Close
Wonach suchen Sie?
Site search
6. Dezember 2021 Pre-Trial Discovery: So geht es mit der Datenlieferung aus der Schweiz

Datenschutz in US-Zivilprozessen

  • Freiwillige Datenlieferungen aus der Schweiz sind grundsätzlich zulässig
  • Aus verschiedenen Gründen sind umfangreiche Schwärzungen nötig
  • Datenschutz erfordert einen "Protective Order" in den USA

Das "Pre-Trial Discovery"-Verfahren ist ein Standardprozedere in US-Zivilrechtsstreitigkeiten: Die Parteien tauschen noch vor dem Prozess den Fall möglicherweise betreffende Daten und Unterlagen – also E-Mails, Dateien, Papierdokumente, Chats, Server-Logs etc. – miteinander aus. Immer wieder kommt es vor, dass hierzu auch Daten und Unterlagen aus der Schweiz geliefert werden müssen, sei es, weil eine Schweizer Gruppengesellschaft in den Streit involviert ist oder sie die Daten aufbewahrt oder weil ein Schweizer Unternehmen im US-Rechtsstreit direkt involviert ist.

In dieser Situation haben wir immer wieder Klienten, die uns fragen, ob sie Daten und Dokumente aus der Schweiz ihren US-Anwälten und der Gegenseite liefern dürften. Die kurze Antwort ist: Im Rahmen einer Pre-Trial-Discovery ist dies normalerweise möglich, sofern der Datenschutz und Geschäftsgeheimnisse Dritter beachtet werden. Wir haben die wichtigsten hierbei im Normalfall zu beachtenden Punkte zusammengestellt. Ähnliches gilt auch für Datenlieferungen im Rahmen der DSGVO.

Sind die folgenden Massnahmen ergriffen worden, erlaubt es das Schweizer Recht grundsätzlich, Daten und Dokumente für den US-Zivilprozess eines Unternehmens (und für andere Unternehmen) zusammenzutragen, zu speichern, zu sichten und herauszugeben:

  1. Art. 271 des Schweizerischen Strafgesetzbuches (StGB) verbietet es vereinfacht gesagt, für ein ausländisches Gericht oder eine ausländische Behörde auf Schweizer Boden tätig zu werden. In solchen Fällen muss entweder eine Bewilligung der Bundesbehörden vorliegen oder es muss Rechts- oder Amtshilfe beansprucht werden. Eine Beweisaufnahme für ein ausländisches Gerichtsverfahren kann ein Fall von Art. 271 StGB sein. In der Vergangenheit stellte Art. 271 StGB in der "pre-trial discovery"-Phase in der Regel kein Problem dar, weshalb auf Rechtshilfe verzichtet werden konnte. Eine Gefahr der Verletzung von Art. 271 StGB gab es vor allem dann, wenn Dokumente oder Informationen beschafft werden sollten, die sich nicht bereits im Besitz des betreffenden Unternehmens befanden (z.B. Befragungen ehemaliger Mitarbeiter) oder wenn das ausländische Gericht anordnete, dass bestimmte Dokumente oder Informationen auf Schweizer Gebiet herausgegeben werden müssten (insbesondere unter Androhung von strafrechtlichen oder quasistrafrechtlichen Sanktionen). Mit dem Entscheid des Schweizer Bundesgerichts vom 1. November 2021 (6B_216/2020) änderte sich aber alles. Das Gericht befand, dass es in "sämtlichen Konstellationen" unter Art. 271 StGB nur erlaubt sei Akten und Informationen herauszugeben, "über die frei verfügt werden kann" (Erw. 1.4.2). Es befand weiter, dass über "identifizierende Informationen über Dritte", die nicht öffentlich  zugänglich seien, "[n]icht frei verfügt werden kann" (ebd.). Wird das Gericht beim Wort genommen, bedeutet dies, dass sogar in einer pre-trial discovery und auch ohne Anordnung eines Gerichts es nur noch erlaubt wäre Dokumente herauszugeben, die keine Angaben über identifizierbare Mitarbeiter, Kunden und andere Dritte mehr enthalten, es sei denn, diese Angaben seien öffentlich. Das Bundesgericht mag damit zu weit gegangen sein, indem es einem Unternehmen das freie Verfügungsrecht über sämtliche nicht-öffentliche Informationen über identifizierbare Dritte pauschal abspricht und es gibt Gründe, die gegen ein solches Verständnis sprechen. Doch eine vorsichtige Lesart hat sich in der Schweiz in pre-trial-discovery-Fällen inzwischen als herrschende Auffassung durchgesetzt; immerhin kann eine Verletzung von Art. 271 SPC zur strafrechtlichen Verantwortlichkeit der Beteiligten führen, auch der Anwälte. Der Gerichtsfall (der eine freiwillige Dokumentenlieferung an US-Behörden betraf) zeigt auch, dass Art. 271 SPC kein toter Buchstabe ist. Dies bedeutet, dass Dokumente in der Regel vor einer Herausgabe massiv geschwärzt werden. Ausnahmen werden teilweise für jene Personen gemacht, die zugestimmt haben, und natürlich für die Prozessparteien. Auch andere "Workarounds" sind denkbar, zum Beispiel eine temporäre Herausgabe von Daten nur zur Sichtung aber ohne Beweiswert. Es gibt zudem Alternativen zur Beweisbeschaffung in der Schweiz wie etwa die Einsetzung eines "Commissioners" unter dem Haager Übereinkommen. Darum ist es empfehlenswert, in solchen Fällen den Rechtsrat einer Schweizer Kanzlei mit Erfahrung auf diesem Gebiet einzuholen. Sie kann auch die Schwärzung organisieren und überwachen.
  2. Ungeachtet von Art. 271 StGB sollte geprüft werden, ob die Herausgabe von Dokumenten und Informationen Geschäftsgeheimnisse Dritter verletzen würde, zu deren Wahrung das Unternehmen verpflichtet ist. Dies kann ansonsten ebenfalls gegen Schweizer Recht verstossen, da das Schweizer Recht keine allgemeingültige Ausnahmeregelung zugunsten der Einreichung von Beweisen in ausländischen Zivilverfahren kennt. Kein Problem besteht dort, wo die einschlägigen Vertraulichkeitserklärungen und NDAs ausdrücklich oder implizit Ausnahmen vorsehen, die eine Offenlegung von Informationen in Gerichtsverfahren zulassen. Liegen solche Ausnahmen nicht vor, sollte vor der Preisgabe der Dokumente die Zustimmung der betroffenen Dritten eingeholt oder die fraglichen Informationen müssen entsprechend geschwärzt werden, soweit damit die Geheimhaltungsinteressen der Dritten hinreichend gewahrt ist. Wird dies unterlassen, können die Verantwortlichen wiederum strafrechtlich verfolgt werden (Art. 162 und 273 StGB, wobei Art. 273 StGB nur dann einschlägig ist, wenn der betroffene Dritte als Teil der Schweizer Wirtschaft angesehen wird). Sind neben "normalen" Geschäftsgeheimnissen auch noch Berufsgeheimnisse betroffen (z.B. Bankgeheimnis), müssen zusätzliche Regeln beachtet werden, die wir an dieser Stelle allerdings nicht weiter erörtern; die nachfolgenden Ausführungen gelten für Unternehmen, wo dies nicht der Fall ist.
  3. Aus Sicht des schweizerischen Datenschutzes ist es unproblematisch, wenn Dokumente innerhalb eines Unternehmens zusammengetragen und für einen (allfälligen) Rechtsstreit vorgehalten werden. Jedoch sollten die Mitarbeiter sobald wie möglich über den Umstand in Kenntnis gesetzt werden, dass ihre Daten gesammelt wurden und womöglich im Rahmen eines Rechtsstreits offengelegt werden müssen. Diese Information kann in der Regel im Rahmen der "legal hold notice" (Vernichtungsstopp) erfolgen, die ebenfalls zum Standardprozedere einer Rechtsstreitigkeit nach US-Recht gehört. Vor diesem Hintergrund ist es auch sinnvoll, in den firmeninternen Weisungen diesen Fall bereits vorzusehen; auf diese Weise sind die Mitarbeiter bereits darüber informiert, was mit ihren Personendaten geschehen kann. Das Schweizer Datenschutzrecht schützt nicht nur private Daten, sondern auch geschäftliche Daten, in welchen die Identität der betroffenen Mitarbeiter bestimmt oder bestimmbar ist. Soweit Informationen wegen Art. 271 StGB ohnehin geschwärzt werden müssen, spielt der Datenschutz natürlich keine Rolle bezüglich dieser Informationen.
  4. Bevor die gesammelten Dokumente und Informationen in die USA übermittelt werden, müssen irrelevante Dokumente und Informationen nach dem Grundsatz der Verhältnismässigkeit entfernt werden, damit nur Dokumente und Informationen übermittelt werden, die für die Ermittlung mutmasslich relevant sind (im Gegensatz zu allen im Unternehmen sichergestellten Dokumenten beispielsweise eines Mitarbeiters). Dies bedeutet, die Dokumente müssen gesichtet und die relevanten Dokumente aussortiert werden.
  5. Derselbe Grundsatz der Verhältnismässigkeit verlangt auch, dass wenn mit der Gegenseite der Umfang der zu liefernden Unterlagen besprochen und festgelegt wird (sog. "meet and confer"-Sitzungen), dieser auf das beschränkt wird, was für den Fall wirklich notwendig ist. Zu weitreichende Herausgabeforderungen können gegen das Datenschutzrecht verstossen. Bevor Dokumente und Informationen herausgegeben werden, müssen sie auf Relevanz und private Daten (d.h. nicht geschäftsbezogene Informationen von Mitarbeitern) hin geprüft werden. Irrelevante Daten (insbesondere betreffend Dritter) und private Daten müssen entfernt oder geschwärzt werden. Bei besonders sensiblen personenbezogenen Daten (z.B. Gesundheitsdaten) muss unter Umständen ebenfalls geschwärzt werden.
  6. Es ist sicherzustellen, dass für die Durchführung der vorgenannten Massnahmen genügend Zeit eingeplant wird (z.B. durch Vereinbarung einer "rollenden" Herausgabe). In der Regel werden die Dokumente in der Schweiz gesammelt und bei einem eDiscovery-Anbieter in der Schweiz gehostet. Die Überprüfung der mutmasslich relevanten Dokumente und Informationen kann von den USA aus erfolgen (z.B. durch Fernzugriff). Je nach Fallkonstellation wird in der Regel nach der Sichtung der Dokumente betreffend ihre Relevanz, eine Sichtung zur Einhaltung von Art. 271 StGB, zum Schutz der Geheimhaltung und des Datenschutzes in der Schweiz durchgeführt. Diese zielt darauf ab, dass jene Informationen in den Dokumenten geschwärzt werden, die ungeachtet der weiteren Schutzmassnahmen nicht der Gegenseite herausgegeben werden dürfen (damit die oben aufgeführten Anforderungen aus den Punkten 2 und 5 erfüllt sind).
  7. Bevor Dokumente und Informationen an einen US-Anwalt, einen US-eDiscovery-Anbieter, eine US-Tochtergesellschaft oder einen anderen Dritten übermittelt werden, müssen bestimmte weitere Schritte vorgenommen werden, damit die in den Dokumenten und Informationen enthaltenen Personendaten aus datenschutzrechtlicher Sicht angemessen geschützt bleiben. Der Datenschutz verlangt, dass ein Schweizer Unternehmen soweit wie möglich die Kontrolle über die Herausgegebenen Dokumente und Informationen behält (auch über den Entscheid, wann Dokumente der Gegenseite herausgegeben werden) und angemessene technische und organisatorische Massnahmen getroffen werden, um eine unbefugte Nutzung oder sonstige Verarbeitung zu verhindern. Praktisch bedeutet dies, dass sichergestellt wird, dass die Dokumente sicher aufbewahrt, vertraulich behandelt und nur für den Rechtsstreit benutzt werden. Die Datenschutz-Grundverordnung (DSGVO) kennt vergleichbare Anforderungen.
  8. In der Regel wird das erforderliche Schutzniveau durch den Abschluss eines "data transfer agreement" (Datenübertragungsvereinbarung) mit den eigenen US-Rechtsanwälten (oder anderen Parteien, denen Dokumente und Informationen gegeben werden oder die Fernzugriff erhalten sollen) erreicht. Ist beabsichtigt, Dokumente und Informationen innerhalb eines Konzerns weiterzugeben (bereits die Bereitstellung via Fernzugriff wäre eine solche), kann möglicherweise auf eine bereits vorliegende konzerninterne Vereinbarung für solche Datenflüsse zurückgegriffen werden. Andernfalls sind, insbesondere mit US-amerikanischen Anwälten, die EU-Standardvertrags­klauseln (EU SCC) abzuschliessen. Dabei handelt es sich um eine Reihe von Vertragsklauseln, die im Juni 2021 von der Europäischen Kommission entworfen und genehmigt wurden, um die Übermittlung personenbezogener Daten in Länder, die kein angemessenes Datenschutzniveau bieten, zu ermöglichen. Die EU SCC werden auch im Rahmen des Schweizer Datenschutzrecht anerkannt, sofern sie in einer bestimmten Weise abgeändert werden; ihre Verwendung muss bis 2023 der Schweizer Datenschutzbehörde gemeldet werden. Die meisten Empfänger von Personendaten werden die EU SCC zwar nicht attraktiv finden, dennoch werden sie weltweit akzeptiert. Dabei ist zu beachten, dass es den Parteien nicht erlaubt ist diese abzuändern (siehe unsere ausführlichen und kostenlosen FAQ zu den EU SCC). Es reicht jedoch nicht aus, nur die EU SCC abzuschliessen. Das Schweizer Datenschutzrecht (und die DSGVO) schreibt den Parteien ausserdem die Durchführung eines "Transfer Impact Assessment" (TIA) vor. Dabei wird das Risiko eingeschätzt, dass die Daten im Ausland von einer ausländischen Behörde abgegriffen werden und dieser "Lawful Access" die Anforderungen an einen Behördenzugriff des europäischen Rechts nicht erfüllt, was im Falle der USA die Zugriffe nach Section 702 FISA betrifft. Dokumente und Informationen dürfen nur dann in die USA übermittelt werden, wenn im Einzelfall kein Grund zur Annahme besteht, dass es zu solchen problematischen Zugriffen kommt (siehe dazu unsere kostenlose Vorlage für die Durchführung solcher TIAs). In der Praxis ist dies in der Regel unproblematisch; auch dazu äussern wir uns in unserer FAQ.
  9. Im Prinzip müssten die EU SCC auch mit den Gegenparteien geschlossen werden, welchen im Rahmen einer "pre-trial discovery" Dokumente und Informationen zur Verfügung gestellt werden sollen. Im Rahmen eines Rechtsstreits ist dies aber normalerweise nicht möglich. Dasselbe gilt, wenn Dokumente an ein ausländisches Gericht übermittelt werden müssen. In einer solchen Situation ist es nach Schweizer Datenschutzrecht (und nach der DSGVO) möglich, sich auf eine gesetzliche Ausnahmeregelung zu berufen, die es erlaubt, Dokumente und Informationen als Beweismittel zum Zwecke der Abwehr oder Geltendmachung von Rechtsansprüchen in Länder wie die USA zu übermitteln. Dies gilt auch für die Übermittlung von Dokumenten im Rahmen einer Pre-Trial Discovery (soweit sie noch Personendaten enthalten). Allerdings muss sichergestellt werden, dass die herausgegebenen Dokumente und Informationen nicht für andere Zwecke als den betreffenden Rechtsstreit verwendet werden und dass sie vertraulich bleiben. Um dies zu erreichen, sollte vor der Herausgabe von Dokumenten eine "protective order" (Schutzanordnung) erwirkt werden. Dieses Rechtsinstrument ist in den USA zum Schutze von Geschäftsgeheimnissen gut bekannt. Für die vorliegenden Zwecke muss es so angepasst werden, dass es alle Personendaten in den fraglichen Dokumenten abdeckt, selbst wenn diese nicht als Geschäftsgeheimnis gelten. Personendaten werden also analog zu Geschäftsgeheimnissen geschützt. Der Protective Order muss zudem bestimmte andere datenschutzrelevante Aspekte behandeln. Dieser Ansatz ist in den USA inzwischen gut etabliert und sollte sich problemlos durchsetzen lassen, wenn er frühzeitig thematisiert wird. Weitere Informationen und eine Muster-Schutzanordnungen, die Datenschutzaspekte abdeckt, finden Sie in den "International Principles on Discovery, Disclosure & Data Protection", die von der "Sedona Conference's Working Group 6 on International Electronic Information Management, Discovery and Disclosure" veröffentlicht wurden. US-Rechtsanwälte sind mit The Sedona Conference in der Regel vertraut.

Werden die vorstehenden Regeln nicht eingehalten, kann dies zivil-, straf- und aufsichtsrechtliche Konsequenzen haben. Betroffene Personen können Schadenersatz oder andere Ansprüche aufgrund der Verletzung ihrer Persönlichkeitsrechte (Datenschutz) auf dem Weg eines Zivilprozesses geltend machen. Zusätzlich kann der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte einschreiten, wie er dies beispielsweise im Falle des Steuerstreits zwischen den USA und der Schweiz getan hat (vgl. seine Ausführungen zur Übermittlung von Bankmitarbeiterdaten aus dem Jahre 2013). In regulierten Branchen (z.B. Finanzindustrie) kann auch die Branchenaufsicht (z.B. FINMA) einschreiten. Werden Geheimhaltungspflichten verletzt, kann dies neben zivilrechtlichen Sanktionen auch zur Strafbarkeit der verantwortlichen Personen führen, sei es aus der Verletzung von Art. 162 StGB, sei es aufgrund der Verletzung des Berufsgeheimnisses (z.B. Art. 321 StGB, Art. 47 BankG) oder sei es aufgrund der Strafbestimmungen zu wirtschaftlichem Nachrichtendienst (Art. 273 StGB). Unter dem revidierten Datenschutzgesetz (revDSG, voraussichtlich ab 2023) wird das Berufsgeheimnis auf alle Berufe ausgedehnt (Art. 62 revDSG); auch die Bekanntgabe von Personendaten ins Ausland unter vorsätzlicher Missachtung der Vorgaben des revDSG zum Export mit bis zu CHF 250'000 bestraft werden (Art. 61 revDSG), ebenso die Auslagerung an einen Auftragsbearbeiter ohne den nötigen Vertrag (ebd.). Schliesslich ist Art. 271 StGB zu beachten: Wird diese Bestimmung vorsätzlich verletzt, drohen bis zu drei Jahre Freiheitsstrafe oder Geldstrafe. Dazu kann es nicht nur dann kommen, wenn auf Schweizer Boden Beweise für ein ausländisches Verfahren unter Androhung von Sanktionen erhoben werden, sondern auch in anderen Fällen, in welchen eine Partei durch eine (auch freiwillige) Datenlieferung für ein ausländisches Verfahren den betroffenen Personen der Schutz des Schweizer Rechts entzieht; die jüngste bundesgerichtliche Rechtsprechung ist wohl so zu verstehen, dass hierzu eine datenschutzwidrige Datenlieferung oder die Verletzung einer vertraglichen Geheimhaltungspflicht bereits ausreichen kann; erlaubt ist nach Art. 271 StGB gemäss Bundesgericht nur die Lieferung von Daten, über welche das Unternehmen frei verfügen kann (vgl. Entscheid des Bundesgerichts vom 1. November 2021, 6B_216/2020). Bei Daten von Mitarbeitern ist zum Beispiel zu prüfen, ob die Offenlegung ihrer Personendaten diese einem Nachteil aussetzt.

Falls Sie mehr darüber erfahren wollen, wie Sie mit internen Untersuchungen und eDiscovery umgehen müssen, laden Sie sich unser Praxishandbuch zum Thema online herunter oder bestellen Sie sich ein gedrucktes Exemplar (kostenlos).

Autor: David Rosenthal

Autor