Microsoft 365: So funktionierte die Risikobeurteilung mit der «Methode Rosenthal» im Kanton Zürich

Bild: Kopf mit einer Glühbirne auf einer WandtafelIm Kanton Zürich beschloss der Regierungsrat am 30. März 2022 die Zulassung von Microsoft 365 in der Verwaltung.

Die Zulassung wurde unter anderem damit begründet, dass die Wahrscheinlichkeit für einen ausländischen Behördenzugriff während fünf Jahren für sogenannte Geschäftsfalldaten bei 0.74 Prozent liege.

Wie genau wurde die Risikobeurteilung durchgeführt?

Das zuständige Amt für Informatik wollte mir dazu nichts sagen. Die Behörde ignorierte meine Anfrage, die ich mit Verweis auf das Öffentlichkeitsprinzip gestellt hatte, auch in Bezug auf diese Risikobeurteilung.

Die bekannte Tech-Journalistin Adrienne Fichter («Republik», dnip.ch) hingegen erhielt das Memorandum vom 24. März 2022 mit der «Berechnung des ausländischen Lawful Access / US CLOUD Act» im Rahmen einer laufenden Recherche ausgehändigt und stellte mir das Dokument netterweise zur Verfügung. Das Memorandum verfassten David Rosenthal und Sarah Bischof von den Anwaltskollegen bei VISCHER in Zürich.

Das Dokument enthält insbesondere die Anwendung der «Methode Rosenthal», die zu den erwähnten 0.74 Prozent für «Geschäftsfalldaten» führte. Genauso enthalten ist die Herleitung für «normale Daten» mit einer Eintrittswahrscheinlichkeit von 0.95 Prozent.

Abgesehen von diesen Ergebnissen und der Berechnung mit Microsoft Excel beschreibt das Dokument die unter anderem Ausgangslage, erklärt die Situation in Bezug auf die USA einschliesslich CLOUD Act und beschreibt die Durchführung der Risikobeurteilungen für den Kanton Zürich.

Im Ergebnis ist das Dokument ein hilfreiches Beispiel für die praktische Anwendung der «Methode Rosenthal». Das gilt umso mehr, als das Beispiel vom «Erfinder» der Methode stammt.

Die «Methode Rosenthal» und die (fehlende) Transparenz durch Behörden waren unter anderem Themen in meinem Podcast-Gespräch mit David Rosenthal bei den Datenschutz Plaudereien.

Siehe auch: Microsoft 365: Was haben der Kanton Zürich und Microsoft zu verbergen?

Bild: Pixabay / athree23, Public Domain-ähnlich.

11 Kommentare

    1. @Simon Schlauri:

      Die Schrems-Rechtsprechung betrifft allerdings nicht den Datenstandort Schweiz (bzw. für die Rechtsprechung EWR-Europa) … in der Schweiz müssten jene kantonalen Datenschutzbeauftragten, die sich kritisch äusserten, ihren Worten Taten Folgen lassen, sobald sich die Cloud-Thematik in ihrem Kanton stellt.

  1. Im Rechtsstaat stellt sich generell die Frage, ob ein öffentliches Organ nach der Methode Vorgehen kann, dass die Wahrscheinlichkeit, wenn ich bei Rot über die Straße gehe, von der Polizei erwischt zu werden, nur 0.74 Prozent besteht, also mache ich es…… Dieser Ansatz wäre im öffentlichen Recht neu.

    1. @Peter Meier:

      Nehmen wir ein anderes Offline-Beispiel: Das Risiko, das die Türe zum Posten der Kantonspolizei in Rafz einem Einbruchsversuch nicht standhält, ist nicht null. Ist das ein Problem? Falls ja, wie stark befestigt sollte die Türe sein? Wie lange sollten sie einem Einbruchsversuch standhalten? Oder überhaupt: Welcher Art von Einbruchsversuch sollte die Türe standhalten:

      In den Datenschutz Plaudereien kürzlich war ein ähnlicher Offline-Vergleich übrigens ein Thema, das ich mit David Rosenthal diskutierte.

      1. @Martin Steiger
        Man kann immer Äpfel mit Birnen vergleichen. Warum sollte eine Gemeinde das Datenschutzrecht einhalten, wenn das Risiko, von einem Bürger eingeklagt zu werden, nahe null Prozent liegt? Lässt das öffentliche Recht eine solche Risikoabwägung zu? Im Gegensatz sagt das Datenschutzrecht klar, dass technische und organisatorische Massnahmen nur angemessen sein müssen ( also nie eine 100 Proznet Sicherheit bieten müssen). Ich sehe im öffentlichen Recht dagegen keine Bestimmung, die dem öffenlichen Organ erlauben würde, Recht nicht 100prozentig einzuhalten.

        1. Die anwendbaren Datenschutzgesetze sehen bei Übermittlung ins Ausland regelmässig vor, dass (nur, aber immerhin) ein «angemesser Datenschutz» gewährleistet sein muss. Und die Gesetze gehen davon aus, dass dies durch technische und/oder vertragliche Massnahmen erreichbar sein kann.

        2. @Peter Meier: Konkret zu Ihrem Beispiel, warum die Gemeinde das Datenschutzrecht einhalten sollte: Wegen dem Grundsatz von Treu und Glauben und dem Legalitätsprinzip. Es geht ja auch nicht um das Risiko, ob die Gemeinde vom Bürger eingeklagt wird, sondern um das Risiko des Eintretens einer Datenschutzverletzung. Falls eine solche eintritt, würde man anhand des eingeschätzen Risiko sehen, ob die TOM angemessen waren oder nicht. Bei einem geschätzen Risiko von 0.75 würde ich objektiv nicht davon ausgehen, dass hier fahrlässig oder grobfahlässig gehandelt wurde.

  2. Risikobeurteilungen nach dieser Methode funktionieren im Datenschutz nicht. Selbst traditionelle Risikobeurteilungen im IT-Security Umfeld sind schwierig, beim Datenschutz können sie aber nicht funktionieren..

  3. Warum wird der USA den schwarzen Peter zugeschoben ? Faktum ist, dass im 2016 die Kontrolle des Internets – sprich Zensur – im Internet – zu icann wechselte (Obama /Genf UNO- deal vom ca. 2016, der im Senat durch Ted Cruz versucht wurde zu verhindern). Icann war angeblich vorher die ITU- die schweizerische internationale Telecommunication….welche ca. 1865 gegründet wurde, ein Denkmal steht in Bern, und seit der Name zu icann wechselte, sind die Büro noch in Genf und das Steuer-Ort Irland. Warum ist dieser Rückblick wichtig ? Wegen den Fakten, nämlich dass die Schweiz in Genf inklusive Schweizer «Cheese» agiert und die UNO das ÜBEL ist seit 2016 – nicht die USA – das Internet unterliegt der Kontrolle der UNO – fazit dem Schweizer deep state ! (nicht von mir, so wird das Rechtssystem der CH in der USA genannt) – well einige Leser könnten jetzt auf 180 sein und dies Verschwörungstheorie usw. nenen. Solche bitte ich Ted Cruz Senator USA und Obama sells the internet zu googlen oder Obama gives away the internet and national security – the swiss deep state with the UN is the black box of the swiss data problems – only from my point of view, that can be wrong, of course.

    1. Hintergrund:

      «Die US-Regierung hat offiziell ihre Aufsicht über die Internet-Adressverwaltung aufgegeben. Das US-Handelsministerium übergab am gestrigen Samstag das Herzstück der Internet-Verwaltung, die Internet Assigned Numbers Authority (IANA), in die Hände der Non-Profit-Organisation Internet Corporation for Assigned Names and Numbers (ICANN).»

      https://www.heise.de/newsticker/meldung/Analyse-USA-gibt-ihre-Waechterrolle-im-DNS-ab-3339640.html

      Die IANA nicht einem einzelnen Staat zu überlassen, ist offensichtlich sinnvoll. Ich sehe dabei keinen Einfluss – jedenfalls keinen negativen Einfluss – auf die Risikobeurteilung beim Einsatz von Cloud-Diensten.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Felder mit * sind Pflichtfelder.