Stadt Zürich schafft Rechtsgrundlage für Cloud-Nutzung

29. August 2022, 10:07
image
Foto: Ilia Bronskiy / Unsplash

Der Stadtrat hat ein Rechtsgutachten in Auftrag gegeben, das die Nutzung von "reifen Cloud-Infrastrukturen" rechtfertigt. Eine Cloud-Richtlinie ist bereits in Kraft.

Die Stadt Zürich hat ein Gutachten zur Rechtmässigkeit der Cloud-Nutzung durch die Behörden in Auftrag gegeben. Das Resultat dieses Rechtsgutachtens: Die Organisationseinheiten der Stadt Zürich dürfen Public Cloud Services auch dann nutzen, wenn die ausgelagerten Informationen mit einem erhöhten Schutzbedarf klassifiziert sind. Weiter kam die Anwaltskanzlei Laux Lawyers zum Schluss, dass auch der amerikanische Cloud Act dieser Analyse nicht entgegenstehe.
Gestützt auf das Rechtsgutachten hat der Stadtrat der Stadt Zürich seine Organisationseinheiten am 13. Juli 2022 angewiesen, die Angebote der städtischen IT-Abteilung Organisation und Informatik (OIZ) auch dann einzusetzen, wenn "Cloud drin ist". Der Beschluss des Rates gilt für die gesamte Stadtverwaltung und ist anbieterneutral formuliert. Gestützt darauf ist am 1. August 2022 eine spezielle Cloud-Richtlinie für die Stadt Zürich in Kraft getreten.
Es sei unumgänglich, dass sowohl Services aus den lokalen Rechenzentren als auch Services aus der Cloud abgerufen werden können. Bereits heute würden namhafte Anbieter ihre IT-Leistungen nur noch in einer Cloud- oder Hybrid-Version anbieten, schreibt die Stadt. Das Gutachten wurde im Auftrag der OIZ erstellt. Die Nutzung von "reifen Cloud-Infrastrukturen" soll gemäss der Analyse nicht zu Strafbarkeit führen, wenn sie richtig umgesetzt wird.
Das publizierte Gutachten zeigt zudem auf, dass der Beschluss des Stadtrats auch rechtliche Genehmigungswirkungen hat. Diese nehmen Bezug auf verschiedene Bestimmungen des Strafgesetzbuches sowie des kantonalen Datenschutzgesetzes, welche solche Genehmigungen ebenfalls vorsehen.
US-Datenzugriff verhindern
Wenn es um den Zugriff auf die gespeicherten Daten durch amerikanische Behörden geht, heisst es im Rechtsgutachten: "Die Existenz des Cloud Act und anderer Datenzugriffe ausländischer Strafverfolgungsbehörden stellt bereits aus konzeptionellen Überlegungen keinen Hinderungsgrund für den Gang der Stadt Zürich in die Cloud dar." Die Rechtsanwälte argumentieren damit, dass ein amerikanisches Gericht einen ausländischen Staat "schützen würde".
Bevor es zu einem Klartextzugriff kommen könnte, würde die Stadt Zürich direkt angegangen werden. Dies ergebe sich nicht nur aufgrund von bedeutender Rechtsprechung, sondern auch aus dem amerikanischen Foreign Sovereign Immunities Act (FSIA), der gerade Behörden wie die Stadt Zürich in den USA sehr gut gegen Behördenzugriffe schützt, schreiben die Advokaten. "Hinzu kommen rein quantitative Erfahrungswerte, die zeigen, dass sich die Problematik sehr selten stellt."
Noch wichtiger sei allerdings die Analyse nach schweizerischem Recht: "Die Stadt Zürich hat nach schweizerischem Recht keine Garantieverantwortung, Zugriffe von ausländischen Strafverfolgungsbehörden abzuwenden", heisst es in dem Gutachten.
Organisatorische Absicherung
Dass sich das politische Führungsorgan vor dem Gang in die Cloud äussert, wurde aus Kreisen von Datenschutzbehörden bereits wiederholt gefordert. In grossen Organisation mit vielen Mitarbeitenden gibt es sowohl Befürworter der Cloud als auch Zweifler. Manchmal steht die Befürchtung im Raum, dass das Mitwirken an einem solchen Projekt Straffolgen auslösen könnten. Dies könne auch Projekte blockieren. Der Beschluss des Stadtrats gibt nunmehr eine gemeinsame Richtung vor. Mitarbeitende werden vom Strafrisiko befreit und die Stadt Zürich gewinnt an Handlungsfähigkeit. Auch dies ergebe sich aus dem Rechtsgutachten der Kanzlei.
Interessant ist dabei, dass sich die städtischen Organisationseinheiten auf die Arbeiten und Kontrollen der OIZ verlassen dürfen. Nur so weit für eine Organisationseinheit eine Besonderheit greift, welche die OIZ nicht antizipieren kann, muss die betroffene Behörde weitere Abklärungen treffen. Somit muss sie vor der Umsetzung nicht mehr die volle Grundlagenanalyse durchführen. Behörden müssen sich einzig noch fragen, ob bei ihnen eine allfällige Sondersituation vorliegt. So sollen insbesondere Einzelfälle gewürdigt werden.
Das komplette Rechtsgutachten ist hier einzusehen.

Loading

Mehr zum Thema

image

EU plant Haftungsregeln für künstliche Intelligenz

Die EU-Kommission will Private und Unternehmen besser vor "Schäden" durch KI schützen. Gleichzeitig soll das Vertrauen in neue Technologien gestärkt werden.

publiziert am 28.9.2022
image

Edöb: "Vertrauen Behörden nur auf private Gutachten, können sie sich eine blutige Nase holen"

Der Eidgenössische Datenschützer kritisiert Anwaltskanzleien, die Behörden beim Einsatz von US-Cloud-Diensten Sicherheit versprechen. Im Interview schildert Adrian Lobsiger seine Sicht.

publiziert am 28.9.2022
image

Keine kritischen Lücken im E-Voting-System der Post gefunden

Beim Bug-Bounty-Programm gelang es niemandem, in das System oder die elektronische Urne einzudringen. Die Tests gehen aber noch weiter.

publiziert am 28.9.2022 1
image

Frisches Geld für Edtech-Startup Taskbase

Das Zürcher Jungunternehmen konnte in einer Seed-Finanzierungsrunde 1,3 Millionen Franken einsammeln.

publiziert am 28.9.2022