Partner-Login

Die Zukunft ist die Cloud?

Hauptproblem - US-Cloud Anbieter

Seit dem Fall des Privacy Shields im Sommer 2020 steht die Beauftragung von IT-Partnern aus Amerika (z. B. Microsoft, Google, Amazon) auf tönernen Füssen.

Das Hauptproblem besteht darin, dass US-IT-Unternehmen gemäss USA Gesetz (FISA 702) den US-Behörden Zugriff auf die Daten ihrer Kunden gewähren müssen, ohne dass hierfür eine gerichtliche Genehmigung nötig wäre, der Zugriff begründet werden müsste oder dass den betroffenen Personen Rechte zugestanden würden.

Dabei spielt die Tatsache, dass viele dieser US Firmen Standorte in der EU oder in der Schweiz betreiben keine Rolle, denn US-Behörden können auch auf Server ausserhalb von Amerika zugreifen. Dieser sogenannte Cloud Act war ein Hauptgrund für den Fall des Privacy Shield.

Lösung: Standardvertragsklauseln + BYOK, BYOE?

Seit dem Fall des Privacy Shield können sich Unternehmen nicht mehr auf dieses zwischenstaatliche Abkommen berufen und müssen die Zusammenarbeit mit amerikanischen Herstellern vertraglich absichern. Dazu können sogenannte Standarddatenschutzklauseln verwendet werden, in denen sich der Auftragnehmer verpflichtet, dasselbe Datenschutzniveau zu gewährleisten, welchem der Auftraggeber unterliegt.

Um den Zugriff von US-Behörden auf Kundendaten zu verhindern, müssen gemäss dem Eidgenössischen Datenschutzbeauftragten (EDOEB) zusätzliche Massnahmen ergriffen und in den Standarddatenschutzklauseln definiert werden.

BYOK, BYOE

Die Verschlüsselung der gelagerten Daten in der Cloud ist theoretisch eine Möglichkeit, den US-Behörden den Zugriff zu verunmöglichen.

Gesprochen wird hier von “bring your own key (BYOK)”. Hinter diesem Begriff steht das Konzept, die Daten beim Cloud Anbieter verschlüsselt abzulegen. Hierfür müssen die Daten bereits verschlüsselt in die Cloud transferiert werden und die Entschlüsselung muss lokal beim Dateninhaber erfolgen.

Da mit BYOK die Verschlüsselung vom Cloudanbieter bereitgestellt, als auch der Key bei diesem hinterlegt wird, kann dieser jederzeit die Verschlüsslung aufbrechen. Damit wird das Problem des Cloud Acts nicht gelöst.

Abhilfe soll hier „bring you own encryption (BYOE)“ schaffen, bei welcher die Kunden ihren eigenen Verschlüsselungsalgorithmus verwenden können.

Allerdings funktionieren mit BYOE integrierte Cloudservices wie zum Beispiel Malware-, Spamschutz, AI, Indexierung, etc. nicht, womit es nicht weiter Sinn ergeben würde, Cloud Services einzusetzen. BYOE ist nur für das reine Hosten von Daten sinnvoll, nicht aber, wenn Daten in der Cloud auch verarbeitet werden sollen.

Lösung: Risikobasierter Ansatz – David Rosenthal?

Der risikobasierte Ansatz gründet sich auf der Überlegung, dass gemäss Datenschutzgesetz die Pflichten des Verantwortlichen unter Berücksichtigung

  • der Art,
  • des Umfangs,
  • der Umstände und der Zwecke der Verarbeitung sowie
  • der unterschiedlichen Eintrittswahrscheinlichkeiten und
  • Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen

zu beurteilen sind.

Gemäss Erwägungsgrund 75 der DSGVO (ebenfalls für die Auslegung des aktuellen umd revidierten Bundesdatenschutzgesetz relevant) liegt das Hauptaugenmerk bei der Beurteilung einer Datenverarbeitung stehts bei den potenziellen Risiken für Personen (Diskriminierung, Identitätsdiebstahl oder -betrug, finanzieller Verlust, Rufschädigung, etc.). Somit ist der Schutz der natürlichen Personen im Vordergrund und nicht die Wahrscheinlichkeit für das Unternehmen dabei "erwischt zu werden".

Vertreter des risikobasierten Ansatzes wie David Rosenthal sehen eine Lösung der Problematik des Cloud Acts darin, dass die Wahrscheinlichkeit des Zugriffes von US-Behörden auf Daten Schweizer Bürger als minim beurteilt werden kann. Wenig überraschend verweisen viele Cloud Anbieter wie Microsoft auf die Excelberechnung von David Rosenthal. Max Schrems findet zum risikobasierten Ansatz klare Worte:

"Unter dem Motto "keep calm and carry on" entwickelten Industrieanwälte und US-Cloud-Anbieter im vergangenen Jahr immer krudere Rechtstheorien, um die Differenz zwischen amerikanischem und europäischem Recht vermeintlich zu schließen. War es nach Safe Harbor noch "essential equivalence" ist es nun der "risikobasierte Ansatz" (der im relevanten Teil der DSGVO gar nicht vorkommt) bis hin zum Vorschlag von "ergänzenden Maßnahmen" (wie etwa Zäune um Rechenzentren zu bauen). Anstatt in sichere IT-Systeme investieren diese Akteure in Compliance-heuchelnde PR-Maßnahmen und formulieren unhaltbare Versprechen. Wir beobachten mit Spannung, ob Unternehmen und Kund:innen in der EU Schadenersatz fordern werden, sollten sich diese Versprechen als heiße Luft herausstellen."

Lösung: EU-Data-Boundary von Microsoft?

Am 06.Mai 2021 kündigte Microsoft an, bis Ende 2022 mit der EU-Data-Boundary zu gewährleisten, dass Office365 Daten von EU-Kunden ausschliesslich in Europa verbleiben. Dies soll  durch (Zitat)

  • "Gespräche mit Kunden und Aufsichtsbehörden
  • Anpassungen, die unter besonderen Umständen wie der Cybersicherheit erforderlich sind
  • erstklassige Verschlüsselungs- und robuste Lockbox-Lösungen
  • den Ausbau von Rechenzentren
  • Anfechtung von Regierungsanfragen"

gewährleistet werden. Es bleibt abzuwarten, was sich diesbezüglich bis Ende nächsten Jahres ergeben wird.

Die aktuell zur Verfügung stehenden Informationen sind noch zu vage, als dass diese bewertet werden können.

Lösung: Präzedenzfall Belgien vom 19.08.2021?

In Belgien klagte ein niederländisches Unternehmen, welches eine öffentliche Auftragsvergabe gegen Amazon verloren hatte. Es argumentierte, dass eine datenschutzkonforme Bearbeitung von Daten durch US-Unternehmen grundsätzlich nicht möglich sei und daher die Auftragsvergabe als rechtswidrig zu betrachten sei.

Dieser Klage stimmte der belgische Staatsrat in seinem Urteil vom 19.08.2021 nicht zu, und urteilte dass ein Auftragsverhältnis mit einem US-Unternehmen rechtens sei, solange dieses auf den Standarddatenschutzklauseln UND zusätzlichen Sicherheitsmassnahmen beruhe.

Damit besteht ein Präzedenzfall, der bekräftigt dass Standarddatenschutzklauseln NUR ZUSAMMEN mit zusätzlichen Sicherheitsmassnahmen ein Datenschutz rechtskonformes Auftragsverhältnis begründen. Diese Vorgabe basierte bisher auf den Empfehlungen des Europäischer Datenschutzausschusses (EDSA) und ist mit diesem Urteil somit bestätigt worden. Auch die aktuellen Empfehlungen des EDOEB, schliessen sich der Beurteilung der EDSA an.

Leider hat der belgische Staatsrat die ergriffenen Sicherheitsmassnahmen sachlich nicht geprüft. Das Gericht führte dazu lediglich aus, dass die Verschlüsselungsmassnahmen dann ausreichend seien, wenn der Auftraggeber den alleinigen Zugriff habe. Wie oben dargelegt sind jedoch BYOK und BYOE keine tauglichen und praktischen Verschlüsselungsmassnahmen.

Fazit

Im Schweizerischen Gesundheitswesen besteht keine einheitliche Meinung zum Einsatz von Cloudservices im Allgemeinen und von Office365 im Speziellen. Manche Institutionen sehen in der Cloud die Zukunft. Andere fühlen sich mit ihrer bestehenden on premise Lösung eigentlich auf der sicheren Seite, fürchten aber, dass Microsoft on premise Lösungen (IT im eigenen Haus) immer mehr einstellt.

Die Problematik bei der Beurteilung dieser Situation ist die, dass die Fragestellung sehr komplex ist. Hinter Office365 stehen ca. 200 einzelne Services, welche alle unterschiedlich datenschutzrechtlich beurteilt werden müssen. Der Bündner Spital- und Heimverband (BSH) erarbeitete gemeinsam mit dem Kantonsspital Graubünden (KSGR) eine Datenschutz-Folgenabschätzung, in welcher grundsätzliche Fragestellungen geklärt werden sollen. Notwendig ist hier ein schrittweises Vorgehen, das heisst es muss zu allererst abgeklärt werden, ob Basisdienste wie die Microsoft Azure AD datenschutzkonform einzusetzen sind. Bei der Azure AD sind grundsätzlich keine besonders schützenswerten Patientendaten hinterlegt. Hier könnte also die Entscheidung gefällt werden, dass diese Datenbearbeitung trotz Cloud Act zulässig ist. Alle übrigen Services wie Microsoft Online, Teams oder Sharepoint basieren auf diesem Kernservice. Die DSFA wurde beim EDOEB und KDSB eingereicht. Sollte diesbezüglich ein positiver Grundsatzentescheid gefällt werden, können weiteren Services schrittweise geprüft und erneut bei den Behörden eingereicht werden. Daraus sollen Verhaltenskodexe gemäss Art. 11 rev. DSG entstehen, in welchen fundiert dokumentiert und mit den Behörden abgeklärt ist, welche Cloudservices zu welchen Bedingungen rechtskonform angewendet werden können.

Autoren

  • lic. iur. Roman Dolf (Leiter Rechtsdienst KSGR)
  • Rebekka Grassmayr, MAS (Datenschutzspezialistin Sirius Consult AG)

Zurück