Autor dieses Artikels ist François Charlet, Fachanwalt für Datenschutzrecht. Mit dem Artikel sollen die Leserinnen und Leser auf einige juristische Aspekte hingewiesen werden, die zu berücksichtigen sind, wenn persönliche Daten oder Unternehmensdaten von einem externen IT-Dienstleister gehostet werden sollen.
Wer nach einem Anbieter für einen bestimmten Dienst sucht, will stets die beste Leistung zum günstigsten Preis. Dies trifft auf unzählige Bereiche zu – von Mobiltelefonie über Bildung und Sport bis hin zu Handwerkerleistungen. IT-Dienstleistungen verbuchen ein starkes Wachstum, und der entsprechende Markt ist hart umkämpft. Dass dieser Markt gegenwärtig von US-Giganten wie Microsoft und Amazon beherrscht wird, ist kein Geheimnis. Aber auch lokale Anbieter behaupten sich tapfer. Sich für das Angebot grosser ausländischer Unternehmen zu entscheiden, mag eine sehr gute Wahl sein. Es spricht aber auch vieles dafür, auf ein Schweizer Unternehmen zu setzen.
Warum ist der Hosting-Standort von Bedeutung?
Neben wirtschaftlichen Erwägungen oder der Kundenbetreuung (ein Anbieter in geografischer Nähe dürfte kundenfreundlicher und in der Lage sein, einen angepassten, ja sogar massgeschneiderten Service anzubieten) besitzt auch der physische Standort der Datenspeicherung eine gewisse Bedeutung. Der effektive Datenstandort kann mit bestimmten rechtlichen Folgen verbunden sein; so könnten Daten von ausländischen Behörden beschlagnahmt werden. Dieses Risiko fällt bei einer Datenspeicherung in der Schweiz natürlich nicht weg, aber ausländische Behörden müssen in einem solchen Fall internationale Amtshilfe beantragen, während die Schweizer Behörden etwaige Massnahmen dann umsetzen. Ausserdem ist es einfacher, sich im eigenen Land vor Gericht zu verteidigen. Doch hierzu später mehr.
Die Schweiz geniesst auf der Weltbühne, aber auch bei ihren Bürgerinnen und Bürgern hervorragendes Ansehen. Dies sollte genutzt werden. Wenn der Schweizer Bevölkerung in der Schweiz Leistungen angeboten werden, herrscht häufig Verwunderung darüber, dass die Daten – ob personenbezogen oder nicht – nicht im eigenen Land gespeichert werden. Mit Blick auf Nutzerinnen und Nutzer aus anderen Ländern stellt sich die Frage, ob diese eine Informationsspeicherung in der Schweiz aufgrund der rechtlichen und politischen Stabilität und allgemein aufgrund des hohen Ansehens dieses Landes nicht generell begrüssen. Interessantes Detail: Bei bestimmten Firmen befinden sich die Server in ehemaligen Bunkern der Schweizer Armee. Doch ein solcher Hinweis mutet heute eher altmodisch an und stellt für die überwältigende Mehrheit der Kunden wohl kaum ein echtes Werbeargument dar. Ausserdem sind solche Leistungen vor allem bei der Archivierung von Daten und weniger bei täglichen Verarbeitungsvorgängen von Nutzen.
Ein lokaler Anbieter unterliegt lokalem Recht
Der Standort der Daten ist wichtig. Gleiches gilt aber auch für das Recht, an das der Dienstleister gebunden ist. So ist es bei einer – insbesondere zivilrechtlichen – Auseinandersetzung aufgrund unterschiedlicher Auslegung eines Vertrags wesentlich einfacher, ein Verfahren vor den Gerichten anzustrengen, die nach nicht gänzlich unbekannten Mustern verfahren und das Recht anwenden, dem wir tagtäglich unterliegen. Dies setzt natürlich voraus, dass im Dienstleistungsvertrag weder der Gerichtsstand noch das Recht eines anderen Landes festgelegt wurden. Überdies dürfte es unwahrscheinlicher sein, dass eine Rechtsschutzversicherung für ein Verfahren im Ausland aufkommt, wenn dies nicht bereits durch die allgemeinen Bedingungen ausgeschlossen ist.
Das gilt auch mit Blick auf das Strafrecht. In diesem Zusammenhang dürften der berühmt-berüchtigte CLOUD Act und die in diesem Zusammenhang kolportierten Unwahrheiten dem ein oder anderen nicht unbekannt sein. Aufgrund dieses Gesetzes werden US-Anbieter häufig gemieden. Und doch besteht ein ähnliches Rechtsinstrument, das insbesondere in Europa und der Schweiz Anwendung findet – die Budapester Konvention zur Cyberkriminalität. Mutmassen beispielsweise französische, deutsche oder US-amerikanische Behörden, dass Informationen zu einem Verbrechen auf einem im Schweizer Hoheitsgebiet befindlichen Server gespeichert sind, können die Schweizer Behörden den IT-Dienstleister zwingen, den ausländischen Behörden die Daten zuzuspielen, die sich in seinem Besitz befinden bzw. seiner Kontrolle unterliegen. Analog dazu kann ein in der Schweiz ansässiger Anbieter, der Daten im Ausland speichert, nach Schweizer Recht von Schweizer Behörden zur Übermittlung dieser Informationen aufgefordert werden.
Hosting in der Schweiz mit Datenübermittlung ins Ausland
Verträge enthalten häufig eine Klausel, die „vorübergehende Übermittlungen“ von Daten (personenbezogen oder nicht) betreffen. Auch wenn Daten in der Schweiz gespeichert werden, ist es nicht unüblich, dass diese für verschiedene Verarbeitungen über ausländische Server geleitet werden müssen, bevor sie für die erneute Speicherung wieder auf die Schweizer Server gelangen. Eine solche Konstellation ist häufig bei global agierenden IT-Dienstleistern gegeben, bei lokalen Akteuren jedoch seltener.
Dieser Aspekt ist von Bedeutung, denn wenn der Kunde personenbezogene Daten vom IT-Dienstleister verarbeiten lässt und diese Daten ins Ausland übermittelt werden (selbst ohne dort gespeichert zu werden), hat sich der Kunde kraft des (neuen) Bundesgesetzes über den Datenschutz (DSG) und der Datenschutz-Grundverordnung (DSGVO) der Rechtmässigkeit dieser Übertragung zu versichern und die betroffenen Personen über diese Übermittlung zu unterrichten. Gemäss dem neuen DSG haben diese Informationen den Namen des Staates bzw. der Staaten zu umfassen, in den / die die personenbezogenen Daten übermittelt werden.
Neues DSG
Im Web und den Medien wird immer wieder der in der Schweiz äusserst sichere Rechtsrahmen für personenbezogene Daten angepriesen. Natürliche und juristische Personen werden ermutigt, ihre Daten in der Schweiz hosten zu lassen. Doch seit die DSGVO in der Europäischen Union in Kraft getreten ist und die Auflagen gegenüber Unternehmen weltweit, die ihre Dienstleistungen in Europa anbieten oder als Unterauftragnehmer europäischer Unternehmen agieren, drastisch gestiegen sind, sind derartige Äusserungen verstummt.
Doch Letzere werden wieder ertönen, wenn auch etwas leiser. Das im Herbst 2020 angenommene DSG, dessen Datum des Inkrafttretens noch unbekannt ist, bringt einige Neuerungen mit sich und erlegt Schweizer Unternehmen mehr Verantwortlichkeiten auf, insbesondere mit Blick auf Transparenz und Governance. Hierdurch wird das Argument, wonach personenbezogene Daten in Europa besser geschützt sind als in der Schweiz, seine Daseinsberechtigung verlieren. Denn alle Schweizer IT-Dienstleister, die bis dato (gesetzlich oder vertraglich) nicht an die DSGVO gebunden waren, unterliegen künftig der strengeren Regelung des neuen DSG.
Mit dem Gesetz wird insbesondere die Transparenzpflicht der für die Verarbeitung Verantwortlichen gestärkt. Ausserdem werden die Anwendung der Grundsätze „Privacy by Design“ und „Privacy by Default“ und Folgeabschätzungen verbindlich, während Datenschutzverstösse einem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten gemeldet werden können.
Anbieter mit eigener Entwicklung von Lösungen
Ein IT-Dienstleister, der einen Hosting-Dienst anbietet, gewährt seinen Kunden häufig technische Unterstützung bei der Installation eines CMS oder bestimmte Hilfen, um dies beispielsweise unter Anleitung und automatisiert zu bewerkstelligen. Dabei angebotene IT-Lösungen stammen zumeist von Drittanbietern, die für Wartung, Updates und Sicherheit ihrer Lösungen verantwortlich zeichnen. Weil der Hosting-Anbieter hieran unbeteiligt ist, kann er seinen Kunden nicht helfen, Bugs, Fehler oder Sicherheitslücken dieser Lösungen zu beheben.
Umgekehrt kommen Kunden in den Genuss eines über die einfache Hosting-Leistung hinausgehenden Service, wenn der Hosting-Anbieter ebenfalls IT-Lösungen entwickelt und diese seinen Kunden anbietet. Auch wenn der IT-Anbieter in einem solchen Fall mehr Verantwortung gegenüber seinen Kunden wahrnimmt, ist er vorab in der Lage, den wachsenden Kundenanforderungen an die angebotenen Leistungen Rechnung zu tragen. Der Anbieter fängt bei der Entwicklung seiner eigenen Tools nicht unbedingt bei Null an („from scratch“), sondern greift häufig auf Open-Source-Lösungen zurück, die er an seine IT-Systeme, die Bedürfnisse seiner Kunden und das von ihm geplante Leistungsangebot anpasst. Auf diese Weise profitiert der Anbieter von Weiterentwicklungen des Open-Source-Codes der Community (und kann hierzu selbst beitragen), behält aber gleichzeitig die Kontrolle über seine angebotene Lösung. Auch das Recht im Spionagebereich, dem ein lokaler Anbieter unterliegt, spricht für die Wahl eines lokalen Anbieters, der seine eigenen Tools entwickelt. Werden proprietäre, im Ausland entwickelte Lösungen genutzt, lässt sich eine Exposition gegenüber sogenannten „Backdoors“, die auf Verlangen einer ausländischen Behörde installiert werden, nicht ganz ausschliessen (siehe hierzu diese Reportage von RTS). Da der lokale Dienstleister in der Regel jedoch keine andere Wahl hat, als im Ausland entwickelte und hergestellte IT-Technologien und
-Infrastrukturen zu nutzen (Server, Betriebssysteme usw.), verliert das vorgenannte Argument zwar an Gewicht, bleibt aber von Bedeutung. Selbstverständlich gibt es Ausnahmen.
Schlussbetrachtung
Die vorstehenden Ausführungen zeigen, dass ein lokaler IT-Dienstleister eine stärkere Unabhängigkeit besitzt und generell eine stärkere Kontrolle der Daten, die ihm seine Kunden anvertrauen, von sich verlangt. Dabei kann er vor bestimmten Cyberangriffen geschützt sein, die auf massenhaft genutzte Infrastrukturen und Lösungen abzielen. Je nach den von ihm genutzten Unterauftragnehmern kann er häufig gewährleisten, dass Daten seiner Kunden weder ins Ausland übermittelt werden noch im Ausland befindlichen Personen zugänglich sind. Bei einem Rechtsstreit nutzt der Kunde prinzipiell einen Gerichtsstand in der Schweiz, während Schweizer Recht Anwendung findet. Dies bedeutet de facto eine Garantie für ein faires Verfahren und eine bürgernahe Rechtsprechung.
Der Autor dieses Artikels ist unabhängig und wurde von Infomaniak network SA, zu dessen Kunden er zählt, weder beeinflusst noch unter Druck gesetzt.