Computing ist eine Tendenz der Softwarenutzung, die heute nicht mehr wegzudenken ist. Die Wirtschaft wird dank Cloud Computing revolutioniert, weil dadurch Software erschwinglich wird, die z.B. Kleinst- und kleinere Unternehmen sich zuvor nicht leisten konnten. Auch mittlere und grössere Unternehmen profitieren: Statt Einmalinvestitionen tätigen zu müssen, können Kosten periodengerecht bezahlt werden. Zugleich bestehen gegenüber der Nutzung von Cloud-Diensten Bedenken. Kann das Datenschutzrecht gewahrt werden?
Kann ein Unternehmen Personendaten in US-Clouds speichern?
Datenschutzrechtliche Bedenken werden insbesondere im Zusammenhang mit Cloud-Diensten von US-amerikanischen Anbietern geäussert. Nachdem der für die CIA tätige Edward Snowden 2013 Dokumente öffentlich machte, die zeigten, dass die Geheimdienste in umfangreichem Umfang Daten von Internetnutzern sammeln, akzentuieren sich diese Bedenken.
Eine Nutzung von US-amerikanischen Cloud-Diensten kann jedoch rechtmässig ausgestaltet werden, wenn der Cloud-Anbieter sich wie folgt dem Datenschutzkonzept der EU unterwirft:
- mittels Beitritts zum Privacy Shield oder
- mittels Standardvertragsklauseln
Mit einem Vorgehen nach einer dieser beiden Methoden wird Gleichwertigkeit im Empfängerland hergestellt[1]. So kann die Nutzung von Cloud-Diensten auch von US-amerikanischen Anbietern ermöglicht werden[2]. Grundlage hierfür bilden verschiedene Beschlüsse der EU-Kommission: ein Gleichwertigkeitsbeschluss betreffend den Privacy Shield vom 12. Juli 2016, und verschiedene Gleichwertigkeitsbeschlüsse der EU-Kommission aus den Jahren 2001, 2004, 2010 und 2016. Beide der genannten Methoden sind nun allerdings unter Beschuss.
Gerichtsverfahren, die sich gegen den Privacy Shield richten
Gegen den Gleichwertigkeitsbeschluss der EU-Kommission zum Privacy Shield sind zwei Klagen beim europäischen Gericht erster Instanz eingegangen, am 16. September 2016 die Klage einer irischen Nichtregierungsorganisation und am 25. Oktober 2016 eine von französischen Nichtregierungsorganisationen.
In beiden Verfahren bringen die Klägerinnen vor, die EU-Kommission habe mit ihrem Gleichwertigkeitsbeschluss die Grundrechtscharta der EU verletzt. Grund dafür ist der Vorwurf, dass die USA zur Wahrung ihrer eigenen Sicherheitsinteressen anlasslos Zugriff nehme auf Personendaten von EU-Bürgern. Gleichzeitig bestehe kein wirksamer Durchsetzungsmechanismus. Es geht in diesem Fall also darum zu verstehen, wie das US-amerikanische Rechtssystem mit der Überwachung von Einzelnen umgeht.
Wäre eine der Klagen gegen den entsprechenden sog. Angemessenheitsbeschluss der EU-Kommission erfolgreich, würde dem Privacy Shield im Verhältnis zu Personendaten aus der EU der Boden entzogen. Unternehmen müssten dann auf alternative Instrumente ausweichen. In Frage kommt insbesondere das Vorgehen, über sogenannte «Standarddatenschutzklauseln» Gleichwertigkeit herzustellen.
Gerichtsverfahren, die sich gegen das Konzept der Standarddatenschutzklauseln richten
Nun – auch die Methode, mittels Standarddatenschutzklauseln Angemessenheit herzustellen, ist neuerdings unter Beschuss, jedenfalls soweit es um Datenübermittlungen an Anbieter mit Sitz in den USA geht. Derzeit ist diesbezüglich vor dem irischen High Court ein Verfahren hängig, in welchem die irische Datenschutzbehörde gegen Maximilian Schrems und Facebook Irland auf Feststellung klagt, dass die Standarddatenschutzklauseln ungültig seien. Am 9. Mai 2018 hat der irische High Court dem EuGH verschiedene Fragen zur Prüfung vorgelegt. Ob der EuGH je entscheiden wird, ist aber unklar: Gegen die Entscheidungen des irischen High Court ist derzeit eine Beschwerde von Facebook vor dem irischen Supreme Court hängig. Die Beschwerde richtet sich gegen diverse Feststellungen des irischen High Court zum US-amerikanischen Recht. Die irische Datenschutzbehörde und Maximilian Schrems hatten den High Court überzeugt, dass es auf die geschriebene Rechtslage in den USA ankomme; und diese sehe keine genügenden Mechanismen zum Schutz der Verfahrensrechte von EU-Bürgern vor. Facebook argumentierte dagegen, dass vielmehr die Praxis der Behörden und Gerichte in den USA massgeblich sei (nicht aber das geschriebene Recht). Der irische Supreme Court wird die Parteien am 21. Januar 2019 dazu anhören. Da die Feststellungen des irischen High Court diesbezüglich tatsächlich wenig überzeugend scheinen, könnte der Entscheid des High Court aufgehoben werden. Der EuGH würde dann die ihm vorgelegten Fragen nicht entscheiden.
Gerichtsverfahren gegen das Safe-Harbor-Modell, den Vorgänger des Privacy Shield
Wie kam es dazu? Hintergrund ist eine seit dem Jahr 2013 schwelende Auseinandersetzung vor den irischen Behörden und Gerichten: Der österreichische Datenschutzaktivist Maximilian Schrems reichte am 25. Juni 2013 bei der irischen Datenschutzbehörde eine Beschwerde gegen Facebook Ireland (Facebook) ein. Es solle Facebook verboten werden, seine personenbezogenen Daten in die Vereinigten Staaten zu übermitteln. Die Vereinigten Staaten würden keinen ausreichenden Schutz der in diesem Land gespeicherten personenbezogenen Daten bieten. Die irische Datenschutzbehörde wies die Beschwerde zurück. Maximilian Schrems gelangte an den High Court und dieser unterbreitete die Sache dem EuGH zur Prüfung. Der EuGH stellte am 6. Oktober 2015 die Ungültigkeit der Safe-Harbor-Entscheidung der EU-Kommission fest. Damit war das Safe-Harbor-Programm beendet. Die EU-Kommission habe ihre Entscheidung nicht ausreichend (nämlich gar nicht) begründet in Bezug auf die Frage, ob der Staatsschutz der USA den Datenschutzgrundsätzen gemäss Safe Harbor generell vorgehen würden. Der EuGH traf aber keinerlei verbindliche Feststellung über das US-amerikanische Recht, sondern hob den Gleichwertigkeitsbeschluss der EU-Kommission aus einem rein verfahrensrechtlichen Grund auf. Die Sache ging dann zurück an die irische Datenschutzbehörde, die dann eben wie vorstehend geschildert (Abschnitt 4) ihrerseits den irischen High Court angerufen hat, um über die Standardvertragsklauseln zu entscheiden.
Was sollte man wissen?
Festzuhalten ist, dass der EuGH sich bis heute nicht dazu geäussert hat, ob die USA immer noch wie im Jahr 2013 ohne besonderen Anlass (ausserhalb eines konkreten Verdachts) zu geheimdienstlichen Zwecken auf Personendaten zugreifen. Dies wird in der öffentlichen Diskussion aber oft falsch dargestellt, weswegen es hier nochmals in Erinnerung gerufen wird.
[1] Es gibt weitere Ansätze, aber hier seien nur diese beiden hervorgehoben.
[2] Die dogmatischen Grundlagen zur Herstellung von sog. «Gleichwertigkeit» wird im Beitrag unter https://www.inside-it.ch/articles/52423 genauer geschildert.
Autor
Dr. iur., LL.M. (Stanford) / Partner Christian Laux ist Gründer von LAUX LAWYERS AG, einer auf alle Bereiche des Informationsrechts spezialisierten Anwaltskanzlei mit Büros in Zürich und Basel. Er verfügt über 20 Jahre Erfahrung mit technologiebezogenen Rechtsfragen. Seine Schwerpunkte sind neue Technologien, Cloud, Datenschutz und Datenrecht, IT- und Business Consulting sowie Prozessführung.
