Schrems II: Die Nutzung von US-Providern im Lichte des CLOUD Acts
Perica Grasarevic
Perica Grasarevic, RA, Laux Lawyers AG. Tätig in IP, IT und allg. Vertragsrecht; zudem Mitgründer und Berater mehrerer Tech-Start-ups.
“Schrems II”-Entscheid
Die Öffentlichkeit fasste “Schrems II” als inhaltliche Aussage zum «nicht gleichwertigen» Datenschutzniveau in den USA auf; tatsächlich befasste sich der EuGH jedoch mit anderen Fragen, namentlich mit Folgendem:
- mit der «Stufe», auf welcher die Zugriffsmöglichkeiten der US-Strafverfolgungsbehörden geregelt seien. Während sie in den USA auf Grundlage von
«Verordnungen» handeln dürfen, bedürfe es hierzu gemäss EuGH formelle «Gesetze» (so wie in der EU und der Schweiz).
- mit dem Rechtschutz, welcher für die Betroffenen nicht demjenigen in der EU entsprechen soll.
- mit der Frage, ob die EU-Kommission in diesem Zusammenhang ihrer Prüfpflicht nicht nachgekommen sei.
Eine materielle Analyse des Datenschutzniveaus in den USA hat der EuGH indessen nicht vorgenommen. Damit reiht sich dieser Entscheid in das Muster des Safe Harbor-Entscheids ein. Auch damals hat der EuGH nur das Verhalten der EU-Kommission geprüft, aber nicht das Schutzniveau in den USA. Der EuGH hat also auch im Juli 2020 überwiegend formell entschieden.
Reaktion des EDÖB
Der EDÖB zog im September 2020 nach und teilt mit, dass das Privacy Shield kein adäquates Datenschutzniveau biete. Im Ergebnis orientierte er sich an der öffentlichen Rezeption des EuGH-Entscheids (und nicht an dessen effektivem Inhalt). Obwohl die Auffassung des EDÖBs keine unmittelbare Rechtswirkung entfaltet (ein Gericht müsste die Widerrechtlichkeit eines Datentransfers feststellen) und sich Schweizer Unternehmen weiterhin auf das Privacy Shield berufen dürften, wird sich dessen Stand in der Praxis ohne Zweifel verschlechtern.
Wer sich nicht auf die EU-Standardvertragsklauseln (SCC) und unternehmensinternen Weisungen (BRC) verlassen möchte, wird sich nach datenschutzrechtlich unkritischen Alternativen umsehen müssen.
Datenbearbeitung in Drittstaaten
Bei der Datenbearbeitung in Drittstaaten sind aus Schweizer Sicht insbesondere zwei Szenarien relevant: Die Nutzung von Clouddiensten, Social-Media-Diensten und anderen digitalen Angeboten der Technologieunternehmen aus den USA sowie die Auslagerung von Softwareentwicklung und Datenbearbeitungsprozessen (“Nearshore Outsourcing” in Ost-Europa sowie “Offshore Outsourcing” in Asien).
Während sich im zweitgenannten Bereich nichts ändert, stellt sich die Frage, wie nach “Schrems II” mit US-Diensten umzugehen ist.
Passende Produkt-Empfehlungen
Nutzung von europäischen Angeboten von US-Diensten
US-Provider haben sich mehrheitlich mit dem Ende des Privacy Shields arrangiert, indem sie sich in ihren Bedingungen neu bzw. alternativ auf die SCC berufen oder auf breiter Ebene EU-Serverstandorte eröffnen und damit werben, dass die Bearbeitung von Personendaten so nicht in den USA stattfände.
Die Nutzung von SCC ist für den Moment noch möglich. Der EDÖB hat sich bereits kritisch dazu geäussert, da auch sie aus seiner Sicht in den USA nicht ohne Weiteres durchgesetzt werden und den Betroffenen die Rechte, die in SCC verankert sind, nicht ausüben könnten.
Es profitieren indes nicht nur EU-Länder von der Standort-Offensive der US-Provider. Die US-Provider haben auch die Schweiz als Markt für sich entdeckt und entweder bereits lokale Angebote lanciert oder planen solche in nächster Zukunft.
Jedoch kann auch den US-Providern die Quadratur des Kreises nicht gelingen. Nach aussen versuchen sie, den Ansprüchen der DSGVO zu genügen, scheitern in der Praxis aber mindestens an Art. 48 DSGVO (Zulässigkeit der Übermittlung von Personendaten an staatliche Stellen in Drittländern), wenn sie Personendaten an US-Behörden herausgeben. Gleichzeitig müssen sie die einheimischen US-Gesetze wie FISA oder CLOUD Act einhalten, welchen US-Provider auch mit ihren Tochterunternehmen in Europa unterstehen.
Mit der Verlagerung der Bearbeitung von Personendaten in die EU mag das Problem von deren systematischer Bearbeitung in den USA gelöst worden sein, nicht jedoch jenes des Zugriffs der US-Behörden auf eben diese Personendaten. Dieser Widerspruch lässt sich nicht zur Gänze auflösen, jedoch richtig einordnen.
CLOUD Act als Kriterium
Das Gesetz verankert ein Selbstverständnis in der Strafverfolgung, welches die USA bereits seit Jahrzehnten anwenden und in allen Urteilen von US-Gerichten - mit einer Ausnahme - bestätigt wurde. Genau wegen dieser einen Ausnahme, bei der es um den Zugriff einer US-Behörde auf Personendaten einer “US-Person” auf Servern von Microsoft in Irland ging, wurde die gelebte Praxis als “CLOUD Act” kodifiziert. Solange man der USA die grundsätzliche Rechtstaatlichkeit nicht abspricht, darf man darauf vertrauen, dass es den USA effektiv darum geht, Beweise in Zusammenhang mit US-Persons in Strafprozessen zu erheben. Es geht insbesondere nicht um Wirtschaftsspionage oder die Massenüberwachung von Personen. Im Übrigen statuiert der CLOUD Act keine Backdoor- oder Entschlüsselungspflicht für Provider.
Darüber hinaus haben US-Behörden andere Möglichkeiten, an die im Strafprozess benötigten Daten von US-Persons zu kommen. Der Prozess würde sich über Rechtshilfegesuche abspielen, für die es zwischen der Schweiz und den USA einen Staatsvertrag gibt. Für die USA ist ein solches Prozedere jedoch unvorteilhaft. Je mehr Personen an einem Rechtshilfeprozess beteiligt sind, und je länger er dauert, umso grösser ist aus Sicht der Behörden die Gefahr, dass die betroffene US-Person von den Ermittlungen Kenntnis erlangt und die Beweise nicht mehr (vollständig) erhoben werden können. Es geht also nicht darum zu verhindern, dass US-Behörden Zugriff auf Informationen von US-Persons erhalten, sondern lediglich um den Weg.
Gewissenhaftigkeit der Beteiligten
In der Praxis prüfen bereits die lokalen Gerichte in den USA die Anfragen der Strafverfolgungsbehörden zu CLOUD Act-Datenabfragen auf deren Grundrechtskonformität und Verhältnismässigkeit. Als zweiter Schritt befassen sich die US-Provider sehr gewissenhaft mit den jährlich wenigen Anfragen von US-Strafverfolgungsbehörden und lehnen sie mitunter auch ab. Denn der CLOUD Act erlaubt keine Datenerhebung auf Vorrat und auch keine “Fishing Expeditions”. Die US-Behörden müssen wissen und präzis angeben, wonach sie suchen. Sie können keine Anfragen machen, um zu sehen, ob sich auf den Servern eventuell etwas von generellem Interesse befinden könnte. Von einem «Automatismus» sind wir beim CLOUD Act folglich weit entfernt.
Die Alternative wäre wie erwähnt ein Rechtshilfegesuch. Die Anfrage einer US-Strafverfolgungsbehörde würde letztendlich an eine lokale Staatsanwaltschaft in der Schweiz gehen, welche sie prüft und dann entweder zurückweist oder an den betroffenen US-Provider weiterleitet.
Behörden greifen auf Personendaten zu
Die USA tun nichts anderes, als anderen Staaten gerne tun würden, wenn sie könnten und tun, wie sie (im Kleineren) können. Auch Schweizer Behörden haben mit dem Bundesgesetz betreffend die Überwachung des Post- und Fernmeldegesetz (BÜPF), dem Nachrichtendienstgesetz (NDG), der Strafprozessordnung (StPO) und weiteren Gesetzen diverse Möglichkeiten, gegen den Willen bzw. ohne Wissen des Betroffenen dessen Personendaten bei IT- oder Telekomdienstleistern mit Sitz oder Serverstandort in der Schweiz abzufragen. Des Weiteren existiert mit der Cyber Crime Convention (CCC) ein internationales Abkommen, welches auch in der Schweiz gilt und eine ähnliche Herangehensweise ermöglicht wie der CLOUD Act.
Praxistipp: Wer sich die Auswirkungen des CLOUD Acts auf seine Rechtstellung und diejenige seiner Kunden anschauen möchte, sollte sich primär mit folgenden Punkten befassen:
- wie die US-Gerichte konkret mit Gesuchen von US-Behörden, die sich auf den CLOUD Act stützen, umgehen;
- ob man als Unternehmen selbst oder die eigenen Kunden überhaupt als US-Persons betroffen sein könnten;
- wie häufig solche Gesuche beim in Betracht kommenden US-Provider vorkommen;
- wie der entsprechende US-Provider mit CLOUD Act Anfragen umgeht;
- welche Zusicherungen der US-Provider seinen Kunden auf welcher vertraglichen Grundlage bietet; und
- wie man die eigenen Kunden zu informieren hätte.
Das Ergebnis dieser Analyse fliesst in die Risikoabwägung ein, sprich die Risikoanalyse (Verständnis des Sachverhalts) und die Risikobewertung (ernsthaft aber ohne Panik).
Fazit
Es gilt, Ruhe zu bewahren, nichts zu überstürzen, nicht wegzuschauen und verhältnismässig zu handeln. Wer US-Provider benützt, sollte sich neben den spezifischen Fragen zum CLOUD Act die gleichen Fragen stellen, die er sich generell stellt, wenn er Personendaten bearbeitet. Weiss ich, welche bzw. wessen Personendaten ich und Dritte für mich auf welcher Grundlage bearbeiten? Weiss ich, wie sie es tun und wie die Risiken in der Praxis sind? Nur wer versteht, was er und Dritte tun, kann auch kontrollieren und die richtigen Schlüsse daraus ziehen.
Als “Schnellbleiche” empfiehlt sich zunächst zu prüfen, ob die US-Provider bereits auf die SSC oder BCR umgestiegen sind. Danach ist eine Einzelfall- und Risikobeurteilung vorzunehmen.
Es gibt jedoch weiterhin keine Gründe, den CLOUD Act als ausschliessliches oder vordergründiges Kriterium bei der Auswahl von Partnern im Zusammenhang mit Datenbearbeitungen anzuwenden.
