Nach Unternehmen setzen auch schweizerische Behörden vermehrt auf Cloud-Dienste aus dem Ausland. Rechtsfragen und Risiken lassen Behörden teilweise von Anwaltskanzleien prüfen, zum Beispiel mit der «Methode Rosenthal». Nun äussern Datenschutz-Aufsichtsbehörden in einer konzertierten Aktion deutliche Kritik an diesem Vorgehen der Verwaltung.
Die Datenschutz-Aufsichtsbehörden scheinen das Bedürfnis zu haben, sich von der bisher wahrgenommenen Praxis bei der Umsetzung von staatlichen Cloud-Projekten zu distanzieren. Die Aufsichtsbehörden haben ihren Tonfall deutlich verschärft.
Die Datenschutzbeauftragte des Kantons Zürich hatte erst gerade den Regierungsratsbeschluss betreffend Microsoft 365 auf Grundlage einer geheimen Vertragsergänzung abgesegnet.
EDÖB: Bundesbehörden tragen besondere Verantwortung gegenüber Bürgerinnen und Bürgern
Den Anfang machte der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) in einem Interview mit INSIDE IT.
Der EDÖB ist die Aufsichtsbehörde für Bundesorgane (Art. 27 DSG) und gibt Empfehlungen im Privatbereich ab (Art. 29 DSG).
INSIDE IT lancierte das Interview mit dem plakativen Zitat «Wenn sich Behörden allein auf private Gutachten verlassen, besteht immer die Gefahr, dass sie sich eine blutige Nase holen».
Gibt es Behörden, die sich allein auf Gutachten von Anwaltskanzleien verlassen? Das ist nicht mein Eindruck.
Die Anwaltskollegen Christian Laux und Alexander Hofmann erklärten in den «Datenschutz Plaudereien», wie die Zusammenarbeit mit den Behörden in der Stadt Zürich funktionierte.
Im Zentrum steht die Kritik, den Daten-Export in die USA zu ermöglichen, obwohl die USA nach dem «Privacy Shield»-Urteil des Europäischen Gerichtshofes (EuGH) nicht mehr auf der Staatenliste des EDÖB als Staat mit einem angemessenen Datenschutz (unter bestimmten Voraussetzungen) geführt werden:
«Ich bin erstaunt, wie selbstsicher sich gewisse Zürcher Anwaltskanzleien bei der Beurteilung von US-Recht geben und dessen praktische Umsetzung durch Geheimdienste voraussagen. […] Wir warnen die Behörden davor, solchen Berechnungsmodellen normative Wirkung zuzuerkennen. Derart tiefe Wahrscheinlichkeitswerte suggerieren, dass man das Delisting der USA rückgängig machen könne. Das ist problematisch. […]»
Allerdings geht es gar nicht darum, das «Delisting» der USA rückgängig zu machen. Es geht darum, beim Daten-Export durch «hinreichende Garantien, insbesondere durch Vertrag, einen angemessenen Schutz im Ausland gewährleisten» (Art. 6 Abs. 2 lit. a DSG).
Dieses Vorgehen entspricht der EDÖB-eigenen Anleitung:
«Fehlt der Staat als angemessen auf der Staatenliste des EDÖB oder bestehen trotz Vorhandenseins auf der Staatenliste konkrete Hinweise, wonach mit Blick auf den beabsichtigten Export nicht von einem angemessenen Datenschutzniveau ausgegangen werden kann, muss der Datenexporteur den Datenschutz mit hinreichenden Garantien, insbesondere durch einen Vertrag, sicherstellen. […].»
Und unter anderem auch:
«Mit Blick auf behördliche Zugriffe im Drittland (z.B. zwecks nationaler Sicherheit oder Strafverfolgung) und die Rechte der Betroffenen hat der Datenexporteur zu prüfen, ob jene mit dem schweizerischen Datenschutzrecht und den schweizerischen Verfassungsgrundsätzen vereinbar sind. Er muss entsprechende Abklärungen selbst vornehmen und darf sich dabei nicht nur auf die Aussagen des Datenimporteurs verlassen. Dies kann er durch Konsultation von Literatur und Rechtsprechung oder das Einholen von unabhängigen Rechtsgutachten machen.»
Wie die Wahrscheinlichkeitswerte zu verstehen sind (und wie nicht), hat David Rosenthal in einem Gespräch in den «Datenschutz Plaudereien» erklärt und in einer ausführlichen FAQ präzisiert.
Rosenthal schreibt in seiner FAQ unter anderem:
«I do caution to read too much into this number; it is merely a method to express the probability in another form to help people better understanding the percentage value (which remains the key value). This is relevant because they have to decide whether they have ‹no reason to believe› that a problematic lawful access will occur during the assessment period. The ‹number of years› value has the advantage that it is only one number, as opposed to the percentage figure, which has to be read in conjunction with the assessment period. As intuitive and convincing the number of years may be, using it has certain limitations to consider […].»
Interessant ist, dass der EDÖB die Beratung durch Anwaltskanzleien bei KMU für legitim hält, während er von Bundesorganen (und im Umkehrschluss von grossen Unternehmen) fordert, sie müssten «Alternativen eruieren» oder gar «Alternativen zu [den] Diensten» der Tech-Giganten entwickeln.
In der Praxis ist für die meisten KMU, das heisst Kleinstunternehmen mit wenigen Mitarbeitern, eine solche Beratung unrealistisch. KMU sollten sich darauf verlassen dürfen, Cloud-Dienste von etablierten Anbietern wie Microsoft nutzen zu dürfen.
In Bezug auf Behörden erwähnt der EDÖB allerdings zu Recht den vermutlich wichtigsten Punkt:
«[Bundesbehörden] tragen auch eine besondere Verantwortung gegenüber uns Bürgerinnen und Bürgern. Wir können nicht wählen, wem der Bund unsere Daten anvertraut.»
Damit richtet sich der EDÖB insbesondere an die Bundeskanzlei, denn diese «schafft Fakten in der Cloud-Frage», wie die Cloud-kritische «Republik» bemängelt:
«Der Bund hat die Verträge mit Amazon, Alibaba und Co. bereits unterzeichnet. Obwohl die rechtliche Grundlage für das Geschäft noch nicht geklärt ist.»
Die Bundeskanzlei hat die kritisierte «Methode Rosenthal» gerade erst als «gute Praxis» bezeichnet und verteidigt ihre Cloud-Strategie.
Einige Aussagen im Interview wirken überraschend ungenau, zum Beispiel bei den Staatenlisten von EDÖB und Europäischer Kommission:
«Wenn die Listen in der Schweiz und den Mitgliedstaaten der EU und des EWR nicht mehr identisch wären, könnten Daten aus EU-Ländern über die Schweiz in unsichere Staaten exportiert werden. Das könnte dazu führen, dass die Schweiz nicht mehr als gleichwertig anerkannt wird, sondern wie die USA oder Nordkorea auf der Liste der EU fehlen würde.»
Die Listen sind nicht identisch, denn auf der schweizerischen Liste fehlen Japan und Südkorea. Ist der EWR ein europäisches Schlupfloch für Verantwortliche in der Schweiz?
Immerhin bestätigt der EDÖB mit diesen Aussagen, dass die (naheliegende) Vermutung, die Frage der Angemessenheit gemäss europäischer Datenschutz-Grundverordnung (DSGVO), beeinflusse die Beurteilung, zutreffend ist.
Kurios wirkt der EDÖB-Vorschlag, beim Nachrichtendienst des Bundes (NDB) einen «Bericht zu möglichen Datenzugriffen durch Sicherheitsbehörden einzuholen».
Der schweizerische Geheimdienst beteiligt sich am internationalen Daten-Basar und arbeitet Hand in Hand mit amerikanischen Sicherheitsbehörden. Die «Crypto-Affäre» zeigte, dass der Geheimdienst eine «Crypto-Kooperation mit der CIA ein[ging]». Beim Auskunftsrecht hat der EDÖB die undenkbare Aufgabe, für den Geheimdienst schweigen zu müssen (Art. 63 f. DSG).
Ich bezweifle jedenfalls, dass der NDB in der Lage wäre, eine solche Risikobeurteilung mit der erforderlichen Transparenz und Vollständigkeit abzugeben.
DSB ZH: Risikoabschätzungen spielen eine Rolle, bloss nicht im juristischen Bereich
Die Datenschutzbeauftragte des Kantons Zürich legte nach und bezeichnete die «Methode Rosenthal» als «gesetzlich unnötig und nicht zielführend».
Risikobeurteilungen hält die Datenschutzbeauftragte nur in technischer Hinsicht für relevant:
«Es gebe zur Frage von Cloud-Diensten von US-Anbietern aber nicht einfach ein ‹Ja› oder ‹Nein›, so die Datenschützerin. Denn Risikoabschätzungen spielten durchaus eine Rolle. Bloss nicht im juristischen Bereich, sondern bei der technischen Absicherung der Daten, etwa was Serverstandort, Verschlüsselung und Schlüsselmanagement betrifft. Dies wurde zum Beispiel im Rahmenvertrag zwischen Educa und Microsoft festgelegt. Man müsse sich wie bislang genau überlegen, wie man die Cloud nutze und nach Schutzniveau der unterschiedlichen Daten unterscheiden. Die Datenschützerin bietet dazu Merkblätter an.»
Fordert die Datenschutzbeauftragte des Kantons Zürich ein Cloud-Verbot, ohne es sagen zu wollen, weil sie einen «Null-Risiko»-Ansatz verfolgt?
Wenn man die Aussagen als Bekenntnis zu einem «Null-Risiko»-Ansatz verstehen würde, wäre man schnell bei der Frage, welche Datenbearbeitungen überhaupt noch zulässig sind, auch im Kanton Zürich und selbst ohne digitale Mittel.
Die Datenschutzbeauftragte möchte trotz solcher Aussagen nicht als «Disabler» verstanden werden und betont – wie der EDÖB – die fehlenden Wahlmöglichkeiten der Bürgerinnen und Bürger:
«‹Wir sind auch ‹Enabler› – aber der Grundrechte›, betont sie. Microsoft 365 sei bestimmt ein guter Weg, aber er müsse nach allen gesetzlichen Vorgaben beschritten werden. Schliesslich hätten die Einwohnerinnen und Einwohner des Kantons keine Wahl, als ihre heiklen Daten den Behörden zu überlassen.»
In einem Rechtsstaat müsste selbstverständlich sein, dass das anwendbare Recht eingehalten wird.
Wenn die Datenschutzbeauftragte allerdings sagt, der Regierungsratsbeschluss betreffend Microsoft 365 ändere gar nichts, muss sie sich fragen lassen, wieso sie und ihre Amtskollegen nun gemeinsam und lautstark Kritik üben. Der Beschluss hat trotz geheim gehaltenen Verträgen eine Vorbildwirkung für Behörden und private Verantwortliche.
Privatim: Cloud-Entscheid im Kanton Zürich ausgesprochen unausgewogen und nicht nachvollziehbar
Schliesslich erklärte Privatim, die Konferenz der schweizerischen Datenschutzbeauftragten, in einer Medienmitteilung, es gäbe «keinen Freipass für ‹Microsoft 365›».
Privatim nahm ausdrücklich Bezug auf die Genehmigung für die Verwendung von Microsoft 365 im Kanton Zürich. Wer sieht darin einen «Freipass»?
In der Medienmitteilung wird der Regierungsrat des Kantons Zürich hart kritisiert: «Die Begründung des Entscheids wirkt ausgesprochen unausgewogen.»
Zum Beispiel:
«[…] äussert sich der Regierungsrat zu den Cloud-spezifischen Risiken und stellt fest, dass bei Cloud-Lösungen grundsätzlich nicht höhere Risiken für die Informationssicherheit und den Datenschutz als bei On-Premises-Lösungen bestünden […]. Ebenso stellt er fest, dass die Risiken der Offenlegung vertraulicher Informationen durch unerlaubte und illegale Zugriffe bei einer Cloud-Lösung tendenziell eher geringer seien, als wenn die Daten on premises gehalten werden […]. Diese Aussagen sind angesichts der diversen zusätzlichen Risiken nicht nachvollziehbar.»
Oder:
«Es liegt […] in der Pflicht der öffentlichen Organe, die einzelnen Risiken für die Grundrechte der betroffenen Personen zu eruieren und die angemessenen Massnahmen zu treffen, um den Kontrollverlust zu minimieren. Privatim führt in seinem Merkblatt aus, wie die Risikoanalyse detailliert zu erfolgen hat, dass die Risiken verstanden werden müssen und dass das Restrisiko vom Regierungsrat zu übernehmen wäre. Zudem sei darzulegen, durch welche unverzichtbaren Vorteile des Cloud-Dienstes gegenüber einer gleichwertigen Lösung on premises sowie gegenüber risikoärmeren Produkten anderer Anbieter die neuen Risiken aufgewogen würden. Eine solche umfassende Risikoanalyse und -übernahme sowie eine nachvollziehbare Begründung erfolgen hier aber nicht.»
Privatim scheint besonders wichtig zu sein, dass Behörden nicht vom Merkblatt über «Cloud-spezifische Risiken und Massnahmen» abweichen. Möchte Privatim dem Merkblatt einen gesetzlichen Charakter verleihen?
Bemerkenswert ist, dass Privatim unter anderem sagt, das «Lawful Access»-Risiko erscheine «stark übergewichtet, da der ausländische Lawful Access nur Teil der Cloud-spezifischen Risiken» darstelle.
Das widerspricht der bisherigen Wahrnehmung in der Praxis, wie sie beispielsweise Anwaltskollege David Vasella beschrieben hat:
«Mit anderen Worten betrachtet Privatim mögliche Zugriffe durch ausländische Behörden als das wesentliche cloud-spezifische (Datenschutz-)Risiko – mit Recht; alle anderen Risikofaktoren sind nicht cloud-spezifisch, sondern ergeben sich auch bei anderen Auftragsbearbeitungen.»
Vasella äussert sich auch treffend zum Charakter des Merkblattes:
«Die Empfehlungen von Privatim sind grundsätzlich nur dies – Empfehlungen. Als solche können sie kaum falsch sein, sie sind nur mehr oder weniger überzeugend.»
Und zu einem allfälligen «Null-Risiko»-Ansatz:
«Bei der Frage der Risikoakzeptanz ist es ähnlich: Die Aussagen von Privatim lassen zumindest stellenweise anklingen, es müsse ein Nullrisiko erreicht werden. […] Ein Nullrisiko zu verlangen, wäre jedenfalls aber falsch. Es gibt keine Grundlage für die Auffassung, das Risiko eines Zugriffs durch eine ausländische Behörde müsse auf Null reduziert werden – ein Nullrisiko wird generell nirgends verlangt. Zudem ist es nicht die Datenschutzbehörde, die einen Risikoakzeptanzentscheid zu treffen hat, sondern das zuständige Exekutivorgan (was Privatim zwar auch festhält; verlangt Privatim aber ein Nullrisiko, wird der Risikoakzeptanzentscheid faktisch verboten).»
Fazit: Datenschutz-Aufsichtsbehörden verteidigen ihre Unabhängigkeit
Die aktuellen Äusserungen der verschiedenen Datenschutz-Aufsichtsbehörden verstehe ich so, dass sie ihre Unabhängigkeit verteidigen möchten. Aufsichtsbehörden sind nicht allein deshalb unabhängig, weil es in Gesetzen steht, sondern sie müssen diese Unabhängigkeit im Alltag beweisen.
In den letzten Monaten konnte der Eindruck entstehen, dass die Aufsichtsbehörden – vor allem in den besonders massgeblichen Kantonen Basel-Stadt und Zürich – die Cloud-Projekte hinter verschlossenen Türen im Wesentlichen abgenickt hatten.
Markige Worte dieser Art gab es bislang nur von kleinen Datenschutz-Aufsichtsbehörden. So hatte der Datenschutzbeauftragte des Kantons Thurgau behauptet, Kantone seien «nicht berechtigt, Microsoft 365 zum Bearbeiten von Personendaten einzusetzen» und der Datenschutzbeauftragte des Kantons Luzern sah sogar eine mögliche Amtsgeheimnisverletzung.
Für Datenschutz-Aufsichtsbehörden ist Kritik dieser Art eine Gratwanderung, denn bei aller Unabhängigkeit sind sie Teil der Verwaltung, die sie beaufsichtigen und beraten.
Die Aufsichtsbehörden müssen sich trotz aller Kompetenzen grundsätzlich im überzeugenden Dialog einbringen. Ansonsten riskieren sie, durch rechtliche Auseinandersetzungen lahmgelegt zu werden und für sie wichtige Informationen nicht mehr zu erhalten.
Mit Spannung erwartet wird die «Lösung für Behörden und Private», welcher der EDÖB im Interview mit INSIDE IT angekündigt hat. Bislang hielten sich die Datenschutz-Aufsichtsbehörden mit eigenen Lösungen zurück, weshalb die heute üblichen Lösungen grossmehrheitlich von engagierten Fachpersonen aus Anwaltskanzleien stammen.
Der EDÖB und die anderen Aufsichtsbehörden müssen sich gut überlegen, wem sie eine «blutige Nase» verpassen wollen, immer auch mit Blick auf das Risiko, selbst beschädigt zu werden. Behörden und Unternehmen werden sich insbesondere nicht auf einen «Null-Risiko»-Ansatz einlassen, für den es im schweizerischen Datenschutzrecht keine Grundlage gibt.
Podcast: «Datenschutz Plaudereien» über die Kritik der Datenschutz-Aufsichtsbehörden
In zwei Episoden der «Datenschutz Plaudereien» diskutierte ich die Kritik der Datenschutz-Aufsichtsbehörden mit Andreas Von Gunten:
Weblinks: DAT050 EDÖB vs. Cloud (Teil 1) und DAT051 Nordkorea (Staatenliste, Teil 2).
Bild: Pixabay / jplenio, Pixabay-Lizenz.