Tool soll Behörden bei der Beurteilung von Cloud-Projekten helfen

15. Dezember 2022 um 13:46
image
Foto: Tingey Injury Law Firm / Unsplash

Public Cloud ja oder nein? Bei der Beantwortung dieser Frage soll ein neues Tool von Rechtsanwalt David Rosenthal helfen. Sein Kollege Simon Schlauri sieht das kritisch.

Eine der wichtigsten Debatten des Jahres dreht sich um die Public Cloud. Sollen Behörden sensible Daten bei ausländischen Hyperscalern speichern dürfen oder nicht?
Einerseits gibts da den Bedarf aufseiten von Bund, Kantonen und Gemeinden, wie verschiedene Projekte beispielsweise in Zürich, Schaffhausen, Solothurn oder beim Bund zeigen. Gestützt wird deren Vorgehen von Rechtsanwälten wie Martin Steiger oder David Rosenthal, die sich dazu bei uns im Podcast geäussert haben.
Andererseits äusserte sich beispielsweise der Eidgenössische Datenschützer Adrian Lobsiger kritisch. Er sagte im Interview mit uns, dass sich Behörden, die sich nur auf private Gutachten stützen würden, eine blutige Nase holen können. Auch die Zürcher Datenschützerin Dominika Blonski sagte uns: "Der 'Cloud Act' lässt sich nicht statistisch relativieren."

Wo sind die Daten besser gschützt?

image
David Rosenthal
Es ist genau diese "statistische Methode", mit der David Rosenthal argumentiert. Er sagt sinngemäss, dass es viel wahrscheinlicher sei, dass ein lokaler Provider oder lokal gespeicherte Daten verloren gehen oder gestohlen werden, als dass sie ein ausländischer Hyperscaler aufgrund eines Rechtsbegehrens herausrücken muss.
Auf dieser Basis hat Rosenthal nun einen Leitfaden (PDF) veröffentlicht, der öffentlichen Organen und Schweizer Spitälern bei der Einführung von Cloud-Services unterstützen soll. Parallel dazu stellt er ein kostenloses Tool (Excel) namens "Cloud-Compliance- und Risk-Assessment für den öffentlichen Sektor in der Schweiz" zur Verfügung, das bei der Risiko­be­ur­teilung helfen soll.
Rosenthal schreibt dazu, dass die ersten Reaktionen positiv seien und dass Datenschützer und Nutzer ihre Freude daran haben werden. "Es wird bereits in diversen Projekten eingesetzt und deckt alle Anforderungen der Datenschützer ab, inklusive Privatim", so Rosenthal.

Statistik wird dem Problem nicht gerecht

image
Simon Schlauri
Auf Anfrage von inside-it.ch hat sich Rechtsanwalt Simon Schlauri mit dem Leitfaden von Rosenthal beschäftigt. Dessen statistischer Ansatz sei "per se nicht korrekt". Eine Stadt wie Zürich könnte nicht einfach sagen, die Wahrscheinlichkeit eines Zugriffs der US-Behörden sei für die einzelne Einwohnerin oder den einzelnen Einwohner klein.
"Es ist klar, dass nur ein sehr geringer Teil der insgesamt von der Auslagerung betroffenen Personen überhaupt aufs Radar der US-Behörden kommen." Aber es sei selbstverständlich, "dass der Staat auch genau jene Leute schützen muss, für die sich die US-Behörden eben interessieren", so Schlauri. "Mit einer rein statistischen Betrachtungsweise, welche die Gesamtzahl der betroffenen Personen zugrunde legt und so ein statistisches Risiko für den Einzelnen berechnet, wird man dem nicht gerecht."
Rosenthals Forderungen aus dem Leitfaden, man müsse auf Verträgen mit europäischen Tochterunternehmen der Hyperscaler und den Datenhaltungsort Schweiz bestehen, gaukeln laut Schlauri falsche Sicherheit vor. "Zugriffe aus den USA sind nach geltendem Recht gerade auch auf solche Daten im Grundsatz möglich." Wichtiger wäre aus Schlauris Sicht "eine technische und organisatorische Trennung, die de facto verhindert, dass die US-Mutter beziehungsweise US-Behörden zugreifen können."

Revival des treuhändischen Ansatzes?

Schlauri nennt als Beispiel den "treuhänderischen Ansatz", den Microsoft zusammen mit der deutschen Telekom eingeführt habe. "Dieser Ansatz sah vor, dass die Telekom die Serversoftware von Microsoft auf eigenen Systemen betreiben würde, sodass Microsoft gar keinen physischen Zugriff mehr auf diese Systeme hat", erklärt Schlauri. Obwohl dieser Ansatz aufgrund zu hoher Kosten in der Praxis nicht funktioniert habe, sei das der richtige Weg.
Microsoft ist laut einem Bericht von 'Le Monde' bereit, für eine Neuauflage der Treuhandlösung Hand zu bieten. Simon Schlauri deutet das Entgegenkommen Microsofts als Reaktion auf den Druck seitens europäischer Behörden. "Es wäre wünschenswert, dass sich die Schweizer Datenschutzbehörden mit diesen zusammentun und ebenfalls die Forderung nach einer derartigen Lösung formulieren."

Loading

Mehr zum Thema

image

Digitalisierungsprojekt scheitert im Schaffhauser Kantonsrat

Der Regierungsrat des Kantons Schaffhausen muss beim Projekt "Digitale Verwaltung" und dem Kredit über 18 Millionen Franken über die Bücher.

publiziert am 2.12.2024
image

Kanadische Medien verklagen OpenAI

Einige der grössten kanadischen Medienhäuser ziehen vor Gericht. Sie werfen OpenAI vor, Artikel für KI-Training missbraucht zu haben und fordern Schadensersatz.

publiziert am 2.12.2024
image

Zug öffnet seinen Datenschatz

Der neu lancierte Open-Government-Data-Katalog bietet für alle nutzbare und verständlich aufbereitete Daten von Stadt und Kanton Zug.

publiziert am 2.12.2024
image

SBB erteilen Auftrag für Swisspass-Verifikation

Intrum erhält den Zuschlag für die digitale Identitätsprüfung. Diese soll beim Swisspass weiterentwickelt werden.

publiziert am 2.12.2024