Trans-Atlantic Data Privacy Framework: “Alter Wein in neuen Schläuchen?“
Im ersten Teil unserer Reihe haben wir TLS beleuchtet und warum diese Verschlüsselung allein nicht eine DSGVO-konforme E-Mail-Kommunikation gewährleisten kann. In diesem Beitrag gehen wir auf das Trans-Atlantic Data Privacy Framework näher ein.
Kommentar von Stephan Heimel, LL.M., Prokurist & Sales Director der SEPPmail – Deutschland GmbH
Nachdem der U.S.-Präsident am 07.10.2022 die Executive Order (EO) 14086 erlassen hatte und deren Umsetzung dann am 03.07.2023 durch die U.S.-Regierung bestätigt wurde, hat die EU-Kommission am 10.07.2023 den Angemessenheitsbeschluss zum neuen Trans-Atlantic Data Privacy Framework (DPF) veröffentlicht. Hatte der EuGH (Europäischer Gerichtshof) die Vorgänger „Safe Harbour“ und zuletzt das „Privacy Shield“ durch die Urteile „Schrems I“ und „Schrems II“ in den Jahren 2015 und 2020 für unwirksam erklärt, soll dieses neue Abkommen nun dafür sorgen, dass ein rechtssicherer Datentransfer zwischen EU und U.S.-Anbietern wieder möglich ist. In den U.S.A. soll nach einer Anpassung des U.S.-Geheimdienstrechts FISA (Foreign Intelligence Surveillance Act) ein angemessenes Datenschutzniveau gem. Art. 45 Abs. 3 EU-DSGVO existieren. Kleiner Wermutstropfen direkt an dieser Stelle: Es gibt keine generelle Anerkennung für die U.S.A. analog zum Angemessenheitsbeschluss mit z.B. der Schweiz. Die Anerkennung gilt nur für Unternehmen, die durch eine Selbstzertifizierung dem DPF beigetreten sind (https://www.dataprivacyframework.gov).
Nach Ansicht der Kommission sind die Bedenken, die den EuGH in seinen vorherigen Urteilen zu seinen Entscheidungen geführt haben, nun ausgeräumt: Die U.S.-Geheimdienste beschränken ihre Zugriffe auf das Notwendige und Verhältnismäßige. Ein Data Protection Court ermöglicht es Beschwerdeführern bzw. Beschwerdeführerinnen, Einspruch einzulegen; allerdings erst, nachdem sie ihr Anliegen bei den Datenschutzbehörden ihres Heimatlandes eingereicht haben. In einer zweiten Stufe können sie dann Berufung einlegen, sofern die U.S.-Unternehmen durch die Selbstzertifizierung dem DPF (Data Privacy Framework) beigetreten sind. Die Verantwortlichen im Sinne des Art. 4 Nr. 7 EU-DSGVO müssen lediglich prüfen, ob das Unternehmen, mit dem sie zusammenarbeiten, auf der Liste der beigetretenen Unternehmen steht und ob der Anwendungsbereich der Eintragung für den jeweiligen Fall anwendbar ist. Diese Prüfung muss jährlich wiederholt werden. Das gilt zumindest bis zu einer möglichen neuen EuGH-Entscheidung und solange ein möglicher neuer U.S.-Präsident die EO 14086 nicht rückgängig gemacht hat.
Fragt man einen der „Marktmächtigen“ oder die Kunden, die zum Beispiel M365 bereits einsetzen oder einen Einsatz planen, dann knallen die Sektkorken, und man hört Aussagen wie: „Was alle nutzen, konnte ja nicht schlecht sein“, „Jetzt können wir endlich problemlos die Online-Dienste von Microsoft nutzen“ oder „Mit unserem Ansatz Risiko statt Recht lagen wir doch immer auf der sicheren Seite“. Spricht man hingegen mit Juristen oder Datenschützern, schwindet die Euphorie und macht der Realität Platz. Seit Inkrafttreten gibt es in der juristischen Literatur eine Vielzahl von Analysen und Kommentaren. Generell herrscht Einigkeit: Es gibt keine Generalabsolution! Durch die juristische Brille betrachtet, existieren weiterhin Herausforderungen bei der Nutzung. Was sollte man bedenken? Im FISA 702 (Foreign Intelligence Surveillance Act; Gesetz zur Überwachung in der Auslandsaufklärung) ist normiert, dass nur U.S.-Personen verfassungsgemäß nicht anlasslos überwacht werden dürfen. Der Begriff der Verhältnismäßigkeit wurde zwar übernommen, allerdings bedeutet die sprachliche Übernahme noch lange nicht, dass man sich auch inhaltlich an den europäischen Standards orientiert.
Inhaltlich wurde FISA 702 nicht reformiert. Es herrscht Einigkeit, dass FISA 702 sowohl gegen den 4. Verfassungszusatz der U.S.A. als auch gegen Art. 7, 8 und 47 der EU-GrCh verstößt. Nicht-U.S.-Bürger haben keine verfassungsmäßigen Rechte in den U.S.A. Es wird kein angemessener Schutz der Privatsphäre gewährt, und somit stellt die Verletzung des Rechts auf Privatsphäre kein Problem dar. In Bezug auf den möglichen Rechtsbehelf wurde aus dem Ombudsmann der Civil Liberty Protection Officer (CLPO). War der Ombudsmann ein Mitarbeiter des U.S.-Außenministeriums, ist der CLPO der U.S.-Geheimdienstkoordinationsstelle zugeordnet. Beim Data Protection Review Court als Berufungsinstanz handelt es sich nicht um ein ordentliches Gericht. Die eigentlichen Beschwerdeführer dürfen nicht an den Verfahren teilnehmen, sondern müssen sich von Sonderbeauftragten vertreten lassen. Auch die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (kurz DSK) scheint dem Braten nicht zu trauen. Dies zeigt der Umfang der Anwendungshinweise der DSK (gegen die Stimme des Landesdatenschutzbeauftragten von Thüringen) vom 04.09.2023 zum EU-U.S. Data Privacy Framework. Dieses Dokument umfasst immerhin 32 Seiten.
„Warum in die Ferne schweifen, wenn das Gute liegt so nah?“
Es bleibt nach wie vor ein Restrisiko in Bezug auf Compliance- und Datenschutzanforderungen, wenn man sich ausschließlich auf den Angemessenheitsbeschluss bei der Nutzung von Lösungen amerikanischer Unternehmen stützt. Jedes amerikanische Unternehmen bleibt den nationalen Gesetzen unterworfen. Der amerikanische Clarifying Lawful Overseas Use of Data Act (CLOUD Act) verpflichtet seit 2018 Unternehmen mit Hauptsitz in den U.S.A., U.S.-Behörden unter bestimmten Voraussetzungen auch dann Zugriff auf gespeicherte Daten zu gewähren, wenn die Speicherung nicht in den U.S.A. erfolgt. So wäre es denkbar, dass die U.S.-amerikanische Muttergesellschaft mittels ihrer Gesellschafterrechte auf die europäische Tochtergesellschaft einwirkt, um ihren Verpflichtungen aus dem CLOUD-Act nachzukommen.
Die Alternativen in Deutschland bzw. Europa insbesondere in Bezug auf Verschlüsselungstechnologien sind mannigfaltig. Bei einem Vorfall gilt auch hier die Einzelfallbetrachtung. Das (Rest-)Risiko bleibt bestehen und realisiert sich im Falle eines Falles beim Verantwortlichen – mit den nachgelagerten Haftungsrisiken. Doch nicht nur das Risiko liegt bei ihm. Ihn treffen auch – gegebenenfalls persönlich – die Konsequenzen. Mögliche Sanktionen können hier beispielsweise Regressansprüche gegen das Management oder Sonderbeauftragte für Compliance, Datenschutz und Informationssicherheit sein. Zivilrechtlich wird in der Regel Schadensersatz gefordert. Dies beinhaltet auch Vermögensschäden ohne Haftungsobergrenze. Zu öffentlich-rechtlichen Sanktionen zählen Geld-, Haft- oder Verwaltungsstrafen. Ordnungsmaßnahmen können auch bis zur Stilllegung des Betriebes führen.
Durch die Marktmacht des einen oder anderen Anbieters aus den U.S.A. ist es nachvollziehbar, dass europäische Unternehmen deren Lösungen nutzen möchten. Um die Sicherheit in Bezug auf die Compliance- und Datenschutzanforderungen zu erhöhen, ist es von entscheidender Bedeutung, in der Praxis alle möglichen Schritte zu unternehmen, um die (Rest-)Risiken zu minimieren bzw. auszuschalten. Hierzu stehen den Kunden eine Vielzahl von Sicherheitslösungen (z.B. für die sichere E-Mail-Kommunikation incl. Filtertechnologien) lokaler Anbieter zur Verfügung, die zusätzlich implementiert werden sollten.
Vorschau auf unseren dritten Teil: Hier werden wir uns mit den Anwendungshinweisen der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 4. September 2023 (gegen die Stimme des Landesbeauftragten von Thüringen) befassen.