Der US Cloud Act: Warum er Cloud Projekte nicht verhindern sollte

Urs Wermelinger
06.09.2020 13:24:02

Eigentlich ist die Hyper-Clouds in den letzten Jahren ja zu einer Erfolgsgeschichte geworden – endlich nun auch in der Schweiz. Microsoft feiert dieser Tage den ersten Geburtstag der Schweizer Datencenter Ihrer Cloud. Unternehmen setzen heute reihenweise auf Office 365 oder ähnliche Cloud-Dienste von Microsoft oder anderen Cloud Anbietern, auch schon vor der COVID-19 Lockdown, aber seitdem nochmals verstärkt. Dennoch werden einige Datenschützer unter der Führung des Zürcher Vertreters nicht Müde, Zweifel zu sähen und warnen vor Cloud-Diensten, oder lassen Behörden und Schulen während des Corona Lockdowns nur widerwillig und «vorübergehend» Dienste wie Microsoft Teams Nutzen.

Zeit, etwas Objektivität in die Abwägung von Nutzen und Risiken zu bringen.

Cloud nur während der «ausserordentlichen Lage»?

Als der Bundesrat im März 2020 dem Land einen Lockdown verordnete und Beschäftigte aber auch Behörden und Schulen zum Home-Office oder Home-Schooling verdonnerte, war bei vielen das Erstaunen gross: Cloud Dienste wie Zoom oder Microsoft Teams übernahmen praktisch über Nacht wichtige Kommunikations- und Kollaborations-Funktionen und konnten auf breiter Basis zeigen was in Ihnen steckt. Microsoft Chef Nadella schätzte, dass innerhalb von wenigen Wochen 2-3 Jahre Digitale Transformation einfach «geschah». Allerorts wurden die Vorteile von Cloud Diensten hervorgehoben: Schnell einsatzbereit, umfassende Verfügbarkeit, Business Kontinuität und hohe Skalierbarkeit. Globale Anbieter wie Microsoft und Google eröffneten sogar Schweizer Ableger Ihrer Datencenter und Cloud Knotenpunkte, damit Daten auch garantiert in der Schweiz bleiben und die Cloud Dienste durch die physische Nähe auch etwas flotter laufen würden, was Balsam für die Ohren vieler Schweizer Kunden, auch in Datenschutz kritischen Branchen wie den hiesigen Banken, war.

Kritischer sehen das die Datenschützer. Microsoft 365 könne «in öffentlichen Organen (Verwaltung, Gemeinden, Schulen etc.) nur während der Corona-Krise eingesetzt werden», schreibt Zürichs Beauftragte auf ihrer Website. «Die Voraussetzungen für einen Einsatz nach der ausserordentlichen Lage sind zurzeit nicht gegeben.» Tages-Anzeiger vom 26.5.2020 

Die Risiken seien in dieser Konstellation «erhöht», hielten die Datenschützer vor kurzem in einem Merkblatt fest. Sie befürchten, dass sich die US-Behörden Zugriff auf sensible Daten von Schweizer Behörden und Unternehmen verschaffen könnten, und raten zu einer umfassenden Verschlüsselung (bring your own key) oder einer hiesigen Schweizer Cloud. Microsoft hat zwar erst gerade zwei Datacenterin Zürich und Genf in Betrieb genommen, um das Sicherheitsangebot zu verbessern. Selbst dort sind die Daten aber gemäss Einschätzung der Datenschützer nicht vor den US-Behörden sicher. Diese könnten den Zugriff mithilfe des 2018 verabschiedeten Gesetzes namens Cloud Act erzwingen.

Unternehmen wie Behörden drängt es in die Cloud. Doch Datenschützer warnen – vor allem vor dem US CLOUD Act: Gross ist die Angst vor dem Zugriff ausländischer Behörden. Viele haben Mühe, das Risiko einzuschätzen, tun es nur aus dem Bauch heraus. Dieser Beitrag stellt erstens eine neue, Management-taugliche Methode zur Einschätzung und Quantifizierung des Risikos eines ausländischen Behördenzugriffs à la CLOUD Act vor, und zeigt zweitens einen Weg, die gegensätzlichen Positionen im Expertenstreit um das Amts- und Berufsgeheimnisses in der Cloud zu vereinen. Beides soll helfen, Cloud-Projekte in sensitiven Bereichen nüchterner zu beurteilen. David Rosenthal

 

Ist eine eigene Schweizer Cloud eine wirkliche Alternative?

Auch der Bund sah sich genötigt prüfen zu lassen, ob er zumindest die Abhängigkeit von den US-Cloud Diensten vermindern kann und hat beschlossen abzuklären, ob die Schweiz eine eigene Cloud- und Dateninfrastruktur anstreben soll.

"Der Bundesrat. Bern, 16.04.2020 - Der Bundesrat hat an seiner Sitzung vom 16. April 2020 entschieden, dass in Zusammenarbeit mit den Kantonen sowie Expertinnen und Experten aus Wirtschaft und Wissenschaft, vertiefte Abklärungen zu Bedarf, Ausgestaltung, Notwendigkeit und Machbarkeit einer «Swiss Cloud» durchzuführen sind." Bundesrat lässt Machbarkeit einer «Swiss Cloud» prüfen

Ein bemerkenswertes Ansinnen, dass so ganz gegen die Ökonomie der Konzentration von Hyperclouds geht, wie zumindest bisher beobachtet werden können. Mitschwingen mag auch etwas Sentimentalität, fände man doch gerne ein zweites Geschäftsmodel wie das aufgegebene Bankgeheimnis. Gegen eine solche «Swiss Cloud» argumentiert denn auch zum Beispiel Microsoft. Die US-Cloud-Giganten seien «aus IT-Sicht nahezu uneinholbar. Das ist eine für die Betroffenen unangenehme, aber zutreffende Wahrheit», schrieb Schweiz-Chefin Marianne Janik vor kurzem in einem Gastkommentar in der NZZ.

Als dann auch noch der Europäische Gerichtshof die «Private Shield» Vereinbarung kippte, sahen sich viele Skeptiker wiederum bestätigt in ihren Bedenken. Mit dem «Private Shield» Urteil wurde die Datenübertragung persönlicher Daten von der EU in die USA in vielen Fällen illegal. (Tages-Anzeiger 16.7.2020)

Microsoft und andere Cloud Anbieter bemühten sich darzulegen, dass dieses Urteil keine Auswirkungen auf die den Cloud Diensten bisher zugrundeliegenden Schutzmassnahmen haben würden:

Wir bieten unseren Kunden bereits seit einigen Jahren überlappende Schutzmassnahmen für den Datentransfer in Drittstaaten an, sowohl mit dem Abschluss der Standardvertragsklauseln (Standard Contractual Clauses, SCC) als auch mit dem EU-US-Privacy-Shield. Auch wenn mit der Entscheidung des EuGH die weitere Verwendung des Privacy Shield für ungültig erklärt wurde, bleiben die SCC weiterhin gültig. Unsere gewerblichen Kunden sind bereits durch die SCC geschützt. (Microsoft 16.7.2020) 

 

Nur eine nüchterne, Business bezogene Risiko Abwägung hilft Entscheidern wirklich weiter

In einer bemerkenswerten Aktion hat David Rosenthal, einer der führenden Schweizer Experten für Daten- und Technologie-Recht und Partner bei der Vischer Anwaltskanzlei (https://www.vischer.com), nun seine aus der Praxis entstandene «Management-taugliche Methode zur Einschätzung und Quantifizierung des Risikos eines ausländischen Behördenzugriffs à la CLOUD Act» veröffentlicht und frei zugänglich gemacht.

Ungeachtet der unterschiedlichen Auffassungen von Experten, ob die bestehenden vertraglichen Vereinbarungen (Standard Contractual Clauses, SCC) für einen sicheren Betrieb ausreichen, versucht Rosenthal das verbleibende Risiko in Zahlen auszudrücken, um es damit für Management Entscheidungen fassbar zu machen und vom Glauben an absolute Sicherheit unabhängig zu machen.

Rosenthal positioniert seinen Beitrag denn auch als Management Unterstützung: «Der Autor des vorliegenden Beitrags vertritt hier eine andere Ansicht: Die mit dem US CLOUD Act verbundenen Risiken werden heute meist überbewertet, während die klassischen Risiken der Datensicherheit und der Business Continuity im Rahmen von Cloud-Projekten zu sehr in den Hintergrund rücken.» (David Rosenthal, Mit Berufsgeheimnissen in die Cloud: So geht es trotz US CLOUD Act, in: Jusletter 10. August 2020)

Warum die Wahrscheinlichkeit eines "Lawful Access" Falls Cloud Projekten nicht im Wege steht!

Was bei näherer Betrachtung von Rosenthals Risiko Model auffällt, sehr oft werden die Risiken nur auf die US Cloud Act projiziert, wohingegen auch in der EU und der Schweiz entsprechende Regelungen schon länger existieren, die teilweise sogar weiter gehen in Ihren Zugriffs Möglichkeiten, als der US Cloud Act.

In manchen Fällen wird es sogar wahrscheinlicher, dass nicht US-Behörden auf Daten von Schweizer Betrieben zugreifen möchten, sondern Behörden aus Deutschland, Frankreich oder anderen Ländern Europas. https://www.rosenthal.ch/downloads/Rosenthal-CloudLawfulAccess.pdf

 

Auch wenn Rosenthal’s Model keine abschliessende Beurteilung abgeben kann, ob ein Cloud Projekt problemlos durchgeführt werden kann, so gibt es doch eine gute Einschätzungsgrundlage für Entscheidungsträger, inwiefern sie aus rechtlichen Gründen auf ein Cloud Projekt verzichten sollten, oder eben nicht. Mit dieser Einschätzung vor Augen und im Wissen, dass der Cloud Act nur bei von Gerichten festgestellten «schweren Straftaten» überhaupt angewendet werden können, lassen sich die Empfehlungen des Zürcher Datenschützers doch etwas relativieren. Oder was werten wir nun höher: dass Schüler in Zürich während einer Krise wie COVID problemlos zu Hause unterrichtet werden können oder oder das realistische (?) Risiko, dass ein amerikanisches Gericht den mühsamen Cloud Act Weg beschreitet, um an die Daten der Schüler zu kommen – eine schwere Straftat vorausgesetzt, wohlgemerkt!? Der Empfehlung des Zürcher Datenschützers folgend, müssten genau für diesen wenig realistischen Fall auf die meisten der unbestreitbaren Vorteile vor Diensten wie Microsoft Teams verzichtet werden. 

Ausserhalb von Schulen und Behörden: in >99% aller Fälle wird eine nüchterne Abwägung des Risikos bzgl. des US Cloud Acts, Cloud Projekte nicht verhindern — im Gegenteil. Gut so. In diesem Sinne: Danke an David Rosenthal und let's get back to business!

Es bleibt die Gretchenfrage, welches gesamthafte Restrisiko eines Lawful Access für ein Cloud-Projekt akzeptabel ist. Aus rechtlicher Sicht wird im Bereich von berufsgeheimnisgeschützten Daten typischerweise auf die Schranken der Strafbarkeit der Entscheidungsträger abgestellt werden. Im Bereich des Bankgeheimnisses wird maximal jenes Risiko akzeptiert, das noch kein fahrlässiges Verhalten indiziert. Die getroffenen Gegenmassnahmen müssen einen Lawful Access durch eine ausländische Behörde somit «höchstwahrscheinlich» ausschliessen. Im Bereich der «normalen» Berufsgeheimnisse genügt es hingegen, den Eventualvorsatz zu vermeiden. Hier darf mehr als ein bloss theoretisches Risiko eines Lawful Access bestehen, aber es darf nicht so gross sein, dass der Entscheider nicht mehr darauf vertrauen konnte, dass es schon nicht zur unerlaubten Offenbarung gegenüber einer ausländischen Behörde kommt. https://www.rosenthal.ch/downloads/Rosenthal-CloudLawfulAccess.pdf

 


Online Artikel und wissenschaftliche Abhandlung zum Thema, wie auch download des Risikomodelles (xls): David Rosenthal: https://blog.vischer.com/de/us-cloud-act-warum-er-cloud-projekte-nicht-verhindern-sollte

CYCLOPEDIA Blog

News, Trends, Insights und Meinungen
über den modernen Arbeitsplatz

Abonnieren

Das könnte auch interressant sein

Die Artikel zu CYCLOPEDIA KNOWLEDGE

Abonnieren