Kann Donald Trump effektiv auf alle unsere Daten zugreifen?
Seit dem Ausbruch des Ukraine-Krieges und der Rückkehr Donald Trumps ins Präsidentenamt ist die Debatte um die digitale Souveränität wieder verstärkt ins öffentliche Bewusstsein gerückt. Die Abhängigkeit Europas von grossen US-Technologiekonzernen ist unbestritten und wirft zwei zentrale Fragen auf: Zum einen besteht die Sorge, dass politische Entscheidungen der USA, etwa in Form gezielter Handelssanktionen, ganze Länder empfindlich treffen könnten, indem sie US-IT-Anbieter dazu verpflichten, ihre Dienste einzustellen. Zum anderen steht der Vorwurf im Raum, dass US-Behörden grundsätzlich und jederzeit Zugriff auf im Ausland gespeicherte Daten nehmen könnten.
Die beiden Themen sind getrennt zu betrachten: Wirtschaftliche Abhängigkeit betrifft politische Interessen, während der behördliche Zugriff klaren rechtlichen Verfahren wie dem US CLOUD Act folgt. Die Diskussion um digitale Souveränität wird häufig mit Schlagworten geführt, die wenig trennscharf zwischen wirtschafts-politischen Risiken und juristischen Zugriffsmöglichkeiten unterscheiden. Tatsächlich handelt es sich um zwei eigenständige Problemfelder.
Souveränität
Die wirtschaftliche Abhängigkeit von US-IT-Anbietern zeigt sich besonders im sogenannten Lock-in-Effekt, der entsteht, wenn der Wechsel zu einem anderen Anbieter aufgrund technischer Inkompatibilität, organisatorischer Komplexität oder finanzieller Belastung nur schwer realisierbar ist oder es technisch schlicht wenig sinnvolle Alternativen gibt. Microsoft Office dient hier vielfach als Beispiel. Das Risiko, dass dieser Lock-in-Effekt als politisches Druck-mittel verwendet wird, ist jedoch nicht allein auf die Nutzung von US-Providern beschränkt. Auch innerhalb Europas können vergleichbare Abhängigkeiten entstehen und die Schweiz müsste eine Nutzung von IT-Providern aus der EU ebenso infrage stellen. Sowohl die USA im Zuge des Steuerstreits als auch die EU haben bereits wirtschaftliche Druckmittel zu politischen Zwecken eingesetzt. Der Entzug der Börsenäquivalenz oder der Ausschluss der Schweiz aus dem Forschungsprogramm Horizon der EU waren nicht juristisch, sondern politisch. Ein ausschliesslicher Fokus auf Open-Source-Lösungen greift zu kurz, da auch hier Einschränkungen hinsichtlich Einsatzbereich, Betriebseffizienz und Support bestehen. Zudem werden viele Open-Source-Initiativen wiederum vom Ausland getragen. Letztlich ist es unerlässlich, bereits im Rahmen der Infrastrukturplanung Notfall- und Migrationsszenarien zu definieren, um im Ernstfall die eigene Handlungsfähigkeit zu sichern. Die Notfall- und Migrationsplanung wird aber leider allgemein gerne vernachlässigt.
Behördenzugriff
Von rechtlicher Seite rückt im Kontext des Behördenzugriffs vor allem der US CLOUD Act in den Fokus. Dieses 2018 erlassene US-Bundesgesetz erweitert den Stored Communications Act und ermächtigt US-Behör-den, in Strafverfolgungen unter bestimmten Voraussetzungen elektronische Daten von US-Dienstleistern zu verlangen, auch wenn diese physisch ausserhalb der Vereinigten Staaten gespeichert sind. Der Anwendungsbereich ist begrenzt: Er betrifft Straftaten und terroristische Aktivitäten sowie einen Bezug zu den USA, wobei der US-Bezug eine relativ kleine Hürde darstellt. Jede Herausgabe erfordert zudem einen richterlichen Beschluss, entweder in Form eines Warrants oder einer Vorladung. Damit entfällt die oft populistisch zugespitzte Vorstellung, der US-Präsident könne direkt beim Vorstand eines Tech-Konzerns anrufen und Daten abfordern. Es ist falsch zu behaupten, dass überhaupt kein Rechtsschutz mehr besteht. Ausser, man erachtet per se das amerikanische Rechtssystem für korrumpiert. Was stimmt, ist, dass mittels US CLOUD Act der traditionelle Weg über inter-nationale Rechtshilfeabkommen (MLAT) umgangen werden kann. Das Justizministerium der Vereinigten Staaten empfiehlt in ihren Richtlinien weiterhin, wenn möglich via ein MLAT zu verfahren. Das europäische und Schweizer Strafprozessrecht sieht im Übrigen ähnliche Mechanismen vor, bei denen der Beschuldigte ebenfalls nicht direkt über die Datenherausgabe bei Drittanbietern informiert wird und sich erst nachträglich dagegen wehren kann. FISA wiederum betrifft in erster Linie geheim-dienstliche Aktivitäten im Bereich der nationalen Sicherheit und erlaubt in diesem Rahmen auch breit angelegte Überwachungsmassnahmen, allerdings ebenfalls nur nach Genehmigung durch das Foreign Intelligence Surveillance Court. Gemeinsam ist beiden Gesetzen, dass Provider die Möglichkeit haben, Rechtsmittel zu ergreifen. Die EU hat mit der E-Evidenz-Verordnung im Übrigen eine mit dem US CLOUD Act vergleichbare Regelung eingeführt. IT-Provider, die in der EU-Leistungen anbieten, können ebenfalls von EU-Strafbehörden zur Datenherausgabe aufgefordert werden, selbst wenn der Server im Ausland steht. In allen Fällen gilt: Diese Verfahren sind auf Strafverfahren beschränkt, eine allgemeine, anlasslose Datenabfrage ist rechtlich nicht zulässig. Für den Durchschnittsbürger ist das Risiko wohl weiterhin gering, dass aufgrund einer Anordnung unter dem US CLOUD Act seine persönlichen Daten bei einer US-Strafbehörde landen.
Privacy Framework
Die Schweiz, ebenso wie die EU, hat auf Grundlage des Data Privacy Framework (DPF) einen Angemessenheitsbeschluss erlassen, der den Datentransfer an zertifizierte US-Unternehmen als datenschutzkonform bewertet. Zwar bleiben diese Unter-nehmen weiterhin den US-Gesetzen und somit auch dem US CLOUD Act unterworfen, doch ist dies im Rahmen der Angemessenheitsprüfung ausdrücklich berücksichtigt worden. Wenn behauptet wird, der US CLOUD Act sei beim Angemessenheitsbeschluss nicht zu berücksichtigen, weil Daten ausserhalb der USA eingefordert werden, verkennt dies, dass die US-Muttergesellschaft Adressatin einer solchen Anordnung ist. Innerhalb des Unternehmens erfolgt zuerst eine interne Bekanntgabe, bevor die Daten an die Strafbehörden weitergegeben werden. Problematisch bleibt die politische Fragilität dieser Regelung, da der DPF auf einer Executive Order basiert und somit jederzeit von einem US-Präsidenten aufgehoben werden kann. Zudem laufen in der EU mehrere Verfahren, die die Rechtmässigkeit des Angemessenheitsbeschlusses infrage stellen. In einem aktuellen Entscheid hat die untere EuGH-Instanz den Angemessenheitsbeschluss gestützt, aber der Entscheid kann noch weitergezogen werden, ob der DPF effektiv Bestand ist noch nicht gesichert.
Risikomanagement
Aus einer Risikomanagement-Perspektive fällt auf, dass der Debatte um mögliche Behördenzugriffe nach wie vor unverhältnismässig grosse Aufmerksamkeit geschenkt wird. Basierend auf statistischen Erhebungen der Hyperscaler fällt die Eintrittswahrscheinlichkeit bei Geschäftskunden äusserst gering aus. Hinzu kommt, dass im Falle eines Zugriffs ein Rechtsweg besteht, der den Anbietern Möglichkeiten zur Verteidigung eröffnet. Cyberangriffe hingegen treten in deutlich höherer Frequenz auf, oft ohne Vorwarnung und ohne rechtliche Gegenwehrmöglichkeit. Trotzdem entfalten sie in der politischen und öffentlichen Debatte weit weniger Resonanz. Als mehrere Schweizer Kantone Microsoft 365 eingeführt haben, war der politische Widerstand aufgrund potenzieller US-Behördenzugriffe erheblich. Es kürzlich wurde der IT-Systemanbieter Miljödata Opfer eines Ransomware-Angriffs und 200 Gemeinden und Regionalverwaltungen in Schweden waren danach schwer beeinträchtigt. Hier war die öffentliche Reaktion dagegen verhalten und blieb weitgehend auf die Fachwelt beschränkt. Ein solcher Fall könnte es auch in der Schweiz geben. Vor diesem Hintergrund lohnt es sich, die Priorisierung von Risiken zu überdenken und nicht allein auf geopolitisch aufgeladene Worst-Case-Szenarien zu reagieren, sondern Mittel und Aufmerksamkeit dort zu investieren, wo Eintrittswahrscheinlichkeit und Schadenspotenzial am höchsten sind.