Die Datenschutzbeauftragte des Kantons Zürich (DSB) hat ihren Tätigkeitsbericht für das Kalenderjahr 2022 vorgelegt. Er ist hier online und als PDF abrufbar: https://www.datenschutz.ch/tb/2022.
Der Tätigkeitsbericht betrifft auszugsweise folgende Themen:
- Umfangreiche Beratungen und Vorabkontrollen
- Das neue IDG nimmt Gestalt an
- Polizei: Datenaustausch über Kantonsgrenzen und Staatsebenen hinweg
- PJZ: Besuchermanagement und Sicherheitssupportsystem
- Electronic Monitoring im Zivilrecht oder die Verantwortung des öffentlichen
Organs - Drang der Spitäler in die Cloud
- Hochschulinstitut Psychologie und Microsoft 365
- Biometrische Auswertung beim Online-Assessment
- Verhältnismässigkeit bei Online-Prüfungen
- Informationssicherheit bei Gemeinden stärken
- Besonderer Schutz für religiöse Aktivitäten
- Praktische Tipps für die Digitalisierung in der Verwaltung
- ZKB, neue AGB und die Aufsicht der DSB
- Übermässige Datenbearbeitung
- Datenschutzaufsicht bei den Gerichten
- Schulen, Schulpflege, Elternrat und die Informationsflüsse
- Ein Datenschutzvorfall im Rampenlicht
- Mehr Datenschutzvorfälle gemeldet
Interessant bzw. im Fokus ist sicher das Thema Cloud. Hier wiederholt der Tätigkeitsbericht die bekannte Haltung der DSB:
Zuerst muss eine Analyse der Rechtsgrundlagen durchgeführt werden. Dafür müssen die geltenden Geheimnispflichten eruiert werden. Zugriffsmöglichkeiten von ausländischen Behörden (CLOUD Act) sind festzustellen. Erst danach kann und muss über Risikominderung durch technische und organisatorische Massnahmen nachgedacht werden.
Dann folgt die Kernaussage:
Bei Personendaten, die unter einem besonderen Amtsgeheimnis oder einem Berufsgeheimnis stehen, hält das Gesetz fest: Die verantwortliche Person macht sich strafbar, wenn sie Unberechtigten auch nur die Möglichkeit gibt, solche Daten zur Kenntnis zu nehmen. So ist die Entscheidung einfach. Daten unter einem besonderen Amtsgeheimnis oder einem Berufsgeheimnis können nur ausgelagert werden, wenn sie verschlüsselt sind und ausschliesslich die verantwortliche Person oder ihre Hilfspersonen den Schlüssel kennen.
Die gängigsten gesamtheitlichen Cloud-Lösungen stammen von US-amerikanischen Unternehmen. Sie unterstehen dem CLOUD Act. Der CLOUD Act ermöglicht amerikanischen Behörden, Zugriff auf die Daten zu verlangen, unabhängig davon, wo sie gespeichert sind. Damit werden die Abkommen zur Rechtshilfe umgangen. Das Vorgehen verstösst gegen die schweizerische Rechtsordnung. Vertragliche Absicherungen helfen nicht. Es steht dem US-amerikanischen Unternehmen nicht frei, wegen eines Vertrags das Gesetz der USA nicht einzuhalten.
Die Rechtsfrage kann nicht mit Wahrscheinlichkeitsrechnungen umgangen werden. Wenn ein Zugriff rechtswidrig ist, hilft es nicht, dass die Wahrscheinlichkeit eines solchen Zugriffs klein sein könnte. Ein öffentliches Organ hat sich immer rechtmässig zu verhalten (Legalitätsprinzip). Die Aussagen zur Wahrscheinlichkeitsberechnung im Regierungsratsbeschluss zu Microsoft 365 (RRB 542/2022) wurden inzwischen relativiert. Die Finanzdirektion schränkte mit der Allgemeinen Nutzungsrichtlinie Microsoft 365 vom 29. Juni 2022 die Nutzung der Dienste ein. Dies entspricht auch der Regelung, die für die Bundesverwaltung gilt.
Mit “besonderes Amtsgeheimnis” ist ein Geheimnis gemeint, das besonders geregelt ist und über das Amtsgeheimnis i.S.v. Art. 320 StGB hinausgeht.
Die Meinung, besondere Amtsgeheimnisse stünden einer Auslagerung per se entgegen, weil damit immer ein Restrisiko eines Zugriffs durch ausländische Behörden einhergehe, ist schwer nachzuvollziehen.
Zwar ist auch der Versuch einer Offenbarung strafbar, aber auch der Versuch setzt zumindest Eventualvorsatz voraus – es gibt keinen fahrlässigen Versuch. Ein Versuch setzt daher voraus, dass der präsumptive Täter mit seinem Verhalten – z.B. der Verwendung einer Cloud für geheime Daten – den strafbaren Erfolg mitwill, also die Offenbarung, oder ihn zumindest bewusst in Kauf nimmt. Das ist nur möglich, wenn er dem Erfolg eine gewisse Wahrscheinlichkeit beimisst (auch wenn die Wahrscheinlichkeitseinschätzung alleine eigentlich nicht auf den Tatwillen schliessen lässt).
Hier spielt die Risikoeinschätzung eine Rolle: Wenn das Restrisiko als sehr niedrig eingeschätzt wird, kann man nicht sagen, der Täter wolle den Erfolg oder nehme ihn bewusst in Kauf – im Gegenteil, er will ihn nicht und geht davon aus, dass er nicht eintritt. Es ist deshalb falsch zu sagen, die Rechtsfrage werde durch eine Risikoeinschätzung ersetzt – vielmehr ist die Risikoeinschätzung ein Element des subjektiven Tatbestands und damit gerade Teil der massgeblichen Rechtsfrage.
Selbst wenn eine Geheimnisbestimmung ausnahmsweise ausdrücklich schon die Möglichkeit der Kenntnisverschaffung erfasst, was selten ist: Auch hier genügt nicht jede theoretische Möglichkeit, denn diese gibt es immer – keine Sicherheitsmassnahme wirkt vollständig. Es kann nur um eine tatbestandsmässige Risikoerhöhung gehen. Wäre eine minimalste Risikoerhöhung tatbestandsmässig, müsste das (Straf-)Recht dies bezogen auf einen bestimmten, eng umschriebenen Sachverhalt einer ganz aussergewöhnlichen Schutzbedürftigkeit festlegen.
Betrachtet man die Sache aus Distanz, tritt der Wertungswiderspruch deutlich zu Tage. Es leuchtet nicht ein, dass Daten gegen den Zugriff ausländischer Behörden viel stärker zu schützen wären als gegen jenen russischer Hacker.
Anybody who claims perfect security is either lying or they do not know what they are talking about (hier)