EU will ausländischen Zugriff auf Cloud-Daten beschränken

Die Bestimmungen sind in dem Vorschlag für ein neues EU-Datengesetz (Data Act) der Europäischen Kommission enthalten. Der Data Act hat seinen Schwerpunkt ansonsten darin, nicht-personenbezogene Daten, die sich im Besitz von Produktherstellern und produktbezogenen Dienstleistern befinden, freizugeben und die Nutzung dieser Daten durch Verbraucher, konkurrierende Unternehmen und öffentliche Einrichtungen unter bestimmten Bedingungen zu ermöglichen.

Die Übermittlung personenbezogener Daten in Länder außerhalb der EU, auch im Zusammenhang mit dem Ersuchen ausländischer Behörden um Zugang zu solchen Daten, wird bereits durch das Datenschutzrecht der EU geregelt. Mit den jüngsten Plänen der Kommission würden zum ersten Mal ähnliche Beschränkungen für die Übermittlung von in der EU gespeicherten nicht-personenbezogenen Daten und für den Zugang zu diesen Daten im Ausland gelten.

Die Europäische Kommission will nicht nur die Reaktion von Cloud-Anbietern auf ausländische Anfragen nach in der EU gespeicherten Daten regeln, sondern beabsichtigt außerdem, Cloud-Anbieter zu verpflichten, „alle angemessenen technischen, rechtlichen und organisatorischen Maßnahmen, einschließlich vertraglicher Vereinbarungen“ zu ergreifen, um die Übermittlung nicht-personenbezogener Daten in das EU-Ausland zu verhindern, wenn die Übermittlung „zu einem Konflikt mit dem Unionsrecht oder dem nationalen Recht des betreffenden Mitgliedstaats führen würde.“

Rosie Nance, Expertin für Informationsrecht bei Pinsent Masons, sieht Parallelen zwischen den Vorschlägen und den bestehenden Anforderungen an Cloud-Anbieter im Rahmen der Datenschutz-Grundverordnung (DSGVO) in Bezug auf die internationale Übermittlung personenbezogener Daten: „Die Vorschläge zur Beschränkung der Übermittlung nicht-personenbezogener Daten ähneln der in der Schrems-II-Entscheidung präzisierten Verpflichtung der der DSGVO unterliegenden Cloud-Anbieter, dafür zu sorgen, dass außerhalb der EU übermittelte personenbezogene Daten einen Schutz erhalten, der im Wesentlichen dem Schutz entspricht, den sie nach EU-Recht erhalten würden“, so Nance. „Diese Verpflichtungen im Rahmen der Regelung zum Schutz personenbezogener Daten gelten jedoch sowohl für Cloud-Anbieter als auch für ihre Kunden, soweit sie der DSGVO unterliegen; im Gegensatz dazu würden die vorgeschlagenen Verpflichtungen in Bezug auf nicht-personenbezogene Daten nur für Cloud-Anbieter gelten.“

Artikel 27 der vorgeschlagenen Verordnung soll auch regeln, wie Cloud-Anbieter reagieren müssen, wenn ausländische Behörden oder Gerichte sie anweisen, den Zugriff auf in der EU gespeicherte nicht-personenbezogene Daten zu ermöglichen: Dem Vorschlag zufolge wären Entscheidungen dieser Art in der EU nur dann anzuerkennen oder durchsetzbar, wenn sie sich auf ein internationales Abkommen, beispielsweise ein Rechtshilfeabkommen, stützen, das die EU oder ein einzelner EU-Mitgliedstaat mit dem Drittland, das den Zugang zu den Daten beantragt, geschlossen hat.

Die Kommission hat jedoch auch Fälle vorausgesehen, in denen kein solches internationales Abkommen besteht und die Befolgung der ausländischen Entscheidung durch den Cloud-Anbieter die Gefahr birgt, dass er gegen EU-Recht oder gegen das nationale Recht der Mitgliedstaaten verstößt. Für diese Fälle hat sie drei Bedingungen vorgeschlagen, unter denen Cloud-Anbieter ausländischen Anordnungen über den Zugang zu in der EU gespeicherten nicht-personenbezogenen Daten nachkommen können: Cloud-Anbieter müssten zunächst sicherstellen, dass „das Drittstaatensystem verlangt, dass die Gründe und die Verhältnismäßigkeit der Entscheidung oder des Urteils dargelegt werden, und es verlangt, dass eine solche Entscheidung beziehungsweise ein solches Urteil spezifisch ist, indem beispielsweise eine ausreichende Verbindung zu bestimmten verdächtigen Personen oder Verstößen hergestellt wird.“

Der Cloud-Anbieter müsste auch prüfen, ob das Drittland ihm das Recht einräumt, begründete Einwände gegen die gerichtliche Anweisung oder den behördlichen Zugangsantrag vor einem Gericht in diesem Land zu erheben, und ob das ausländische Gericht nach dem Recht dieses Landes befugt ist, die einschlägigen rechtlichen Interessen, die es nach dem Recht der EU oder eines Mitgliedstaats hat, gebührend zu berücksichtigen.

Dem Gesetzentwurf zufolge könnten Cloud-Anbieter die zuständigen Behörden in der EU um ihre Meinung dazu bitten, ob die Bedingungen für die Beantwortung eines ausländischen Datenzugangsantrags erfüllt sind. Dies vor allem dann, wenn der Cloud-Anbieter der Ansicht ist, dass sich die Entscheidung auf wirtschaftlich sensible Daten beziehen oder die nationale Sicherheit oder die Verteidigungsinteressen der Union oder ihrer Mitgliedstaaten beeinträchtigen könnte.

Selbst wenn eine rechtmäßige Grundlage für die Übermittlung von Daten oder die Ermöglichung eines ausländischen Zugriffs auf die Daten im Rahmen des Gesetzentwurfs gegeben ist, sollen die Cloud-Anbieter dem Vorschlag zufolge darauf beschränkt werden, „das Mindestmaß an Daten bereitzustellen, das als Reaktion auf eine Anfrage auf der Grundlage einer vernünftigen Auslegung dieser Anfrage zulässig ist.“

Cloud-Anbieter wären auch verpflichtet, den Dateninhaber über die Anfrage zu informieren, bevor sie ihr nachkommen, außer in Ausnahmefällen, „wenn die Anfrage Strafverfolgungszwecken dient und solange dies erforderlich ist, um die Wirksamkeit der Strafverfolgungsmaßnahmen zu wahren“, so der Entwurf.

Der Data Act ist Bestandteil der Strategie zur „Gestaltung der digitalen Zukunft Europas“ der Europäischen Kommission. Sie ist ein Teil eines größeren Puzzles von EU-Rechtsvorschriften rund um den Umgang mit Daten, das bestehende Rechtsvorschriften wie die DSGVO und den vorgeschlagenen neuen EU-Rechtsakt zur Datenverwaltung (Data Governance Act) umfasst.