Die USA fürchten um ihre nationale Sicherheit, wenn Bürgerinnen, Bürger und Unternehmen Software des russischen Anbieters Kaspersky einsetzen. Deshalb wird der Verkauf und faktisch auch der Einsatz der Produkte des Security-Unternehmens verboten. Dasselbe gilt für die Social-Media-App Tiktok, wenn sie die chinesische Firma Bytedance nicht innert eines Jahres veräussert.

Ob die Befürchtungen der USA legitim sind, ist schwierig zu beurteilen. Technisch ist Spionage möglich, daran besteht kein Zweifel. Zumindest im Falle von Tiktok ist auch klar, dass die App – wie jede andere (amerikanische) Social-Media-Plattform auch – mehr Daten sammelt, als es effektiv nötig wäre. Aber dass sich die beiden Unternehmen von den autoritären Staaten China und Russland instrumentalisieren lassen, ist keineswegs gesichert.

Für mich hat Kaspersky recht, dass der Entscheid der Biden-Regierung nicht "auf einer umfassenden Bewertung der Integrität der Lösungen und Dienstleistungen" basiere, sondern ein rein politischer Entscheid sei. Das Verbot passt zum ganzen Strauss an Exportverboten, die insbesondere US-Hersteller daran hindert, ihre Chips in die Volksrepublik zu exportieren.

Bewiesen ist an den Vorwürfen der USA bis dato nichts. Umgekehrt verhält es sich allerdings ganz anders: Dass der US-Nachrichtendienst mit Spionage-Chips und Trojanern Daten "sammelte" (eigentlich: stahl), ist dank Edward Snowden seit über zehn Jahren belegt. Auch dass sich das Land durch den Cloud Act und den Foreign Intelligence Surveillance Act (Fisa) das Recht sichert, in anderen Ländern Daten einzusehen, ist reihum bekannt. Man könnte sogar fragen: Wer hat die Überwachung erfunden?

Dass die USA angesichts dieser Tatsachen andere Staaten der Spionage bezichtigen, ist scheinheilig und heuchlerisch – auch wenn diese in puncto Rechtsstaatlichkeit anders unterwegs sind als die Vereinigten Staaten selbst. US-Anbieter wie Microsoft oder AWS haben in meinen Augen keine anderen Voraussetzungen als Kaspersky oder Bytedance. Während die USA die Aufspaltung dieser Unternehmen fordern, sollte dies Europa für die amerikanischen Provider tun. Eigenständige Entitäten in Europa, ausserhalb des Geltungsbereichs zum Beispiel des Cloud Act, könnten dazu führen, dass Cloudprodukte dieser Anbieter auch hierzulande rechtssicher eingesetzt werden könnten.

Dass dies aktuell nur mit zusätzlicher Verschlüsselung möglich ist, sagte mir diese Woche Zürichs Datenschützerin Dominika Blonski im Interview. Mehr noch: Auf die Frage, ob mit AWS oder Microsoft vertraglich festgelegt werden kann, dass diese nicht auf die Daten zugreifen, selbst wenn sie es könnten, sagte Blonski: "Nein." Der Cloud-Act stehe über diesen vertraglichen Regelungen.

Interessant an der ganzen Geschichte ist, dass der Bund genau dies trotzdem probiert. Es sei "vertraglich sichergestellt, dass die Datenbearbeitung durch private Firmen den hohen Daten- und Informationsschutzstandards der Schweiz entsprechen", schrieb der Bundesrat im Februar als Antwort auf eine entsprechende parlamentarische Anfrage. Weil ich wissen will, was das genau bedeutet, habe ich mit einem Antrag gestützt auf das Bundesgesetz über das Öffentlichkeitsprinzip der Verwaltung (BGÖ) Einsicht in das Dokument gefordert.

Das Bundesamt für Bauten und Logistik (BBL) hatte ursprünglich die Veröffentlichung der Cloud-Verträge versprochen. Das scheiterte dem Amt zufolge aber am Widerstand der Anbieter. Aktuell blockiert demnach Microsoft die Herausgabe des Vertrags. Ich habe das Verfahren an die nächste Instanz, den Eidgenössischen Datenschutzbeauftragten, weitergezogen. Die entsprechende Schlichtungsverhandlung findet Mitte Juli statt.

PS: Die Scheinheiligkeit musikalisch perfekt auf den Punkt gebracht hat die grossartige Band EAV im Song "God bless America".