Cloud Act Gutachten des Bundesamtes für Justiz vom 17 September 2021

Das schweizer Bundesamt für Justiz, welches dem Bundesministerium für Jusitz vergleichbar ist, hat ein Gutachten zum Cloud Act in Bezug auf das schweizerische Recht erstellen lassen und nun auch veröffentlich.

Download

Bericht zum US CLOUD Act (admin.ch)

Inhaltsverzeichnis

Der CLOUD Act ……………………………………………………………………………………………….. 6
3.1 Ausgangslage ………………………………………………………………………………………… 6
3.2 Inhalt …………………………………………………………………………………………………….. 6
3.2.1 Wesentlicher materieller Inhalt………………………………………………………………….. 6
3.2.2 Möglichkeit des Abschlusses von Executive Agreements mit anderen Staaten
auf der Grundlage des CLOUD Acts………………………………………………………….. 7
3.2.2.1 Allgemeines …………………………………………………………………………….. 7
3.2.2.2 Materielle Voraussetzungen ………………………………………………………. 8
3.2.2.3 Formelle Voraussetzungen ………………………………………………………… 8
3.2.3 Inhalt des Executive Agreements ……………………………………………………………… 9
3.2.4 Voraussetzungen für Herausgabeanordnungen gestützt auf ein Executive
Agreement …………………………………………………………………………………………….. 9
4 Rechtsvergleich …………………………………………………………………………………………….. 10
4.1 Executive Agreement zwischen den USA und dem Vereinigten Königreich ….. 10
4.2 EU-E-Evidence vs. US CLOUD Act: Kollision oder Verhandlung? ……………….. 12
4.2.1 E-Evidence-Gesetzgebung der EU ………………………………………………………….. 12
4.2.2 Gespräche zwischen der EU und den USA ………………………………………………. 13
4.3 Das Zweite Zusatzprotokoll zum Europarats-Übereinkommen über die
Cyberkriminalität (Budapest-Konvention) …………………………………………………. 15
5 Rechtliche Fragen …………………………………………………………………………………………. 16
5.1 Territorialität und Souveränität ………………………………………………………………… 16
5.2 Rechtsnatur der Executive Agreements …………………………………………………… 18
5.3 Der Begriff «serious crime» (schwere Straftat) ………………………………………….. 19
5.4 Die Erhebung elektronischer Daten …………………………………………………………. 20
5.4.1 Adressaten …………………………………………………………………………………………… 20
5.4.2 Datenart ………………………………………………………………………………………………. 21
5.4.3 Erhebungsmodalitäten …………………………………………………………………………… 22
5.5 Schutz der Grundrechte, insbesondere der Daten und des Privatlebens ………. 23
5.5.1 Die EU-Ebene: Verhältnis zwischen dem CLOUD Act und der EUDatenschutz-Grundverordnung DSGVO …………………………………………………… 23
5.5.1.1 Vereinbarkeit des CLOUD Acts mit der DSGVO …………………………. 23
5.5.1.2 Fazit: Risiko des Abschlusses eines Executive Agreements mit den
USA im Hinblick auf den Angemessenheitsbeschluss der Schweiz .. 26
5.5.2 Rechtmässigkeit der Bearbeitung und Bekanntgabe von Daten gestützt auf
eine Herausgabeanordnung auf der Grundlage des CLOUD Acts nach
Schweizer Recht …………………………………………………………………………………… 29
5.5.2.1 Der vorliegend relevante datenschutzrechtliche Rahmen in der
Schweiz ………………………………………………………………………………… 29
5.5.2.2 Problematische Aspekte im Hinblick auf die Grundsätze des
schweizerischen Datenschutzrechts………………………………………….. 30
5.5.2.3 Rechtfertigungsgründe für private Personen bei Verletzungen der
Persönlichkeit gemäss Artikel 13 DSG/Artikel 27 nDSG ………………. 31
Zum
3/51
Bericht zum US Cloud Act
5.5.2.4 Vereinbarkeit mit den Anforderungen an grenzüberschreitende
Datenbekanntgaben (Art. 6 DSG/Art. 16 und 17 nDSG) ………………. 33
5.5.2.5 Weitere aus datenschutz- und grundrechtlicher Sicht
problematische Aspekte ………………………………………………………….. 34
5.5.2.6 Schlussfolgerung zur Datenschutzkompatibilität eines Executive
Agreements …………………………………………………………………………… 35
5.5.3 Welcher Datenschutz müsste in einem Executive Agreement mit den USA
aufgenommen werden? …………………………………………………………………………. 36
5.6 Vereinbarkeit mit dem schweizerischen Rechtshilferecht ……………………………. 37
5.6.1 Gründe für die Ablehnung eines Rechtshilfeersuchens und
Rechtsweggarantie ……………………………………………………………………………….. 38
5.6.2 Grundsatz der beidseitigen Strafbarkeit …………………………………………………… 39
5.6.3 Anspruch auf rechtliches Gehör ………………………………………………………………. 39
5.6.4 Aufsichts- und Kontrollbehörde ……………………………………………………………….. 40
5.6.5 Grundsatz der Spezialität ………………………………………………………………………. 41
5.6.6 Begrenzung der Zusammenarbeit aus «politischen» Gründen …………………….. 42
5.6.7 Vereinbarkeit mit der Strafprozessordnung und dem Bundesgesetz betreffend
die Überwachung des Post- und Fernmeldeverkehrs …………………………………. 42
5.6.8 Welche «rechtshilferechtlichen» Inhalte müssten in ein Executive Agreement
aufgenommen werden? …………………………………………………………………………. 44
6 Datensicherheit und Entschlüsselung ……………………………………………………………. 44
6.1 Gesicherte Übermittlung ………………………………………………………………………… 44
6.2 Neutral encryption …………………………………………………………………………………. 45
7 Schlussfolgerung ………………………………………………………………………………………….. 4

Schlussfolgerung

“Eine der derzeit grössten Herausforderungen im Bereich der zwischenstaatlichen Zusammenarbeit in Strafsachen betrifft die Sicherung und Herausgabe elektronischer Beweismittel.
Es steht fest, dass in diesem Bereich neue und innovative Ansätze erforderlich sind, da ansonsten die grenzüberschreitende Strafverfolgung stark erschwert wird. Der vorliegende Bericht beleuchtet verschiedene internationale Initiativen zum erleichterten Zugang zu elektronischen Beweismitteln: Der Europarat verabschiedet ein Zweites Zusatzprotokoll zur BudapestKonvention, die EU eine «E-Evidence-Gesetzgebung», in der Europäische Sicherungs- und Herausgabeanordnungen vorgesehen sind, und die UNO hat die Vorarbeiten zu einem multilateralen Übereinkommen zur Cyberkriminalität aufgenommen. Gleichzeitig sind auch auf Ebene einzelner Staaten Entwicklungen zu beobachten. Die wichtigste nationale Initiative stellt die Verabschiedung des CLOUD Act durch die USA dar. Dieses US-Bundesgesetz hat für die US-Strafverfolgungsbehörden und CSP extraterritoriale Wirkungen. Es erlaubt es den US-Strafverfolgungsbehörden, Zugang zu den Daten zu erhalten, die von CSP mit Sitz in den USA aufbewahrt werden – unabhängig davon, wo auf der Welt die Daten gespeichert sind.
Das Gesetz bezweckt ausserdem eine «Internationalisierung» des amerikanischen Systems, da die US-Behörden die Möglichkeit erhalten, Executive Agreements abzuschliessen, mit denen System und Geltungsbereich des CLOUD Act auf andere Staaten ausgedehnt werden sollen. Da die bedeutsamsten CSP ihren Sitz in den USA haben, ist die Zusammenarbeit mit diesem Staat bezüglich der elektronischen Beweismittel namentlich für die Schweiz von besonderer Bedeutung. Aus diesem Grund stellt sich die Frage eines allfälligen Abschlusses eines Executive Agreement mit den USA. Der vorliegende Bericht bettet diese Frage in den grösseren Zusammenhang des «Paradigmenwechsels im Bereich der Strafrechtshilfe» ein und geht den dabei auftauchenden rechtlichen Fragen nach. Er prüft die Vereinbarkeit des CLOUD Act mit dem Schweizer Recht insbesondere auf zwei Ebenen: Hinsichtlich des Datenschutzrechts sowie der Prinzipien des Rechts der zwischenstaatlichen Zusammenarbeit in Strafsachen. Dabei gelangt das BJ zu folgenden Schlüssen:
 Datenschutzrecht: Die vom CLOUD Act erfassten Daten sind Personendaten im Sinne des Datenschutzrechts. Vor diesem Hintergrund ist es von besonderer Bedeutung, dass ein allfälliges Executive Agreement mit dem für die Schweiz relevanten Datenschutzrecht vereinbar ist. Das Datenschutzrecht der EU ist in der Schweiz zwar nicht direkt anwendbar, es wird im vorliegenden Bericht jedoch eingehend beleuchtet, da die Schweiz auch weiterhin von der EU als Drittstaat mit angemessenem Datenschutzniveau (Angemessenheitsbeschluss) anerkannt werden muss, damit sie mit den EU-Mitgliedstaaten Personendaten austauschen und am freien Datenverkehr mit der EU teilhaben kann – und damit uneingeschränkten Zugang zum «digitalen Binnenmarkt» der EU behält. Das EU-Datenschutzrecht hat folglich einen grossen Einfluss auf die Schweiz. Das schweizerische Datenschutzrecht wurde zudem soeben totalrevidiert. Im vorliegenden Bericht wird die Vereinbarkeit des CLOUD Acts mit dem geltenden und dem künftigen Datenschutzrecht analysiert. Das Ergebnis dieser Analyse legt den Schluss nahe, dass eine Herausgabe von Daten gestützt auf eine Herausgabeanordnung auf der Grundlage des CLOUD Acts nur in spezifischen Ausnahmefällen mit dem schweizerischen und europäischen Datenschutzrecht vereinbar ist.
 Rechtshilferecht: Der CLOUD Act ermöglicht die Übermittlung elektronischer Daten von einem CSP im Ausland an eine US-Strafverfolgungsbehörde, welche die erhaltenen Daten und Informationen in der Folge in einem US-Strafverfahren als Beweismittel verwenden darf. Diese direkte Zusammenarbeit würde den herkömmlichen Rechtshilfeweg mindestens teilweise ersetzen. Der Abschluss eines Executive Agreements würde damit zu einem Paradigmenwechsel im Bereich der internationalen Strafrechtskooperation führen: Erstmals würde ein schweizerischer Privater direkt an einem ausländischen Strafverfahren mitwirken, ohne dass dafür ein schweizerisches Verfahren oder wenigstens eine Bewilligung im Einzelfall vorliegt. Diese neue Form der Zusammenarbeit hätte Auswirkungen auf verschiedene Garantien und Prinzipien, welche im Recht der internationalen Rechtshilfe in Strafsachen gelten. Insbesondere betroffen wären die verfassungsmässigen Garantien des rechtlichen Gehörs und des Zugangs zu einem Gericht in der Schweiz, da die von der Datenherausgabe betroffene Person (Datenherr/in) keine Kenntnis von der Bekanntgabe mehr erlangen würde und dagegen folglich auch keine Beschwerde erheben könnte. Auch könnte das BJ seine Rolle als Aufsichtsbehörde im Rechtshilfeverfahren und damit als Garant der Einhaltung der einschlägigen schweizerischen Rechtsprinzipien nicht mehr wahrnehmen. Die Herausgabe wäre einzig abhängig vom Kooperationswillen des CSP. So würden die  Rechte der von einem Rechtshilfeersuchen betroffenen Personen geschwächt, aber auch die Möglichkeiten staatlicher Kontrolle – und damit letztlich die schweizerische Souveränität über das Verfahren. Auch mit Blick auf die Vereinbarkeit mit den Prinzipien des Rechtshilferechts wirft der CLOUD Act also grosse Fragen auf und scheint schwer mit dem übergeordneten schweizerischen Recht vereinbar zu sein.”