Die juristische Relevanz des swiss hosting-Labels

Friday 07.05.2021 Christian Walter
Christian Walter

Christian Walter ist Geschäftsführer und Redaktionsleiter von swiss made software. Bis Ende 2010 arbeitete er als Fachjournalist für das ICT-Magazin Netzwoche, publizierte zuletzt aber auch im Swiss IT Magazin, der Computerworld sowie inside-it.

Der Jurist Simon Schlauri erklärt, warum beim Hosting Schweizer Standort nicht gleich Schweizer Standort ist.

Mehr über Simon Schlauri
Simon Schlauri

Simon Schlauri (1973) verbindet reiche Erfahrung aus der IT- und Telekom-Industrie und tiefgreifendes technisches Know-how mit einem akademischen Hintergrund, insbesondere einer Titularprofessur an der Universität Zürich. Sein Fokus liegt in der Regulierung von Netzwerkindustrien und im IT-Recht, vor allem in den Bereichen Datenschutz, E-Commerce und Zahlungssysteme sowie Vertrags-, Verbraucher-, Wettbewerbs- und Urheberrecht.

swiss made software lancierte kürzlich ein neues Label, mit dem Hoster und Cloud-Provider ihre «Swissness» signalisieren können: «swiss hosting». Das neue Label richtet sich an Schweizer SaaS-Anbieter und Hoster.

«swiss hosting» verspricht, dass es keinen Datenexport gibt – weder direkt noch indirekt. Der Jurist Simon Schlauri erklärt, warum dies für Anbieter und Cloud-Kunden relevant ist.

Christian Walter: Herr Schlauri, können Sie kurz erklären, unter welchen Bedingungen Daten heute aus der Schweiz ins Ausland exportiert werden dürfen?

Simon Schlauri: Grundsätzlich muss ein Drittland ein angemessenes Datenschutzniveau haben. Vorbildlich ist hier die EU mit der DSGVO. Der eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte führt eine Übersicht der Länder mit angemessenem Datenschutzniveau. Erfüllt ein Land die Anforderungen nicht, muss ein Vertrag zwischen den beteiligten Firmen aufgesetzt werden, um die Defizite der nationalen Gesetzgebung nachzubessern. Musterverträge (die sogenannten «Standardklauseln») gibt es beispielsweise beim EDÖB.

Bieten solche Verträge einen effektiven Schutz vor dem Zugriff durch ausländische Regierungen?

Leider nein. Man kann zwar nicht pauschal für alle Länder sprechen, aber ein gutes Beispiel sind die USA. In Bezug auf die Verarbeitung exportierter Daten galt bis vor Kurzem der sogenannte Privacy Shield von 2016, ein Abkommen zwischen den USA und der EU. Dazu gibt es ein Parallelabkommen zwischen den USA und der Schweiz. Ziel des Privacy Shield war der verantwortliche Umgang mit den Daten im Ausland sowie der Schutz der Privatsphäre von Bürgerinnen und Bürgern der EU und der Schweiz. Es bestanden aber von Anfang an erhebliche Zweifel an dessen Griffigkeit. Jetzt hat der Europäische Gerichtshof den Privacy Shield gekippt und somit den Zweiflern offiziell Recht gegeben.

Was heisst das?

Viel und wenig. Der EuGH bestätigt zwar offiziell, dass der Privacy Shield nicht ausreicht. Gleichzeitig sagt das Urteil aber, dass man via Standardklauseln weiter Geschäfte machen kann. Ob sich die USA aber in diesem Zusammenhang für die Verträge zwischen zwei privaten Unternehmen interessieren, muss jeder selbst entscheiden.

Und jetzt?

Die EU ist nicht die Schweiz. Ich gehe aber davon aus, dass auch die Schweizer Version des Abkommens fallen wird.

Gilt das auch für Daten, die amerikanische Unternehmen ausserhalb der USA halten?

Diese Lücke wurde 2018 durch den Cloud Act geschlossen. Vor dessen Einführung konnte sich ein amerikanisches Unternehmen weigern, Daten, die bei einer Tochter im Ausland liegen, herauszugeben. Der Cloud Act sagt klar, dass jedes amerikanische Unternehmen Daten herausgeben muss – egal in wessen Hoheitsgebiet sie sich befinden. Zwar wird im Cloud Act stipuliert, dass bilaterale Abkommen mit anderen Ländern zur Einschränkung dieses Zugriffsrechts möglich sind. Meines Wissens hat bisher aber kein Land so etwas ausgehandelt.

Das gilt also auch für Daten, die bei Töchtern internationaler Konzerne auf Schweizer Boden gespeichert werden?

Eigentlich schon.

Was ist mit anderen Ländern wie zum Beispiel China oder Indien?

Attestiert ihnen der EDÖB einen ungenügenden Schutz, braucht es die bereits erwähnten Standardklauseln.

Und das reicht?

Man kann nicht einfach nur das Papier unterschreiben. Die Unternehmen sind verpflichtet, sich auch vom tatsächlichen Bestehen der zugesicherten Massnahmen zu überzeugen.

Man kann seine Daten dann auch in den Iran oder nach Nordkorea geben, wenn das soweit gut aussieht?

Theoretisch schon. Aber es gibt da natürlich schon ein paar Fragezeichen mehr…

Ganz wird man die Fragezeichen aber kaum los, oder?

Nein.

Wie ist die praktische Handhabung beim Datenexport heute: Werden die Kunden informiert?

Die Unternehmen sind zumindest gemäss der europäischen Datenschutz-Grundverordnung verpflichtet eine Datenschutzerklärung zu haben, in der steht, ob ein Datenexport stattfindet.

Aber eine ausdrückliche Einwilligung braucht es nicht?

Nein.

Trotz vieler neuer Gesetze scheinen also fast immer Fragezeichen mit einem Datenexport verbunden zu sein. Könnte man sagen, dass man diese Untiefen via swiss hosting umschiffen kann?

Genau. Bei swiss hosting müssen Sie sich keine Gedanken machen. Es gilt nur das Schweizer Recht. Bei Kunden aus dem europäischen Raum gilt zudem die DSGVO, die noch strenger ist als das Schweizer Recht.