Der USA Patriot Act hat Auswirkungen auf US-amerikanische Unternehmen, indem er den Zugang der Regierung zu bestimmten Informationen und Überwachungstechnologien erleichtert, um Terrorismus und kriminelle Aktivitäten zu bekämpfen. Dies bedeutet, dass US-Unternehmen verpflichtet sind, Informationen preiszugeben oder Überwachungstechnologien bereitzustellen, wenn dazu von den Regierungsbehörden aufgefordert werden. Dies hat Auswirkungen auf die Privatsphäre und den Schutz von Kundendaten und kann zu rechtlichen oder finanziellen Konsequenzen für Unternehmen führen.
In vielen Länder gibt es ähnliche Gesetze zum Beispiel im vereinigten Königreich: The Regulation of Investigatory Powers Act (RIPA), in Frankreich: The French Intelligence Law, in Deutschland: BND-Gesetz (BNDG), in Russland: The Federal Law on Operational-Investigative Activity und so weiter.
Ein Schweizer Finanzdienstleister muss sicherstellen, dass der von ihm verwendete Dienstleister, welcher Kundendaten aufbewahrt den hiesigen Anforderungen des Bankengesetzes (BankG) und des FINMA-Aufsichtsrechts entspricht. Um sicherzustellen, dass Kundendaten ausreichend geschützt sind, muss der Anbieter nachweisen können, dass er:
- Über die erforderliche Informationssicherheit verfügt, einschliesslich Massnahmen zur Verhinderung von Datenverlust, -diebstahl und -manipulation.
- Die geltenden Datenschutzgesetze einhält, einschliesslich des Schweizerischen Bundesgesetzes über den Datenschutz (DSG) und der Europäischen Datenschutz-Grundverordnung (DS-GVO).
- Über Verfahren verfügt, um die Integrität und Verfügbarkeit elektronischer Kundendaten zu gewährleisten.
Eine Datenschutzerklärung bietet keinen Schutz gegenüber Regierungsbehörden, es ist nur ein rechtlicher Vertrag zwischen dem Unternehmen und seinen Kunden, in dem die Verpflichtungen des Unternehmens bezüglich des Umgangs mit Kundendaten festgelegt wird. Eine Datenschutzerklärung bietet keine Garantie dafür, dass ein Unternehmen seine Kundendaten vor Zugriff durch Regierungsbehörden schützt.
Hier einige bekannte Fälle, in diesem Zusammenhang, welche an die Öffentlichkeit gelangten.
- Microsoft Azure – Microsoft hat in der Vergangenheit gegen Regierungsanfragen gestritten, um Daten im Zusammenhang mit dem Patriot Act bereitzustellen. Im Jahr 2013 kämpfte Microsoft erfolgreich gegen eine Regierungsanfrage, um E-Mail-Daten aus einem Rechenzentrum in Irland herauszugeben.
- Google Cloud – Google hat in der Vergangenheit gegen Regierungsanfragen gestritten, um Daten im Zusammenhang mit dem Patriot Act bereitzustellen. Ein bekanntes Beispiel ist ein Fall aus dem Jahr 2013, in dem Google gegen eine Regierungsanfrage kämpfte, um Daten über eine internationale Suchanfrage bereitzustellen.
- Dropbox – Dropbox hat in der Vergangenheit gegen Regierungsanfragen gestritten, um Daten im Zusammenhang mit dem Patriot Act bereitzustellen. Ein bekanntes Beispiel ist ein Fall aus dem Jahr 2014, in dem Dropbox gegen eine Regierungsanfrage kämpfte, um Daten eines Kunden bereitzustellen.
- Apple – Verschlüsselungsstreit zwischen dem FBI und Apple. In den Jahren 2015 und 2016 hat Apple Inc. mindestens 11 Anordnungen von Bezirksgerichten der Vereinigten Staaten gemäss dem All Writs Act erhalten und abgelehnt oder angefochten.
Es ist wichtig zu beachten, dass dies nur Fälle sind, welche an die Öffentlichkeit gelangten, weil sich die Firmen gegen Regierungsanfragen gewehrt haben. Wenn Firmen jedoch mit den Regierungsbehörden kooperieren gelangen diese Informationen in der Regel gar nicht an die Öffentlichkeit.
Wenn eine Regierungsbehörde Daten von einem Unternehmen verlangt, kann es vorkommen, dass das Unternehmen verpflichtet ist, diese Daten bereitzustellen, auch wenn sie von einem Kunden aus einem anderen Land, wie zum Beispiel der Schweiz, stammen.
Zusammenfassend kann gesagt werden, dass der Einsatz von ausländischen Cloud- und Datenspeicher-Anbietern durch schweizerische Finanzdienstleister Risiken im Hinblick auf den Datenschutz mit sich bringt. Der USA Patriot Act und ähnliche Gesetze gibt den Regierungsbehörden breite Befugnisse, um auf Daten ausländischer Unternehmen zuzugreifen, was die Datenschutz-Erklärungen solcher Anbieter in Frage stellt. Daher ist es für schweizerische Finanzdienstleister wichtig, das Risiko im Hinblick auf den Datenschutz zu minimieren und auf schweizerische Anbieter zurückzugreifen. Eine Schweizer Lösung bietet den Vorteil eines höheren Datenschutzes und einer besseren Rechtssicherheit im Umgang mit sensiblen Daten.