Mit David Rosenthal sprach ich für die «Datenschutz Plaudereien» ausführlich über das neue Data Privacy Framework (DPF) aus schweizerischer Sicht. Sind beim Daten-Export in die USA nun alle Probleme gelöst?
Das aufschlussreiche Gespräch kann in zwei Podcast-Episoden im Browser sowie über gängige Podcast-Apps und Podcast-Plattformen angehört werden. Die Podcast-Episoden werden durch ausführliche Shownotes ergänzt.
DAT158 Data Privacy Framework (Teil 1)
DAT159 Datenstandort Schweiz (Teil 2)
Ergänzende Informationen von David Rosenthal
Für jene Fälle, wo weiterhin eine Risikobeurteilung erforderlich ist, hat David Rosenthal ein One-Page Transfer Impact Assessment for the US veröffentlicht, dass den Daten-Export aus dem Europäischen Wirtschaftsraum (EWR) und der Schweiz in die USA abdeckt.
Grundlagen zum risiko-basierten Daten-Export in die USA und andere unsichere Drittstaaten liefert weiterhin die «FAQ on the Risk of Foreign Lawful Access and the Statistical ‹Rosenthal› Method for Assessing It» von David Rosenthal.
Viele weitere hilfreiche Materialien zum Daten-Export und anderen datenschutzrechtlichen Themen finden sich auf der Website von David Rosenthal.
Themen
Wir sprachen in den «Datenschutz Plaudereien» insbesondere über folgende Themen:
- Welche Probleme werden mit dem Data Privacy Framework gelöst?
- Was bedeutet diese amerikanisch-europäische Lösung für die Schweiz?
- Wann kommt das Data Privacy Framework auch für die Schweiz?
- Wie können Verantwortliche in der Schweiz schon heute das Data Privacy Framework nutzen?
- Wo werden Standarddatenschutzklauseln und Risikobeurteilungen weiterhin benötigt?
- Wie sind die neuen Rechtsmittel für betroffene Personen aus schweizerischer Sicht zu beurteilen?
- Welche Bedeutung hat ein Datenstandort in der Schweiz, gerade auch beim Amts- und Berufsgeheimnis?
- Wie lange hält das Data Privacy Framework?
David Rosenthal: Gespräch über das Risiko beim Daten-Export
Transkript
Das nachfolgende Transkript wurde mit dem AI-Dienst CastMagic automatisiert erstellt und das Ergebnis mit DeepL Write automatisch verbessert. Das Transkript kann Fehler enthalten und der Inhalt muss nicht dem tatsächlichen Gespräch entsprechen. Es gilt das gesprochene Wort.
Martin Steiger: Hallo, mein Name ist Martin Steiger. Mein heutiger Gast ist David Rosenthal. Ein Wiederholungsgast, ein sehr geschätzter Spezialgast. Mit David spreche ich heute über was? Über das Data Privacy Framework. David, herzlich willkommen. Wie sieht es mit dem Datenexport in die USA aus?
David Rosenthal: Wir werden sehen. Das Ganze war immer eine hochpolitische Angelegenheit. Es ist immer noch eine politische Sache. Aber ich glaube, dass jetzt etwas Ruhe einkehrt. Vielen Dank, dass ich wieder einmal bei Deinem hervorragenden Podcast zu Gast sein durfte.
Martin Steiger: Danke für die Blumen, David. Ich bin sicher, dass die meisten, die uns zuhören, davon gehört haben. Es gibt eine neue Lösung, sie nennt sich Privacy Shield 2.0. Aber David, ich bin sicher, du kannst das gut erklären. Was ist das Data Privacy Framework, das DPF? Das kommt wieder aus Europa.
David Rosenthal: Das ist sehr wichtig.Man muss zwei Teile unterscheiden.Der eine Teil war nie wirklich umstritten.Das ist eine Art freiwillige Erklärung, die amerikanische Unternehmen abgeben können, dass sie sich an die europäischen Datenschutzprinzipien halten.In den USA gibt es, auch wenn das jetzt langsam ein bisschen besser wird, eigentlich keinen wirklich breiten Datenschutz. Und dann können Unternehmen, das gibt es schon seit vielen Jahren, erklären, dass sie sich an die europäischen Datenschutzprinzipien halten. Das wird auch verfolgt, wenn sie das in den USA nicht tun. Dann können sie ein ähnliches Datenschutzniveau wie in Europa schaffen, was dann wiederum europäischen Unternehmen erlaubt, Daten in die USA zu schicken. Das ist der Teil, der nie wirklich umstritten war. Das ist auch das, was man das Data Privacy Framework als solches nennt. Was umstritten war, was vor einigen Jahren durch die Medien ging und seitdem immer wieder diskutiert wird, ist das, was man als Schrems 2 kennt. Das war eine Entscheidung des EuGH, des Europäischen Gerichtshofes der EU, wo man das eigentlich auch in der Schweiz als gültig angenommen hat, wo man im Prinzip gesagt hat, die Verträge und die Zusicherungen sind alle wunderbar, aber die NSA, der amerikanische Geheimdienst, der kümmert sich überhaupt nicht darum. Und die haben trotzdem Zugriff auf die Daten. Und wenn, dann in einer Art und Weise, die nicht den Standards entspricht, wie Daten in Europa geschützt werden sollen. Deswegen hat das Gericht gesagt, solange das Risiko besteht, werden die Daten nicht in die USA geschickt. Daran müssen sich alle halten. Das Problem war nie, ob die Unternehmen sich selbst an den Datenschutz halten, sondern dass die NSA mithört und das in einer Art und Weise macht, die für europäische Verhältnisse nicht akzeptabel ist. Und da gab es zwei Punkte, die im Mittelpunkt standen. Das eine war, dass die Amerikaner in ihren gesetzlichen Grundlagen, die sie natürlich auch haben, also es ist ja nicht so, dass sie gar nichts haben und dass das überhaupt nicht kontrolliert wird und so weiter, dass da keine Verhältnismäßigkeit drin steht. Das ist ein ganz wichtiger Grundsatz im europäischen Recht, im schweizerischen Recht, also sowohl im EU-Recht als auch im schweizerischen Recht, dass solche Zugriffe verhältnismäßig sein müssen. Ich gehe jetzt nicht auf die Details ein, da stehen andere Worte drin. Man kann darüber streiten, ob das verhältnismäßig ist. Aber auf jeden Fall steht da nichts drin. Das Zweite ist, dass die konkreten Zugriffe nicht einer gerichtlichen Kontrolle unterliegen, wie das zum Beispiel bei uns in der Schweiz der Fall ist. Da muss das Bundesverwaltungsgericht entscheiden, wenn jetzt zum Beispiel der Schweizer Nachrichtendienst, der Ähnliches macht, auf Daten zugreift. Und das hat es dort einfach nicht gegeben, weil das System dort ein bisschen anders ist. Ich habe das auch schon mal ausführlich beschrieben, vor einem Jahr in einer langen FAQ beschrieben, falls es jemanden interessiert. Was man jetzt gemacht hat, weil das natürlich dafür gesorgt hat, dass die Datenschützer auf die Barrikade gegangen sind und gesagt haben, es darf jetzt nichts mehr in die USA fließen. Und da, das sind ja die ganzen Entscheidungen, viele haben sicher von Google Analytics gehört, über viele andere Themen in der Cloud, haben die Amerikaner im Prinzip gesagt, na gut, lasst uns das klären und haben vor einem knappen Jahr eine sogenannte Executive Order, also das heißt Biden, Präsident, eine Executive Order herausgegeben. Das ist sozusagen, als Präsident kann er bestimmte Verordnungen machen. Und er hat gesagt, erstens nennen wir das Ganze jetzt verhältnismäßig, das ist die Vorgabe, und zweitens schaffen wir eine Art Gericht, wo Leute, die sich von der NSA betroffen fühlen, das von diesem Gericht beurteilen lassen können. Und das sind die beiden Probleme, die man gefunden hat, wenn man das, was in Dussau passiert ist, löst. Die Europäische Kommission und viele andere Stellen, die da auch irgendwie mitreden wollen oder müssen, haben sich das jetzt fast ein Jahr lang angeschaut und sind jetzt zu dem Ergebnis gekommen, dass das eigentlich okay ist. Was wir eigentlich alle erwartet haben, weil es so ein Pain war, zu sagen, das betrifft die USA, und die meisten haben gedacht, das ist eigentlich kein großes Problem, dass sie froh sind, dass wir jetzt eine Art von politischer Lösung gefunden haben für das, was ursprünglich schon als eigentlich politische Entscheidung geholt wurde. Und auch wenn es Leute gibt, die sagen, eigentlich ist es das ganze Papier nicht wert, was da drauf steht, haben jetzt alle gefunden, dass es eigentlich, oder alle, die jetzt im Moment darauf ankommen, haben es gefunden, dass es jetzt eine gute Lösung ist, zu sagen, ein Problem ist jetzt quasi vom Tisch. Und diese beiden Sachen, das Data Privacy Framework, also die Möglichkeit, sich selbst zu schützen, das ist ja auch eine gute Sache.
Martin Steiger: Ich fand das sehr verständlich, David. Vielen Dank.Vielleicht ein bisschen salopp gesagt: Man ermöglicht jetzt, dass amerikanische Unternehmen, wenn sie sich zertifizieren lassen, wenn sie also eine Selbstverpflichtung eingehen, dass das dann eben verbindlich ist, dass also nicht amerikanische Behörden ohne Weiteres kommen und diese Selbstverpflichtung aushebeln können.Das war aus meiner Sicht zum Teil ein Problem, dass man sagt, hey, wir machen Google oder es wäre immer schön und gut, was du alles für uns Europäer machen willst.Aber dann kommt ein böser amerikanischer Geheimdienst und alles ist wieder wertlos.Oder ist das zu einfach, David?
David Rosenthal: Nein, natürlich nicht, aber es ist noch besser. Einige tausend Unternehmen haben sich bisher zertifizieren lassen.Nicht alle können das.Viele z.B. für den konzerninternen Datenaustausch wird man das nie machen, das DPF, weil es doch sehr aufwendig ist.Aber die ganzen großen Cloud-Anbieter usw.Haben das. Aber der Vorteil, das Schöne an dieser Lösung ist, dass sie nicht nur für die Unternehmen gilt, die einem DPF unterliegen, die sich selbst zertifizieren, sondern sie gilt eigentlich für alle Datenübermittlungen, aber im Moment nur aus dem EWR. Das ist im Moment für uns in der Schweiz noch ein Problem. Aber auch das wird sicher bald gelöst werden.
Martin Steiger: Was die Schweiz betrifft, ist es immer noch spannend. Es gibt jetzt die neue Website dataprivacyframework.gov. Dort finden wir die Liste dieser zertifizierten Unternehmen.Das ist eigentlich mehr oder weniger eine Privacy Shield Liste.Das war der Vorgänger des Data Privacy Framework und vor allem noch Safe Harbor.Das war eben die Schrems Rechtsprechung, die du angesprochen hast.Im Moment sind für die EU knapp 2500 Verantwortliche zertifiziert, für die Schweiz knapp 1900 Verantwortliche. Und, das ist neu, das haben viele, glaube ich, noch nicht mitbekommen, die UK ist auch mit an Bord. Dort sind es aber erst etwa 160 zertifizierte Unternehmen. Aber das wird sich jetzt sicherlich schnell ändern. Das ist alles neu. Die Schweiz ist jetzt auf dieser Seite. Viele haben das bisher als europäisches Thema wahrgenommen. Aber wenn man dort liest, dann steht dort, ja, die Schweizerische Bundesverwaltung war auch beteiligt. Man hat sich bemüht, eine neue Lösung zu finden. Aus Schweizer Sicht hat man erstaunlich wenig davon mitbekommen. Im Parlament wurde einmal ein bisschen darüber gesprochen. Der EDÖB hat sich kürzlich dazu geäußert. David, was ist passiert? Wie ist der Stand?
David Rosenthal: Die Schweiz war in diesen Fragen immer sehr zurückhaltend. Aber es ist ja nicht so, dass wir nur Copy & Paste machen. Faktisch natürlich schon. Warum sollte man das Rad neu erfinden?Aber es war immer auch ein diplomatischer Austausch zwischen der Schweiz und den USA, und das betrifft nicht nur das EIDO, sondern auch andere Teile der Verwaltung.Das heißt, es gab in der Vergangenheit zum Teil auch kleine Abweichungen, aber das Ganze ist etwas, was natürlich auch länderspezifisch ist.Es ist nicht nur eine einseitige Geschichte.Das ist genau das Problem, das wir im Moment in dieser Übergangsphase noch haben. Es ist immer noch so, dass die USA sagen, alle diese Zusicherungen gelten nur für die Staaten, die wir, die USA, wiederum anerkennen. Dann muss das Land natürlich auch bestimmte Prüfungen bestehen. Es muss zum Beispiel einen angemessenen Datenschutz nachweisen. Das mag jetzt belächelt werden, aber die Amerikaner wollen das natürlich so. Und wollen das im Prinzip auch nur machen, wenn man sozusagen Gegenrecht bietet. Also das heißt, wenn die Schweiz jetzt sagen würde, nein, die USA kommen gar nicht in Frage, dann würden sie auch nicht davon profitieren. Und worauf wir jetzt im Moment noch warten, und was die EWR schon hat, ist, dass wir von den Amerikanern als qualifizierender Staat unter diesen Zusicherungen, also dass wir quasi wie wir sind, dass wir in die Länder aufgenommen werden, die quasi von diesem neuen, vor allem von diesem neuen Gericht profitieren können. Und das wiederum bedeutet, weil man da nicht einfach direkt hingehen kann, sondern immer über Organisationen, in der Schweiz wird das der schweizerische E-Dub sein, der eigene Datenschutz- und Öffentlichkeitsbeauftragte, über eine Behörde in dem jeweiligen Land gehen muss, wenn man hier quasi vor diesem Gericht klagen will, muss die Schweiz da auch etwas machen. Ob dann das Data Privacy Framework als solches in einem konkreten Fall zur Anwendung kommt, spielt nicht so eine Rolle. Also, wir müssen das klar unterscheiden. Auf der einen Seite haben wir die Zusicherungen der USA, wo wir nur darauf warten, dass die Schweiz anerkannt wird, und das wird nur passieren, wenn sich die Schweiz mit den USA einigt. Deshalb müssen sich die Behörden einigen. Wenn wir das haben, dann ist das Thema NSA sozusagen wieder vom Tisch. Und das Zweite, was die Amerikaner aber natürlich von der Schweiz erwarten, ist, dass die Schweiz genauso wie die Europäische Kommission, also bei uns in der Schweiz wird das der Bundesrat sein, dass er quasi Übermittlungen an Firmen, die nach dem Data Privacy Framework zertifiziert sind, als Übermittlungen in ein Land mit angemessenem Datenschutz betrachtet. Genau so, wie wenn das Unternehmen in Deutschland, Irland oder Holland wäre. Das muss der Bundesrat machen. Der Qualifying State kommt etwas früher, das wird irgendwann in den nächsten Wochen oder Monaten kommen. Der zweite Schritt muss sein, dass der Bundesrat kommt und sagt, wir akzeptieren jetzt, wir halten Übermittlungen an Firmen, die zertifiziert sind, unter diesem Framework für angemessen. Die Tatsache, dass ein Unternehmen jetzt nach diesem Rahmenwerk zertifiziert ist, ändert noch nichts. Das ist einfach noch etwas, was dann im konkreten Fall gemacht werden muss. Und da hat man einfach, weil sich das Data-Privacy-Framework inhaltlich nicht groß verändert hat, einfach das übernommen, was bisher da war. Und ich meine, es gibt ein paar Anpassungen, aber es läuft eigentlich nach dem gleichen Schema weiter. Das war auch bisher mehr oder weniger unumstritten. Also, es ist alles ein bisschen kompliziert, aber die gute Nachricht ist, wenn die Schweiz das macht, und ich gehe fest davon aus, dass das kommen wird, dass man dann eigentlich die ganzen Probleme mit den Übermittlungen in die USA mehr oder weniger, die wir in den letzten Jahren hatten, durch die neue GH-Allokation für den Zeitraum, den ich vorhin gesagt habe, hat.
Martin Steiger: Du hast gesagt, dass der Bundesrat zuständig ist. Das ist etwas Neues mit dem neuen Datenschutzgesetz am 1. September 2023. Dass wir einen Angemessenheitsbeschluss des Bundesrates haben. Also so ein bisschen nach dem Vorbild der Europäischen Kommission. Bisher gibt es die Edebleiste, wo man einfach guten Glaubens ist, wenn ein Land oder ein Bereich des Landes drauf steht. Also auch da mal schauen, wie schnell das geht.Ich bin auch gespannt.Ich hoffe natürlich, dass es schnell geht und eigentlich sollte es funktionieren.Was jetzt immer ein großes Thema ist, ist die rechtliche Absicherung.Du hast das auch schon angesprochen, ich habe auch mal darüber gebloggt. Rechtsschutz ist schon interessant. Ich habe gesagt, ja, das ist so ein bisschen Schrödingers Rechtsschutz nach Schweizer Vorbild. Weil der Rechtsschutzmechanismus, den wir jetzt hier für die Betroffenen in Europa haben, erinnert sehr stark an den Rechtsschutz, den wir in der Schweiz im Bereich der inneren Sicherheit haben. Nämlich, dass man sich zuerst an die Behörden wendet, die dann vielleicht keine Auskunft geben oder nichts prüfen. Dann kann man zu EDEP gehen und zu einer weiteren Instanz, dem Bundesverwaltungsgericht. David, haben wir das wirklich bei uns abgeschaut oder ist das Zufall?
David Rosenthal: Ja, das weiß ich natürlich nicht. Es ist aber auch so, dass natürlich die Konstruktion, die wir in der Schweiz haben, der Grund ist, dass ein Nachrichtendienst, nicht einfach wie in einer anderen Behörde, sich in die Karten schauen lassen will. Ich muss aber auch sagen, dass das Verfahren in der Schweiz, wo sozusagen der Edep, also wenn man das Gefühl hat, der Nachrichtendienst macht etwas nicht richtig, dann kann man zum Edep gehen und der schaut sich das dann sozusagen stellvertretend an und fragt nach, der schaut sich das dann sozusagen stellvertretend für die Betroffenen an und sagt dann natürlich nicht, was er gesehen hat, sondern er sagt, entweder ist alles in Ordnung oder wenn es nicht in Ordnung war, habe ich das korrigiert. Das ist ein Mechanismus, den wir schon immer hatten. Ich glaube, es wäre vermessen zu sagen, die Amerikaner haben das auch bei uns abgeschaut. Aber dieser Mechanismus ist immer als europarechtskonform angesehen worden.Es ist immer die Frage, wie wird es dann tatsächlich ausgegeben und was passiert.Wobei man natürlich wissen muss, dass es auch in den USA nicht so ist, dass die NSA einfach machen kann, was sie will.Es gibt in den USA eine sehr starke Bürgerrechtsbewegung, wo zum Teil, wenn ich das mit europäischen Verhältnissen vergleiche, viel mehr Informationen auch offengelegt werden, was die NSA und andere machen.Da gibt es riesige Anhörungen. Ich habe mich selber durch das ganze Zeug durchgekämpft, wo man Details nachlesen kann, die man in der Schweiz oder in anderen europäischen Ländern nicht unbedingt sieht. Das ist etwas, was natürlich auch in den USA, wo auch das Verständnis immer mehr wächst, dass man dort ein bisschen Checks and Balances haben muss. Im Übrigen gibt es auch in den USA immer mehr Datenschutzgesetze der Bundesstaaten, die durchaus streng sind und die man verfolgen muss.
Martin Steiger: Ich glaube, das wird immer noch unterschätzt. Man tut immer so, als wäre es keine Datenschutzexistenz. Ich habe das Gefühl, es ist viel transparenter. Man kann über amerikanische Dienste mehr herausfinden als über Schweizer Geheimdienste, Schweizer Behörden. Das Beschwerdeverfahren haben wir nicht nur bei Geheimdiensten, sondern auch beim Bundesamt für Polizei. Ich habe das schon durchgespielt, es ist frustrierend. Es ist Kraftkrebs, darum auch Schrödinger, das Katze. Du weisst nicht, was gilt. Woher will der EDEP wissen, was jetzt stimmt oder was nicht? Also ich will jetzt Medienbundes im Team nichts unterstellen, aber die haben keine Informationen. Als betroffene Person kannst du Informationen nicht liefern. Also noch speziell, aber eben auch interessant aus Schweizer Sicht. Zumal das ja auch der Punkt sein könnte, der dann vom OIGH wieder geprüft wird. Vielleicht in Form von Schrems 3, was ja auch erhebliche Auswirkungen auf die Schweiz hat. Max Schrems sagte, er wüsste schon, wie das in der Schweiz sei. Das sei auch unbefriedigend, aber die Schweiz sei zu wenig wichtig, damit er dort auch noch Kanonen auf uns richten könnte. Da sind ja die meisten von uns nicht unglücklich, dass es da nicht noch ein Max-Schrems-Thema bei uns gibt. Ja, David, wenn wir schon in der Schweiz sind, schauen wir doch mal hin. Jetzt bin ich verantwortlich in der Schweiz, ich nutze Cloud-Dienste in den USA, habe ich sonst Datenexport direkt oder vielleicht auch indirekt. Was mache ich jetzt mit dem neuen Data Privacy Framework? Weil du gesagt hast, wir haben es ja noch nicht, das kommt im Idealfall irgendwann. Aber heute, was muss ich jetzt machen?
David Rosenthal: Es gibt also so etwas wie verschiedene Körbe, in die die Fälle fallen. Wenn wir in ein paar Monaten, und das wird, sage ich mal, die Anerkennung haben, dann wird der erste Schritt sein, dass der Verantwortliche schaut, ob die Person, die er in die USA überträgt, unter dem Data & Privacy Framework ist. Und wenn sie das ist, dann wird allein die Tatsache, dass sie in den USA ist, nicht mehr das Problem sein. Weil das wird dann vom Bundesrat anerkannt sein und damit ist dieser Teil eigentlich erledigt. Aber die Unternehmen werden trotzdem Verträge mit diesen amerikanischen Unternehmen abschließen müssen. Das darf man nicht vergessen. Es ist nicht einfach alles in Ordnung.Die meisten Fälle werden Provider sein, die man nutzt.Und dann muss ich immer noch Verträge abschließen.Und ich gehe davon aus, dass die meisten weiterhin die Verträge abschliessen, die sie in der Vergangenheit ohne Data Privacy Framework abgeschlossen haben, nämlich die EU-SCC, die Standardklausel der Europäischen Kommission mit den Schweizer Anpassungen.Und die haben sich bewährt, und ich glaube auch, dass die meisten das weiter machen werden, weil sie sich nicht darauf verlassen wollen, dass, wenn das Ding wieder kippt durch das vorhin erwähnte Schrems-Urteil des EuGH, sie dann wieder ins Leere laufen. Diese Erfahrung haben sie schon einmal gemacht und sie haben daraus gelernt, dass sie weiterhin die Standardvertragsklauseln verwenden werden. Aber rechtlich läuft es dann quasi wie unter dem Data Privacy Framework. Das wird bei allen großen Cloud-Anbietern so sein. Und dann bin ich eigentlich geschützt. Dann mache ich den Vertrag, aber ich muss nicht mehr die mühsame Geschichte machen oder die Transfer Impact Assessments, die Abklärung nach US-Recht, womit die meisten sowieso völlig überfordert sind, sind damit übrigens auch die Datenschutzbehörden. Wenn das Unternehmen nicht unter das Data Privacy Framework fällt, was z.B. bei allen Konzernen der Fall sein wird. Die meisten haben eine Niederlassung in den USA und schicken dann Personaldaten oder andere Dinge, dann haben sie das nicht. Da werde ich weiterhin die EU-SCC, also die Standardvertragsklauseln verwenden, die sind voll akzeptiert, die kennt man gut, da gibt es seit 2021 neue mit einem Schweizer Zusatz. Und da ist die Voraussetzung, dass ich eben das mache, was ich gerade gesagt habe, dieses Transfer Impact Assessment. Das heißt, hingehen und prüfen, gibt es ein Problem mit den lokalen Behörden, dass sie auf die Daten zugreifen können und dass es um vertragliche Zusicherungen geht und in einer Art und Weise, die nicht dem europäischen Rechtsverständnis entspricht. Und diese Prüfung muss ich noch machen. Es gibt ja auch Übermittlungen in ganz viele andere Länder. Gerade die Konzerne übermitteln ja in alle möglichen Länder. Da gibt es Länder, die sind viel schlimmer als die USA. Die müssen das weiter machen. Die müssen das pro forma auch für die USA machen. Wenn man nicht unter dem Data Privacy Framework ist, kann man nicht von dem Beschluss des Bundesrates oder der Europäischen Kommission profitieren, den du vorhin erwähnt hast. Man muss selbst beurteilen, ob das mit den USA in Ordnung ist oder nicht. Mit den USA oder nicht. Da kann man es dann so machen, dass man im Prinzip eigentlich sagt, ich muss jetzt nicht eine riesige rechtliche Abklärung machen, sondern ich lese das jetzt vom Bundesrat oder von der Europäischen Kommission. Das werden die meisten machen und sagen, das leuchtet eigentlich noch ein. Das ist ja ganz erstaunlich, dass das alles in Ordnung ist. Das dokumentiert man dann und damit hat man es sozusagen gemacht. Formell muss man das noch machen, die EU und die SAC verlangen das formell, aber für die USA wird die Antwort eigentlich klar sein. Für die meisten. Klar, es gibt Leute wie Schrems, die finden auch, egal was die Kommission sagt, die finden es trotzdem nicht in Ordnung. Und es wird Leute geben, die das nicht in Ordnung finden. Aber die meisten, sage ich jetzt mal, werden es sich einfach machen und werden es so machen. Für alle, die es so machen wollen, aber trotzdem dokumentieren wollen, habe ich auch schon einen One-Pager vorbereitet, wo man genau diese Gedankenschritte hat. Das kann man dann hinterher dokumentieren und das ist in Ordnung. Geht aber davon aus, dass die Schweiz ein Qualifikationsstaat ist, dass das Ganze auf den Weg gebracht ist, dass das passiert ist. Also in ein paar Monaten ist es so weit, davon gehe ich jetzt aus. Bis dahin geht es nicht. Bis dahin geht es weiter wie bisher. Da muss man eigentlich die ganzen Prüfungen machen, weil die Zusicherungen dort nicht gelten. Bisher hat man das so geprüft, dass man geschaut hat, wie wahrscheinlich ist es eigentlich, dass nach amerikanischem Recht der Zugriff überhaupt möglich ist. Und da weiß man auch, auch wenn die Datenschützer das immer bestritten haben, aber ohne sie, auf das Thema gehen wir jetzt ein.
Martin Steiger: Wir werden sicherlich noch das eine oder andere aus dem Prozess heraus lesen können. Wir haben jetzt in der neuen Datenschutzverordnung die Anlage 1 mit dieser Startliste. Diese Startliste gibt es schon. Also da hat man die EDIB-Liste eigentlich schon abgelöst, seit man sie veröffentlicht hat. Aber der EDIB wird vom Bundesrat angehört. Was ich aber noch spannend finde in der Verordnung, da steht schon drin, dass die Einschätzung von internationalen Gremien oder ausländischen Datenschutzbehörden berücksichtigt werden kann. Da haben wir schon das Copy and Paste aus Europa. Das ist für Einwall, glaube ich, recht vorausschauend geregelt.Und die Bewertung wird auch veröffentlicht, also das ist auch spannend.Der dritte Fall, den du geschildert hast, quasi Datenexporte in die USA über Europa, das leuchtet mir natürlich auch ein, da haben wir jetzt schon eine Lücke, weil die Länderlisten nicht identisch sind mit den Angemessenheitsentscheidungen. Also Japan, Südkorea, da haben wir schon die Lücke.Jetzt ist es logisch, dass die meisten Schweizer sagen, ja, ich exportiere keine Daten nach Japan oder Südkorea. Wobei gerade Südkorea, also Samsung, da vergisst man gerne, wie viele Daten aus der Schweiz dorthin fließen. Die Firma übrigens auch, mit den ganzen Smart-TVs und so in den Büros. Aber daran sind wir gewöhnt. Also David, alles in allem sieht es sehr gut aus.
David Rosenthal: Ja, also ich glaube, es war ein großes Aufatmen, auch bei den Datenschützern, weil wahnsinnig viel Geld in eine Diskussion gesteckt wurde, die eigentlich die meisten Leute nicht verstanden haben. Was ist der Sinn? Warum macht man diesen Mist? Am Ende war es sogar so, dass die Datenschützer, die haben ja selber off the record, fast alle, gesagt haben, das macht keinen Sinn. Wir haben uns hier irgendwo in eine Ecke manövriert mit dieser NSA-Geschichte und haben dann angefangen, eine neue Rechtsschule zu geben und so weiter. Also, eigentlich sind alle froh, dass wir jetzt irgendwie eine Lösung haben, mit gewissen Ausnahmen, das ist ja schon erwähnt worden. Das heißt, man kann natürlich darüber diskutieren, ist das jetzt wirklich, wirklich richtig? Ist das ausreichend? Soll man das durchsetzen?Das ist eine Diskussion, die man führen kann und wird und auch führen sollte.Und da wird es natürlich Leute wie Max Schrems geben, die das möglicherweise angreifen werden.Zumindest hat er das schon angekündigt.Und dann werden wir sehen, wie die Reue G.H. sich entscheidet, die Reue G.H. sich wieder dagegen entscheidet, was denkbar ist. Das heißt dann, in ein paar Jahren stehen wir wieder da, wo wir jetzt stehen. Aber ich sage mir, das sind ein paar Jahre, in denen man sich auf die wirklichen Probleme des Datenschutzes konzentrieren kann, z.B. die ganzen Fragen der Datensicherheit. Ich persönlich habe viel mehr Angst vor dem Hacker, wenn man sich anschaut, was in letzter Zeit im Bereich der Datensicherheit passiert ist. Du hast das auch schon angesprochen. Wie vor der NSA, bei der wir zwar nicht genau wissen, was die genau machen, aber die haben doch gewisse Regeln, die man eigentlich kennt. Bei den Hackern kennt man die Regeln nicht und da weiß man nicht, was passiert und wo der nächste Vorfall ist. Und da macht es Sinn, dass wir das Geld, das wir im Datenschutz haben, nicht für solche Dinge ausgeben. Auch wenn wir als Leute vom Datenschutz bis zu einem gewissen Grad von solchen Dingen profitieren. Ich habe dazu auch einiges veröffentlicht, aber ich glaube nicht daran. Was natürlich nach wie vor ein Thema ist, und das darf man auch nicht vergessen, dass es natürlich Bereiche gibt, wo der Zugriff von ausländischen Behörden per se ein Problem ist. Also mit dem haben wir jetzt quasi wieder Datenschutz geregelt, normale Daten, das, was wir jetzt alle sonst auch machen. Aber alles, was jetzt irgendwo in Richtung Berufsgeheimnis oder Amtsgeheimnis geht, ist damit natürlich überhaupt nicht geregelt. Das heißt, alles, was jetzt irgendwie von Anwälten über Krankenhäuser, über Behörden, über Banken zum Beispiel in die Cloud geht, die werden weiterhin schauen müssen, dass nicht nur die NSA darauf zugreift, sondern auch die deutschen Strafverfolgungsbehörden, die Engländer, die Amerikaner. Das ist natürlich alles nicht vom Tisch. Und da wird man nach wie vor bewerten müssen, wie wahrscheinlich das ist. Ich habe mich jedenfalls sehr gefreut, dass jetzt endlich auch die Europäische Kommission dem Unsinn, der hier erzählt wird, dass zum Beispiel so etwas wie der Cloud Act ordnungswidrig wäre, Einhalt geboten hat. Also das Prinzip des Schweizer Rechts, wie es sprechen würde, einfach mal gesagt, das ist jetzt einfach nicht richtig. Weil es natürlich in jedem Land Regeln gibt, wie Behörden auf Daten zugreifen können. Und wir haben in der Schweiz Dinge, die weit über den Cloud Act hinausgehen. Und da hat niemand ein Problem in dem Sinne. Aber das ist so ein bisschen ein Grundproblem dieser Geschichte. Es gibt wahnsinnig viele Emotionen und eine sehr unsachliche Diskussion in diesem Bereich. Und da ist es gut, dass das ein bisschen zurückgedrängt wurde.
Martin Steiger: Das wird sicher interessant. Ich glaube, dass viele in Europa im Bereich des Datenschutzes gar nicht so unglücklich darüber waren, dass man sich auf das Thema Datenexport konzentriert hat. Es gibt nicht nur die USA als wichtigstes Land, es gibt nicht nur Meta-Google und so weiter. Das könnte auch für die verantwortlichen Datenschützer unangenehm werden, wenn z.B. die Aufsichtsbehörden wieder Ressourcen für andere Themen haben. Teilweise waren sie mit dem USA-Thema aufgrund von Beschwerden etc. regelrecht überbeschäftigt. Bei der Gelegenheit, auch mit dem Datenexport, was häufig angesprochen wird, ist der Datenstandort. Auch natürlich bei Berufsgeheimnisträgern, bei Behörden, aber generell wird häufig diskutiert, sind die Daten in der Schweiz, in der EU, in den USA oder an beiden Orten? Wie sieht es mit dem Zugang aus? Kannst du dazu etwas sagen? Wie ist die Situation aus deiner Sicht?Wo sind die Daten im Idealfall?Kommt es darauf an?
David Rosenthal: Ja, das kommt darauf an. Das hat auch wieder mit dem Behördenzugriff zu tun. Weil, was man sich oft nicht bewusst macht, ist, dass gerade im Gegensatz zu einem Hacker, der zugreift, die Behörden, die zugreifen, sich an Regeln halten müssen. Jetzt gibt es natürlich das Totschlagargument, wo ich immer höre, die Amerikaner halten sich an keine Regeln. Also können wir es lassen. Aber das ist, glaube ich, nicht richtig. Und wir reden hier von zivilisierten Ländern, wo es solche Regeln gibt. Und diese Regeln sehen insbesondere auch grenzüberschreitende Zugangsbeschränkungen vor. Deswegen war relativ früh klar, dass die Speicherung in der Schweiz, auch wenn der Zugriff aus dem Ausland in einer Cloud-Umgebung erfolgen kann, weil die ganzen großen Anbieter eigentlich ausländische Unternehmen sind, dass das eine Rechtswirkung, eine Rechtsschutzwirkung hat. Das ist nicht bulletproof, das ist nicht absolut sicher, aber es ist ein Element und es ist letztendlich immer eine Kombination von Schutzmassnahmen, die man hat, um vielleicht nicht technische Zugriffe, aber rechtlich zulässige Zugriffe aus Sicht dieser Behörden zu verhindern.Die Deutschen zum Beispiel auch.Wenn die zugreifen wollen, gibt es sehr genaue Regeln, wann eine Behörde auf Daten im Ausland zugreifen darf. Die sind sehr restriktiv. In manchen Fällen kann man zwar den technischen Zugriff aus einem anderen Land, zum Beispiel aus Deutschland, Steuerbehörden, Steuerfahndung, nicht auf diese Art und Weise einschränken, aber sie stehen rechtlich dahinter. Und das reicht. Deshalb ist es wichtig, dass sensible Daten, wenn sie gespeichert werden, in der Schweiz aufbewahrt werden. Das heisst aber nicht, dass keine Bearbeitung im Ausland stattfinden kann. Denn die problematischen Zugriffe, von denen wir sprechen, von ausländischen Behörden, wir sprechen jetzt nicht von Hackern und so weiter, sondern einfach von Fällen, die nach den dortigen Regeln Zugriff haben. In diesen Fällen geht es immer um den Zugriff auf ruhende Daten. Es ist nicht so, dass die Daten in den Leitungen mitgelesen werden. Aber das machen wir mit Verschlüsselung. Da sind sich die meisten einig, dass das einigermaßen in Ordnung ist. Das Szenario, das wir haben, ist ja immer, dass eine ausländische Behörde sagt, ich möchte, dass der Provider diese Daten X herausgibt. Das heißt, es ist immer ein Zugriff auf ruhende Daten. Es ist nicht die Herausgabe, während sie übertragen werden. Wir müssen uns mit den Abwehrdispositiven auf die ruhenden Daten konzentrieren. Wir müssen also dafür sorgen, dass sie in der Schweiz sind. Wenn die Daten kurz über die Grenze gehen, dann können sie vielleicht unterwegs abgehört werden, aber dafür haben wir die Verschlüsselung, aber einfach dort, dass jetzt, genau in diesem Moment, die Staatsanwaltschaft auf diese Daten zugreift, das ist unrealistisch. Und das wird auch nicht behauptet, sondern es ist immer der Zugriff auf die ruhenden Daten. Übrigens auch in den USA, die NSA-Geschichte ist ja nicht das Abschöpfen, das gibt es auch, aber das ist ein Thema, das technisch unter Kontrolle ist, sondern es ist der Zugriff auf Daten, die in einem Account liegen. Und das ist eben ein wichtiges Element. Es ist nicht das einzige Element, sondern es gibt auch andere rechtliche Kniffe sozusagen, um ausländischen Behörden den Zugriff auf die Daten rechtlich zu verwehren. Und das sind genau die Dinge, die wir in all diesen Projekten evaluieren. Und das haben auch die Provider gemerkt. Deshalb werden sie immer stärker, die großen Cloud-Provider, auch die Datenspeicherung oder sogar die Datenverarbeitung in der Schweiz oder zumindest in der EU zu ermöglichen und sicherzustellen und zu garantieren. Das ist absolut das Geheimnis dieser Anbieter. Aber das führt immer mehr, abgesehen auch von den Kapazitäten, dass das hierher kommt. Ein Beispiel, das wir jetzt diskutieren, sind die ganzen KI-Modelle, die wir jetzt auch pflegen. Aber ich glaube, das ist das erste Zeichen, das die Kunden gesehen haben, dass diese Sachen auch in der Schweiz verfügbar sind. Dass man das hier aufbauen kann, das ist eine reine Kapazitätsfrage, eine Frage des kommerziellen Interesses. Wenn das groß genug ist, dann haben wir diese Ressourcen auch hier.
Martin Steiger: Bei den KI-Modellen ist es so, dass es immer mehr Dinge gibt, die man selbst hosten kann. Also Open Source 10 allein, da hat man sicherlich viele Möglichkeiten. Und letztendlich sind meine Daten aus rechtlicher Sicht, sind die EModelle auch nur eine Verarbeitung von personenbezogenen Daten. Das sage ich einfach mal so. Europa, EWR, das mit dem Schweizer Datenstandard macht durchaus Sinn. Aber oft ist es so, dass man die Schweiz vielleicht nicht zur Auswahl hat oder aus verschiedenen Gründen nicht verwenden kann. Ist dann EWR gut genug? Das ist die Praxis, in der man letztendlich lebt.
David Rosenthal: Also in den Bereichen Berufsgeheimnis und Amtsgeheimnis muss man ein bisschen unterscheiden, von wem man spricht. Wenn wir jetzt von einem Krankenhaus sprechen, dann sehe ich eigentlich mit dem EWR kein wirkliches Problem. Wenn wir jetzt von einem Anwalt sprechen, dann hätte ich jetzt gesagt, weil die meisten Washingtoner sich auf die Schweiz beziehen, obwohl das Anwaltsgeheimnis auch in den anderen Ländern eigentlich eines der am besten geschützten Länder ist, auch in den USA, wenn wir jetzt von einer Behörde sprechen, dann hätte ich jetzt gesagt, Schweiz. Wenn ich jetzt von ganz vielen anderen Anwendungen spreche, spielt die Schweiz oder die EU oder der EWR, muss man sagen, keine Rolle. Es ist sogar so, dass wir in vielen Fällen, wo wir zum Beispiel in den Verträgen keine besonders guten Haftungsregelungen haben, uns eigentlich zum Teil darauf stützen, dass wir bei einem Anbieter im EWR möglicherweise eine Datenschutzaufsichtsbehörde haben, die ihm noch viel mehr Angst macht als unsere Haftungsregelung. Auch darüber sollten wir uns im Klaren sein. Wenn ich einen Provider in Deutschland oder in Irland habe, wo er damit rechnen muss, dass WNR es mit der Datensicherheit nicht im Griff hat oder im großen Stil Dinge macht, und das ist dann schnell im großen Stil und in Ordnung, dass er dann wirklich von den Datenschutzbehörden zittern muss. Und ob er dann auch von der Schweizer Edep zittern muss, das ist für mich eine andere Frage. Da ist es mir viel lieber, wenn eine der starken Datenschutzbehörden in der EU sozusagen den Hut aufhat, wenn es so ein Problem gibt. Das sorgt dann auch für eine ganz andere Durchsetzung. Deswegen haben wir manchmal sogar einen Vorteil davon, wenn wir solche Provider haben. Aber das darf man dann zum Teil auch nicht zu laut sagen. Aber ich glaube, für die meisten Fälle ist der EWR gut genug. Die Datenschützer haben dort eigentlich auch nicht das Problem. Und wenn man sich so Anbieter wie Microsoft anguckt, die haben im ersten Jahr angefangen zu versprechen, dass ihre Daten quasi auch nur innerhalb des EWR verarbeitet werden. Wobei das «nur» immer grundsätzlich zu verstehen ist, also mit Ausnahmen. Und die anderen Anbieter ziehen da auch mit. Und das ist so ein genereller Trend und ich denke, für die Schweiz wird das in Ordnung sein.
Martin Steiger: Ich finde es spannend, weil ich zwischen privaten und öffentlichen Trägern unterscheide. Als privater Verantwortlicher kann ich mit Zustimmung arbeiten. Was wir auch sehen, ist, dass wir als Anwälte eine neue Standesregel haben. Wir haben eine Vermutung, dass, wenn genügend Cloud-Anbieter in den EFTA-Staaten sind, also in der EU, in der Schweiz, in den ganzen EWR-Staaten, die dazukommen, und im Vereinigten Königreich, dass man vermutet, dass das in Ordnung ist. David, ich glaube, ich habe jetzt vor allem von dir erklärt, dass wir wirklich so gut unterwegs sind, wie viele denken. Aber du bist jetzt nicht arbeitslos, du bist jetzt auch zu Recht bekannt geworden für die Methode Rosenthal. Wir haben auch schon darüber gesprochen, für das Transfer Impact Assessment. Auch da ist jetzt deine OnePage schon erwähnt, ich verlinke das auch gerne. David, zum Schluss, was müssen wir jetzt eigentlich noch wissen? Was möchtest du unseren Zuhörern und Zuhörerinnen eigentlich noch mitgeben, jetzt zum Thema Datenexport in die USA?
David Rosenthal: Etwas, was viele Leute, die auf dem Cloud-Act sitzen, nicht realisiert haben, ist, dass UK, also im Vereinigten Königreich, wie es richtig heißt, einen Deal mit den USA gemacht haben, dass die USA dort direkt auf die Daten zugreifen können. Das heißt also, wenn wir jetzt zum Beispiel darüber reden, wie sicher ist die UK und man hat wirklich eine Angst, ein Unternehmen, vor dem Cloud-Act, dann wäre für mich zum Beispiel die UK nicht mehr wirklich eine Wahl. Es ist spannend, dass die EU auch mit solchen Ideen liebäugelt. So ähnliche Sachen zu machen. Wir werden sehen, was passiert. Ich glaube, für die Leute hier noch ein paar Monate oder Wochen, ich weiß nicht wie lange, durchhalten. Und sich dann mehr auf die anderen Themen konzentrieren, weil das US-Thema weg ist. Trotzdem muss man schauen, und das gilt zum Beispiel auch für die ganzen Cloud-Diskussionen mit den Behörden, dass ich wirklich auf der einen Seite zwar die Verträge richtig habe und den Standort, aber es gibt noch so viele andere Themen, wo man im Bereich der Cloud-Nutzung schauen muss, wenn man das jetzt als häufigsten Fall sieht. Dass dieses Thema des Datentransfers in Thursa an Bedeutung verloren hat. Da geht es um Datensicherheit, wie habe ich meine Abhängigkeit im Griff. Wenn alle Daten weg sind, habe ich Backups, habe ich eine Alternativlösung, habe ich mir das überlegt? Solche Fragen, die, glaube ich, wieder an Bedeutung gewinnen. Die Leute machen sich mehr Gedanken darüber, Abhängigkeitsfragen. Ich habe das auch schon in einem Podcast diskutiert. Das sind auch die Bereiche, wo wir uns mehr Gedanken machen. Das ist eigentlich die positive Entwicklung. Wenn man mich fragt, ob das Data Privacy Framework kommen wird oder nicht, kann ich das nicht sagen. Ich habe den Eindruck, dass der politische Wille da ist, es zu wollen. Aber weil es politisch ist, ist es auch ein bisschen unberechenbar. Ich glaube, es wird sich jetzt ein bisschen beruhigen. Man muss sich einfach bewusst sein, über welche Verhältnisse wir hier reden, wie das Ganze funktioniert, damit man ein System verstanden hat. Wenn man das einmal gemacht hat, werden die meisten sagen, das ist für sie eine gute Lösung.
Martin Steiger: Vielen Dank, David, für all diese Erklärungen, für all diese Erläuterungen. Wir werden sehen, wie es weitergeht. Vielleicht wollen die europäischen Richter in Luxemburg einmal mehr ihre Unabhängigkeit von der Politik signalisieren. Sie sehen, aus meiner Sicht ist das Ganze eine große Erleichterung gerade für die KMU, die in der Schweiz die kleinsten Unternehmen sind. Dort gibt es nicht so viele Datenschutzklagen, aber wer eine hat, hat nicht allzu oft schlecht geschlafen. Und ja, Datensicherheit, Abhängigkeit, das macht mir auch oft Sorgen, weil es da auch nicht so schöne Antworten gibt. Also es gibt noch keine Methode Rosenthal, die Abhängigkeit zu reduzieren, die Datensicherheit zu gewährleisten. Aber der One-Pager kommt vielleicht auch noch in diesem Bereich. Vielen Dank, David.
David Rosenthal: Danke dir auch, Martin.