Knacknuss Nutzung von US-Software
Diensten – geht's einfacher?
In unserer vernetzten Welt geht manchmal vergessen, dass die scheinbare Leichtigkeit der globalen Datenströme rechtlich alles andere als problemlos ist. Die neueren Gesetze zum Schutz von Personendaten wie die EU-Datenschutzgrundverordnung (DSGVO), das neue Schweizer Datenschutzrecht (nDSG) und parallele Erlasse wie PIPL (China) und CCPA (Kalifornien) mit ihren strengeren Anforderungen, gepaart mit der immer konsequenteren Einforderung der Compliance durch Behörden und Gerichte führen zu einem Spiessrutenlauf mit immer höheren Hürden und stetig zunehmenden Risiken.
In diesem Beitrag wird aufgezeigt, welche rechtlichen Anforderungen in der Schweiz aktuell für die datenschutzkonforme Nutzung von SaaS (Software-as-a-Service)-Diensten von Anbietern aus den USA, wie z.B. Salesforce oder Mailchimp gelten. Am Ende des Beitrags findet sich zudem quasi ein Cheat-Code, wie's einfacher geht.
"Wie hältst du's mit dem unsicheren Ausland?" – die Gretchenfrage beim Auslandtransfer von Personendaten
Bei grenzüberschreitenden Datenübermittlungen dreht sich viel um die Gesetzgebung des Ziellandes. Der Exporteur muss prüfen, wo im Ausland sich der Dienstleister (= Importeur) befindet.
Ist er in der EU, im EWR, in der UK oder einem anderen Land, das von der Schweiz als Staat mit einem genügenden gesetzlichen Datenschutz anerkannt wurde, ist die Übertragung der Daten weniger problematisch. Die Datenschutzaufsichtsbehörde der Schweiz, der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB), gibt aktuell eine Liste heraus, auf welcher diese Staaten festgehalten sind (die sogenannte "Staatenliste", abrufbar hier unter dem Stichwort "Staatenliste"). Nach der Revision des Schweizerisichen Datenschutzrechtes wird der Bundesrat darüber entscheiden, welche Länder einen angemessenen Schutz gewähren.
Geht es dagegen ins sogenannt unsichere Ausland (zu dem insbesondere USA, Indien, China, Ukraine und die meisten anderen Staaten weltweit zählen), ist eine Übertragung nur unter bestimmten Bedingungen zulässig (siehe dazu auch das grafische Ablaufschema des EDÖB):
Erst muss ein DTIA erstellt werden, das den geplanten Datentransfer im konkreten Fall im Detail erfasst (siehe 2.1 unten);
dann ist die Übertragung mit vertraglichen Regelungen (Standard Contractual Clauses) (siehe 2.2 unten) abzusichern;
zudem sind allenfalls zusätzliche Massnahmen (siehe 2.3 unten) zum Schutz zu implementieren.
Nur wenn man in Anbetracht dieser Prüfungen, Verträge und weiteren Massnahmen in einer abschliessenden Gesamtbetrachtung zum Schluss kommt, dass die Daten nun angemessen geschützt seien, ist der Transfer im Anschluss möglich.
Ist der fehlende rechtliche Schutz hingegen nicht durch solche Verträge und Massnahmen kompensierbar, ist eine Datenübertragung gesetzeswidrig und zieht die entsprechenden Non-Compliance Risiken nach sich, wie persönliche (!) Bussen in der Höhe von bis zu CHF 10'000.- bzw. CHF 250'000.- (nDSG), Unternehmensbussen von bis zu 20 Millionen oder mehr (im Anwendungsbereich der DSGVO), Verlust des guten Leumunds (sprich: Strafregistereintrag), behördliche Verbote, Imageschäden etc.
Die einzelnen Schritte und Massnahmen
DTIA – Data Transfer Impact Assessment
Zunächst muss der konkrete Datentransfer betrachtet werden:
Welche Personendaten werden übertragen?
Wer sind die Betroffenen?
An welchen Empfänger?
Welche Subunternehmer hat dieser?
Zu welchem Zweck werden die Daten übertragen?
Welchem Recht untersteht der Empfänger?
Gibt es nach diesem Recht Zugriffsmöglichkeiten der Regierung (was insbesondere bei "Electronic Communication Service Providern" in den USA der Fall ist, worunter die meisten US-Cloud Anbieter fallen dürften) und bestehen adäquate Rechtsmittel gegen solche Zugriffe (was in den USA gemäss Einschätzung des EDÖB nicht der Fall ist)?
Sind bezüglich Zugriffe durch die Behörden des Ziellandes die vier Garantien in jenem Land gewährleistet (Klare Rechtsgrundlage, Notwendigkeit und Verhältnismässigkeit, wirksame Rechtsbehelfe und angemessener Zugang zu einem Gericht)?
Diese Fragen sind im Rahmen eines formellen Berichtes, eines "Data Transfer Impact Assessments" (DTIA) festzuhalten.
Sind die vier Garantien gewährleistet, reicht zur Absicherung der Übertragung der Abschluss von Standardvertragsklauseln. Sind sie nicht gewährleistet, sind zusätzliche Massnahmen als Ersatz für die fehlenden Garantien zu prüfen und implementieren. Helfen auch diese Massnahmen nicht, so ist ein Datentransfer gesetzeswidrig mit den oben erwähnten Konsequenzen, wenn man es doch macht.
Standard Contractual Clauses ("SCC")
Bei den SCC handelt es sich um von der EU Kommission herausgegebene standardisierte Vertragsklauseln, die vom EDÖB zur Verwendung in der Schweiz anerkannt wurden. Um die Spezialitäten des Schweizer Datenschutzrechtes abzubilden, setzt der EDÖB allerdings voraus, dass noch gewisse Ergänzungen vorgenommen werden, was in der Praxis durch einen entsprechenden Anhang umgesetzt wird.
Zusätzliche Massnahmen
Bei den zusätzlichen Massnahmen sind der Fantasie grundsätzlich keine Grenzen gesetzt. In der Regel reden wir hier aber über Verschlüsselung oder ähnliche Mechanismen, die den laufenden Zugriff durch den Anbieter (bzw. die Behörden in seinem Sitzland) faktisch unterbinden (sollen).
Cheat-Code
Ob hinter diesen Verschärfungen in Recht und Praxis eine tiefere Absicht zur Förderung des Datennationalismus steckt oder ob es tatsächlich um den Schutz der in unserer digitalen Welt immer zentraleren Personendaten geht, sei dahingestellt. Fakt ist, dass in dieser regulatorisch schwierig zu navigierenden Umgebung die lokale Datenhaltung zum Trumpf wird:
Hat man die Wahl zwischen zwei Anbietern, wovon der eine sich in den USA (sprich: unsicheres Ausland) befindet und der andere in der Schweiz, der EU oder dem EWR (sprich: Inland bzw. sicheres Ausland), so ist es mit sehr viel weniger Aufwand verbunden, den lokalen Anbieter zu wählen.
Der Cheat-Code ist daher im Grunde so einfach wie trendy:
Buy local.
Dabei sollte man darauf achten, dass es sich nicht einfach um eine lokale Niederlassung eines US-Konzern handelt, da diese wiederum über die Überwachungsgesetze, die auf ihre Muttergesellschaft in den USA indirekt zur Anwendung kommen, zu verbotenen Datentransfers führen können, was schlussendlich auf den Auftraggeber zurückfällt, da er nicht genügend für den Schutz der Daten gesorgt hat.
im Auftrag von Stefan Isliker