ZD-Aktuell 2021, 05471, C.H. Beck, München – 5. Oktober 2021
Das schweizerische Bundesamt für Justiz (BJ) im Eidgenössischen Justiz- und Polizeidepartement hat am 17.9.2021 einen Bericht zum US-Cloud Act veröffentlicht. Der 51-seitige Bericht fokusiert sich materiell auf den öffentlichen Bereich und dort auf den Rechtshilfebereich. Daneben finden sich interessante Untersuchungen zur Rechtsnatur des US-Cloud Acts und der Vereinbarkeit mit europäischem und schweizerischem Recht aus Sicht des Bundesamts für Justiz und darüber, ob die Schweiz mit einem Executive Agreement mit den USA die Probleme intern lösen könnte. Weiter wird ausgeführt, was ein solches Executive Agreement für Auswirkungen im Verhältnis zu den europäischen Partnerstaaten haben könnte. Der Bericht streift nur am Rande wie die Lage aus datenschutzrechtlicher Sicht aussieht und berücksichtigt die Verlautbarungen des Eidgenössischen Datenschutz- und
Öffentlichkeitsbeauftragen (EDÖB) leider nicht. Das BJ kommt aber auch so zu folgendem Schluss: „[die] Analyse legt den Schluss nahe, dass eine Herausgabe von Daten gestützt auf eine Herausgabeanordnung auf der Grundlage des CLOUD Acts nur in spezifischen Ausnahmefällen mit dem schweizerischen und europäischen Datenschutzrecht vereinbar ist“. In der Folge soll auf der Basis dieses Berichts kurz die datenschutzrechtliche Situation in der Schweiz detaillierter dargelegt werden. […]
Der EDÖB kommt zum Schluss, dass wenn diese Garantien nicht eingehalten sind (z. B. in Bezug zur USA, wegen den diversen Überwachungsgesetzen u. a. dem US-Cloud Act) Personendatentransfers nur dann erfolgen können, wenn Standard Contractual Clauses (SCC) mit zusätzlichen Maßnahmen verbunden werden. Solche zusätzlichen Maßnahmen sind zurzeit nur ganz eingeschränkt vorhanden. Für den teilweise geltend gemachten risikobasierten Ansatz, bei dem die analog einzuhaltenden Garantien beiseitegelassen werden, gibt es keine rechtliche Basis. Weiter wird gerne verkannt, dass eine Risikoabschätzung auch kaum durch den Datenexporteur gemacht werden kann, weil er keine Ahnung hat, wie die Personendaten im Drittstaat weiterverarbeitet und z. B. mit anderen Personendaten angereichert werden können. […]
Mit diesen erklärenden Ausführungen kann dem Bundesamt für Justiz gefolgt werden, wenn das Bundesamt folgendes ausführt: „da bereits festgestellt wurde, dass Datenbearbeitungen gestützt auf Herausgabeanordnungen im Hinblick auf die datenschutzrechtlichen Grundsätze generell als problematisch anzusehen sind und von deren Rechtswidrigkeit gemäss schweizerischem Datenschutzrecht auszugehen ist, erübrigen sich mit Bezug auf die Vereinbarkeit mit den Anforderungen an grenzüberschreitende Datenbekanntgaben detaillierte Ausführungen.“
https://beck-online.beck.de/?vpath=bibdata/zeits/zdaktuell/2021/cont/zdaktuell.2021.h16.nameinhaltsverzeichnis.htm (hinter Paywall)
RA Urs Maurer-Lambrou, LL. M. (Duke), ist Consultant in der Schweiz, Herausgeber des Schweizerischen Datenschutzkommentars und berät u. a. Firmen und Behörden in datenschutzrechtlichen Belangen. Der Autor vertritt in diesem Artikel seine persönliche Meinung.