Der Bundesrat hatte mit Blick auf die steigende Verbreitung von Public-Cloud-Diensten und damit zusammenhängende rechtliche und politische Bedenken am 6. April 2020 das Informationsteuerungsorgan Bund (ISB) beauftragt, in Zusammenarbeit mit weiteren Behörden und privaten Stellen “vertieft zu prüfen, ob die Schweiz mit einer «Swiss Cloud» eine eigene Cloud- und Dateninfrastruktur anstreben soll”.
Das EFD bzw. ISB hat nun einen “Bericht zur Bedarfsabklärung für eine ‘Swiss Cloud’ ” ausgearbeitet.
Sein Ergebnis ist nicht unbedingt überraschend (vgl. Medienmitteilung):
a. Der Bedarf an einer «Swiss Cloud» in Gestalt einer eigenständigen öffentlich-rechtlichen technischen Infrastruktur und als Erfolgsfaktor für den Standort Schweiz ist nicht ausgewiesen.
b. Stark befürwortet wird eine «Swiss Cloud» als Label für eine sichere Nutzung von Cloud-Leistungen, die besonderen Anforderungen der Datensouveränität genügen.
c. Es besteht Klärungsbedarf bezüglich rechtlicher Fragen, des Einbezugs der Schweiz in europäische Cloud-Initiativen, gemeinsamer Basisdienste im Bereich Cloud für die Digitale Verwaltung Schweiz sowie bezüglich der Gewährleistung von Immunität für Daten internationaler Organisationen.
Der BR hat nun “weiterführende Massnahmen” in Auftrag gegeben, um
- ein Zertifizierungssystem für Cloud-Leistungen zu prüfen und zu konkretisieren;
- die rechtlichen und regulatorischen Problemfelder zur Cloud-Nutzung aufzuarbeiten und einer Klärung zuzuführen;
- die internationale Vernetzung und den Einbezug der Schweiz in europäischen Initiativen wie GAIA‑X zu prüfen;
- die institutionellen Grundlagen zur Nutzung von gemeinsamen Cloud-Leistungen für die öffentliche Verwaltung zu entwickeln;
- die völker-/rechtlichen Rahmenbedingungen für die Gewährleistung der Immunität von Daten in Public Clouds für internationale Organisationen in der Schweiz zu prüfen;
- mit den Branchen einen Dialog zur Bereitstellung von Hilfsinstrumenten für die chancen- und risikobewusste Nutzung von Cloud-Diensten in der Wirtschaft zu führen;
- den Bedarf und die Weiterentwicklung von krisenresistenten Leistungen für Betreiber kritischer Infrastrukturen zu klären und zu konkretisieren.
Im Rahmen der Befragung von Experten hat das ISB zudem folgende Rechtsfragen identifiziert
- Unter welchen Voraussetzungen findet in der Cloud eine Verletzung des Berufs‑, Banken- oder Amtsgeheimnisses statt?
- Inwiefern können in einer Cloud Personendaten von nicht-personenbezogenen Daten sinnvoll unterschieden und entkoppelt werden? Wie ist rechtlich damit umzugehen, wenn unterschiedliche normative Standards auf unterschiedliche Daten in einer Cloud Anwendung finden (Differenzierungsmöglichkeit)?
- Ist der Straftatbestand [?] bei Anwendungsfällen in der Cloud ausreichend definiert und gesetzlich geregelt?
- Unter welchen Voraussetzungen wird das Dienstgeheimnis im Militär verletzt?
- Unter welchen Voraussetzungen dürfen ausländische Behörden auf (Personen)daten in der Cloud zugreifen (Stichwort Lawful Access» und CLOUD Act)?
- Inwiefern gelten die datenschutzrechtlichen Regeln zum internationalen Datenverkehr im Zusammenhang mit Herausgabeansprüchen bei einer Cloud (vgl. Art. 6 CH-DSG und Art. 45 – 46 EU-DSGVO)?
- Folgt ein Schweizer Gericht denselben Richtlinien wie der EuGH in dem Urteil, dass alle Exporte von Personendaten aus der EU in die USA der EU Datenschutz-Grundverordnung (DSGVO) unterliegen (oder analog in der Schweiz dem DSG)? Vgl. hierzu Schrems II
- Wird ein «Executive Agreement» von der Schweiz benötigt, um bessere Rechtssicherheit zu schaffen und Datenschutz zu gewährleisten in Hinblick auf den CLOUD Act der USA?
- Ist ein «Executive Agreement» zum CLOUD Act förderlich in Hinblick auf Datenschutz und den rechtlichen Bedürfnissen der Organisationen in der Schweiz?
- Wie können die Daten von Personen, welche diplomatischer Immunitäten und Privilegien unterliegen, in der Cloud speziell geschützt werden?
- Ist es zulässig Cloud-Provider zu nutzen, welche Rechenzentren in Ländern unter Embargo haben?