CLOUD Act: Datacenter-Standort Schweiz stärken durch ein Abkommen mit den USA?

Bild: Amerikanischer Präsident Donald Trump als Uncle Sam

Soll ein bilaterales Abkommen mit den USA abgeschlossen werden, um die Schweiz als Datacenter-Standort zu stärken?

Die Frage 19.5121 stammt von Nationalrat Balthasar Glättli (Grüne), steht im Zusammenhang mit dem amerikanischen CLOUD Act und betrifft das Eidgenössische Justiz- und Polizeidepartement (EJPD):

«Schweizerische Anbieter können sich gegen einen Herausgabebefehl nach US-Recht wehren, wenn sie nachweisen, dass Betroffene nicht US-Bürgerinnen und Bürger sind, sich nicht in den USA aufhalten und Bestimmungen des Sitzstaates verletzt würden (wie z.B. Art. 271/273 StGB). Voraussetzung ist aber ein bilaterales Rechtshilfeabkommen. Experten sagen (NZZaS 15.12.18), ein solches würde den Schutz der Kunden von Schweizerischen Rechenzentren deutlich verbessern.

Ist der Bundesrat bereit, entsprechend Verhandlungen einzuleiten?»

Worum es geht, erklärt unter anderem der erwähnte Artikel «US-Behörden können neu die Herausgabe von Daten auf ausländischen Servern verlangen» in der NZZ am Sonntag vom 15. Dezember 2018:

«Die Cloud Act will die Herausgabe von Daten erzwingen, und zwar unabhängig davon, ob diese sich in den USA befinden oder auf einem Server im Ausland. Bis anhin mussten die USA den Rechtshilfeweg beschreiten, um an solche Informationen heranzukommen.»

Wieso ein bilaterales Abkommen mit den USA?

Es geht aber um mehr, wie Anwaltskollege Christian Laux bei inside-it.ch aufgezeigt hat (mit Hervorhebungen):

«[…] Der CLOUD Act enthält eine bemerkenswerte Zusatzbestimmung. Es geht in dieser darum, dass der Provider sich wehren kann gegen einen Herausgabebefehl, wenn er nachweist, dass der Herausgabebefehl sich gegen Personen richtet, die ‹not a US Person› sind und die sich nicht in den USA aufhalten […] und der Provider mit einer Datenherausgabe Bestimmungen […] seines Sitzstaates verletzt (man spricht in diesem Zusammenhang von sog. Blocking Statutes). Mit anderen Worten kann über den Umweg dieser Bestimmung ein Schutz für Personen entstehen, die Non US Persons sind, was also auf eine Verbesserung der Rechtslage im Verhältnis zum Executive Order 12333 hinausläuft […]. Diese Bestimmung gilt zwar nur, wenn das betreffende Land, dessen Blocking Statutes verletzt wären, ein bilaterales Rechtshilfeabkommen mit den USA geschlossen hat (und solche gibt es noch nicht); aber das wäre ein durchaus gangbarer Weg, um im transatlantischen Konflikt eine Lösung zu finden. […]»

Und:

«Der CLOUD Act lässt sich damit wie folgt einordnen: Es handelt sich um eine kreative Lösung der USA, in der für Provider und europäische Staaten einiges an Potential steckt. Insbesondere die Schweiz sollte rasch handeln, um mit den USA ein vom CLOUD Act antizipiertes bilaterales Abkommen zu schliessen. Der Standort Schweiz für Rechenzentren könnte signifikant gestärkt werden. Wichtig ist, dass dies rasch geschieht, damit die Schweiz im Rahmen der Verhandlungen mit den USA als Vorreiterin allenfalls ‹bessere Konditionen› erhält als wenn sie hinten an der Schlange ansteht.»

Gemäss dem erwähnten Artikel in der NZZaS war das EJPD zumindest damals «vom Start konkreter Verhandlungen mit den USA noch weit entfernt.» Ich hoffe, das hat sich inzwischen geändert.

Bild: Pixabay / kalhh, Public Domain-ähnlich.

6 Kommentare

  1. Sehr geehrter Herr Steiger

    Ich verstehe den Vorteil nicht. Worin besteht der Vorteil jetzt genau? Mir ist das aus ihren Worten leider nicht hervorgegangen.

    Ich bin ganz anderer Meinung. Man sollte sich im Gegensatz zur EU, welche bereits fleissig mit den Amerikanern austauschen, gegen diese ganze Frechheit der Überwachung zur Wehr setzen.

    Bis heute ist die Schweiz ein ganz besonderer Cloud-Standort, an dem Rechtssicherheit und Datenschutz noch etwas zählen.

    Die Schweiz gerät doch nicht in einen Vorteil gegenüber Anbietern in der EU, nur weil sie sich ebenfalls von der Weltpolizei unterdrücken lässt.

    Freundliche Grüsse
    Daniel Kapovic

    1. @Daniel Kapovic:

      «Bis heute ist die Schweiz ein ganz besonderer Cloud-Standort, an dem Rechtssicherheit und Datenschutz noch etwas zählen.»

      Wie kommen Sie darauf? 🤔

      Nur ein Beispiel: Das heutige schweizerische Datenschutzrecht ist ein Papiertiger, hinkt der Datenschutz-Grundverordnung (DSGVO) in fast jeder Hinsicht hinterher und die Konvention 108+ hat die Schweiz auch noch nicht ratifiziert …

      Siehe auch: Werbung von ProtonMail: Vertrauen dank Standort in der Schweiz?

      1. Sehr geehrter Herr Steiger

        Ich gebe zu, dass ich mit der Überwachung innerhalb der Schweiz nicht auf dem neuesten Stand sein könnte. Wir verschlüsseln ebenfalls mehr und mehr Dienste bei uns.

        Ich weiss, dass das BAKOM? vor ca. 10 Jahren einmal sämtliche Internet-Provider verpflichten wollte, einen VPN-Zugang direkt auf die gesamte Netzwerk-Infrastruktur zu installieren, damit es jederzeit, eigenständig und umfassend Echtzeitüberwachung durchführen kann. Damals haben sich alle Provider dagegen gewehrt, die Installation durchzuführen.

        Aus dem Grund bin ich z.B. davon ausgegangen, dass auch innerhalb der Schweiz der Datenschutz nach wie vor sehr hoch ist.

        Die Frage ist jetzt aber trotzdem, was ein bilaterales Abkommen mit den Amerikanern besser machen sollte. Warum sollte man den Cloud Act nicht gnadenlos abschmettern.

        Von den Amerikanern weiss man, dass sie erst erzählen, dass sie nur im Falle von Straftaten überwachen und am Ende wird eine Allzeit-Überwachung für alles und jeden daraus.

        In die Schweizer Justiz habe ich da doch noch etwas mehr Vertrauen, als in die Amerikaner.

        Freundliche Grüsse
        Daniel Kapovic

        1. @Daniel Kapovic:

          «Ich gebe zu, dass ich mit der Überwachung innerhalb der Schweiz nicht auf dem neuesten Stand sein könnte.»

          Für jemanden, der als Fernmeldedienstanbieter in der Schweiz tätig ist, finde ich diese Aussage sehr überraschend. So mussten Sie doch erst gerade das revidierte BÜPF umsetzen …

          «Von den Amerikanern weiss man, dass sie erst erzählen, dass sie nur im Falle von Straftaten überwachen und am Ende wird eine Allzeit-Überwachung für alles und jeden daraus.»

          … und eigentlich sollte Ihnen bekannt sein, dass in der Schweiz verschiedene Arten von anlassloser und verdachtsunabhängiger Massenüberwachung der gesamten Bevölkerung praktiziert werden. Sie und ich werden völlig unabhängig von Straftaten überwacht – und als Fernmeldedienstanbieter sind Sie direkt daran beteiligt. Einerseits werden Sie dazu gezwungen, andererseits sind die meisten Fernmeldedienstanbieter aber sowieso «willige Helfer» und allfälliger Widerstand bezieht sich in erster Linie auf die Entschädigung für die ganzen Überwachungsmassnahmen.

          1. Sehr geehrter Herr Steiger

            Als kleiner Anbieter arbeiten wir für Teilsysteme unserer Produkte mit grösseren Partnern zusammen. Im Telefonie-Netz sind dies konkret die SS7-Switches.

            Sobald eine Überwachung stattfindet, wurden wir immer von unserem Partner informiert und es handelte sich bislang um lediglich 1-2 Fälle in Verbindung mit einem Strafbefehl. Also weit weg von Massenüberwachung.

            Sie müssen da auch gar nicht mich oder uns als Anbieter angreifen, dass wir informiert sind. Wie gesagt, an unseren Knotenpunkten hat die vorgeworfene Massenüberwachung nicht stattgefunden.

            Das SS7-Netz an sich ist allerdings sehr offen. Zum Teil bedingt durch seine Technik und den Zweck, den es erfüllen sollte.

            So ist es durchaus denkbar, dass auf einer Ebene weiter Oben Telefonate überwacht werden, so dass nicht einmal unser Lieferant etwas davon weiss. Ich werde mit ihm sprechen, ob sich hier etwas geändert hat.

            1. @Daniel Kapovic:

              Grundsätzlich sind alle Fernmeldedienstanbieter in der Schweiz verpflichtet, die Vorratsdatenspeicherung für eine Dauer von sechs Monaten sicherzustellen. Dabei handelt es sich um Massenüberwachung ohne Anlass und Verdacht.

              Sind Sie demnach ein Fernmeldedienstanbieter mit reduzierten Überwachungspflichten? Oder, da Sie anscheinend Ihre Infrastruktur zum Teil nicht selbst betreiben, findet die Vorratsdatenspeicherung bei den erwähnten Partnern statt?

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Felder mit * sind Pflichtfelder.