Tool soll Behörden bei der Beurteilung von Cloud-Projekten helfen

15. Dezember 2022 um 13:46
image
Foto: Tingey Injury Law Firm / Unsplash

Public Cloud ja oder nein? Bei der Beantwortung dieser Frage soll ein neues Tool von Rechtsanwalt David Rosenthal helfen. Sein Kollege Simon Schlauri sieht das kritisch.

Eine der wichtigsten Debatten des Jahres dreht sich um die Public Cloud. Sollen Behörden sensible Daten bei ausländischen Hyperscalern speichern dürfen oder nicht?
Einerseits gibts da den Bedarf aufseiten von Bund, Kantonen und Gemeinden, wie verschiedene Projekte beispielsweise in Zürich, Schaffhausen, Solothurn oder beim Bund zeigen. Gestützt wird deren Vorgehen von Rechtsanwälten wie Martin Steiger oder David Rosenthal, die sich dazu bei uns im Podcast geäussert haben.
Andererseits äusserte sich beispielsweise der Eidgenössische Datenschützer Adrian Lobsiger kritisch. Er sagte im Interview mit uns, dass sich Behörden, die sich nur auf private Gutachten stützen würden, eine blutige Nase holen können. Auch die Zürcher Datenschützerin Dominika Blonski sagte uns: "Der 'Cloud Act' lässt sich nicht statistisch relativieren."

Wo sind die Daten besser gschützt?

image
David Rosenthal
Es ist genau diese "statistische Methode", mit der David Rosenthal argumentiert. Er sagt sinngemäss, dass es viel wahrscheinlicher sei, dass ein lokaler Provider oder lokal gespeicherte Daten verloren gehen oder gestohlen werden, als dass sie ein ausländischer Hyperscaler aufgrund eines Rechtsbegehrens herausrücken muss.
Auf dieser Basis hat Rosenthal nun einen Leitfaden (PDF) veröffentlicht, der öffentlichen Organen und Schweizer Spitälern bei der Einführung von Cloud-Services unterstützen soll. Parallel dazu stellt er ein kostenloses Tool (Excel) namens "Cloud-Compliance- und Risk-Assessment für den öffentlichen Sektor in der Schweiz" zur Verfügung, das bei der Risiko­be­ur­teilung helfen soll.
Rosenthal schreibt dazu, dass die ersten Reaktionen positiv seien und dass Datenschützer und Nutzer ihre Freude daran haben werden. "Es wird bereits in diversen Projekten eingesetzt und deckt alle Anforderungen der Datenschützer ab, inklusive Privatim", so Rosenthal.

Statistik wird dem Problem nicht gerecht

image
Simon Schlauri
Auf Anfrage von inside-it.ch hat sich Rechtsanwalt Simon Schlauri mit dem Leitfaden von Rosenthal beschäftigt. Dessen statistischer Ansatz sei "per se nicht korrekt". Eine Stadt wie Zürich könnte nicht einfach sagen, die Wahrscheinlichkeit eines Zugriffs der US-Behörden sei für die einzelne Einwohnerin oder den einzelnen Einwohner klein.
"Es ist klar, dass nur ein sehr geringer Teil der insgesamt von der Auslagerung betroffenen Personen überhaupt aufs Radar der US-Behörden kommen." Aber es sei selbstverständlich, "dass der Staat auch genau jene Leute schützen muss, für die sich die US-Behörden eben interessieren", so Schlauri. "Mit einer rein statistischen Betrachtungsweise, welche die Gesamtzahl der betroffenen Personen zugrunde legt und so ein statistisches Risiko für den Einzelnen berechnet, wird man dem nicht gerecht."
Rosenthals Forderungen aus dem Leitfaden, man müsse auf Verträgen mit europäischen Tochterunternehmen der Hyperscaler und den Datenhaltungsort Schweiz bestehen, gaukeln laut Schlauri falsche Sicherheit vor. "Zugriffe aus den USA sind nach geltendem Recht gerade auch auf solche Daten im Grundsatz möglich." Wichtiger wäre aus Schlauris Sicht "eine technische und organisatorische Trennung, die de facto verhindert, dass die US-Mutter beziehungsweise US-Behörden zugreifen können."

Revival des treuhändischen Ansatzes?

Schlauri nennt als Beispiel den "treuhänderischen Ansatz", den Microsoft zusammen mit der deutschen Telekom eingeführt habe. "Dieser Ansatz sah vor, dass die Telekom die Serversoftware von Microsoft auf eigenen Systemen betreiben würde, sodass Microsoft gar keinen physischen Zugriff mehr auf diese Systeme hat", erklärt Schlauri. Obwohl dieser Ansatz aufgrund zu hoher Kosten in der Praxis nicht funktioniert habe, sei das der richtige Weg.
Microsoft ist laut einem Bericht von 'Le Monde' bereit, für eine Neuauflage der Treuhandlösung Hand zu bieten. Simon Schlauri deutet das Entgegenkommen Microsofts als Reaktion auf den Druck seitens europäischer Behörden. "Es wäre wünschenswert, dass sich die Schweizer Datenschutzbehörden mit diesen zusammentun und ebenfalls die Forderung nach einer derartigen Lösung formulieren."

Loading

Mehr zum Thema

image

Xplain kann weiteren Kunden halten

Der Kanton Aargau hatte die Zusammenarbeit nach dem Cyberangriff auf den IT-Dienstleister ausgesetzt. Jetzt sollen Projekte aber weitergeführt werden.

publiziert am 26.2.2024
image

7 Millionen Franken für Ostschweizer SOC

Sechs Kantone beschaffen ein gemeinsames Security Operations Center von Swisscom. In den nächsten fünf Jahren ist der Telco für die Cybersicherheit zuständig.

publiziert am 26.2.2024
image

Gescheitertes Educase-Projekt kostet Luzern 1,6 Millionen

Anfang 2022 brach der Kanton die Einführung der Schulsoftware ab. Jetzt legt der Regierungsrat die Kosten für das Debakel vor.

publiziert am 26.2.2024
image

Frauenfeld ebnet den Weg für die IT-Auslagerung

Ohne Gegenstimme bewilligt das Stadtparlament das Outsourcing. Der Auftrag wurde bereits an Abraxas vergeben.

publiziert am 23.2.2024