DSK-Gutachten von Stephen Vladeck zur Rechtslage in den USA

von Barbara Schmitz, veröffentlicht am 25.01.2022
Rechtsgebiete: Datenschutzrecht16|5894 Aufrufe

Die DSK hat heute auf ihrer Webseite ein Gutachten von Prof. Vladeck mit Antworten auf Fragen zum aktuellen Stand des US-Überwachungsrechts veröffentlicht.

Das Gutachten steht auch in deutscher Sprache zur Verfügung.

Die von der DSK zusammengefassten „wesentlichen Befunde“ sind angesichts des 22seitige Gutachtens eher dürftig ausgefallen. Dabei gibt es durchaus interessante Aussagen, zur Anwendbarkeit von FISA 702.

Insgesamt kommt Vladeck oft zu der Aussage, dass die Antwort auf die gestellte Frage „kompliziert“ ist.

Interessant neben anderen Ausführungen ist folgende:

Frage 8:Gilt FISA 702 für Anbieter elektronischer Kommunikationsdienste außerhalb der USA (d.h. ohne Hauptsitz in den USA), z.B. (i) wenn sie überhaupt in den USA tätig sind und/oder (ii) wenn sie eine Tochtergesellschaft in den USA haben, sei es eine abhängige Tochtergesellschaft oder eine nach US-Recht gegründete juristische Person?

Antwort Vladeck:Auf den ersten Blick geht es nach dem Wortlaut und dem allgemeinen Verständnis von Abschnitt 702 nicht um die Frage, wo sich der Anbieter befindet, sondern darum, wo sich die Daten befinden. Das liegt wiederum daran, dass Abschnitt 702 in Fällen, in denen Daten von Nicht-US-Personen von Nicht-US-Unternehmen außerhalb des Hoheitsgebiets der Vereinigten Staaten gespeichert werden, überhaupt nicht anwendbar ist (….).

Und weiter: Und soweit die Daten auf Nicht-US-Servern ruhen oder über eine Nicht-US-Infrastruktur übertragen werden, über die kein US-Unternehmen Kontrolle hat, scheint Abschnitt 702 weniger eindeutig zu sein, je nachdem, ob ein USUnternehmen
Kontrolle ausüben könnte.

Auch die anderen Antworten geben einen guten Überblick über die Situation und führen zwangsläufig zu der Frage, ob und welche Auswirkungen dieses Gutachten auf die weitere Bewertung des Datentransfers in die USA hat. Vor allem auch mit Blick auf Klausel 14 b) und Fußnote 12 der neuen SCC.

Wie sehen Sie das?

Diesen Beitrag per E-Mail weiterempfehlenDruckversion

Hinweise zur bestehenden Moderationspraxis
Kommentar schreiben

16 Kommentare

Kommentare als Feed abonnieren

Herzlichen Dank für das Posting, liebe Frau Schmitz.

Ich bin gespannt, wie die DSK mit dem Gutachten umgehen wird. Der Verf. des Gutachtens war im Verfahren Schrems&Co. vor dem irischen Gericht gutachterlich tätig. Das sollte man bei der Lektüre berücksichtigen.

So oder so zeigt das Gutachten, wie schwierig es ist, von außerhalb  der USA die besagten Vorschriften zu bewerten. Vieles ist unklar, vieles hängt vom Einzelfall ab.

Drei interessante Zitate – ich bleibe lieber beim englischen Orginial:

S. 6: Rechtsunsicherheit allenthalben: „ many questions of application will yield at least some uncertainties as to the likely result, including (1) whether the U.S. government would ever adopt such an interpretation; and (2) if so, whether a reviewing court would endorse it.”

S. 8: Die folgenden Dienste sind nach seiner Auffassung KEIN „remote computing service”  (50 U.S.C. § 1881(b)(4)(C)=. „ if (1) a company grants its employees or contract workers access to email services (i) for the purposes of conducting the company’s business only, and/or (ii) for such employee’s or contract worker’s private use, and/or (iii) if private use it not permitted but not prosecuted, or (2) a company provides a messaging system to communicate with its clients, e.g. within the online banking system of a bank…“

S. 18:  Rechtschutz für „EU Bürger“ besteht schon, aber er ist löchrig: „legal redress against access to or retention of EU/EEA data subjects’ data is not always available. As my Schrems Report explains in some detail, there are a number of oversight and accountability measures designed to ensure that U.S. authorities comply with the statutory and constitutional limits on these powers, and formidable corrective powers for cases in which they do not, see id., but it is not always the case that those measures can be invoked by the data subjects themselves.“  --- genau deshalb sprechen die US Regierung und EU Kommission miteinander.

Und abschließend: Warum gibt die DSK nicht ähnliche Gutachten für andere Länder in Auftrag?

Vielen Dank für Ihren Beitrag, Herr Spies.

Dass Herr Prof. Vladek eine Partei im Schrems-Verfahren vertreten hat, macht das Gutachten - wie ich finde - um so bedeutender. Es ist eben kein Schwarz/Weiß, sondern bedarf einer Betrachtung im Allgemeinen und im Speziellen und irgendwie geht das dann doch in Richtung risikobasierter Ansatz - oder?

Eben, die DSB können nicht auf die USA eindreschen, mit dem von der Politik gewünschten Ziel, die EU IT-Wirtschaft anzukurbeln, und Rußland und China unter "Naturschutz" stellen. 

Noch ein interesasntes Zitat auf S. 17:

"I noted in my Schrems Report, there are numerous statutory and non-statutory remedies that are theoretically available to EU/EEA data subjects in at least some of these contexts — including claims that the relevant U.S. authorities have exceeded their statutory authority. See, e.g., Vladeck Schrems Report ¶¶ 81–83. After all, the successful legal challenge to the bulk collection of telephone metadata brought by the ACLU did not depend upon a constitutional claim, but rather on a claim that the government had exceeded its statutory authority — a claim that would be just as available to an EU citizen. See, e.g., ACLU v. Clapper, 785 F.3d 787 (2d Cir. 2015)."

Fazit: Die Anfechtung einer Vorratsdatenspeicherung (bulk collection) ist durchaus möglich und kann auch von "EU Bürgern" geltend gemacht werden. 

0

Vielen Dank, ein interessanter Hinweis! Das dürfte ein Prüfungs-Element für Klausel 14 b ii) SCC sein.

 

   

 

Ich finde auch, man kommt bei der Risikoanalyse nicht umhin festzustellen, ob die Branche, um die es geht, von FISA 702 oder Anfragen der US Behörden (Security Letters etc.) in der Vergangenheit wirklich betroffen war. Ein allgemeines "könnte eventuell betroffen sein" reicht nicht. Näher dazu " EU-US-Privacy-Shield – eine schwierige Reparatur", ZD 2021, 478 (480).

Das ursprüngliche Expertengutachten von Prof. Vladeck im Schrems-Verfahren findet man übrigens hier: https://iapp.org/media/pdf/resource_center/Schrems-testimony-Vladeck.pdf

Aber vielleicht noch wichtiger: Die DSK hat nun auch "wesentliche Befunde" aus dem Vladeck-Bericht veröffentlicht. https://www.datenschutzkonferenz-online.de/media/weitere_dokumente/20220...

Ich finde, die Zusammenstellung ist Rosienpickerei (Vladeck sagt z.B zu den dort erwähnten Banken etc: "Whether an entity acts as an ECS or an RCS is entirely context-dependent...") , aber was meinen Sie? 

Lieber Herr Spies,

vielen Dank für die Quelle zum ursprünglichen Expertengutachten von Prof. Vladeck. Es stellt sich nach der Lektüre dieser Zusammenfassung der historischen Entwicklung und des Anwendungsbereichs der US-Sicherheitsgesetze durchaus die Frage, wie es zu der Bewertung des EuGH in Schrems II kommen konnte. Das Gutachten ist vom 2.11.2016! Die Snowden-Enthüllungen waren 2013. Safe Harbour wurde am 6.10.2015 für ungültig erklärt. Schrems II war am 16.7.2020. Zwischen dem Gutachten und Schrems II liegt mE kein Vorfall, der die Ausführungen im Gutachten hätte anzweifeln lassen.

Vielleicht muss man Schrems II und die Auswirkungen auf den Datentransfer in die USA neu betrachten und bewerten. Nach meinem Verständnis werfen die in dem Gutachten gemachten Ausführungen zur (Überwachungs-) Lage in den USA eine neue Machbarkeit auf die Pflichten aus Abschnitt III – Lokale Rechtsvorschriften und Pflichten im Fall des Zugangs von Behörden zu den Daten. Insbesondere mit Blick auf folgende Statements (Hervorhebungen durch mich):

103 Thus, while it is beyond my purview to take a position on whether the objections raised by the CJEU in its Schrems judgment are still present, it is my expert opinion that the DPC Draft Decision’s assessment of current U.S. remedies for unlawful collection of EU citizens’ data from U.S. companies is significantly incomplete, that its analysis of the obstacles posed by “standing” doctrine is substantially overstated, and that Ms. Gorski’s invocation of the state secrets privilege as an additional obstacle is almost certainly inapplicable to the kinds of claims EU citizens might bring in U.S. courts to challenge the unlawful collection of their data from U.S. companies.

98 (…) it is worth emphasizing that challenges to government surveillance and data collection are among the most well-protected remedies in this sphere, second only to the constitutionally required remedy of habeas corpus for those unlawfully detained.

63 (…) To qualify for retention or dissemination as foreign intelligence, personal information must relate to one of the authorized intelligence requirements described above; be reasonably believed to be evidence of a crime; or meet one of the other standards for retention of U.S. person information identified in section 2.3 of Executive Order 12,333.

62 (…) Under section 2 of PPD-28, signals intelligence collected in bulk can only be used for six specific purposes: detecting and countering certain activities of foreign powers; counterterrorism; counter-proliferation; cybersecurity; detecting and countering threats to U.S. or allied armed forces; and combating transnational criminal threats, including sanctions evasion.

60 Communications acquired under section 702, whether of U.S. persons or non-U.S. persons, are stored in databases with strict access controls. They may be reviewed only by intelligence personnel who have been trained in the relevant (and privacy-protecting) minimization procedures, and who have been specifically approved for that access in order to carry out their authorized functions.

Die "wesentliche Befunde" der DSK fallen demgegenüber auffallend kurz aus! Oder?

 

 

Auch nicht ganz unwichtig im Gutachten zum Angstthema FISA, aber vom DSK in der Zusammenfassung leider übergangen:

"Section 702, by itself, does not require electronic communication service providers to proactively disclose data or grant U.S. intelligence agencies general access to data."

Wer hat übrigens die deutsche Fassung fabriziert? Klingt nach Maschinenübersetzung.

0

Liebe Frau Schmitz, vielen Dank für den Blick zurück und nach vorne. Hinzu kommt, dass sich die zitierten Aussagen von Prof. Vladeck von 2016 durchaus mit den Aussagen der US Regierung im schon häufiger ziterten White Paper der US Regierung vom September 2020 decken: https://www.commerce.gov/sites/default/files/2020-09/SCCsWhitePaperFORMA...

Zitat: "There are numerous other privacy safeguards in this area of U.S. law, not discussed by the ECJ in its review of Commission Decision 2016/1250 in Schrems II, that ensure that U.S. intelligence agencies’ access to data is based on clear and accessible legal rules, proportionate access to data for legitimate purposes, supervision of compliance with those rules through independent and multi-layered oversight, and effective remedies for violations of rights."

Ich finde es weiterhin erstaunlich, dass der EuGH in "Schrems 2" unter dem donnernden Applaus der DSB den "EU-Bürgern" Rechte nach der DSGVO (u.a. auf Klage in einer anderen Rechtsordnung) zuspricht, obwohl der Terminus "EU Bürger" nirgendwo in der DSGVO erwähnt wird - und das mit Absicht.

Die hypnotische Fixiertheit von Magister Schrems und den DSB auf die USA, unter Auslassung der Datentransfers nach China und Rußland, ist auch so eine Sache.  So macht man sich unglaubwürdig.

0

Theodore Christakis hat einen sehr lesenswerten Artikel im European Law Blog geschrieben, in dem er gemeinsam mit Kenneth Propp und Peter Swire die Anforderung an den Rechtsbehelf für EU-Bürger im Rechtsgefüge der USA beleuchtet. Mit konkreten Anknüpfungen zu den EuGH-Urteilen Schrems I und II sowie zu den EDPB-Stellungnahmen zum angemessenen Datenschutzniveau. Aus meiner Sicht ein weiteres Bewertungselement für ein TIA.

Was meinen Sie?

0

Jetzt droht Meta, sich aus dem EU Markt zurückzuziehen. Das soll wohl den Druck erhöhen, dass sich die USA und die EU nach anderthalb Jahren beim Privacy Shield 2.0 einigen.

 https://www.webpronews.com/meta-may-leave-eu-market-over-privacy-regulations/

0

Sehr interessant. Ich habe das Gutachten noch nicht gelesen, weder auf Deutsch noch auf Englisch. Ich komme noch diese Woche dazu. Soviel lässt sich auf den ersten Blick sagen.

Aus Sicht dieses Übersetzers ist es bemerkenswert, dass das Paragraphenzeichen, §, unerklärlicherweise (und immer wieder) mit »Abschnitt« übersetzt wird. Ja, sicher, das Zeichen »§« bedeutet im Englischen »section«, aber im Deutschen »Paragraf«. Außerdem müsste dieses Zeichen nicht in Worte übersetzt werden, man hätte das Zeichen ohne Weiteres stehen lassen können. Der deutsche Text wäre in dem Fall auch einfacher zu lesen.

Kommentar hinzufügen