Swiss Made Software lancierte kürzlich ein neues Label, mit dem Hoster und Cloud-Provider ihre "Swissness" signalisieren können: "swiss hosting". Das neue Label richtet sich an Schweizer SaaS-Anbieter und Hoster.
Können Sie kurz erklären, unter welchen Bedingungen Daten heute aus der Schweiz ins Ausland exportiert werden dürfen?
Simon Schlauri: Grundsätzlich muss ein Drittland ein angemessenes Datenschutzniveau haben. Vorbildlich ist hier die EU mit der DSGVO. Der eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte führt eine Übersicht der Länder mit angemessenem Datenschutzniveau. Erfüllt ein Land die Anforderungen nicht, muss ein Vertrag zwischen den beteiligten Firmen aufgesetzt werden, um die Defizite der nationalen Gesetzgebung nachzubessern. Musterverträge (die sogenannten "Standardklauseln") gibt es beispielsweise beim EDÖB.
Bieten solche Verträge einen effektiven Schutz vor dem Zugriff durch ausländische Regierungen?
Leider nein. Man kann zwar nicht pauschal für alle Länder sprechen, aber ein gutes Beispiel sind die USA. In Bezug auf die Verarbeitung exportierter Daten galt bis vor Kurzem der sogenannte Privacy Shield von 2016, ein Abkommen zwischen den USA und der EU. Dazu gibt es ein Parallelabkommen zwischen den USA und der Schweiz. Ziel des Privacy Shield war der verantwortliche Umgang mit den Daten im Ausland sowie der Schutz der Privatsphäre von Bürgerinnen und Bürgern der EU und der Schweiz. Es bestanden aber von Anfang an erhebliche Zweifel an dessen Griffigkeit. Jetzt hat der Europäische Gerichtshof den Privacy Shield gekippt und somit den Zweiflern offiziell Recht gegeben.
Was heisst das?
Viel und wenig. Der EuGH bestätigt zwar offiziell, dass der Privacy Shield nicht ausreicht. Gleichzeitig sagt das Urteil aber, dass man via Standardklauseln weiter Geschäfte machen kann. Ob sich die USA aber in diesem Zusammenhang für die Verträge zwischen zwei privaten Unternehmen interessieren, muss jeder selbst entscheiden.
Und jetzt?
Die EU ist nicht die Schweiz. Ich gehe aber davon aus, dass auch die Schweizer Version des Abkommens fallen wird.
Gilt das auch für Daten, die amerikanische Unternehmen ausserhalb der USA halten?
Diese Lücke wurde 2018 durch den Cloud Act geschlossen. Vor dessen Einführung konnte sich ein amerikanisches Unternehmen weigern, Daten, die bei einer Tochter im Ausland liegen, herauszugeben. Der Cloud Act sagt klar, dass jedes amerikanische Unternehmen Daten herausgeben muss – egal in wessen Hoheitsgebiet sie sich befinden. Zwar wird im Cloud Act stipuliert, dass bilaterale Abkommen mit anderen Ländern zur Einschränkung dieses Zugriffsrechts möglich sind. Meines Wissens hat bisher aber kein Land so etwas ausgehandelt.
Das gilt also auch für Daten, die bei Töchtern internationaler Konzerne auf Schweizer Boden gespeichert werden?
Eigentlich schon.
Was ist mit anderen Ländern wie zum Beispiel China oder Indien?
Attestiert ihnen der EDÖB einen ungenügenden Schutz, braucht es die bereits erwähnten Standardklauseln.
Und das reicht?
Man kann nicht einfach nur das Papier unterschreiben. Die Unternehmen sind verpflichtet, sich auch vom tatsächlichen Bestehen der zugesicherten Massnahmen zu überzeugen.
Man kann seine Daten dann auch in den Iran oder nach Nordkorea geben, wenn das soweit gut aussieht?
Theoretisch schon. Aber es gibt da natürlich schon ein paar Fragezeichen mehr…
Ganz wird man die Fragezeichen aber kaum los, oder?
Nein.
Wie ist die praktische Handhabung beim Datenexport heute: Werden die Kunden informiert?
Die Unternehmen sind zumindest gemäss der europäischen Datenschutz-Grundverordnung verpflichtet eine Datenschutzerklärung zu haben, in der steht, ob ein Datenexport stattfindet.
Aber eine ausdrückliche Einwilligung braucht es nicht?
Nein.
Trotz vieler neuer Gesetze scheinen also fast immer Fragezeichen mit einem Datenexport verbunden zu sein. Könnte man sagen, dass man diese Untiefen via swiss hosting umschiffen kann?
Genau. Bei swiss hosting müssen Sie sich keine Gedanken machen. Es gilt nur das Schweizer Recht. Bei Kunden aus dem europäischen Raum gilt zudem die DSGVO, die noch strenger ist als das Schweizer Recht.
Simon Schlauri
Simon Schlauri (1973) verbindet reiche Erfahrung aus der IT- und Telekom-Industrie und tiefgreifendes technisches Know-how mit einem akademischen Hintergrund, insbesondere einer Titularprofessur an der Universität Zürich. Sein Fokus liegt in der Regulierung von Netzwerkindustrien und im IT-Recht, vor allem in den Bereichen Datenschutz, E-Commerce und Zahlungssysteme sowie Vertrags-, Verbraucher-, Wettbewerbs- und Urheberrecht.
Haben Drittstaaten nicht auf offizieller Ebene die Chance auf Datenzugriff?
Sie dürfen via Rechtshilfe Beweise sichern – das aber auch nur nach dem Grundsatz beidseitiger Strafbarkeit. Das heisst, das Vergehen darf nicht nur im Drittland strafbar sein, sondern muss auch in der Schweiz ein Verbrechen sein.
Dann dürfen ausländische Behörden zugreifen?
Zunächst greifen dann die Schweizer Behörden zu. Die Verwendung von beschlagnahmten Daten bedeutet aber nicht, dass diese automatisch in einem Prozess zur Verfügung stehen. Ein Beklagter kann sich mit Hilfe verschiedener Rechtsmittel wehren. Neben diesen Rechtsmitteln ist sich ein Beklagter aber vor allem bewusst, dass es einen Zugriff gibt, und kann sich entsprechend verhalten. Aus juristischer Perspektive sind das klare Vorteile. Ausserdem schiebt es dem pauschalen «Absaugen» von Daten durch ausländische Behörden einen Riegel vor.
Zum Autor: Das Interview hat Christian Walter von Swiss Made Software geführt.
Interessenbindung: Wir sind "Digital Partner" von Swiss Made Software.