Wesentliche Befunde des Gutachtens von Stephen I. Vladeck vom 15.11.2021 zur Rechtslage in den USA

Das im Volltext unter https://www.datenschutzkonferenz-online.de/vladek veröffentlichte Gutachten kommt u.a. zu folgenden, für wichtige Fallkonstellation bedeutsamen Befunden:

• Der für die Anwendbarkeit von Section 702 des US-amerikanischen Foreign Intelligence Surveillance Act (FISA)¹ zentrale Begriff „electronic communication service provider“ ist sehr weit:²
  • Unter diesen Begriff fallen nicht nur klassische IT- und Telekommunikationsunternehmen. Vielmehr können nach der Analyse des Gutachters auch Unternehmen wie beispielsweise Banken, Fluggesellschaften, Hotels oder Versanddienstleister „electronic communication service provider“ sein.³
  • Es ist auch nicht in jedem Fall erforderlich, dass die Dienste der Öffentlichkeit zur Verfügung gestellt werden, sondern es kann beispielsweise genügen, dass ein Unternehmen seinen Mitarbeitenden einen E-Mail-Dienst bereitstellt.⁴
  • Der Begriff „electronic communication service provider“ umfasst zudem unter anderem auch Anbieter von „remote computing services“⁵ und nicht nur herkömmliche Telekommunikationsanbieter.⁶
• Auch wenn ein Unternehmen nur hinsichtlich weniger oder gar nur eines einzelnen Dienstes (etwa E-Mail-Dienst für die Mitarbeitenden) als „electronic communication service provider“ anzusehen ist, sind die Befugnisse der US-Behörden, die Herausgabe von in der jeweiligen Anordnung bestimmter Datenbestände zu verlangen, nicht auf Daten im Zusammenhang mit diesem Dienst beschränkt. Vielmehr, so der Gutachter, eröffne auch eine Einordnung als „electronic communication service provider“ aufgrund einer geringfügigen Tätigkeit den Anwendungsbereich von FISA 702 auf sämtliche Daten im Unternehmen, auch wenn dieser Kommunikationsdienst nichts mit der unternehmerischen Haupttätigkeit zu tun hat.⁷

Im Übrigen behandelt das Gutachten unter anderem den Fall, dass ein selbst nicht als „electronic communication service provider“ anzusehendes Unternehmen Dienste eines „electronic communication service providers“ in Anspruch nimmt, sowie die Fragen, ob europäische Unternehmen, die in den USA aktiv sind, dem problematischen US-Recht unterfallen, und ob FISA 702 extraterritorial anwendbar ist. Außerdem stellt es Schwierigkeiten für europäische Bürgerinnen und Bürger dar, Rechtsschutz in den USA zu erlangen.

Die Datenschutz-Aufsichtsbehörden bewerten derzeit die Konsequenzen, die sich aus den Feststellungen des Gutachtens ergeben. Als unabhängige wissenschaftliche Untersuchung entfaltet das Gutachten keine für die Beurteilung von Einzelfällen unmittelbar verbindliche Wirkung. Die Aufsichtsbehörden werden es allerdings im Rahmen ihrer Tätigkeit berücksichtigen.

Weitere Informationen zur Datenschutzkonferenz:

https://www.datenschutzkonferenz-online.de/

Kontakt:

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit

Graurheindorfer Straße 153

53117 Bonn

E-Mail: pressestelle@bfdi.bund.de

¹ Der EuGH hat in seinem „Schrems II“-Urteil festgestellt, dass Section 702 FISA mit den europäischen Grundrechten nicht vereinbar ist.

² Rechtsgutachten, Kapitel I.5.e.

³ Rechtsgutachten, Kapitel I.5.a.

⁴ Rechtsgutachten, Kapitel I.5.c.

⁵ Hierunter fallen Anbieter von „computer storage or processing services“, siehe 18 U.S.C. § 2711(2), also klassische Cloud-, Rechen- oder Hosting-Dienstleistungen.

⁶ Rechtsgutachten, Kapitel I.5.

⁷ Rechtsgutachten, Kapitel I.5.b.