Microsoft 365: So funktionierte die Risikobeurteilung mit der «Methode Rosenthal» im Kanton Zürich

Rechtsanwalt Martin Steiger

11 Kommentare

  1. Simon Schlauri sagt:

    Ich fürchte, das hält nicht angesichts der Schrems-Rechtsprechung. Wir werden sehen, wer am Ende Recht behält.

    1. @Simon Schlauri:

      Die Schrems-Rechtsprechung betrifft allerdings nicht den Datenstandort Schweiz (bzw. für die Rechtsprechung EWR-Europa) … in der Schweiz müssten jene kantonalen Datenschutzbeauftragten, die sich kritisch äusserten, ihren Worten Taten Folgen lassen, sobald sich die Cloud-Thematik in ihrem Kanton stellt.

  2. Peter Meier sagt:

    Im Rechtsstaat stellt sich generell die Frage, ob ein öffentliches Organ nach der Methode Vorgehen kann, dass die Wahrscheinlichkeit, wenn ich bei Rot über die Straße gehe, von der Polizei erwischt zu werden, nur 0.74 Prozent besteht, also mache ich es…… Dieser Ansatz wäre im öffentlichen Recht neu.

    1. @Peter Meier:

      Nehmen wir ein anderes Offline-Beispiel: Das Risiko, das die Türe zum Posten der Kantonspolizei in Rafz einem Einbruchsversuch nicht standhält, ist nicht null. Ist das ein Problem? Falls ja, wie stark befestigt sollte die Türe sein? Wie lange sollten sie einem Einbruchsversuch standhalten? Oder überhaupt: Welcher Art von Einbruchsversuch sollte die Türe standhalten:

      In den Datenschutz Plaudereien kürzlich war ein ähnlicher Offline-Vergleich übrigens ein Thema, das ich mit David Rosenthal diskutierte.

      1. Peter Meier sagt:

        @Martin Steiger
        Man kann immer Äpfel mit Birnen vergleichen. Warum sollte eine Gemeinde das Datenschutzrecht einhalten, wenn das Risiko, von einem Bürger eingeklagt zu werden, nahe null Prozent liegt? Lässt das öffentliche Recht eine solche Risikoabwägung zu? Im Gegensatz sagt das Datenschutzrecht klar, dass technische und organisatorische Massnahmen nur angemessen sein müssen ( also nie eine 100 Proznet Sicherheit bieten müssen). Ich sehe im öffentlichen Recht dagegen keine Bestimmung, die dem öffenlichen Organ erlauben würde, Recht nicht 100prozentig einzuhalten.

        1. Fritz Müller sagt:

          Die anwendbaren Datenschutzgesetze sehen bei Übermittlung ins Ausland regelmässig vor, dass (nur, aber immerhin) ein „angemesser Datenschutz“ gewährleistet sein muss. Und die Gesetze gehen davon aus, dass dies durch technische und/oder vertragliche Massnahmen erreichbar sein kann.

        2. Roger Kappeler sagt:

          @Peter Meier: Konkret zu Ihrem Beispiel, warum die Gemeinde das Datenschutzrecht einhalten sollte: Wegen dem Grundsatz von Treu und Glauben und dem Legalitätsprinzip. Es geht ja auch nicht um das Risiko, ob die Gemeinde vom Bürger eingeklagt wird, sondern um das Risiko des Eintretens einer Datenschutzverletzung. Falls eine solche eintritt, würde man anhand des eingeschätzen Risiko sehen, ob die TOM angemessen waren oder nicht. Bei einem geschätzen Risiko von 0.75 würde ich objektiv nicht davon ausgehen, dass hier fahrlässig oder grobfahlässig gehandelt wurde.

  3. Risikobeurteilungen nach dieser Methode funktionieren im Datenschutz nicht. Selbst traditionelle Risikobeurteilungen im IT-Security Umfeld sind schwierig, beim Datenschutz können sie aber nicht funktionieren..

    1. @Bruno Wildhaber:

      Welches wäre die richtige Methode?

  4. Monika sagt:

    Warum wird der USA den schwarzen Peter zugeschoben ? Faktum ist, dass im 2016 die Kontrolle des Internets – sprich Zensur – im Internet – zu icann wechselte (Obama /Genf UNO- deal vom ca. 2016, der im Senat durch Ted Cruz versucht wurde zu verhindern). Icann war angeblich vorher die ITU- die schweizerische internationale Telecommunication….welche ca. 1865 gegründet wurde, ein Denkmal steht in Bern, und seit der Name zu icann wechselte, sind die Büro noch in Genf und das Steuer-Ort Irland. Warum ist dieser Rückblick wichtig ? Wegen den Fakten, nämlich dass die Schweiz in Genf inklusive Schweizer „Cheese“ agiert und die UNO das ÜBEL ist seit 2016 – nicht die USA – das Internet unterliegt der Kontrolle der UNO – fazit dem Schweizer deep state ! (nicht von mir, so wird das Rechtssystem der CH in der USA genannt) – well einige Leser könnten jetzt auf 180 sein und dies Verschwörungstheorie usw. nenen. Solche bitte ich Ted Cruz Senator USA und Obama sells the internet zu googlen oder Obama gives away the internet and national security – the swiss deep state with the UN is the black box of the swiss data problems – only from my point of view, that can be wrong, of course.

    1. Hintergrund:

      «Die US-Regierung hat offiziell ihre Aufsicht über die Internet-Adressverwaltung aufgegeben. Das US-Handelsministerium übergab am gestrigen Samstag das Herzstück der Internet-Verwaltung, die Internet Assigned Numbers Authority (IANA), in die Hände der Non-Profit-Organisation Internet Corporation for Assigned Names and Numbers (ICANN).»

      https://www.heise.de/newsticke.....39640.html

      Die IANA nicht einem einzelnen Staat zu überlassen, ist offensichtlich sinnvoll. Ich sehe dabei keinen Einfluss – jedenfalls keinen negativen Einfluss – auf die Risikobeurteilung beim Einsatz von Cloud-Diensten.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht.