BR: Bedarfs­ab­klä­rung für eine «Swiss Cloud»: Bedarf an Leit­li­ni­en und Klä­rung, nicht aber an CH-Infrastruktur

Der Bun­des­rat hat­te mit Blick auf die stei­gen­de Ver­brei­tung von Public-Cloud-Dien­sten und damit zusam­men­hän­gen­de recht­li­che und poli­ti­sche Beden­ken am 6. April 2020 das Infor­ma­ti­on­steue­rungs­or­gan Bund (ISB) beauf­tragt, in Zusam­men­ar­beit mit wei­te­ren Behör­den und pri­va­ten Stel­len “ver­tieft zu prü­fen, ob die Schweiz mit einer «Swiss Cloud» eine eige­ne Cloud- und Daten­in­fra­struk­tur anstre­ben soll”.

Das EFD bzw. ISB hat nun einen “Bericht zur Bedarfs­ab­klä­rung für eine ‘Swiss Cloud’ ” aus­ge­ar­bei­tet.

Sein Ergeb­nis ist nicht unbe­dingt über­ra­schend (vgl. Medi­en­mit­tei­lung):

a. Der Bedarf an einer «Swiss Cloud» in Gestalt einer eigen­stän­di­gen öffent­lich-recht­li­chen tech­ni­schen Infra­struk­tur und als Erfolgs­fak­tor für den Stand­ort Schweiz ist nicht aus­ge­wie­sen.

b. Stark befür­wor­tet wird eine «Swiss Cloud» als Label für eine siche­re Nut­zung von Cloud-Lei­stun­gen, die beson­de­ren Anfor­de­run­gen der Daten­sou­ve­rä­ni­tät genügen.

c. Es besteht Klä­rungs­be­darf bezüg­lich recht­li­cher Fra­gen, des Ein­be­zugs der Schweiz in euro­päi­sche Cloud-Initia­ti­ven, gemein­sa­mer Basis­dien­ste im Bereich Cloud für die Digi­ta­le Ver­wal­tung Schweiz sowie bezüg­lich der Gewähr­lei­stung von Immu­ni­tät für Daten inter­na­tio­na­ler Organisationen.

Der BR hat nun “wei­ter­füh­ren­de Mass­nah­men” in Auf­trag gege­ben, um

  • ein Zer­ti­fi­zie­rungs­sy­stem für Cloud-Lei­stun­gen zu prü­fen und zu konkretisieren;
  • die recht­li­chen und regu­la­to­ri­schen Pro­blem­fel­der zur Cloud-Nut­zung auf­zu­ar­bei­ten und einer Klä­rung zuzuführen;
  • die inter­na­tio­na­le Ver­net­zung und den Ein­be­zug der Schweiz in euro­päi­schen Initiati­ven wie GAIA‑X zu prüfen;
  • die insti­tu­tio­nel­len Grund­la­gen zur Nut­zung von gemein­sa­men Cloud-Lei­stun­gen für die öffent­li­che Ver­wal­tung zu entwickeln;
  • die völ­ker-/recht­li­chen Rah­men­be­din­gun­gen für die Gewähr­lei­stung der Immu­ni­tät von Daten in Public Clouds für inter­na­tio­na­le Orga­ni­sa­tio­nen in der Schweiz zu prüfen;
  • mit den Bran­chen einen Dia­log zur Bereit­stel­lung von Hilfs­in­stru­men­ten für die chan­cen- und risi­ko­be­wuss­te Nut­zung von Cloud-Dien­sten in der Wirt­schaft zu führen;
  • den Bedarf und die Wei­ter­ent­wick­lung von kri­sen­re­si­sten­ten Lei­stun­gen für Betrei­ber kri­ti­scher Infra­struk­tu­ren zu klä­ren und zu konkretisieren.

Im Rah­men der Befra­gung von Exper­ten hat das ISB zudem fol­gen­de Rechts­fra­gen identifiziert

  • Unter wel­chen Vor­aus­set­zun­gen fin­det in der Cloud eine Ver­let­zung des Berufs‑, Ban­ken- oder Amts­ge­heim­nis­ses statt?
  • Inwie­fern kön­nen in einer Cloud Per­so­nen­da­ten von nicht-per­so­nen­be­zo­ge­nen Daten sinn­voll unter­schie­den und ent­kop­pelt wer­den? Wie ist recht­lich damit umzu­ge­hen, wenn unter­schied­li­che nor­ma­ti­ve Stan­dards auf unter­schied­li­che Daten in einer Cloud Anwen­dung fin­den (Dif­fe­ren­zie­rungs­mög­lich­keit)?
  • Ist der Straf­tat­be­stand [?] bei Anwen­dungs­fäl­len in der Cloud aus­rei­chend defi­niert und gesetz­lich geregelt?
  • Unter wel­chen Vor­aus­set­zun­gen wird das Dienst­ge­heim­nis im Mili­tär verletzt?
  • Unter wel­chen Vor­aus­set­zun­gen dür­fen aus­län­di­sche Behör­den auf (Personen)daten in der Cloud zugrei­fen (Stich­wort Law­ful Access» und CLOUD Act)?
  • Inwie­fern gel­ten die daten­schutz­recht­li­chen Regeln zum inter­na­tio­na­len Daten­ver­kehr im Zusam­men­hang mit Her­aus­ga­be­an­sprü­chen bei einer Cloud (vgl. Art. 6 CH-DSG und Art. 45 – 46 EU-DSGVO)?
  • Folgt ein Schwei­zer Gericht den­sel­ben Richt­li­ni­en wie der EuGH in dem Urteil, dass alle Expor­te von Per­so­nen­da­ten aus der EU in die USA der EU Daten­schutz-Grund­ver­ord­nung (DSGVO) unter­lie­gen (oder ana­log in der Schweiz dem DSG)? Vgl. hier­zu Schrems II
  • Wird ein «Exe­cu­ti­ve Agree­ment» von der Schweiz benö­tigt, um bes­se­re Rechts­si­cher­heit zu schaf­fen und Daten­schutz zu gewähr­lei­sten in Hin­blick auf den CLOUD Act der USA?
  • Ist ein «Exe­cu­ti­ve Agree­ment» zum CLOUD Act för­der­lich in Hin­blick auf Daten­schutz und den recht­li­chen Bedürf­nis­sen der Orga­ni­sa­tio­nen in der Schweiz?
  • Wie kön­nen die Daten von Per­so­nen, wel­che diplo­ma­ti­scher Immu­ni­tä­ten und Pri­vi­le­gi­en unter­lie­gen, in der Cloud spe­zi­ell geschützt werden?
  • Ist es zuläs­sig Cloud-Pro­vi­der zu nut­zen, wel­che Rechen­zen­tren in Län­dern unter Embar­go haben?