Ri­si­ken und Re­geln

Das Thema Cloud betrifft alle öffentlichen Organe. Viele wollten im Jahr 2022 ihre Unsicherheiten zum Einsatz der Cloud mit der Datenschutzbeauftragten besprechen: Gemeinden, Spitäler, Schulen und Hochschulen, Kirchen, Kindes- und Erwachsenenschutzbehörden sowie Altersheime und Institutionen, die im Leistungsauftrag für öffentliche Organe tätig sind. Oft betrafen die Anfragen Microsoft 365, aber auch zu anderen Anwendungen gab es Fragen.

Unabhängig von der Anwendung drehten sich die Fragen vor allem um zwei Punkte: Welche Daten dürfen in die Cloud? Was muss bei der Auslagerung in die Cloud beachtet werden? Die Antworten sind vom Kontext abhängig. Die Überlegungen sind aber immer gleich.

Bei der Auslagerung sind zwei Anforderungen zu beachten: Erstens dürfen der Auslagerung keine rechtlichen Bestimmungen entgegenstehen. Dazu gehören beispielsweise Geheimnispflichten. Zweitens bleibt das öffentliche Organ nach der Auslagerung für die Personendaten verantwortlich und muss die Einhaltung des Datenschutzes sicherstellen.

Bei der Abklärung der Frage, ob und welche Daten in der Cloud bearbeitet werden können, ist methodisch vorzugehen. In der Rechtsgrundlagenanalyse ist zu beurteilen, wie weit Geheimhaltungspflichten oder Zugriffsmöglichkeiten von ausländischen Behörden einer Auslagerung entgegenstehen. Erst wenn die Rechtsgrundlagenanalyse ergibt, dass Daten in der Cloud bearbeitet werden dürfen, folgt die Schutzbedarfsanalyse, auch Risikoanalyse genannt. Damit wird festgelegt, mit welchen organisatorischen und technischen Massnahmen die Risiken zu minimieren sind. In einem Informationssicherheits- und Datenschutzkonzept (ISDS-Konzept) werden die Resultate der Schutzbedarfsanalyse zusammengefasst. Das ISDS-Konzept ist die Grundlage für die Umsetzung des Projekts. Für die beabsichtigte Datenbearbeitung muss nun eine Datenschutz-Folgenabschätzung (DSFA) erstellt werden (§ 10 Abs. 1 IDG). Wenn besondere Risiken für die Grundrechte der betroffenen Personen bestehen, sind das ISDS-Konzept und die DSFA der Datenschutzbeauftragten zur Vorabkontrolle vorzulegen.

Geheimnispflichten einhalten

Geheimnispflichten können der Auslagerung entgegenstehen. Dazu gehören das Amtsgeheimnis, die besonderen Amtsgeheimnisse wie das Steuergeheimnis oder das Sozialhilfegeheimnis sowie das Berufsgeheimnis, das besonders bei Spitälern, schulärztlichen Diensten, psychologischen Beratungsstellen oder ähnlichen Institutionen zu beachten ist. Wenn bei der Auslagerung eine technische Lösung eingesetzt wird, die verhindert, dass der Cloud-Anbieter Zugang zu den Informationen und Personendaten hat, sind die Geheimhaltungsvorgaben eingehalten. Zu diesen technischen Lösungen gehören die Verschlüsselung, bei welcher der Cloud-Anbieter keinen Schlüssel besitzt, sowie die Anonymisierung oder die Pseudonymisierung.

Wenn keine dieser technischen Lösungen eingesetzt werden kann, ist zu prüfen, ob die Geheimnispflichten die Auslagerung verunmöglichen. Bei Informationen und Personendaten, die unter dem Amtsgeheimnis stehen, sind die Mitarbeitenden des Cloud-Anbieters vertraglich in diese Geheimnispflicht einzubinden. Damit ist die Auslagerung möglich.

Beim Steuergeheimnis oder anderen besonderen Amtsgeheimnissen muss der Cloud-Anbieter die erhöhten Anforderungen an die Geheimhaltung einhalten können. Cloud-Anbieter im Ausland sind in einem Rechtsumfeld, das diesbezüglich nicht die notwendigen Garantien bietet. Das Gleiche trifft auf Anbieter zu, auf die der CLOUD Act anwendbar ist. In diesen Fällen dürfen Daten unter einem besonderen Amtsgeheimnis nicht ausgelagert werden, wenn keine technische Massnahme verhindert, dass der Cloud-Anbieter auf die Daten zugreifen kann.

Beim Berufsgeheimnis dürfen Informationen und Personendaten nur von der Geheimnisträgerin oder dem Geheimnisträger und ihren respektive seinen Hilfspersonen bearbeitet werden. Ausnahmen bestehen, wenn eine gesetzliche Bestimmung etwas anderes vorsieht, die betroffene Person im Einzelfall eingewilligt hat oder die vorgesetzte Behörde die Geheimnisträgerin oder den Geheimnisträger im Einzelfall von der Geheimnispflicht entbindet. Wenn die Mitarbeitenden des Cloud-Anbieters als Hilfspersonen qualifiziert werden können, besteht die Möglichkeit, auch Daten unter dem Berufsgeheimnis in die Cloud auszulagern. Bei Standardlösungen von internationalen Cloud-Anbietern sind ihre Mitarbeitenden in der Regel keine Hilfspersonen. Informationen und Personendaten unter dem Berufsgeheimnis können mit solchen Standardlösungen nur bearbeitet werden, wenn die Informationen verschlüsselt sind und das öffentliche Organ den Schlüssel behält oder wenn die Personendaten vorher anonymisiert oder pseudonymisiert wurden.

Die Geheimhaltungsvorgaben sind strafrechtlich abgesichert. Mitarbeitende von öffentlichen Organen können sich strafbar machen, wenn sie sich nicht an die Rahmenbedingungen halten (Art. 320 StGB oder Art. 321 StGB).

Verantwortung für die Datenbearbeitung wahrnehmen

Das öffentliche Organ bleibt auch bei der Auslagerung in die Cloud für die Daten verantwortlich. Es muss die Einhaltung des Datenschutzes gewährleisten und hat sicherzustellen, dass die Daten vom Cloud-Anbieter nur so bearbeitet werden, wie es das öffentliche Organ selbst auch tun darf. Diese Verantwortung wird einerseits durch vertragliche Regeln mit dem Cloud-Anbieter wahrgenommen. Der Regierungsrat erliess dafür die AGB Auslagerung Informatikleistungen und die AGB Datenbearbeitung durch Dritte. Die AGB sind für die kantonale Verwaltung verbindlich. Ihre Inhalte gelten für alle öffentlichen Organe des Kantons Zürich und sind in Verträgen mit Cloud-Anbietern einzubeziehen. Sie regeln zentrale Punkte zur Verantwortung für die Datenbearbeitung wie die Zweckbindung, den Umgang mit Unterauftragnehmern, das anwendbare Recht, den Gerichtsstand, bestimmte Massnahmen zur Informationssicherheit und die Kontrollmöglichkeiten.

Die öffentlichen Organe müssen andererseits angemessene organisatorische und technische Massnahmen treffen und von den Cloud-Anbietern einfordern. Dafür ist eine Risikobeurteilung vorzunehmen. Die Verschlüsselung spielt eine grosse Rolle als Massnahme zur Minderung der Risiken. Wenn Personendaten in Datenzentren in Ländern ohne gleichwertiges Datenschutzniveau bearbeitet oder gespeichert werden, müssen sie verschlüsselt werden und der Schlüssel muss beim öffentlichen Organ liegen. Wenn die Daten in Datenzentren im Inland oder in einem Land mit gleichwertigem Datenschutzniveau bearbeitet werden, müssen nur die besonderen Personendaten verschlüsselt werden. Der Schlüssel muss in diesen Fällen nur dann beim öffentlichen Organ liegen, wenn dies die Beurteilung der Risiken ergibt. Muss der Cloud-Anbieter aus operativen Gründen in Besitz des Schlüssels sein, muss er vertraglich verpflichtet werden, den Schlüssel nur auf explizite Anfrage und nach expliziter Einwilligung des öffentlichen Organs einzusetzen und nur dann auf die Daten zuzugreifen.

Spezialfall CLOUD Act

Der CLOUD Act ist ein Gesetz der USA. Es ermöglicht bestimmten US-Behörden, amerikanische Unternehmen zu verpflichten, Daten ihrer Kundinnen und Kunden herauszugeben, auch wenn diese Daten nicht in Datenzentren in den USA gespeichert sind. Der CLOUD Act ist ein Gesetz mit extraterritorialer Wirkung. Dieses Verfahren und dieser Zugriff auf Daten sind mit dem Datenschutzrecht und dem übergeordneten schweizerischen Recht nicht vereinbar. Es verstösst gegen den «ordre public» der Schweiz.

Wenn Personendaten, die einem besonderen Amtsgeheimnis oder einem Berufsgeheimnis unterstehen, an einen US-amerikanischen Cloud-Anbieter ausgelagert werden, darf der Anbieter keinen Zugang zu den Daten haben. Dies muss mit einer technischen Lösung sichergestellt werden, also durch Verschlüsselung, wobei der Schlüssel beim öffentlichen Organ verbleibt.

Wenn besondere Personendaten an einen US-amerikanischen Cloud-Anbieter ausgelagert werden, müssen technische Massnahmen umgesetzt werden, die eine Kenntnisnahme durch die US-Behörden unter dem CLOUD Act ausschliessen. Dies ergibt sich aus der Verantwortlichkeit des öffentlichen Organs. Die Kenntnisnahme kann durch eine Verschlüsselung ausgeschlossen werden, wobei der Schlüssel beim öffentlichen Organ verbleiben muss. Vertragliche Absicherungen genügen nicht, da der Anbieter die Gesetze der USA und damit die Bestimmungen des CLOUD Act befolgen muss.

Anonymisierte und pseudonymisierte Daten dürfen unverschlüsselt ausgelagert werden.

Besondere Risiken der Cloud

Zu den besonderen Risiken der Auslagerung in die Cloud gehört die ungenügende Transparenz über die Bearbeitung der Personendaten durch den Cloud-Anbieter – einschliesslich der Daten von Mitarbeitenden des öffentlichen Organs bei der Nutzung der Cloud-Anwendung. Die Einhaltung der Zweckbindung kann nicht richtig eingeschätzt werden. Weiter können der Auftraggeber und seine Aufsichtsbehörde den Cloud-Anbieter nur schwer kontrollieren. Weitere Risiken sind der Einfluss ausländischer Rechtsordnungen und Einschränkungen beim Datenschutz. Zudem sind die Daten in einem System eingeschlossen, die Portabilität der Daten und die Interoperabilität mit anderen Systemen also erschwert. Kontrollverlust, Datenverlust und Datenmissbrauch müssen auch in Betracht gezogen werden.

Datenschutz-Folgenabschätzungen für Cloud-Projekte

Öffentliche Organe müssen für beabsichtigte Bearbeitungen von Personendaten eine Datenschutz-Folgenabschätzung (DSFA) erstellen. Bei Cloud-Projekten ist dies besonders wichtig, da die Auslagerung in die Cloud erhöhte Risiken mit sich bringt. Die Datenschutzbeauftragte stellt für die DSFA auf ihrer Website ein Formular zur Verfügung. Darin müssen die Risiken des Projekts für die Grundrechte der betroffenen Personen aufgezeigt werden. Gleichzeitig sind angemessene organisatorische und technische Massnahmen zu beschreiben, durch die die Risiken reduziert werden sollen. Wenn besondere Risiken für die Grundrechte vorliegen, muss das Projekt vorab der Datenschutzbeauftragten zur Prüfung unterbreitet werden. Nur eine DSFA gibt dem öffentlichen Organ die Möglichkeit, die konkreten Risiken des Cloud-Projekts einzuschätzen und angemessen mit ihnen umzugehen.

Noch keine Vorabkontrollen zu Microsoft 365

Bei der Einführung von Microsoft 365 muss in vielen Fällen von besonderen Risiken für die Grundrechte der betroffenen Personen ausgegangen werden. In diesen Fällen ist das Projekt der Datenschutzbeauftragten zur Vorabkontrolle zu unterbreiten. Dafür müssen die Beschreibung des Projekts, die Darstellung der Rechtslage und eine Übersicht über die Massnahmen zur Verhinderung von Persönlichkeitsverletzungen eingereicht werden. Dazu gehören die DSFA und das ISDS-Konzept. Bisher reichte jedoch noch kein öffentliches Organ im Kanton Zürich der Datenschutzbeauftragten ein Projekt zur Einführung von Microsoft 365 zur Vorabkontrolle ein.