Datenschutz in der Schweiz – Knacknuss Datenexport

Um es gleich vorwegzunehmen: Das Schutzobjekt der eidgenössischen Datenschutzaufsicht sind nicht Daten, sondern die Privatsphäre und die informationelle Selbstbestimmung von Personen. Soweit Informationen keinen unmittelbaren Bezug zu bestimmten oder bestimmbaren Personen aufweisen, fallen sie weder unter das Bundesgesetz über den Datenschutz (DSG) noch in die Aufsicht des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (Edöb).

Mit der totalrevidierten Fassung des DSG, die voraussichtlich am 1. September 2023 in Kraft treten kann, wird dessen Geltungsbereich auf die Bearbeitung von Daten beschränkt, die sich auf natürliche Personen beziehen. Mit der Vertraulichkeit der Konstruktionspläne von Waffensystemen oder der Preiskalkulationen von Medikamenten mögen gewichtige öffentliche Interessen oder private Interessen juristischer Personen verbunden sein. Fehlt jedoch ein Bezug zu bestimmten oder bestimmbaren natürlichen Personen, stützt sich der Schutz solcher Informationen künftig nicht mehr auch auf das Datenschutzgesetz, sondern nur noch auf andere Normen der Rechtsordnung. Dazu zählen etwa die Strafbestimmungen zur Wahrung des Amts- und Berufsgeheimnisses oder des Geschäfts- und Fabrikationsgeheimnisses.

Nur noch als Sachdaten gelten auch vormalige Personendaten, die nachträglich vollständig anonymisiert wurden, sodass sie keine Rückschlüsse auf natürliche Personen mehr ermöglichen. Auch verschlüsselte Daten lassen sich für jene, die sie nicht entschlüsseln können, nicht auf Personen zurückführen, sodass sie für Letztere keine Personendaten darstellen.

Anonymisierung und Verschlüsselung von Daten als Herausforderung

Die Unterscheidung von Sach- und Personendaten steht in einem gewissen Kontrast zur Realität. Denn erstens werden Sach- und Personeninformationen meist vermischt bearbeitet. Zweitens stösst die Anonymisierung von Personendaten an Grenzen: Oft lassen sich Daten nach Entfernung von Personenattributen wie Namen, Geburtsdaten oder Adressen weiterhin mit anderen Datenbeständen wie z.B. im Internet abgleichen, was dazu führen kann, dass Rückschlüsse auf bestimmbare Personen möglich werden. Und drittens existiert heute (noch) keine marktreife Technologie, welche die Bearbeitung von komplexen Inhaltsdaten im verschlüsselten Zustand erlaubt. Mit anderen Worten: Das Problem lässt sich bisher auch nicht technologisch lösen.

Solange die Anonymisierung und die Verschlüsselung von Personendaten in der digitalen Realität von heute unbewältigte Herausforderungen darstellen, muss sich die Datenschutzaufsicht der Eidgenossenschaft mit einer Fülle von Vorhaben und Technologien auseinandersetzen, die unerwünschte Rückschlüsse auf bestimmte oder bestimmbare Personen nicht mit Sicherheit ausschliessen, sondern nur erschweren. In ihrer täglichen Arbeit beschäftigt sich die eidgenössische Datenaufsicht demzufolge mit den ungewissen Auswirkungen, die der Einsatz entsprechender Technologien auf das private und selbstbestimmte Leben der betroffenen Personen zeitigen könnten.

Knacknuss Datenexport

Nehmen wir das Beispiel der Exporte von Personendaten in die zahlreichen Staaten, die wie die USA über keine Datenschutzgesetzgebung verfügen, die mit jenen der Schweiz und der Mitgliedsstaaten der EU resp. des EWR vergleichbar ist. Solche Exporte stellen heute eine Knacknuss dar. Denn einerseits verfügen US-Technologiekonzerne wie Microsoft, Google oder Amazon aufgrund ihrer technologischen Leistungsfähigkeit und Kapitalkraft als Anbieter von Cloud-Diensten über eine Marktführerschaft, welche sowohl ihre private als auch ihre staatliche Kundschaft in Europa in eine faktische Abhängigkeit gebracht hat.

Andererseits existiert eine – wenngleich für die Schweiz nicht verbindliche – höchstrichterliche Rechtsprechung des Europäischen Gerichtshofs. Diese besagt, dass Personendaten von Einwohnerinnen und Einwohnern der EU resp. des EWR nicht ohne Weiteres in einem von US-Konzernen betriebenen Rechenzentrum bearbeitet werden dürfen. Diese Rechtsprechung hat der Gerichtshof damit begründet, dass die Rechtsordnung der USA Bürgerinnen und Bürgern von Drittstaaten keinen mit dem europäischen Recht vergleichbaren Schutz vor US-behördlichen Eingriffen in ihre Privatsphäre gewährt.

Soweit die US-Rechtsordnung extraterritoriale Wirkungen zeitigt, dürfte diese Rechtsprechung auch für die Bearbeitung von Personendaten in Rechenzentren zu beachten sein, die US-Konzerne auf dem Territorium eines EU- oder EWR-Mitgliedsstaates betreiben. Denn wenn verschlüsselte Personendaten – wie oben beschrieben – im Zustand der Veränderung lesbar werden, können die Betreiber solcher Rechenzentren die für sie lesbaren Informationen auf Druck ihrer Mutterkonzerne in den USA auch den dortigen Behörden zugänglich machen.

Datenschutz im dynamischen Umfeld

Wird die Auslagerung von Personendaten in solche Rechenzentren nun also verboten oder aufgrund der faktischen Abhängigkeit von US-Cloud-Anbietern geduldet werden? In der EU resp. dem EWR haben die Datenschutzbehörden erst Ansätze einer Praxis zur Umsetzung der höchstrichterlichen Rechtsprechung entwickelt. Und in der Schweiz wird zu dieser Frage eine gerichtliche Praxis erst noch entstehen müssen.

Vielleicht wird es aber bereits vorher zu einer Lösung des Dilemmas kommen, indem die USA und Europa – nicht zuletzt auch als Folge ihrer politischen Annäherung im Zuge des Ukraine-Konflikts – ihre Datenschutzgesetzgebungen einander angleichen. Möglicherweise wird es auch der technische Fortschritt sein, der diesen gordischen Knoten durchtrennt: Es ist zu hoffen, dass eines Tages sichere Ausführungsumgebungen auf den Markt kommen, die es den Kunden von Cloud-Anbietern erlauben, komplexe Dateninhalte nicht nur in den Phasen der Speicherung und des Transports zu verschlüsseln, sondern auch während ihrer Veränderung den Zugriff durch unberechtigte Dritte zu verunmöglichen. Das könnte die datenschutzrechtliche Problematik des Datenexports über weite Strecken entschärfen. Denn ausländische Anbieter von Cloud-Diensten könnten sich durch den Einsatz solcher Verfahren selbst der Möglichkeit berauben, die Inhalte der Daten ihrer europäischen Kunden auszulesen und Dritten zugänglich zu machen.

Das Beispiel veranschaulicht, worin die Kernherausforderung der Datenschutzaufsicht des Bundes besteht: Sie hat den Anspruch der Einwohnerinnen und Einwohner der Schweiz auf ein privates und selbstbestimmtes Leben im dynamischen und globalisierten Umfeld von Wirtschaft, Technologie und Politik zu schützen.