Barbara Schmitz; Axel Spies

DSK: US-Gutachten zur Risikoeinschätzung bei Datentransfers (DTIA) veröffentlicht


Die Datenschutzkonferenz (DSK) hat am 25.1.‌2022 ein umfangreiches Gutachten des renommierten US-Rechtsexperten Prof. Steven Vladeck (University of Texas) in Deutsch und Englisch online veröffentlicht. Prof. Vladeck trat im Schrems-II-Verfahren vor dem irischen Gericht als Gutachter auf. Eine ausführliche Diskussion über das Gutachten findet sich im Beck-Blog. Das Gutachten knüpft an seine umfangreichen Ausführungen als Experte im Schems-II-Verfahren vor dem Irischen High Court im Jahr 2016 an.

Gem. Klausel 14 (b) (ii) der neuen Standardvertragsklauseln v. 4.6.‌2021 (C(2021) 3972 final) erklären die Parteien, „dass sie hinsichtlich der Zusicherung in Buchstabe a insbesondere die folgenden Aspekte gebührend berücksichtigt haben: „die angesichts der besonderen Umstände der Übermittlung relevanten Rechtsvorschriften und Gepflogenheiten des Bestimmungsdrittlandes (einschließlich solcher, die die Offenlegung von Daten gegenüber Behörden vorschreiben oder den Zugang von Behörden zu diesen Daten gestatten) sowie die geltenden Beschränkungen und Garantien.“ Zu diesem Zweck ist auf das tatsächliche Risiko für die übermittelten Daten abzustellen, nicht allein auf potenzielle Risiken durch bestehende Gesetze und andere einschlägige Rechtsvorschriften im Empfangsland (vgl. Spies ZD 2021, 478 (480 f.)).

 

Der Europäische Datenschutzausschuss (EDSA) hat versucht, diese Pflichten in umfangreichen „Empfehlungen“ v. 10.11.‌2020 zu konkretisieren. Gleich ob man diese Empfehlungen für nützlich hält oder nicht: Die Datenexporteure sind bei der Analyse des US-Rechts weiterhin weitgehend auf sich gestellt. Die Ausführungen im Vladeck-Gutachten sind deshalb nützlich, um das Risiko eines Datentransfers in der USA zu benennen und zu qualifizieren. Inhaltlich deckt sich das Gutachten weitgehend mit den bekannten White Paper der US-Regierung zu den Schrems-II-Datenübermittlungen in die USA von September 2020.

 

1. Gegenüberstellung der Aussagen des EuGH zu Schrems-II und des US-Gutachtens

Die Erwägungen und Schlussfolgerungen der Parteien müssen entsprechend den Vorgaben des Gerichts dokumentiert werden (Data Transfer Impact Assessment – DTIA). Zur besseren Anschaulichkeit werden in der folgenden Tabelle die Aussagen des EuGH im Urteil „Schrems II“ (ZD 2020, 511 mAnm Moos/Rothkegel = MMR 2020, 597 mAnm Hoeren) zu den Übermittlungsrisiken den korrespondierenden Aussagen und Kommentaren von Prof. Vladek im US-Gutachten gegenübergestellt (die aufgeführten Rn. beziehen sich auf dieses Urteil):

 

Rn.

Aussage des EuGH

Frage

Aussage Prof. Vladeck

180

Demzufolge lässt Section 702 des FISA in keiner Weise erkennen, dass für die darin enthaltene Ermächtigung zur Durchführung von Überwachungsprogrammen zum Zweck der Auslandsaufklärung Einschränkungen bestehen. Genauso wenig ist erkennbar, dass für potenziell von diesen Programmen erfasste Nicht-US-Personen Garantien existieren. Unter diesen Umständen ist diese Vorschrift, wie der Generalanwalt in den Nr. 291, 292 und 297 seiner Schlussanträge der Sache nach festgestellt hat, nicht geeignet, ein Schutzniveau zu gewährleisten, das dem durch die Charta – in ihrer Auslegung durch die in den Rn. 175 und 176 des vorliegenden Urteils wiedergegebene Rspr., wonach eine gesetzliche Grundlage für Eingriffe in Grundrechte, um dem Grundsatz der Verhältnismäßigkeit zu genügen, den Umfang, in dem die Ausübung des betreffenden Rechts eingeschränkt wird, selbst festlegen sowie klare und präzise Regeln für die Tragweite und die Anwendung der betreffenden Maßnahme vorsehen und Mindesterfordernisse aufstellen muss – garantierten Niveau der Sache nach gleichwertig ist.

I.1.

Auf den Anwendungsbereich von Abschnitt 702 des FISA (das Kernstück des FISA Amendments Act von 2008) gehe ich in den Ziffern 39–43 des Vladeck-Schrems-Report ein. Um es kurz zu machen: Abschnitt 702 ist in dem Sinne verbindlich, dass, wenn die Vereinigten Staaten einem Anbieter von elektronischen Kommunikationsdiensten eine Anweisung erteilt haben, die durch ihre jährliche Zertifizierung vor dem FISA-Gericht gem. Abschnitt 702 genehmigt wurde, der Anbieter entweder (1) die Anweisung befolgen oder (2) die Anweisung vor dem FISA-Gericht anfechten muss.

Anders ausgedrückt: Eine gem. Abschnitt 702 erlassene Anweisung kann den Anbieter elektronischer Kommunikationsdienste, der sie erhält, dazu verpflichten, Daten an einen US-Geheimdienst weiterzugeben oder ihm Zugang zu den Daten zu gewähren. Aber es ist die Anweisung, die die Offenlegung erzwingt. Abschnitt 702

an sich verpflichtet die Anbieter elektronischer Kommunikationsdienste nicht zur proaktiven Offenlegung von Daten oder zur Gewährung eines allgemeinen Zugangs zu Daten für US-Geheimdienste.

181

Nach den Feststellungen im DSS-Beschluss müssen die auf Section 702 des FISA gestützten Überwachungs­programme zwar unter Beachtung der aus der PPD-28 folgenden Anforderungen durchgeführt werden. Während die Kommission in den Erwägungsgründen 69 und 77 des DSS-Beschlusses hervorgehoben hat, dass solche Anforderungen für die amerikanischen Nachrichtendienste verbindlich seien, hat die amerikanische Regierung jedoch auf eine Frage des Gerichtshofs eingeräumt, dass die PPD-28 den betroffenen Personen keine Rechte verleihe, die gegenüber den amerikanischen Behörden gerichtlich durchgesetzt werden könnten.

I.7.

[Und] in jedem Fall schafft die PPD-28 keine einklagbaren Rechte, die ein US-amerikanischer Anbieter elektronischer Kommunikationsdienste oder eine nicht-amerikanische Tochtergesellschaft eines solchen Anbieters vor Gericht durchsetzen könnte.

182

Was die auf die E. O. 12333 gestützten Überwachungsprogramme anbelangt, geht aus den dem Gerichtshof vorliegenden Akten hervor, dass auch dieses Dekret keine Rechte verleiht, die gegenüber den amerikanischen Behörden gerichtlich durchgesetzt werden können.

I.6.

Einerseits ist Abschnitt 702 auf die Erhebung von Daten von Anbietern elektronischer Kommunikationsdienste in den USA ausgerichtet. In der Tat besteht der Sinn des Gesetzes darin, die Lücke zwischen der Erfassung der Kommunikation von Nicht-US-Personen außerhalb der Vereinigten Staaten (die durch die Executive Order 12.333 geregelt ist) und der Erfassung der Kommunikation von US-Personen innerhalb der Vereinigten Staaten (die durch das „traditionelle“ FISA geregelt ist) zu schließen.

183

Hinzuzufügen ist, dass die PPD-28, die bei der Anwendung der in den beiden vorstehenden Randnummern genannten Programme zu beachten ist, die „‚Sammelerhebung‘ … einer relativ großen Menge von signalerfassenden Aufklärungsdaten unter Bedingungen, in denen die Intelligence Community keinen mit einer bestimmten Zielperson verbundenen Identifikator … für eine zielgerichtete Erhebung verwenden kann“, erlaubt, wie dem in Anhang VI des DSS-Beschlusses enthaltenen Schreiben des Office of the Director of National Intelligence an das amerikanische Handelsministerium sowie an die International Trade Administration v. 21.6.‌2016 zu entnehmen ist. Hinsichtlich dieser iRd auf die E. O. 12333 gestützten Überwachungsprogramme bestehenden Möglichkeit, auf Daten während ihrer Übermittlung in die Vereinigten Staaten zuzugreifen, ohne dass dieser Zugriff irgendeiner gerichtlichen Kontrolle unterläge, besteht jedenfalls keine hinreichend klare und präzise Eingrenzung des Umfangs einer solchen Sammelerhebung personenbezogener Daten.

II.8.

Auf den ersten Blick geht es nach dem Wortlaut und dem allgemeinen Verständnis von Abschnitt 702 nicht um die Frage, wo sich der Anbieter befindet, sondern darum, wo sich die Daten befinden. Das liegt wiederum daran, dass Abschnitt 702 in Fällen,

in denen Daten von Nicht-US-Personen von Nicht-US-Unternehmen außerhalb des Hoheitsgebiets der Vereinigten Staaten gespeichert werden, überhaupt nicht anwendbar ist – und jede Sammlung von Daten zur Überwachung ausländischer

Nachrichtendienste stattdessen durch die Executive Order 12.333 geregelt wird (die, wie wir bereits erörtert haben, Vor- und Nachteile hat).

191

Hierzu hat die Kommission im 115. Erwägungsgrund des DSS-Beschlusses ausgeführt: „Auch wenn Privatpersonen, einschließlich Betroffene[n] in der [Union], eine Reihe von Rechtsschutzinstrumenten zur Verfügung steht, wenn sie aus Gründen der nationalen Sicherheit rechtswidrig (elektronisch) überwacht wurden, steht doch fest, dass zumindest einige Rechtsgrundlagen, die US-Nachrichtendienste nutzen können (zB [die] E. O. 12333), [davon nicht erfasst werden].“ Sie hat also in diesem 115. Erwägungsgrund hinsichtlich der E. O. 12333 das Fehlen jeglichen Rechtsbehelfs hervorgehoben. Nach der in Rn. 187 des vorliegenden Urteils wiedergegebenen Rspr. steht eine solche Lücke im gerichtlichen Rechtsschutz gegen Eingriffe, die mit den auf dieses Präsidialdekret gestützten Aufklärungsprogrammen verbunden sind, der von der Kommission im DSS-Beschluss getroffenen Feststellung entgegen, dass das Recht der Vereinigten Staaten ein Schutzniveau gewährleiste, das dem durch Art. 47 der Charta garantierten Niveau der Sache nach gleichwertig sei.

IV.1./IV.2.

IV.1.: Die kurze Antwort lautet „Nein“ – Rechtsbehelfe gegen den Zugriff auf Daten betroffener EU-/EWR-Bürger oder deren Speicherung sind nicht immer verfügbar. Wie in meinem Schrems-Report ausführlich beschrieben, gibt es eine Reihe von Aufsichtsmaßnahmen und Maßnahmen zur Rechenschaftspflicht, die sicherstellen sollen, dass die US-Behörden die gesetzlichen und verfassungsmäßigen Grenzen dieser Befugnisse einhalten sowie beachtliche Korrekturbefugnisse für Fälle, in denen dies nicht der Fall ist, vgl. a. a. O., aber es ist nicht immer der Fall, dass diese Maßnahmen von den betroffenen Personen selbst geltend gemacht werden können.

IV.2.: Die US-Regierung vertritt in der Regel den Standpunkt, dass alle „Nicht-US-Personen“ keine Rechte nach dem Vierten Verfassungszusatz haben, s. a. den Präzedenzfall Agency for Int'l Dev. v. Alliance for Open Soc'y Int'l, Inc., 140 S. Ct. 2082, 2086 (2020) („Entsprechend dem amerikanischen Verfassungsrecht ist seit langem entschieden, dass ausländische Bürger außerhalb des US-Territoriums keine Rechte nach der US-Verfassung haben.“).

Wie ich jedoch in meinem Schrems-Report feststellte, gibt es zahlreiche gesetzliche und nicht-gesetzliche Rechtsbehelfe, die Betroffenen aus der EU/dem EWR zumindest in einigen dieser Zusammenhänge theoretisch zur Verfügung stehen – einschließlich der Geltendmachung, dass die zuständigen US-Behörden ihre gesetzlichen Befugnisse überschritten haben.

192

IÜ ist sowohl hinsichtlich der auf Section 702 des FISA gestützten als auch hinsichtlich der auf die E. O. 12333 gestützten Überwachungsprogramme in den Rn. 181 und 182 des vorliegenden Urteils festgestellt worden, dass weder die PPD-28 noch die E. O. 12333 den betroffenen Personen Rechte verleihen, die gegenüber den amerikanischen Behörden gerichtlich durchgesetzt werden können, so dass diese Personen nicht über einen wirksamen Rechtsbehelf verfügen.

IV.4.

Am 8.11.‌2021 fand vor dem Obersten Gerichtshof der USA die

mündliche Verhandlung in der Rechtssache FBI v. Fazaga statt, dem wichtigsten Fall zum Thema FISA im Zusammenhang mit dem Staatsgeheimnisprivileg, mit dem

sich der Gerichtshof seit einiger Zeit befasst hat. Eine der konkreten Fragen, die Fazaga aufwirft, ist die, ob FISA das Privileg des Staatsgeheimnisses in Fällen außer Kraft setzt, in denen Kläger behaupten, dass ihre Kommunikation unrechtmäßig unter

Verstoß gegen das Gesetz abgehört wurde – weil es ein bestimmtes Verfahren vorsieht, mit dem Gerichte prüfen können, ob Verschlusssachen als Beweismittel zugelassen werden können und sollten (aus diesem Grund beschränkt sich diese Argumentation auf Klagen, die sich darauf richten, dass die Überwachung durch

FISA unzulässig ist, im Gegensatz zu Klagen, dass die Überwachung

verfassungswidrig oder gemäß der Executive Order 12.333 unzulässig ist)

195

In dem in Rn. 193 des vorliegenden Urteils genannten Schreiben wurde die Ombudsperson des Datenschutzschilds zwar als „von den Nachrichtendiensten unabhängig“ beschrieben, aber weiter heißt es dort, dass sie „unmittelbar dem Außenminister [untersteht], der dafür Sorge trägt, dass [sie] ihre Aufgabe objektiv und frei von unzulässiger Einflussnahme erfüllt, die sich auf die zu erteilende Antwort auswirken kann“. IÜ enthält der DSS-Beschluss, wie der Generalanwalt in Rn. 337 seiner Schlussanträge ausgeführt hat, über die Feststellung der Kommission in seinem 116. Erwägungsgrund hinaus, dass die Ombudsperson vom Außenminister ernannt werde und einen Posten im Außenministerium der Vereinigten Staaten bekleide, keinen Hinweis darauf, dass die Abberufung der Ombudsperson oder der Widerruf ihrer Ernennung mit besonderen Garantien versehen wäre, was Zweifel daran weckt, ob sie von der Exekutive unabhängig ist (vgl. in diesem Sinne Urt. v. 21.1.‌2020 – C-274/14 Rn. 60 und 63 sowie die dort angeführte Rspr. – Banco de Santander).

IV.1.

Was die Frage betrifft, „wer“ über den Rechtsbehelf entscheidet, so sind alle Richter, soweit diese Streitigkeiten vor den Bundesgerichten landen, „Artikel III“-Bundesrichter – das bedeutet, dass sie vom Präsidenten ernannt und vom Senat bestätigt wurden und ihr Amt bei „gutem Benehmen“ auf unbestimmte Zeit innehaben.

 

2. Kurzanalyse

Die Gegenüberstellung zeigt, dass die komplizierte Rechtslage in den USA seit der Beweisaufnahme im Schrems-II-Verfahren vor mittlerweile sechs Jahren in Irland eine Entwicklung durchlaufen hat und weiterhin durchläuft, die durchaus die Anforderungen der EU-Kommission und des EuGH im Blick hat. Darüber hinaus bietet das Vladeck-Gutachten auf dem Stand vom November 2021 diverse Anhaltspunkte für die Bewertung der US-Rechtsvorschriften, deren Interpretation und die Auswirkungen auf die Einhaltung der SCC, wie in Abschnitt III der SCC beschrieben sind, zB das dort zitierte laufende Verfahren FBI v. Fazaga vor dem US Supreme Court. Folgende zwei Punkte fallen ins Auge:

 

  • Hilfreich ist das Gutachten u. a. für die Diskussion um die Implementierung eines Rechtsbehelfs der den Anforderungen des Art. 47 GRCh entspricht und jedem EU-Bürger das Recht und den Anspruch auf effektiven Rechtsschutz gewährt, wenn seine „durch das Recht der Union garantierte Rechte oder Freiheiten verletzt worden sind.“ Es kommt, wie oben zitiert, zu dem Schluss, dass „es zahlreiche gesetzliche und nicht-gesetzliche Rechtsbehelfe (gibt), die Betroffenen aus der EU/dem EWR zumindest in einigen dieser Zusammenhänge theoretisch zur Verfügung stehen – einschließlich der Geltendmachung, dass die zuständigen US-Behörden ihre gesetzlichen Befugnisse überschritten haben.“ Bei der DTIA-Risikoanalyse sind die Parteien nur aufgefordert angemessen zu berücksichtigen, dass für die Durchsetzung des Rechtsbehelfs das tatsächliche Vorhandensein einer unabhängigen und wirksamen Rechtbehelfsstruktur ausreicht (vertiefend dazu Christakis/Prop/Swire, European law blog v. 31.1.‌2022). Generalanwalt Saugmandsgaard fordert in seinem Schlussantrag v. 10.12.‌2019 –  C-311/18 zu Schrems II nichts anderes (Rn. 293), nämlich dass „der Zugang außer in hinreichend begründeten Eilfällen einer vorherigen Kontrolle entweder durch ein Gericht oder eine unabhängige Verwaltungsstelle unterworfen sein muss … .“

  • Die DSK hat ihrerseits eine ziemlich einseitige Zusammenfassung der „wesentlichen Befunde“ des Vladeck-Gutachtens ins Netz gestellt. Danach wurde als „wesentlich“ festgestellt, dass der Begriff „electronic communication service provider“ sehr weit zu fassen ist und „nicht nur klassische IT- und Telekommunikationsunternehmen“ darunterfallen können, sondern „auch Unternehmen wie beispielsweise Banken, Fluggesellschaften, Hotels oder Versanddienstleister“. Zu den umfangreichen Ausführungen von Vladeck zu den Möglichkeiten für EU-Bürger und betroffene Anbieter in den USA (zumindest auch in ihrem Namen) Rechtsbehelfe zu ergreifen, heißt es in der Zusammenfassung lapidar, Vladeck stelle „Schwierigkeiten für europäische Bürgerinnen und Bürger dar, Rechtschutz in den USA zu erlangen.“ Diese selektive Auswahl der DSK wird nach unserer Durchsicht des Gutachtens den Ausführungen des Gutachters nicht gerecht.

 

Es bleibt zu hoffen, dass in der angekündigten Bewertung des Gutachtens der DSK die hier aufgegriffenen Punkte angemessen Berücksichtigung finden. Besonders wichtig für die DTIA sind konkrete Schlussfolgerungen: Reicht es zB für die DTIA aus, wenn sich ein von einer FISA-Anordnung betroffener Anbieter vertraglich verpflichtet, die Anordnung (auch im Namen der Betroffenen) vor dem FISA-Gericht anzufechten? Zielführend wäre es, wenn die EDSA im Namen aller Datenschutzbehörden einen erweiterten Fragenkatalog direkt an das US Department of Commerce übermittelt würde, u. a. mit weiteren Fragen zu aktuellen Gesetzen und Verfahrensprozessen. Vermutlich existiert ein solcher Katalog mit Antworten schon als Teil der EU-US-Verhandlungen um den Privacy Shield 2.0.

 

Der Schwerpunkt sollte die vom EDSA in den Empfehlungen 2/2020 beschriebenen „wesentlichen europäischen Garantien“, insbesondere Garantie C – Vorhandensein eines unabhängigen Aufsichtsmechanismus und Garantie D – Vorhandensein wirksamer Rechtsbehelfe für den Bürger sein. Sollte die US-Regierung oder der US-Kongress in den kommenden Wochen eine neue Rechtsverordnung oder gar ein Gesetz beschließen, um den Europäern in Sachen Schrems II entgegenzukommen, sollte die DSK oder noch besser der EDSA diese Maßnahmen zügig wohlwollend prüfen und die Ergebnisse veröffentlichen. Christakis/Prop/Swire (European law blog v. 31.1.‌2022) ist voll beipflichten: „Das europäische Recht ist flexibel bei der Auslegung der Frage, ob die USA ein neues Gesetz verabschieden müssen, um die Anforderungen an den Rechtsschutz zu erfüllen, insbesondere wenn die Frage durch das Prisma der „wesentlichen Gleichwertigkeit“ des Datenschutzes betrachtet wird. Die Substanz hat Vorrang vor der Form.“

Barbara Schmitz ist Rechtsanwältin und Justiziarin bei der SWMH Service GmbH in München sowie Mitglied des Wissenschaftsbeirats der ZD.

Dr. Axel Spies ist Rechtsanwalt in der Kanzlei Morgan Lewis & Bockius in Washington DC und Mitherausgeber der ZD.