EDÖB: Zwei­fel am risi­ko­ba­sier­ten Ansatz

Der EDÖB hat am 13. Juni 2022 eine auf den 13. Mai 2022 datier­te “Stel­lung­nah­me zur Daten­schutz Risi­ko­be­ur­tei­lung der Suva zum Pro­jekt Digi­tal Work­s­pace ‘M365’ ” ver­öf­fent­licht. Das Doku­ment ist hier zusam­men mit einer Zusam­men­fas­sung und mit einer Ant­wort der Suva dazu (s. unten) abrufbar.

Aus­gangs­la­ge

Der Stel­lung­nah­me zufol­ge hat die Suva dem EDÖB eine Doku­men­ta­ti­on zum Pro­jekt zuge­stellt, bei dem es um eine Aus­la­ge­rung bestimm­ter Per­so­nen­da­ten der Suva an Micro­soft ging, mit Daten­stand­ort Schweiz und auf Basis des Ver­trags­werks von Micro­soft mit der schwei­ze­ri­schen Infor­ma­tik­kon­fe­renz SIK.

Offen­bar war unbe­strit­ten, dass die Aus­la­ge­rung poten­ti­ell zu einem Zugriff ame­ri­ka­ni­scher Behör­den füh­ren könnte:

11. Die Suva geht davon aus, dass sich mit der Aus­la­ge­rung eines Teils der Per­so­nen­da­ten­be­ar­bei­tung in eine vom US-ame­ri­ka­ni­schen Kon­zern Micro­soft auf schwei­ze­ri­schem Ter­ri­to­ri­um betrie­be­ne Cloud die Fra­ge mög­li­cher Zugrif­fe von US-ame­ri­ka­ni­schen Behör­den auf die aus­ge­la­ger­ten Daten stellt.

12. Die Suva geht damit sinn­ge­mäss davon aus, dass mit der beschlos­se­nen Aus­la­ge­rung ein Daten­ex­port in die USA ein­her­ge­hen könnte.

Die Suva hat­te in der dem EDÖB vor­ge­leg­ten Doku­men­ta­ti­on das Risi­ko eines Zugriffs als sehr nied­rig eingestuft:

Im Rah­men ihres risi­ko­ba­sier­ten Ansat­zes hält die Suva fest, dass sich die mit der Daten­aus­la­ge­rung ein­her­ge­hen­de Mög­lich­keit eines justiz­för­mi­gen, d.h. auf Rechts­hil­fe­er­su­chen oder den US-Cloud Act gestütz­ten, behörd­li­chen Zugriffs auf die aus­ge­la­ger­ten Per­so­nen­da­ten für den Betrach­tungs­zeit­raum von 5 Jah­ren «auf 2.52 % belau­fe und damit höchst unwahr­schein­lich sei». Bei die­sem Wert, so die Suva, «kom­me es mit einer Wahr­schein­lich­keit von 90 % sta­ti­stisch gese­hen (bei gleich­blei­ben­der Wahr­schein­lich­keit) alle 903 Jah­re min­de­stens ein Mal zu einem erfolg­rei­chen Law­ful Access». Auch unter Ein­schluss nicht justiz­för­mi­ger Zugrif­fe durch US Nach­rich­ten­dien­ste schätzt die Suva die von ihr als «Risi­ko» bezeich­ne­te Wahr­schein­lich­keit ins­ge­samt als «höchst unwahr­schein­lich» ein, obwohl sie ein­räumt, dass «eine Unsi­cher­heit bestehen blei­be» Zur Begrün­dung führt sie nament­lich an, dass die in die Cloud aus­ge­la­ger­ten Daten kaum Inhal­te umfass­ten, die typi­scher­wei­se Gegen­stand von nach­rich­ten­dienst­li­chen Such­auf­trä­gen aus die­sem Land sei­en.

Dabei hat sich die Suva gemäss der Stel­lung­nah­me des EDÖB auf das inzwi­schen ver­brei­tet ein­ge­setz­te Risi­ko­be­ur­tei­lungs­mo­dell von David Rosen­thal gestützt.

Stel­lung­nah­me des EDÖB

Der EDÖB hält in sei­ner Stel­lung­nah­me u.a. fest, dass die Suva die Zuläs­sig­keit der geplan­ten Auslagerung

… nach Mass­ga­be eines risi­ko­ba­sier­ten Ansat­zes beur­teilt hat, der sie zum Ergeb­nis geführt hat, dass die­se kei­ne hohen Risi­ken für ihre Ver­si­cher­ten, die Pati­en­ten ihrer Kli­ni­ken sowie ihre Mit­ar­bei­ten­den und son­sti­gen betrof­fe­nen Per­so­nen mit sich brin­ge. Auf­grund die­ses Beur­tei­lungs­er­geb­nis­ses hät­te somit auch bei einer Gel­tung des neu­en Rechts kei­ne Vor­la­ge­pflicht gegen­über dem EDÖB bestanden.

Die­ser “risi­ko­ba­sier­te” Ansatz ist unter Beschuss, beson­ders aus Öster­reich. Er kann für sich aber die Leit­li­ni­en des EDSA zu Schrems II-Mass­nah­men in Anspruch neh­men, in denen der EDSA klar fest­ge­hal­ten hat­te, dass ein sog. risi­ko­ba­sier­ter Ansatz gelte:

… you may deci­de to pro­ce­ed with the trans­fer without being requi­red to imple­ment sup­ple­men­ta­ry mea­su­res, if you con­si­der that you have no rea­son to belie­ve that rele­vant and pro­ble­ma­tic legis­la­ti­on will be app­lied, in prac­ti­ce, to your trans­fer­red data and/or importer.

Auch die aktu­el­len Stan­dard­ver­trags­klau­seln ent­hal­ten in Klau­sel 14 eine ähn­li­che Formulierung:

a) Die Par­tei­en sichern zu, kei­nen Grund zu der Annah­me zu haben, dass die für die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten durch den Daten­im­por­teur gel­ten­den Rechts­vor­schrif­ten und Gepflo­gen­hei­ten im Bestim­mungs­dritt­land, ein­schließ­lich Anfor­de­run­gen zur Offen­le­gung per­so­nen­be­zo­ge­ner Daten oder Maß­nah­men, die öffent­li­chen Behör­den den Zugang zu die­sen Daten gestat­ten, den Daten­im­por­teur an der Erfül­lung sei­ner Pflich­ten gemäß die­sen Klau­seln hin­dern. …

Der EDÖB hat sei­ner­seits im Juni 2021 eine “Anlei­tung für die Prü­fung der Zuläs­sig­keit von Daten­über­mitt­lun­gen mit Aus­land­be­zug (nach Art. 6 Abs. 2 lit. a DSG)” ver­öf­fent­licht (mit einer wich­ti­gen, aber nie aus­ge­wie­se­nen Anpas­sung; sie­he dazu S. 7 der Stel­lung­nah­me der Suva). Dar­in hat er sich weder ein­deu­tig zu die­sem risi­ko­ba­sier­ten Ansatz noch zu sei­nem Gegen­teil – dem Null­ri­si­ko­an­satz – bekannt.

Auf die­se Anlei­tung von Juni 2021 bezieht sich der EDÖB nun in der Stel­lung­nah­me zum Pro­jekt der Suva. Zunächst geht er von fol­gen­den Rechts­grund­la­gen in den USA aus:

18. In casu ist der US Kon­zern Micro­soft und die dazu­ge­hö­ren­den Unter­neh­mens­ein­hei­ten in der gan­zen Welt und somit auch in der Schweiz dem US-Cloud Act unter­stellt. Die­ser ver­pflich­tet alle Unter­neh­mens­ein­hei­ten, Zugrif­fe auf Per­so­nen­da­ten durch US-Behör­den auch dann zu gewähr­lei­sten, wenn die Daten­spei­che­rung nicht in den USA erfolgt. Das Vor­ge­hen nach Cloud Act erfolgt ohne Beach­tung der von der schwei­ze­ri­schen Rechts­ord­nung ver­lang­ten Ver­fah­ren und Garan­tien. Zudem ver­set­zen die USA ihre Sicher­heits­be­hör­den und Nach­rich­ten­dien­ste recht­lich und fak­tisch in die Lage, die auf US-Ter­ri­to­ri­um ansäs­si­gen Mut­ter­kon­zer­ne dazu anzu­hal­ten, ihren Geschäfts­stel­len im Aus­land Auf­trä­ge zur Beschaf­fung von Per­so­nen­da­ten aus­län­di­scher Staats­bür­ger zu erteilen.

Im Anschluss dar­an fin­den sich die rele­van­ten Aus­füh­run­gen des EDÖB. Zunächst sei­en im Gesetz kei­ne Hin­wei­se auf einen risi­ko­ba­sier­ten Ansatz zu fin­den (was nicht zutrifft, dazu unten):

26. … Die Anfor­de­run­gen für Daten­über­mitt­lun­gen in Staa­ten ohne ange­mes­se­nen Daten­schutz sind im Gesetz auf­ge­zählt. Hin­wei­se auf Recht­fer­ti­gungs­grün­de oder Aus­le­gungs­ar­gu­men­te, die sich auf eine Dif­fe­ren­zie­rung der nach­rich­ten­dienst­li­chen Inter­es­sen­la­ge ein­zel­ner Export­staa­ten und unter­neh­mens- oder organ­spe­zi­fi­schen Inhal­te der über­mit­tel­ten Daten abstüt­zen lie­ssen, fin­den sich dort indes­sen nicht. Eben­so­we­nig ent­hält der Geset­zes­wort­laut Hin­wei­se auf einen risi­ko­ba­sier­ten Ansatz zur Gewähr­lei­stung eines ange­mes­se­nen Schut­zes. Dar­aus lässt sich nach Auf­fas­sung des EDÖB zwar nicht ablei­ten, dass risi­ko­ba­sier­te Argu­men­te im Sin­ne einer Ergän­zung des von ihm emp­foh­le­nen Prüf­ver­fah­rens von Geset­zes wegen zwin­gend aus­ge­schlos­sen wären. Ergän­zen­de Argu­men­te dür­fen jedoch nicht dazu füh­ren, dass die im behörd­li­chen Kon­text grund­recht­lich ver­bürg­ten Garan­tien auf­ge­weicht werden.

27. Vor die­sem Hin­ter­grund erscheint für den Beauf­trag­ten zumin­dest frag­lich, ob der risi­ko­ba­sier­te Ansatz recht­lich zuläs­sig ist und ange­ru­fen wer­den darf, um die hier zur Dis­kus­si­on ste­hen­den Daten­aus­la­ge­rung zu rechtfertigen.

Anschlie­ssend ver­tritt der EDÖB, dass “Mäch­te” mit unzu­rei­chen­dem Schutz “grund­sätz­lich alle Arten von Infor­ma­tio­nen akku­mu­lie­ren”:

31 … Es ist bekannt, dass die Sicher­heits­be­hör­den und Nach­rich­ten­dien­ste sol­cher Staa­ten flä­chen­decken­de Recher­chen über ihre Ziel­per­so­nen anzu­stel­len pfle­gen. Sie ver­fü­gen über recht­li­che Befug­nis­se und tat­säch­li­che Mög­lich­kei­ten, die auf ihrem Ter­ri­to­ri­um ansäs­si­gen Mut­ter­kon­zer­ne dazu zu ver­an­las­sen, Cloud-Daten sämt­li­cher Geschäfts­kun­den nach Hin­wei­sen auf Ziel­per­so­nen zu durch­su­chen, die es den Dien­sten ermög­li­chen, ein mög­lichst umfas­sen­des, lücken­lo­ses und inti­mes Bild ihrer Ziel­per­so­nen zu erlan­gen. Es muss mit ande­ren Wor­ten damit gerech­net wer­den, dass die Nach­rich­ten­dien­ste von Mäch­ten, die Dritt­staa­ten­an­ge­hö­ri­gen kei­nen hin­rei­chen­den Daten­schutz gewähr­lei­sten, grund­sätz­lich alle Arten von Infor­ma­tio­nen akku­mu­lie­ren, ohne dass dies für die Betrof­fe­nen erkenn­bar wür­de oder dass ihnen dage­gen ein mit dem schwei­ze­ri­schen Recht ver­gleich­ba­rer Rechts­schutz gewährt wür­de. Es muss wei­ter damit gerech­net wer­den, dass die Nach­rich­ten­dien­ste die­ser Staa­ten ins­be­son­de­re den Grun­dät­zen der Zweck­bin­dung und Ver­hält­nis­mä­ssig­keit gerin­ge Bedeu­tung ein­räu­men und von ihren Ziel­per­so­nen regel­mä­ssig auch pri­va­te und inti­me Infor­ma­tio­nen wie Gesund­heits­da­ten beschaf­fen. Vor die­sem Hin­ter­grund stie­sse die Annah­me der Suva, wonach die aus­ge­la­ger­ten Daten kaum Inhal­te umfas­sen, die typi­scher­wei­se Gegen­stand von nach­rich­ten­dienst­li­chen Such­auf­trä­gen sein könn­ten, selbst bei einer Beja­hung der Zuläs­sig­keit ihres risi­ko­ba­sier­ten Ansat­zes auf Bedenken.

Zudem zie­len sol­che Mäch­te auf das Gemein­we­sen als gan­zes und nicht nur auf ein­zel­ne Daten­ka­te­go­rien:

32 Nach Auf­fas­sung des Beauf­trag­ten soll­ten Bun­des­or­ga­ne, die Teil eines enge­ren oder erwei­ter­ten Krei­ses der öffent­li­chen Ver­wal­tung des Bun­des sind, vor der Aus­la­ge­rung von Per­so­nen­da­ten berück­sich­ti­gen, dass die nach­rich­ten­dienst­li­che Daten­be­schaf­fung frem­der Staa­ten ohne ange­mes­se­ne Daten­schutz­ge­setz­ge­bung in der Regel gegen aus­län­di­sche Gemein­we­sen als Gan­zes abzielt. Die Behör­den sol­cher Staa­ten kön­nen zur Errei­chung ihrer Beschaf­fungs­zie­le hohen Druck auf die auf ihrem Ter­ri­to­ri­um ansäs­si­gen Mut­ter­kon­zer­ne aus­üben. Letz­te­re wie­der­um kön­nen sich so ver­an­lasst sehen, ihre Toch­ter­ge­sell­schaf­ten und übri­gen Geschäfts­stel­len in Euro­pa und der Schweiz dazu anzu­hal­ten, in den Per­so­nen­da­ten­be­stän­den meh­re­rer oder gar aller eschäfts­kun­den Such­auf­trä­ge auszuführen.

33. Somit erscheint frag­lich, ob der orga­ni­sa­ti­ons­spe­zi­fi­sche Inhalt der Per­so­nen­da­ten, die ein ein­zel­nes Bun­des­amt oder ein ein­zel­ner Bun­des­be­trieb wie die Suva in einer Cloud von Micro­soft bear­bei­ten lässt, im Rah­men ihres risi­ko­ba­sier­ten Ansat­zes ein geeig­ne­tes Kri­te­ri­um dar­stel­len kann, um die Wahr­schein­lich­keit eines Daten­zu­grif­fes durch frem­de Behör­den zu beur­tei­len. Aber auch, wenn man die Geeig­net­heit des Kri­te­ri­ums beja­hen woll­te, erwie­se sich die dar­auf gestütz­te tie­fe Bewer­tung die­ser Wahr­schein­lich­keit durch die Suva, die als Bun­des­or­gan zum erwei­ter­ten Kreis des Gemein­we­sens der Eid­ge­nos­sen­schaft gehört, in dem von ihr vor­ge­nom­me­nen Umfang als unzu­rei­chend begründet.

Des­halb und über­haupt sei die Beur­tei­lung der Wahr­schein­lich­keit des Zugriffs gestützt auf das erwähn­te For­mu­lar frag­lich:

36. Ins­ge­samt müss­te sich die Zuläs­sig­keit der Aus­la­ge­rung und der damit ein­her­ge­hen­den Mög­lich­keit einer Daten­be­kannt­ga­be in die USA als Staat ohne ange­mes­se­nes Daten­schutz­ni­veau selbst bei einer Beja­hung der recht­li­chen Zuläs­sig­keit des risi­ko­ba­sier­ten Ansat­zes der Suva als pro­ble­ma­tisch erwei­sen. Zum einen nahm sie die­se Bewer­tung unter Anwen­dung von organ­spe­zi­fi­schen Kri­te­ri­en vor, deren Geeig­net­heit zwei­fel­haft erscheint. Hin­zu kommt, dass die Suva die Wahr­schein­lich­keit eines Zugriffs durch US Behör­den in ihrer Schät­zung auf einen ver­nach­läs­sig­bar tie­fen Wert gesenkt hat, des­sen Her­lei­tung aus Sicht des EDÖB in tat­säch­li­cher Hin­sicht unzu­rei­chend begrün­det bleibt.

37. Die Suva hat die Wahr­schein­lich­keit eines Zugriffs durch eine Fremd­be­hör­de nicht nur tief aus­ge­wie­sen, son­dern auf­grund der ange­wand­ten Berech­nungs­me­tho­de mit einer bis auf Hun­dert­stel von Pro­zen­ten resp. mit auf Hun­der­te von Jah­ren extra­po­lier­ten Wahr­schein­lich­kei­ten bezif­fert. Die­ser Anspruch auf Wert­ge­nau­ig­keit weckt Zwei­fel, steht er doch in einem offen­sicht­li­chen Kon­trast zu den wei­ten Ermes­sens­band­brei­ten, die das Berech­nungs­mo­dell den Bear­bei­tungs­ver­ant­wort­li­chen für die Annah­men ein­räumt, aus denen sich das bezif­fer­te Risi­ko ableitet.

Falls die Suva am risi­ko­ba­sier­ten Ansatz fest­hält – was der EDÖB nicht aus­schliesst – sei daher eine Neu­be­ur­tei­lung erfor­der­lich:

40 Bei Fest­hal­ten an ihrem risi­ko­ba­sier­ten Ansatz rät der EDÖB der Suva, die mit der Aus­la­ge­rung eines Teils ihrer Per­so­nen­da­ten ein­her­ge­hen­den Risi­ken zeit­nah einer Neu­be­ur­tei­lung zu unter­zie­hen sowie ihre Pro­jekt­ent­schei­de an die ihr zugäng­li­chen Erkennt­nis­se über die rele­van­te Sach- und Rechts­la­ge anzu­pas­sen. Dazu gehört nach Auf­fas­sung des EDÖB die Berück­sich­ti­gung der rich­tungs­wei­sen­den Ent­schei­de im Rah­men der Cloud-Stra­te­gie des Bun­des sowie der vor­er­wähn­ten Ver­hand­lun­gen zu einer Nach­fol­ge­reg­lung zum auf­ge­kün­dig­ten Rah­men­werk Pri­va­cy Shield.

Zusam­men­fas­send hält der EDÖB fest,

Der EDÖB sieht zur­zeit kei­ne Ver­an­las­sung, den ihm zur Kennt­nis gebrach­ten Sach­ver­halt von Amtes wegen zu unter­su­chen. Je nach Ent­wick­lung der sach­ver­hält­li­chen Situa­ti­on und Rechts­la­ge behält er sich jedoch vor, in einem spä­te­ren Zeit­punkt auf­sichts­recht­lich tätig zu werden.

Ant­wort der Suva

Der EDÖB hat zusam­men mit sei­ner Stel­lung­nah­me auch die Ant­wort der Suva vom 9. Juni 2022 ver­öf­fent­licht. Die Suva ist nicht der Mei­nung des EDÖB. Ihre Haupt­ein­wän­de las­sen sich wie folgt zusammenfassen:

  • Die Suva schliesst den Ver­trag für die Cloud-Nut­zung nicht mit der US-Gesell­schaft, Micro­soft Corp., son­dern mit der iri­schen Toch­ter, Micro­soft Ope­ra­ti­ons. Soll­te es zu einer Bekannt­ga­be von die­ser in die USA kom­men, gel­ten zwi­schen den Micro­soft-Gesell­schaf­ten die Standardvertragsklauseln.
  • Der CLOUD Act erlaubt einen Daten­zu­griff nur in einem Rah­men, der im Wesent­li­chen der von der Schweiz rati­fi­zier­ten Cybercrime Con­ven­ti­on (CCC) ent­spricht. Ein Daten­zu­griff ist danach nur mög­lich, wenn eine der US-Gerichts­bar­keit unter­ste­hen­de Gesell­schaft effek­tiv Zugriff auf die frag­li­chen Daten hat (“pos­ses­si­on, custo­dy or con­trol”). Das ist bei der US-Gesell­schaft von Micro­soft bezo­gen auf die inter­es­sie­ren­den Daten offen­bar nicht der Fall:

    … sor­gen wir dafür, dass Micro­soft sich auf den Stand­punkt stel­len kann und muss, dass ihr US-Mut­ter­haus (und nur die­ses unter­liegt dem SCA) weder «day-to-day con­trol» noch über «legal con­trol» bezüg­lich unse­rer Daten im Klar­text hat (und schon gar nicht «Pos­ses­si­on» oder «Custo­dy», weil die Daten nur in der Schweiz und von einer ande­ren Gesell­schaft gespei­chert sind). Auf die­se Wei­se kön­nen selbst nach US-Recht Zugrif­fe abge­wie­sen werden.

  • Die “Metho­de Rosen­thal” ist dif­fe­ren­zier­ter und ganz­heit­li­cher als die Anlei­tung des EDÖB, ist mit die­ser kom­pa­ti­bel, und eine bes­se­re Metho­de ist nicht bekannt.
  • Der risi­ko­ba­sier­te Ansatz ist dem schwei­ze­ri­schen Daten­schutz­recht imma­nent, und er gilt auch für Auslandsbekanntgaben.
  • Wür­de die Schweiz den risi­ko­ba­sier­ten Ansatz hier auf­ge­ben, müss­ten inter­na­tio­na­le Daten­trans­fers in Staa­ten wie die USA gene­rell unter­sagt werden.
  • Schrems II lässt den risi­ko­ba­sier­ten Ansatz zu.
  • Die rele­van­ten Grund­la­gen des US-Rechts kom­men in casu nicht zur Anwendung.

Anmer­kun­gen

Zunächst fragt sich, was der EDÖB in sei­ner Stel­lung­nah­me sagt. Man darf die Aus­sa­gen wohl etwa wie folgt lesen:

  • Ob der risi­ko­ba­sier­te Ansatz zuläs­sig ist, kann oder will der EDÖB nicht abschlie­ssend beur­tei­len, aber jeden­falls scheut er davor zurück, den risi­ko­ba­sier­ten Ansatz zu bestätigen.
  • Es ist zwei­fel­haft, ob die Risi­ken mit dem ver­wen­de­ten For­mu­lar kor­rekt ein­ge­schätzt wur­den – die Wahr­schein­lich­keits­wer­te sind nicht über­zeu­gend, weil ihre Her­lei­tung nicht aus­rei­chend klar war, und ohne­hin ist der “Anspruch auf Wert­ge­nau­ig­keit” zweifelhaft.
  • Die Suva sol­le eine Neu­be­ur­tei­lung vor­neh­men. Bis dahin ist viel­leicht ein neu­er Pri­va­cy Shield abseh­bar, und man soll­te auch war­ten, bis die Ergeb­nis­se des Test­be­triebs der Micro­soft Cloud durch den Bund vorliegen.

Der EDÖB hat mit ande­ren Wor­ten in ver­schie­de­ner Hin­sicht Zwei­fel ange­merkt, sich inhalt­lich aber nicht fest­ge­legt.

Dazu sind eini­ge Punk­te anzumerken:

  • Schrems II ist für die Schweiz nicht ver­bind­lich. Auch Leit­li­ni­en des EDSA sind es nicht. Selbst inner­halb des EWR sind Behör­den­mei­nun­gen nicht ver­bind­lich. Die Schweiz hat ein eigen­stän­di­ges Daten­schutz­recht, auch wenn es die Augen vor der DSGVO zu Recht nicht ver­schliesst. Eine Über­nah­me des EU-Rechts kann rich­tig und sinn­voll sein, aber nur im Rah­men des schwei­ze­ri­schen Rechts.
  • Der Wort­laut von Art. 6 DSG zeigt gera­de, dass betrof­fe­ne Per­so­nen bei Aus­lands­über­mitt­lun­gen vor schwer­wie­gen­den Per­sön­lich­keits­ver­let­zun­gen geschützt wer­den sol­len. Deut­li­cher kann man einen risi­ko­ba­sier­ten Ansatz nicht for­mu­lie­ren. Nicht jede Über­mitt­lung in einen Staat mit schwä­cher aus­ge­präg­tem Rechts­schutz führt zu einer schwe­ren Per­sön­lich­keits­ver­let­zung. Das DSG macht betrof­fe­ne Per­so­nen nicht zum Pfand poli­ti­scher Auseinandersetzungen.
  • Dass bestimm­te Grund­la­gen des US-Rechts aus schwei­ze­ri­scher Sicht man­gel­haft sind, trifft zu. Solan­ge sie in einem kon­kre­ten Fall nicht zur Anwen­dung kom­men, haben die­se Grund­la­gen aber kei­ne kon­kre­te Bedeu­tung und kön­nen nicht zu einer Per­sön­lich­keits­ver­let­zung füh­ren, schon gar nicht zu einer schwerwiegenden.
  • Die­se Prü­fung – ob das defi­zi­tä­re US-Recht zur Anwen­dung kommt –, hat der EDÖB unter­las­sen, mit dem Argu­ment, es feh­le ein risi­ko­ba­sier­ter Ansatz. Damit wer­den zwei Fra­gen ver­mischt: Unter wel­chen Vor­aus­set­zun­gen und wor­auf sind die­se Geset­ze über­haupt anwend­bar, und – falls sie es sind – mit wel­cher Wahr­schein­lich­keit macht sie sich eine Behör­de zunut­ze. Nur die zwei­te Fra­ge ver­dient den Namen “risi­ko­ba­sier­ter Ansatz”. Die erste Fra­ge darf man aber nicht ausser Acht lassen.
  • Das For­mu­lar von David Rosen­thal ver­wen­det Wahr­schein­lich­keits­wer­te nicht, weil ein Genau­ig­keits­an­spruch besteht, son­dern zur Selbst­re­fle­xi­on bei einer anson­sten gefühls­mä­ssi­gen Risi­ko­ein­schät­zung (das zeigt die Stel­lung­nah­me des EDÖB) und als Instru­ment der Risi­ko­kom­mu­ni­ka­ti­on. Selbst­ver­ständ­lich gilt “gar­ba­ge in, gar­ba­ge out”, aber bei wel­cher Ein­schät­zung nicht?
  • Ande­re Behör­den haben den risi­ko­ba­sier­ten Ansatz akzep­tiert, nicht nur der Zür­cher Regie­rungs­rat, son­dern auch eine bekann­te Staats­an­walt­schaft für Berufs­ge­heim­nis­se (eine daten­recht­li­che, aber kei­ne daten­schutz­recht­li­che Fra­ge, aber Berufs­ge­heim­nis­se schüt­zen den Geheim­nis­wil­len umfas­send – wenn einer Daten­be­kannt­ga­be kein Geheim­nis ent­ge­gen­steht, dann auch nicht der Datenschutz).

Ins­ge­samt drängt sich der Ein­druck auf, dass der EDÖB sei­ne eige­ne Posi­ti­on nach allen Sei­ten schützt. In Anbe­tracht der nach wie vor nicht erneut bestä­ti­gen Ange­mes­sen­heit des schwei­ze­ri­schen Schutz­ni­veaus soll hier wohl eine Flan­ke ver­mie­den wer­den – unver­ständ­lich ist das nicht, denn wenn das schwei­ze­ri­sche Recht gera­de bei der Fra­ge der Aus­lands­über­mitt­lung einen ande­ren Stan­dard hat, droht die Schweiz aus Sicht der EU zur Dreh­schei­be unge­re­gel­ter Daten­flüs­se zu wer­den. Gleich­zei­tig ist dem EDÖB bewusst, dass ein kon­se­quen­ter Null­ri­si­ko­an­satz zum Kol­laps der schwei­ze­ri­schen Wirt­schaft füh­ren wür­de. Es gäbe nicht nur kei­ne Teams-Calls mehr – auch kei­ne glo­ba­len Kon­zer­ne und kei­ne inter­na­tio­na­le Krebs­for­schung. Es gibt für inter­na­tio­na­le Daten­über­mitt­lun­gen kei­ne rea­li­sti­sche Alter­na­ti­ve. Ein Null­ri­si­ko­an­satz nimmt die gesam­te Wirt­schaft für poli­ti­sche Aus­ein­an­der­set­zun­gen in Gei­sel­haft, mit dem Argu­ment, dass die USA unter bestimm­ten Vor­aus­set­zun­gen – die man nicht prüft! – auf bestimm­te Daten­ka­te­go­rien zu weit­ge­hend Zugriff neh­men kann.

Ins­ge­samt bleibt zwar Dank­bar­keit, dass in der Schweiz ein guter Aus­tausch zwi­schen der Auf­sichts­be­hör­de und den rechts­an­wen­den­den Behör­den und den Unter­neh­men besteht, aber auch eine gewis­se Rat­lo­sig­keit und der Ein­druck einer viel­leicht etwas mut­lo­sen Hal­tung gegen­über der EU. Der EDÖB hat nach Art. 28 und Art. 31 DSG die Auf­ga­be, Pri­va­ten und Orga­nen des Bun­des und der Kan­to­ne in Fra­gen des Daten­schut­zes zur Sei­te zu ste­hen, eben­so wie nach Art. 58 revDSG. Das ver­langt, in einem sich so rasch ent­wickeln­den, so kom­ple­xen und so weit­rei­chen­den Rechts­be­reich zur Rechts­si­cher­heit beizutragen.