- Das Gutachten zur Public Cloud von Zürich gilt als rechtlich zulässig, unter Berücksichtigung von Datensicherheit und Verhältnismässigkeit.
- Eine Nutzung von Cloud-Diensten ist erlaubt, wenn reife Lösungen gewählt und Geheimnisschutz gewährleistet wird.
- US CLOUD Act muss in der Analyse bezüglich Zugriff durch ausländische Behörden berücksichtigt werden, um Rechtsverletzungen zu vermeiden.
Die Dienstabteilung «Organisation und Informatik der Stadt Zürich» (OIZ) ist IT-Provider für die stadt-zürcherischen Organisationseinheiten. Als solche hat das OIZ ein Gutachten zur “Rechtmässigkeit von Public Cloud Services” bei Laux Lawyers in Auftrag gegeben. Das Gutachten ist auf den 16. September 2021 datiert und wurde am 28. August 2022 veröffentlicht (siehe hier).
Allgemeines
Das umfangreiche Gutachten ist gegliedert in
- konzeptionelle und rechtliche Grundlagen;
- Anwendung der Grundlagen auf ausgewählte Zugriffsszenarien;
- Beantwortung der Gutachterfragen und Empfehlungen;
- Anhänge.
Es enthält zudem “Fact Sheets” mit Vertiefungen einiger Punkte im Anschluss an das eigentliche Gutachten.
Die Gutachterfragen waren folgende:
1. Darf eine Organisationseinheit der Stadt Zürich Public Cloud Services nutzen?
2. Gilt dies auch für Informationen mit besonderem Schutzbedarf (vertrauliche oder streng vertrauliche Informationen)?
3. Verändert sich die Analyse, je nachdem, welcher Rechtsordnung die Cloud-Anbieterin oder eine ihrer Gruppengesellschaften unterstehen (Sitz im Ausland, namentlich in den USA)?
4. Verändert sich die Analyse, je nachdem, wo die in den Public Cloud Services gespeicherten Datengehalten werden (Data at Rest) (Datenstandort in der Schweiz bzw. im Ausland, namentlich in den USA?
5. Verändert sich die Analyse, je nachdem, ob Personen aus dem Ausland (namentlich aus den USA) auf die in den Public Cloud Services gespeicherten Daten zugreifen können?Die Fragen sind jeweils unter den Aspekten Amtsgeheimnis sowie Personendaten zu beurteilen; die Analyse erfolgt auf Basis des Strafgesetzbuches, allgemeiner Überlegungen des städtischen bzw. kantonalen Verwaltungsrechts sowie auf Basis des anwendbaren Datenschutzgesetzes.
Vom Gutachten ausgeschlossen ist
die Prüfung der Faktenlage von einzelnen Cloud-Angeboten der verschiedenen kommerziellen Cloud-Anbieterinnen, d.h. eine Prüfung der konkreten Ausgestaltung und Angemessenheit vertraglicher, organisatorischer und technischer Schutzmassnahmen im Lichte der Anforderungen an die Datensicherheit und den Informationsschutz.
Ebenfalls ausgeschlossen ist die Frage, wie mit dem Schrems II-Thema umzugehen ist und damit auch die Frage, welche Bedeutung FISA hat. Das Gutachten beschränkt sich beim US-Recht entsprechend auf die Prüfung nach dem CLOUD Act bzw. dem Stored Communications Act.
Im Ergebnis bestätigt das Gutachten, dass eine Auslagerung nicht unzulässig ist, wenn man es richtig macht.
Wir geben im Folgenden eine Übersicht über die wesentlichen Aussagen, wobei die folgenden Anmerkungen nicht dem Aufbau des Gutachtens folgen.
Zulässigkeit der Cloud-Nutzung als solche
Wieso darf eine Cloud – auch in der Schweiz – überhaupt eingesetzt werden? Die Autoren erinnern dazu an allgemeine Grundsätze des Staatsrechts (Art. 5 BV – Legalitätsgrundsatz, Verhältnismässigkeitsgrundsatz, Handeln im öffentlichen Interesse) und halten dann fest, aus dem Verhältnismässigkeitsgrundsatz leite sich
die Pflicht der Behörde zur Auswahl reifer und sicherer Cloud-Lösungen ab
und
Zweitens leitet sich aus einer technisch reifen Lösung direkt die verwaltungsrechtliche Rechtmässigkeit der Cloud-Nutzung ab. Hält die Behörde die Verhältnismässigkeit ein, dann ist die Behördentätigkeit erlaubt – dies ist die direkte Ableitung aus Art. 5 Abs. 2
Im Ergebnis ist dem zustimmen, auch wenn die Verhältnismässigkeit nicht Rechtsgrundlage, sondern Schranke ist.
Ausgangspunkt der weiteren Analyse ist der Begriff der Offenbarung. Bevor darauf eingegangen ist, wird vorausgeschickt, dass Geheimnisschutz “Perimeterschutz” heisse. Auch die Cloud-Infrastruktur könne zum Perimeter der Nutzerin gehören, sofern diese die dort gespeicherten Informationen schützt. Beides ist richtig und grundsätzlich nicht strittig.
“Einbindung” des Providers als Hilfsperson
Eine erste Frage ist jene, ob das Amtsgeheimnis i.S.v. Art. 320 StGB überhaupt eine Bekanntgabe an eine Hilfsperson erlaubt. Das ist faktisch wohl unbestritten, auch wenn Art. 320 StGB die Hilfsperson vorläufig noch nicht nennt (zur Revision hier) und u.a. der Bundesrat eine andere Auffassung hat oder hatte. Das Gutachten verlangt aber, dass die Hilfsperson als solche einzubinden sei, d.h. subordiniert werden muss. Dem ist zuzustimmen. Auch der Hinweis ist richtig, dass eine Bestätigung der Anbieterin, sie habe vom Geheimnischarakter der Daten Kenntnis, nur empfehlenswert und nicht rechtlich notwendig ist.
Allerdings:
Will die Stadt Zürich hingegen Cloud-Lösungen einsetzen, für deren Betrieb auch im Normalbetrieb in der Regel ein Klartextzugriff durch Mitarbeitende der Cloud-Anbieterin notwendig ist, dann muss die Stadt Zürich die Cloud-Anbieterin und (durch Überbindung der Geheimhaltungspflichten der Cloud-Anbieterin und Hinweis auf die Strafbarkeit) ihre Mitarbeitenden als Hilfspersonen in ihren Perimeter einbinden.
Nicht ganz klar wird hier, ob und ggf. wie auch die Mitarbeitenden der Cloud-Anbieterin selbst als Hilfspersonen einzubinden wären, aber die Autoren sind wohl so zu verstehen, dass die Einbindung der Mitarbeitenden – falls erforderlich – dadurch erfolgt, dass die Geheimhaltungspflichten der Cloud-Anbieterin überbunden und diese auf die Strafbarkeit bestimmter Offenbarungen hingewiesen wird. Das wäre auch der richtige Schluss, abgesehen davon, dass der Hinweis auf die Strafbarkeit rechtlich kaum zwingend ist. Es gäbe auch keine rechtliche Grundlage für ein “Datenschutzrevers” der Mitarbeitenden, ausser vielleicht in § 3 des Zürcher Gesetzes über die Auslagerung von Informatikdienstleistungen, soweit dieses Gesetz auf die Stadt Zürich überhaupt zur Anwendung kommt – aber dieser Teil von § 3 ist ein historischer Unfall aus der Zeit der Privatisierung von IT-Mitteln des Kantons.
“Offenbarung” gegenüber dem Cloud-Provider selbst
Zurück zum Begriff der Offenbarung, der ja nach dem Bundesgericht erst durch Kenntnisnahme und nicht ihre Ermöglichung vollendet wird (siehe aber hier). Hier vertreten die Autoren mit Bezug auf die Übermittlung an den Cloud-Provider folgendes:
[…] hat das Bundesgericht präzisiert, dass die Kenntnisnahme durch die unbefugte Dritte […] zur Vollendung der Tat erforderlich sei. Die Erfahrung zeigt, dass technisch-organisatorische Strategien zum Schutz vor Klartextzugriffen bei Einsatz von reifen Cloud-Angeboten möglich sind […]. Bei solchen kommt es im Normalbetrieb zu keinen Klartextzugriffen. Also liegt keine Offenbarung vor. […] Strafbarkeit nach Art. 320 Ziff. 1 StGB ist damit ausgeschlossen.
Dem Normalbetrieb definiert das Gutachten wie folgt:
Normalbetrieb meint, dass das Cloud-Angebot wie geplant von der Anbieterin betrieben wird. Dies steht im Gegensatz zu den ausserordentlichen Situationen, die dem Normalbetrieb gerade nicht zuzurechnen sind (z.B. Konkurs der Anbieterin, Behördenzugriff auf das Cloud-Angebot, Zugriffe von Kriminellen auf das Cloud-Angebot).
Es fehlt aber eine Begründung, inwiefern es auf diesen “Normalbetrieb” ankommt. Der objektive Tatbestand der Amtsgeheimnisverletzung wird jedenfalls durch Kenntnisnahme durch einen Unbefugten vollendet. Ob dieser im Normalbetrieb oder ausserhalb erfolgt, spielt für den Offenbarungsbegriff als solchen keine Rolle. Der Normalbetrieb kann aber folgende Bedeutung haben:
- man kann vertreten, dass sich der Geheimniswille i.d.R. nur auf eine Offenbarung bezieht, mit der vernünftigerweise zu rechnen ist. Aus dieser Sicht wäre eine Offenbarung ausserhalb des Normalbetriebs deshalb nicht objektiv tatbestandsmässig, weil der Geheimniswille nicht so weit reicht und folglich auch kein Geheimnis verletzt werden kann. Allerdings wäre das nur für Privatgeheimnisse überzeugend, beim Amtsgeheimnis also für Geheimnisse, an denen letztlich nur der mit dem Staat kommunizierende Private ein Interesse hat. Bei Staatsgeheimnissen würde dies nicht oder jedenfalls nicht ohne Schutzbedarfsanalyse gelten;
- man kann vertreten, dass sich der (Eventual-)Vorsatz nur auf den Normalbetrieb beziehen kann, weil eine Behörde davon ausgehen dürfe, eine Kenntnisnahme durch einen Unbefugten ausserhalb des Normalbetriebs sei so unwahrscheinlich, dass sie damit nicht mehr zu rechnen hat (hier verläuft die Grenze zwischen dem Eventualvorsatz und der bewussten Fahrlässigkeit). Dann wäre der Normalbetrieb eine andere Terminologie für den voraussehbaren Betrieb;
- beim US CLOUD Act kommt es u.a. darauf an, ob eine der US Jurisdiction unterliegende Stelle für die herauszugebenden Daten “custody, possession or control” hat, und hier kann der “Normalbetrieb” – je nachdem, was darunter verstanden wird – eine Rolle spielen.
Im Kapitel zum Begriff der Offenbarung kommen die Autoren anschliessend weiter auf die Kausalität zu sprechen, weil durch die Speicherung in einer Cloud ein strafbarer Versuch der Offenbarung an Mitarbeitende des Cloud-Providers vorliegen könnte. Bei einer Kenntnisnahme von Klartextdaten durch solche Mitarbeitenden könne zwar eine Offenbarung vorliegen, aber die Speicherung in der Cloud sei deshalb noch kein Versuch, weil diese Speicherung für eine spätere verpönte Kenntnisnahme nicht adäquat kausal wäre. Man könnte dies allerdings auch als Frage des subjektiven Tatbestands betrachten, nachdem die Adäquanz an der – wenn auch abstrahierten – Vorhersehbarkeit anknüpft. Im Ergebnis ist aber so oder anders richtig, dass eine Bestrafung wegen Versuchs grundsätzlich nicht in Frage kommen dürfte.
Die Autoren prüfen anschliessend weiter, ob bei einem Klartextzugriff durch Mitarbeitende des Providers eine strafbare Offenbarung durch Unterlassung vorliegen könnte. Sie verneinen dies ebenfalls für den Fall, dass die Kundin des Providers, die Stadt Zürich, ausreichende Sicherheitsmassnahmen gegen solche Zugriffe getroffen hat. Das ist richtig, wenn auch kaum eine Frage der Unterlassung (fehlten Sicherheitsmassnahmen, wäre eine Offenbarung durch das aktive Handeln der Auslagerung begangen).
Dem Ergebnis ist jedenfalls beizupflichten. Es ist inzwischen wohl anerkannt, dass die Speicherung von Amtsgeheimnissen in einer Cloud grundsätzlich keine strafbare Offenbarung an den Provider darstellt.
Zugriffe durch (vor allem ausländische) Behörden
Der interessanteste Punkt ist der Zugriff durch ausländische Behörden und hier der Umgang mit dem berüchtigten US CLOUD Act. Das Gutachten diskutiert zunächst den Behördenzugriff durch schweizerische und anschliessend jenen durch ausländische Behörden. Bei der Schweiz kann man sich knapp fassen: Greifen schweizerische Behörden im Rahmen des schweizerischen Rechts auf Daten zu, dürfen sie das. Ob sie das bei der Stadt selbst oder einer Hilfsperson tun, spielt keine Rolle. Greifen Behörden im Ausland auf Daten zu, ist das etwas anderes, weil das ausländische Recht eben ausländisch ist und folglich keine Offenbarung erlaubt, unter Vorbehalt der Amts- und Rechtshilfe.
“Garantieverantwortung” (nur) der Eidgenossenschaft?
Das Gutachten diskutiert in diesem Zusammenhang den US CLOUD Act mit interessanten Überlegungen. Ausgangspunkt dieser Überlegungen ist die “Garantieverantwortung”, die die Eidgenossenschaft habe, nach Art. 29a BV (Rechtsweggarantie). Diese Garantie werde nicht verletzt, wenn
im Fall eines allfälligen Klartextzugriffs auf Informationen im Ausland im dortigen Verfahren ein Schutzniveau gilt, das im Resultat jenem in der Schweiz entspricht.
Zudem könne sie
jedenfalls auch dann ordnungsgemäss umgesetzt sein, wenn die Herausgabe von Beweismitteln mit Belegenheitsort im Ausland an Private – nämlich die Cloud-Anbieterinnen mit Sitz oder Hauptsitz in den USA– delegiert wird.
Das ist wohl so zu verstehen, dass die Schweiz – neben der Frage des Amtsgeheimnisses – auch sicherzustellen habe, dass ihre Bürger nicht ausländischem Recht ausgeliefert werden, das ihre Grundrechte nicht mit Füssen tritt. Wäre dies aufgrund des CLOUD Act der Fall, wäre demnach nicht nur das Amtsgeheimnis verletzt, sondern auch die Bundesverfassung. Allerdings: Die USA verfügten über ein “Justizwesen von jahrhundertealter Tradition”, “das historisch auch für die Schweiz durchaus eine Vorbildwirkung entfaltet hat”. Es sei daher kaum davon auszugehen, dass der CLOUD Act der Bekanntgabe unter dem Titel der Rechtsweggarantie entgegenstehe (das ist im Ergebnis einleuchtend, zumal der CLOUD Act bzw. der Stored Communication Act nicht zu den Rechtsgrundlagen gehört, denen der EuGH in Schrems II rechtsstaatliche Mangelhaftigkeit bescheinigt hat).
Entscheidend sei aber eher ein formales Argument: Masssgebend sei zwar die Rechtsweggarantie, aber diese sei das Problem des Bundes und nicht der Stadt Zürich.
Es geht […] also darum, ob die Stadt Zürich die Garantieverantwortung der Eidgenossenschaft […] vereitelt, wenn sie ein Cloud-Angebot mit einem derartigen Auslandsbezug einsetzt. Der Hinweis darauf, dass es sich um eine Problematik handelt, mit der sich die Eidgenossenschaft konfrontiert sieht, legt wiederum die folgende Frage nahe: Ist es Aufgabe der Stadt Zürich, das Problem der Eidgenossenschaft zu lösen? Die Frage stellen heisst, sie zu beantworten: Nein. Es geht nur um die Frage, ob die Stadt Zürich in rechtsverletzender Weise die Garantieverantwortung der Eidgenossenschaft vereitelt. Dies kann verneint werden […]; denn es wird im Resultat jeweils zu einem direkten Einbezug der stadtzürcherischen Stellen kommen, wenn sich ein Anwendungsfall unter dem CLOUD Act ergeben sollte. In einem solchen Fall kann die Stadt Zürich sicherstellen, dass die Eidgenossenschaft ihre Garantieverantwortung wahrnehmen kann. Jedenfalls wird die Stadt Zürich durch geeignetes Vorgehen sicherstellen, dass sie Strafbarkeit nach Art. 271 StGB im Fall einer an sie gerichteten Anfrage abwenden kann. Eine Rechtsverletzung kann somit systematisch ausgeschlossen werden.
Unklar bleibt hier z.B., ob Art. 29a BV als instutionelle Garantie des effektiven Zugangs zum Gericht einer Datenbekanntgabe ins Ausland durch ein öffentliches Organ entgegenstehen kann, wenn dort Rechtsschutzdefizite herrschen. Wenn dem so ist, würde dies aber auch für kantonale Behörden gelten müssen (abgesehen davon, dass auch die Kantonsverfassung Zürich eine Rechtsweggarantie enthält). Das Gutachten vertieft diese Fragen aber bewusst nicht, aber sie seien bei anderen Rechtsordnungen als der US-amerikanischen allenfalls aufzunehmen.
Abgeleitete Souveränität des Providers?
Im Zusammenhang mit dem Risiko eines Behördenzugriffs fragt sich weiter, wie und gestützt worauf die Stadt Zürich bei einem Anwendungsfall des CLOUD Act einbezogen würde. Der CLOUD Act bzw. vielmehr der Stored Communications Act sieht dies jedenfalls nicht ausdrücklich vor (§ 2703(b)(1) des Stored Communications Act).
Die Autoren weisen zunächst auf ein Manual der US-Behörden hin, das sich mit der Durchsuchung und Beschlagnahme elektronischer Daten in Strafuntersuchungen befasst. Sie bringen dem Manual dabei grosses Vertrauen entgegen. Bsp. sagt das Manual, “special procedures designed to uphold those users’ privacy interests may be appropriate”, und “agents might inform the magistrate judge in the search warrant affidavit that they will take steps to ensure the confidentiality of the accounts” – daraus schliesst das Gutachten, ein Beamtin, die beim Gericht um einen warrant ersucht, “müsse” dabei angeben, wie sie mit Geheimnissen einer Drittpartei umgehen würde, oder das Manual “weise Beamte entsprechend an”. Das ist eine wohlwollende Lesart. Interessant sind aber auch die folgenden Hinweise zum Umgang des US-Rechts mit der Tatsache, dass die von einem der US Jurisdiction unterstehenden Provider herauszugebenden Daten einem Amtsgeheimnis unterstehen.
Die Autoren kommen hier zu folgenden Ergebnissen:
Obwohl die angegangenen Cloud-Anbieter selbst keinen eigenen Anspruch auf souveräne Immunität geniessen, ist davon auszugehen, dass Cloud-Anbieter als Reaktion auf Informationsanfragen der US-Strafverfolgungsbehörden im Rahmen des CLOUD Acts tatsächlich eine (von ihrem Cloud-Kunden, welcher eine Behörde eines ausländischen souveränen Staats ist) abgeleitete souveräne Immunität geltend machen können. In der Vergangenheit haben US-Gerichte den Schutz einer solchen abgeleiteten souveränen Immunität für private US-Unternehmen anerkannt, die auf Anweisung ausländischer Regierun-gen handelten. Eine solch abgeleitete souveräne Immunität ist aus Sicht des Cloud-Anbieters dort anzunehmen, wo die Nutzung der Cloud-Dienste durch die ausländische Regierung resp. deren Behörde im Rahmen der Ausführung von hoheitlichen resp. Verwaltungs-Aufgaben geschieht, also mithinauch überall dort, wo vom Amtsgeheimnis erfasste Informationen in den Cloud-Diensten bearbeitet oder gespeichert werden.
Diese Schlussfolgerungen werden auf mehrere Quellen und Urteile amerikanischer Gerichte gestützt.
Zurück zu Art. 320 StGB
Ausgangspunkt bleibt indessen Art. 320 StGB (allgemeines Amtsgeheimnis; und auch Art. 273 StGB, den die Autoren – zu Recht – gleich behandeln). Die Frage lautet also, ob das Amtsgeheimnis verletzt sein kann, wenn eine US-Behörde ohne Amts- oder Rechtshilfe nach ihrem eigenen Recht auf Kundendaten zugreift.
Geht man davon aus, dass das Amtsgeheimnis sowohl Privatgeheimnisse als auch genuin staatliche Geheimnisse schützt, wäre nach beiden Schutzrichtungen zu fragen, wie weit der Geheimnisschutz jeweils reicht. Bei den Privatgeheimnissen dürfte auch hier von den berechtigten Geheimniserwartungen der Privaten auszugehen sein. Hier ist die Frage naheliegend, ob Personen in der Schweiz im Verkehr mit Behörden nicht erwarten dürfen, dass ihre Daten nicht in ausländische Hände gelangen. Bejaht man diese Frage, muss man weiter fragen, welcher Schutz denn berechtigterweise erwartet wird. Die naheliegende und m.E. richtige Antwort ist: ein angemessener, kein absoluter. Dann ist man zurück bei der Risikoeinschätzung, die das Gutachten auch verlangt.
Hier sind die Ausführungen zur Einrede des Providers, die Daten unterstünden einem ausländischen Amtsgeheimnis, beachtlich, so sie das Risiko einer Offenbarung an ausländische Behörden tatsächlich reduzieren. Ebenfalls zuzustimmen ist der Feststellung des Gutachtens, dass es sehr unwahrscheinlich ist, dass US-Behörden auf Daten der Stadt Zürich zugreifen.
Zur Wirkung der Einwilligung der vorgesetzten Behörde
Die Stadt Zürich hat offenbar das Bedürfnis, sicherheitshalber die in Art. 320 Ziff. 2 StGB vorgesehene “schriftliche Einwilligung der vorgesetzten Behörde” in die Offenbarung einzuholen. Das Gutachten diskutiert hin diesem Zusammenhang die Wirkung dieser Einwilligung oder Genehmigung (mit Bezug auf ein echtes Staatsgeheimnis ist es eine Einwilligung, mit Bezug auf die mitgeschützten Privatgeheimnisse eher eine Genehmigung), besonders wie eine solche Einwilligung im Voraus erteilt werden kann und was ihr Verhältnis ist zu einem kantonal-datenschutzrechtlichen Genehmigungserfordernis.