Vier Fragen an einen Rechtsanwalt zum US-CLOUD Act

rechtsanwalt-martin-steiger_011-scaled-1-800x800-1

Martin Steiger Rechtsanwalt

Martin Steiger ist Anwalt und Unternehmer für Recht im digitalen Raum (Steiger Legal AG, Datenschutzpartner AG). Seine Tätigkeit konzentriert sich auf die Schnittstellen von Recht und Technologie, zum Beispiel im Datenschutz- oder IT-Recht.

 

Wenn wir über die Cloud sprechen, gibt es immer noch viele, die sich um den Schutz ihrer Daten sorgen. Unter anderem, weil Cloud-Anbieter, wie z.B. Microsoft, dem US-CLOUD Act unterstehen, der amerikanische Firmen verpflichtet, US-Behörden auch Zugriff auf Daten zu gewährleisten, wenn die Speicherung nicht in den USA erfolgt. Was ist Ihre Meinung dazu?

Alle Unternehmen, die Daten durch Dritte bearbeiten lassen, zum Beispiel bei Cloud-Anbietern, müssen die Datensicherheit gewährleisten und die Risiken abschätzen. In vielen Fällen ist die Sicherheit besser und sind die Risiken geringer, wenn man einen etablierten Cloud-Anbieter nutzt, anstatt zu versuchen, selbst IT-Infrastruktur zu betreiben. Das gilt insbesondere für KMU.

Das Gleiche gilt für die Bearbeitung von Daten im Ausland. Je nach Risiken, die relevant sind, können Daten im Ausland sicherer gespeichert sein als in der Schweiz. Das liegt daran, dass Daten in der Schweiz rechtlich weniger wirksam geschützt sind als insbesondere in Europa. Das liegt aber auch daran, dass die Schweiz ein ausgebauter und wachsender Überwachungsstaat ist. 

Mit dem CLOUD Act sind amerikanische Internet-Provider verpflichtet, amerikanischen Behörden Daten unabhängig vom Standort herauszugeben. Wenn beispielsweise Microsoft Daten in der Schweiz speichert, können amerikanische Behörden durch den CLOUD Act unter Umständen schneller auf solche Daten zugreifen als über den Weg der internationalen Rechtshilfe. 

Wie solche Rechtshilfe funktioniert, zeigt ein aktueller Fall im Zusammenhang mit ProtonMail.

Was genau beinhaltet der US-CLOUD Act und bis wo gilt der Anwendungsbereich?

Der CLOUD Act ist nur unter zahlreichen Voraussetzungen anwendbar. So müssen die Daten eine sogenannte US-Person betreffen, die Internet-Provider können sich für ihre Kunden zur Wehr setzen und in vielen Fällen muss durch ein Gericht vertieft geprüft werden, inwiefern ausländisches Recht beachtet werden muss und welche Interessen überwiegen. Microsoft und andere Internet-Provider haben vertraglich geregelt, wie sie bei Anfragen gemäss CLOUD Act vorgehen. Amerikanische Anbieter im Besonderen schaffen Transparenz, indem sie regelmässig informieren, in welchem Umfang sie Daten an Behörden herausgeben mussten. In der Schweiz gibt es kaum Internet-Provider, die einen solchen Transparenzbericht veröffentlichen.

Der CLOUD Act hat bislang – soweit ersichtlich – keine grosse Bedeutung erlangt. So musste Amazon im ersten Halbjahr 2021 in keinem einzigen Fall Zugriff auf Daten ausserhalb der USA gewähren. Gleichzeitig ist vielen KMU nicht klar, wie ausgebaut der schweizerische Überwachungsstaat ist und wie wenig wirksame Rechtsmittel gegen Überwachung durch schweizerische Behörden zur Verfügung stehen. Diese Behörden, zum Beispiel das Bundesamt für Polizei oder der Nachrichtendienst des Bundes, arbeiten mit ausländischen, auch amerikanischen Behörden zusammen.

Wie sieht es mit dem Datenschutz aus?

Gemäss europäischer Rechtsprechung besteht in den USA standardmässig kein angemessener Datenschutz. Ob das stimmt, ist diskutabel. Die USA hat in der Tendenz ein anderes Konzept, um Daten zu schützen, was für betroffene Personen aber kein Nachteil sein muss. So können sich betroffene Personen in den USA mit Sammelklagen gegen verantwortliche Unternehmen gemeinsam zur Wehr setzen und Schadenersatz einklagen, wie es in Europa kaum möglich ist. Bussen, wie sie in Europa gegen Unternehmen ausgesprochen werden, fliessen in die jeweilige Staatskasse und die betroffenen Personen haben nichts davon. 

Gleichzeitig ist es für schweizerische Unternehmen wichtig, die Datenbearbeitung durch Dritte und dabei allenfalls auch im Ausland rechtlich abzusichern. Für die Nutzung von Cloud-Anbietern muss ein Auftragsverarbeitungsvertrag (AVV), englisch Data Processing Agreement (DPA), abgeschlossen werden. Alle etablierten Anbieter ermöglichen den Abschluss eines solchen Vertrages. Wenn Daten in Ländern ohne angemessenen Datenschutz bearbeitet werden sollen, muss der Datenschutz mit sogenannten Standardvertragsklauseln gewährleistet werden. Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) hat ausführliche Erklärungen veröffentlicht, wie diese Absicherung funktioniert, auch mit Blick auf die USA.

Was ist Ihre Empfehlung für Schweizer KMU?

Je nach Daten und Land können zusätzliche Massnahmen empfehlenswert sein, zum Beispiel Ende-zu-Ende-Verschlüsselung. Bei amerikanischen Anbietern ist es ausserdem sinnvoll, einen Daten-Standort in Europa zu wählen. Alle grossen Cloud-Anbieter stellen solche Daten-Standorte zur Verfügung, häufig auch in der Schweiz. 

Wollen Sie künftig über unsere neuesten Blog-Artikel informiert werden?
Dann abonnieren Sie jetzt unseren Newsletter!

Newsletter abonnieren