Wie andere kantonale Datenschutzgesetze befindet sich auch das bernische Datenschutzgesetz (KDSG) in Revision, die Vernehmlassungsunterlagen sind hier zu finden.
Mit Blick auf die weiterhin aktiv geführte Diskussion um die Auslagerung durch öffentliche Organe besonders bemerkenswert ist Art. 15 zur Bekanntgabe von Personendaten ins Ausland (Vorschlag vom 21. Juni 2023). Vorgeschlagen ist folgende Bestimmung:
Art. 15 Bekanntgabe ins Ausland
1 Die verantwortliche Behörde darf Personendaten ins Ausland bekanntgeben, wenn das Grundrecht auf Datenschutz der betroffenen Person angemessen geschützt ist.
2 Ein angemessener Schutz kann gewährleistet werden durch
a einen völkerrechtlichen Vertrag,
b einen Feststellungsbeschluss des Bundesrats nach der Datenschutzgesetzgebung des Bundes oder
c andere hinreichende Garantien.
3 Abweichend von den Absätzen 1 und 2 darf die verantwortliche Behörde Personendaten ins Ausland bekanntgeben, wenn
a die Bekanntgabe im Einzelfall für die Wahrung eines überwiegenden öffentlichen Interessens notwendig ist,
b die betroffene Person in die Bekanntgabe im Einzelfall ausdrücklich eingewilligt oder ihre Personendaten allgemein zugänglich gemacht hat und eine Bearbeitung nicht ausdrücklich untersagt hat,
c die Bekanntgabe notwendig ist, um das Leben oder die körperliche oder geistige Unversehrtheit der betroffenen Person oder eines Dritten zu schützen, und es nicht möglich ist, innerhalb einer angemessen Frist die Einwilligung der betroffenen Person einzuholen oder
d (Ergänzung bei Variante 2) die Bekanntgabe zum Zweck der Bearbeitung im Auftrag erfolgt und deren Voraussetzungen erfüllt sind.
Der Regierungsrat schlägt dem Grossen Rat also zwei Varianten vor – eine Variante, die im Grossen und Ganzen dem Bekannten entspricht, und eine zweite Variante, die eine Bekanntgabe in einen Staat ohne angemessenes Schutzniveau auch dann zulässt, wenn es sich um eine Auftragsbearbeitung handelt, was ja sehr oft der Fall ist, besonders bei den Cloud-Diensten, um die es hier geht. Vorausgesetzt ist, dass die Voraussetzungen der Auftragsbearbeitung erfüllt sind. Das ist bei jedenfalls den grossen Cloud-Anbietern in aller Regel problemlos erfüllt.
Die Begründung der vorgeschlagenen Regelung, der sog. „Vorschlag“ (vom 21. Juni 2023), sagt dazu folgendes:
Die Variante 1 umfasst Artikel 15 Abs. 1 bis 3 Buchstabe a bis c. Sie sieht nur restriktive Ausnahmetatbestände vor und gewichtet das Grundrecht auf Datenschutz der betroffenen Personen höher als die öffentlichen Interessen der verantwortlichen Behörden, die sich aus der Nutzung von US-Cloud-Lösungen ergeben.
Die Variante 2 sieht zusätzlich zu Artikel 15 Absatz 1 bis 3 Buchstabe a bis c einen weiteren Ausnahmetatbestand in Buchstabe d vor, der die Nutzung von US-Cloud-Lösungen erleichtern soll. Sie gewichtet die öffentlichen Interessen der verantwortlichen Behörden an der Nutzung der US-Cloud-Lösungen höher als die in dieser Variante als unwahrscheinlich betrachteten Eingriffe in die Grundrechte der betroffenen Personen.
[…]Zusatz zu Variante 2: Buchstabe d
Praktisch jede Behörde verfügt über ein Twitter‑, YouTube- oder Instagram-Konto und Software-Lösungen wie Zoom oder Teams werden seit der Corona-Pandemie im Bildungssektor regelmässig genutzt. Die Rechtsprechung des EuGH zum Datenschutzniveau der USA und die dieser folgenden Beurteilung durch den Bundesrat erschweren für die verantwortlichen Behörden die Nutzung solcher Services von US-Anbietern, da es massgebend ist, ob die Personendaten in der Schweiz, der Europäischen Union oder in den USA bearbeitet werden. Der Regierungsrat des Kantons Bern unterbreitet deshalb in der Vernehmlassung einen weiteren Ausnahmetatbestand als Variante, bei dem kein angemessenes Datenschutzniveau für die Auslandbekanntgabe verlangt wird. Damit soll der Realität entsprochen und die Nutzung von US-Cloud-Lösungen erleichtert werden.
Diese abweichende Regelung gegenüber dem Bund und soweit bekannt auch gegenüber den übrigen Kantonen – beinhaltet einen Standortvorteil für den Kanton Bern. Die Nutzung von US-Cloud-Lösungen soll demnach zulässig sein, wenn die Voraussetzungen der Bearbeitung im Auftrag erfüllt sind. Das würde bedeuten, dass die verantwortlichen Behörden lediglich die Datensicherheit gewährleisten müssten (Art. 12 Abs. 3 VE-KDSG). Diese orientiert sich an dem Risiko einer Grundrechtsverletzung (Art. 10 Abs. 1 VE-KDSG). In dieser Variante wird davon ausgegangen, dass die Datenschutzrisiken, die sich für die betroffenen Personen aus der Nutzung von US-Cloud-Lösungen ergeben können, theoretischer Natur sind und in der Praxis kaum relevant sind. Dem gegenüber stehen die grossen praktischen öffentlichen Interessen an der Nutzung der weltweit besten Cloud-Lösungen: Mit ihnen können die Behörden ihre Digitalisierungsziele viel rascher, kostengünstiger und kundenfreundlicher erreichen als mit konventioneller, nicht cloudbasierter Software. Tiefer gewichtet werden die gegebenenfalls erleichterten Zugriffe ausländischer Strafbehörden oder Nachrichtendienste auf Daten oder die eingeschränkten Möglichkeiten, sich gerichtlich gegen Datenschutzverletzungen im Ausland zu wehren.
Die Nutzung von US-Cloud-Software ist im privaten und im privatwirtschaftlichen Umfeld die Norm. Fast alle Menschen haben ein Apple‑, Microsoft- oder Google-Konto sowie entsprechende Geräte, und die meisten Unternehmen könnten ohne US-Cloud-Software nicht mehr funktionieren. In diesem Umstand liegt ein gesamtgesellschaftlicher Risikoentscheid, der in dieser Variante vom Gesetzgeber berücksichtigt wird: Wenn fast alle Menschen und Unternehmen die zur Diskussion stehenden Risiken für sich selbst als verhältnismässig und tragbar erachten, dann darf und soll dies auch der Kanton für seine Bevölkerung tun. Im Gegensatz zu Privaten sind Behörden zwar zusätzlich an verfassungsmässige Grundsätze wie das Legalitätsprinzip gebunden, weshalb die Situationen nur bedingt vergleichbar sind. Dennoch sollte auch der Kanton die private Risikoabwägung berücksichtigen können, weshalb die vorliegende Variante in die Vernehmlassung geschickt wird.
Zum einen illustriert dieser Vorschlag die praktischen Nöte insbesondere, aber nicht nur der kantonalen Behörden, die wie andere Organisationen unter Druck stehen, die Digitalisierung voranzutreiben. Zum anderen ist es der soweit ersichtlich erste Versuch, den bestehenden Bedenken, Anforderungen und vor allem Unsicherheiten auf legislatorischem Weg beizukommen.
Dass dieser Vorschlag mutig ist, ist den Autoren des Vorschlags, der Direktion für Inneres und Justiz, offensichtlich bewusst, nachdem er nur als Variante vorgelegt worden ist. Auch wirkt die Formulierung des Vorschlags recht defensiv, und der Hinweis auf den Standortvorteil ist begrenzt überzeugend, solange Zürcher Behörden ihre Tätigkeit nicht nach Bern verlegen können. Letztlich postuliert der Vorschlag die normative Kraft des Faktischen – aus juristischer Sicht kein Argument, aus rechtspolitischer Sicht aber durchaus, sofern die praktischen Notwendigkeiten ausreichend belegt sind. Das Recht bewegt sich nicht im luftleeren Raum, und der Fokus auf die Datensicherheit ist sicher zielführend, weil dazu die Abwehr planwidriger Zugriffe gehört.
Allerdings beantwortet der Vorschlag nicht die Frage, welches Mass an Datensicherheit gegenüber Behördenzugriffen angezeigt ist. So betrachtet ist die Variante nur eine Verschiebung der Fragestellung vom Auslandfokus zu einem Fokus auf die Datensicherheit. Damit sind für sich genommen noch keine Probleme gelöst, die Diskussion wird aber vielleicht, hoffentlich, entkrampft.
Der Leiter der bernischen Datenschutzbehörde (Datenschutzaufsichtsstelle, DSA), Ueli Buri, hat sich dazu sehr kritisch geäussert. Die Variante verstosse gegen Verfassungs- und Völkerrecht, wie ihn der Bund zitiert. Dem ist allerdings zumindest dann zu widersprechen, wenn man das Risiko von Behördenzugriffen durch geeignete Sicherheitsmassnahmen auf ein angemessenes Mass reduzieren muss.
Anzumerken bleibt, dass die Idee nicht neu ist, die Bekanntgabe ins Ausland im Rahmen einer Auftragsbearbeitung ohne weitere Anforderungen zuzulassen. Bruno Baeriswyl, der damalige Leiter der Zürcher Datenschutzbehörde, hatte diese Auffassung in der Vorauflage des Stämpfli Handkommentars zum DSG (Art. 10a) vertreten, weil es hier nicht zu einer Bekanntgabe komme:
43 In Lehre und Praxis wird vertreten, dass bei einer Auslagerung ins Ausland auch Art. 6 DSG betreffend die grenzüberschreitende Datenbekanntgabe zur Anwendung gelange. Dieser Auffassung ist zu widersprechen, da es sich bei der Auslagerung nicht um eine Datenbekanntgabe im datenschutzrechtlichen Sinne handelt […]. Die volle Verantwortung liegt beim Datenbearbeiter, der die Datenbearbeitung auslagert; sie geht nicht wie bei der Datenbekanntgabe (teilweise) auf den Datenempfänger über.