Das Berufungsgericht (US Court of Appeals for the 2nd Circuit) hatte auf Antrag der Staatsanwaltschaft die Überprüfung eines Urteils desselben Gerichts aus Juli 2016 vergangene Woche knapp abgelehnt. Es ging um die Frage, ob es US-Strafverfolgungsbehörden erlaubt ist, von Microsoft auch die Herausgabe von Daten zu verlangen, die nicht auf US-Servern, sondern auf Servern innerhalb der EU (in Irland) liegen. Das Berufungsgericht hatte dies im Juli 2016 abgelehnt, da das maßgebliche Gesetz keine Regelung dahingehend enthalte, dass es auch außerhalb des Gebietes der USA zur Anwendung kommen soll. Die US-Behörden dürfen daher auch nach dieser neuen Entscheidung nicht auf personenbezogene Daten von EU-Servern zugreifen, auch wenn diese von US-Tochterunternehmen betrieben werden.
Ist nun auch die Inanspruchnahme von Cloud-Diensten von US-Providern wie Google, Amazon, Salesforce und Microsoft zulässig, wenn ausschließlich EU-Server verwendet werden? Besteht nun diesbezüglich Rechtssicherheit?
Leider nein. Denn erstens ist mit hoher Wahrscheinlichkeit davon auszugehen, dass diese Entscheidung von der US-Regierung vor den Obersten Gerichtshof gebracht wird. Dort sorgt Donald Trump gerade dafür, dass er gleichgesinnte Richter platzieren kann. Die Entscheidung des Supreme Court dürfte daher anders ausfallen. Zweitens hat Trump angekündigt, den Zugriff auf Daten von Technologieunternehmen gesetzlich verschärfen zu wollen. Erst vor einigen Tagen hat er einen Erlass zur „Verbesserung der Inneren Sicherheit“ unterzeichnet, mit dem der Geltungsbereich des sog. „Privacy Act“ (das dortige Datenschutzgesetz) deutlich eingeschränkt wird, indem Nicht-US-Bürger vom Gesetzesumfang ausdrücklich ausgenommen werden. Zwar betrifft dies zunächst nur die Datenverarbeitung von US-Bürgern durch US-Behörden. Allerdings fußt der Privacy-Shield auf dem Vertrauen der EU-Kommission, dass die US-Regierung den Daten von EU-Bürgern einen besonderen Schutz zukommen lässt. Dies scheint nun nicht mehr zu gelten. Damit dürfte dann auch mittelfristig der US-EU-Privacy-Shield fallen, da die EU-Kommission angekündigt hat, bei einer eigenmächtigen Änderung der US-Zusagen die Angemessenheitsentscheidung zurückzunehmen.
Warum ist das wichtig für Sie?
Die Ereignisse in den USA sind wichtig für alle deutschen Unternehmen, die ihre Daten entweder bereits auf Servern von US-Providern speichern oder mit dem Gedanken spielen, ein solches IT-Outsourcing vorzunehmen. Derzeit können US-Server über das sog. Privacy-Shield verwendet werden, obwohl hiergegen Klagen vor dem EuGH anhängig sind. Deutsche Server von US-Providern unterliegen grundsätzlich der Gefahr des Zugriffs durch US-Behörden; allerdings ist diese Gefahr durch obige Entscheidung des US-Gerichts nun bis zur (wahrscheinlichen) Entscheidung des Supreme Court erst einmal auf Standby.
Was ist zu tun?
Die Rechtslage ist heute wackeliger denn je. Sowohl Privacy Shield als auch die Nutzung von deutschen Servern von US-Providern sind in Gefahr, wenn der Supreme Court oder – und dies ist deutlich wahrscheinlicher – Trump Entscheidungen treffen, die eine Überwachung von Daten von EU-Bürgern ermöglichen. Unternehmen, die hier Rechtssicherheit wünschen, sollten sich einen EU-Provider mit Serverstandort innerhalb der EU, bestenfalls Deutschlands, suchen, denn hierdurch bieten Sie den Datenschutzbehörden die geringsten Angriffspunkte.
