3. August 2020

US CLOUD Act: Warum er Cloud-Projekte nicht verhindern sollte

Stimmungsmache rund um den CLOUD Act

Cloud-basierte Lösungen werden bereits heute zahlreich genutzt, doch nun möchten auch Unternehmen und Amtsstellen mit "heiklen" Daten in die Cloud und beispielsweise Umgebungen wie "Microsoft 365" nutzen. Interessanterweise macht dabei den meisten Stellen beim Gang in die Cloud nicht die klassische Datensicherheit oder Fragen der "Business Continuity" Sorgen, sondern die Möglichkeit eines Datenzugriffs durch ausländische Behörden, so insbesondere unter dem US CLOUD Act. Vor kurzem warnte der Zürcher Datenschutzbeauftragte sogar öffentlich vor dem Microsoft-Produkt für Behörden und empfahl eindringlich den Einsatz von Verschlüsselungstechniken, die sich allerdings oft nicht vernünftig umsetzen lassen. Microsoft und ihre Anwälte wiederum versuchen, mit Rechtsgutachten und Publikationen die Wogen zu glätten.

Falsche Vorstellungen dominieren das Bild

Dabei begann das Unheil mit dem US CLOUD Act schon vor mehr als zwei Jahren. Zahlreiche Medien, aber auch Juristen stellten es als ein Gesetz dar, das US-Behörden jederzeit Zugang zu Daten in der Cloud ermöglicht. Unter den Tisch fiel zum Beispiel, dass das, was der US CLOUD Act festschrieb, schon seit langem der US-Gerichtspraxis entsprach und der US CLOUD Act nur deshalb erlassen wurde, weil in einem einzigen Fall ein Berufungsgericht aus der Reihe tanzte. Oder etwa, dass das, was der US CLOUD Act den Behörden erlaubt, in Wirklichkeit ein internationales Abkommen umsetzt, welches auch in der Schweiz gilt (wer es nicht glaubt: Art. 18 Abs. 1 der Cybercrime Konvention).

Unbeachtet blieb natürlich auch, dass nach dem US CLOUD Act und ständiger Rechtspraxis US-Behörden selbst bei einem Cloud-Provider in den USA nicht einfach auf alle Daten zugreifen können, auf die sie technisch theoretisch Zugriff erlangen könnte. Was unter dem US CLOUD Act möglich ist, ist weder spektakulär, noch ungewöhnlich, noch spielt es im Behördenalltag eine grosse Rolle. Wohl jedes Land in Europa sieht Vergleichbares vor, die Schweiz selbst geht sogar weiter. Aber all das fiel unter den Tisch und so entstand der Mythos vom gefährlichen US CLOUD Act, der für Daten in der Cloud plötzlich eine viel grössere Bedrohung sein soll als all die anderen Gefahren im Bereich der Datensicherheit. Die Warnung der Datenschützer überrascht daher nicht, ebenso nicht ihre Empfehlungen wie etwa zum Einsatz besonderer Verschlüsselungsformen oder die Forderung, dass Verträge mit Cloud-Providern zwingend Schweizer Recht unterstellt sein müssen (was nicht viel bringt, aber derzeit in diversen Cloud-Projekten der öffentlichen Hand für rote Köpfe sorgt).

Träumerei in Bezug auf ein "Executive Agreement"

Die dadurch begründete Verunsicherung führt inzwischen soweit, dass gewisse Kreise ein sogenanntes Executive Agreement für die Schweiz fordern, weil sie glauben, dass dadurch Rechtssicherheit geschaffen und der Datenschutz besser gewährleistet würde. Executive Agreements sind vom US CLOUD Act vorgesehen, um den US-Behörden den Zugriff auf Provider bzw. Daten im Ausland unter Umgehung der Rechts- und Amtshilfe zu vereinfachen (und nicht zu erschweren, wie sich besagte Kreise es erhoffen). Andere Staaten finden das gut, weil sie Gegenrecht erhalten: Das Executive Agreement mit Grossbritannien vom Oktober 2019 schränkt den US CLOUD Act entgegen landläufiger Meinung nicht ein (vgl. Art. 6 Abs. 3 und und diesen Artikel: "21 Thoughts and Questions about the UK-US CLOUD Act Agreement"), sondern erlaubt den USA, Herausgabebefehle zusätzlich direkt auch an Provider in Grossbritannien zu richten (und umgekehrt) – und nur dann greifen die Inländer-Schutzmechanismen.

Wer glaubt, die USA würde sich mit Bezug auf die Schweiz auf weniger weitgehende Forderungen als gegenüber Grossbritannien einlassen, der träumt. Zum Beispiel wird die Forderungsliste der Bankiervereinigung in der USA keine Chance haben. Bei einem Staatsvertrag, wie im Falle von Grossbritannien, müsste die Schweiz nicht nur zulassen, dass US-Behörden Schweizer Cloud-Providern ohne Amts- und Rechtshilfe direkt Herausgabebefehle für ihre Daten senden dürften. Die Schweiz müsste auch auf das Berufsgeheimnis, das Bankgeheimnis und das Amtsgeheimnis sowie den Datenschutz teilweise verzichten. Und obendrein wären in der Schweiz gelagerte Daten vor Zugriffen durch den US CLOUD Act über US-Provider nach wie vor nicht wirklich geschützt.

Die Schweiz müsste im Gegenteil wohl auch den heutigen Schutz von Art. 271 StGB aufgeben. Mit diesem konnten Schweizer Unternehmen Herausgabebefehle von US-Behörden und -Gerichten mit Bezug auf Daten auf Schweizer Territorium in der Praxis bisher wirksam abwehren, weil die Strafnorm auch jene bestraft, die den US-Behörden auf Schweizer Territorium den Zugriff ermöglichen, wenn diese ohne Bewilligung den Schweizer Dienstweg umgehen. Diesem Risiko sind also zum Beispiel die Schweizer Mitarbeiter ausgesetzt, welche die Microsoft-Rechenzentren in der Schweiz betreiben. Das wiederum bietet den Kunden einen gewissen Schutz. Rechtssicherheit bringt ein Executive Agreement also schon, aber indem die Schweiz den Schutz ihrer Daten und Provider aufweicht. Ob die Aussicht auf Gegenrecht diesen Preis aufwiegt, darf bezweifelt werden.

Rechtliche Anforderungen an Cloud-Projekte

Wie aber können vor diesem Hintergrund Cloud-Projekte selbst mit heiklen Daten realisiert werden? Darauf gibt es zwei Antworten: Die erste kommt von den kantonalen Datenschützern, die fordern, dass die Verträge unter Schweizer Recht sind und die heiklen Daten verschlüsselt sein müssen mit einem Schlüssel, der nur durch den Kunden verwaltet wird. Schweizer Recht ist zwar ein Vorteil, aber kein entscheidender Punkt und in Sachen Datenschutz ist EU-Recht nicht wirklich schlechter als Schweizer Recht. Und wenn wirklich nur der Kunde Zugang zum Schlüssel hat, sind viele Cloud-Anwendungen nicht mehr vernünftig realisierbar, wie etwa ein Mail-Server, mit dem auch mit der Aussenwelt kommuniziert werden soll. Der Kompromiss, bekannt als "Bring-your-own-Key", kostet viel, bringt aber vergleichsweise wenig Gewinn punkto Datenschutz.

Die zweite Antwort auf die Frage liefert die herrschende Rechtslehre: Wer eine Cloud-Lösung mit berufsgeheimnisgeschützten Daten realisieren will, muss nebst den klassischen Massnahmen zur Datensicherheit, Business Continuity und Erfüllung aufsichtsrechtlicher Anforderungen eine Risikoeinschätzung vornehmen und «geeignete» Massnahmen treffen, um das Restrisiko eines Zugriffs durch ausländische Behörden – auch "lawful access" genannt – auf ein akzeptables Niveau zu senken. Das ist einfach gesagt, doch wissen viele nicht, wie sie das konkret anstellen sollen. Auch Publikationen wie etwa der "Cloud-Leitfaden" der Schweizerischen Bankiervereinigung beantworteten dies bisher nicht wirklich.

Wahrscheinlichkeit eines «Lawful Access» in Prozent

Um das Problem für einen Klienten zu lösen, habe ich ein Risikobeurteilungsmodell entwickelt, das ganz anders funktioniert als das, was wir Juristen normalerweise abliefern. Es arbeitet mit Excel und beruht auf der "Berechnung" der Wahrscheinlichkeit eines erfolgreichen rechtmässigen Zugriffs einer ausländischen Behörde und berücksichtigt die technischen Möglichkeiten eines Anbieters als auch den rechtlichen Rahmen des US CLOUD Act und vergleichbaren Bestimmungen sowie nachrichtendienstliche Zugriffe wie etwa gemäss der Section 702 des US Foreign Intelligence Surveillance Act (FISA). Es ist produkt- und anbieterneutral und kann alle Arten von Cloud-Modellen abbilden (Schweizer Cloud, Schweizer Cloud mit ausländischem Fernzugriff, ausländische Cloud, IaaS, PaaS, SaaS usw.). Für die Darstellung der Wahrscheinlichkeit habe ich analysiert, welche kumulativen oder alternativen Bedingungen erfüllt sein müssen, damit ein rechtmässiger Zugang durch eine ausländische Behörde erfolgreich ist. Für jeden dieser Faktoren wird eine Eintrittswahrscheinlichkeit geschätzt und darauf basierend die Gesamtwahrscheinlichkeit berechnet. Das Modell ist so konzipiert, dass diese Schätzung sehr grob und konservativ sein kann, was die Anwendung und Bewertung erleichtert.

Das Ergebnis ist ein prozentualer Wert, welcher, basierend auf den Annahmen, die statistische Wahrscheinlichkeit eines erfolgreichen behördlichen Zugriffs im Betrachtungszeitraum wiedergibt. Dieser kann vom Management verwendet werden, um zum Beispiel Projektvarianten auf der Grundlage verschiedener Maßnahmen zu vergleichen, um die Risikobewertung eines Unternehmens zu dokumentieren und als Grundlage für eine Risikoentscheidung zu dienen. Es ist und bleibt eine blosse Risikobeurteilung. Sie ist relativ simpel und sie hat ihre Schwächen, aber der bisherige Einsatz des Modells zeigt, dass Zahlen eine klarere Sprache sprechen als Worte. Vor allem erlaubt das Modell die unterschiedlichsten technischen und rechtlichen Faktoren miteinander in eine Beziehung zu setzen und ihr Zusammenspiel vor Augen zu führen. Die Beurteilung sollte daher interdisziplinär durch ein gemeinsames Ausfüllen der Excel-Tabelle durchgeführt werden. Die Angst vor dem US CLOUD Act ist damit normalerweise vom Tisch, oder wird sehr viel nüchterner eingeschätzt, so dass der Fokus danach richtigerweise wieder auf die traditionellen Risiken wie etwa Datensicherheit und Business Continuity gelegt wird.

Risikobeurteilungsmodell wird publiziert

Um das Risikobewertungsmodell einem breiteren Publikum zugänglich zu machen, habe ich mit entschlossen, es unter einer freien Lizenz zu veröffentlichen (damit jeder es benutzen kann), zusammen mit einer wissenschaftlichen Abhandlung darüber, ob und unter welchen Bedingungen es erlaubt ist, mit Berufs- und Amtsgeheimnissen in die Cloud zu gehen. Neben dem Excel-basierten Beurteilungsmodell, lege ich darin auch dar, wie sich die auf den ersten Blick widersprechenden Ausführungen in der Schweizer Lehre zum Thema auf einen Nenner bringen lassen. Auch diese Frage hat immer wieder die Gemüter erhitzt, und hier möchte ich ebenfalls einen neuen Lösungsansatz für die Praxis anbieten. Das Beurteilungsmodell ist hier abrufbar und ein Reprint eines wissenschaftlichen Beitrags dazu ist hier (und der Anhang dazu hier) verfügbar.

Kategorien: Data & Privacy

You are currently offline. Some pages or content may fail to load.