LfD: Der CLOUD Act – Zugriff von US-Behörden auf Daten in der EU

Quelle: Die Landesbeauftragte für den Datenschutz Niedersachsen, Tätigkeitsbericht 2019, S. 26ff.

Die Bedeutung von elektronischem Beweismaterial für Strafverfahren hat in den vergangenen Jahren immens zugenommen. Daher ist der Zugang zu elektronischen Daten für die Strafverfolgungsbehörden elementar. Befinden sich diese Daten im Ausland außerhalb des eigenen Hoheitsgebietes, ist der behördliche Zugriff jedoch nicht ohne weiteres
möglich. Der US-CLOUD Act (Clarifying Lawful Overseas Use of Data Act) soll den Zugriff von US-Behörden auf elektronische Daten zur Strafverfolgung erleichtern. Im Juli 2019 nahm der Europäische Datenschutzausschuss (EDSA) Stellung zu diesem US-Gesetz.

Der US-CLOUD Act trat im März 2018 in Kraft und erlaubt US-Behörden, auf personenbezogene Daten zuzugreifen, die im Besitz oder unter der Kontrolle von US-Unternehmen sind – auch dann, wenn sich diese Daten außerhalb der USA befinden. Das Gesetz gilt nur für Anbieter elektronischer Kommunikationsdienstleistungen.


Der direkte Zugriff durch US-Behörden auf Daten außerhalb des US-Hoheitsgebietes ist rechtlich umstritten. Während staatliche Stellen in den USA einen solchen Zugriff bei US-Unternehmen als zulässig ansehen und den CLOUD Act lediglich als Klarstellung verabschiedet haben, betrachtet die EU sämtliche personenbezogenen Daten in ihrem Hoheitsgebiet als durch EU-Recht vor Zugriffen Dritter geschützt. Auch ein US-Gericht hatte einen solchen direkten Zugriff auf personenbezogene Daten eines US-Unternehmens in der
EU untersagt (Berufungsentscheidung des Second U.S. Circuit Court of Appeals vom Juli 2016. Die hiergegen gerichtete Beschwerde der US-Regierung wurde im Januar 2017 zurückgewiesen).

Rechtskonflikt mit der DS-GVO
Die Datenschutz-Grundverordnung (DS-GVO) sieht in Art. 48 vor, dass Drittländer per Gerichtsurteil oder Entscheidung von Verwaltungsbehörden von einem europäischen Datenverarbeiter die Übermittlung personenbezogener Daten verlangen können. Allerdings nur dann, wenn hierfür ein Rechtshilfeabkommen zwischen dem Drittland und der EU bzw. einem EU-Mitgliedsstaat vorliegt.


Rechtshilfeabkommen sehen in der Regel einen Austausch der personenbezogenen Daten über zwischengeschaltete staatliche Stellen vor, welche die Rechtmäßigkeit der geplanten Herausgabe prüfen. Eine direkte Herausgabe der Daten an Behörden in Drittländern ist gerade nicht erlaubt. Der Gesetzgeber hat sich mit dieser Regelung in Art. 48 DS-GVO dafür entschieden, ein deutliches Zeichen gegen eine ungeregelte Herausgabe von personenbezogenen Daten aus dem Bereich der EU zu setzen und insbesondere eine Umgehung bestehender Rechtshilfeabkommen zu verhindern.

Unternehmen mit US-amerikanischem Hauptsitz, welche den Regelungen des CLOUD Act unterliegen und Anordnungen von US-Behörden Folge leisten müssen und gleichzeitig als Datenverarbeiter in der EU die Regelung des Art. 48 DS-GVO beachten müssen, befinden sich nun zwangsläufig in einem Rechtskonflikt. Bereits in den Leitlinien 2/2018 zu Einzelfragen des internationalen Datenverkehrs befasste sich der EDSA mit dieser Frage und empfahl betroffenen Unternehmen, sofern eine internationale Übereinkunft besteht, direkte Anfragen zurückzuweisen und die ersuchende Behörde des Drittstaats auf den Weg über bestehende Rechtshilfeabkommen zu verweisen.

EDSA sieht Bedarf für neues Abkommen
Auch in der europäischen Politik ist der beschriebene Rechtskonflikt wahrgenommen worden:
Im März 2019 bat der Ausschuss für bürgerliche Freiheiten, Justiz und Inneres (LIBE) des EU-
Parlaments den EDSA um eine rechtliche Bewertung zu den Auswirkungen des CLOUD Act auf
europäisches Datenschutzrecht.


Der EDSA hebt in seiner Stellungnahme die Rechtsnorm des Art. 48 DS-GVO hervor, welche gerade das Ziel hat, Datentransfers bzw. -offenlegungen an Behörden in Drittstaaten zu regeln. Der CLOUD Act sei der Versuch, die bestehenden Rechtshilfeabkommen zu umgehen. Demgemäß stellt der EDSA klar, dass die Anforderung einer ausländischen Behörde zur Übermittlung personenbezogener Daten nur dann als rechtliche Verpflichtung des Verantwortlichen nach Art. 6 Abs. 1 lit. c DS-GVO angesehen werden könne, wenn sie auf einem internationalen Abkommen beruhe. Insofern sieht der EDSA Bedarf für ein neues internationales Abkommen zwischen EU und USA, welches hohe datenschutzrechtliche Standards definiert.


Im Übrigen sei eine Herausgabe von personenbezogenen Daten an Behörden eines Drittlandes
nur in sehr engen Grenzen zulässig. Der EDSA hält die Übermittlung nur ausnahmsweise für
zulässig, wenn außergewöhnliche Umstände vorliegen, etwa zum Schutz lebenswichtiger Interessen einer betroffenen Person (Art. 6 Abs. 1 lit. d i.V.m. Art. 49 Abs. 1 lit. f DS-GVO). Dagegen sieht der EDSA keine Übermittlungsbefugnis aufgrund berechtigter Interessen (Art. 49 Abs. 1 Satz 2 DS-GVO). In der anzustrengenden Interessenabwägung überwiege hier das Schutzinteresse der Betroffenen vor Herausgabe ihrer personenbezogenen Daten, da der Verantwortliche nicht in der Lage sei, die für den Datentransfer vorausgesetzten Garantien für den Schutz der Daten zu geben.

Fazit des EDSA: Eine Herausgabe von personenbezogenen Daten allein auf Grundlage von behördlichen Anforderungen aus den USA auf Basis des CLOUD Act sei in der Regel unzulässig.

Der Rechtskonflikt für die betroffenen Unternehmen bleibt damit zunächst bestehen. Allerdings
hat die EU-Kommission 2019 mit den Verhandlungen über ein Abkommen mit den USA begonnen, das die Gewährung eines gegenseitigen Zugangs zu personenbezogenen Daten in Form von elektronischen Beweismitteln beinhalten soll. Aus Sicht des Datenschutzes sollte das Abkommen ausreichende Garantien und Rechtshilfemöglichkeiten für betroffene Personen enthalten.

Quelle: Die Landesbeauftragte für den Datenschutz Niedersachsen, Tätigkeitsbericht 2019, S. 26ff.