Independent Competence Platform
for Integrated Security in Switzerland.

01.03.2021
by: Urs Maurer-Lambrou

Schrems 2, Stand heute in a Nutshell, Chance für die CH-Cloud

Bild Maurer-Lambrou

Es wurde viel geschrieben über das nunmehr schon berühmte Urteil Schrems 2 und die Auswirkungen auf die transnationalen Personendatenflüsse. Ich möchte hier auch für Nicht-Juristen eine kurze Übersicht die Bedeutung und den jetzigen Kenntnisstand näherbringen.

Europäische Union im Juli 2020
Privacy Shield Regime ungültig

Am 16. Juli 2020 erging das Urteil des EuGHs in der Rechtssache Data Protection Commissioner v. Facebook Ireland Ltd und Maximilian Schrems, das den Angemessenheitsbeschluss 2016/1250 der EU-Kommission, betreffend die unter dem Privacy Shield Regime zertifizierten US-Unternehmen für ungültig erklärte.

Standardvertragsklauseln (SCC) brauchen «supplemental measures», wenn es solche gibt – sonst kein Personendatentransfer

Zudem stellte der EuGH klar, dass der Einsatz von Standardvertragsklauseln für die USA und für andere Drittländer ohne angemessenen Datenschutz einer Einzelfallprüfung ihrer Eignung, und gegebenenfalls einer Ergänzung bedürfe. Das Gericht äusserte sich nicht, welche «supplemental measures» im Einzelfall genügend sind.

Das Gericht strich aber folgendes hervor, dass die 4 grundlegenden «European Essential Guarantees» eingehalten werden müssen. Es sind dies:
1. Auf klaren, präzisen und zugänglichen Vorschriften beruhende Datenverarbeitung
2. Nachweis der Erforderlichkeit und Angemessenheit im Hinblick auf die verfolgten legitimen Ziele
3. Vorhandensein eines unabhängigen Aufsichtsmechanismus
4. Vorhandensein wirksamer Rechtsbehelfe für den Bürger

In Bezug auf die USA sind zumindest die Garantien 3 und 4 nicht gegeben. Ein Datentransfer von Personendaten deshalb ohne «supplemental measures» nicht möglich.
In der Folge stellt sich die Frage was sind diese möglichen «supplemental measures.»

Schweiz – ab September 2020
Der EDÖB hielt 2018 und 2019 nach den durchgeführten Überprüfungen des Swiss-US Privacy Shield in seinen Reviewberichten fest, dass das Privacy Shield Regime trotz Verbesserungen seit dessen Inkraftsetzung für die Betroffenen in der Schweiz bei Datenzugriffen von US-Behörden keine genügenden durchsetzbaren Rechtsansprüche biete (siehe oben die Garantien 3 und 4 in Europa).

Der EDÖB kam nach Analyse des EuGH Urteils und der Schweizer Rechtslage in seinem Positionspapier vom 8. September 2020 zum Schluss, dass das Privacy Shield t für Betroffene in der Schweiz kein adäquates Schutzniveau für Datenbekanntgaben von der Schweiz an die USA gemäss DSG bietet.

Aufgrund dieser auf das schweizerische Recht gestützten Einschätzung hat der EDÖB in der Staatenliste des EDÖB den Verweis auf einen «angemessenen Datenschutz unter bestimmten Bedingungen» für die USA gestrichen.

Der EDÖB fordert deshalb die Unternehmen auf, bei der Übermittlung von Daten in die USA auf der Grundlage von vertraglichen Garantien eine Risikobeurteilung im Einzelfall vorzunehmen analog EU oder sonst auf einen Datentransfer zu verzichten.

Die vier «European Essential Guarantees» sind auch nach CH-Verfassungsrecht nicht unbekannt. Für weitere Informationen vergleiche auch die Begründung des EDÖB in seinen Reviewberichten.

Der EDÖB verfolgt gemäss seinen Ausführungen die Bemühungen auf EU-Ebene und ist eng am Prozess beteiligt wird sich zu gegebener Zeit dazu äussern.

Europäische Union – nach Juli 2020
EDSA (European Data Protection Board) («EU-Datenschutzaufsichtsbehörde»)

November / Dezember 2020
Die Europäische Kommission legte dem EDSA zwei Entwürfe für SCCs vor: einen Satz SCCs für Verträge zwischen Verantwortlichen und Auftragsverarbeitern und einen weiteren für Datentransfers außerhalb der EU. Achtung: dies sind nur Entwürfe und regeln das Problem USA und andere Drittstaaten nicht.

Das EDSA erliess auch eine Empfehlung zu den «European Essential Guarantees» (Zusammenfassung und Einschätzung des Urteils Schrems 2) – hilft in der Praxis nicht weiter.

Eine Working Group der EDSA erarbeitete folgende Papiere: Recommendation, Guidelines
Der EDSA eröffnete eine öffentliche Konsultation dazu. Die Frist ist zwischenzeitlich abgelaufen und die Eingaben – sehr viele an der Zahl müssen jetzt gesichtet und eingearbeitet werden. Die Working Group wird dann der EDSA die überarbeitete Fassung der Dokumente weiterleiten. Danach können sie dann verabschiedet werden – voraussichtlich im Frühjahr 2021.

Es zeigte sich schon im Positionspapier des EDÖB, dass mögliche «supplemental measures» sehr eingeschränkt denkbar sind. Meines Erachtens: einziges aus meiner Sicht mögliches Intrument sind eigene Schlüssel (ohne Zugriff des Dienstleisters), Verschlüsselung und keine Entschlüsselung beim Dienstleister (eigentlich nur für Backups denkbar).

Nach langen Diskussionen auf europäischer Ebene haben sich auch bis heute noch keine weiteren denkbaren «supplemental measures» ergeben.

Das Europäische Parlament hat sich am 13. Januar 2021 auch in dieser Sache geäussert und festgehalten:
«[Das Europäische Parlament] weist darauf hin, dass eine Übermittlung personenbezogener Daten aus der Union aufgrund des hohen Risikos einer Massenüberwachung nach diesen Standardschutzklauseln für die in den Anwendungsbereich des US Foreign Intelligence Surveillance Act fallenden für die Verarbeitung Verantwortlichen nicht möglich ist; weist darauf hin, dass dieses Problem nur durch eine umfassende Reform der Überwachungspraktiken in den USA nachhaltig behoben und Rechtssicherheit für Unternehmen und betroffene Personen geschaffen werden kann»

Fazit heute aus meiner Sicht:
Ohne Bewegung auf der US-Seite – Änderung der Überwachungsgesetze wird der Datenaustausch schwierig sein. Immer ausgenommen von Einzelfällen (z.b. Hotelbuchungen für eine Reise in den USA, direkter Kauf eines Einzelproduktes)

Zu beachten: diskutiert wird momentan primär der Datentransfer mit den USA. Die Grundregeln gelten aber für alle Datentransfers in Drittstaaten, welche nicht anerkannt sind (China, Südkorea etc.).

Argumente der US-Dienstleister bzw. Umgehung oder Aussitzen der Problematik
Ausgangslage: als erstes muss eine CH-Datenverantwortlicher (bei Datentransfers von Personendaten) bei einer Datenbekanntgabe abklären (da er auch die Verantwortung trägt), ob ein Dienstleister unter entsprechende Überwachungsgesetze fällt. Zu beachten ist hier, dass nicht nur der erste Dienstleister zu prüfen ist, sondern auch alle möglichen Subprozessoren.

Fall 1: gewisse US-IT-Firmen verweigern die Auskunft

Fall 2: gewisse US-IT-Firmen behaupten, dass interne Regeln, z.B. BCRs genügen (sind nicht bindend im Aussenverhältnis – unbeachtlich)

Fall 3: gewisse US-IT-Firmen behaupten, dass die SCC und andere zwischenzeitliche Massnahmen genügen (stimmt nicht: hoheitliche staatliche Massnahmen können nicht vertraglich wegbedungen werden)

Fall 4: gewisse US-IT-Firmen versuchen über vertragliche Klauseln Compliance vorzuspielen (verlangen, dass CH-Datenverantwortlicher keine sensitiven Daten in der Cloud hält / setzt US-Subprozessoren explizit ein und behält sich US-Recht vor – auch wenn sonst CH-Recht Anwendung findet  etc., behält sich das Recht vor, Subprozessoren kurzfristig auch in anderen Ländern einzusetzen mit der alleinigen Möglichkeit den Vertrag zu künden – innerhalb von ein paar Wochen wohl in den wenigsten Fällen umsetzbar, was dann heisst, dass man Datenschutzgesetze verletzt)

Fall 5: (nicht zu unterschätzen – teilweise datenschutzrelevant) gewisse US-IT-Firmen behalten sich das Recht vor, die Daten weiterzuverwenden, zu zensurieren und gar den Vertrag aufzuheben, sollte ihnen oder einem ihrer Kunden die Datenbearbeitung nicht passen (dies ist nicht nur mehr eine theoretische Spielerei – siehe «Parler», wo innerhalb von 24 Stunden AWS dem Unternehmen den Stecker zog). Die US-IT-Firmen sind nicht einfach Dienstleister wie die Post oder ein Telefonbetreiber, nein sie behalten sich das Recht vor, im übertragenen Sinne das «Telefon» zu unterbrechen, wenn ihnen der Inhalt des Gesprächs nicht passt mit der Androhung bei einem weiteren Verstoss die Verbindung definitiv zu kappen. Analog zu argumentieren bei der Dienstleistung des Postzustellers. Undenkbar oder nicht?

Sollten solche Dienstleistungen zukünftig eingekauft werden, müsste wohl auch immer ein Backupplan zur Migration innerhalb kurzer Zeit vorgängig bestehen, ansonsten wohl der gesetzlich übertragene Auftrag nicht erfüllt werden kann – und im Bereich des Datenschutzes dies zu massiven Verstössen führte.

Die Cloud ist die Zukunft – sie muss aber sauber implementiert werden unter Berücksichtigung aller Risiko-Faktoren. Hier hat die Schweiz und die hier ansässige IT-Industrie eine einmalige Chance zu punkten. Hoffen wir, dass sie dies packt!



mySecurityService

  • Consulting, Project, Education
  • Integration, Security
  • SOC-Services
  • Certifications/Standards

Security Competences

Calendar Security Suisse

ZertoCON 2021
20.04.2021

Security-Finder Schweiz: Newsletter