schramm, NZG 2020, 1056, 1058. 355
B. Zusätzliche Schutzmaßnahmen
265
vornehmen.360 Der europäische Datenschutzausschuss schlägt vor, dass die Datenverarbeiter unabhängig voneinander sein und unterschiedlichen Gerichtsbarkeiten unterliegen sollten.361 Es dürfen keine Belege für die Zusammenarbeit der Behörden der Staaten vorliegen, denen die datenverarbeitenden Unternehmen unterliegen, die im Zusammenspiel einen Zugang zu allen Datensätzen des Drittstaates ermöglichen.362 g) Überwachung der Leitung Die Glasfaserkabelanzapfung durch Behörden erfolgt in der Regel363 durch einen Abgriff der Daten am Wartungsport von Verteilerkästen, in der die Kabel miteinander verbunden werden und das Signal verstärkt wird.364 Der Abgriff erfolgt an dieser Stelle mit Hilfe des Einbringens zusätzlicher Hardware oder anhand eines sog. Biegekopplers, der die Daten kopiert und zu den Rechnern der Behörden weiterleitet.365 aa) Eigene Leitungen Ist einer der Beteiligten einer geplanten Datenübermittlung im Besitz von eigenen Leitungen, sollten personenbezogene Daten mit vermehrter Relevanz für die USBehörden ausschließlich über diese Wege übermittelt werden. Dann ist es möglich, die Laufzeit der Übertragung und die Signalstärke der eigenen Leitung zu überwachen. Dadurch kann ein Einwirken durch Biegekoppler und andere Hardware auf die Verteilerkästen erkannt werden. Diese Lösung kommt vornehmlich für Telekommunikationsanbieter in Betracht, die gleichzeitig Netzbetreiber sind. Sie ist zudem denkbar, um das Risiko unentdeckter Behördenzugriffe bei einer Weiterübermittlung der personenbezogenen Daten innerhalb der USA zu senken. Für Unternehmen ohne eigene Leitungen besteht die Möglichkeit, Leitungen zu mieten. Dann ist es ebenfalls möglich, den konkreten Übertragungsweg zu überwachen. Zur Überwachung könnte der Netzbetreiber vertraglich verpflichtet werden.
360
Europäischer Datenschutzausschuss, Recommendations 01/2020, S. 25, 26. Europäischer Datenschutzausschuss, Recommendations 01/2020, S. 25, 26. 362 Europäischer Datenschutzausschuss, Recommendations 01/2020, S. 25, 26. 363 Ausnahme, wenn die personenbezogenen Daten über „Ausleitungsschnittstellen“ direkt in die NSA-Archive umgeleitet werden. Dies ist für die EU nicht die Regel, da dieser Weg auf dem Staatsgebiet „befreundeter“ Nachrichtendienste genutzt wird. Vgl. Welchering, Mit Vierkantschlüssel und Biege-Koppler, 17. Juli 2013. Abrufbar unter: https://www.faz.net/aktu ell/politik/daten-im-internet-mit-vierkantschluessel-und-biege-koppler-12275562.html. 364 Welchering, Mit Vierkantschlüssel und Biege-Koppler, 17. Juli 2013. 365 Ebda. 361
266
5. Kap.: Legitimierungen von Datenübermittlungen in die USA
bb) Auswahl der Netzbetreiber Datenübermittler sollten Netzbetreiber auswählen, die ihre Glasfaserkabel vor unbefugten Zugriffen schützen. Insbesondere sollten die für den Datenabgriff maßgeblichen Verteilerkästen mit einbruchhemmenden Schlössern ausgestattet und durch Einbruchmeldeanlagen überwacht werden. Zutritte zu den Verteilerkästen sollten vom Netzbetreiber manipulationssicher protokolliert werden. h) Schutz nach Erhalt der Daten Es muss außerdem festgelegt werden, welcher fortgehende Schutz nach dem Erhalt der Daten gewährleistet wird, insbesondere wenn die Datenverarbeitung im Drittstaat eine Entschlüsselung nach erfolgter Übermittlung voraussetzt.366 Der Datenimporteur ist nach den Übermittlungsgarantien ohnehin verpflichtet, angemessene technische Maßnahmen zum Schutz der Daten vor Zugriffen Dritter vorzunehmen.367 Die Angemessenheit von Datenübermittlungen in die USA muss an dem erhöhten Risiko behördlicher Datenzugriffe gemessen werden. Somit sind strenge Maßnahmen zur Erfüllung dieser Pflicht zu ergreifen. Das System, in dem die Daten durch den Datenimporteur verarbeitet und gespeichert werden, sollte streng vor Zugriffen Dritter geschützt und kontinuierlich auf Unregelmäßigkeiten überwacht werden. Dafür können Instrumente genutzt werden, die ungewöhnliche Zugriffe auf die eigenen Systeme erkennen.368 Die Datenträger, die einen Zugriff auf die übermittelten personenbezogenen Daten gewähren, sollten in jedem Fall verschlüsselt sein. Der Datenimporteur könnte zusätzlich die Art und Anzahl der Datenträger mit Zugriff auf die empfangenen Daten reduzieren, um gleichzeitig die Anzahl der Datenübermittlungen zu minimieren. Der Datenimporteur sollte keine Back-ups erstellen, die in den USA gespeichert werden oder sogar gänzlich von Back-ups mit personenbezogenen Daten absehen, um eine weitere Übermittlung zu vermeiden. Im Übrigen sollten Datenschutz- und Datensicherheitsrichtlinien auf der Grundlage von EU-Zertifizierungen, Verhaltenskodizes oder internationalen Standards (z. B. ISO-Normen) dem Datenimporteur als Grundlage dienen.369 i) Zwischenergebnis Für die Übermittlung personenbezogener Daten in die USA sollte aufgrund der möglichen Glasfaserkabelanzapfung in jedem Falle eine Ende-zu-Ende-Verschlüs366
Vgl. Korff, on Kuner: Schrems II Re-Examined, 03. September 2020. Abrufbar unter: https://www.ianbrown.tech/2020/09/03/korff-on-kuner-schrems-ii-re-examined/. 367 Z. B. SCC Draft Annex, Sec. II 1.5. 368 Grau/Granetzny, NZA 2016, 405, 410 mit Verweis auf einen Leitfaden von ENISA, Technical Guideline on Security Measures, Oktober 2014, S. 16 f., 22 f. 369 Europäischer Datenschutzausschuss, Recommendations 01/2020, S. 37 Rn. 135.
C. Ausblick und Endbewertung
267
selung angewandt werden, bei der der Schlüssel getrennt übermittelt und sicher aufbewahrt wird. Zudem kann eine Pseudonymisierung durchgeführt werden, bei der die verbleibenden Inhalte, die in Kombination eine Identifizierung der betroffenen Person ermöglichen, angemessen geschützt werden. Da es für den Datenexporteur aufgrund zahlreicher Kombinationsmöglichkeiten in der Praxis schwierig sein kann, zu ermitteln, welche Informationen den US-Behörden bereits vorliegen, ist eine alleinige Pseudonymisierung ohne Verschlüsselung weiterhin mit einem Risiko zur Personenidentifizierung behaftet. Datenübermittlungen, die ein höheres Risiko des Zugriffs US-amerikanischer Behörden oder für die betroffene Person aufgrund der Sensibilität der Daten oder anderer Umstände bergen, sollten daher durch beide Maßnahmen geschützt werden. Angemessene Schutzmaßnahmen nach Erhalt der Daten müssen in Anbetracht der Möglichkeit eines Zugriffs auf gespeicherte personenbezogene Daten in jedem Falle getroffen werden. Die anderen in Betracht kommenden technischen Maßnahmen können das bestehende Risiko für behördliche Datenzugriffe weiter senken und sollten daher zusätzlich in Betracht gezogen werden. Ihre Durchführung ist allerdings nicht immer technisch möglich oder mit einem erheblichen Aufwand verbunden.
C. Ausblick und Endbewertung I. Zusätzliche Maßnahmen in einem dritten Datenschutzschild Die Durchführung einer Risikoanalyse und die Ergreifung zusätzlicher Maßnahmen für alle Datenübermittlungen in Drittstaaten ohne Angemessenheitsentscheidung sind zwei in der DSGVO angesiedelte Schritte, über deren Vornahme sich die meisten Datenexporteure bis zur Schrems II-Entscheidung nicht bewusst waren. Die Bestätigung dieser Rechtslage durch den EuGH führt dazu, dass Datenexporteure nicht auf eine dritte Angemessenheitsentscheidung der EU-Kommission zum Datenschutzniveau in den USA warten müssen. Datenexporteure können sich aktiv mit den Datenimporteuren auf vertragliche, technische und organisatorische Maßnahmen einigen, die den Risiken im Einzelfall gerecht werden, um allen Übermittlungsgarantien aber auch einem dritten Datenschutzschild gerecht zu werden. Denn ohne Änderung der Befugnisse der US-Behörden werden einige in diesem Abschnitt vorgeschlagenen zusätzlichen Maßnahmen auch Bestandteil einer neuen Angemessenheitsentscheidung sein. Das dritte Datenschutzschild für die USA könnte dann erstmalig auch Pflichten für Datenexporteure enthalten, indem es seine Verwendung an gewisse Schutzvorkehrungen wie die Ende-zu-Ende-Verschlüsselung knüpft. Der Schwerpunkt der Verpflichtungen würde erneut bei der Selbstzertifizierung durch den Datenimporteur liegen, wie die Tendenz der in diesem
268
5. Kap.: Legitimierungen von Datenübermittlungen in die USA
Abschnitt aufgezählten zusätzlichen Maßnahmen zeigt. Denkbar ist, dass sich die Selbstzertifizierung von Datenimporteuren auf konkrete zusätzliche Maßnahmen erstreckt, wie die Begrenzung zugriffsberechtigter Personen, deren Erfüllung dann notwendig ist, um am dritten Datenschutzschild teilzunehmen. Schutzmaßnahmen, die eine strukturelle Änderung der geplanten Datenverarbeitung bedeuten, wie der Versand von Datenträgern oder die Mehrparteienverarbeitung, könnten dann von dem Vorliegen im Datenschutzschild festgelegter Umstände wie der Übermittlung sensibler personenbezogener Daten abhängen.
II. Anpassung anderer Übermittlungsgarantien für die USA 1. Verpflichtungen der neuen SCC als vertraglicher Mindeststandard Finden Datenübermittlungen in die USA ohne Unterzeichnung der neuen SCC statt, sollten sich zusätzliche vertragliche Maßnahmen in jedem Fall mindestens auf die neuen Verpflichtungen der SCC im Hinblick auf behördliche Datenzugriffe beziehen, weil die Empfehlungen vom europäischen Datenschutzausschuss und dem LfDI BW auf diesen Pflichten aufbauen. Zudem ist davon auszugehen, dass die neuen schutzerweiternden SCC nach für gültig Erklärung ihrer Vorgänger durch den EuGH weiterhin als die primäre Übermittlungsgrundlage bei Datenübermittlungen in Drittstaaten dienen werden.370 2. Zusätzliche technische und organisatorische Maßnahmen Für alle Übermittlungsgarantien müssen aufgrund ihrer auf Zugeständnissen und Verträgen basierten Natur zusätzliche technische und organisatorische Maßnahmen bei Datenübermittlungen in die USA getroffen werden, um unzulässige behördliche Zugriffe zu verhindern. Die SCC verlieren somit ihren Vorteil der schnellen Einsetzbarkeit. Dies könnte einen Anreiz schaffen, andere Übermittlungsgarantien, die durch die SCC in den Hintergrund gerückt sind, an die Anforderungen von Schrems II anzupassen und zu verwenden. Andere Übermittlungsgarantien, die wie die BCR individuell gestaltet werden können, sind flexibler, um den Risiken konkreter Datenübermittlungen, die vom Datenexporteur durchgeführt werden, gerecht zu werden. In Betracht kommen auch von Aufsichtsbehörden wie dem LfDI BW erstellte eigene SCC. Nationale Aufsichtsbehörden können somit die Datenexporteure durch die Abdeckung bestimmter Übermittlungen und Risikoszenarien in ihren SCC bei der Risikoanalyse und Entscheidung über zusätzliche Maßnahmen unterstützen. 370
Hoeren, Anm. zu EuGH U. v. 16. 7. 2020 – C-311/18, MMR 2020, 597, 608.
C. Ausblick und Endbewertung
269
3. Im Einzelfall: Kein angemessenes Datenschutzniveau Die Auswahl und Umsetzung einer oder mehrerer zusätzlicher Maßnahmen gewährleisten nicht, dass die Anforderungen an eine Übermittlung erfüllt werden.371 Der europäische Datenschutzausschuss hat betont, dass es Fälle gibt, in denen die Risikoanalyse zu dem Ergebnis kommt, dass auch bei der Vornahme zusätzlicher Maßnahmen kein angemessenes Datenschutzniveau im Drittstaat erreicht werden kann.372 Es ist davon auszugehen, dass dies insbesondere bei der Übermittlung erheblicher und sensibler personenbezogener Daten in die USA der Fall ist.373 In jedem Fall sollten Datenexporteure ihre Abwägung gründlich dokumentieren, um der Rechenschaftspflicht gerecht zu werden.374
III. Verlagerung von Datenverarbeitungen in die EU Risikoanalysen, die zu Lasten der Datenübermittlungen ausfallen, und die durch die neuen SCC begründete gesteigerte Rechenschaftspflicht beider Beteiligten schrecken von einer Datenübermittlung in Drittstaaten ohne Angemessenheitsentscheidung ab. Die Gefahr, bei der Durchführung der eigenverantwortlichen Risikoanalyse oder den anschließenden zusätzlichen Maßnahmen den Anforderungen der Aufsichtsbehörden nicht gerecht zu werden, ist hoch. Datenexporteure sollten die Handlungsempfehlungen und anderen Aktivitäten der für sie zuständigen Aufsichtsbehörde verfolgen und sich im Zweifel an die Aufsichtsbehörde wenden. In Anbetracht der strengen Haftung unter der DSGVO und eingehender Reputationsverluste bei Sanktionsverhängung, ist denkbar, dass internationale Konzerne ihre Datenverarbeitung neu ausrichten. In Betracht kommt die Beschränkung interner Zugriffs- und Kontrollmöglichkeiten der personenbezogenen Daten durch die US-Niederlassung. Für US-amerikanische Unternehmen ist ein Entzug des Einflusses und der Kontrolle durch den Mutterkonzern nicht immer möglich. US-Behörden können globalen Unternehmen in den USA aufgeben, bestehende Einflussmöglichkeiten auf andere verbundene Unternehmen zur Herausgabe von Daten zu nutzen und für die Weigerung eine Strafe oder ein Bußgeld375 androhen.376 Deshalb muss bei der 371
Europäischer Datenschutzausschuss, Recommendations 01/2020, S. 28 Rn. 93. Europäischer Datenschutzausschuss, 41st Plenary session: EDPB adopts recommendations on supplementary measures following Schrems II, 11.11.20, https://edpb.europa.eu/ news/news/2020/european-data-protection-board-41st-plenary-session-edpb-adopts-recommen dations_en. 373 Kühling/Buchner/Schröder, DSGVO, Art 46 Rn 18. 374 Europäischer Datenschutzausschuss, 41st Plenary session. 375 Siehe für die Nichtbefolgung einer FISA-Anordnung 18 U. S. C. §§ 401, 402 und für eine NSL 18 U. S. C. § 3511 c. 372
270
5. Kap.: Legitimierungen von Datenübermittlungen in die USA
Nutzung der Treuhandlösung ein strenger vertraglicher Maßstab angelegt werden, um jede eigenständige faktische Zugriffsmöglichkeit des konzernangehörigen Unternehmens in der EU auszuschließen.377 Außerdem wird eine Unabhängigkeit aus unternehmerischen Gründen erschwert. Je mehr vom Mutterkonzern bestimmt wird, desto mehr personenbezogene Daten, die nicht notwendigerweise für die Erbringung der vereinbarten Dienstleistung benötigt werden, werden aus der EU in die USA übermittelt, um die konzerninternen Strategien an den europäischen Markt anzupassen. Mit steigender Abhängigkeit vom Mutterkonzern wächst somit die Herausforderung, die Datenmenge zu reduzieren, Datensätze zu pseudonymisieren, die Zugriffsberechtigung auszuschließen und andere zusätzliche Maßnahmen zu ergreifen. In Anbetracht dieser Herausforderung hat Facebook vor dem obersten irischen Gerichtshof angekündigt, Facebook und Instagram in der EU nicht mehr anzubieten.378 Zwar ist der Eintritt dieser Ankündigung eher unwahrscheinlich,379 dennoch demonstriert sie das Ausmaß der Schrems II-Entscheidung. Besonders für kleine Unternehmen und Mittelständler, die über weniger Ressourcen verfügen, ist es schwierig, eine umfassende Risikoanalyse für alle Konstellationen der Datenübermittlung durchzuführen und die zusätzlichen Maßnahmen umzusetzen. Da der Verantwortliche in der EU nur begrenzte zusätzliche Maßnahmen zum Schutz vor behördlichen Zugriffen treffen kann und auf die Umsetzung durch den Datenimporteur angewiesen ist, besteht für ihn ein Anreiz, personenbezogene Daten durch europäische Auftragsverarbeiter verarbeiten zu lassen oder eigene Lösungen zu etablieren wie eine Firmencloud mit Servern in der EU.380 Somit erschweren die konkretisierten Anforderungen an eine Datenübermittlung in einen Drittstaat die Erbringung von Dienstleistungen durch US-amerikanische Unternehmen an europäische Unternehmen.
IV. Auswirkungen auf den Handel Der für die Entstehung des europäischen Datenschutzes leitgebende Gedanke,381 dass die personenbezogenen Daten zur Verwirklichung des Binnenmarkts innerhalb 376
Becker/Nikolaeva, CR 2012, 170, 172; Voigt, MMR 2014, 158, 160. Siehe zur „faktischen Zugriffsmöglichkeit“ für Anfragen unter dem CLOUD-Act: Determann/Nebel, CR 2018, 408, 410; generell für extraterritoriale Anfragen von US-Gerichten Rath/Kuß/Maiworm, CR 2016, 98, 102. 378 Gilbert, Facebook Says it Will Stop Operating in Europe If Regulators Don’t Back Down, 21.09.20. Abrufbar unter: https://www.vice.com/en/article/889pk3/facebook-threatensto-pull-out-of-europe-if-it-doesnt-get-its-way. 379 Ebda. 380 Vgl. Jungkind/Raspé/Schramm, NZG 2020, 1056, 1058 f.; Kühling/Herberlein, NVwZ 2016, 7, 10. 381 DSRL EG 3; DSGVO EG 3. 377
C. Ausblick und Endbewertung
271
der EU frei fließen sollen, wird durch die Forderung zusätzlicher Maßnahmen besonders gefördert. Die vom europäischen Datenschutzausschuss vorgeschlagenen komplexen und aufwendigen Zusatzmaßnahmen wie die Mehrparteienvereinbarungen motivieren europäische Unternehmen nämlich eher dazu, die personenbezogenen Daten in der EU verarbeiten zu lassen. Allerdings missachten diese Anforderungen, den bereits in der DSRL angebrachten Aspekt,382 dass der EU-grenzüberschreitende Datenverkehr für die Entwicklung des internationalen Handels notwendig ist.383 Da das Grundrecht auf Datenschutz „im Hinblick auf seine gesellschaftliche Funktion“384 gesehen werden muss, verkennen zu strenge Anforderungen, die als Reaktion auf die Schrems II-Entscheidung gestellt wurden, die durch sie bedingte Erschwerung der Teilnahme am globalen Markt.
V. Erschwerung der Tätigkeit der US-Überwachungsbehörden Einige der in Betracht kommenden zusätzlichen Maßnahmen wie die Ende-zuEnde-Verschlüsselung sind geeignet, die Informationsgewinnung durch die USÜberwachungsbehörden bei einer Datenübermittlung zu erschweren. Fraglich ist, ob solche zusätzlichen Maßnahmen mit den in der EU geschützten Sicherheitsbedürfnissen der EU-Staatsangehörigen vereinbar sind.385 Dem EuGH obliegt primär die Aufrechterhaltung der Grundwerte der EU.386 Bei der Bewertung der Rechtsprechung des EuGH ist zu berücksichtigen, dass er mit der Hervorhebung „zusätzlicher Maßnahmen“ nicht nur auf den Schutz personenbezogener Daten abzielt. Der EuGH fokussiert gleichzeitig das Rechtsstaatsprinzip, das in der EU eine herausragende Rolle spielt.387 Dies tut er ausdrücklich im Zusammenhang mit der Forderung eines effektiven Rechtsbehelfs.388 Zudem visiert er das Rechtsstaatsprinzip durch die Betonung an, dass die Befugnisse der US-Behörden unklar gestaltet und nicht auf das absolut Notwendige beschränkt sind.389 Denn mit dem Rechtsstaatsprinzip sind unklare Gesetze mit Befugnissen zu weitreichenden Grundrechtseingriffen nicht vereinbar.390 382
DSRL EG 56 S. 1. Vgl. Kühling/Buchner/Schröder, DSGVO, Art 46 Rn 18. 384 Art. 52 Abs. 1 GR-Ch.; DSGVO EG 4 S. 1. 385 „Recht auf Sicherheit“ siehe 2. Kapitel dieser Arbeit. 386 Skouris, NVwZ 2016, 1359, 1364. 387 Vgl. Art. 2, 49 EUV; Präambel der EMRK; Artikel 3 der Satzung des Europarats, abrufbar unter: http://conventions.coe.int/Treaty/GER/Treaties/Html/001.htm. 388 EuGH U. v. U. v. 16. 7. 2020 – C-311/18, MMR 2020, 597, 606 Rn. 187. 389 EuGH U. v. U. v. 16. 7. 2020 – C-311/18, MMR 2020, 597, 605 Rn. 176 ff. 390 Schaller, Internationale Sicherheit und Völkerrecht im Cyberspace, S 18 Oktober 2014, S. 37. Abrufbar unter: https://www.swp-berlin.org/fileadmin/contents/products/studien/2014_ S18_slr.pdf. 383
272
5. Kap.: Legitimierungen von Datenübermittlungen in die USA
Das Rechtsstaatsprinzip ist das Rückgrat der modernen demokratischen Grundordnung.391 Die Schäden, die Massenüberwachungen somit gleichzeitig für die Demokratie bedeuten, führen dazu, dass das Interesse an Überwachungsmaßnahmen nicht überwiegen kann.392 Dies ist auch bei der Forderung des EuGH nach zusätzlichen Maßnahmen der Fall. Die vorgeschlagenen zusätzlichen Maßnahmen dienen der Verhinderung und Entdeckung eigenmächtiger und anlassloser Datenerhebungen. Jedoch sind formale Behördenanfragen zu einem konkreten und legitimen Zweck weiterhin möglich.
VI. Prüfung der Verhältnismäßigkeit für zusätzliche Maßnahmen 1. Grundrechtsabwägung im Rahmen der Risikoabwägung Bei der Risikoanalyse und den zusätzlichen Maßnahmen steht der Schutz des Datenschutzes im Vordergrund. Das ist zweckgemäß, denn der europäische Generalstaatsanwalt hat im Fall Schrems darauf hingewiesen, dass das Ziel der Erreichung eines hohen Schutzniveaus der Grundrechte die einzige Leitlinie für die Auslegung des angemessenen Datenschutzniveaus sein sollte, um den Anforderungen von DSRL gerecht zu werden.393 Dies spricht dafür, dem Datenschutz in der Risikoabwägung eine gewichtige Bedeutung zuzuschreiben. Die Risikoabwägung kann allerdings nicht zur Vornahme von Maßnahmen verpflichten, die unverhältnismäßig sind.394 Als datenübermittlungseinschränkendes Kriterium werden durch die Anforderungen an ein angemessenes Datenschutzniveau gleichzeitig andere Grundrechte eingeschränkt. Da der Datenschutz kein uneingeschränktes Recht ist, müssen in der Risikoabwägung auch kollidierende Grundrechte ihre Berücksichtigung finden.395 Dies gilt auch vor dem Hintergrund, dass der EuGH in Schrems I erklärt hat, dass kollidierende Grundrechte zurücktreten müssen, wenn es um den Wesensgehalt des Grundrechts auf Datenschutz geht. Der EuGH sah den Kernbereich des Datenschutzes durch die Rechte der Sicherheitsbehörden in den USA, auf personenbezogene Daten zuzugreifen, angetastet.396 Dieses Ergebnis ist allerdings auf die Bewertung des bestehenden Rechts in den USA beschränkt. Es bezieht sich nicht auf die Entscheidung über die zusätzlichen Maßnahmen, um vor den Konsequenzen der 391 EU-Kommission, Mitteilung, Ein neuer EU-Rahmen zur Stärkung des Rechtsstaatsprinzips, COM/2014/0158 final. 392 Steiger, in: Witzleb/Paterson/Richardson, S. 90, 91. 393 Bot, Schlussanträge zur Rs. C-362/14, Rn. 142. 394 Art. 52 Abs. 1 S. 2 GR-Ch.; vgl. zur Risikoabwägung in der DGSVO Paal/Pauly/ Martini, DSGVO, Art. 24 Rn. 11; Veil, ZD 2018, 9, 15. 395 DSGVO EG 4 S. 2, 3; Kühling/Buchner/Schröder, DSGVO, Art. 46 Rn. 17a; Veil ZD 2018, 9, 14. 396 EuGH, U. v. 6. 10. 2015 – C-362/14 =ZD 2015, 549, 555 Rn. 98.
C. Ausblick und Endbewertung
273
Anwendbarkeit des US-Recht zu schützen. In diesem Fall muss weiterhin eine Abwägung der Grundrechte erfolgen. Dieses Ergebnis wird dadurch gestützt, dass der EuGH zur Vorratsdatenspeicherung erklärt hat, dass diese „nicht geeignet“ sei, den Wesensgehalt des Datenschutzes anzutasten, da die Mitgliedstaaten zur Vornahme geeigneter technischer und organisatorische Maßnahmen zum Schutz der Daten verpflichtet seien.397 Durch die in Schrems II bestätigte Verpflichtung von Datenübermittlern, zusätzliche Maßnahmen zur Wahrung des europäischen Grundrechteschutzes bei Behördenzugriffe zu treffen, ist die ihr zugrundeliegende Risikoanalyse nicht geeignet, den Wesensgehalt des Grundrechts auf Datenschutz anzutasten. Gegensätzliche Grundrechte werden weder in dem Schrems II-Urteil noch in offiziellen Stellungnahmen zum Urteil wie vom europäischen Datenschutzausschuss gegen das Datenschutzrecht abgewogen.398 Zwar lassen sich im Schrems II-Urteil Referenzen zur Verhältnismäßigkeit und ihrer Verankerung in der Grundrechtecharta finden,399 allerdings nicht im Zusammenhang mit dem Erfordernis der Ergreifung zusätzlicher Maßnahmen, sondern mit behördlichen Zugriffen im Drittstaat und dem Ombudsmechanismus.400 2. Vernachlässigung anderer Grundrechte Die in diesem Abschnitt vorgeschlagenen zusätzlichen Maßnahmen lassen keinen großen Raum für die Berücksichtigung anderer Grundrechte. Besonders die Empfehlungen des europäischen Datenschutzausschusses legen den zeitlichen Rahmen für zusätzliche Maßnahmen fest, wie bei der täglichen Mitteilung an den Datenexporteur. Sie bestimmen auf welche Weise zusätzliche Maßnahmen ergriffen werden sollen, wie im Falle der Mitarbeitersensibilisierung durch Richtlinien und Schulungen, und wo die einzelnen zusätzlichen Schutzmaßnahmen räumlich erbracht werden sollen, wie bei der Mehrparteienverarbeitung. Herausgegebene Empfehlungen fokussieren sich so sehr auf die Erschwerung und Verhinderung behördlicher Zugriffe in den USA, dass sie andere Interessen wie die geschützte Berufsfreiheit verdrängen.401 Auch die Berücksichtigung des niedrigeren Vertrauens betroffener Personen in Datenübermittlungen in die USA aufgrund der aufgedeckten Praxis der Sicherheitsbehörden und das Selbstbestimmungsrecht402 der betroffenen Person finden keine Berücksichtigung in der Schrems II-Entscheidung und den darauffol397
EuGH, Urt. v. 8. 4. 2014 – C-293/12, C-594/12 =NJW 2014, 2169, 2172 Rn. 40. Vgl. Kühling/Buchner/Schröder, DSGVO, Art. 46 Rn. 17a; Korff, on Kuner: Schrems II Re-Examined, 03. September 2020. 399 EuGH, U. v. 16. 7. 2020 – C-311/18 =MMR 2020, 597, 605 ff, Rn. 174 ff. 400 Korff, on Kuner: Schrems II Re-Examined, 03. September 2020; a. A. Kuner, Schrems II Re-Examined, 25. August 2018. Abrufbar unter: https://verfassungsblog.de/schrems-ii-re-exa mined/. 401 Vgl. Kühling/Buchner/Schröder, DSGVO, Art. 46 Rn. 17a. 402 Kühling/Buchner/Schröder, DSGVO, Art. 45 Rn. 13. 398
274
5. Kap.: Legitimierungen von Datenübermittlungen in die USA
genden öffentlichen Stellungnahmen. Es bleibt abzuwarten, ob in künftigen Stellungnahmen und Urteilen vom EuGH das Grundrecht auf Datenschutz mit anderen kollidieren Grundrechten abgewogen oder der beschrittene Weg weiterverfolgt wird. Letzteres resultiert in der Inkonsequenz, dass die Verhältnismäßigkeit als Grundsatz der EU403 der Maßstab für die Bewertung der Rechtslage im Drittstaat bleibt, aber in der weiteren Auslegung des angemessenes Datenschutzniveaus vernachlässigt wird.
VII. Veränderung des „angemessenen Datenschutzniveaus“? Ein angemessenes Datenschutzniveau wurde bislang als ein im Drittstaat vorhandenes zur EU-gleichwertiges Datenschutzniveau verstanden.404 Die Aufrechterhaltung dieses Verständnisses könnte den Entwicklungen des europäischen Datenschutzes zuwiderlaufen. In dem vom US-Handelsministerium als Reaktion auf die Schrems II-Entscheidung veröffentlichten White Paper wird in Frage gestellt, ob die EU ihren eigenen Anforderungen gerecht wird. Denn das Handelsministerium stuft den Schutz in Bezug auf nachrichtendienstliche Überwachungen von Daten, die in die USA übermittelt werden, als vergleichbar oder sogar größer ein, als den Schutz für in der EU gespeicherte Daten.405 Dabei beruft sich das Handelsministerium insbesondere darauf, dass der EGMR regelmäßig nachrichtendienstliche Überwachungsprogramme der Mitgliedstaaten prüft und dabei bestätigt hat, dass diese Sec. 702 FISA ähneln oder darüber hinausgehen.406 Auch die jüngste Rechtsprechung des EuGH zur Unzulässigkeit der Vorratsdatenspeicherung dürfte zu einer Rechtswidrigkeit der jeweiligen nationalen Regelungen der meisten Mitgliedstaaten führen.407 Trotz der Tatsache, dass die EU keine Gesetzgebungskompetenz für das Recht der nationalen Sicherheit hat, wird innerhalb der EU zugunsten des freien Datenflusses408 ein angemessenes Datenschutzniveau in den einzelnen Mitgliedstaaten vermutet, auch wenn die DSGVO selbst einige Ausnahmen in diesem Bereich vorsieht. Aufgrund des gegenseitigen Vertrauens zwischen den Mitgliedstaaten in der EU wird angenommen,409 dass die Mitgliedstaaten ihren Pflichten410 nachkommen und da-
403
Art. 52 Abs. 1 S. 2 GR-Ch. Siehe 2. Kapitel dieser Arbeit. 405 NTIA, Information on U.S. Privacy Safeguards Relevant to SCCs and Other EU Legal Bases for EU-U.S. Data Transfers after Schrems II, S. 15, 16. 406 Ebda. 407 Kühling/Buchner/Schröder, DSGVO, Art. 45 Rn. 13; Woll, Vorratsdatenspeicherung reloaded. 408 Siehe 2. Kapitel dieser Arbeit. 409 von Danwitz, EuR 2020, 61, 67. 410 EuGH, Urt. v. 8. 4. 2014 – C-293/12, C-594/12 =NJW 2014, 2169, 2172 Rn. 52. 404
C. Ausblick und Endbewertung
275
tenschutzrechtliche Ausnahmen zugunsten der nationalen Sicherheit verhältnismäßig ausgestalten. Solange das Recht der nationalen Sicherheit nicht unmittelbar der Kompetenz der EU unterliegt, aber aufgrund seiner Relevanz für andere unionsrechtliche Bereiche wie den Datenschutz oder der ePrivacy Gegenstand europäischer Rechtsprechung wird, entsteht das unbefriedigende Ergebnis, dass vom Drittstaat mehr gefordert wird, als in der EU selbst eingehalten wird. Denn die in der Rechtsprechung entwickelten Anforderungen an die nationale Sicherheit werden wegen Artikel 45 Absatz 2 DSGVO unabhängig von ihrer tatsächlichen Umsetzung in dem Recht und der Praxis der EU-Mitgliedstaaten als Vergleichsmaßstab für die Angemessenheit des Datenschutzniveaus im Drittstaat herangezogen. EU-Organe, die dann die Rechtsprechung konkretisieren, erhalten diese hohen Anforderungen aufrecht. Besonders zum Ausdruck kommt dies darin, dass vom europäischen Datenschutzausschuss als zusätzliche Maßnahme ein Verbot von Backdoor-Lösungen für Verschlüsselungen vorgeschlagen wird, während zur gleichen Zeit andere Organe der EU selbst ein solches Verbot stoppen wollen. Ein angemessenes Datenschutzniveau kann somit nicht mehr als ein tatsächlich zu der EU gleichwertiges Datenschutzniveau verstanden werden. Eine Vergleichbarkeit zum bestehenden Recht, das das Grundrecht auf Datenschutz konkretisiert, und zur geltenden Praxis wird gerade nicht gefordert. Die Anforderungen an den Drittstaat gehen darüber hinaus.
VIII. Herausforderung für Artikel 3 Abs. 2 DSGVO In Hinblick auf die Erweiterung des räumlichen Anwendungsbereichs der DSGVO führt die Rechtsprechung des EuGH über die Ergreifung zusätzlicher Maßnahmen zu Unklarheiten. Die Feststellungen vom EuGH wurden im Zusammenhang mit dem Vorliegen der SCC erklärt. Die hier erörterten öffentlichen Empfehlungen referieren ebenso stets zu Unternehmen als Beteiligte einer Datenübermittlung. Somit bestehen Probleme, die vorgeschlagenen zusätzlichen Maßnahmen bei einer Direkterhebung personenbezogener Daten vom Betroffenen anzuwenden. Bei der Direkterhebung handelt es sich um keine Datenübermittlung durch einen Verantwortlichen. Daher wird vertreten, dass in diesem Falle keine zusätzlichen Maßnahmen zum Schutz der betroffenen Person vorgenommen werden müssen.411 Ohne einen Verantwortlichen mangelt es zunächst an dem Bezugspunkt, an dem der EuGH die Pflicht zur Vornahme zusätzlicher Maßnahmen geknüpft hat.412 Global agierende Unternehmen könnten daher die Anforderung des EuGH dadurch um411
Jungkind/Raspé/Schramm, NZG 2020, 1056, 1059. S. o. EuGH, U. v. 16. 7. 2020 – C-311/18 =MMR 2020, 597, 603 Rn. 141; Kl. 5 lit. a Beschl. 2001/497/EC; Kl. 5 lit. b Beschl. 2010/87/EU; II. lit. c Beschl. 2004/915/EC. 412
276
5. Kap.: Legitimierungen von Datenübermittlungen in die USA
gehen, dass auf die primäre Einbindung einer europäischen Niederlassung verzichtet wird. Dieses Ergebnis würde ein Ungleichgewicht zwischen solchen Unternehmen im Drittstaat, die personenbezogene Daten direkt erheben, und solchen, die Daten im Wege der Übermittlung erhalten, bedeuten. Eine Umstellung der Datenverarbeitung zur Umgehung des fünften Kapitels ist ausdrücklich verboten.413 Somit spricht dieses Ergebnis gegen die Funktion eines angemessenen Datenschutzniveaus. Durch die in dieser Arbeit414 vertretene Ansicht, dass die Wertung des fünften Kapitels Bestandteil der allgemeinen Risikoabwägung ist, wird dieses Ergebnis korrigiert. Im vorliegenden Fall ist in diese Abwägung einzubeziehen, dass es besonderer Schutzmaßnahmen für Datenübermittlungen in die USA bedarf. Demnach werden Adressaten der DSGVO auch bei der Direkterhebung zu Maßnahmen verpflichten, die Behördenzugriffe berücksichtigen. Insbesondere die technischen Maßnahmen können in der Regel ohne Mitwirkung des Datenexporteurs in der EU durchgeführt werden. Organisatorische Schutzmaßnahmen und solche, die üblicherweise mit Unternehmen vereinbart werden, können dann in den Verträgen mit den betroffenen Personen aufgenommen werden. Daher werden die hohen Schutzanforderungen des fünften Kapitels berücksichtigt, anstatt „untergraben“.415 Somit wird der im fünften Kapitel herrschende Grundsatz, dass die Grundrechte funktional in dem Drittstaat angemessen geschützt werden sollen, reflektiert.416 Nach der hier vertretenen Auffassung kann selbst eine Umgehung der Einbindung eines Unternehmens in der EU nicht zu einem niedrigeren Schutz führen. Abschließend ist zu anzumerken, dass dem hier vertretenen Ansatz der Einbeziehung des Risikos der Datenverarbeitung und der Rechenschaftspflicht die Argumentation des EuGH für die Pflicht der Vornahme zusätzlichen Maßnahmen zugrunde liegt. Denn das vom EuGH festgestellte „Verantwortungsbewusstsein“ des Datenexporteurs für die SCC beruht auf der in der DSGVO begründeten Rechenschaftspflicht für Datenübermittlungen.417
413
Art. 44 DSGVO. Siehe 1. Kapitel dieser Arbeit. 415 Art. 44 HS. 2DSGVO. 416 Siehe 2. Kapitel dieser Arbeit. 417 Europäischer Datenschutzausschuss, 41st Plenary session: EDPB adopts recommendations on supplementary measures following Schrems II, 11.11.20. Abrufbar unter: https: //edpb.europa.eu/news/news/2020/european-data-protection-board-41st-plenary-session-edpbadopts-recommendations_en. EuGH, U. v. 16. 7. 2020 – C-311/18 =MMR 2020, 597, 602 Rn. 134. 414
C. Ausblick und Endbewertung
277
IX. Durchsetzung und Bindung Bei allen Datenübermittlungsgarantien stellt die Durchsetzung der in der EU begründeten Pflichten eine Maßnahme dar, bei der die EU von der Zustimmung oder Handlung der Aufsichtsbehörden in den USA abhängig ist. Handelt es sich bei dem Empfänger der übermittelten personenbezogenen Daten um ein Unternehmen, ist dafür die FTC zuständig. Für Datenzugriffe der US-Behörden verbleibt derzeit lediglich die Prüfung durch die Ombudsstelle. Die vom EuGH hervorgehobenen „zusätzlichen Maßnahmen“ können unabhängig von dem Erfordernis der Durchsetzung abgegebener Zusicherungen der US-Behörden geltend gemacht werden. Sie schließen die Behördenzugriffe jedoch nicht zweifelhaft aus.418 Zudem können „zusätzliche Maßnahmen“ nicht das Bestehen eines effektiven Rechtsbehelfs im Drittstaat beeinflussen.419 Es stellt sich die Frage, wie die USA an weitere Schutzvorkehrungen für Datenzugriffe gebunden werden kann. Dann würde das Risiko eines unzulässigen Behördenzugriffs gesenkt und der für die Risikoanalyse Verantwortliche entlastet werden. Im Rahmen der Diskussionen um den CLOUD-Act wurde bereits die Findung einer globalen Lösung im Bereich von Behördenzugriffen erwähnt. In Betracht kommen bindende völkerrechtliche Pflichten, die den USA durch die Ratifizierung eines Vertrages auferlegt werden. 1. Internationaler Pakt über bürgerliche und politische Rechte Die USA sind bereits eine internationale Verpflichtung eingegangen, die bindende Pflichten im Zusammenhang mit der Privatsphäre auferlegt. Dabei handelt es sich um den internationalen Pakt über bürgerliche und politische Rechte der UNGeneralversammlung.420 In diesem Pakt ist vorgesehen, dass niemand willkürlichen oder rechtswidrigen Eingriffen in sein Privatleben ausgesetzt werden darf.421 Dieser Wortlaut könnte ein hinreichendes Verbot der gerügten Überwachungsmaßnahmen in den USA bieten. In dem Pakt ist weiterhin vorgesehen, dass jedermann einen Anspruch auf rechtlichen Schutz gegen solche Eingriffe hat.422 Mit Erfüllung dieser Pflicht könnte den Bedenken des EuGH zum Rechtsbehelf begegnet werden. Da die USA dieses Abkommen unterzeichnet haben, stellt sich die Frage, wie ihre bisherige Überwachungspraxis mit diesen Pflichten vereinbar ist. Die Ursache hierfür ist der verwendete Wortlaut, der auf „willkürliche“ oder „rechtswidrige“ 418 419 420
(XXI). 421 422
Vgl. zur Verschlüsselung Kühling/Herberlein, NVwZ 2016 7, 11. Quiel/Piltz, K&R 2020, 731, 732. UN-Generalversammlung, Ratifizierung am 16. Dezember 1966 durch Res. 2200 A Art. 17 Abs. 1 IPbpR. Art. 17 Abs. 2 IPbpR.
278
5. Kap.: Legitimierungen von Datenübermittlungen in die USA
Eingriffe abstellt. Diese Voraussetzungen sind nicht definiert. Es besteht Uneinigkeit darüber, welche Überwachungsmaßnahmen diese Anforderungen erfüllen und wonach sich die Rechtswidrigkeit richten muss.423 Dadurch wird den USA ein Argumentationsspielraum dahingehend ermöglicht, dass ihre Überwachungsmaßnahmen nicht willkürlich, sondern im Einklang mit dem Recht der nationalen Sicherheit in den USA erfolgen. Darüber hinaus ist der territoriale Schutzbereich unklar.424 In dem Pakt beschränkt sich die Pflicht zur Gewährleistung der Rechte auf das eigene Gebiet und auf der eigenen Herrschaft unterstehenden Personen.425 US-amerikanische Überwachungsmaßnahmen wie die Anzapfung von Glasfaserkabeln in Bezug auf EUStaatsangehörige werden somit nicht vom Wortlaut erfasst. Aufgrund der bestehenden Rechtssicherheiten kann aus dem Pakt keine ausdrückliche Pflicht der USA geleitet werden, einen Schutz im Einklang mit den Anforderungen des EuGH zu gewährleisten. 2. Übereinkommen Nr. 108 des Europarats In Zusammenhang mit einer völkerrechtlichen Lösung zwischen der EU und den USA wurde der Vorschlag geäußert, dass die USA dem Übereinkommen Nr. 108 des Europarats zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten beitreten könnten.426 Dieses Übereinkommen427 wurde in dieser Arbeit bereits bei der Bedeutung eines angemessenen Datenschutzniveaus erörtert, da es in dieser Hinsicht als Vorbild fungierte. Es enthält wesentliche Datenschutzgrundsätze der EU, die in den USA typischerweise nicht vorhanden sind wie die Erforderlichkeit.428 Die Konvention schreibt zudem vor, dass Betroffene ein Recht auf Löschung haben, was sich im Falle der Ratifizierung durch die USA positiv auf das Datenschutzniveau auswirkt.429 Besonders einflussreich für das Datenschutzniveau in den USA ist zudem die Verpflichtung der ratifizierenden Partei, geeignete Sanktionen und Rechtsmittel für Verletzungen der Regelungen aus dem Übereinkommen festzulegen.430 Von den Schutzpflichten darf nur abgewichen werden, wenn dies gesetzlich normiert ist und in einer demokratischen Gesellschaft eine not423
Deeks, 55 The Virginia Journal of International Law 2015, 292, 305 f. Deeks, 55 The Virginia Journal of International Law 2015, 292, 307; Cate/Kuner/et.al., The Extraterritoriality of Data Privacy Laws,2013. Abrufbar unter: https://www.repository.law. indiana.edu/facpub/2622. 425 Art. 2 Abs. 1 IPbpR. 426 Kettemann, Völkerrecht in Zeiten des Netzes, S. 57. Abrufbar unter: https://library.fes. de/pdf-files/akademie/12068.pdf. 427 Europarat, Übereinkommen Nr. 108 zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten, 28. August 1981. 428 Art. 5 lit. c, e; 4 Abs. 1 Übereinkommen Nr. 108. 429 Quiel/Piltz, K&R 2020, 731, 733. 430 Art. 10 Übereinkommen Nr. 108. 424
C. Ausblick und Endbewertung
279
wendige Maßnahme ist.431 Pauschale Massenüberwachungen und die Berufung auf unklare Rechtsgrundlagen für Eingriffe sind somit ausgeschlossen. Die Ratifizierung dieses Übereinkommens würde den USA somit Pflichten auferlegen, die geeignet sind, die festgestellten Defizite des Datenschutzniveaus zu kompensieren.432 Da es sich bei der Konvention um die einzige globale völkerrechtliche Rechtsquelle mit eindeutigen und bindenden433 Pflichten für Überwachungsmaßnahmen handelt,434 sind Bemühungen zur Ratifizierung durch weitere Staaten erstrebenswert. Da bereits neun Staaten, die nicht der EU angehören, dieses Übereinkommen unterzeichnet haben,435 ist davon auszugehen, dass weitere Staaten in Anbetracht der globalen Sensibilisierung im Bereich des Datenschutzes folgen werden. 3. Gewohnheitsrecht Ohne vertragliche Einigung ist es denkbar, dass eine völkerrechtliche Bindung der USA durch Gewohnheitsrecht begründet wird. Da das Völkerrecht auf dem Konsensprinzip beruht, ist für das Gewohnheitsrecht erforderlich, dass es von dem überwiegenden Teil der Staatengemeinschaft getragen wird.436 Ob ein globaler Konsens aus den Anforderungen des EuGH und des EGMR entsteht, wird sich mit der Zeit erkennen lassen. Für die seriöse Formulierung eines Schutzstandards musss die eigene Praxis dem gerecht werden.437 Die Staatenpraxis bildet die Grundlage für das Völkergewohnheitsrecht.438 Daher muss die EU sicherstellen, dass ihre eigenen Überwachungen in den Mitgliedstaaten im Einklang mit diesen Schutzstandards für eine mögliche globale Lösung stehen.
431
Art. 9 Abs. 2 Übereinkommen Nr. 108. Quiel/Piltz, K&R 2020, 731, 735. 433 Art. 3 Abs. 1 Übereinkommen Nr. 108; vgl. Quiel/Piltz, K&R 2020, 731, 733 zur Möglichkeit, bestimmte Pflichten auszuschließen. 434 Greenleaf, in: Witzleb/Paterson/Richardson, S. 12, 95. 435 Europarat, Unterschriften und Ratifikationsstand des Vertrags 108, Stand: 30. Januar 2021. Abrufbar unter: https://www.coe.int/de/web/conventions/full-list/-/conventions/treaty/1 08/signatures?p_auth=wjKd9QPz. 436 Herdegen, § 5 Rn. 17. 437 Vgl. Schaller, Kommunikationsüberwachung durch den Bundesnachrichtendienst, S. 39. Abrufbar unter: https://www.swp-berlin.org/fileadmin/contents/products/studien/201 6S07_slr.pdf. 438 Stein/Buttlar/Kotzur, Rn. 123. 432
Literaturverzeichnis 1. Monografien Albrecht/Jotzo, Das neue Datenschutzrecht der EU, Baden-Baden 2017. Auer-Reinsdorff/Conrad, Handbuch IT- und Datenschutzrecht, 3. Aufl. München 2019. Bradford, The Brussels Effect: How the European Union Rules the World, Oxford 2019. Determann, California Privacy Law, Kalifornien 2016. Determann, Kommunikationsfreiheit im Internet – Freiheitsrechte und gesetzliche Beschränkungen, Baden-Baden 1999. Ellger, Der Datenschutz im grenzüberschreitenden Verkehr, Baden-Baden 1990. Genz, Datenschutz in Europa und den USA, Wiesbaden 2004. Greenleaf, Asian Data Privacy Laws, Oxford 2017. Greenwald, Die globale Überwachung, München 2014. Härting, Internetrecht, 6. Aufl. Köln 2017. Herdegen, Völkerrecht, 19. Aufl. München 2020. Hoeren/Sieber/Holznagel, Multimedia-Recht, 53. EL München 2020. Holterhus, The Law Behind Rule of Law Transfers, Baden-Baden 2019. Hoofnagle, Federal Trade Commission Privacy Law and Policy, Cambrigde, 2016. Jotzo, Der Schutz personenbezogener Daten in der Cloud, 2. Aufl. Baden-Baden 2020. Laue/Nink/Kremer, Das neue Datenschutzrecht in der betrieblichen Praxis, Baden-Baden 2016. Schwantz/Wolff, Das neue Datenschutzrecht, München 2017. Specht/Mantz, Handbuch Europäisches und deutsches Datenschutzrecht, München 2019. Stein/Buttlar/Kotzur, Völkerrecht, 14. Aufl. München 2017. Szczekalla, Die sogenannten grundrechtlichen Schutzpflichten im deutschen und europäischen Recht, Berlin 2002. Tinnefeld/Buchner/Petri/Hof, Einführung in das Datenschutzrecht, 7. Aufl. Berlin 2019. Uecker, Extraterritoriale Regelungshoheit im Datenschutzrecht, Baden-Baden 2017. 2. Kommentare Dammann/Simitis, EG-Datenschutzrichtlinie, Baden-Baden 1999. Dörr/Lenz, Europäischer Verwaltungsrechtsschutz, 2. Aufl. Baden-Baden 2019. Ehmann/Helfrich, EG-Datenschutzrichtlinie, Köln 1997.
Literaturverzeichnis
281
Ehmann/Selmayr, Datenschutz-Grundverordnung, 2. Aufl. München 2018. Franzen/Gallner/Oetker, Kommentar zum europäischen Arbeitsrecht, 3. Aufl. München 2020. Frowein/Peukert, EMRK, 4. Aufl. Köln 2019. Gola, DS-GVO, 2. Aufl. München 2018. Grabitz/Hilf, Das Recht der Europäischen Union, 38. EL München 2009. von der Groeben/Schwarze/Hatje, Europäisches Unionsrecht, München 7. Aufl. 2015. Jarass, Charta der Grundrechte der EU, 4. Aufl. München 2021. Kühling/Buchner, DS-GVO/BDSG, 3. Aufl. München 2020. Kuner/Bygrave/Docksey/Drechsler, GDPR, Oxford 2018. Maunz/Dürig/Kersten, Grundgesetz, 92. EL München 2020. Meyer/Hölscheidt, Charta der Grundrechte der EU, 5. Aufl. Baden-Baden 2019. Paal/Pauly, DS-GVO BDSG, 3. Aufl. München 2021. Pechstein/Nowak/Häde, Frankfurter Kommentar zu EUV, GRC und AEUV, Tübingen 2017. Plath, DSGVO/BDSG, 3. Aufl. Köln 2018. Schwarze/Becker/Hatje/Schoo, EU-Kommentar, Baden-Baden 4. Aufl. 2019. Simitis, BDSG (a. F.), 8. Aufl. Baden-Baden 2014. Simitis/Hornung/Spieker gen. Döhmann, Datenschutzrecht DSGVO mit BDSG, Baden-Baden 2019. Sydow, Europäische Datenschutzgrundverordnung, 2. Aufl. Baden-Baden 2018. Taeger/Gabel, DS-GVO – BDSG, Frankfurt a. M. 3. Aufl. 2019. Taeger/Gabel, BDSG (a. F.) und Datenschutzvorschriften des TKG und TMG, 2. Aufl. Frankfurt a. M. 2013. Vedder/Heintschel von Heinegg, Europäisches Unionsrecht, 2. Aufl Baden-Baden 2018. Witzleb/Paterson/Richardson, Big Data, Political Campaigning and the Law, London 2019, 71 – 98. Wolff/Brink, BeckOK Datenschutzrecht, 34. Ed.München 2020. 3. Aufsätze und Entscheidungsanmerkungen Albrecht, Das neue EU Datenschutzrecht – Von RL zur VO, CR 2016, 88 – 98. Ambrock, Nach Safe Harbor: Schiffbruch des transatlantischen Datenverkehrs?, NZA 2015, 1493 – 1497. Ambrock/Karg, Ausnahmetatbestände der DS-GVO als Rettungsanker des internationalen Datenverkehrs?, ZD 2017, 154 – 161. Barrett, Confiding in Con Men: U.S. Privacy Law, the GDPR, and Information Fiduciaries, Seattle University Law Review 2019 Vol. 42, 1057 – 1113. Becker/Nikolaeva, Das Dilemma der Cloud-Anbieter zwischen US Patriot Act und BDSG, CR 2012, 170 – 176.
282
Literaturverzeichnis
Beyvers/Herbrich, Das Niederlassungsprinzip im Datenschutzrecht – am Beispiel von Facebook – Der neue Ansatz des EuGH und die Rechtsfolgen, ZD 2014, 558 – 562. Bilgic, Something Old, Something New, and Something Moot: The Privacy Crisis Under the Cloud Act, Harvard Journal of Law & Technology Volume 32, Number 1 Fall 2018, 321 – 355. Boehm, Assessing the New Instruments in EU-US Data Protection Law for Law Enforcement and Surveillance Purposes, EDPL 2016, 178 – 190. Börding, Ein neues Datenschutzschild für Europa, CR 2016, 431 – 441. Borges, Datentransfer in die USA nach Safe Harbor, NJW 2015, 3617 – 3621. Botta, Zwischen Rechtsvereinheitlichung und Verantwortungsdiffusion: Die Prüfung grenzüberschreitender Datenübermittlungen nach „Schrems II“, CR 2020, 505 – 513. Brauneck, Privacy Shield – zu Recht für ungültig erklärt?, EuZW 2020, 933 – 941. Cording/Götzinger, Der CLOUD Act aus europäischer Sicht, CR 2018, 636 – 640. Dammann, Erfolge und Defizite der EU-Datenschutzgrundverordnung, ZD 2016, 307 – 314. von Danwitz, Der Grundsatz des gegenseitigen Vertrauens zwischen den Mitgliedstaaten der EU, EuR 2020, 61, 89. Deeks, An International Legal Framework for Surveillance, Virginia Journal of International Law 2015 Vol. 55, 293 – 367. Determann, Kalifornisches Gesetz gegen Datenhandel, ZD 2018, 443 – 448. Determann, Datenschutz in den USA – Dichtung und Wahrheit, NVwZ 2016, 561 – 567. Determann/Nebel, U.S. CLOUD Act – Wolken über der Datenschutz-Grundverordnung?, CR 2018, 408 – 412. Determann/Weigl, EU-US Datenschutzschild und Alternativen für internationale Datentransfers, EUZW 2016, 811 – 816. Ellger, Vertragslösungen als Ersatz für ein angemessenes Schutzniveau bei Datenübermittlungen in Drittstaaten nach dem neuen Europäischen Datenschutzrecht, RabelsZ 1996, 738 – 770. Ellger, Datenexport in Drittstaaten, CR 1993, 2 – 9. Gausling, Offenlegung von Daten auf Basis des CLOUD Act, MMR 2018, 578 – 582. Geis, Internet und Datenschutzrecht, NJW 1997, 288 – 292. Geppert, Überprüfung der Modelle zur Datenübermittlung in Drittländer, ZD 2018, 62 – 66. Gerhold, Europäisches Datenschutzrecht ohne den EuGH, EuZW 2020, 849 – 854. Golland, Datenschutzrechtliche Anforderungen an internationale Datentransfers, NJW 2020, 2593 – 2596. Grau/Granetzny, EU-US-Privacy Shield – Wie sieht die Zukunft des transatlantischen Datenverkehrs aus? NZA 2016, 405 – 409. Heckmann/Starneker, Kein Land in Sicht – das Dilemma des Safe Harbour Urteils, jM 2016, 58 – 61.
Literaturverzeichnis
283
Herdegen, Souveränität. In: Kühnhardt L., Mayer T. (eds) Bonner Enzyklopädie der Globalität, Wiesbaden 2017, 1259 – 1269. Hoeren, Anmerkung zum Urteil des EuGH v. 16. 7. 2020 – C-311/18 in: MMR 2020, 597 – 609. Hoeren, Big Data und Datenqualität – ein Blick auf die DS-GVO, ZD 2016, 459 – 463. Hoeren/Giurgiu, Der Datenschutz in Europa nach der neuen Datenschutz-Grundverordnung, NWB 2012, 1599 – 1607. Hoeren/Pinelli, Das neue brasilianische Datenschutzrecht, ZD 2020, 351 – 354. Hoeren/Pinelli, Das neue kalifornische Datenschutzrecht am Maßstab der DS-GVO, MMR 2018, 711 – 716. Johannes, USA: Mögliche Auswirkungen der Präsidentschaft Joe Bidens auf den Datenschutz, ZD-Aktuell 2020, 07441. Jungkind/Raspé/Schramm, Risikoanalyse und zusätzliche Maßnahmen – Konzerninterner US Datentransfer nach „Schrems II“, NZG 2020, 1056 – 1059. Karg, Gegenwart und Zukunft der Angemessenheit des Datenschutzniveaus im außereuropäischen Datenverkehr, VuR 2016, 457 – 465. Körner, Die Datenschutz-Grundverordnung und nationale Regelungsmöglichkeiten für Beschäftigtendatenschutz, NZA 2016, 1383 – 1386. Kühling/Heberlein, EuGH „reloaded“: „unsafe harbor“ USA vs. „Datenfestung“ EU, NVwZ 2016 7 – 12. Kühling/Martini, Die Datenschutz-Grundverordnung: Revolution oder Evolution im europäischen und deutschen Datenschutzrecht? EuZW 2016, 448 – 454. Lachenmann, Internationale Datentransfers: Die Entwürfe der EU-EU-Kommission für neue Standardvertragsklauseln, ZD-Aktuell 2020, 07417. Lejeune, Datentransfer personenbezogener Daten in die USA vor dem Aus?! CR 2020, 522 – 529. Lejeune, California Consumer Privacy Act 2018 – erste Ansätze einer Annäherung zu Prinzipien der DSGVO in den USA CR 2018, 569 – 576. Lejeune, Der US CLOUD Act: eine neue Rechtsgrundlage für den internationalen Datenzugriff? ITRB 2018, 118 – 122. Lejeune, Der EU-US Privacy Shield: eine neue Grundlage zum Datenaustausch mit den USA, ITRB 2016, 201 – 209. Lejeune, Datenschutz in den Vereinigten Staaten von Amerika, CR 2013, 755 – 760. von Lewinski, Privacy Shield – Notdeich nach dem Pearl Harbor für die transatlantischen Datentransfers, EuR 2016, 405 – 420. Manes, Online Service Providers and Surveillance Law Transparency, The Yale Law Journal Forum 2016 Vol. 125, 343 – 358. Manpearl, The Privacy Rights of Non-U.S. Persons in Signal Intelligence, Flordia Journal International Law 2017 Vol. 29, 303 – 372.
284
Literaturverzeichnis
McCarthy, All the World’s a Stage: The European right to be forgotten revisited from a US perspective, GRUR Int. 2016 604 – 612. Metz/Spittka, Datenweitergabe im transatlantischen Rechtsraum – Konflikt oder Konsistenz?, ZD 2017, 361 – 367. Molnár-Gábor/Kaffenberger, US-Privacy-Shield – ein Schutzschild mit Löchern?, ZD 2017, 18 – 24. Moos/Rothkegel Anmerkung zum Urteil des EuGH v. 16. 07. 2020 – C-311/18 in: ZD 2020, 511 – 526. Moos/Schefzig, Safe Harbor hat Schiffbruch erlitten, CR 2015, 625 – 633. Paal/Kumkar, Datenübermittlungen nach dem Unwirksamwerden des EU-US-Privacy Shield, MMR 2020, 733 – 739. Pallasky, USA PATRIOT Act – Neues Recht der TK-Überwachung, DuD 2002, 221 – 225. Quiel/Piltz, Die Relevanz von „Übereinkommen Nr. 108“ bei der Prüfung des Datenschutzniveaus in Drittländern durch Unternehmen, K&R 2020, 731 – 735. Rath/Kuß/Maiworm, Die neue Microsoft Cloud in Deutschland mit Datentreuhand als Schutzschild gegen NSA & Co, CR 2016, 98 – 103. Räther/Seitz, Übermittlung in Drittstaaten, MMR 2002, 425 – 433. Rauda, Gemeinsamkeiten von US Children Online Privacy Protection Act (COPPA) und DSGVO, MMR 2017, 15 – 19. Richards, Why Data Privacy Law Is (Mostly) Constitutional, Wiliam & Mary Law Review 2015 Vol. 56, 1501 – 1524. Ritzer, EU-US Privacy Shield Die neue Wunderwaffe, CB 2016, 364, 365. Robrahn/Bremert, Interessenskonflikte im Datenschutzrecht ZD 2018, 291 – 297. Römling, Zum Verhältnis von Art. 47 Grundrechtecharta und Art.9 Aarhus-Konvention in der jüngeren Rechtsprechung des Europäischen Gerichtshof, ZEuS 2019, 147 – 170. Roßnagel, Kein „Verbotsprinzip“ und kein „Verbot mit Erlaubnisvorbehalt“ im Datenschutzrecht, NJW 2019, 1 – 5. Roßnagel, Pseudonymisierung personenbezogener Daten, ZD 2018, 243 – 247. Salzmann/Schindler, Der internationale Siegeszug der größten Katastrophe des 21. Jahrhunderts?, ZD-Aktuell 2018, 06293. Schaar, E-Evidence: Das europäische Gegenstück zum CLOUD Act, MMR 2018, 705. Schantz, Die Datenschutz-Grundverordnung – Beginn einer neuen Zeitrechnung im Datenschutzrecht, NJW 2016, 1841 – 1847. Schreiber/Kohm, Rechtssicherer Datentransfer unter dem EU-US Privacy Shield, ZD 2016, 255 – 260. Schuppert/von Reden, Einsatz internationaler Cloud-Anbieter, ZD 2013, 210 – 220. Schwartmann, Datentransfer in die Vereinigten Staaten ohne Rechtsgrundlage, EuZW 2015, 864, 868. Schwartz, Preemption and Privacy, Yale Law Journal 2009 Vol. 118, 902 – 947.
Literaturverzeichnis
285
Schwartz/Peifer, Data Localization Under the CLOUD Act and the GDPR, CRi 2019, 1 – 10. Schwartz/Peifer, Datentreuhändermodelle – Sicherheit vor Herausgabeverlangen US-amerikanischer Behörden und Gerichte?, CR 2017, 165 – 174. Schwartz/Peifer, Transatlantic Data Privacy Law, The Georgetown Law Journal, 2017 Vol. 106, 115 – 179. Severson, American Surveillance of Non-U.S. Persons: Why New Privacy Protections Offer Only Cosmetic Change, Harvard International Law Journal 2015 Vol. 56, 465 – 514. Simitis, Die EU-Datenschutzrichtlinie – Stillstand oder Anreiz?, NJW 1997, 281 – 288. Skouris, Leitlinien der Rechtsprechung des EuGH zum Datenschutz, NVwZ 2016, 1359 – 1364. Smagon, Schutzschirm für EU/US-Datentransfer in Strafsachen, ZD 2016, 55 – 58. Specht, Das Verhältnis möglicher Datenrechte zum Datenschutzrecht, GRUR Int. 2017, 1040 – 1046. Spies, Schrems-II-Urteil des EuGH und die USA: Mehr Licht!, ZD 2020, 549, 550. Spies, USA: Noch in 2020 mehr Datenschutz für Kalifornier (CPRA)?, ZD-Aktuell 2020, 04407. Spies, USA: Neues kalifornisches Datenschutzgesetz (CPRA) vom Wähler gebilligt, ZDAktuell 2020, 07398. Spies, Schrems II: US-Regierung veröffentlicht White Paper zur Risikoanalyse, ZD-Aktuell 2020, 07327. Spies, USA: California Consumer Privacy Act steht zur Abstimmung, ZD-Aktuell 2018, 06156. Spies, USA: Neues kalifornisches Datenschutzgesetz CCPA als Vorreiter, ZD-Aktuell 2018, 04318. Spies, USA: Repräsentantenhaus verlängert Spionagebefugnisse nach Sec. 702 FISA, ZDAktuell 2018, 05932. Spies, Zwei US-Behörden für mehr Datenschutz und Datensicherheit, MMR 2016, 357 – 358. Stürmer, Löschen durch Anonymisieren?, ZD 2020, 626 – 630. Trentmann, Das „Recht auf Vergessenwerden“ bei Suchmaschinentrefferlinks, CR 2017, 26 – 35. Uecker, Extraterritorialer Anwendungsbereich der DS-GVO, ZD 2019, 67 – 71. Veil, Accountability – Wie weit reicht die Rechenschaftspflicht der DS-GVO?, ZD 2018, 9 – 16. Voigt, Weltweiter Datenzugriff durch US-Behörden – Auswirkungen für deutsche Unternehmen bei der Nutzung von Cloud-Diensten, MMR 2014, 158 – 161. Wasson, Privacy Law – The Routine Use Exception to the Privacy Act: A Clarification on Compatibility, Compatibility, 35 Vill. L. Rev. 1990, 822 – 831. Weichert, EU-US-Privacy-Shield – Ist der transatlantische Datentransfer nun grundrechtskonform? – Eine erste Bestandsaufnahme, ZD 2016, 209 – 217. Wybitul/Rauer, Datenschutz-Grundverordnung und Beschäftigtendatenschutz, ZD 2012, 160 – 164.
286
Literaturverzeichnis
Wybitul/Ströbel/Ruess, Übermittlung personenbezogener Daten in Drittländer, ZD 2017, 503 – 509. Ziegenhorn/von Heckel, Datenverarbeitung durch Private nach der europäischen Datenschutzreform, NVwZ 2016, 1585 – 1590. 4. Links (zuletzt abgerufen am 26. Januar 2021) Bitkom e. V., Position Paper, Commission Implementing Decision on Standard Contractual Clauses for the Transfer of Personal Data to Third Countries, 9. Dezember 2020, S. 2, abrufbar unter: https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/12741Commission-Implementing-Decision-on-standard-contractual-clauses-for-the-transfer-of-per sonal-data-to-third-countries/F1306021. Cohen, Rethinking Probabilistic Identifiers for the CCPA, abrufbar unter: https://www.aspen techpolicyhub.org/wp-content/uploads/2019/10/Po-Op_CCPA_-v4.pdf. Determann, Analysis: The California Consumer Privacy Act of 2018, abrufbar unter: https:// iapp.org/news/a/analysis-the-california-consumer-privacy-act-of-2018/. EuroISPA, Comments on the new draft SCCs, abrufbar unter: https://ec.europa.eu/info/law/bet ter-regulation/have-your-say/initiatives/12741-Commission-Implementing-Decision-on-stan dard-contractual-clauses-for-the-transfer-of-personal-data-to-third-countries/F1305644. Gorski/ACLU, Summary of US Foreign Intelligence Surveillance Law, Practice, Remedies and Oversight, 30. August 2018, abrufbar unter: https://www.aclu.org/sites/default/files/field_ document/cjeu_schrems_report_final_august_30_2018.pdf. Gray/Santos/Bielova/Toth/Clifford, Dark Patterns and the Legal Requirements of Consent Banners: An Interaction Criticism Perspective, 17. September 2020, abrufbar unter: https:// arxiv.org/pdf/2009.10194.pdf. Hoofnagle/Hartzog/Solove, The FTC can rise to the Privacy Challenge without help from Congress, 9. August 2019, abrufbar unter: https://www.lawfareblog.com/ftc-can-rise-priva cy-challenge-not-without-help-congress. Kerry, Why protecting privacy is a losing game today—and how to change the game: „We need to think bigger, or we will continue to play a losing game“, 12. Juli 2018, abrufbar unter: https://www.brookings.edu/research/why-protecting-privacy-is-a-losing-game-today-andhow-to-change-the-game/. Korff, on Kuner: Schrems II Re-Examined, Posted on 3 September 2020, abrufbar unter: https:// www.ianbrown.tech/2020/09/03/korff-on-kuner-schrems-ii-re-examined/. Korff, EU-US Umbrella Data Protection Agreement: Detailed analysis, abrufbar unter: https:// free-group.eu/2015/10/14/eu-us-umbrella-data-protection-agreement-detailed-analysis-bydouwe-korff/. Kuner, Comments on the Draft Commission Implementing Decision on SCC for the Transfer of Personal Data to Third Countried, Dezember 2020, abrufbar unter: https://ec.europa.eu/info/ law/better-regulation/have-your-say/initiatives/12741-Commission-Implementing-Decisionon-standard-contractual-clauses-for-the-transfer-of-personal-data-to-third-countries/F130234 5. Kuner, Schrems II Re-Examined, 25. August 2020. Abrufbar unter: https://verfassungsblog.de/ schrems-ii-re-examined/.
Literaturverzeichnis
287
Leuschner, Es ist wieder da: Der EuGH bestätigt das Grundrecht auf Sicherheit, 22. Februar 2016 abrufbar unter: https://verfassungsblog.de/es-ist-wieder-da-der-eugh-bestaetigt-dasgrundrecht-auf-sicherheit/. Levitin, Facebook: the new Credit Reporting Agency?, 21. August 2018, abrufbar unter: https:// www.creditslips.org/creditslips/2018/08/facebook-the-new-credit-reporting-agency.html. Litten/Kagan, Where HIPAA Stops, CCPA Begins, abrufbar unter: https://www.foxrothschild. com/publications/where-hipaa-stops-ccpa-begins/. Masing, Vorläufige Einschätzung der „Google-Entscheidung“ des EuGH, 14. August 2014, abrufbar unter: https://verfassungsblog.de/ribverfg-masing-vorlaeufige-einschaetzung-dergoogle-entscheidung-des-eugh/. Nahra, How emerging privacy laws are impacting the health care industry, 28. Januar 2020. Abrufbar unter: https://iapp.org/news/a/how-emerging-privacy-laws-are-impacting-the-he alth-care-industry/. Netzwerk Datenschutzexpertise, Privacy Shield – Darstellung und rechtliche Bewertung, 7. März 2016, abrufbar unter: https://www.netzwerk-datenschutzexpertise.de/sites/default/ files/gut_2016_privacyshield.pdf. noyb, comments on the proposed Standard Contractual Clauses for the Transfer of Personal Data to Third Countries pursuant to Regulation (EU) 2016/679, Dezember 2020, abrufbar unter: https://noyb.eu/sites/default/files/2020-12/Feedback_SCCs_nonEU.pdf. NTIA, Information on U.S. Privacy Safeguards Relevant to SCCs and Other EU Legal Bases for EU-U.S. Data Transfers after Schrems II, 28. September 2020, abrufbar unter: https://www. commerce.gov/sites/default/files/2020-09/SCCsWhitePaperFORMATTEDFINAL508COMP LIANT.PDF. Rojszczak, UK electronic surveillance programmes in the context of protection of EU citizens after Brexit, S. 150, abrufbar unter: www.academia.edu/38231301/UK_Electronic_Surveil lance_Programmes_in_the_Context_of_Protection_of_EU_Citizens_Rights_After_Brexit_ EN_. Salesforce (US), Comments on European Commission’s draft Standard Contractual Clauses, abrufbar unter: https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/12 741-Commission-Implementing-Decision-on-standard-contractual-clauses-for-the-transferof-personal-data-to-third-countries/F1305887. Schwarz, Will Privacy Shield’s demise usher in transparency?, 25. August 2020, abrufbar unter: https://iapp.org/news/a/will-privacy-shields-demise-usher-in-transparency/. Sokolov, Megahack Equifax’ war „absolut vermeidbar“, 28. Dezember 2018, abrufbar unter: https://www.heise.de/security/meldung/Megahack-Equifax-war-absolut-vermeidbar-42 59677.html?seite=all. Takatsuki, CCPA Blog Series, Part 2: Rethinking access and data portability rights, abrufbar unter: https://privacylawblog.fieldfisher.com/2019/ccpa-blog-series-part-2-rethinking-accessand-data-portability-rights. Vodafone (UK), Standard Contractual Clause – Consultation, 10. Dezember 2020, abrufbar unter: https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/12741-Com mission-Implementing-Decision-on-standard-contractual-clauses-for-the-transfer-of-perso nal-data-to-third-countries/F1305760.
288
Literaturverzeichnis
Weichert, Privacy Shield – Darstellung und rechtliche Bewertung, 7. März 2016, abrufbar unter: https://www.netzwerk-datenschutzexpertise.de/sites/default/files/gut_2016_privacys hield.pdf. Woll, Vorratsdatenspeicherung reloaded, 16. Oktober 2020, abrufbar unter: http://jean-monnetsaar.eu/?page_id=2848.
Sachwortverzeichnis Angemessenes Datenschutzniveau 42 ff., 49 ff., 92 ff., 203 f., 216, 221 ff., 236 ff., 269 ff., 274 f. Angemessenheitsentscheidungen 42 ff., 52, 55, 58, 110 f., 135, 201, 219 ff. Anonymisierung 74, 106 ff., 208, 246, 262 Aufsichtsbehörden 60, 77 ff.,104, 123, 151, 221 ff., 249 f. Auftrags(daten)verarbeitung 31 ff., 121, 203 ff. Automatisierte Entscheidung 69, 105, 120, 245 Betroffene Person – Definition 33 Binding Corporate Rules (BCR) 47, 193, 222 ff. Binnenmarkt 51, 270 Biometrische Daten 69, 107 ff., 133, 220 Datenexporteur/-importeur 202 ff., 238 ff., 248 ff. Datenminimierung 65, 76, 99 f., 111, 121, 127, 133, 183 f., 197, 209, 212 f., 217, 251, 257 Datenschutzbeauftragte 75, 126, 175, 209, 215 Datenschutzfolgenabschätzung 75, 126, 132 Datentreuhand 258 De-Identifizierung 106 f., 110, 118 f., 135 Do Not Sell My Personal Information 120 Einwilligung 55, 66 f., 98 102, 125, 130 f., 138, 143, 149 f., 209, 226, 231 ff., 245, 247, 254 Erforderlichkeit, Grundsatz der 72, 76, 99, 133, 174, 181 Erlaubnisvorbehalt 64, 108, 125, 131 Europäischer Gerichtshof (EuGH) 27 ff., 32 ff., 50 ff., 72 ff., 81 ff., 122, 158, 178 ff., 202 ff.
Europäischer Gerichtshof für Menschenrechte (EGMR) 86 f., 90 f., 180, 185, 274, 279 Fairness 64 f., 94, 100, 103, 121, 126, 137, 140, 156 Federal Trade Commission (FTC) 102 ff., 220 f., 277 Foreign Intelligence Surveillance Court (FISC) 93 f., 160 f., 170, 174 ff., 253, 255 Generalstaatsanwalt (in den USA) 123 ff., 134, 161 ff. Gesundheitsdaten 69, 105 ff., 112, 119 Gewohnheitsrecht 279 Haftung 79 ff., 123, 204, 209, 248 Informationelle Selbstbestimmung 55, 70, 232 Marktortprinzip 33, 213, 218, 240 Massenerhebungen/-überwachungen („bulk surveillance“) 161 ff., 183 f., 272, 279 Meinungsfreiheit 73, 97, 121 ff. Nationale Sicherheit 56, 81, 85 ff., 150, 168 f., 237, 275 Niederlassungsprinzip 32, 240 Ombudsmechanismus-/person/-stelle/ 172 ff., 185 ff., 219, 273, 277 Opt-Out 67, 102, 125, 130 f. Personenbezogene Daten – Definition 30 Privacy by Design and Default 76, 130, 252 Privacy Shield 44 ff., 56 ff., 96, 137, 145, 158 ff., 172 ff., 185 ff., 201 ff., 219 ff. Privatautonomie 231 Profiling 69, 105, 245
290
Sachwortverzeichnis
Pseudonymisierung 74 f., 107, 208, 217, 246, 263
Standardvertragsklauseln (SCC) 47, 202 ff., 221
Rechtsbehelf 45 f., 60, 78 ff., 90, 123, 128, 139 ff., 152 ff., 164, 177 ff., 185 ff., 190 ff., 198 f., 224, 234 f., 243, 271, 277 Risikoabwägung/-analyse 40 f., 74, 106, 113, 126 f., 129, 132, 241 ff., 267
Technische und organisatorische Maßnahmen (TOM) 66, 74, 103, 105, 137, 221, 251, 256, 264, 267 ff. Third-party doctrine 93 ff., 247 Transparenz 64 f., 88, 100 ff., 126, 134 f., 142, 175, 180 ff., 204, 208, 254, 260
Safe Harbor 44 f., 158, 185, 201 f., 219 f. Sanktionen 79 ff., 123 f., 128, 140, 240, 251, 269, 278 Schrems I-Entscheidung 44 f., 49 ff., 57 ff., 77, 87 ff., 158, 175, 178 f., 187 Schrems II-Entscheidung 38, 46 f., 86 ff., 158, 167, 178 f., 188, 267 ff. Schweigeanordnung/-pflicht („gag order“) 164, 211, 230, 250, 254, 259 Selbstzertifizierung 44, 108, 111, 220, 267 f. Sensible Daten (in der DSGVO: „besondere Kategorien personenbezogener Daten“) 68, 75, 126, 133, 149, 157, 160, 168, 204, 228, 245, 268 f. Snowden-Enthüllungen 45, 56, 60, 147, 160 ff., 172, 194, 243, 247
Übermittlungsgarantien 46 f., 194 f., 218, 223 ff., 237 ff., 268 Verantwortliche 31, 64 ff., 70 ff., 118, 243, 276 f. Vergessenwerden, Recht auf 71 f., 121 Verhältnismäßigkeit 55 f., 59,65, 80 f., 88 f., 96, 133, 167, 170, 176 ff., 182, 184, 204, 218, 236, 272 ff. Verschlüsselung 74 f., 103, 124, 208, 246, 252 f., 262 f., 267, 271, 275 Vorratsdatenspeicherung 82 ff., 170, 273 f. Zweckbindung 65, 126, 132 f., 172, 183 f., 204