Die Datenschutzkonferenz (DSK) hat Stellung zum Gutachten von Stephen I. Vladeck vom 15.11.2021 zur Rechtsgrundlage in den USA – speziell in Bezug auf den FISA-Act bezogen. Damit dürften sich jetzt die Auswirkungen des Schrems II Urteils auf Unternehmen nochmal verschärfen.
Das im Volltext unter https://www.datenschutzkonferenz-online.de/vladek veröffentlichte Gutachten kommt u.a. zu folgenden, für wichtige Fallkonstellation bedeutsamen Befunden:2
- Der für die Anwendbarkeit von Section 702 des US-amerikanischen Foreign Intelligence Sur-veillance Act (FISA)1 zentrale Begriff „electronic communication service provider“ ist sehr weit:
- Unter diesen Begriff fallen nicht nur klassische IT- und Telekommunikationsunterneh-men. Vielmehr können nach der Analyse des Gutachters auch Unternehmen wie beispielsweise Banken, Fluggesellschaften, Hotels oder Versanddienstleister „electronic communication service provider“ sein.3
- Es ist auch nicht in jedem Fall erforderlich, dass die Dienste der Öffentlichkeit zur Verfügung gestellt werden, sondern es kann beispielsweise genügen, dass ein Unter-nehmen seinen Mitarbeitenden einen E-Mail-Dienst bereitstellt.4
- Der Begriff „electronic communication service provider“ umfasst zudem unter anderem auch Anbieter von „remote computing services“5 und nicht nur herkömmliche Telekommunikationsanbieter.6
- Auch wenn ein Unternehmen nur hinsichtlich weniger oder gar nur eines einzelnen Dienstes (etwa E-Mail-Dienst für die Mitarbeitenden) als „electronic communication service provider“ anzusehen ist, sind die Befugnisse der US-Behörden, die Herausgabe von in der jeweiligen Anordnung bestimmter Datenbestände zu verlangen, nicht auf Daten im Zusammenhang mit diesem Dienst beschränkt. Vielmehr, so der Gutachter, eröffne auch eine Einordnung als „electronic communication service provider“ aufgrund einer geringfügigen Tätigkeit den An-wendungsbereich von FISA 702 auf sämtliche Daten im Unternehmen, auch wenn dieser Kommunikationsdienst nichts mit der unternehmerischen Haupttätigkeit zu tun hat.7
Im Übrigen behandelt das Gutachten unter anderem den Fall, dass ein selbst nicht als „electronic communication service provider“ anzusehendes Unternehmen Dienste eines „electronic communication service providers“ in Anspruch nimmt, sowie die Fragen, ob europäische Unternehmen, die in den USA aktiv sind, dem problematischen US-Recht unterfallen, und ob FISA 702 extraterritorial anwendbar ist. Außerdem stellt es Schwierigkeiten für europäische Bürgerinnen und Bürger dar, Rechtsschutz in den USA zu erlangen.
Die Datenschutz-Aufsichtsbehörden bewerten derzeit die Konsequenzen, die sich aus den Feststellungen des Gutachtens ergeben. Als unabhängige wissenschaftliche Untersuchung entfaltet das Gutachten keine für die Beurteilung von Einzelfällen unmittelbar verbindliche Wirkung. Die Aufsichtsbehörden werden es allerdings im Rahmen ihrer Tätigkeit berücksichtigen.
Ausführliche Infos hierzu finden Sie auf den Seiten der DSK HIER.
1 Der EuGH hat in seinem „Schrems II“-Urteil festgestellt, dass Section 702 FISA mit den europäischen Grund-rechten nicht vereinbar ist.
2 Rechtsgutachten, Kapitel I.5.e.
3 Rechtsgutachten, Kapitel I.5.a.
4 Rechtsgutachten, Kapitel I.5.c.
5 Hierunter fallen Anbieter von „computer storage or processing services“, siehe 18 U.S.C. § 2711(2), also klassi-sche Cloud-, Rechen- oder Hosting-Dienstleistungen.
6 Rechtsgutachten, Kapitel I.5.