Privacy Shield 2.0: Schrödingers Rechtsschutz nach schweizerischem Vorbild

Foto: Zwei Schachfiguren («Schachmatt»)Eine Executive Order des amerikanischen Präsidenten vom 7. Oktober 2022 soll der Europäischen Kommission ermöglichen, den Daten-Export in die USA mit einem neuen Angemessenheitsbeschluss zu erleichtern.

Man spricht auch vom Privacy Shield 2.0. Die offizielle Bezeichnung lautet Trans-Atlantic Data Privacy Framework.

Die Executive Order sieht unter anderem vor, dass Personen, die von bestimmten amerikanischen Überwachungsmassnahmen («Signals Intelligence Activities», SIGINT) betroffen sind, Beschwerde erheben können. SIGINT ist eine Form der anlasslosen und verdachtsunabhängigen Massenüberwachung.

Das Beschwerdeverfahren nennt sich «Signals Intelligence Redress Mechanism» und ist zweistufig.

Beschwerdeverfahren: «Signals Intelligence Redress Mechanism»

Betroffene Personen müssen ihre Beschwerde beim amerikanischen Director of National Intelligence (DNI) erheben.

Der DNI steht an der Spitze der zahlreichen Geheimdienste («Intelligence Community») in den USA, wozu die National Security Agency (NSA) gehört. Seine Behörde nennt sich Office of the Director of National Intelligence (CLPO) und ist unter anderem für die Prüfung von Beschwerden gemäss Privacy Shield 2.0 zuständig.

Das Ergebnis erinnert an Schrödingers Katze:

  • Die betroffenen Personen erfahren nicht, ob sie überwacht wurden oder nicht.
  • Den betroffenen Personen wird lediglich mitgeteilt, dass die Prüfung keine einschlägigen Rechtsverletzungen ergeben oder dass man angemessene Massnahmen gegen allenfalls festgestellte Rechtsverletzungen ergriffen habe.

So lautet die Regelung in der Executive Order:

«[…] the CLPO shall […] inform the complainant, […] without confirming or denying that the complainant was subject to United States signals intelligence activities, that ‹the review either did not identify any covered violations or the Civil Liberties Protection Officer of the Office of the Director of National Intelligence issued a determination requiring appropriate remediation› […].»

Danach kann von der betroffenen Person oder vom betroffenen Geheimdienst (!) eine Überprüfung durch den Data Protection Review Court (DPRC) verlangt werden.

Der DPRC ist allerdings kein Gericht, sondern ebenfalls Teil der amerikanischen Verwaltung. In der Schweiz würde man von einer Aufsichtsbehörde oder von einer Ombudsstelle sprechen.

Das Ergebnis beim DPRC ist genauso kafkaesk wie beim CLPO:

  • Die betroffenen Personen erfahren erneut nicht, ob sie überwacht wurden oder nicht.
  • Den betroffenen Personen wird lediglich erneut mitgeteilt, dass die Prüfung keine einschlägigen Rechtsverletzungen ergeben oder dass man angemessene Massnahmen gegen allenfalls festgestellte Rechtsverletzungen ergriffen habe.

So lautet die Regelung in der Executive Order:

«After a review is completed in response to a complainant’s application for review, the Data Protection Review Court […] shall inform the complainant, through the appropriate public authority in a qualifying state and without confirming or denying that the complainant was subject to United States signals intelligence activities, that ‹the review either did not identify any covered violations or the Data Protection Review Court issued a determination requiring appropriate remediation.›»

Dieses Pro-forma-Beschwerdeverfahren wird zu Recht kritisiert, unter anderem von Datenschutz-Aktivist Max Schrems.

Schrödingers Rechtsschutz: Schweiz als Vorbild?

Bemerkenswert ist an diesem Beschwerdeverfahren, dass es direkt aus der Schweiz kopiert worden sein könnte!

Wer beim grössten schweizerischen Geheimdienst, dem Nachrichtendienst des Bundes (NDB), Auskunft über seine Daten verlangt, erhält erst einmal grundsätzlich keine Auskunft.

Die Auskunft wird aufgeschoben, das heisst, die betroffene Person wird auf einen späteren Zeitpunkt vertröstet. Die betroffene Person erfährt nicht, ob überhaupt Daten über sie bearbeitet werden.

Die Rechtsgrundlage findet sich im Nachrichtendienstgesetz (NDG), wo insbesondere Art. 63 Abs. 3 einschlägig ist:

«Der NDB teilt der gesuchstellenden Person den Aufschub der Auskunft mit und weist sie darauf hin, dass sie das Recht hat, vom Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) zu verlangen, dass er prüfe, ob allfällige Daten rechtmässig bearbeitet werden und ob überwiegende Geheimhaltungsinteressen den Aufschub rechtfertigen.»

Eine betroffene Personen, die sich an den EDÖB wendet, erhält nach dessen Prüfung gemäss Art. 64 Abs. 2 u. 3 NDG bei einer aufgeschobenen Auskunft immer folgende Mitteilung:

«[Der EDÖB] teilt ihr mit, dass entweder in Bezug auf sie keine Daten unrechtmässig bearbeitet werden oder dass er bei der Datenbearbeitung oder betreffend den Aufschub der Auskunft Fehler festgestellt und eine entsprechende Empfehlung […] zu deren Behebung an den NDB gerichtet hat.»

Und:

[Der ËDOB] weist die gesuchstellende Person darauf hin, dass sie vom Bundesverwaltungsgericht verlangen kann, diese Mitteilung oder den Vollzug der Empfehlung zu überprüfen.»

Beim Bundesverwaltungsgericht, der zweiten Instanz gemäss Art. 65 NDG, ist das Ergebnis genauso kafkaesk:

«Das Bundesverwaltungsgericht führt auf Verlangen der gesuchstellenden Person die Prüfung nach Artikel 64 Absatz 3 durch und teilt ihr anschliessend mit, dass sie durchgeführt worden ist.»

Und:

«Kam es bei der Datenbearbeitung oder betreffend den Aufschub der Auskunft zu Fehlern, so richtet das Bundesverwaltungsgericht eine Verfügung zu deren Behebung an den NDB. Gleiches gilt, wenn die Empfehlung des EDÖB nicht befolgt wird. Dieser kann gegen diese Verfügung beim Bundesgericht Beschwerde führen.»

Wie der EDÖB oder das Bundesverwaltungsgericht ohne Mitwirkung der betroffenen Person ihre Prüfungen durchführen können, ist rätselhaft.

Die Mitteilungen von Geheimdienst, EDÖB und Bundesverwaltungsgericht sind gemäss Art. 66 Abs. 1 NDG «stets gleichlautend und werden nicht begründet».

Und gemäss Art. 66 Abs. 2 NDG ist kein Rechtsschutz vorgesehen:

«Sie können von den Betroffenen nicht mit einem Rechtsmittel angefochten werden.»

Wer sich jetzt fragt, ob die Schweiz ein Rechtsstaat ist, wird mit Interesse zur Kenntnis nehmen, dass das Bundesverwaltungsgericht in weiteren geheimen Verfahren als Genehmigungsbehörde für Überwachungsmassnahmen durch den Geheimdienst zuständig ist.

Das Bundesverwaltungsgericht entscheidet über «genehmigungspflichtige Beschaffungsmassnahmen» (Art. 27 ff. NDG) und über Aufträge für die Massenüberwachung mit der sogenannten Kabelaufklärung (Art. 41 NDG).

Kabelaufklärung ist der schweizerische Begriff für SIGINT, womit sich der Kreis zu den USA und dem «Signals Intelligence Redress Mechanism» schliesst.

Die Entscheide des Bundesverwaltungsgerichts sind geheim. Es handelt sich um eine «Form geheimer Kabinettsjustiz», welche der Justizöffentlichkeit entzogen ist (BGE 134 I 286).

Immerhin gibt es zwei wichtige Unterschiede zwischen dem Pro-forma-Rechtsschutz in der Schweiz und in den USA:

  1. In der Schweiz betreibt das Bundesverwaltungsgericht in Bezug auf den NDB zwar Geheimjustiz, ist aber nach schweizerischem Verständnis immerhin ein Gericht und keine Verwaltungsbehörde.
  2. In den USA soll ein «Special Advocate» im geheimen Verfahren vor dem DPRC die Interessen der betroffenen Person wahrnehmen, was in der Schweiz am Bundesverwaltungsgericht bislang nicht vorgesehen ist.

Mit dem «Special Advocate» vergleichbar ist die Forderung nach einem «Grundrechtsanwalt» in der Schweiz:

Ein «Grundrechtsanwalt» könnte die betroffenen Personen in Verfahren vor Zwangsmassnahmengerichten vertreten, wo diese aufgrund der Geheimhaltung nicht teilnehmen können. Eine solche Vertretung wäre auch denkbar in Verfahren im Zusammenhang mit dem Geheimdienst in der Schweiz.

Wirksamer Rechtsschutz: Welcher Massstab gilt für die USA?

Wir sitzen in der Schweiz offensichtlich im Glashaus: Die Schweiz ist genauso wie die USA ein ausgebauter und wachsender Überwachungsstaat.

Den betroffenen Personen wird in beiden Staaten erschwert, ihre Rechte wirksam zu wahren. Dabei pflegen die Schweiz und die USA eine enge Geheimdienst-Zusammenarbeit.

Kritik am Beschwerdeverfahren in den USA gemäss Privacy Shield 2.0 ist berechtigt. Wer in der Schweiz solche Kritik übt, muss aber – um glaubwürdig zu bleiben – auch das vergleichbare Verfahren in der Schweiz kritisieren.

Das gilt beispielsweise für Datenschutz-Aufsichtsbehörden, die sich kritisch zu den geheimdienstlichen Aktivitäten in den USA äussern. Doppelte Massstäbe sind fehl am Platz.

Das gilt auch für den Bundesrat, der voraussichtlich entscheiden muss, ob das Trans-Atlantic Data Privacy Framework aus schweizerischer Sicht wieder einen angemessenen Datenschutz in den USA gewährleistet. Auf den bloss pro forma gewährleisteten Rechtsschutz wird der Bundesrat nicht verweisen können, nachdem offensichtlich der direkt vergleichbare Pro-forma-Rechtsschutz in der Schweiz als «wirksam» gilt (Art. 8 Abs. 2 lit. d DSV).

Bild: Pixabay / Pexels, Public Domain-ähnlich.

4 Kommentare

  1. Ein wesentlicher Unterschied ist doch, dass in der Schweiz der Nachrichtendienst nicht einfach massenhaft das Internet überwachen darf. Die Kombination aus unbeschränkter Überwachungskompetenz der Geheimdienst und fehlendem Rechtsschutz macht aus, dass die USA nicht über ein gleichwertiges Datenschutzniveau verfügen.

        1. Viele Überwachungsmassnahmen sind ohne richterliche Genehmigung möglich. Dort, wo es eine richterliche Genehmigung braucht, handelt es sich normalerweise um geheime Pro-forma-Verfahren, die keinen wesentlichen Beitrag zum Schutz der betroffenen Personen leisten.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Felder mit * sind Pflichtfelder.