Kt. BE: Inno­va­ti­ver Vor­schlag für eine erleich­ter­te Ver­wen­dung von Clouddiensten

Wie ande­re kan­to­na­le Daten­schutz­ge­set­ze befin­det sich auch das ber­ni­sche Daten­schutz­ge­setz (KDSG) in Revi­si­on, die Ver­nehm­las­sungs­un­ter­la­gen sind hier zu finden.

Mit Blick auf die wei­ter­hin aktiv geführ­te Dis­kus­si­on um die Aus­la­ge­rung durch öffent­li­che Orga­ne beson­ders bemer­kens­wert ist Art. 15 zur Bekannt­ga­be von Per­so­nen­da­ten ins Aus­land (Vor­schlag vom 21. Juni 2023). Vor­ge­schla­gen ist fol­gen­de Bestimmung:

Art. 15 Bekannt­ga­be ins Ausland

1 Die ver­ant­wort­li­che Behör­de darf Per­so­nen­da­ten ins Aus­land bekannt­ge­ben, wenn das Grund­recht auf Daten­schutz der betrof­fe­nen Per­son ange­mes­sen geschützt ist.

2 Ein ange­mes­se­ner Schutz kann gewähr­lei­stet wer­den durch

a einen völ­ker­recht­li­chen Vertrag,

b einen Fest­stel­lungs­be­schluss des Bun­des­rats nach der Daten­schutz­ge­setz­ge­bung des Bun­des oder

c ande­re hin­rei­chen­de Garantien.

3 Abwei­chend von den Absät­zen 1 und 2 darf die ver­ant­wort­li­che Behör­de Per­so­nen­da­ten ins Aus­land bekannt­ge­ben, wenn

a die Bekannt­ga­be im Ein­zel­fall für die Wah­rung eines über­wie­gen­den öffent­li­chen Inter­es­sens not­wen­dig ist,

b die betrof­fe­ne Per­son in die Bekannt­ga­be im Ein­zel­fall aus­drück­lich ein­ge­wil­ligt oder ihre Per­so­nen­da­ten all­ge­mein zugäng­lich gemacht hat und eine Bear­bei­tung nicht aus­drück­lich unter­sagt hat,

c die Bekannt­ga­be not­wen­dig ist, um das Leben oder die kör­per­li­che oder gei­sti­ge Unver­sehrt­heit der betrof­fe­nen Per­son oder eines Drit­ten zu schüt­zen, und es nicht mög­lich ist, inner­halb einer ange­mes­sen Frist die Ein­wil­li­gung der betrof­fe­nen Per­son ein­zu­ho­len oder

d (Ergän­zung bei Vari­an­te 2) die Bekannt­ga­be zum Zweck der Bear­bei­tung im Auf­trag erfolgt und deren Vor­aus­set­zun­gen erfüllt sind.

Der Regie­rungs­rat schlägt dem Gro­ssen Rat also zwei Vari­an­ten vor – eine Vari­an­te, die im Gro­ssen und Gan­zen dem Bekann­ten ent­spricht, und eine zwei­te Vari­an­te, die eine Bekannt­ga­be in einen Staat ohne ange­mes­se­nes Schutz­ni­veau auch dann zulässt, wenn es sich um eine Auf­trags­be­ar­bei­tung han­delt, was ja sehr oft der Fall ist, beson­ders bei den Cloud-Dien­sten, um die es hier geht. Vor­aus­ge­setzt ist, dass die Vor­aus­set­zun­gen der Auf­trags­be­ar­bei­tung erfüllt sind. Das ist bei jeden­falls den gro­ssen Cloud-Anbie­tern in aller Regel pro­blem­los erfüllt.

Die Begrün­dung der vor­ge­schla­ge­nen Rege­lung, der sog. „Vor­schlag“ (vom 21. Juni 2023), sagt dazu folgendes:

Die Vari­an­te 1 umfasst Arti­kel 15 Abs. 1 bis 3 Buch­sta­be a bis c. Sie sieht nur restrik­ti­ve Aus­nah­me­tat­be­stän­de vor und gewich­tet das Grund­recht auf Daten­schutz der betrof­fe­nen Per­so­nen höher als die öffent­li­chen Inter­es­sen der ver­ant­wort­li­chen Behör­den, die sich aus der Nut­zung von US-Cloud-Lösun­gen ergeben.

Die Vari­an­te 2 sieht zusätz­lich zu Arti­kel 15 Absatz 1 bis 3 Buch­sta­be a bis c einen wei­te­ren Aus­nah­me­tat­be­stand in Buch­sta­be d vor, der die Nut­zung von US-Cloud-Lösun­gen erleich­tern soll. Sie gewich­tet die öffent­li­chen Inter­es­sen der ver­ant­wort­li­chen Behör­den an der Nut­zung der US-Cloud-Lösun­gen höher als die in die­ser Vari­an­te als unwahr­schein­lich betrach­te­ten Ein­grif­fe in die Grund­rech­te der betrof­fe­nen Personen.

[…]

Zusatz zu Vari­an­te 2: Buch­sta­be d

Prak­tisch jede Behör­de ver­fügt über ein Twitter‑, You­Tube- oder Insta­gram-Kon­to und Soft­ware-Lösun­gen wie Zoom oder Teams wer­den seit der Coro­na-Pan­de­mie im Bil­dungs­sek­tor regel­mä­ssig genutzt. Die Recht­spre­chung des EuGH zum Daten­schutz­ni­veau der USA und die die­ser fol­gen­den Beur­tei­lung durch den Bun­des­rat erschwe­ren für die ver­ant­wort­li­chen Behör­den die Nut­zung sol­cher Ser­vices von US-Anbie­tern, da es mass­ge­bend ist, ob die Per­so­nen­da­ten in der Schweiz, der Euro­päi­schen Uni­on oder in den USA bear­bei­tet wer­den. Der Regie­rungs­rat des Kan­tons Bern unter­brei­tet des­halb in der Ver­nehm­las­sung einen wei­te­ren Aus­nah­me­tat­be­stand als Vari­an­te, bei dem kein ange­mes­se­nes Daten­schutz­ni­veau für die Aus­land­be­kannt­ga­be ver­langt wird. Damit soll der Rea­li­tät ent­spro­chen und die Nut­zung von US-Cloud-Lösun­gen erleich­tert wer­den.

Die­se abwei­chen­de Rege­lung gegen­über dem Bund und soweit bekannt auch gegen­über den übri­gen Kan­to­nen – beinhal­tet einen Stand­ort­vor­teil für den Kan­ton Bern. Die Nut­zung von US-Cloud-Lösun­gen soll dem­nach zuläs­sig sein, wenn die Vor­aus­set­zun­gen der Bear­bei­tung im Auf­trag erfüllt sind. Das wür­de bedeu­ten, dass die ver­ant­wort­li­chen Behör­den ledig­lich die Daten­si­cher­heit gewähr­lei­sten müss­ten (Art. 12 Abs. 3 VE-KDSG). Die­se ori­en­tiert sich an dem Risi­ko einer Grund­rechts­ver­let­zung (Art. 10 Abs. 1 VE-KDSG). In die­ser Vari­an­te wird davon aus­ge­gan­gen, dass die Daten­schutz­ri­si­ken, die sich für die betrof­fe­nen Per­so­nen aus der Nut­zung von US-Cloud-Lösun­gen erge­ben kön­nen, theo­re­ti­scher Natur sind und in der Pra­xis kaum rele­vant sind. Dem gegen­über ste­hen die gro­ssen prak­ti­schen öffent­li­chen Inter­es­sen an der Nut­zung der welt­weit besten Cloud-Lösun­gen: Mit ihnen kön­nen die Behör­den ihre Digi­ta­li­sie­rungs­zie­le viel rascher, kosten­gün­sti­ger und kun­den­freund­li­cher errei­chen als mit kon­ven­tio­nel­ler, nicht cloud­ba­sier­ter Soft­ware. Tie­fer gewich­tet wer­den die gege­be­nen­falls erleich­ter­ten Zugrif­fe aus­län­di­scher Straf­be­hör­den oder Nach­rich­ten­dien­ste auf Daten oder die ein­ge­schränk­ten Mög­lich­kei­ten, sich gericht­lich gegen Daten­schutz­ver­let­zun­gen im Aus­land zu wehren.

Die Nut­zung von US-Cloud-Soft­ware ist im pri­va­ten und im pri­vat­wirt­schaft­li­chen Umfeld die Norm. Fast alle Men­schen haben ein Apple‑, Micro­soft- oder Goog­le-Kon­to sowie ent­spre­chen­de Gerä­te, und die mei­sten Unter­neh­men könn­ten ohne US-Cloud-Soft­ware nicht mehr funk­tio­nie­ren. In die­sem Umstand liegt ein gesamt­ge­sell­schaft­li­cher Risi­koent­scheid, der in die­ser Vari­an­te vom Gesetz­ge­ber berück­sich­tigt wird: Wenn fast alle Men­schen und Unter­neh­men die zur Dis­kus­si­on ste­hen­den Risi­ken für sich selbst als ver­hält­nis­mä­ssig und trag­bar erach­ten, dann darf und soll dies auch der Kan­ton für sei­ne Bevöl­ke­rung tun. Im Gegen­satz zu Pri­va­ten sind Behör­den zwar zusätz­lich an ver­fas­sungs­mä­ssi­ge Grund­sät­ze wie das Lega­li­täts­prin­zip gebun­den, wes­halb die Situa­tio­nen nur bedingt ver­gleich­bar sind. Den­noch soll­te auch der Kan­ton die pri­va­te Risi­ko­ab­wä­gung berück­sich­ti­gen kön­nen, wes­halb die vor­lie­gen­de Vari­an­te in die Ver­nehm­las­sung geschickt wird.

Zum einen illu­striert die­ser Vor­schlag die prak­ti­schen Nöte ins­be­son­de­re, aber nicht nur der kan­to­na­len Behör­den, die wie ande­re Orga­ni­sa­tio­nen unter Druck ste­hen, die Digi­ta­li­sie­rung vor­an­zu­trei­ben. Zum ande­ren ist es der soweit ersicht­lich erste Ver­such, den bestehen­den Beden­ken, Anfor­de­run­gen und vor allem Unsi­cher­hei­ten auf legis­la­to­ri­schem Weg beizukommen.

Dass die­ser Vor­schlag mutig ist, ist den Autoren des Vor­schlags, der Direk­ti­on für Inne­res und Justiz, offen­sicht­lich bewusst, nach­dem er nur als Vari­an­te vor­ge­legt wor­den ist. Auch wirkt die For­mu­lie­rung des Vor­schlags recht defen­siv, und der Hin­weis auf den Stand­ort­vor­teil ist begrenzt über­zeu­gend, solan­ge Zür­cher Behör­den ihre Tätig­keit nicht nach Bern ver­le­gen kön­nen. Letzt­lich postu­liert der Vor­schlag die nor­ma­ti­ve Kraft des Fak­ti­schen – aus juri­sti­scher Sicht kein Argu­ment, aus rechts­po­li­ti­scher Sicht aber durch­aus, sofern die prak­ti­schen Not­wen­dig­kei­ten aus­rei­chend belegt sind. Das Recht bewegt sich nicht im luft­lee­ren Raum, und der Fokus auf die Daten­si­cher­heit ist sicher ziel­füh­rend, weil dazu die Abwehr plan­wid­ri­ger Zugrif­fe gehört.

Aller­dings beant­wor­tet der Vor­schlag nicht die Fra­ge, wel­ches Mass an Daten­si­cher­heit gegen­über Behör­den­zu­grif­fen ange­zeigt ist. So betrach­tet ist die Vari­an­te nur eine Ver­schie­bung der Fra­ge­stel­lung vom Aus­land­fo­kus zu einem Fokus auf die Daten­si­cher­heit. Damit sind für sich genom­men noch kei­ne Pro­ble­me gelöst, die Dis­kus­si­on wird aber viel­leicht, hof­fent­lich, entkrampft.

Der Lei­ter der ber­ni­schen Daten­schutz­be­hör­de (Daten­schutz­auf­sichts­stel­le, DSA), Ueli Buri, hat sich dazu sehr kri­tisch geäu­ssert. Die Vari­an­te ver­sto­sse gegen Ver­fas­sungs- und Völ­ker­recht, wie ihn der Bund zitiert. Dem ist aller­dings zumin­dest dann zu wider­spre­chen, wenn man das Risi­ko von Behör­den­zu­grif­fen durch geeig­ne­te Sicher­heits­mass­nah­men auf ein ange­mes­se­nes Mass redu­zie­ren muss.

Anzu­mer­ken bleibt, dass die Idee nicht neu ist, die Bekannt­ga­be ins Aus­land im Rah­men einer Auf­trags­be­ar­bei­tung ohne wei­te­re Anfor­de­run­gen zuzu­las­sen. Bru­no Bae­ris­wyl, der dama­li­ge Lei­ter der Zür­cher Daten­schutz­be­hör­de, hat­te die­se Auf­fas­sung in der Vor­auf­la­ge des Stämpf­li Hand­kom­men­tars zum DSG (Art. 10a) ver­tre­ten, weil es hier nicht zu einer Bekannt­ga­be komme:

43 In Leh­re und Pra­xis wird ver­tre­ten, dass bei einer Aus­la­ge­rung ins Aus­land auch Art. 6 DSG betref­fend die grenz­über­schrei­ten­de Daten­be­kannt­ga­be zur Anwen­dung gelan­ge. Die­ser Auf­fas­sung ist zu wider­spre­chen, da es sich bei der Aus­la­ge­rung nicht um eine Daten­be­kannt­ga­be im daten­schutz­recht­li­chen Sin­ne han­delt […]. Die vol­le Ver­ant­wor­tung liegt beim Daten­be­ar­bei­ter, der die Daten­be­ar­bei­tung aus­la­gert; sie geht nicht wie bei der Daten­be­kannt­ga­be (teil­wei­se) auf den Daten­emp­fän­ger über.

Behörde

Gebiet

Themen

Ähnliche Beiträge

Newsletter