Die Stadt Zürich hat ein Gutachten zur Rechtmässigkeit der Cloud-Nutzung durch die Behörden in Auftrag gegeben. Das Resultat dieses Rechtsgutachtens: Die Organisationseinheiten der Stadt Zürich dürfen Public Cloud Services auch dann nutzen, wenn die ausgelagerten Informationen mit einem erhöhten Schutzbedarf klassifiziert sind. Weiter kam die Anwaltskanzlei Laux Lawyers zum Schluss, dass auch der amerikanische Cloud Act dieser Analyse nicht entgegenstehe.

Gestützt auf das Rechtsgutachten hat der Stadtrat der Stadt Zürich seine Organisationseinheiten am 13. Juli 2022 angewiesen, die Angebote der städtischen IT-Abteilung Organisation und Informatik (OIZ) auch dann einzusetzen, wenn "Cloud drin ist". Der Beschluss des Rates gilt für die gesamte Stadtverwaltung und ist anbieterneutral formuliert. Gestützt darauf ist am 1. August 2022 eine spezielle Cloud-Richtlinie für die Stadt Zürich in Kraft getreten.

Es sei unumgänglich, dass sowohl Services aus den lokalen Rechenzentren als auch Services aus der Cloud abgerufen werden können. Bereits heute würden namhafte Anbieter ihre IT-Leistungen nur noch in einer Cloud- oder Hybrid-Version anbieten, schreibt die Stadt. Das Gutachten wurde im Auftrag der OIZ erstellt. Die Nutzung von "reifen Cloud-Infrastrukturen" soll gemäss der Analyse nicht zu Strafbarkeit führen, wenn sie richtig umgesetzt wird.

Das publizierte Gutachten zeigt zudem auf, dass der Beschluss des Stadtrats auch rechtliche Genehmigungswirkungen hat. Diese nehmen Bezug auf verschiedene Bestimmungen des Strafgesetzbuches sowie des kantonalen Datenschutzgesetzes, welche solche Genehmigungen ebenfalls vorsehen.

Wenn es um den Zugriff auf die gespeicherten Daten durch amerikanische Behörden geht, heisst es im Rechtsgutachten: "Die Existenz des Cloud Act und anderer Datenzugriffe ausländischer Strafverfolgungsbehörden stellt bereits aus konzeptionellen Überlegungen keinen Hinderungsgrund für den Gang der Stadt Zürich in die Cloud dar." Die Rechtsanwälte argumentieren damit, dass ein amerikanisches Gericht einen ausländischen Staat "schützen würde".

Bevor es zu einem Klartextzugriff kommen könnte, würde die Stadt Zürich direkt angegangen werden. Dies ergebe sich nicht nur aufgrund von bedeutender Rechtsprechung, sondern auch aus dem amerikanischen Foreign Sovereign Immunities Act (FSIA), der gerade Behörden wie die Stadt Zürich in den USA sehr gut gegen Behördenzugriffe schützt, schreiben die Advokaten. "Hinzu kommen rein quantitative Erfahrungswerte, die zeigen, dass sich die Problematik sehr selten stellt."

Noch wichtiger sei allerdings die Analyse nach schweizerischem Recht: "Die Stadt Zürich hat nach schweizerischem Recht keine Garantieverantwortung, Zugriffe von ausländischen Strafverfolgungsbehörden abzuwenden", heisst es in dem Gutachten.

Dass sich das politische Führungsorgan vor dem Gang in die Cloud äussert, wurde aus Kreisen von Datenschutzbehörden bereits wiederholt gefordert. In grossen Organisation mit vielen Mitarbeitenden gibt es sowohl Befürworter der Cloud als auch Zweifler. Manchmal steht die Befürchtung im Raum, dass das Mitwirken an einem solchen Projekt Straffolgen auslösen könnten. Dies könne auch Projekte blockieren. Der Beschluss des Stadtrats gibt nunmehr eine gemeinsame Richtung vor. Mitarbeitende werden vom Strafrisiko befreit und die Stadt Zürich gewinnt an Handlungsfähigkeit. Auch dies ergebe sich aus dem Rechtsgutachten der Kanzlei.

Interessant ist dabei, dass sich die städtischen Organisationseinheiten auf die Arbeiten und Kontrollen der OIZ verlassen dürfen. Nur so weit für eine Organisationseinheit eine Besonderheit greift, welche die OIZ nicht antizipieren kann, muss die betroffene Behörde weitere Abklärungen treffen. Somit muss sie vor der Umsetzung nicht mehr die volle Grundlagenanalyse durchführen. Behörden müssen sich einzig noch fragen, ob bei ihnen eine allfällige Sondersituation vorliegt. So sollen insbesondere Einzelfälle gewürdigt werden.

Das komplette Rechtsgutachten ist hier einzusehen.