Gutachten des Bundesamts für Justiz zum US CLOUD Act

Der CLOUD Act

Für das Verständnis des US CLOUD Acts (Clarifying Lawful Overseas Use of Data Act) lohnt sich ein Blick auf dessen Geschichte. Diese beginnt mit dem Urteil in Sachen Microsoft v. United States, 829 F.3d 197 (2d Cir. 2016). In diesem entschied der Court of Appeal for the Second Circuit, dass das Federal Bureau of Investigation (FBI) Microsoft gestützt auf den 1986 Stored Communications Act (SCA) nicht zur Herausgabe von Daten verpflichten könne, wenn diese auf einem Server in Irland und damit ausserhalb der USA gespeichert sind. Als Reaktion auf dieses Urteil wurde der CLOUD Act im März 2018 durch den US-Kongress verabschiedet.

Mit dem CLOUD Act ergänzte der US-Kongress den SCA und ermöglicht US-Strafverfolgungsbehörden im Bereich der Verhütung, Ermittlung, Aufklärung oder Verfolgung schwerer Straftaten («serious crimes») den Zugriff auf Daten, die von Anbietern von Kommunikationsdiensten («Communication Service Providers», CSP) mit Sitz in den USA gespeichert werden. CSP mit Sitz in den USA werden dazu verpflichtet, Daten, die sich auf ihren Servern befinden, aufzubewahren und den zuständigen US-Strafverfolgungsbehörden auf Ersuchen herauszugeben und zwar unabhängig davon, ob die Daten in den USA oder im Ausland gespeichert sind.

Diese weitreichenden Pflichten des CLOUD Acts und dessen extraterritoriale Wirkung führen immer wieder zu Diskussionen über die datenschutzrechtliche Zulässigkeit der Zusammenarbeit zwischen europäischen Cloud-Nutzern und US CSP (siehe bspw. MLL-News vom 7. März 2021). Etwas weniger bekannt ist, dass der CLOUD Act den Abschluss bilateraler Vollzugsvereinbarungen (Executive Agreements) zwischen den USA und anderen Staaten vorsieht (vgl. dazu bereits MLL-News vom 24.3.2019). Mit diesen Executive Agreements soll Reziprozität hergestellt werden:

• Die Strafverfolgungsbehörden des Partnerstaates, der ein Executive Agreement abgeschlossen hat, können mit ihren Ersuchen ebenfalls direkt an CSP mit Sitz in den USA gelangen, ohne die USA um Rechtshilfe ersuchen zu müssen.
• Der Partnerstaat toleriert im Gegenzug explizit einen entsprechenden Zugriff der US-Strafverfolgungsbehörden auf Daten, die bei CSP auf seinem Territorium gespeichert sind.

Zweck des Gutachtens des Bundesamtes für Justiz

Diese Executive Agreements sind der Grund, weshalb das Bundesamt für Justiz (BJ) das vorliegend besprochene Gutachten zum US CLOUD Act erstellt hat. Das BJ ist die schweizerische Zentralstelle im Bereich der Rechtshilfe in Strafsachen (Art. 17 IRSG; Art. 3 IRSV). Als solche ist das BJ für die Weiterentwicklungen der Rechtsgrundlagen im Bereich der Rechtshilfe verantwortlich. Das vorliegend besprochene Gutachten hat den Zweck, zu klären, ob der Abschluss eines Executive Agreements für die Schweiz opportun ist.

Hierzu hat das Bundesamt für Justiz die materiellrechtlichen Bestimmungen des CLOUD Acts sowie die bestehenden Executive Agreements der USA und Partnerstaaten analysiert, wobei zum heutigen Zeitpunkt lediglich das Vereinigte Königreich ein Executive Agreement mit den USA abgeschlossen hat. Ebenso werden weitere relevante, internationale Entwicklungen im Bereich der Rechtshilfe zusammengefasst.

• Funktionsweise des CLOUD Acts: Wenn in den USA ein Verfahren gegen einen ausländischen Staatsangehörigen eröffnet wird, können die amerikanischen Behörden gestützt auf den CLOUD Act grundsätzlich um die Herausgabe von dessen Daten ersuchen. Ist die von der Anordnung betroffene Person eine non-US-person und hat der Heimatstaat der betroffenen non-US-person mit den USA ein Executive Agreement abgeschlossen, können die CSP gemäss CLOUD Act einen Aufhebungs- oder Änderungsantrag stellen, wenn die Datenbekanntgabe das Recht des Heimatstaat verletzen könnte. Die Executive Agreements führen somit eine Art indirekten Rechtsschutz für non-US-persons ein und sollen so die Akzeptanz des extraterritorialen Ansatzes des CLOUD Acts fördern.
• Vorschlag der EU-Evidence VO: In diesem Kontext hat das BJ auch die parallelen Entwicklungen auf EU-Ebene zusammengefasst. Der Fokus liegt auf der vorgeschlagenen Verordnung über Europäische Herausgabeanordnungen und Sicherungsanordnungen für elektronische Beweismittel in Strafsachen (EU-Evidence VO), welche innerhalb der EU die Sicherung von und den Zugang zu elektronischen Beweismitteln in grenzüberschreitenden Fällen erleichtern und beschleunigen soll. Die EU verfolgt die Idee, dass jeder CSP, der in der EU Dienstleistungen erbringen will, dort einen Vertreter (sog. legal representative) bestimmen muss, der Zugang zu den Daten des gesamten Unternehmens hat. Polizei oder Staatsanwaltschaft eines EU-Mitgliedstaates können sich dann für die Zustellung und Ausführung von Beweisanordnungen direkt an diesen Vertreter wenden, und zwar unabhängig davon, wo in der EU dieser Vertreter seinen Sitz hat.
• Europarat Zusatzprotokoll zur Budapest Konvention: Schliesslich wird darauf hingewiesen, dass im Europarat zurzeit ein Zusatzprotokoll zur Budapest-Konvention ausgearbeitet wird. Die Vertragsstaaten der Budapest-Konvention (darunter die Schweiz und die USA) sollen Regelungen schaffen, die eine direkte Zusammenarbeit mit in anderen Vertragsstaaten niedergelassenen CSP ermöglichen. Im Fokus stehen Regeln über den Zugriff auf Informationen zu Domain-Namen oder Nutzerdaten, Verfahren zur beschleunigten Herausgabe von Nutzerinformationen und Verbindungsdaten sowie die beschleunigte Herausgabe gespeicherter Daten in Notfällen. Das Zusatzprotokoll soll möglichst vielen Staaten zur Unterzeichnung offenstehen. Das BJ kritisiert hier allerdings, dass auch Staaten zum Beitritt eingeladen werden, die teilweise nicht willens oder in der Lage sind, grundlegende Menschenrechte und Verfahrensgarantien sicherzustellen. Es bestünde die Gefahr, dass bei der Zusammenarbeit mit einem möglichst grossen Kreis an Staaten verfahrens- und menschenrechtliche Garantien auf der Strecke bleiben.

Analyse des BJ und Schlussfolgerungen

Das BJ widmet sich danach der Kernfrage: Ist aus schweizerischer Sicht der Abschluss eines Executive Agreements mit den USA geboten? Vorab wird festgehalten, dass Executive Agreements bilaterale Staatsverträge darstellen und daher nur mit Zustimmung der Bundesversammlung geschlossen werden können. Das BJ rekapituliert, dass die europäischen Aufsichtsbehörden die Vereinbarkeit des CLOUD Acts mit dem europäischen Datenschutzrecht als kritisch beurteilen. Diese Einschätzung sei einerseits für Schweizer Unternehmen relevant, die aufgrund von Art. 3 DSGVO in den Anwendungsbereich der DSGVO fallen. Andererseits sei diese Einschätzung für den Angemessenheitsbeschluss der EU-Kommission von Bedeutung. Die EU-Kommission berücksichtigte beim Entscheid über die Angemessenheit des Datenschutzniveaus des Vereinigten Königreichs auch den Abschluss eines Executive Agreements durch letzteres – und beurteilte das Recht des Vereinigten Königreichs dennoch als angemessen. Das BJ gibt aber zu bedenken, dass diese Einschätzung nicht von allen EU-Institutionen geteilt wird und das Vereinigte Königreich im Unterschied zur Schweiz die DSGVO nahezu vollständig umsetzt. Der Abschluss eines Executive Agreements könnte sich daher auch negativ auf den Angemessenheitsbeschluss der Schweiz auswirken.

Ferner äussert sich das BJ zur Vereinbarkeit des CLOUD Acts mit den Prinzipien des schweizerischen Datenschutzrechts. Das BJ hält bei einer Zusammenarbeit mit US-Behörden die Einhaltung der Prinzipien für den CSP für schwierig. Es sei aber bemerkt, dass die diesbezgl. Ausführungen des BJ nicht immer überzeugen (wenn es z.B. heisst, das Erkennbarkeitsprinzip sei schwierig einzuhalten, weil eine gestützt auf den Cloud Act erfolgende Herausgabeanordnung sich auf ausländisches Recht stütze; unter dem Aspekt der Erkennbarkeit sollte dies kein unüberwindbares Problem darstellen). Eine allfällige durch eine Bekanntgabe an die US-Behörden begangene Persönlichkeitsverletzung dürfte gemäss BJ zudem nicht durch eine Einwilligung zu rechtfertigen sein. Interessanterweise vertritt das BJ die Ansicht, dass auch ein Executive Agreement für sich genommen keinen gesetzlichen Rechtfertigungsgrund für eine Persönlichkeitsverletzung darstellt. Hierfür müssten stattdessen weitere datenschutzrechtliche Garantien vorgesehen werden, wobei allerdings fraglich sei, ob der vom CLOUD Act vorgegebene Rahmen solche umfassenden datenschutzrechtlichen Garantien überhaupt zulasse. Eine Rechtfertigung gestützt auf überwiegende Eigeninteressen des CSP müsste im Einzelfall geprüft werden, insbesondere wenn der CSP bei einer Nichtbefolgung der Anordnung mit Sanktionen nach US-Recht zu rechnen hätte.

Das BJ prüfte zudem die Vereinbarkeit des CLOUD Acts mit den Prinzipien des Rechtshilferechts. Zur Erinnerung: Der CLOUD Act ist darauf ausgerichtet, den bestehenden Mechanismus der innerstaatlichen (schweizerischen) Rechtshilfe und die dort vorgesehenen Verfahrensgarantien zu umgehen, indem der CSP direkt mit US-Behörden kooperiert. Dies ist ein Paradigmenwechsel und es ist wenig erstaunlich, dass das BJ zum Schluss kommt, dieser sei mit den Prinzipien der Rechtshilfe (insbesondere den Verfahrensgarantien) nicht vereinbar.

Zum Schluss hält das BJ fest, dass der Bericht lediglich eine Diskussionsgrundlage mit Partnerdiensten inner- und ausserhalb der Bundesverwaltung sowie mit Stakeholdern aus Verbänden, der Privatwirtschaft sowie weiteren interessierten Kreisen bilden soll. Gestützt auf die Ergebnisse aus dieser Diskussion wird das BJ zu gegebener Zeit einen Antrag an das GS EJPD bezüglich des weiteren Vorgehens in Sachen CLOUD Act im Speziellen und «E-Evidence» generell stellen.

Einschätzung

Die Implikationen des CLOUD Acts führen immer wieder zu Diskussionen bei der Zusammenarbeit mit CSP aus den USA. Auch wenn die Schlussfolgerungen nicht immer überzeugen, zeigt der Bericht des BJ, dass eine Datenherausgabe gestützt auf den US-CLOUD Act aus grundrechtlicher und datenschutzrechtlicher Sicht sehr heikel ist. Es ist daher richtig und wichtig, dass der Schweizer Gesetzgeber sich der Diskussion annimmt, ob und allenfalls unter welchen Bedingungen er einem derartigen Paradigmenwechsel bei der grenzüberschreitenden Strafverfolgung zustimmen möchte.

Weitere Informationen:

• Bundesgesetz über internationale Rechtshilfe in Strafsachen (IRSG)
• Verordnung über internationale Rechtshilfe in Strafsachen (IRSV)
• Bundesamt für Justiz, Bericht zum US CLOUD Act
• Vorschlag einer Verordnung über Europäische Herausgabeanordnungen und Sicherungsanordnungen für elektronische Beweismittel in Strafsachen
• Clarifying Lawful Overseas Use of Data Act
• MLL-News vom 7. März 2021: Conseil d’État FR: Zulässigkeit von Gesundheitsdaten in der Cloud nach Schrems II?