Tool soll Behörden bei der Beurteilung von Cloud-Projekten helfen

15. Dezember 2022, 13:46
image
Foto: Tingey Injury Law Firm / Unsplash

Public Cloud ja oder nein? Bei der Beantwortung dieser Frage soll ein neues Tool von Rechtsanwalt David Rosenthal helfen. Sein Kollege Simon Schlauri sieht das kritisch.

Eine der wichtigsten Debatten des Jahres dreht sich um die Public Cloud. Sollen Behörden sensible Daten bei ausländischen Hyperscalern speichern dürfen oder nicht?
Einerseits gibts da den Bedarf aufseiten von Bund, Kantonen und Gemeinden, wie verschiedene Projekte beispielsweise in Zürich, Schaffhausen, Solothurn oder beim Bund zeigen. Gestützt wird deren Vorgehen von Rechtsanwälten wie Martin Steiger oder David Rosenthal, die sich dazu bei uns im Podcast geäussert haben.
Andererseits äusserte sich beispielsweise der Eidgenössische Datenschützer Adrian Lobsiger kritisch. Er sagte im Interview mit uns, dass sich Behörden, die sich nur auf private Gutachten stützen würden, eine blutige Nase holen können. Auch die Zürcher Datenschützerin Dominika Blonski sagte uns: "Der 'Cloud Act' lässt sich nicht statistisch relativieren."

Wo sind die Daten besser gschützt?

image
David Rosenthal
Es ist genau diese "statistische Methode", mit der David Rosenthal argumentiert. Er sagt sinngemäss, dass es viel wahrscheinlicher sei, dass ein lokaler Provider oder lokal gespeicherte Daten verloren gehen oder gestohlen werden, als dass sie ein ausländischer Hyperscaler aufgrund eines Rechtsbegehrens herausrücken muss.
Auf dieser Basis hat Rosenthal nun einen Leitfaden (PDF) veröffentlicht, der öffentlichen Organen und Schweizer Spitälern bei der Einführung von Cloud-Services unterstützen soll. Parallel dazu stellt er ein kostenloses Tool (Excel) namens "Cloud-Compliance- und Risk-Assessment für den öffentlichen Sektor in der Schweiz" zur Verfügung, das bei der Risiko­be­ur­teilung helfen soll.
Rosenthal schreibt dazu, dass die ersten Reaktionen positiv seien und dass Datenschützer und Nutzer ihre Freude daran haben werden. "Es wird bereits in diversen Projekten eingesetzt und deckt alle Anforderungen der Datenschützer ab, inklusive Privatim", so Rosenthal.

Statistik wird dem Problem nicht gerecht

image
Simon Schlauri
Auf Anfrage von inside-it.ch hat sich Rechtsanwalt Simon Schlauri mit dem Leitfaden von Rosenthal beschäftigt. Dessen statistischer Ansatz sei "per se nicht korrekt". Eine Stadt wie Zürich könnte nicht einfach sagen, die Wahrscheinlichkeit eines Zugriffs der US-Behörden sei für die einzelne Einwohnerin oder den einzelnen Einwohner klein.
"Es ist klar, dass nur ein sehr geringer Teil der insgesamt von der Auslagerung betroffenen Personen überhaupt aufs Radar der US-Behörden kommen." Aber es sei selbstverständlich, "dass der Staat auch genau jene Leute schützen muss, für die sich die US-Behörden eben interessieren", so Schlauri. "Mit einer rein statistischen Betrachtungsweise, welche die Gesamtzahl der betroffenen Personen zugrunde legt und so ein statistisches Risiko für den Einzelnen berechnet, wird man dem nicht gerecht."
Rosenthals Forderungen aus dem Leitfaden, man müsse auf Verträgen mit europäischen Tochterunternehmen der Hyperscaler und den Datenhaltungsort Schweiz bestehen, gaukeln laut Schlauri falsche Sicherheit vor. "Zugriffe aus den USA sind nach geltendem Recht gerade auch auf solche Daten im Grundsatz möglich." Wichtiger wäre aus Schlauris Sicht "eine technische und organisatorische Trennung, die de facto verhindert, dass die US-Mutter beziehungsweise US-Behörden zugreifen können."

Revival des treuhändischen Ansatzes?

Schlauri nennt als Beispiel den "treuhänderischen Ansatz", den Microsoft zusammen mit der deutschen Telekom eingeführt habe. "Dieser Ansatz sah vor, dass die Telekom die Serversoftware von Microsoft auf eigenen Systemen betreiben würde, sodass Microsoft gar keinen physischen Zugriff mehr auf diese Systeme hat", erklärt Schlauri. Obwohl dieser Ansatz aufgrund zu hoher Kosten in der Praxis nicht funktioniert habe, sei das der richtige Weg.
Microsoft ist laut einem Bericht von 'Le Monde' bereit, für eine Neuauflage der Treuhandlösung Hand zu bieten. Simon Schlauri deutet das Entgegenkommen Microsofts als Reaktion auf den Druck seitens europäischer Behörden. "Es wäre wünschenswert, dass sich die Schweizer Datenschutzbehörden mit diesen zusammentun und ebenfalls die Forderung nach einer derartigen Lösung formulieren."

Loading

Mehr zum Thema

image

Wegen Whatsapp: Bank wälzt Millionen-Busse auf Angestellte ab

Finanzregulatoren hatten mehreren Banken wegen der Nutzung von Whatsapp hohe Bussen auferlegt. Morgan Stanley reicht diese nun an Mitarbeitende weiter.

publiziert am 27.1.2023
image

Schwyz erhält einen neuen CIO

Im Sommer wird Marcel Schönbächler die Leitung des Amts für Informatik im Kanton übernehmen.

publiziert am 27.1.2023
image

Crypto Valley: Sehr gute Miene zum sehr bösen Spiel

Die Investoren-Vereinigung CV VC befindet im neusten "Top 50"-Report: Der Laden brummt, die Zukunft strahlt. Sie hat dafür einige Fantasie walten lassen.

publiziert am 27.1.2023
image

Podcast: Wie fair und objektiv ist künstliche Intelligenz?

Der Bundesrat will, dass KI Behörden effizienter macht. Warum das zu einem Problem werden kann, diskutieren wir in dieser Podcast-Folge.

publiziert am 27.1.2023