Der EDÖB hat am 13. Juni 2022 eine auf den 13. Mai 2022 datierte “Stellungnahme zur Datenschutz Risikobeurteilung der Suva zum Projekt Digital Workspace ‘M365’ ” veröffentlicht. Das Dokument ist hier zusammen mit einer Zusammenfassung und mit einer Antwort der Suva dazu (s. unten) abrufbar.
Ausgangslage
Der Stellungnahme zufolge hat die Suva dem EDÖB eine Dokumentation zum Projekt zugestellt, bei dem es um eine Auslagerung bestimmter Personendaten der Suva an Microsoft ging, mit Datenstandort Schweiz und auf Basis des Vertragswerks von Microsoft mit der schweizerischen Informatikkonferenz SIK.
Offenbar war unbestritten, dass die Auslagerung potentiell zu einem Zugriff amerikanischer Behörden führen könnte:
11. Die Suva geht davon aus, dass sich mit der Auslagerung eines Teils der Personendatenbearbeitung in eine vom US-amerikanischen Konzern Microsoft auf schweizerischem Territorium betriebene Cloud die Frage möglicher Zugriffe von US-amerikanischen Behörden auf die ausgelagerten Daten stellt.
12. Die Suva geht damit sinngemäss davon aus, dass mit der beschlossenen Auslagerung ein Datenexport in die USA einhergehen könnte.
Die Suva hatte in der dem EDÖB vorgelegten Dokumentation das Risiko eines Zugriffs als sehr niedrig eingestuft:
Im Rahmen ihres risikobasierten Ansatzes hält die Suva fest, dass sich die mit der Datenauslagerung einhergehende Möglichkeit eines justizförmigen, d.h. auf Rechtshilfeersuchen oder den US-Cloud Act gestützten, behördlichen Zugriffs auf die ausgelagerten Personendaten für den Betrachtungszeitraum von 5 Jahren «auf 2.52 % belaufe und damit höchst unwahrscheinlich sei». Bei diesem Wert, so die Suva, «komme es mit einer Wahrscheinlichkeit von 90 % statistisch gesehen (bei gleichbleibender Wahrscheinlichkeit) alle 903 Jahre mindestens ein Mal zu einem erfolgreichen Lawful Access». Auch unter Einschluss nicht justizförmiger Zugriffe durch US Nachrichtendienste schätzt die Suva die von ihr als «Risiko» bezeichnete Wahrscheinlichkeit insgesamt als «höchst unwahrscheinlich» ein, obwohl sie einräumt, dass «eine Unsicherheit bestehen bleibe» Zur Begründung führt sie namentlich an, dass die in die Cloud ausgelagerten Daten kaum Inhalte umfassten, die typischerweise Gegenstand von nachrichtendienstlichen Suchaufträgen aus diesem Land seien.
Dabei hat sich die Suva gemäss der Stellungnahme des EDÖB auf das inzwischen verbreitet eingesetzte Risikobeurteilungsmodell von David Rosenthal gestützt.
Stellungnahme des EDÖB
Der EDÖB hält in seiner Stellungnahme u.a. fest, dass die Suva die Zulässigkeit der geplanten Auslagerung
… nach Massgabe eines risikobasierten Ansatzes beurteilt hat, der sie zum Ergebnis geführt hat, dass diese keine hohen Risiken für ihre Versicherten, die Patienten ihrer Kliniken sowie ihre Mitarbeitenden und sonstigen betroffenen Personen mit sich bringe. Aufgrund dieses Beurteilungsergebnisses hätte somit auch bei einer Geltung des neuen Rechts keine Vorlagepflicht gegenüber dem EDÖB bestanden.
Dieser “risikobasierte” Ansatz ist unter Beschuss, besonders aus Österreich. Er kann für sich aber die Leitlinien des EDSA zu Schrems II-Massnahmen in Anspruch nehmen, in denen der EDSA klar festgehalten hatte, dass ein sog. risikobasierter Ansatz gelte:
… you may decide to proceed with the transfer without being required to implement supplementary measures, if you consider that you have no reason to believe that relevant and problematic legislation will be applied, in practice, to your transferred data and/or importer.
Auch die aktuellen Standardvertragsklauseln enthalten in Klausel 14 eine ähnliche Formulierung:
a) Die Parteien sichern zu, keinen Grund zu der Annahme zu haben, dass die für die Verarbeitung personenbezogener Daten durch den Datenimporteur geltenden Rechtsvorschriften und Gepflogenheiten im Bestimmungsdrittland, einschließlich Anforderungen zur Offenlegung personenbezogener Daten oder Maßnahmen, die öffentlichen Behörden den Zugang zu diesen Daten gestatten, den Datenimporteur an der Erfüllung seiner Pflichten gemäß diesen Klauseln hindern. …
Der EDÖB hat seinerseits im Juni 2021 eine “Anleitung für die Prüfung der Zulässigkeit von Datenübermittlungen mit Auslandbezug (nach Art. 6 Abs. 2 lit. a DSG)” veröffentlicht (mit einer wichtigen, aber nie ausgewiesenen Anpassung; siehe dazu S. 7 der Stellungnahme der Suva). Darin hat er sich weder eindeutig zu diesem risikobasierten Ansatz noch zu seinem Gegenteil – dem Nullrisikoansatz – bekannt.
Auf diese Anleitung von Juni 2021 bezieht sich der EDÖB nun in der Stellungnahme zum Projekt der Suva. Zunächst geht er von folgenden Rechtsgrundlagen in den USA aus:
18. In casu ist der US Konzern Microsoft und die dazugehörenden Unternehmenseinheiten in der ganzen Welt und somit auch in der Schweiz dem US-Cloud Act unterstellt. Dieser verpflichtet alle Unternehmenseinheiten, Zugriffe auf Personendaten durch US-Behörden auch dann zu gewährleisten, wenn die Datenspeicherung nicht in den USA erfolgt. Das Vorgehen nach Cloud Act erfolgt ohne Beachtung der von der schweizerischen Rechtsordnung verlangten Verfahren und Garantien. Zudem versetzen die USA ihre Sicherheitsbehörden und Nachrichtendienste rechtlich und faktisch in die Lage, die auf US-Territorium ansässigen Mutterkonzerne dazu anzuhalten, ihren Geschäftsstellen im Ausland Aufträge zur Beschaffung von Personendaten ausländischer Staatsbürger zu erteilen.
Im Anschluss daran finden sich die relevanten Ausführungen des EDÖB. Zunächst seien im Gesetz keine Hinweise auf einen risikobasierten Ansatz zu finden (was nicht zutrifft, dazu unten):
26. … Die Anforderungen für Datenübermittlungen in Staaten ohne angemessenen Datenschutz sind im Gesetz aufgezählt. Hinweise auf Rechtfertigungsgründe oder Auslegungsargumente, die sich auf eine Differenzierung der nachrichtendienstlichen Interessenlage einzelner Exportstaaten und unternehmens- oder organspezifischen Inhalte der übermittelten Daten abstützen liessen, finden sich dort indessen nicht. Ebensowenig enthält der Gesetzeswortlaut Hinweise auf einen risikobasierten Ansatz zur Gewährleistung eines angemessenen Schutzes. Daraus lässt sich nach Auffassung des EDÖB zwar nicht ableiten, dass risikobasierte Argumente im Sinne einer Ergänzung des von ihm empfohlenen Prüfverfahrens von Gesetzes wegen zwingend ausgeschlossen wären. Ergänzende Argumente dürfen jedoch nicht dazu führen, dass die im behördlichen Kontext grundrechtlich verbürgten Garantien aufgeweicht werden.
27. Vor diesem Hintergrund erscheint für den Beauftragten zumindest fraglich, ob der risikobasierte Ansatz rechtlich zulässig ist und angerufen werden darf, um die hier zur Diskussion stehenden Datenauslagerung zu rechtfertigen.
Anschliessend vertritt der EDÖB, dass “Mächte” mit unzureichendem Schutz “grundsätzlich alle Arten von Informationen akkumulieren”:
31 … Es ist bekannt, dass die Sicherheitsbehörden und Nachrichtendienste solcher Staaten flächendeckende Recherchen über ihre Zielpersonen anzustellen pflegen. Sie verfügen über rechtliche Befugnisse und tatsächliche Möglichkeiten, die auf ihrem Territorium ansässigen Mutterkonzerne dazu zu veranlassen, Cloud-Daten sämtlicher Geschäftskunden nach Hinweisen auf Zielpersonen zu durchsuchen, die es den Diensten ermöglichen, ein möglichst umfassendes, lückenloses und intimes Bild ihrer Zielpersonen zu erlangen. Es muss mit anderen Worten damit gerechnet werden, dass die Nachrichtendienste von Mächten, die Drittstaatenangehörigen keinen hinreichenden Datenschutz gewährleisten, grundsätzlich alle Arten von Informationen akkumulieren, ohne dass dies für die Betroffenen erkennbar würde oder dass ihnen dagegen ein mit dem schweizerischen Recht vergleichbarer Rechtsschutz gewährt würde. Es muss weiter damit gerechnet werden, dass die Nachrichtendienste dieser Staaten insbesondere den Grundätzen der Zweckbindung und Verhältnismässigkeit geringe Bedeutung einräumen und von ihren Zielpersonen regelmässig auch private und intime Informationen wie Gesundheitsdaten beschaffen. Vor diesem Hintergrund stiesse die Annahme der Suva, wonach die ausgelagerten Daten kaum Inhalte umfassen, die typischerweise Gegenstand von nachrichtendienstlichen Suchaufträgen sein könnten, selbst bei einer Bejahung der Zulässigkeit ihres risikobasierten Ansatzes auf Bedenken.
Zudem zielen solche Mächte auf das Gemeinwesen als ganzes und nicht nur auf einzelne Datenkategorien:
32 Nach Auffassung des Beauftragten sollten Bundesorgane, die Teil eines engeren oder erweiterten Kreises der öffentlichen Verwaltung des Bundes sind, vor der Auslagerung von Personendaten berücksichtigen, dass die nachrichtendienstliche Datenbeschaffung fremder Staaten ohne angemessene Datenschutzgesetzgebung in der Regel gegen ausländische Gemeinwesen als Ganzes abzielt. Die Behörden solcher Staaten können zur Erreichung ihrer Beschaffungsziele hohen Druck auf die auf ihrem Territorium ansässigen Mutterkonzerne ausüben. Letztere wiederum können sich so veranlasst sehen, ihre Tochtergesellschaften und übrigen Geschäftsstellen in Europa und der Schweiz dazu anzuhalten, in den Personendatenbeständen mehrerer oder gar aller eschäftskunden Suchaufträge auszuführen.
33. Somit erscheint fraglich, ob der organisationsspezifische Inhalt der Personendaten, die ein einzelnes Bundesamt oder ein einzelner Bundesbetrieb wie die Suva in einer Cloud von Microsoft bearbeiten lässt, im Rahmen ihres risikobasierten Ansatzes ein geeignetes Kriterium darstellen kann, um die Wahrscheinlichkeit eines Datenzugriffes durch fremde Behörden zu beurteilen. Aber auch, wenn man die Geeignetheit des Kriteriums bejahen wollte, erwiese sich die darauf gestützte tiefe Bewertung dieser Wahrscheinlichkeit durch die Suva, die als Bundesorgan zum erweiterten Kreis des Gemeinwesens der Eidgenossenschaft gehört, in dem von ihr vorgenommenen Umfang als unzureichend begründet.
Deshalb und überhaupt sei die Beurteilung der Wahrscheinlichkeit des Zugriffs gestützt auf das erwähnte Formular fraglich:
36. Insgesamt müsste sich die Zulässigkeit der Auslagerung und der damit einhergehenden Möglichkeit einer Datenbekanntgabe in die USA als Staat ohne angemessenes Datenschutzniveau selbst bei einer Bejahung der rechtlichen Zulässigkeit des risikobasierten Ansatzes der Suva als problematisch erweisen. Zum einen nahm sie diese Bewertung unter Anwendung von organspezifischen Kriterien vor, deren Geeignetheit zweifelhaft erscheint. Hinzu kommt, dass die Suva die Wahrscheinlichkeit eines Zugriffs durch US Behörden in ihrer Schätzung auf einen vernachlässigbar tiefen Wert gesenkt hat, dessen Herleitung aus Sicht des EDÖB in tatsächlicher Hinsicht unzureichend begründet bleibt.
37. Die Suva hat die Wahrscheinlichkeit eines Zugriffs durch eine Fremdbehörde nicht nur tief ausgewiesen, sondern aufgrund der angewandten Berechnungsmethode mit einer bis auf Hundertstel von Prozenten resp. mit auf Hunderte von Jahren extrapolierten Wahrscheinlichkeiten beziffert. Dieser Anspruch auf Wertgenauigkeit weckt Zweifel, steht er doch in einem offensichtlichen Kontrast zu den weiten Ermessensbandbreiten, die das Berechnungsmodell den Bearbeitungsverantwortlichen für die Annahmen einräumt, aus denen sich das bezifferte Risiko ableitet.
Falls die Suva am risikobasierten Ansatz festhält – was der EDÖB nicht ausschliesst – sei daher eine Neubeurteilung erforderlich:
40 Bei Festhalten an ihrem risikobasierten Ansatz rät der EDÖB der Suva, die mit der Auslagerung eines Teils ihrer Personendaten einhergehenden Risiken zeitnah einer Neubeurteilung zu unterziehen sowie ihre Projektentscheide an die ihr zugänglichen Erkenntnisse über die relevante Sach- und Rechtslage anzupassen. Dazu gehört nach Auffassung des EDÖB die Berücksichtigung der richtungsweisenden Entscheide im Rahmen der Cloud-Strategie des Bundes sowie der vorerwähnten Verhandlungen zu einer Nachfolgereglung zum aufgekündigten Rahmenwerk Privacy Shield.
Zusammenfassend hält der EDÖB fest,
Der EDÖB sieht zurzeit keine Veranlassung, den ihm zur Kenntnis gebrachten Sachverhalt von Amtes wegen zu untersuchen. Je nach Entwicklung der sachverhältlichen Situation und Rechtslage behält er sich jedoch vor, in einem späteren Zeitpunkt aufsichtsrechtlich tätig zu werden.
Antwort der Suva
Der EDÖB hat zusammen mit seiner Stellungnahme auch die Antwort der Suva vom 9. Juni 2022 veröffentlicht. Die Suva ist nicht der Meinung des EDÖB. Ihre Haupteinwände lassen sich wie folgt zusammenfassen:
- Die Suva schliesst den Vertrag für die Cloud-Nutzung nicht mit der US-Gesellschaft, Microsoft Corp., sondern mit der irischen Tochter, Microsoft Operations. Sollte es zu einer Bekanntgabe von dieser in die USA kommen, gelten zwischen den Microsoft-Gesellschaften die Standardvertragsklauseln.
- Der CLOUD Act erlaubt einen Datenzugriff nur in einem Rahmen, der im Wesentlichen der von der Schweiz ratifizierten Cybercrime Convention (CCC) entspricht. Ein Datenzugriff ist danach nur möglich, wenn eine der US-Gerichtsbarkeit unterstehende Gesellschaft effektiv Zugriff auf die fraglichen Daten hat (“possession, custody or control”). Das ist bei der US-Gesellschaft von Microsoft bezogen auf die interessierenden Daten offenbar nicht der Fall:
… sorgen wir dafür, dass Microsoft sich auf den Standpunkt stellen kann und muss, dass ihr US-Mutterhaus (und nur dieses unterliegt dem SCA) weder «day-to-day control» noch über «legal control» bezüglich unserer Daten im Klartext hat (und schon gar nicht «Possession» oder «Custody», weil die Daten nur in der Schweiz und von einer anderen Gesellschaft gespeichert sind). Auf diese Weise können selbst nach US-Recht Zugriffe abgewiesen werden.
- Die “Methode Rosenthal” ist differenzierter und ganzheitlicher als die Anleitung des EDÖB, ist mit dieser kompatibel, und eine bessere Methode ist nicht bekannt.
- Der risikobasierte Ansatz ist dem schweizerischen Datenschutzrecht immanent, und er gilt auch für Auslandsbekanntgaben.
- Würde die Schweiz den risikobasierten Ansatz hier aufgeben, müssten internationale Datentransfers in Staaten wie die USA generell untersagt werden.
- Schrems II lässt den risikobasierten Ansatz zu.
- Die relevanten Grundlagen des US-Rechts kommen in casu nicht zur Anwendung.
Anmerkungen
Zunächst fragt sich, was der EDÖB in seiner Stellungnahme sagt. Man darf die Aussagen wohl etwa wie folgt lesen:
- Ob der risikobasierte Ansatz zulässig ist, kann oder will der EDÖB nicht abschliessend beurteilen, aber jedenfalls scheut er davor zurück, den risikobasierten Ansatz zu bestätigen.
- Es ist zweifelhaft, ob die Risiken mit dem verwendeten Formular korrekt eingeschätzt wurden – die Wahrscheinlichkeitswerte sind nicht überzeugend, weil ihre Herleitung nicht ausreichend klar war, und ohnehin ist der “Anspruch auf Wertgenauigkeit” zweifelhaft.
- Die Suva solle eine Neubeurteilung vornehmen. Bis dahin ist vielleicht ein neuer Privacy Shield absehbar, und man sollte auch warten, bis die Ergebnisse des Testbetriebs der Microsoft Cloud durch den Bund vorliegen.
Der EDÖB hat mit anderen Worten in verschiedener Hinsicht Zweifel angemerkt, sich inhaltlich aber nicht festgelegt.
Dazu sind einige Punkte anzumerken:
- Schrems II ist für die Schweiz nicht verbindlich. Auch Leitlinien des EDSA sind es nicht. Selbst innerhalb des EWR sind Behördenmeinungen nicht verbindlich. Die Schweiz hat ein eigenständiges Datenschutzrecht, auch wenn es die Augen vor der DSGVO zu Recht nicht verschliesst. Eine Übernahme des EU-Rechts kann richtig und sinnvoll sein, aber nur im Rahmen des schweizerischen Rechts.
- Der Wortlaut von Art. 6 DSG zeigt gerade, dass betroffene Personen bei Auslandsübermittlungen vor schwerwiegenden Persönlichkeitsverletzungen geschützt werden sollen. Deutlicher kann man einen risikobasierten Ansatz nicht formulieren. Nicht jede Übermittlung in einen Staat mit schwächer ausgeprägtem Rechtsschutz führt zu einer schweren Persönlichkeitsverletzung. Das DSG macht betroffene Personen nicht zum Pfand politischer Auseinandersetzungen.
- Dass bestimmte Grundlagen des US-Rechts aus schweizerischer Sicht mangelhaft sind, trifft zu. Solange sie in einem konkreten Fall nicht zur Anwendung kommen, haben diese Grundlagen aber keine konkrete Bedeutung und können nicht zu einer Persönlichkeitsverletzung führen, schon gar nicht zu einer schwerwiegenden.
- Diese Prüfung – ob das defizitäre US-Recht zur Anwendung kommt –, hat der EDÖB unterlassen, mit dem Argument, es fehle ein risikobasierter Ansatz. Damit werden zwei Fragen vermischt: Unter welchen Voraussetzungen und worauf sind diese Gesetze überhaupt anwendbar, und – falls sie es sind – mit welcher Wahrscheinlichkeit macht sie sich eine Behörde zunutze. Nur die zweite Frage verdient den Namen “risikobasierter Ansatz”. Die erste Frage darf man aber nicht ausser Acht lassen.
- Das Formular von David Rosenthal verwendet Wahrscheinlichkeitswerte nicht, weil ein Genauigkeitsanspruch besteht, sondern zur Selbstreflexion bei einer ansonsten gefühlsmässigen Risikoeinschätzung (das zeigt die Stellungnahme des EDÖB) und als Instrument der Risikokommunikation. Selbstverständlich gilt “garbage in, garbage out”, aber bei welcher Einschätzung nicht?
- Andere Behörden haben den risikobasierten Ansatz akzeptiert, nicht nur der Zürcher Regierungsrat, sondern auch eine bekannte Staatsanwaltschaft für Berufsgeheimnisse (eine datenrechtliche, aber keine datenschutzrechtliche Frage, aber Berufsgeheimnisse schützen den Geheimniswillen umfassend – wenn einer Datenbekanntgabe kein Geheimnis entgegensteht, dann auch nicht der Datenschutz).
Insgesamt drängt sich der Eindruck auf, dass der EDÖB seine eigene Position nach allen Seiten schützt. In Anbetracht der nach wie vor nicht erneut bestätigen Angemessenheit des schweizerischen Schutzniveaus soll hier wohl eine Flanke vermieden werden – unverständlich ist das nicht, denn wenn das schweizerische Recht gerade bei der Frage der Auslandsübermittlung einen anderen Standard hat, droht die Schweiz aus Sicht der EU zur Drehscheibe ungeregelter Datenflüsse zu werden. Gleichzeitig ist dem EDÖB bewusst, dass ein konsequenter Nullrisikoansatz zum Kollaps der schweizerischen Wirtschaft führen würde. Es gäbe nicht nur keine Teams-Calls mehr – auch keine globalen Konzerne und keine internationale Krebsforschung. Es gibt für internationale Datenübermittlungen keine realistische Alternative. Ein Nullrisikoansatz nimmt die gesamte Wirtschaft für politische Auseinandersetzungen in Geiselhaft, mit dem Argument, dass die USA unter bestimmten Voraussetzungen – die man nicht prüft! – auf bestimmte Datenkategorien zu weitgehend Zugriff nehmen kann.
Insgesamt bleibt zwar Dankbarkeit, dass in der Schweiz ein guter Austausch zwischen der Aufsichtsbehörde und den rechtsanwendenden Behörden und den Unternehmen besteht, aber auch eine gewisse Ratlosigkeit und der Eindruck einer vielleicht etwas mutlosen Haltung gegenüber der EU. Der EDÖB hat nach Art. 28 und Art. 31 DSG die Aufgabe, Privaten und Organen des Bundes und der Kantone in Fragen des Datenschutzes zur Seite zu stehen, ebenso wie nach Art. 58 revDSG. Das verlangt, in einem sich so rasch entwickelnden, so komplexen und so weitreichenden Rechtsbereich zur Rechtssicherheit beizutragen.