Gastbeitrag von Alexander Hofmann, Rechtsanwalt und Partner Laux Lawyers AG
Der im Frühjahr 2018 in Kraft getretene «Clarifying Lawful Overseas Use of Data Act» (CLOUD Act) regelt den Zugriff von US-Behörden, Gerichten und Strafverfolgungsbehörden auf ausserhalb der USA gespeicherte Daten. Der CLOUD Act ändert respektive konkretisiert diesbezüglich den US Stored Communications Act und reduziert die Zahl der Verfahren, für die bislang ein internationales Rechtshilfeverfahren unter einem sogenannten Multi Lateral Assistance Treaty (MLAT) erforderlich war. Inhaltlich entspricht der CLOUD Act weitgehend der Cybercrime Convention (Art. 18), welche seit 2012 auch für die Schweiz gilt.
Der CLOUD Act zielt nicht spezifisch auf Anbieter von Cloud Computing Dienstleistungen ab, sondern umfasst alle Unternehmen, die aus den USA heraus agieren und elektronische Kommunikationsdienste oder Remote Computing Services bereitstellen. Dies gilt unabhängig davon, ob diese Services in den USA oder in einem anderen Land bereitgestellt werden.
Die im Kontext des CLOUD Act hierzulande oft diskutierten Zugriffs-Instrumente Warrant (z.B. Durchsuchungsbefehle) und Subpoena (z.B. Herausgabeverfügungen) sind seit jeher geltendes Recht der USA. Es ist die Praxis der USA diese Instrumente nicht gegenüber dem Unternehmen (ausserhalb der USA) durchzusetzen, welches die Daten direkt hostet (z.B. Microsoft Ireland, IBM Schweiz etc.), sondern gegenüber den entsprechenden Muttergesellschaften, wenn diese über ein ausreichendes Standbein in den USA verfügen.
Der CLOUD Act hat grundsätzlich einen engeren und weniger weitgehenden Anwendungsbereich als die meisten befürchten: Er gilt nur für Strafuntersuchungen und erfordert in jedem Fall einen Gerichtsbeschluss eines zuständigen US-Gerichts. Der CLOUD Act betrifft v.a. die Beschlagnahmung von Material im Ausland für Untersuchungen in den USA gegen US-Personen.
Die angegangenen US-Service Providers haben die Möglichkeit zur Anfechtung einer solchen richterlichen Anordnung, wenn die betroffene Person weder eine US-Person ist noch Wohnsitz in den USA hat und die Datenherausgabe eine Verletzung nationalen Rechts hervorruft, in der Schweiz also beispielsweise eine Verletzung von Art. 271 StGB (Verbotene Handlungen für einen fremden Staat) oder 273 StGB (Wirtschaftlicher Nachrichtendienst). Das angerufene US-Gericht wird dabei nach der in den USA üblichen Vorgehensweise die Interessen der Beteiligten gegeneinander abwägen. Besteht ein bilaterales Rechtshilfeabkommen (sog. Executive Agreement; es besteht derzeit keins für die Schweiz) mit den USA, so prüft das US-Gericht die angefochtene Anordnung auf Konformität mit dem Abkommen.
Der CLOUD Act enthält keine Bestimmungen zur Entschlüsselung von durch den Service Provider für den Kunden gespeicherten Daten oder zum Zugriff auf Daten über «geheime Backdoors». Es kann zwar die Offenlegung von verschlüsselten Daten erzwungen werden, diese müssen aber nicht durch den Service Provider entschlüsselt werden (die Mitwirkung des Unternehmenskunden wäre dann erforderlich).
Letztlich ist deshalb auch relevant, wie sich der jeweilige Service Provider zum CLOUD Act stellt. Wir empfehlen Unternehmenskunden sich darüber beim Service Provider ausführlich zu informieren, z.B. wie sich dieser im Falle von Behördenanfragen standardmässig verhält, welche internen Prozesse er befolgt, wie häufig Anfragen vorkommen und welche Themen diese betreffen. Ebenfalls sollten die Verträge dahingehend geprüft werden, ob sich der Service Provider verpflichtet, den Cloud-Kunden frühzeitig zu informieren und in das Verfahren zu involvieren (ausser natürlich dort, wo dies gesetzlich unzulässig ist).
Gastbeitrag von Alexander Hofmann, Rechtsanwalt und Partner bei Laux Lawyers AG
Rechtsanwalt und Partner
Laux Lawyers AG
Tel 044 880 24 24
E-Mail info@lauxlawyers.ch