Inter­pel­la­ti­on Schwa­ab (13.3033): Wie kön­nen Per­so­nen­da­ten von Schwei­zer Bür­ge­rin­nen und Bür­gern in den Hän­den ame­ri­ka­ni­scher Unter­neh­men geschützt wer­den?
Abge­schrie­ben (20.03.2015)

Eingereichter Text

In den USA kön­nen die Behör­den gestützt auf den For­eign Intel­li­gence and Sur­veil­lan­ce Act (Fisa) von ame­ri­ka­ni­schen Unter­neh­men die Her­aus­ga­be von Per­so­nen­da­ten aus der Daten­wol­ke (cloud) von Bür­ge­rin­nen und Bür­gern aus Dritt­staa­ten ver­lan­gen. Zu den Daten, die kon­trol­liert wer­den kön­nen, gehö­ren bei­spiels­wei­se sol­che, die mit poli­ti­schen Orga­ni­sa­tio­nen zusam­men­hän­gen. Unter den Unter­neh­men, die über sehr gro­sse Daten­men­gen von Schwei­ze­rin­nen und Schwei­zern ver­fü­gen, befin­den sich Namen wie Goog­le, Face­book oder Twit­ter. Im Grun­de könn­te es so allen in der Schweiz leben­den Per­so­nen pas­sie­ren, dass ihre per­sön­li­chen Daten an aus­län­di­sche Behör­den über­mit­telt und von die­sen unter Miss­ach­tung des Bun­des­ge­set­zes über den Daten­schutz (DSG) und/oder der Ver­fah­rens­ga­ran­ti­en, ins­be­son­de­re denen des Straf­ver­fah­rens, ver­wen­det wer­den. Die Euro­päi­sche Uni­on (EU) zeigt sich von die­sem ame­ri­ka­ni­schen Gesetz beun­ru­higt und räumt ein, die­sen Punkt “trotz der Pro­ble­me im Zusam­men­hang mit der Daten­ho­heit und dem Schutz der Bür­ger­rech­te ver­nach­läs­sigt” zu haben (vgl. Bericht des Euro­päi­schen Par­la­men­tes “Figh­ting cyber crime and pro­tec­ting pri­va­cy in the cloud”, 2012).

Aus die­sem Grund stel­le ich dem Bun­des­rat fol­gen­de Fra­gen:

1. Sind ihm die Aus­wir­kun­gen des ame­ri­ka­ni­schen Fisa bekannt? Wie schätzt er die­ses Gesetz ein, und wel­che Schrit­te hat er in die­sem Zusam­men­hang unter­nom­men?

2. Was beab­sich­tigt er zu tun, um Ver­let­zun­gen des DSG durch aus­län­di­sche Unter­neh­men, die Per­so­nen­da­ten von Schwei­ze­rin­nen und Schwei­zern bear­bei­ten, zu ver­hin­dern?

3. Was will er tun, um die Anwen­dung der Schwei­zer Daten­schutz­be­stim­mun­gen bei Daten zu garan­tie­ren, die in der Schweiz von aus­län­di­schen Unter­neh­men gesam­melt wer­den, die selbst kei­ne Nie­der­las­sung in der Schweiz haben?

4. Wird er gegen­über den USA (oder ande­ren Staa­ten, die ähn­li­che Rechts­be­stim­mun­gen haben wie den Fisa) inter­ve­nie­ren, damit die Anwen­dung sol­cher Bestim­mun­gen unse­rer Gesetz­ge­bung zum Daten­schutz nicht wider­spricht?

5. Wie gedenkt er die Ver­fah­rens­rech­te der Bür­ge­rin­nen und Bür­ger (Straf- oder Zivil­ver­fah­ren, gemäss Schwei­zer oder aus­län­di­schem Recht), deren Daten auf Grund­la­ge des Fisa wei­ter­ge­ge­ben oder kon­trol­liert wer­den, zu garan­tie­ren?

6. Wie möch­te er sicher­stel­len, dass die über­wach­ten Daten nicht für Rechts­ak­te ver­wen­det wer­den, die nicht dem Schwei­zer Straf­recht unter­ste­hen (z. B. “Gesin­nungs­de­lik­te”)?

7. Kön­nen die­se Vor­gän­ge mit den gel­ten­den Geset­zen ver­hin­dert wer­den? Wenn nicht, wann wird er deren Ver­schär­fung vor­schla­gen?

<

h1>Stellungnahme des Bun­des­rats

<

h1>

Eine Daten­be­schaf­fung ohne das Wis­sen der betrof­fe­nen Per­so­nen gehört zum Modus Ope­ran­di von Nach­rich­ten­dien­sten. Durch neue Tech­no­lo­gi­en – nament­lich durch das dezen­tra­le, orts­un­ab­hän­gi­ge Spei­chern und Bear­bei­ten von gro­ssen Daten­men­gen (“Cloud Com­pu­ting”) – erge­ben sich indes­sen in gro­ssem Aus­mass Mög­lich­kei­ten zur Über­wa­chung von Schwei­zer Bür­gern durch aus­län­di­sche Behör­den, bei wel­chen unter Umstän­den nicht die­sel­be Auf­fas­sung vom Daten­schutz oder von den Auf­ga­ben des Nach­rich­ten­dien­stes wie in der Schweiz vor­herrscht. Mit Bezug auf den For­eign Intel­li­gence Sur­veil­lan­ce Amend­ment Act der USA (Fisa) wird in einer Stu­die des Euro­päi­schen Par­la­men­tes auf das Risi­ko einer sol­chen Über­wa­chung hin­ge­wie­sen; die­ses Risi­ko besteht aller­dings nicht allein sei­tens der USA.

Der Bun­des­rat ant­wor­tet auf die gestell­ten Fra­gen wie folgt:

1. Der Bun­des­rat ist sich der Risi­ken, die in der Inter­pel­la­ti­on auf­ge­zeigt wer­den, bewusst, hat aber kei­ne Kennt­nis von kon­kre­ten Fäl­len, in wel­chen Per­sön­lich­keits­rech­te von Schwei­zer Bür­gern auf Basis des Fisa ver­letzt wur­den. Des­halb hat er bis zum heu­ti­gen Zeit­punkt bezüg­lich die­ses Geset­zes noch kei­ne Schrit­te bei den US-Behör­den unter­nom­men. Wer sozia­le Netz­wer­ke benutzt, muss sich der damit ver­bun­de­nen Risi­ken bewusst sein. Dazu gehö­ren der Kon­troll­ver­lust ein­mal ins Netz gestell­ter Infor­ma­tio­nen sowie die in die­sem Zusam­men­hang feh­len­den Ein­fluss­mög­lich­kei­ten der schwei­ze­ri­schen Behör­den. Es obliegt jedem Ein­zel­nen, sol­che Risi­ken rich­tig ein­zu­schät­zen und sich ent­spre­chend vor­sich­tig zu ver­hal­ten. In die­sem Zusam­men­hang ist auf das Pro­gramm “Jugend und Medi­en” des Bun­des hin­zu­wei­sen, wel­ches zum Ziel hat, Kin­der und Jugend­li­che sowie deren Eltern, Lehr- und Erzie­hungs­per­so­nen auf die Chan­cen und Gefah­ren der neu­en Medi­en zu sen­si­bi­li­sie­ren (http://www.bsv.admin.ch/themen/kinder_jugend_alter/00071/03045/).

2. Der Bun­des­rat ist der Auf­fas­sung, dass es haupt­säch­lich die Auf­ga­be des Edöb ist, im Rah­men sei­ner Bera­tungs­funk­ti­on Mass­nah­men zu ergrei­fen, wel­che dar­auf abzie­len, Inter­net­nut­zer zu sen­si­bi­li­sie­ren und den Inha­bern von Daten­samm­lun­gen ihre Ver­ant­wor­tung bewusst­zu­ma­chen. Der Edöb hat denn auch Erläu­te­run­gen zu Cloud Com­pu­ting ver­öf­fent­licht. Inner­halb der durch das Ter­ri­to­ria­li­täts­prin­zip gesetz­ten Gren­zen kommt dem Edöb ausser­dem die Kom­pe­tenz zu, Abklä­run­gen zu tref­fen und Emp­feh­lun­gen an Inha­ber von Daten­samm­lun­gen abzu­ge­ben, wel­che die schwei­ze­ri­sche Gesetz­ge­bung nicht respek­tie­ren. So ist der Edöb bei­spiels­wei­se im Fall von Goog­le Street View (vgl. dazu auch BGE 138 II 346) vor­ge­gan­gen.

3. Der Hand­lungs­spiel­raum der Schweiz ist bei Daten­schutz­ver­let­zun­gen durch aus­län­di­sche Unter­neh­men, die kei­nen Sitz in der Schweiz haben, begrenzt. Auf­grund des Ter­ri­to­ria­li­täts­prin­zips kön­nen Ver­let­zun­gen des DSG nur geahn­det wer­den, wenn ein genü­gen­der Anknüp­fungs­punkt zur Schweiz besteht. Ein sol­cher war im Bei­spiel von Goog­le Street View gege­ben (BGE 138 II 346 E. 3). Inwie­weit die Schweiz auf Anwen­dungs­fäl­le des Fisa Ein­fluss neh­men könn­te, müss­te anhand eines kon­kre­ten Fal­les beur­teilt wer­den.

4. Der Bun­des­rat ist bereit, die­ses The­ma bei den betref­fen­den aus­län­di­schen Behör­den anzu­spre­chen, falls er Kennt­nis davon erlangt, dass Schwei­zer Bür­ger im Zusam­men­hang mit ihrer Inter­net­nut­zung wie­der­holt in ihren Per­sön­lich­keits­rech­ten ver­letzt wer­den. Gleich­zei­tig wird er die auf euro­päi­scher Ebe­ne getrof­fe­nen Mass­nah­men auf­merk­sam ver­fol­gen. Er schliesst auch die Mög­lich­keit nicht aus, mit bestimm­ten Staa­ten bila­te­ra­le oder mul­ti­la­te­ra­le Abkom­men zu tref­fen, die das Ziel haben, sol­che Daten­schutz­ver­let­zun­gen weit­ge­hend zu ver­hin­dern (wie bei­spiels­wei­se das Safe-Har­bor-Abkom­men mit den USA).

5./6. Inwie­weit Anbie­ter wie Goog­le, Face­book oder Twit­ter Daten eines in der Schweiz wohn­haf­ten Nut­zers an Drit­te wei­ter­ge­ben kön­nen, ist eine Fra­ge des zwi­schen ihnen und dem jewei­li­gen Nut­zer bestehen­den Ver­trags, des­sen Inhalt im Wesent­li­chen von den all­ge­mei­nen Geschäfts­be­din­gun­gen des jewei­li­gen Anbie­ters abhängt. Die Fach­li­te­ra­tur ten­diert dazu, der­ar­ti­ge Ver­trä­ge als Kon­su­men­ten­ver­trä­ge im Sin­ne von Arti­kel 120 IPRG und im Sin­ne des LugÜ zu qua­li­fi­zie­ren. Damit wür­den sie zwin­gend dem schwei­ze­ri­schen Recht unter­ste­hen. Die­ses schliesst aber nicht aus, dass sich der Anbie­ter in geeig­ne­ter Form die Wei­ter­ga­be von Daten an Drit­te vor­be­hält. Im Fal­le einer Ver­trags­ver­let­zung könn­te der Nut­zer in der Schweiz kla­gen (Art. 114 IPRG und Art. 15 LugÜ). Inwie­fern ein sol­ches Urteil gegen einen aus­län­di­schen Anbie­ter voll­streck­bar ist, hängt von ver­schie­de­nen (von der Schweiz nur beschränkt beein­fluss­ba­ren) Fak­to­ren wie etwa dem Recht des jewei­li­gen Sitz­staa­tes ab. Die­se Pro­ble­ma­tik wird im Bericht “Recht­li­che Basis für Soci­al Media” behan­delt, wel­cher der­zeit in Erfül­lung des Postu­la­tes Amherd 11.3912 vom 29. Sep­tem­ber 2011 ent­steht.

7. Wie der bereits zitier­te Ent­scheid zu Goog­le Street View auf­zeigt, ist die schwei­ze­ri­sche Gesetz­ge­bung gegen­über aus­län­di­schen Unter­neh­men, die in der Schweiz gesam­mel­te Per­so­nen­da­ten im Inter­net ver­öf­fent­li­chen, nicht unwirk­sam. Der Bun­des­rat wird aber im Rah­men der Arbei­ten zur Revi­si­on des DSG prü­fen, ob das gel­ten­de Recht in die­sem Bereich aus­reicht oder nicht. 

Posted by David Vasella

RA Dr. David Vasella ist Rechtsanwalt bei FRORIEP. Er ist auf IT-, Datenschutz- und Immaterialgüterrecht spezialisiert und ist Lehrbeauftragter der Universität Zürich. Er ist Gründer von swissblawg.