Der Stadtrat, die Stadtregierung von Zürich, fällte den entsprechenden Beschluss 670/2022 am 13. Juli 2022 (PDF).
Mit der allgemeinen Nutzung von Cloud-Angeboten, so der Stadtrat, erweitere Zürich ihren «Rechenzenter-Perimeter». Es geht beispielsweise um Cloud-Dienste von Microsoft und SAP.
Beschluss: Beizug von Dienstleistungen mit Auslandsbezug ist gesetzlich nicht ausgeschlossen
Die Zulässigkeit für die Nutzung von öffentlichen Cloud-Diensten über ihr Kompetenzzentrum Organisation und Informatik (OIZ) liess die Stadt Zürich von den Anwaltskollegen von LAUX LAWYERS prüfen.
Das Ergebnis der Prüfung fasst der Stadtrat in seinem Beschluss insbesondere wie folgt zusammen:
«Das kantonale Datenschutz- und Informationsrecht erlaubt es, externe Dienstleisterinnen mit der Bearbeitung von Informationen (einschliesslich Personendaten) zu betrauen […]. Unbestritten ist, dass diese Erlaubnis auch die Nutzung von Services externer IT-Anbieterinnen umfasst, sofern die gesetzlich vorgegebenen Voraussetzungen und Rahmenbedingungen für die Nutzung von Cloud-Services eingehalten werden.»
Und:
«Auch der Beizug von Dienstleistungen mit Auslandsbezug (Haltung der Informationen und Daten im Ausland und/oder ausländische Anbietende) ist gesetzlich nicht ausgeschlossen (vgl. dazu auch [das] Rechtsgutachten ‹Rechtmässigkeit von Public Cloud Services, Cloud-Gutachten unter Berücksichtigung des CLOUD Act›).»
Und weiter:
«Dasselbe Rechtsgutachten kommt ferner explizit zum Schluss, dass die Nutzung von Cloud-Services, die im Normalbetrieb […] zu keinen Zugriffen auf Inhaltsdaten […] führen, kein gemäss den relevanten Normen des StGB strafrechtlich verbotenes Verhalten der Behörden darstellt. Somit besteht insbesondere kein Anwendungsfall der Art. 320 StGB (Verletzung des Amtsgeheimnisses), Art. 271 StGB (Verbotene Handlungen für einen fremden Staat), Art. 273 StGB (Wirtschaftlicher Nachrichtendienst) oder Art. 293 StGB (Veröffentlichung amtlicher geheimer Verhandlungen). Die Normen des kantonalen Verwaltungsrechts stehen einer Nutzung von Cloud-Services gemäss Analyse des erwähnten Rechtsgutachtens ebenfalls nicht entgegen.»
In der Folge erliess der Stadtrat eine neue Richtlinie für die Nutzung von Cloud-Diensten. Die Richtlinie wurde als Teil des erwähnten Beschlusses veröffentlicht.
In der neuen Richtlinie der Stadt Zürich heisst es unter anderem:
«Die OIZ sorgt beim [standardisierten stadtweiten Cloud-Angebot] Cloud-SSA dafür, dass die zur Leistungserbringung beigezogenen Cloud-Anbieterinnen sorgfältig ausgewählt werden und führt eine Überprüfung der Cloud-SSA aus rechtlicher, technischer und organisatorischer Sicht durch. Die OIZ legt die sich daraus ergebenden technischen und organisatorischen Massnahmen (‹TOM›) fest und setzt sie um.»
Und:
«Die OIZ ist zuständig und verantwortlich, dass während der gesamten Nutzungszeit der Cloud-SSA ein hoher Sicherheitsstandard (Basisschutz oder Basisschutz+) gewährleistet ist […]. Sollte bei einem Cloud-SSA nur der Basisschutz, nicht aber der Basisschutz+ erreicht werden, erlaubt die OIZ die Nutzung einzelner Services oder Funktionalitäten eines Cloud-SSA nur für Informationen und Daten mit normalem Schutzbedarf (einschliesslich nicht besonderer Personendaten und Informationen, die nicht der Schweigepflicht des Amtsgeheimnisses unterliegen).»
Gutachten: Stadt Zürich muss Zugriffe von ausländischen Strafverfolgungsbehörden nicht abwenden
Auch veröffentlicht wurde das bereits erwähnte Gutachten der Anwaltskollegen von LAUX LAWYERS, das am 16. September 2021 fertiggestellt worden war (PDF ohne DRM).
«Die Stadt Zürich hat nach schweizerischem Recht keine Garantieverantwortung, Zugriffe von ausländischen Strafverfolgungsbehörden abzuwenden.»
LAUX LAWYERS
Das Gutachten betrifft die generelle Zulässigkeit. Die Risikobeurteilung erfolgt erst im Einzelfall. Dafür könnte die «Methode Rosenthal» verwendet werden.
Die Veröffentlichung erfolgte direkt durch LAUX LAWYERS, was doppelt interessant ist:
Die Stadt Zürich kann absehbare Zugangsgesuche vorwegnehmen und die Anwaltskollegen können für ihre Kompetenzen werben.
Diese Kompetenzen rücken die Anwaltskollegen von LAUX LAWYERS mit einer ausführlichen «Landing Page» – berechtigterweise! – in das richtige Licht.
In ihrer zusammenfassenden Darstellung schreiben die Anwaltskollegen unter anderem:
«Die Stadt Zürich soll externe Cloud-Services auf rechtskonforme, sichere und risikoarme Weise nutzen können, um insbesondere auch von Innovationen und/oder Kostenvorteilen zu profitieren.»
Und:
«Der Stadtratsbeschluss ist Ausdruck des politischen Willens und dient zudem dem Zweck, dass der Stadtrat sich schützend vor das Personal seiner Verwaltung stellt. Verwaltungsmitarbeitende sollen kein Strafrechtsrisiko haben, da sie einen politisch gewollten Entscheid umsetzen. Das Risiko einer Strafbarkeit ist zwar nicht existent, wie das Rechtsgutachten aufgezeigt hat. Manchmal kann aber nur schon die Diskussion zu einem Thema einschüchternde Wirkung haben, was zu Projektverzögerungen führen kann. Der Stadtratsbeschluss schützt vor solchen Projektverzögerungen. Der Beschluss des Stadtrates wirkt als institutionelle Sicherung des ordnungsgemässen Geschäftsgangs der Stadt Zürich und ist in dieser Form für die Schweiz richtungsweisend. Somit kann das Vorgehen der Stadt Zürich Vorbildwirkung für andere Behörden auf verschiedenen Verwaltungsstufen in der ganzen Schweiz haben.»
Und auch:
«Wenn Informationen ausgelagert werden sollen, die dem Amtsgeheimnis unterstehen, sind Lösungen zu wählen, bei denen es nach der allgemeinen Lebenserfahrung und dem gewöhnlichen Lauf der Dinge zu keinen Klartextzugriffen kommt (d.h. Informationen [können] z.B. von Mitarbeitenden der Cloud-Anbieterin nicht eingesehen werden). Ob die Organisationseinheit davon ausgehen darf, hängt davon ab, ob solcher Zugriffsschutz durch technische und organisatorische Massnahmen genügend abgesichert ist.»
«Die Existenz des CLOUD Act und anderer Datenzugriffe ausländischer Strafverfolgungsbehörden stellt bereits aus konzeptionellen Überlegungen keinen Hinderungsgrund für den Gang der Stadt Zürich ‹in die Cloud› dar.»
LAUX LAWYERS
Für viele Interessierte dürften die Erwägungen zum amerikanischen Behördenzugriff besonders lesenswert sein:
«[…] Die Existenz des CLOUD Act und anderer Datenzugriffe ausländischer Strafverfolgungsbehörden stellt bereits aus konzeptionellen Überlegungen keinen Hinderungsgrund für den Gang der Stadt Zürich ‹in die Cloud› dar.»
Und:
«Ein US-amerikanisches Gericht würde einen ausländischen Staat (und die Stadt Zürich wird als ein solcher verstanden) schützen. Bevor es zu einem Klartextzugriff kommt, würde die Stadt Zürich direkt angegangen. Dies ergibt sich nicht nur aufgrund von bedeutender Rechtsprechung, sondern auch aus einem US-amerikanischen Gesetz, dem sog. Foreign Sovereign Immunities Act (FSIA). Gerade eine Behörde wie die Stadt Zürich ist in den USA sehr gut gegen Behördenzugriffe geschützt – auch wenn sie Daten in IT-Infrastrukturen einer US-amerikanischen Cloud-Anbieterin speichert. Hinzu kommen rein quantitative Erfahrungswerte, die zeigen, dass sich die Problematik sehr selten stellt.»
Und vor allem:
«Noch wichtiger als dies ist aber die Analyse nach schweizerischem Recht: Die Stadt Zürich hat nach schweizerischem Recht keine Garantieverantwortung, Zugriffe von ausländischen Strafverfolgungsbehörden abzuwenden.»
Siehe auch: Laux Lawyers: Gutachten zur Cloud-Nutzung durch die Stadt Zürich (datenrecht.ch).
Datenschutz Plaudereien: Gelegenheit für Fragen zum Cloud-Gutachten
Aus dem Gutachten ergeben sich spannende Fragen rund um die Nutzung von Cloud-Diensten durch Behörden und Unternehmen.
In einem ausführlichen Gespräch hatte ich Gelegenheit, das Gutachten für die Stadt Zürich mit den Anwaltskollegen Alexander Hofmann und Christian Laux von LAUX LAWYERS zu diskutieren. Die Veröffentlichung erfolgt in drei Teilen im Rahmen der «Datenschutz Plaudereien».
Im Datenschutz Plaudereien-Podcast von Datenschutzpartner diskutieren Andreas Von Gunten und Martin Steiger über Aktuelles, Bemerkenswertes und Persönliches rund um den Datenschutz, manchmal auch mit Gästen.
Zuletzt erschien die Podcast-Folge «DAT037 Max vs. Cookie-Banner 🥠» über neue Cookie-Banner-Beschwerden von Datenschutz-Aktivist Max Schrems.
Siehe auch: Pizza-as-a-Service: Was bedeuten IaaS, PaaS, SaaS, …?
Und was ist mit ausländischen Geheimdienstzugriffen? Die (und nicht der Cloud-Act) waren ja der Grund für Schrems II.
@Peter:
Ich empfehle in diesem Zusammenhang mein ausführliches Gespräch mit den Anwaltskollegen Laux und Hofmann:
https://steigerlegal.ch/2022/09/13/cloud-gutachten-christian-laux-alexander-hofmann/
In diesem Gespräch geht es unter anderem auch über die Geheimdienst-Thematik.
Im Gutachten wird behauptet, dass der FSIA die Stadt Zürich vor einem direkten Datenzugriff durch US-Behörden schützen würde. Ist das nicht etwas gar optimistisch?
Nach meinem Verständnis schützt der FSIA ausländische Staaten in erster Linie vor gerichtlicher Verfolgung – nicht aber vor Ermittlungsmassnahmen (Subpoenas, Warrant-Anordungen) durch US-Behörden gegenüber US-Cloud-Providern.
@Stefan:
Wo genau wird das behauptet?
Die Behauptung entnehme ich einem Zitat aus eurem Artikel: «Ein US-amerikanisches Gericht würde einen ausländischen Staat (und die Stadt Zürich wird als ein solcher verstanden) schützen. Bevor es zu einem Klartextzugriff kommt, würde die Stadt Zürich direkt angegangen. Dies ergibt sich (…) auch aus einem US-amerikanischen Gesetz, dem sog. Foreign Sovereign Immunities Act (FSIA).»
Merci für die Präzisierung!
Diese Aussage gehört zur «Comity-Analyse» ab Seite 47. Im Kontext ergibt die Beurteilung für mich Sinn. Man hat aber natürlich keine Garantie, gerade auch nicht mit dem aktuellen Präsidenten.
In der Praxis sind Fälle allerdings bislang quasi inexistent. Das ist ein wichtiger Indikator.
Ich verstehe das Argument nicht, dass der FSIA Schutz bieten sollte. Der FSIA regelt doch nur, ob ein ausländischer Staat vor ein US-Gericht gezogen werden kann, und schützt nicht davor, dass US-Behörden bei Microsoft z.B. per Warrant einen Datenzugriff erwirken. Bei CLOUD Act-Verfahren ist die Stadt Zürich gar nicht Verfahrenspartei, sondern Microsoft wird zur Datenherausgabe verpflichtet . Der FSIA hat damit doch gar nichts zu tun, oder?
@Stefan:
Das ist ein berechtigter Einwand, den ich aber nicht auflösen kann. Ich gehe davon aus, dass man sich erhofft, amerikanische Behörden würden das Comity-Prinzip beachten, wenn es darum geht, auf Daten von schweizerischen Behörden bei Microsoft ausserhalb der USA zugreifen zu wollen. Es ginge ja nicht um einen Zugriff auf Daten bei Microsoft, sondern beispielsweise um den Zugriff auf Daten der Stadt Zürich bei Microsoft.
Danke für die Einordnung, Martin. Mich irritiert aber, dass im Bericht aus einer vagen Hoffnung eine faktische Gewissheit gemacht wird. „Gerade eine Behörde wie die Stadt Zürich ist in den USA sehr gut gegen Behördenzugriffe geschützt“.
FSIA oder Comity-Prinzip bieten also kein Schutzschild, sondern höchstens ein diplomatisches Feigenblatt.
Wie gut, dass wir im Moment nicht mit der US-Regierung wegen Zolltarifen oder einem F-35-Debakel im Clinch sind ;-)