Tool soll Behörden bei der Beurteilung von Cloud-Projekten helfen

15. Dezember 2022 um 13:46
image
Foto: Tingey Injury Law Firm / Unsplash

Public Cloud ja oder nein? Bei der Beantwortung dieser Frage soll ein neues Tool von Rechtsanwalt David Rosenthal helfen. Sein Kollege Simon Schlauri sieht das kritisch.

Eine der wichtigsten Debatten des Jahres dreht sich um die Public Cloud. Sollen Behörden sensible Daten bei ausländischen Hyperscalern speichern dürfen oder nicht?
Einerseits gibts da den Bedarf aufseiten von Bund, Kantonen und Gemeinden, wie verschiedene Projekte beispielsweise in Zürich, Schaffhausen, Solothurn oder beim Bund zeigen. Gestützt wird deren Vorgehen von Rechtsanwälten wie Martin Steiger oder David Rosenthal, die sich dazu bei uns im Podcast geäussert haben.
Andererseits äusserte sich beispielsweise der Eidgenössische Datenschützer Adrian Lobsiger kritisch. Er sagte im Interview mit uns, dass sich Behörden, die sich nur auf private Gutachten stützen würden, eine blutige Nase holen können. Auch die Zürcher Datenschützerin Dominika Blonski sagte uns: "Der 'Cloud Act' lässt sich nicht statistisch relativieren."

Wo sind die Daten besser gschützt?

image
David Rosenthal
Es ist genau diese "statistische Methode", mit der David Rosenthal argumentiert. Er sagt sinngemäss, dass es viel wahrscheinlicher sei, dass ein lokaler Provider oder lokal gespeicherte Daten verloren gehen oder gestohlen werden, als dass sie ein ausländischer Hyperscaler aufgrund eines Rechtsbegehrens herausrücken muss.
Auf dieser Basis hat Rosenthal nun einen Leitfaden (PDF) veröffentlicht, der öffentlichen Organen und Schweizer Spitälern bei der Einführung von Cloud-Services unterstützen soll. Parallel dazu stellt er ein kostenloses Tool (Excel) namens "Cloud-Compliance- und Risk-Assessment für den öffentlichen Sektor in der Schweiz" zur Verfügung, das bei der Risiko­be­ur­teilung helfen soll.
Rosenthal schreibt dazu, dass die ersten Reaktionen positiv seien und dass Datenschützer und Nutzer ihre Freude daran haben werden. "Es wird bereits in diversen Projekten eingesetzt und deckt alle Anforderungen der Datenschützer ab, inklusive Privatim", so Rosenthal.

Statistik wird dem Problem nicht gerecht

image
Simon Schlauri
Auf Anfrage von inside-it.ch hat sich Rechtsanwalt Simon Schlauri mit dem Leitfaden von Rosenthal beschäftigt. Dessen statistischer Ansatz sei "per se nicht korrekt". Eine Stadt wie Zürich könnte nicht einfach sagen, die Wahrscheinlichkeit eines Zugriffs der US-Behörden sei für die einzelne Einwohnerin oder den einzelnen Einwohner klein.
"Es ist klar, dass nur ein sehr geringer Teil der insgesamt von der Auslagerung betroffenen Personen überhaupt aufs Radar der US-Behörden kommen." Aber es sei selbstverständlich, "dass der Staat auch genau jene Leute schützen muss, für die sich die US-Behörden eben interessieren", so Schlauri. "Mit einer rein statistischen Betrachtungsweise, welche die Gesamtzahl der betroffenen Personen zugrunde legt und so ein statistisches Risiko für den Einzelnen berechnet, wird man dem nicht gerecht."
Rosenthals Forderungen aus dem Leitfaden, man müsse auf Verträgen mit europäischen Tochterunternehmen der Hyperscaler und den Datenhaltungsort Schweiz bestehen, gaukeln laut Schlauri falsche Sicherheit vor. "Zugriffe aus den USA sind nach geltendem Recht gerade auch auf solche Daten im Grundsatz möglich." Wichtiger wäre aus Schlauris Sicht "eine technische und organisatorische Trennung, die de facto verhindert, dass die US-Mutter beziehungsweise US-Behörden zugreifen können."

Revival des treuhändischen Ansatzes?

Schlauri nennt als Beispiel den "treuhänderischen Ansatz", den Microsoft zusammen mit der deutschen Telekom eingeführt habe. "Dieser Ansatz sah vor, dass die Telekom die Serversoftware von Microsoft auf eigenen Systemen betreiben würde, sodass Microsoft gar keinen physischen Zugriff mehr auf diese Systeme hat", erklärt Schlauri. Obwohl dieser Ansatz aufgrund zu hoher Kosten in der Praxis nicht funktioniert habe, sei das der richtige Weg.
Microsoft ist laut einem Bericht von 'Le Monde' bereit, für eine Neuauflage der Treuhandlösung Hand zu bieten. Simon Schlauri deutet das Entgegenkommen Microsofts als Reaktion auf den Druck seitens europäischer Behörden. "Es wäre wünschenswert, dass sich die Schweizer Datenschutzbehörden mit diesen zusammentun und ebenfalls die Forderung nach einer derartigen Lösung formulieren."

Loading

Mehr erfahren

Mehr zum Thema

image

EFK: Bund sollte Office ohne Cloudanbindung so lange wie möglich einsetzen

Die Eidgenössische Finanzkontrolle kritisiert den Bund für die Einführung von M365. Die Verlängerung einer On-Premises-Lösung sei zu wenig geprüft worden und die Komplexität für Mitarbeitende nehme zu.

publiziert am 16.5.2024
image

Finanzkommission: Beim Bund laufen zu viele IT-Projekte gleichzeitig

Die Finanzkommission des Ständerats empfiehlt dem Bundesrat mehr Zurückhaltung bei der Aufgleisung neuer Projekte.

publiziert am 16.5.2024
image

Neue Direktorin für Förderagentur Innosuisse gewählt

Dominique Gruhl-Bégin wird im August ihre neue Position bei der Förderagentur übernehmen. Die bisherige Direktorin Annalise Eggimann tritt aus Altersgründen zurück.

publiziert am 15.5.2024
image

Schweizer Hoch­leistungs­rechner gehört zur Welt­spitze

Die leistungsfähigsten Supercomputer der Welt stehen allesamt in den USA. In Europa ist die Konkurrenz nahe beieinander.

publiziert am 14.5.2024