Eine der wichtigsten Debatten des Jahres dreht sich um die Public Cloud. Sollen Behörden sensible Daten bei ausländischen Hyperscalern speichern dürfen oder nicht?

Einerseits gibts da den Bedarf aufseiten von Bund, Kantonen und Gemeinden, wie verschiedene Projekte beispielsweise in Zürich, Schaffhausen, Solothurn oder beim Bund zeigen. Gestützt wird deren Vorgehen von Rechtsanwälten wie Martin Steiger oder David Rosenthal, die sich dazu bei uns im Podcast geäussert haben.

Andererseits äusserte sich beispielsweise der Eidgenössische Datenschützer Adrian Lobsiger kritisch. Er sagte im Interview mit uns, dass sich Behörden, die sich nur auf private Gutachten stützen würden, eine blutige Nase holen können. Auch die Zürcher Datenschützerin Dominika Blonski sagte uns: "Der 'Cloud Act' lässt sich nicht statistisch relativieren."

Es ist genau diese "statistische Methode", mit der David Rosenthal argumentiert. Er sagt sinngemäss, dass es viel wahrscheinlicher sei, dass ein lokaler Provider oder lokal gespeicherte Daten verloren gehen oder gestohlen werden, als dass sie ein ausländischer Hyperscaler aufgrund eines Rechtsbegehrens herausrücken muss.

Auf dieser Basis hat Rosenthal nun einen Leitfaden (PDF) veröffentlicht, der öffentlichen Organen und Schweizer Spitälern bei der Einführung von Cloud-Services unterstützen soll. Parallel dazu stellt er ein kostenloses Tool (Excel) namens "Cloud-Compliance- und Risk-Assessment für den öffentlichen Sektor in der Schweiz" zur Verfügung, das bei der Risiko­be­ur­teilung helfen soll.

Rosenthal schreibt dazu, dass die ersten Reaktionen positiv seien und dass Datenschützer und Nutzer ihre Freude daran haben werden. "Es wird bereits in diversen Projekten eingesetzt und deckt alle Anforderungen der Datenschützer ab, inklusive Privatim", so Rosenthal.

Auf Anfrage von inside-it.ch hat sich Rechtsanwalt Simon Schlauri mit dem Leitfaden von Rosenthal beschäftigt. Dessen statistischer Ansatz sei "per se nicht korrekt". Eine Stadt wie Zürich könnte nicht einfach sagen, die Wahrscheinlichkeit eines Zugriffs der US-Behörden sei für die einzelne Einwohnerin oder den einzelnen Einwohner klein.

"Es ist klar, dass nur ein sehr geringer Teil der insgesamt von der Auslagerung betroffenen Personen überhaupt aufs Radar der US-Behörden kommen." Aber es sei selbstverständlich, "dass der Staat auch genau jene Leute schützen muss, für die sich die US-Behörden eben interessieren", so Schlauri. "Mit einer rein statistischen Betrachtungsweise, welche die Gesamtzahl der betroffenen Personen zugrunde legt und so ein statistisches Risiko für den Einzelnen berechnet, wird man dem nicht gerecht."

Rosenthals Forderungen aus dem Leitfaden, man müsse auf Verträgen mit europäischen Tochterunternehmen der Hyperscaler und den Datenhaltungsort Schweiz bestehen, gaukeln laut Schlauri falsche Sicherheit vor. "Zugriffe aus den USA sind nach geltendem Recht gerade auch auf solche Daten im Grundsatz möglich." Wichtiger wäre aus Schlauris Sicht "eine technische und organisatorische Trennung, die de facto verhindert, dass die US-Mutter beziehungsweise US-Behörden zugreifen können."

Schlauri nennt als Beispiel den "treuhänderischen Ansatz", den Microsoft zusammen mit der deutschen Telekom eingeführt habe. "Dieser Ansatz sah vor, dass die Telekom die Serversoftware von Microsoft auf eigenen Systemen betreiben würde, sodass Microsoft gar keinen physischen Zugriff mehr auf diese Systeme hat", erklärt Schlauri. Obwohl dieser Ansatz aufgrund zu hoher Kosten in der Praxis nicht funktioniert habe, sei das der richtige Weg.

Microsoft ist laut einem Bericht von 'Le Monde' bereit, für eine Neuauflage der Treuhandlösung Hand zu bieten. Simon Schlauri deutet das Entgegenkommen Microsofts als Reaktion auf den Druck seitens europäischer Behörden. "Es wäre wünschenswert, dass sich die Schweizer Datenschutzbehörden mit diesen zusammentun und ebenfalls die Forderung nach einer derartigen Lösung formulieren."