Der Patriot Act und Datenschutz in der EU
Der Patriot Act – ein aussagekräftiger Name für ein Gesetz, welches nicht nur hierzulande schon für einigen Aufruhr sorgte.
Der Patriot Act existiert seit Oktober 2001 – und war eine der amerikanischen Antworten auf die Terroranschläge des 11. September. Der Name PATRIOT ist eine Abkürzung und steht für „Uniting (and) Strengthening America (by) Providing Appropriate Tools Required (to) Intercept (and) Obstruct Terrorism Act of 2001” (in etwa: Gesetz zur Stärkung und Einigung Amerikas durch Bereitstellung geeigneter Instrumente, um Terrorismus aufzuhalten und zu blockieren).
Seit der Einführung schlägt der Patriot Act hohe Wellen, auch in Europa. So berichteten viele Medien über die sich daraus ergebenden Folgen: Das Gesetz räumt weitreichende Befugnisse ein, insbesondere für die staatlichen Ermittlungsbehörden wie das FBI. Doch nicht nur auf die USA hat das Anti-Terror-Gesetz Auswirkungen. Auch der Datenschutz in der EU ist indirekt betroffen.
Der Patriot Act – ein Anti-Terror-Gesetz mit Auswirkungen
Dass die amerikanischen Datenschutzgesetze nicht denjenigen der EU entsprechen, ist gemeinhin bekannt – die USA gelten aus europäischer Sicht als „unsicherer Drittstaat“, für Datenübermittlungen in die USA werden Maßnahmen wie der Abschluss von EU-Standard-Verträgen oder Safe-Harbor-Zertifizierungen des Datenempfängers benötigt. Die weitreichenden Befugnisse durch den Patriot Act scheinen diese Sicht des „nicht angemessenen Schutzniveaus“ zu bestätigen.
Auch das Unabhängige Datenschutzzentrum Schleswig-Holstein (ULD) hat sich in einer Stellungnahme mit den rechtlichen Fragestellungen des Patriot Acts und den damit verbundenen Risiken für den europäischen und deutschen Datenschutz auseinandergesetzt.
Demnach können nicht nur deutsche Unternehmen, deren Muttergesellschaft in den USA sitzt, sondern auch Unternehmen, die aufgrund ihrer Konzernstruktur mit US-Unternehmen „verbandelt“ sind, zur Herausgabe bestimmter Daten aufgrund des Patriot Acts verpflichtet werden. Aber schon hier wird deutlich, dass es nicht nur der Patriot Act ist, der dazu führt, dass deutsche oder europäische Daten aufgrund einer Anordnung in die USA gehen müssen; auch andere Maßnahmen wie die „Bank of Nova Scotia Subpoena“ (BNS-Zwangsmaßnahme), bei der es um Ermittlungen im Bereich der Steuer-, Finanz-, Wirtschafts-, Drogen- und Organisierten Kriminalität geht.
In diesen Fällen spielen Einwendungen, die auf das europäische Datenschutzrecht verweisen, keine Rolle. Voraussetzung für eine endgültige Bestätigung einer solchen Anordnung ist, dass eine dringende Notwendigkeit des Beweises besteht und die Wahrscheinlichkeit besteht, dass andere Methoden erfolglos sein werden.
Doch schon bevor es den Patriot Act gab, hatten die amerikanischen Behörden gewisse Zugriffsrechte. Der Electronic Communications Privacy Act (ECPA) besagt, dass die Behörde nur dann auf die Daten zugreifen darf, wenn zum Beispiel ein Richter einen Durchsuchungsbefehl (search warrant) oder eine „ECPA court order“ anordnet. Der ECPA verbietet es den Behörden elektronische Daten abzufangen, solange nicht durch einen Richter bestätigt ist, dass eine hohe Wahrscheinlichkeit besteht, dass die Daten Beweise für eine Straftat enthalten.
Zugriffsrechte der US-Behörden
Weitere Möglichkeiten der US Behörden auf Daten zuzugreifen: FISA Orders und National Security letters. Diese ermächtigen die Behörden zum Beispiel bei Ermittlungen im Rahmen von Terrorismusbekämpfung auf Daten zuzugreifen. Aber auch diese Möglichkeiten bestanden schon bevor es den Patriot Act gab. Dieser hat die Möglichkeiten aber erweitert, unter anderem durch sogenannte „gag order“ Regelungen, die es den Empfängern von FISA orders oder National Security letters verbieten, offenzulegen, dass sie eine solche „order“ erhalten haben. Zudem gibt es Beschränkungen der Zugriffsrechte – nur bei Terrorismusbekämpfung und „foreign intelligence investigations“ dürfen diese Methoden eingesetzt werden.
Eine weitere Möglichkeit der amerikanischen Gerichte: Deutsche Unternehmen können im Rahmen einer eDiscovery durch ein amerikanisches Gericht dazu verpflichtet werden, Daten herauszugeben – obwohl einem solchen Vorgehen das geltende europäische Datenschutzrecht entgegensteht. Ist das deutsche Unternehmen also beispielsweise ein Tochterunternehmen eines amerikanischen Unternehmens, befindet es sich in einem Dilemma: Gibt es die Daten heraus, verstößt es in den meisten Fällen gegen geltendes Recht, weigert es sich, wird die Muttergesellschaft den Prozess in den USA verlieren und riskiert finanzielle Sanktionen wegen eines „Contempt of Court“.
Das Problem der eDiscovery stellt sich schon seit vielen Jahren, in der jüngeren Vergangenheit wird dieses Problem von der Sedona Conference bearbeitet, die sich zum Ziel gesetzt hat, in Zusammenarbeit mit Vertretern der europäischen Rechtsordnung, eine Lösung zu finden. Ob sich der Konflikt jedoch je zur beiderseitigen Zufriedenheit lösen wird, ist noch nicht absehbar.
Die Cloud: wirklich nur in Europa sicher?
Beim Thema Cloud Computing wird der Einfluss des Patriot Acts auf die europäischen Daten sichtbar. Denn auch ohne Bürger der USA zu sein, können auch Daten von EU-Bürgern dem Zugriff amerikanischer Behörden ausgesetzt sein, wenn es sich um einen amerikanischen Cloud-Anbieter handelt.
Somit steht man als ein solcher Cloud-Anbieter in Europa eher schlecht da: Cloud-Computing in den Vereinigten Staaten erfordert nicht nur, dass die Übermittlung in das EU-Ausland durch entsprechende Verträge oder Einwilligungen der Betroffenen zulässig gemacht wird, sondern ist auch mit den entsprechenden Horror-Szenarien verbunden, die naturgemäß von der europäischen Konkurrenz gemalt werden: Der Patriot Act ermögliche einen leichten Zugriff auf die in der Cloud gespeicherten Daten der EU-Bürger, man solle sich doch lieber für die sichere, europäische Variante entscheiden.
Zugriffsrechte in Europa
Dass das so nicht ganz korrekt ist, zeigt eine Studie von Hogan Lovells. Demnach sollen die Zugriffsrechte in Europa mit denen der Vereinigten Staaten durchaus vergleichbar sein, teilweise sogar weniger strengere Anforderungen haben.
So können Cloud-Anbieter in einigen europäischen Ländern ihre Daten auch freiwillig offenlegen. Hinzu kommt, dass Rechtshilfeabkommen zwischen Staaten bestehen, sodass Regierungen untereinander die Berechtigung haben, auf Daten zuzugreifen, die in einem anderen Land gespeichert sind.
Die Sicherheit von Daten in der Cloud ist also nicht nur in den USA ein Problem. Fakt ist laut der Studie von Hogan Lovells: Im Jahr 2010 stellte die amerikanische Regierung gerade einmal 96 Anfragen für den Zugriff auf Geschäftsdaten.
Vergleicht man den Patriot Act mit den Zugriffsrechten, die in europäischen Ländern bestehen – wie von Hogan Lovells getan – erscheinen die Unterschiede dann doch nicht so groß wie ursprünglich angenommen. Auch in Europa bestehen Zugriffsrechte der Behörden, unter anderem für strafrechtliche und behördliche Ermittlungen.
Ob der Patriot Act damit seinen Schrecken verliert, ist aber eher fraglich.
