6
Sicherheitsbereich
6.1 Grenzüberschreitender sicher
heitsbehördlicher Datenzugriff
Mit dem CLOUD Act, der e-Evidence Verordnung und
der Cyber-Crime Convention gibt es aktuell drei Verfahren, mit denen ein direkter grenzüberschreitender
sicherheitsbehördlicher Datenzugriff ermöglicht werden
soll. Diese Abkehr vom bisher vorherrschenden Grundsatz der internationalen Rechtshilfe wirft an mehreren
Stellen datenschutzrechtliche Probleme auf.
6.1.1 CLOUD Act
Der CLOUD Act stellt sicher, dass U.S.-amerikanische
Strafverfolgungsbehörden weitreichend auf Daten von
Internet-Unternehmen zugreifen können, unabhängig
davon, wo diese gespeichert sind. Das kann Rechtskonflikte schaffen. Denn nach der ersten Einschätzung
des EDSA sind direkte Übermittlungen an U.S.-Strafverfolgungsbehörden außerhalb des Rechtshilfeweges
nur sehr begrenzt mit der DSGVO vereinbar. Neue
Abkommen können die Lösung sein, aber die Hürden
sind hoch.
Der CLOUD Act ist im März 2018 in den USA in Kraft
gesetzt worden. Mit ihm werden zwei Ziele verfolgt:
Zum einen macht er Vorgaben für den Abschluss von
Verwaltungsabkommen, mit denen sich die USA mit
anderen Staaten bzw. der EU grundsätzlich gegenseitigen Zugriff auf personenbezogene Daten zusichern, die
bei Internetprovidern im jeweils anderen Staat gespeichert sind. Die U.S.-Regierung sieht hierin vor allem ein
Angebot an andere Staaten. Denn wegen der dominanten U.S.- Internetindustrie benötigen viele ausländische
Strafverfolgungsbehörden gerade die dort gespeicherten
Daten für ihre Ermittlungen. Zum anderen stellt der
CLOUD Act aber auch klar, dass U.S.-amerikanische
Strafverfolgungsbehörden weitreichend auf Daten
von Internet-Unternehmen zugreifen können, die der
U.S.-amerikanischen Jurisdiktion unterliegen, und zwar
unabhängig davon, wo diese Daten gespeichert sind.
Besondere Brisanz liegt in diesem zweiten Aspekt. Denn
eine derartige Regelung kann leicht Rechtskonflikte
schaffen, wenn die ersuchten Daten zugleich dem
Schutz einer anderen Rechtsordnung unterliegen,
wie etwa der DSGVO. Der Europäische Datenschutzausschuss (EDSA) hat in einer ersten Einschätzung
die Position vertreten, dass eine Übermittlung an
die U.S.-Strafverfolgungsbehörde ausschließlich auf
Grundlage des CLOUD Acts nach der DSGVO regelmäßig
nicht zulässig sein dürfte. Solange keine lebenswichtigen Interessen des Betroffenen berührt werden, setze
eine rechtskonforme Übermittlung bei strafrechtlichen
Ermittlungen vielmehr die Einhaltung des bestehenden
Rechtshilfeweges voraus.
Zugleich präsentiert der EDSA Lösungswege, wie mit
entsprechenden Auskunftsersuchen künftig rechtskonfliktfrei umgegangen werden könnte. Hierfür sei
insbesondere eine neue Generation von Rechtshilfeabkommen erforderlich, die eine schnellere Bearbeitung
der Ersuchen und ein höheres Niveau an Datenschutz
sicherstellen sollen. Ein anderer Weg könne in einem
die Materie regelnden Abkommen zwischen der EU
und den USA liegen, wie es gegenwärtig schon verhandelt wird. In diesem müssten allerdings hinreichende
Verfahrenssicherungen und ein hohes Datenschutzniveau vereinbart werden, um einerseits die gewünschte
Rechtssicherheit zu schaffen und andererseits für alle
Beteiligten einen Vorteil zum Status Quo zu schaffen.
6.1.2 Die e-Evidence-Verordnung
Hinter dem Stichwort „e-Evidence“ verbirgt sich ein
Verordnungsvorschlag der Europäischen Kommission,
wonach europäische Strafverfolgungsbehörden Bestands, Verkehrs- und Inhaltsdaten unmittelbar bei
Providern von Telekommunikations- und Internetdienstleistungen in anderen EU-Mitgliedstaaten erheben können sollen. Die Anordnungen wären auch für
Provider aus Drittstaaten verbindlich, sofern sie ihre
Dienste in der EU anbieten.
Tätigkeitsbericht zum Datenschutz für 2019
47