Lex Laux: Überwachung im Internet – das Superproblem unserer Zeit

Christian Laux fokussiert sich im zweiten Teil seiner Kolumne über Datenschutz insbesondere auf das kontroverse Thema des Behördenzugriffs. Der Text bezieht sich an einigen Stellen auf den ersten Teil, kann aber auch eigenständig gelesen werden.
 
Im Beitrag von letztem Freitag zum Thema ging es um die juristischen Grundlagen des grenzüberschreitenden Datentransfers ins Ausland, aus der Optik der EU und der Schweiz, und darum:
 
• dass die Datenschutzdogmatik mit dem harschen Begriff des "unsicheren Auslands" arbeitet
• dass dieser Begriff aber primär feststellt, dass andere Länder nicht mit dem Schutzkonzept der EU arbeiten
• dass also die Frage der "Unsicherheit" des Auslands nichts damit zu tun hat, ob Behörden auf Personendaten zugreifen oder nicht – zumal dies ja auch in der EU und der Schweiz geschieht

Eine der drängendsten Frage der digitalen Gegenwart und Zukunft ist mit dieser Analyse im ersten Beitrag jedoch nicht gelöst: Es geht um den Zugriff von Behörden auf Daten über eine bestimmte Person.
 
1. Behördenzugriff als Superthema der Zukunft
Hier nur kurz, weil ich es schon im ersten Beitrag vom vergangenen Freitag gesagt habe: Unsere freiheitliche Ordnung und die Demokratie sind in Gefahr, wenn der Überwachungsstaat um sich greift. Es gibt keine Frage. Wer die Augen verschliesst, ist fahrlässig. Thomas Jefferson, immerhin der Vater der US-amerikanischen Unabhängigkeitserklärung im Jahr 1776, meinte dazu Folgendes: "When the people fear the government, there is tyranny." Dies ist ernst zu nehmen.
 
Eher lakonisch kommentierte ein Beschwerdeführer in einem US-amerikanischen Gerichtsverfahren zur Aufarbeitung der Vorgänge, die Edward Snowden ans Licht brachte, die Situation: "After all, had our Founding Fathers been subjected to such surveillance, they would have been arrested, imprisoned, and executed by King George III and would never have made it to Philadelphia to debate and declare independence in 1776."
 
2. Die Diskussion über das Superthema entgleitet
Die Frage des Behördenzugriffs wird so kontrovers diskutiert, dass ein klarer Blick auf die Fakten oft nur noch schwer möglich ist. In der Diskussion gehen Differenzierungen verloren, oft im Interesse, rasche, griffige und zitierfähige Aussagen zu bekommen. Gleichzeitig besteht das Problem, dass die faktischen Grundlagen oft einfach nicht greifbar sind und stattdessen nur sich diametral widersprechende Aussagen vorliegen. Man kann so nicht arbeiten.
 
Immer wieder kommt es in der Diskussion auch vor, dass eine einzelne Aussage später teilweise als klar unzutreffend nachweisbar ist oder einfach übermässig scharf war. Im Fall des Zugriffs auf Server von Internetanbietern mit der Softwarelösung PRISM kam von einer Anbieterin die Rückmeldung "completely false" – aufgrund meines Researchs habe ich den Eindruck, dass man hier auch ebenso gut (und ebenso richtig) mit "materially correct, but there is no direct access to our servers" hätte antworten können.
 
3. Geht es nur um die USA?
Es ist auf jeden Fall falsch, reflexartig nur von den USA zu sprechen. Dass Geheimdienste aller Nationen das Internet überwachen ist ein Fakt, und zugleich ein Desaster, wie Tim Berners-Lee dies festhält: "There are things that happen on the net that are very intimate, which people are going to be loath to do if they feel there is somebody looking over their shoulder."
 
Die Diskussion dreht sich gleichwohl sehr stark um das US-amerikanische Recht. Die Gründe hierfür sind sicherlich vielfältig. Auch ich werde in diesem Beitrag stark über das US-amerikanische Recht sprechen. Dies deswegen, weil ich unten auf Gerichtsentscheide eingehe, welche die Frage nach der Übermässigkeit der US-amerikanischen Überwachungsmassnahmen stellen. Das darf aber nicht davon ablenken, dass auch alle europäischen Rechtsordnungen den geheimdienstlichen Zugriff auf Personendaten kennen. Auch die Schweiz sieht solche Überwachungsmassnahmen vor.
 
Dieser Hinweis hat nichts mit einer Rechtfertigung zu tun, im Gegenteil (siehe vorn, Ziffer 1). Aber es darf kein falscher Eindruck entstehen, dass nur "die anderen" ein Verhalten an den Tag legen, das der Zivilgesellschaft letztlich schaden kann.
 
4. Worum es geht: Das juristische Prüfschema
Ich vertrete die Auffassung, dass die Frage der "Gleichwertigkeit" eine reine Konzeptfrage beantwortet (wie im ersten Beitrag beschrieben, dort Punkt 10). Bei dieser geht es letztlich darum, gegenüber wem die betroffene Person (im Austausch mit anderen Privaten) ihre Zustimmung für Datenzugriffe erteilt, und in welchem Kontext sie dies tun kann: Tut sie es nur einmalig "an der Quelle" (so beim transaktionalen System der USA, siehe zu diesem Begriff meinen ersten Beitrag, Punkt 7) oder bei jeder Intensivierung der Nutzung (wie im "immaterialgüterrechtsartigen" System der EU, dazu ebenfalls Punkt 7 des ersten Beitrags)? Wenn die Gleichwertigkeit wie mit den Standardvertragsklauseln oder dem Privacy Shield nur synthetisch nachgebaut wird, ist zudem relevant, für welche Themen das nachgebaute Konzept greift (für den gesamten Rechtekatalog, wie er in der EU existiert, oder nur für Teilaspekte? Und wenn nur für Teilaspekte: Fehlt etwas Wesentliches?).
 
Die Frage des Behördenzugriffs auf Personendaten ist ebenfalls relevant, aber aus anderen Gründen. Hier geht es um die Grundrechte der betroffenen Personen. Dieses Thema sollte von der Diskussion über die Gleichwertigkeit einer Rechtsordnung getrennt werden. Sonst entgleitet der Diskurs ins Politische (Stichworte: Tim Berners-Lee und Roter Hering). Personendaten müssen selbstverständlich nicht nur gegenüber Privaten, sondern natürlich auch vor dem Zugriff von Regierungen geschützt werden. Der juristische Twist besteht darin, dass der Schutz vor Zugriff durch Regierungen bzw. Behörden nicht absolut gilt (siehe den ersten Beitrag, Punkt 3: Kein Gesetzgeber verzichtet auf Staatsschutz). Datenschutzrechtlich übersetzt bedeutet dies: Angemessene Zugriffe sind in Ordnung, voraussetzungslose sind verfassungsrechtlich verboten.
 
Um es nochmals klar zu machen: Die Frage der Gleichwertigkeit betrifft den blossen "synthetischen Schutz", den das Datenschutzrecht bietet (dazu Punkt 2 des ersten Beitrags), die Frage des Behördenzugriffs ist das Superthema. Beim Superthema geht es nicht um den Konzeptvergleich, sondern darum, ob die betroffene Person im verfassungsrechtlichen Sinn geschützt ist. Diese Frage muss die EU-Kommission zwar auch im Rahmen des Gleichwertigkeitsbeschlusses berücksichtigen (was z.B. auch Erwägungsgrund 104 der EU-DSGVO festhält), aber nicht vergleichend, sondern konkret.
 
Um diese Zweiteilung der Analyse nochmals zu unterstreichen, habe ich beide Themen in separaten Blogbeiträgen hier auf inside-it.ch beschrieben. Ob diese Zweiteilung so besteht, ist allerdings nicht einhellige Meinung. Ich halte die Zweiteilung offensichtlich für wichtig; andernfalls ist ein vernünftiger Diskurs zu diesem Thema schlicht nicht möglich. Verschiedene Gerichte haben nun die Möglichkeit, sich dazu zu äussern, wie die juristische Analyse auszusehen hat (dazu unten, Ziffer 6).
 
5. Die Kardinalfrage der Diskussion: "anlasslos massenhafter Behördenzugriff"
Wie letzte Woche versprochen, diskutiere ich nachher die wichtigsten Gerichtsverfahren, die sich mit dem Thema der Datenübermittlung ins Ausland befassen. Bei diesen geht es durchwegs ganz massgeblich um die folgende Frage: Gibt es in den USA noch anlasslose Massenzugriffe auf Personendaten von Europäern? ("Europäer" hier verkürzend: Gemeint sind Personen, die nach dem Datenschutzrecht der EU geschützt sind).
 
6. Die wichtigsten Gerichtsverfahren auf europäischer Ebene
In der Schweiz ist soweit ersichtlich noch kein gerichtliches Verfahren hängig, in dem die Frage der anlasslosen Massenzugriffe in einem ausländischen Staat zur Diskussion steht, auf europäischer Ebene jedoch schon. Die bekanntesten möchte ich im Folgenden herausgreifen:
 
a) Safe Harbor-Entscheidung des EuGH vom 6. Oktober 2015 ("Schrems I")
Im Rahmen des Rechtsstreits zwischen Max Schrems und Facebook Ireland Ltd. ging es um die Kommissionsentscheidung 2000/520, mit der die EU-Kommission das Safe Harbor-Programm als rechtmässige "Wassersäule" in der US-amerikanischen "Wüste" (siehe zu dieser Metapher den ersten Beitrag) anerkannt hat. Der Europäische Gerichtshof (EuGH) hat auf Anfrage des High Court von Irland im Oktober 2015 die Ungültigkeit dieser Entscheidung festgestellt und damit das Safe Harbor-Programm beendet.
 
Dieser Entscheid kann als eine Spätfolge der Enthüllungen von Edward Snowden angesehen werden und in der Öffentlichkeit meinte man, der EuGH habe ausdrücklich festgehalten, dass die Praktiken der USA im Verhältnis zum Datenschutz übermässig seien und deswegen vor dem europäischen Datenschutzrecht nicht standhielten.
 
Nur: Der EuGH hat dies in keiner Weise gesagt. Es war ein sehr formal begründeter Entscheid. Der EuGH hat rein formal festgestellt, dass die Kommission ihre Entscheidung 2000/520 nicht ausreichend (nämlich gar nicht) begründet hat in Bezug auf die Frage, ob der Staatsschutz der USA den Datenschutzgrundsätzen gemäss Safe Harbor generell vorgehen würden.
 
Hintergrund für die Begründungspflicht war der Umstand, dass das Safe Harbor-Regime ausdrücklich den folgenden Vorbehalt aufwies: "adherence to the Safe Harbour Principles may be limited (a) to the extent necessary to meet national security, public interest, or law enforcement requirements"
 
Gestützt auf diesen Passus im Safe Harbor-Framework hätte ein US-amerikanisches Unternehmen das Safe Harbor-Regime auch dann noch eingehalten, wenn die US-amerikanischen Behörden massenhaft auf die vom US-amerikanischen Empfängerunternehmen gehaltenen Personendaten zugreift.
 
Im Resultat stellt der aus dem Safe-Harbor-Framework zitierte Passus eine erhebliche Einschränkung der Europäischen Grundrechtscharta dar. Mit der Kommissionsentscheidung 2000/520 wurde das Safe-Harbor-Framework zu einer rechtmässigen Grundlage für Datentransfers und damit die Grundlage für die Einschränkung der Europäischen Grundrechtscharta. Die Kommission ist aber nicht zuständig, Einschränkungen der Europäischen Grundrechtscharta zu beschliessen. Entsprechend war die Kommissionsentscheidung unrechtmässig und aufzuheben.
 
Man sollte sich entsprechend merken, was der EuGH in seiner Pressemitteilung zum Safe Harbor-Urteil schrieb: "Ohne dass der Gerichtshof prüfen muss, ob diese Regelung ein Schutzniveau gewährleistet, das dem in der Union garantierten Niveau der Sache nach gleichwertig ist, ist festzustellen, dass sie nur für die amerikanischen Unternehmen gilt, die sich ihr unterwerfen, nicht aber für die Behörden der Vereinigten Staaten. Außerdem haben die Erfordernisse der nationalen Sicherheit, des öffentlichen Interesses und der Durchführung von Gesetzen der Vereinigten Staaten Vorrang vor der Safe Harbor-Regelung, so dass die amerikanischen Unternehmen ohne jede Einschränkung verpflichtet sind, die in dieser Regelung vorgesehenen Schutzregeln unangewandt zu lassen, wenn sie in Widerstreit zu solchen Erfordernissen stehen. Die amerikanische Safe Harbor-Regelung ermöglicht daher Eingriffe der amerikanischen Behörden in die Grundrechte der Personen, wobei in der Entscheidung der Kommission weder festgestellt wird, dass es in den Vereinigten Staaten Regeln gibt, die dazu dienen, etwaige Eingriffe zu begrenzen, noch, dass es einen wirksamen gerichtlichen Rechtsschutz gegen solche Eingriffe gibt."
 
b) Zweites Verfahren vor dem High Court von Irland in der Sache Schrems gegen Facebook ("Schrems II")
Nach dem Entscheid des EuGH hat der High Court von Irland am 20. Oktober 2015 festgestellt, dass Facebook die Personendaten von Max Schrems nicht gestützt auf das Safe Harbor-Framework in die USA übermitteln dürfe. Damit verlegte sich die Diskussion vor der irischen Datenschutzbehörde auf die Frage, ob die Übermittlung gestützt auf die Standardvertragsklauseln, wie Facebook sie im Einsatz hat, rechtmässig sei.
 
Max Schrems brachte nunmehr vor, dass Facebook ihn nicht vollständig über die vertraglichen Beziehungen informiert habe, auf deren Basis Facebook Ireland Limited die Daten an die US-amerikanische Facebook Inc. übermittelt. Die Position von Max Schrems ist also im Wesentlichen wie folgt: Facebook verwende kein etabliertes System einer genehmigten "Wassersäule" nach dem Modell 1 "Vertragsklauseln", sondern sehe Abweichungen vor (die Metapher der Wassersäule und die Kurzbeschreibung des Modells 1 ergeben sich ebenfalls aus dem ersten Beitrag, Punkt 5). Deswegen könne sich Facebook nicht auf die Entscheidungen der EU-Kommission berufen, nach welchen Datenübermittlungen gestützt auf Standardvertragsklauseln rechtmässig seien.
 
Weiter sagte er Folgendes: "Even if the current and all previous agreements between 'Facebook Ireland Ltd' and 'Facebook Inc.' would not suffer from the countless formal insufficiencies above and would be binding on the DPC (which it is not), 'Facebook Ireland Ltd' could still not rely on them in the given situation of factual 'mass surveillance' and applicable US law that violate Article 7, 8 and 47 of the [Charter] (as CJEU has held) and the Irish Constitution (as the Irish High Court has held).
 
Article 4 (1) of Decision 2010/87/EU (as all other relevant Decisions) takes account of a situation where national laws of a third country override these clauses and allows [data protection authorities] to suspend data flows in the situation."
 
Wiederum stellt sich also die Frage, ob die USA anlasslos und massenhaft auf Personendaten von Europäern zugreifen können. Gleichermassen geht es darum, ob betroffene Personen effektiven Rechtsschutz erhalten, falls Geheimdienste in den USA auf ihre Personendaten zugreifen.
 
Der High Court von Irland ist nun bereits zum zweiten Mal mit der Angelegenheit befasst. Und weil sich einige verfahrensrechtlichen Besonderheiten stellen, seien sie hier kurz erwähnt (so ausdrücklich die Richterin Costello: "This is an unusual case."):
 
• Maximilian Schrems hat das Verfahren gegen Facebook vor dem Inkrafttreten sowohl der EU-Datenschutzgrundverordnung (25. Mai 2018) als auch vor der Privacy Shield-Entscheidung der EU-Kommission vom 12. Juli 2016 eingeleitet, aber nach Begründung des "Wassersäulen-Modells Typ #1" (Vertragsklauseln) (die entsprechenden Kommissionsentscheidungen stammen aus den Jahren 2001, 2004 und 2010, mit einer Anpassung im Jahr 2016).
• Die irische Datenschutzbehörde hätte nach dem EuGH-Entscheid in "Schrems I" über die Angemessenheit der Garantien unter den Standardvertragsklauseln entscheiden müssen. Diese Verantwortung wollte sie selber nicht auf sich nehmen und wollte dies von den Gerichten entscheiden lassen, indem sie ihrerseits Klage erhob, diesmal gegen Maximilian Schrems und Facebook.
• Auch der High Court wollte sich an diesem Fall und der Fragestellung nicht die Finger verbrennen. Am 3. Oktober 2017 entschied er unter anderem Folgendes: Über die Gültigkeit des Systems Modell 1 "Standardvertragsklauseln" im Verhältnis zu den USA müsse man auch jetzt noch entscheiden, obwohl bereits das Privacy-Shield-System ins Leben gerufen sei. Da die EU hier aber auf eine einheitliche Rechtsprechung angewiesen sei, solle der EuGH darüber entscheiden.

Das Urteil des High Court von Irland vom 3. Oktober 2017 ist unter anderem deswegen interessant, weil es Feststellungen macht zur Rechtslage in den USA, was die massenhafte Überwachung angeht (ab Seite 85, Rz. 155, v.a. 168 ff.). Interessant ist Folgendes:
 
• Die Ausführungen des Gerichts zur Rechtslage sind eher oberflächlich und überzeugen auch inhaltlich nicht besonders (z.B. was die Rolle des Executive Order 12333 angeht) – wobei allerdings zuzugeben ist, dass die Rechtslage sehr komplex ist, was insbesondere auf die starke Fragmentierung sowohl der Zuständigkeiten als auch der gesetzgeberischen Aktivitäten in den USA zurückzuführen ist.
• Die Ausführungen des Gerichts zu den tatsächlichen Umsetzungshandlungen scheinen auf eher alten Informationen zu beruhen (sie decken sich mit Internetfundstellen aus den Jahren 2013 – 2016, gehen aber über diese auch nicht heraus und – was mir auffällt – weichen kaum davon ab; dies führt in meiner Analyse zu Zweifeln an der Eigenständigkeit bzw. Durchdringung der Rechtslage, wie sie im Entscheid dargestellt ist). Das Gericht geht zum Beispiel auf die Software PRISM (Rz. 182) und auf den Herangehensansatz der Upstream-Erhebungsmethode (Rz. 183) ein, ohne dass das Gericht offenlegt, dass es sich hierbei nur um zwei exemplarische Methoden der Datengewinnung der US-Geheimdienste handelt.
• Die eigentlich zentrale Passage des Urteils des High Court findet sich in Rz. 187 des Urteils: "Facebook and the United States said that in practice the surveillance was very targeted; it was not indiscriminate and it was not mass surveillance." Der Umstand, dass zum Teil Datenabrufe "in bulk" erfolgten (was nicht umstritten zu sein schien), heisse aber in den Augen von Facebook nicht, dass die USA sich der anlasslosen Massenüberwachung "schuldig" machten (Rz. 188).
• Zwischen den Parteien war es insbesondere nicht klar, inwiefern zur Beurteilung nur das geschriebene Recht der USA massgeblich sei, oder nur dessen konkrete Anwendung durch die Behörden (Seite 88, Rz. 163). Der High Court hat dazu keine Stellung genommen, sondern diesen Aspekt dem EuGH zur Frage vorgelegt (Ziffer 2 der Vorlagefragen).
 
Womöglich wird der EuGH erneut in der Angelegenheit Schrems entscheiden. Diesmal wird es jedoch nicht um Safe Harbor oder gar den Privacy Shield gehen, sondern um die Gültigkeit der Standardvertragsklauseln bzw. der entsprechenden Gleichwertigkeitsbeschlüsse der EU-Kommission (2001, 2004, 2010 und 2016). Am 12. April 2018 (PDF) formulierte der High Court von Irland die Vorlagefragen an den EuGH. Das von Facebook dagegen eingereichte Gesuch um Sistierung der Überweisung an den EuGH hat der High Court am 2. Mai 2018 zurückgewiesen. Seit dem 9. Mai 2018 liegen die Vorlagefragen nun beim EuGH.
 
Ich schreibe, dass der EuGH nur "womöglich" auch über die Gültigkeit der Standardvertragsklauseln entscheiden wird. Dies ist aber nicht sicher; denn "Schrems II" ist auch in verfahrensrechtlicher Hinsicht äusserst spannend:
 
• Facebook gelangte auf einer prozessrechtlich äusserst engen Gasse an den irischen Supreme Court mit dem Anliegen, der Supreme Court müsse verschiedene Aussagen des High Court zum Sachverhalt (namentlich zum Recht der USA, in diesem Verfahren eine Sachfrage) korrigieren.
• Dieser entschied am 31. Juli 2018, das Rechtsmittel von Facebook anzunehmen, was bereits für sich schon auffällig ist.
• Auch der irische Supreme Court befand: "There are a number of unusual features to this type of case." Er stellte fest, dass die Überweisung von Fragen an den EuGH in diesem Verfahrensstadium eine eigentümliche Wirkung hätte – dass die vom High Court etablierten Fakten für den EuGH massgeblich werden könnten, dass der EuGH darauf abstelle (weil es nicht vorgesehen ist, dass EuGH die Fakten selber prüfe), dass die Sache dannzumal (nach dem Entscheid des EuGH) mit einer Weisung an den High Court zurückgehe und dass dieser entsprechend der Weisung entscheiden müsse. Die Wirkung davon sei: Der Supreme Court könne dann allfällige Fehler in der Sachverhaltsermittlung durch den High Court gar nicht mehr in Frage ziehen. Der besondere Verfahrensgang präjudiziere somit die verfassungsrechtlich geschützten Ansprüche von Facebook. Der Supreme Court schloss wie folgt: "it is at least arguable that Facebook might be in a position to persuade this Court that some or all of the facts under challenge should be reversed." (Ziffer 8.3 des Urteils des Supreme Courts vom 31. Juli 2018, S. 25)
 
Der Supreme Court will die Sache noch vor dem Jahresende 2018 mit den Parteien beraten, also auf jeden Fall noch rechtzeitig, bevor der EuGH die Vorlagefragen beantwortet. Es kann sehr gut sein, dass der Supreme Court den Entscheid des High Court aufhebt; ich gehe davon aus, dass er dies tun wird. Und zwar deswegen, weil mich der Entscheid des High Court im Punkt der Darstellung des in Frage stehenden US-amerikanischen Rechts nicht überzeugt hat.
 
c) Klagen von La Quadrature du Net etc. sowie von Digital Rights Ireland
Am 25. Oktober 2016 haben ausserdem drei französische Nichtregierungsorganisationen, die sich aus ideellen Motiven für die Aufrechterhaltung des Datenschutzrechts einsetzen (La Quadrature du Net; French Data Network; Fédération des Fournisseurs d’Accès à Internet Associatifs, letztere ein Verein mit einem eigenen Angebot von Internetdienstleistungen), Klage gegen die EU-Kommission eingereicht und geltend gemacht: Die EU-Kommission habe mit ihrer Angemessenheitsentscheidung den Privacy Shield betreffend (Entscheidung vom 12. Juli 2016) die Grundrechtscharta der EU verletzt. Grund für den Vorwurf der Grundrechtsverletzung ist auch in diesem Verfahren der Vorwurf, dass die USA zur Wahrung ihrer eigenen Sicherheitsinteressen anlasslos massenhaft Zugriff nehme auf Personendaten von Europäern. Gleichzeitig bestehe kein wirksamer Durchsetzungsmechanismus. Wiederum geht es in diesem Fall also wieder um die Kardinalfrage "Behördenzugriff". Und auch in diesem Verfahren geht es darum zu verstehen, wie das US-amerikanische Rechtssystem mit der Überwachung von Einzelnen umgeht.
 
Wenige Tage zuvor, am 21. Oktober 2016, hat mit derselben Stossrichtung Digital Rights Ireland Klage gegen den Gleichwertigkeitsbeschluss der EU-Kommission eingereicht. Auch bei dieser geht es um die Frage des anlasslos massenhaften Zugriffs auf Personendaten.
 
Der prozessuale Hintergrund zu beiden Klagen ist wie folgt: Ein Unternehmen oder eine Einzelperson darf Rechtsvorschriften auf EU-Ebene (z.B. die Angemessenheitsentscheidung der Kommission) vor dem Europäischen Gericht (dem erstinstanzlichen EU-Gericht, nachstehend EuG; zu unterscheiden vom EuGH) anfechten, allerdings nur wenn das Unternehmen bzw. die Einzelperson selber unmittelbar betroffen ist. Es könnte sein, dass die Betroffenheit für La Quadrature du Net und das French Data Network nicht in ausreichendem Mass gegeben ist.
 
d) Verfahren in Sachen Schrems gegen Facebook vor den österreichischen Gerichten ("Schrems-Sammelklage")
Nur der Vollständigkeit halber wird auch das folgende Verfahren erwähnt: Maximilian Schrems hat auch vor dem Landesgericht für Zivilrechtssachen Wien (Österreich) umfangreiche Begehren erhoben (unter anderem Ansprüche auf Unterlassung der Verwendung seiner Daten zu Zwecken von Facebook oder zu Zwecken Dritter sowie auf Schadenersatz und rechtsgrundloser Bereicherung). Maximilian Schrems machte nicht nur eigene Ansprüche geltend, sondern auch Ansprüche von rund 25'000 anderen Privatpersonen. Auch dieses Verfahren gelangte über einige Vorlagenfrage an den EuGH, allerdings nur zu einem prozessualen Thema (ob ein Gerichtsstand in Wien bestehe). Der EuGH entschied am 25. Januar 2018, dass Maximilian Schrems seine eigenen Ansprüche in Wien geltend machen könne, aber nicht die abgetretenen Ansprüche; entsprechend entschied am 28. Februar 2018 auch der österreichische Oberste Gerichtshof.
 
7. Orientierungshilfen zum Verständnis der US-amerikanischen Gesetzgebung
In den unter Ziffer 6 erwähnten Gerichtsverfahren geht es massgeblich um die Frage, ob die USA ein Rechtssystem aufstellen bzw. leben, das die verfassungsmässigen Rechte betroffener Personen auch in der EU wahrt. Es geht darum, ob die USA betroffenen Personen den Due Process gewähren, so dass kein übermässiger Eingriff in das verfassungsmässig geschützte Recht auf Privatsphäre resultiert. Diese Diskussion vor den angerufenen Gerichten steht unmittelbar bevor und dürfte sich in den kommenden Wochen intensivieren. Um dieser Diskussion folgen zu können, will ich wie versprochen einige Orientierungshilfen zum US-amerikanischen Recht geben.
 
Um die nachstehenden Ausführungen einordnen zu können, muss man auch zwei Begriffe verstehen, die im Kontext der US-amerikanischen Gesetze zur Vornahme von Überwachungsmassnahmen von Bedeutung sind, sog. Warrants und Subpoenas:
 
• eine Subpoena ist eine mit einer Sanktion versehene Aufforderung an eine Person, eine im Rahmen eines Verfahrens relevante Handlung vorzunehmen, z.B. Dokumente herauszugeben (Äquivalent in der Schweiz: Herausgabeverfügung) oder zu einem Termin zu erscheinen (Äquivalent in der Schweiz: Vorladung).
• ein Warrant ist eine Massnahme, die einer Behörde erlaubt, ohne Mitwirkung der Person, um die es geht, eine Handlung vorzunehmen, d.h. in deren geschützte Rechtsposition einzugreifen (Äquivalent in der Schweiz: Durchsuchungs- oder Haftbefehl).
 
Auf dieser Basis kann nun das System der US-amerikanischen Gesetzgebung beschrieben werden. Das Gesetzgebungsverfahren in den USA hat die Eigentümlichkeit, dass Gesetzgebungsvorhaben (sog. Bills) mit sprechenden Namen versehen werden, ähnlich den Bundesgesetzen in der Schweiz (Beispiel: "Datenschutzgesetz"). Anschliessend werden diese Gesetze in der systematischen Rechtssammlung aufgenommen, wo diese sprechenden Namen verschwinden (der sog. "United States Code", oder U.S.C.). Soll dann die Gesamtkodifikation geändert werden, geschieht dies wiederum mit einem Bill, der wieder einen anderen Namen haben kann (anders als z.B. in der Schweiz, wo man einfach von der "Revision des Datenschutzgesetzes" spricht). So geht es im Folgenden massgeblich um den Foreign Intelligence Surveillance Act, FISA, den Stored Communications Act, SCA, und den Electronic Communications Privacy Act, ECPA. Diese finden sich im U.S.C. an den folgenden Stellen:
 
SCA, 18 U.S.C. Chapter 121 §§ 2701–2713 (das heisst, man findet die massgeblichen Bestimmungen §§2701 – 2713 im 18. Buch der Rechtssammlung, dort im 121. Kapitel)
ECPA, 18 U.S.C. Chapter 119 §§ 2510 und 18 U.S.C. Chapter 206 §§ 3121
FISA, 50 U.S.C. Chapter 36 §§ 1801-1885c
 
Die folgenden einprägsamen sprechenden Bezeichnungen könnten bekannt sein:
 
FISA: (1978) Foreign Intelligence Surveillance Act (im Wesentlichen Neuschaffung von Bestimmungen im U.S.C.)
SCA: (1986) Stored Communications Act (im Wesentlichen Neuschaffung von Bestimmungen im U.S.C.)
ECPA: (1986) Electronic Communications Privacy Act (im Wesentlichen Neuschaffung von Bestimmungen im U.S.C.)
PATRIOT Act: (USA PATRIOT) (2001) Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Act of 2001, ein Gesetz, das umfassende Änderungen gewissermassen "querbeet” durch den U.S. Code hindurch vornahm, unter anderem auch am FISA und am SCA
USA Freedom Act: (2015) Uniting and Strengthening America by Fulfilling Rights and Ensuring Effective Discipline Over Monitoring Act), Ersatz für teilweise abgelaufene Bestimmungen des USA PATRIOT Acts, d.h. wirkt sich wiederum "querbeet" im U.S.C. aus, vornehmlich aber auch im SCA.
CLOUD Act: (2018) Clarifying Lawful Overseas Use of Data Act or CLOUD Act. Es handelt sich um ein Gesetz zur Anpassung des SCA.
 
Manchmal wird gesagt, mit dem Erlass einer bestimmten Regelung – z.B. "mit dem CLOUD Act" – werden neuerdings Überwachungen oder Massnahmen möglich, die zuvor nicht möglich waren. Das trifft aber oft nicht zu, sondern es handelt sich je nachdem um Anpassungen bereits bestehender Bestimmungen.
 
Hier fehlt natürlich der Platz, um die komplexe Rechtslage zu Überwachungsmassnahmen in den USA darzustellen. Vorab kann die Feststellung gemacht werden, dass das Amerikanische Rechtssystem sog. "US persons" kraft der Verfassung schützt, Ausländer aber nicht. Entsprechend ist bei Aussagen im Internet (und in Gesetzen) jeweils nachzufragen: "und wie verhält es sich mit dem Schutz von Ausländern?". Die folgenden Regeln können in Kürze wiedergegeben werden:
 
Untersuchungen in den USA gegen US Persons: Die gesetzliche Grundlage hierfür bilden der SCA und der ECPA.
Beschlagnahme von Material im Ausland für Untersuchungen gegen US Persons: Grundlage ist der SCA (so wie er im Jahr 2018 durch den CLOUD Act angepasst wurde).
Untersuchung in den USA gegen Non US Persons: Die Gesetzliche Grundlage ist Section 702 des FISA, kodifiziert in 50 U.S.C. Chapter 36 § 1881a. Diese erlaubt Untersuchungen ohne Warrants auf US-amerikanischem Boden mit dem Ziel, Untersuchungen gegen Ausländer auszuführen. § 1881a(b) enthält im Wesentlichen die Beschreibung dessen, wen die USA als "US person" behandeln. Solche Massnahmen richten sich häufig gegen Internetanbieter. Diese haben Parteistellung, die betroffene Person nicht.
Untersuchungen im Ausland gegen Non US Persons: Grundlage ist Executive Order 12333, also kein Bundesgesetz der USA, sondern eine Weisung des US Präsidenten an sein Personal. Der US Präsident hat auch Weisungen erlassen, wie mit den in diesem Kontext bereits erhobenen Daten umzugehen ist. Es handelt sich um die sog. "Presidential Policy Directive 28". Diese sog. PPD 28 auferlegt den US Behörden Zurückhaltung bei der Verwendung von Daten, die Erhebung als solche ist per se nicht beschränkt (woraus sich erklärt, dass Facebook im Schrems-II-Verfahren argumentierte, man müsse auf die gelebte Praxis der Überwachungsmassnahmen schauen, und nicht allein auf die kodifizierten Grundsätze).
 
8. Was bedeutet der CLOUD-Act tatsächlich?
Am 23. März 2018 unterzeichnete Präsident Trump den CLOUD Act. Der CLOUD Act passte die Bestimmungen des Stored Communications Act an. Wir befinden uns mit diesem Gesetz also im Thema "Untersuchungen gegen US Persons im Ausland". Der CLOUD Act kann als Instrument gesehen werden, einen Entscheid des US-amerikanischen Supreme Court im Verfahren der US-amerikanischen Verwaltung gegen Microsoft abzuwenden. Es ging dort um einen Email-Austausch von zwei auf amerikanischem Boden handelnden Drogendealern, der auf Servern von Microsoft in Irland gespeichert war. Vor dem Berufungsgericht hatte Microsoft bereits Recht erhalten, das Berufungsgericht war der Auffassung, der SCA finde keine Anwendung für Fälle mit Datenhaltung im Ausland. Die Verwaltung ging an den Supreme Court, zog ihr Rechtsmittel nach Erlass des CLOUD Act aber wieder zurück. Damit bleibt unentschieden, inwiefern die amerikanische Verfassung, namentlich das Vierte Amendment, sowie der SCA auf diesen und ähnlich gelagerte Fälle Anwendung gefunden hätten.
 
Die massgebliche und mit dem CLOUD Act in den SCA eingefügte Bestimmung lautet wie folgt (§ 2713): "A provider of electronic communication service or remote computing service shall comply with the obligations of this chapter to preserve, backup, or disclose the contents of a wire or electronic communication and any record or other information pertaining to a customer or subscriber within such provider's possession, custody, or control, regardless of whether such communication, record, or other information is located within or outside of the United States."
 
Um die Bedeutung des CLOUD Act festzustellen, sind u.a. die folgenden Eckpunkte zu diskutieren:
 
Ort der Datenhaltung: § 2713, und damit der CLOUD Act, bezieht sich auf Daten mit Speicherort im Ausland.
Relevanz der betroffenen Person: Der CLOUD Act löst ein "Problem" der US amerikanischen Administration in Bezug auf Daten von US Persons. Es wird Zugriff auf Daten möglich, die zuvor nach US-amerikanischem Recht nicht rechtmässig zugänglich waren.
Keine Einsprachemöglichkeit der betroffenen Person: Die betroffene Person hat keine Einsprachemöglichkeit gegen einen Herausgabebefehl, sie ist nicht Partei. Das ist jedoch nicht neu, sondern geltendes Recht schon unter SCA "nature", d.h. seit 1986.
Bedeutung der Einsprachemöglichkeiten des Providers: Der CLOUD Act enthält eine bemerkenswerte Zusatzbestimmung. Es geht in dieser darum, dass der Provider sich wehren kann gegen einen Herausgabebefehl, wenn er nachweist, dass der Herausgabebefehl sich gegen Personen richtet, die "not a US Person" sind und die sich nicht in den USA aufhalten (§ 2703(h)(2)(i)) und der Provider mit einer Datenherausgabe Bestimmungen z.B. seines Sitzstaates verletzt (man spricht in diesem Zusammenhang von sog. Blocking Statutes). Mit anderen Worten kann über den Umweg dieser Bestimmung ein Schutz für Personen entstehen, die Non US Persons sind, was also auf eine Verbesserung der Rechtslage im Verhältnis zum Executive Order 12333 hinausläuft (dazu oben, Ziffer 7). Diese Bestimmung gilt zwar nur, wenn das betreffende Land, dessen Blocking Statutes verletzt wären, ein bilaterales Rechtshilfeabkommen mit den USA geschlossen hat (und solche gibt es noch nicht); aber das wäre ein durchaus gangbarer Weg, um im transatlantischen Konflikt eine Lösung zu finden. Zentrale Blocking Statutes im schweizerischen Recht sind Artikel 271 StGB und Artikel 273 StGB.
 
Der CLOUD Act lässt sich damit wie folgt einordnen: Es handelt sich um eine kreative Lösung der USA, in der für Provider und europäische Staaten einiges an Potential steckt. Insbesondere die Schweiz sollte rasch handeln, um mit den USA ein vom CLOUD Act antizipiertes bilaterales Abkommen zu schliessen. Der Standort Schweiz für Rechenzentren könnte signifikant gestärkt werden. Wichtig ist, dass dies rasch geschieht, damit die Schweiz im Rahmen der Verhandlungen mit den USA als Vorreiterin allenfalls "bessere Konditionen" erhält als wenn sie hinten an der Schlange ansteht.
 
9. e-Evidence-Verordnung
Zuletzt will ich nur der Vollständigkeit halber noch darauf hinweisen, ebenfalls wie im letzten Beitrag versprochen, dass die EU ihrerseits ebenfalls an einer starken Strafverfolgung und der Herausgabe von Daten interessiert ist, die bei Providern liegen. Die massgebliche Regelung, die künftig harmonisiert gelten soll, ist die derzeit erst als Entwurf vorliegende Verordnung des Europäischen Parlaments und des Rates über Europäische Herausgabeanordnungen und Sicherungsanordnungen für elektronische Beweismittel in Strafsachen. Die Verordnung soll das Verfahren zur Erstellung und Abwicklung von Herausgabebefehlen harmonisieren, das bislang ausschliesslich auf Ebene der Mitgliedstaaten geregelt war. Insofern kann man nicht sagen, dass hiermit komplettes Neurecht geschaffen werden soll. Aus der Harmonisierung können sich aber unter Umständen durchaus Neuerungen in Abläufen oder Einzelfällen ergeben. Auf die e-Evidence-Verordnung kann ich in diesem Rahmen nicht vertiefter eingehen. Vielleicht in einem späteren Beitrag.
 
10. Abschliessende Bemerkung
Man sollte sich bei dieser Ausgangslage nicht zu vorschnellen Aussagen hinreissen lassen. Und man sollte nicht ohne Weiteres sagen, dass die USA betroffenen Personen von vornherein den Due Process verweigern. Ob in der Sache die verfassungsmässigen Rechte der betroffenen Personen geschützt sind, muss geprüft sein. Es geht dabei nicht um Vergleiche zwischen den USA und der EU, sondern darum, ob die verfassungsmässigen Rechte der betroffenen Personen geschützt sind – effektiv und faktisch, nicht abstrakt aufgrund einer reinen Papieranalyse. Wer den USA die Fähigkeit abspricht, für Due Process zu sorgen, lehnt sich womöglich etwas aus dem Fenster. Immerhin sind die USA ein Land, in dem das Prinzip des Due Process stark mitgeprägt wurde und in dem dieses Prinzip einen grossen Stellenwert geniesst.
 
Zwar ist die staatliche Überwachung aus gesellschaftlicher Sicht von grösster Bedeutung (siehe vorn Ziffer 1). Hierbei kann es aber nicht darum gehen, einzelne Rechtsordnungen isoliert an den Pranger zu stellen. Wenn einem wirklich daran gelegen ist, die zivilgesellschaftlichen Bedürfnisse unserer Gesellschaft an die Hand zu nehmen, könnte man bereits im eigenen Land sehr viel bewirken. Nur schon die Diskussion um das revidierte BÜPF hat gezeigt, dass man auch hierzulande sehr rasch bereit ist, den Weg für mehr staatliche Überwachung zu ebnen. Es würde sich durchaus lohnen, hier umsichtiger vorzugehen, als man das bislang getan hat. Dieses Bewusstsein sollte geschärft werden, auf dieser Ebene kann man viel bewegen. Und es wäre sehr gut investierte Energie, sich im eigenen Bereich um eine zukunftsweisende Datenpolitik zu kümmern. Das sollte man sich ebenfalls stets vor Augen halten, bevor man die USA bezichtigt, nicht korrekt mit Personendaten umzugehen.
 
Dr. Christian Laux, LL.M. ist Anwalt und fokussiert auf IT-Rechtsangelegenheiten. Für inside-it.ch äussert er sich an dieser Stelle regelmässig zu Rechtsfragen, welche die Schweizer IT-Branche in relevanter Weise betreffen. Vor einer Woche erschien der erste Teil der Kolumne zum Thema Datenschutz und grenzüberschreitender Transfer von Personendaten.