Interpellation Schwaab (13.3033): Wie können Personendaten von Schweizer Bürgerinnen und Bürgern in den Händen amerikanischer Unternehmen geschützt werden?
Abgeschrieben (20.03.2015)
Eingereichter Text
In den USA können die Behörden gestützt auf den Foreign Intelligence and Surveillance Act (Fisa) von amerikanischen Unternehmen die Herausgabe von Personendaten aus der Datenwolke (cloud) von Bürgerinnen und Bürgern aus Drittstaaten verlangen. Zu den Daten, die kontrolliert werden können, gehören beispielsweise solche, die mit politischen Organisationen zusammenhängen. Unter den Unternehmen, die über sehr grosse Datenmengen von Schweizerinnen und Schweizern verfügen, befinden sich Namen wie Google, Facebook oder Twitter. Im Grunde könnte es so allen in der Schweiz lebenden Personen passieren, dass ihre persönlichen Daten an ausländische Behörden übermittelt und von diesen unter Missachtung des Bundesgesetzes über den Datenschutz (DSG) und/oder der Verfahrensgarantien, insbesondere denen des Strafverfahrens, verwendet werden. Die Europäische Union (EU) zeigt sich von diesem amerikanischen Gesetz beunruhigt und räumt ein, diesen Punkt “trotz der Probleme im Zusammenhang mit der Datenhoheit und dem Schutz der Bürgerrechte vernachlässigt” zu haben (vgl. Bericht des Europäischen Parlamentes “Fighting cyber crime and protecting privacy in the cloud”, 2012).
Aus diesem Grund stelle ich dem Bundesrat folgende Fragen:
1. Sind ihm die Auswirkungen des amerikanischen Fisa bekannt? Wie schätzt er dieses Gesetz ein, und welche Schritte hat er in diesem Zusammenhang unternommen?
2. Was beabsichtigt er zu tun, um Verletzungen des DSG durch ausländische Unternehmen, die Personendaten von Schweizerinnen und Schweizern bearbeiten, zu verhindern?
3. Was will er tun, um die Anwendung der Schweizer Datenschutzbestimmungen bei Daten zu garantieren, die in der Schweiz von ausländischen Unternehmen gesammelt werden, die selbst keine Niederlassung in der Schweiz haben?
4. Wird er gegenüber den USA (oder anderen Staaten, die ähnliche Rechtsbestimmungen haben wie den Fisa) intervenieren, damit die Anwendung solcher Bestimmungen unserer Gesetzgebung zum Datenschutz nicht widerspricht?
5. Wie gedenkt er die Verfahrensrechte der Bürgerinnen und Bürger (Straf- oder Zivilverfahren, gemäss Schweizer oder ausländischem Recht), deren Daten auf Grundlage des Fisa weitergegeben oder kontrolliert werden, zu garantieren?
6. Wie möchte er sicherstellen, dass die überwachten Daten nicht für Rechtsakte verwendet werden, die nicht dem Schweizer Strafrecht unterstehen (z. B. “Gesinnungsdelikte”)?
7. Können diese Vorgänge mit den geltenden Gesetzen verhindert werden? Wenn nicht, wann wird er deren Verschärfung vorschlagen?
<
h1>Stellungnahme des Bundesrats
<
h1>
Eine Datenbeschaffung ohne das Wissen der betroffenen Personen gehört zum Modus Operandi von Nachrichtendiensten. Durch neue Technologien – namentlich durch das dezentrale, ortsunabhängige Speichern und Bearbeiten von grossen Datenmengen (“Cloud Computing”) – ergeben sich indessen in grossem Ausmass Möglichkeiten zur Überwachung von Schweizer Bürgern durch ausländische Behörden, bei welchen unter Umständen nicht dieselbe Auffassung vom Datenschutz oder von den Aufgaben des Nachrichtendienstes wie in der Schweiz vorherrscht. Mit Bezug auf den Foreign Intelligence Surveillance Amendment Act der USA (Fisa) wird in einer Studie des Europäischen Parlamentes auf das Risiko einer solchen Überwachung hingewiesen; dieses Risiko besteht allerdings nicht allein seitens der USA.
Der Bundesrat antwortet auf die gestellten Fragen wie folgt:
1. Der Bundesrat ist sich der Risiken, die in der Interpellation aufgezeigt werden, bewusst, hat aber keine Kenntnis von konkreten Fällen, in welchen Persönlichkeitsrechte von Schweizer Bürgern auf Basis des Fisa verletzt wurden. Deshalb hat er bis zum heutigen Zeitpunkt bezüglich dieses Gesetzes noch keine Schritte bei den US-Behörden unternommen. Wer soziale Netzwerke benutzt, muss sich der damit verbundenen Risiken bewusst sein. Dazu gehören der Kontrollverlust einmal ins Netz gestellter Informationen sowie die in diesem Zusammenhang fehlenden Einflussmöglichkeiten der schweizerischen Behörden. Es obliegt jedem Einzelnen, solche Risiken richtig einzuschätzen und sich entsprechend vorsichtig zu verhalten. In diesem Zusammenhang ist auf das Programm “Jugend und Medien” des Bundes hinzuweisen, welches zum Ziel hat, Kinder und Jugendliche sowie deren Eltern, Lehr- und Erziehungspersonen auf die Chancen und Gefahren der neuen Medien zu sensibilisieren (http://www.bsv.admin.ch/themen/kinder_jugend_alter/00071/03045/).
2. Der Bundesrat ist der Auffassung, dass es hauptsächlich die Aufgabe des Edöb ist, im Rahmen seiner Beratungsfunktion Massnahmen zu ergreifen, welche darauf abzielen, Internetnutzer zu sensibilisieren und den Inhabern von Datensammlungen ihre Verantwortung bewusstzumachen. Der Edöb hat denn auch Erläuterungen zu Cloud Computing veröffentlicht. Innerhalb der durch das Territorialitätsprinzip gesetzten Grenzen kommt dem Edöb ausserdem die Kompetenz zu, Abklärungen zu treffen und Empfehlungen an Inhaber von Datensammlungen abzugeben, welche die schweizerische Gesetzgebung nicht respektieren. So ist der Edöb beispielsweise im Fall von Google Street View (vgl. dazu auch BGE 138 II 346) vorgegangen.
3. Der Handlungsspielraum der Schweiz ist bei Datenschutzverletzungen durch ausländische Unternehmen, die keinen Sitz in der Schweiz haben, begrenzt. Aufgrund des Territorialitätsprinzips können Verletzungen des DSG nur geahndet werden, wenn ein genügender Anknüpfungspunkt zur Schweiz besteht. Ein solcher war im Beispiel von Google Street View gegeben (BGE 138 II 346 E. 3). Inwieweit die Schweiz auf Anwendungsfälle des Fisa Einfluss nehmen könnte, müsste anhand eines konkreten Falles beurteilt werden.
4. Der Bundesrat ist bereit, dieses Thema bei den betreffenden ausländischen Behörden anzusprechen, falls er Kenntnis davon erlangt, dass Schweizer Bürger im Zusammenhang mit ihrer Internetnutzung wiederholt in ihren Persönlichkeitsrechten verletzt werden. Gleichzeitig wird er die auf europäischer Ebene getroffenen Massnahmen aufmerksam verfolgen. Er schliesst auch die Möglichkeit nicht aus, mit bestimmten Staaten bilaterale oder multilaterale Abkommen zu treffen, die das Ziel haben, solche Datenschutzverletzungen weitgehend zu verhindern (wie beispielsweise das Safe-Harbor-Abkommen mit den USA).
5./6. Inwieweit Anbieter wie Google, Facebook oder Twitter Daten eines in der Schweiz wohnhaften Nutzers an Dritte weitergeben können, ist eine Frage des zwischen ihnen und dem jeweiligen Nutzer bestehenden Vertrags, dessen Inhalt im Wesentlichen von den allgemeinen Geschäftsbedingungen des jeweiligen Anbieters abhängt. Die Fachliteratur tendiert dazu, derartige Verträge als Konsumentenverträge im Sinne von Artikel 120 IPRG und im Sinne des LugÜ zu qualifizieren. Damit würden sie zwingend dem schweizerischen Recht unterstehen. Dieses schliesst aber nicht aus, dass sich der Anbieter in geeigneter Form die Weitergabe von Daten an Dritte vorbehält. Im Falle einer Vertragsverletzung könnte der Nutzer in der Schweiz klagen (Art. 114 IPRG und Art. 15 LugÜ). Inwiefern ein solches Urteil gegen einen ausländischen Anbieter vollstreckbar ist, hängt von verschiedenen (von der Schweiz nur beschränkt beeinflussbaren) Faktoren wie etwa dem Recht des jeweiligen Sitzstaates ab. Diese Problematik wird im Bericht “Rechtliche Basis für Social Media” behandelt, welcher derzeit in Erfüllung des Postulates Amherd 11.3912 vom 29. September 2011 entsteht.
7. Wie der bereits zitierte Entscheid zu Google Street View aufzeigt, ist die schweizerische Gesetzgebung gegenüber ausländischen Unternehmen, die in der Schweiz gesammelte Personendaten im Internet veröffentlichen, nicht unwirksam. Der Bundesrat wird aber im Rahmen der Arbeiten zur Revision des DSG prüfen, ob das geltende Recht in diesem Bereich ausreicht oder nicht.