Die Ferienföteli verschwunden, der abgelegte Vertrag weg, Dateien automatisch gelöscht – für immer verloren. So passiert vor einem Monat mit Daten, die User der Swisscom-Cloud anvertrauten. Bis jetzt warben Schweizer Cloud-Anbieter, dass die Daten hierzulande besonders sicher seien.
Der Mann, der sich von Berufs wegen wie kaum ein anderer mit der Sicherheit von Daten auseinandersetzt, ist der Eidgenössische Datenschützer Adrian Lobsiger. Er würde für seine Daten einen Schweizer Cloud-Anbieter wählen, betont Lobsiger.
Schweiz schreibt Datenschutz gross
Für Lobsiger ist dabei nicht die Technologie der entscheidende Faktor, sondern der rechtliche Rahmen: «Die Schweiz hat als Rechtsstaat einen ausgezeichneten Ruf, und wir sind auch ein Technologiestandort.»
Der Datenschutz in der Schweiz regelt streng, wer wie auf Daten in der Cloud zugreifen kann. Zum Beispiel schützt das Gesetz vor dem freien Zugriff der Behörden. Anders als in den USA, wo die Behörden nicht dem Datenschutz unterstehen.
«Cloud Act» der Trump-Regierung
Sind also die Daten in einer Schweizer Cloud, bei einem Schweizer Provider, tatsächlich sicherer? «Leider Nein», sagt Clara-Ann Gordon, Datenschutzexpertin bei der Anwaltskanzlei Niederer Kraft Frey.
Sie verweist auf ein neues Gesetz in den USA: «Dieses erlaubt es den Amerikanern, weltweit Kommunikationsdaten von Cloud-Providern herauszuverlangen – falls diese einen Bezug zu den USA haben.»
Der Cloud-Act wird von den Schweizer Behörden nicht anerkannt.»
Von diesem «Cloud Act» sind auch Anbieter betroffen, die ihre Server in der Schweiz haben. «Leider werben einige von ihnen damit, dass sie völlig sicher vor dem Zugriff der US-Behörden seien. Das stimmt aber nicht und ist oft täuschend.»
Denn für die US-Behörden sei es einfach, einen Bezug einer Schweizer Cloud zu den USA zu konstruieren und so via den «Cloud Act»-Zugriff auf die Daten in den Schweizer Clouds zu fordern.
Eine Niederlassung in den USA oder wenn die Homepage eines Schweizer Cloud-Anbieters auf Englisch verfügbar ist, reiche schon, sagt Datenschutz-Juristin Gordon: «Wegen dieser sehr breiten Interpretation eines US-Bezuges fallen auch viele Schweizer Provider unter den ‹Cloud Act›.»
Dem widerspricht der Datenschutzbeauftragte Lobsiger: «Dieses Verständnis teilen wir überhaupt nicht. Der «Cloud Act» wird von den Schweizer Behörden nicht anerkannt.» Die Schweiz sei ein souveräner Staat. Wenn andere Staaten auf hiesige Daten zugreifen möchten, müssten sie ein Rechtshilfegesuch stellen.
Auf Kollisionskurs zu den USA?
Der US-«Cloud Act» widerspricht dem Schweizer Datenschutz und somit unserer Rechtsauffassung. Schweizer Cloud-Provider können so in eine Zwickmühle geraten, meint Juristin Gordon: Entweder verletzen sie das Schweizer Datenschutzgesetz mit der Lieferung von Daten. Oder sie riskieren eine juristische Auseinandersetzung mit den USA.
Ein Schweizer Anbieter muss sich also ‹entscheiden‹, ob er lieber das Schweizer Recht oder das US-Recht verletzen möchte», sagt Gordon. Wie die Schweizer Cloud-Anbieter reagieren, wird sich erst bei konkreten Fällen zeigen, wenn die US-Behörden nach Daten auf Schweizer Servern greifen.
Dann wird sich auch zeigen, wie sicher die Daten in den Schweizer Clouds tatsächlich vor dem Zugriff der USA sind.
