Im Februar 2018 wurde im US Kongress der CLOUD Act (Clarifying Lawful Overseas Use of Data Act) bearbeitet und schlussendlich von Präsident Trump am 23. März 2018 in Kraft gesetzt. Dieses Gesetz bringt grosse Unsicherheit für Schweizer Unternehmen, welche Cloud Services von amerikanischen Providern nutzen wollen.
Definition CLOUD Act
Der CLOUD Act schreibt vor, dass US-Firmen verpflichtet sind, den amerikanischen Ermittlungsbehörden Zugang zu Daten eigener Bürger zu liefern unabhängig von ihrem Speicherort. Das Gesetz wurde auch von den grossen Onlinefirmen unterstützt (z.B. Google, Facebook, Microsoft…), weil es Klarheit schafft; zudem erlaubt es ihnen, theoretisch sich rechtlich zu wehren, wenn Gesetze anderer Staaten verletzt werden.
Der CLOUD Act ist nicht etwas komplett Neues. Schon zuvor gab es bereits den «Stored Communications Act (SCA)». Dieser verpflichtete die Unternehmen zur Herausgabe von Daten, unabhängig von dem Speicherort dieser Daten. In einem Gerichtsfall, bei dem Microsoft Daten aus einem Rechenzentrum in Irland dem amerkanischen Staat liefern sollte, war dieses Gesetz aber trotzdem nicht ausreichend, weil sich die Daten ausserhalb der Vereinigten Staaten befanden. Der CLOUD Act ergänzte bzw. präzisierte diesen fehlenden Teil.
Trotzdem besteht immer noch eine grosse Unsicherheit, weil nicht klar ist, wie dieses Gesetz in der Praxis ausgelegt werden kann. Primär geht es um Daten von US-Bürgern, aber es könnte zukünftig auch um Daten von Schweizer Firmen gehen, die in den USA nur einen Sitz haben und gegen deren Firmen ermittelt wird oder deren Firmen vor Gericht stehen. Dabei könnte es sich auch um Firmen handeln, die nur Geschäfte mit amerikanischen Firmen machen und US-Gesetze verletzen.
«Als Anwältin könnte ich nie dafür garantieren, dass diese Firmen keinen US-Bezug haben. Denn das ist ein sehr weit gefasster Begriff.» Ein US-Gericht könne etwa zum Schluss kommen, dass ein Schweizer Cloud-Anbieter, der in den USA Werbung für seine Dienstleistung gemacht hat, aus diesem Grund einen US-Bezug habe, sagt Gordon. NZZ, US-Behörden können neu die Herausgabe von Daten auf ausländischen Servern verlangen, 15.12.2018
Zudem muss man sich die Frage stellen, was die Schweiz den USA entgegensetzen kann, wenn diese Schweizer Recht (Bundesgesetz über den Datenschutz, DSG) verletzen, dabei die Interessen der Vereinigten Staaten vor Gericht höher gewertet werden als das geltende Schweizer Recht. Dies gilt natürlich nicht nur für die USA. Ein gutes Beispiel ist hier der Fall der Steuersünder-CD, bei dem Deutschland seine Interessen höher einschätzte als das Schweizer Bankgeheimnis. Ein weiterer wichtiger Punkt ist, ob der Datenzugriff vorab dem Kunden überhaupt gemeldet wird oder erst nach Abschluss des Verfahrens oder sogar ohne Information abläuft. Das Ganze kann natürlich technisch durch Verschlüsselung stark erschwert werden, aber mit den richtigen Mitteln und genügend Ressourcen ist dieses Hindernis zu überwinden.
Die anstehende Verfügbarkeit von Rechenzentren in der Schweiz durch die grossen Cloud-Anbietern (Microsoft Azure, Google Cloud, Amazon Web Services) wird nicht viel an der Problematik ändern, auch wenn es sich um Tochterunternehmen der US-Cloud-Anbieter handelt, weil schliesslich auch diese dem CLOUD Act unterstellt sind.
Was sagen die grossen Cloud Anbieter zum CLOUD Act?
Microsoft
Microsoft hat ausführliche Beschreibungen und Berichte auf der Webseite, wie sie auf Anfragen von Behörden reagieren.
The CLOUD Act is an important step forward, but now more steps need to follow
Reaktion auf die Anforderung des Zugriffs auf Ihre Kundendaten durch Regierungs- und Justizbehörden
Die von uns veröffentlichten aggregierten Daten zeigen, dass nur ein kleiner Bruchteil (unter einem Prozent) unserer Kunden jemals von einer behördlichen Anfrage im Zusammenhang mit strafrechtlichen Verfahren oder der nationalen Sicherheit betroffen war. Um Fall von Unternehmenskunden handelt es sich um nicht mehr als eine Handvoll Unternehmen.
Zudem versuchen sie, eine möglichst hohe Transparenz mit ihrer «Law Enforcement Requests Report Website zu schaffen.
Amazon Web Services (AWS)
AWS bieten auf ihrer Website eine Art FAQ welches auf die Bedenken der Kunden eingeht, und bieten ihre Verschlüsselungslösungen für zusätzliche Sicherheit an. Auch hier gibt es einen öffentlich zugänglichen Report über die Behördenanfragen.
The CLOUD Act does not impact AWS services or how we operate our business. Historically, we have received very few United States law enforcement requests, and we are transparent about the number of requests that we receive.
Google Cloud
Google macht sich auf seinem Blog stark für eine Anpassung der staatlichen Zugriffgesetze an das digitale Zeitalter . Auch sie bietet einen Transparenz Report über staatliche Anfragen an.
Policymakers shouldn’t wait to address these important questions, or leave it to courts to interpret outdated laws, but should update privacy protections in light of how people use services in the digital era. Government access laws should reflect evolving expectations of privacy and the increasing importance of online services to our daily lives. We urge legislatures to begin that work now.
Was machen andere Staaten?
Natürlich ist auch zu erwähnen, dass nicht nur die USA solche Gesetze kennt. Auch in Russland und in China gibt es entsprechende Auflagen für in- und ausländische Firmen in diesen Ländern. Australien hat aktuell auch ein neues weitreichendes Gesetz, welches Technologiefirmen dazu zwingen kann, verschlüsselte Nutzerdaten auszuhändigen. Die Datenschutz-Grundverordnung (DSGVO) der EU, welche z.B. explizit den Datenaustausch ohne Rechtshilfegesuch verbietet, steht in direktem Konflikt mit dem CLOUD Act. Entsprechende Bemühungen sind schon im Gange, um das Problem der US-Provider zu lösen, die gegen das eine oder andere Gesetz verstossen.
Fazit
Das Thema CLOUD Act wie auch vergleichbare Gesetze von anderen Regierungen werden uns noch länger beschäftigen. Es braucht erste Präzedenzfälle, klarere Aussagen von den zuständigen Schweizer Behörden oder allfällige Verträge mit dem amerikanischen Staat. Internationale oder private Schweizer Firmen können vielleicht ein grösseres Risiko eingehen, weil diese allfällige Geldstrafen oder Reputationsschäden in ihre Risiko-Berechnungen einfliessen lassen können. Für staatliche oder staatsnahe Unternehmen ist dies aber keine Option und die Bedienungen müssen genau geprüft werden (z.B. Merkblatt privatim – Konferenz der schweizerischen Datenschutzbeauftragten – Cloud-spezifische Risiken und Massnahmen). Wer auf sicher gehen will, baut sich für seine kritischen und schützenswerten Daten eine eigene Private Cloud in einem eigenen Rechenzentrum oder zumindest bei einem lokalen Schweizer Anbieter. Der kürzlich erschienene Gastkommentar in der NZZ des KPMG Schweiz CEO zeigt die Problematik gut auf und was für viele Firmen aktuell mit Verwendung von Cloud-Diensten hinderlich ist.
Auch das Regulierungsdickicht ist hinderlich: So untersagen chinesische Cybergesetze den Firmen Datenexporte, geben dem Staat aber nahezu unbeschränkte Zugriffsrechte. Die US Cloud Act erlaubt den Behörden im Falle von Strafuntersuchungen ebenfalls einen weitgehenden Zugriff auf Daten. Diese und zahlreiche weitere Gesetze stehen teilweise im Widerspruch zu anderen Regulierungen wie der Datenschutzgrundverordnung der EU. NZZ, Sicherung von Stabilität und Innovationskraft, 18.01.2019
Quellen und weiterführende Links zum Thema (online, 17.02.2019):
CLOUD Act:
CLOUD Act (Clarifying Lawful Overseas Use of Data Act) (Congress.gov, 06.02.2018) https://www.congress.gov/bill/115th-congress/house-bill/4943/text
Ermittler-Zugriff auf Daten bei Providern: Kritik an EU-Kommission (heise.de , 07.02.2019) https://www.heise.de/newsticker/meldung/Ermittler-Zugriff-auf-Daten-bei-Providern-Kritik-an-EU-Kommission-4301678.html
CPDP 2019: The Cloud Act, e-evidence, and the globalization of criminal evidence (Youtube, 11.02.2019) https://www.youtube.com/watch?v=OZvusuyagj8
Microsoft fordert strengeren Datenschutz von US-Behörden (itmagazine.ch, 18.09.2018) https://www.itmagazine.ch/Artikel/68061/Microsoft_fordert_strengeren_Datenschutz_von_US-Behoerden.html
US CLOUD Act regelt internationalen Datenzugriff (heise iX 7/2018) https://www.heise.de/select/ix/2018/7/1530927567503187
US-Kongress erlässt Gesetz zur Klärung der Reichweite von Warrants für Überseedaten (daten:recht, 27.03.2018) http://datenrecht.ch/us-kongress-erlaesst-gesetz-zur-klaerung-der-reichweite-von-warrants-fuer-ueberseedaten/
Supreme Court hält Streit um Mail-Postfach in Irland für erledigt (Spiegel, 18.04.2018) http://www.spiegel.de/netzwelt/netzpolitik/microsoft-rechtsstreit-erledigt-supreme-court-beruft-sich-auf-cloud-act-a-1203475.html
Artikel mit Bezug auf die Schweiz:
Banken in der Cloud: mitgegangen, mitgehangen (finnews.ch, 15.02.2019) https://www.finews.ch/news/banken/35304-schweiz-banken-cloud-ubs-microsoft-risiken-finma-gesetze-cloud-act-bankgeheimnis-datensicherheit
Sicherung von Stabilität und Innovationskraft (NZZ, 18.01.2019) https://www.nzz.ch/meinung/sicherung-von-stabilitaet-und-innovationskraft-ld.1446950
US-Behörden können neu die Herausgabe von Daten auf ausländischen Servern verlangen (NZZ, 15.12.2018) https://nzzas.nzz.ch/wirtschaft/cloud-act-us-behoerden-herausgabe-von-daten-ld.1445117
Diese Cloud-Dienste wird Microsoft aus der Schweiz anbieten (inside-channels.ch, 29.10.2018) https://www.inside-channels.ch/articles/52684
Lex Laux: Personendaten und die USA – wie steht es um den Privacy Shield? (inside-channels.ch, 05.10.2018) https://www.inside-it.ch/articles/52423
Links zu Schweizer Behörden:
privatim: Merkblatt «Cloud-spezifische Risiken und Massnahmen» (06.02.2019) http://datenrecht.ch/privatim-merkblatt-cloud-spezifische-risiken-und-massnahmen/
Erläuterungen zu Cloud Computing (EDÖB) https://www.edoeb.admin.ch/edoeb/de/home/datenschutz/Internet_und_Computer/cloud-computing/erlaeuterungen-zu-cloud-computing.html
Totalrevision des Bundesgesetzes betreffend die Überwachung des Post- und Fernmeldeverkehrs (admin.ch, 30.01.2019) https://www.li.admin.ch/de/themen/das-neue-buepf
Bundesgesetz über den Datenschutz (admin.ch, 01.01.2014) https://www.admin.ch/opc/de/classified-compilation/19920153/index.html
Bilder für Titelbild
https://unsplash.com/photos/80sv993lUKI
https://pixabay.com/de/usa-amerika-vereinigte-staaten-3335768/
https://pixabay.com/de/usa-uncle-sam-i-want-you-armee-49909/
