Glass/Schefer: Gut­ach­ten “Der grund­rechts­kon­for­me Ein­satz von M365 durch öffent­li­che Orga­ne in der Schweiz”

Dr. Phil­ip Glass und Prof. Dr. Mar­kus Sche­fer haben im Auf­trag von egov­part­ner (einer Zusam­men­ar­beits­or­ga­ni­sa­ti­on von Gemein­den, Städ­ten und dem Kan­ton Zürich) ein Gut­ach­ten zum grund­rechts­kon­for­men Ein­satz von Micro­soft 365 durch öffent­li­che Orga­ne in der Schweiz (am Bei­spiel des Kan­tons Zürich) ver­fasst. Das Gut­ach­ten wur­de im Jus­let­ter IT vom 20. Dezem­ber 2023 ver­öf­fent­licht und ist als Edi­ti­ons Web­law, Bern 2023, ver­füg­bar. Es stellt die Frage,

wie die Gemein­den im Kan­ton Zürich Cloud-Dien­ste (ins­bes. M365) ver­fas­sungs- und daten­schutz­kon­form nut­zen können.

Das Gut­ach­ten war den Gemein­den des Kan­tons Zürich vor der Publi­ka­ti­on zur Ver­fü­gung gestellt wor­den und durf­te seit Anfang Okto­ber 2023 an Drit­te wei­ter­ge­ge­ben wer­den. Die Autoren hat­ten gestützt dar­auf Rück­mel­dun­gen erhal­ten; sie gehen dar­auf in einem Adden­dum zum Gut­ach­ten ein.

Das Gut­ach­ten kann auch auf der Web­site von David Rosen­thal her­un­ter­ge­la­den wer­den. David Rosen­thal hat dazu bereits am 10. Novem­ber 2023 Anmer­kun­gen zum Gut­ach­ten ver­fasst; dazu s. unten.

Ergeb­nis­se des Gutachtens

Die Gut­ach­ter kom­men im Wesent­li­chen zu fol­gen­den Schlüssen:

  • Art. 13 Abs. 2 BV schützt vor dem Miss­brauch von Daten als Mini­mal­ga­ran­tie einer recht­mä­ssi­gen Daten­be­ar­bei­tung und ver­mit­telt ein recht­lich geschütz­tes Inter­es­se an einer rechts­staat­lich kor­rek­ten Daten­be­ar­bei­tung. Zudem umfasst Art. 13 Abs. 2 BV den “Schutz der infor­ma­tio­nel­len Selbst­be­stim­mung”, die die Aus­übung der Grund­rech­te sichert.
  • Unter­schied­li­che “Ein­griffs­mo­men­te” müs­sen u.U. je ein­zeln gerecht­fer­tigt wer­den, und sie müs­sen zudem gesamt­haft betrach­tet zumut­bar sein. Beein­träch­tigt wird die infor­ma­tio­nel­le Selbst­be­stim­mung beson­ders, wenn die Daten­be­ar­bei­tung zu einer Selbst­be­schrän­kung in der Aus­übung der Grund­rech­te füh­ren kann (Chil­ling Effect).
  • Die Inten­si­tät eines Ein­griffs­mo­ments ergibt sich aus dem Zusam­men­spiel von Kon­troll­ver­lust und Wirk­sam­keit der Rechts­be­hel­fe dage­gen, und aus der Per­sön­lich­keits­nä­he der Daten­be­ar­bei­tung. Im Ein­zel­fall ist zu prü­fen, inwie­weit einem Kon­troll­ver­lust durch sichern­de Mass­nah­men und der Per­sön­lich­keits­nä­he durch Anony­mi­sie­rung ent­ge­gen­ge­wirkt wer­den kann.
  • Eine Spei­che­rung von Per­so­nen­da­ten in der Cloud ist eine Spei­che­rung «auf Vor­rat» zuhan­den von U.S.-Behörden, die über den CLOUD Act bzw. den Stored Com­mu­ni­ca­ti­ons Act (SCA) zugrei­fen kön­nen. Ein sol­cher Zugriff wür­de eine Ver­let­zung der Grund­sät­ze des schwei­ze­ri­schen Rechts, eine intrans­pa­ren­te Bear­bei­tung und eine Ver­let­zung der Zweck­bin­dung dar­stel­len. Auf­grund der Anzahl der Betrof­fe­nen und des Kon­troll­ver­lusts ist grund­sätz­lich von einem schwer­wie­gen­den Ein­griff auszugehen.
  • Die «Metho­de Rosen­thal» erscheint für die Ver­wen­dung im öffent­lich-recht­li­chen Bereich als “noch nicht genü­gend aus­ge­reift”, aber sie kann Anga­ben über die Grö­ssen­ord­nung der Wahr­schein­lich­keit einer Ver­let­zung lie­fern. Es sei zudem kei­ne Alter­na­ti­ve mit ähn­lich struk­tu­rier­ter Argu­men­ta­ti­on ersicht­lich; auch die Daten­schutz­be­hör­den geben “wenig Anlei­tung, wie [die mit der Cloud­nut­zung ver­bun­de­nen Risi­ken] rechts­ge­nüg­lich beur­teilt wer­den könnten”.
  • Dass ein gerin­ges Risi­ko eines Zugriffs besteht, erschei­ne “unter den gege­be­nen Umstän­den als plau­si­bel”, aber das kann sich mit der zuneh­men­den Ver­wen­dung von M365 ändern.
  • Ein­grif­fe gewin­nen an Inten­si­tät, wenn man die Abhän­gig­keit von den Office-Pro­duk­ten berück­sich­tigt. Bei einer Wei­ter­ent­wick­lung die­ser Pro­duk­te hat die öffent­li­che Ver­wal­tung kei­ne Alternativen.
  • Die Zür­cher Rechts­grund­la­gen ermög­li­chen eine Bear­bei­tung von beson­de­ren Per­so­nen­da­ten, aber sie rei­chen nicht aus für die spe­zi­fi­schen Ein­griffs­mo­men­te der Aus­la­ge­rung in die Cloud eines US-Unternehmens.
  • Wie kan­to­na­le Behör­den emp­feh­len die Gut­ach­ter, zumin­dest sen­si­ble Per­so­nen­da­ten in der Cloud zu ver­schlüs­seln, was eine ver­fas­sungs­kon­for­me Nut­zung von M365 ermög­li­chen kön­ne, falls die Ver­schlüs­se­lung auch gegen den Zugriff der Anbie­te­rin wirk­sam ist.

Dar­aus folge:

Im Hin­blick auf die dar­ge­leg­ten Ein­grif­fe und deren Inten­si­tät sowie der unge­nü­gen­den recht­li­chen Grund­la­ge für die Über­nah­me der kor­re­spon­die­ren­den Risi­ken durch öffent­li­che Orga­ne im Kan­ton Zürich muss zum aktu­el­len Zeit­punkt ein Ver­zicht auf gewis­se For­men der Bear­bei­tung von beson­de­ren Per­so­nen­da­ten (= schwe­re Ein­grif­fe in die infor­ma­tio­nel­le Selbst­be­stim­mung) mit­tels M365 emp­foh­len wer­den. Dies betrifft sämt­li­che For­men der Bear­bei­tung, die eine Spei­che­rung von Daten in der Cloud von Micro­soft umfas­sen. Hier sei als mil­de­res Mit­tel auf abseh­ba­re Zeit auf die Mög­lich­keit ver­wie­sen, sol­che Appli­ka­tio­nen auf eige­nen Rechen­zen­tren betrei­ben zu las­sen und ledig­lich die Aktua­li­sie­run­gen über den Cloud­dienst vor­zu­neh­men. Alter­na­tiv kann eine klas­si­sche Aus­la­ge­rung in Rechen­zen­tren eines Drit­ten, der nicht dem U.S.-amerikanischen Recht unter­steht, ins Auge gefasst wer­den. Die­se Ein­schät­zung bleibt im Lich­te der künf­ti­gen recht­li­chen und tech­ni­schen Ent­wick­lung ste­tig zu überprüfen.

Kri­ti­sche Anmerkungen

Argu­men­te vs. Terminologie

Das Gut­ach­ten bie­tet in fol­gen­den Punk­ten Anlass für Kri­tik. Dazu sind zunächst die inhalt­li­chen Argu­men­te von ter­mi­no­lo­gi­schen Aus­füh­run­gen zu unter­schei­den, was nicht leicht­fällt. Aber ter­mi­no­lo­gi­scher Natur sind zunächst die Aus­füh­run­gen zum Recht auf infor­ma­tio­nel­le Selbst­be­stim­mung. Die­ses Recht ist als genui­nes Recht kaum begrün­det:

  • Die Autoren gehen vom Volks­zäh­lungs-Urteil des deut­schen Bun­des­ver­fas­sungs­ge­richts aus, das ein sol­ches Recht gese­hen hat. In der Schweiz hat das Bun­des­ge­richt den Begriff des Rechts auf infor­ma­tio­nel­le Selbst­be­stim­mung wie­der­holt ver­wen­det. Die Autoren zeich­nen die­se Ent­wick­lung nach, eben­so wie die Ver­wei­sun­gen des Gesetz­ge­bers auf die­sen Begriff.
  • Aller­dings räu­men sie ein, dass der Gehalt die­ses Rechts erst durch Aus­le­gung von Art. 13 BV und des ein­schlä­gi­gen Geset­zes­rechts erschlos­sen wer­den kann. Dar­aus folgt, dass die infor­ma­tio­nel­le Selbst­be­stim­mung im Kern nur ein Begriff ist, der kei­ne nor­ma­ti­ve Kraft hat; er ist daher bloss eine begriff­li­che Klam­mer für das nach den übli­chen Regeln aus­zu­le­gen­de Ver­fas­sungs- und Gesetzesrecht.
  • Es fragt sich daher, ob der Aus­druck der infor­ma­tio­nel­len Selbst­be­stim­mung wirk­lich tref­fend ist – eine zwei­fel­haf­te, aber wohl seman­ti­sche Fra­ge; als Quel­le der Aus­le­gung taugt er aber wenig. Die Autoren lei­ten aus die­sem Begriff denn auch kaum eine kon­kre­te Fol­ge­rung ab.

Eben­falls ter­mi­no­lo­gi­scher Natur sind die Bezug­nah­men auf die ver­schie­de­nen “Ein­griffs­mo­men­te” einer Daten­be­ar­bei­tung. Die Autoren ver­tre­ten, dass ver­schie­de­ne “Ein­griffs­mo­men­te” einer Daten­be­ar­bei­tung (bspw. Art der Daten, Bear­bei­tungs­zweck, Art und Umfang der Bear­bei­tung, die wei­te­ren Umstän­de der Bear­bei­tung etc., also die “Mit­tel der Bear­bei­tung”) je für sich genom­men nach Art. 36 BV legi­ti­miert wer­den müs­sen, und dass die Bear­bei­tung zusätz­lich auch ins­ge­samgt zumut­bar sein muss. Das ist rich­tig, sagt aber wenig: Ob man die Vor­aus­set­zun­gen von Art. 36 BV auf ein­zel­ne Ein­griffs­mo­men­te oder eine Bear­bei­tung ins­ge­samt anwen­det, spielt kei­ne Rol­le; so oder anders ist die Schwe­re des Ein­griffs mass­ge­bend, und die­se kann sich selbst­ver­ständ­lich aus ein­zel­nen Aspek­ten wie etwa der Daten­spei­che­rung oder ihrem Zusam­men­wir­ken oder bei­dem ergeben.

Inhalt­li­cher Punkt: Kontrollverlust

Bei der eigent­li­chen Prü­fung der im Zusam­men­hang mit einer Cloud-Aus­la­ge­rung iden­ti­fi­zier­ten Ein­griffs­mo­men­te und damit dem Kern der Fra­ge­stel­lung kom­men die Autoren zum Schluss, dass mit der Aus­la­ge­rung ein recht­li­cher und fak­ti­scher Kon­troll­ver­lust ver­bun­den ist. Es ist die­ser Kon­troll­ver­lust, der sie zum Schluss führt, dass die bestehen­den gesetz­li­chen Grund­la­gen nicht genügen.

Sie begin­nen hier mit der Fest­stel­lung, dass die bestehen­den Gut­ach­ten zum The­ma mit der nied­ri­gen Wahr­schein­lich­keit eines Behör­den­zu­griffs argu­men­tie­ren, und dies sogar zu Recht, dass sie aber ausser Acht las­sen, dass bereits die Spei­che­rung in der Cloud ein eige­nes Ein­griffs­ele­ment dar­stel­le, das sepa­rat zu prü­fen sei.

Das ist kon­zep­tio­nell sicher rich­tig, aber nicht neu – wenn die Spei­che­rung eine Gefahr dar­stel­len kann, ist sie selbst­ver­ständ­lich nach den Kri­te­ri­en von Art. 36 BV zu prü­fen, ob man sie als “Ein­griffs­ele­ment” bezeich­net oder nicht. Glass und Sche­fer gehen von einem mit der blo­ssen Spei­che­rung in einer US-Cloud ver­bun­de­nen, erhöh­ten Risi­ko  im Wesent­li­chen des­halb aus, weil der US CLOUD Act bzw. der durch ihn ange­pass­te Stored Com­mu­ni­ca­ti­ons Act einen Zugriff in Umge­hung der Rechts­hil­fe, in Ver­let­zung des Trans­pa­renz- und des Zweck­bin­dungs­grund­sat­zes und in Ver­let­zung der Cyber­crime Con­ven­ti­on ermögliche.

Die­se Aus­le­gung des CLOUD Act trifft nicht zu:

  • Die The­se, dass eine Spei­che­rung in einer Cloud eines US-Anbie­ters eine Vor­rats­da­ten­hal­tung zuhan­den der US-Behör­den dar­stel­le, beruht auf der Über­le­gung, dass ein Zugriff nach dem SCA gegen Art. 32 der Cyber­crime Con­ven­ti­on (CCC) ver­sto­sse. Art. 32 CCC sieht vor, dass Behör­den eines Ver­trags­staats auf Daten im Hoheits­ge­biet einer ande­ren Ver­trags­par­tei im Wesent­li­chen nur mit der Zustim­mung der­je­ni­gen Per­son zugrei­fen dür­fen, die über die­se Daten ver­fü­gen darf (z.B. ein loka­ler ISP; dazu BGE 141 IV 108). Aller­dings sieht Art. 18 CCC vor, dass auf Daten im Aus­land zugrei­fen darf, wer über die­se Daten Besitz oder Kon­trol­le hat. Das kann Micro­soft USA sein, ist aber auch von der kon­kre­ten Aus­ge­stal­tung der Dien­ste abhän­gig. Dies ent­spricht mehr oder weni­ger dem SCA (§ 2713), der folg­lich inso­weit nicht gegen in der Schweiz aner­kann­te Grund­re­geln verstösst.
  • Es trifft nicht zu, dass ein Pro­vi­der im Fall eines Her­aus­ga­be­be­fehls den Kun­den kei­nes­falls infor­mie­ren darf. Das ist von der Rechts­grund­la­ge des Her­aus­ga­be­be­fehls abhän­gig – bei einer Sub­poe­na oder einer gericht­li­chen Anord­nung ist die Infor­ma­ti­on zumin­dest nicht grund­sätz­lich aus­ge­schlos­sen (SCA § 2703(b)(1)).
  • Unzu­tref­fend ist auch, dass sich ein US-Anbie­ter nur dann gegen einen Zugriff von US-Behör­den gestützt auf den SCA weh­ren kann, wenn ein Exe­cu­ti­ve Agree­ment geschlos­sen wur­de. Fehlt es, kann er sich zwar nicht dar­auf beru­fen, dass eine Her­aus­ga­be das Recht eines ande­ren Staats ver­let­zen wür­de, aber es bleibt der Ein­wand, eine “Comi­ty Ana­ly­sis” ste­he der Her­aus­ga­be ent­ge­gen (§ 2703(h)(2)(B)(ii) und (3)).
  • Die Zugriffs­mög­lich­kei­ten der Behör­den nach dem SCA sind kei­nes­wegs “unbe­grenzt”, wie die Autoren schrei­ben. Sie set­zen viel­mehr vor­aus, dass ein War­rant, eine Sub­poe­na oder ein Gerichts­be­schluss ergan­gen sind. Damit ist nichts über die Vor­aus­set­zun­gen die­ser Instru­men­te gesagt, aber sie sind nicht vor­aus­set­zungs­los und “unbe­grenzt” verfügbar.

Auf eini­ge die­ser Punk­te gehen die Autoren im Adden­dum ein. Da sie an den Schluss­fol­ge­run­gen des Gut­ach­tens aber fest­hal­ten, bleibt die Kri­tik relevant.

Was bleibt

Die Argu­men­ta­ti­on von Glass und Sche­fer ist grund­sätz­lich kon­si­stent, indem sie her­aus­ar­bei­ten, dass schwe­re­re Grund­rechts­ein­grif­fe einer aus­drück­li­chen gesetz­li­chen Grund­la­ge bedür­fen, d.h. dass hier eine mit­tel­ba­re gesetz­li­che Grund­la­ge durch Auf­ga­ben­zu­wei­sung nicht mehr aus­rei­chend ist. Dem ist nichts ent­ge­gen­zu­hal­ten. In der Sache argu­men­tie­ren sie aber stark – nicht aus­schliess­lich – mit einer Aus­le­gung des Stored Com­mu­ni­ca­ti­ons Act, die nicht geteilt wer­den kann. Ent­spre­chend sind auch ihre Schluss­fol­ge­run­gen abzulehnen.

Rich­tig ist aber jeden­falls der Hin­weis auf einen gewis­sen Kon­troll­ver­lust und eine Lie­fe­ran­ten­ab­hän­gig­keit. Ob die­se Aspek­te für sich genom­men nach einer beson­de­ren gesetz­li­chen Grund­la­ge rufen, lässt das Gut­ach­ten offen, weil es eben nicht davon aus­geht, dass nur die­se Aspek­te mass­ge­bend sind.

Damit bleibt es dabei, dass die Risi­ken eines Behör­den­zu­griffs zu prü­fen sind und dass vor allem die Wahr­schein­lich­keit des Zugriffs – und natür­lich auch das Gewicht sei­ner Fol­gen – mass­ge­bend sind. Hier hal­ten die Autoren die Rosen­thal-Metho­de nicht für unge­eig­net, auch wenn sie gewis­se Män­gel erken­nen (die man aber nicht als Män­gel bezeich­nen kann; sie sind viel­mehr der Metho­de imma­nent, die nicht für sich in Anspruch nimmt, alle Fra­gen zu beant­wor­ten). Im Ergeb­nis kann man also kon­sta­tie­ren, dass das Gut­ach­ten auf die Beur­tei­lung von Aus­la­ge­run­gen durch öffent­li­che Orga­ne kei­nen Ein­fluss haben sollte.

Anmer­kun­gen von David Rosenthal

Wie notiert hat auch David Rosen­thal aus­führ­li­che Anmer­kun­gen zum Gut­ach­ten ver­fasst, die hier abruf­bar sind. Soweit sie sich mit den obi­gen Anmer­kun­gen inhalt­lich decken, sei­en sie hier nicht wie­der­holt. Er hält aber zusätz­lich fol­gen­de Punk­te fest:

  • Das schwei­ze­ri­sche Recht kennt Her­aus­ga­be­be­feh­le, die dem SCA ver­gleich­bar sind. Es ist auch des­halb falsch zu sagen, der SCA sei mit Grund­sät­zen des schwei­ze­ri­schen Rechts schwer vereinbar.
  • Die im Gut­ach­ten emp­foh­le­ne “end-to-end”-Verschlüsselung für sen­si­ble Daten ist zumin­dest für M365 weder geeig­net noch not­wen­dig; einem Behör­den­zu­griff kann auch mit weni­ger ein­schnei­den­den Mass­nah­men ent­ge­gen­ge­wirkt werden.
  • Es ist nicht rele­vant, ob in den USA ein ange­mes­se­nes Daten­schutz­ni­veau herrscht (was mit dem Pri­va­cy Frame­work auch aus schwei­ze­ri­scher Optik in abseh­ba­rer Zeit aber der Fall sein dürf­te). Der Kun­de gibt Daten an Micro­soft in Irland bekannt. Aus den USA erfol­gen Zugrif­fe höch­stens aus­nahms­wei­se, und dann nicht zwin­gend auf Personendaten.
  • Man kann nicht sagen, eine loka­le Spei­che­rung von Per­so­nen­da­ten sei siche­rer als eine Spei­che­rung in der Cloud. Man muss viel­mehr berück­sich­ti­gen, dass bei M365 dem “mini­ma­len Kon­troll­ver­lust” im Bereich von Behör­den­zu­grif­fen ein “deut­lich höhe­rer ‘Kon­troll­ge­winn’ beim Schutz vor Hackern und ande­ren Gefah­ren” gegenübersteht.
  • Die grund­sätz­li­che Geeig­net­heit der Metho­de Rosen­thal wird im Gut­ach­ten bestä­tigt. Mass­ge­bend bleibt die Ein­tritts­wahr­schein­lich­keit eines aus­län­di­schen Behör­den­zu­griffs. Die­se kann die Metho­de plau­si­bel darstellen.

Behörde

Gebiet

Themen

Ähnliche Beiträge

Newsletter