Laux Lawy­ers: Gut­ach­ten zur Cloud-Nut­zung durch die Stadt Zürich

Die Dienst­ab­tei­lung «Orga­ni­sa­ti­on und Infor­ma­tik der Stadt Zürich» (OIZ) ist IT-Pro­vi­der für die stadt-zür­che­ri­schen Orga­ni­sa­ti­ons­ein­hei­ten. Als sol­che hat das OIZ ein Gut­ach­ten zur “Recht­mä­ssig­keit von Public Cloud Ser­vices” bei Laux Lawy­ers in Auf­trag gege­ben. Das Gut­ach­ten ist auf den 16. Sep­tem­ber 2021 datiert und wur­de am 28. August 2022 ver­öf­fent­licht (sie­he hier).

All­ge­mei­nes

Das umfang­rei­che Gut­ach­ten ist geglie­dert in

  • kon­zep­tio­nel­le und recht­li­che Grundlagen;
  • Anwen­dung der Grund­la­gen auf aus­ge­wähl­te Zugriffsszenarien;
  • Beant­wor­tung der Gut­ach­ter­fra­gen und Empfehlungen;
  • Anhän­ge.

Es ent­hält zudem “Fact She­ets” mit Ver­tie­fun­gen eini­ger Punk­te im Anschluss an das eigent­li­che Gutachten.

Die Gut­ach­ter­fra­gen waren folgende:

1. Darf eine Orga­ni­sa­ti­ons­ein­heit der Stadt Zürich Public Cloud Ser­vices nutzen?
2. Gilt dies auch für Infor­ma­tio­nen mit beson­de­rem Schutz­be­darf (ver­trau­li­che oder streng ver­trau­li­che Informationen)?
3. Ver­än­dert sich die Ana­ly­se, je nach­dem, wel­cher Rechts­ord­nung die Cloud-Anbie­te­rin oder eine ihrer Grup­pen­ge­sell­schaf­ten unter­ste­hen (Sitz im Aus­land, nament­lich in den USA)?
4. Ver­än­dert sich die Ana­ly­se, je nach­dem, wo die in den Public Cloud Ser­vices gespei­cher­ten Daten­ge­hal­ten wer­den (Data at Rest) (Daten­stand­ort in der Schweiz bzw. im Aus­land, nament­lich in den USA?
5. Ver­än­dert sich die Ana­ly­se, je nach­dem, ob Per­so­nen aus dem Aus­land (nament­lich aus den USA) auf die in den Public Cloud Ser­vices gespei­cher­ten Daten zugrei­fen können?

Die Fra­gen sind jeweils unter den Aspek­ten Amts­ge­heim­nis sowie Per­so­nen­da­ten zu beur­tei­len; die Ana­ly­se erfolgt auf Basis des Straf­ge­setz­bu­ches, all­ge­mei­ner Über­le­gun­gen des städ­ti­schen bzw. kan­to­na­len Ver­wal­tungs­rechts sowie auf Basis des anwend­ba­ren Datenschutzgesetzes.

Vom Gut­ach­ten aus­ge­schlos­sen ist

die Prü­fung der Fak­ten­la­ge von ein­zel­nen Cloud-Ange­bo­ten der ver­schie­de­nen kom­mer­zi­el­len Cloud-Anbie­te­rin­nen, d.h. eine Prü­fung der kon­kre­ten Aus­ge­stal­tung und Ange­mes­sen­heit ver­trag­li­cher, orga­ni­sa­to­ri­scher und tech­ni­scher Schutz­mass­nah­men im Lich­te der Anfor­de­run­gen an die Daten­si­cher­heit und den Informationsschutz.

Eben­falls aus­ge­schlos­sen ist die Fra­ge, wie mit dem Schrems II-The­ma umzu­ge­hen ist und damit auch die Fra­ge, wel­che Bedeu­tung FISA hat. Das Gut­ach­ten beschränkt sich beim US-Recht ent­spre­chend auf die Prü­fung nach dem CLOUD Act bzw. dem Stored Com­mu­ni­ca­ti­ons Act.

Im Ergeb­nis bestä­tigt das Gut­ach­ten, dass eine Aus­la­ge­rung nicht unzu­läs­sig ist, wenn man es rich­tig macht.

Wir geben im Fol­gen­den eine Über­sicht über die wesent­li­chen Aus­sa­gen, wobei die fol­gen­den Anmer­kun­gen nicht dem Auf­bau des Gut­ach­tens folgen.

Zuläs­sig­keit der Cloud-Nut­zung als solche

Wie­so darf eine Cloud – auch in der Schweiz – über­haupt ein­ge­setzt wer­den? Die Autoren erin­nern dazu an all­ge­mei­ne Grund­sät­ze des Staats­rechts (Art. 5 BV – Lega­li­täts­grund­satz, Ver­hält­nis­mä­ssig­keits­grund­satz, Han­deln im öffent­li­chen Inter­es­se) und hal­ten dann fest, aus dem Ver­hält­nis­mä­ssig­keits­grund­satz lei­te sich

die Pflicht der Behör­de zur Aus­wahl rei­fer und siche­rer Cloud-Lösun­gen ab

und

Zwei­tens lei­tet sich aus einer tech­nisch rei­fen Lösung direkt die ver­wal­tungs­recht­li­che Recht­mä­ssig­keit der Cloud-Nut­zung ab. Hält die Behör­de die Ver­hält­nis­mä­ssig­keit ein, dann ist die Behör­den­tä­tig­keit erlaubt – dies ist die direk­te Ablei­tung aus Art. 5 Abs. 2

Im Ergeb­nis ist dem zustim­men, auch wenn die Ver­hält­nis­mä­ssig­keit nicht Rechts­grund­la­ge, son­dern Schran­ke ist.

Aus­gangs­punkt der wei­te­ren Ana­ly­se ist der Begriff der Offen­ba­rung. Bevor dar­auf ein­ge­gan­gen ist, wird vor­aus­ge­schickt, dass Geheim­nis­schutz “Peri­me­ter­schutz” hei­sse. Auch die Cloud-Infra­struk­tur kön­ne zum Peri­me­ter der Nut­ze­rin gehö­ren, sofern die­se die dort gespei­cher­ten Infor­ma­tio­nen schützt. Bei­des ist rich­tig und grund­sätz­lich nicht strittig.

Ein­bin­dung” des Pro­vi­ders als Hilfsperson

Eine erste Fra­ge ist jene, ob das Amts­ge­heim­nis i.S.v. Art. 320 StGB über­haupt eine Bekannt­ga­be an eine Hilfs­per­son erlaubt. Das ist fak­tisch wohl unbe­strit­ten, auch wenn Art. 320 StGB die Hilfs­per­son vor­läu­fig noch nicht nennt (zur Revi­si­on hier) und u.a. der Bun­des­rat eine ande­re Auf­fas­sung hat oder hat­te. Das Gut­ach­ten ver­langt aber, dass die Hilfs­per­son als sol­che ein­zu­bin­den sei, d.h. sub­or­di­niert wer­den muss. Dem ist zuzu­stim­men. Auch der Hin­weis ist rich­tig, dass eine Bestä­ti­gung der Anbie­te­rin, sie habe vom Geheim­nis­cha­rak­ter der Daten Kennt­nis, nur emp­feh­lens­wert und nicht recht­lich not­wen­dig ist.

Aller­dings:

Will die Stadt Zürich hin­ge­gen Cloud-Lösun­gen ein­set­zen, für deren Betrieb auch im Nor­mal­be­trieb in der Regel ein Klar­text­zu­griff durch Mit­ar­bei­ten­de der Cloud-Anbie­te­rin not­wen­dig ist, dann muss die Stadt Zürich die Cloud-Anbie­te­rin und (durch Über­bin­dung der Geheim­hal­tungs­pflich­ten der Cloud-Anbie­te­rin und Hin­weis auf die Straf­bar­keit) ihre Mit­ar­bei­ten­den als Hilfs­per­so­nen in ihren Peri­me­ter einbinden.

Nicht ganz klar wird hier, ob und ggf. wie auch die Mit­ar­bei­ten­den der Cloud-Anbie­te­rin selbst als Hilfs­per­so­nen ein­zu­bin­den wären, aber die Autoren sind wohl so zu ver­ste­hen, dass die Ein­bin­dung der Mit­ar­bei­ten­den – falls erfor­der­lich – dadurch erfolgt, dass die Geheim­hal­tungs­pflich­ten der Cloud-Anbie­te­rin über­bun­den und die­se auf die Straf­bar­keit bestimm­ter Offen­ba­run­gen hin­ge­wie­sen wird. Das wäre auch der rich­ti­ge Schluss, abge­se­hen davon, dass der Hin­weis auf die Straf­bar­keit recht­lich kaum zwin­gend ist. Es gäbe auch kei­ne recht­li­che Grund­la­ge für ein “Daten­schutz­re­vers” der Mit­ar­bei­ten­den, ausser viel­leicht in § 3 des Zür­cher Geset­zes über die Aus­la­ge­rung von Infor­ma­tik­dienst­lei­stun­gen, soweit die­ses Gesetz auf die Stadt Zürich über­haupt zur Anwen­dung kommt – aber die­ser Teil von § 3 ist ein histo­ri­scher Unfall aus der Zeit der Pri­va­ti­sie­rung von IT-Mit­teln des Kantons.

Offen­ba­rung” gegen­über dem Cloud-Pro­vi­der selbst

Zurück zum Begriff der Offen­ba­rung, der ja nach dem Bun­des­ge­richt erst durch Kennt­nis­nah­me und nicht ihre Ermög­li­chung voll­endet wird (sie­he aber hier). Hier ver­tre­ten die Autoren mit Bezug auf die Über­mitt­lung an den Cloud-Pro­vi­der folgendes:

[…] hat das Bun­des­ge­richt prä­zi­siert, dass die Kennt­nis­nah­me durch die unbe­fug­te Drit­te […] zur Voll­endung der Tat erfor­der­lich sei. Die Erfah­rung zeigt, dass tech­nisch-orga­ni­sa­to­ri­sche Stra­te­gien zum Schutz vor Klar­text­zu­grif­fen bei Ein­satz von rei­fen Cloud-Ange­bo­ten mög­lich sind […]. Bei sol­chen kommt es im Nor­mal­be­trieb zu kei­nen Klar­text­zu­grif­fen. Also liegt kei­ne Offen­ba­rung vor. […] Straf­bar­keit nach Art. 320 Ziff. 1 StGB ist damit ausgeschlossen.

Dem Nor­mal­be­trieb defi­niert das Gut­ach­ten wie folgt:

Nor­mal­be­trieb meint, dass das Cloud-Ange­bot wie geplant von der Anbie­te­rin betrie­ben wird. Dies steht im Gegen­satz zu den ausser­or­dent­li­chen Situa­tio­nen, die dem Nor­mal­be­trieb gera­de nicht zuzu­rech­nen sind (z.B. Kon­kurs der Anbie­te­rin, Behör­den­zu­griff auf das Cloud-Ange­bot, Zugrif­fe von Kri­mi­nel­len auf das Cloud-Angebot).

Es fehlt aber eine Begrün­dung, inwie­fern es auf die­sen “Nor­mal­be­trieb” ankommt. Der objek­ti­ve Tat­be­stand der Amts­ge­heim­nis­ver­let­zung wird jeden­falls durch Kennt­nis­nah­me durch einen Unbe­fug­ten voll­endet. Ob die­ser im Nor­mal­be­trieb oder ausser­halb erfolgt, spielt für den Offen­ba­rungs­be­griff als sol­chen kei­ne Rol­le. Der Nor­mal­be­trieb kann aber fol­gen­de Bedeu­tung haben:

  • man kann ver­tre­ten, dass sich der Geheim­nis­wil­le i.d.R. nur auf eine Offen­ba­rung bezieht, mit der ver­nünf­ti­ger­wei­se zu rech­nen ist. Aus die­ser Sicht wäre eine Offen­ba­rung ausser­halb des Nor­mal­be­triebs des­halb nicht objek­tiv tat­be­stands­mä­ssig, weil der Geheim­nis­wil­le nicht so weit reicht und folg­lich auch kein Geheim­nis ver­letzt wer­den kann. Aller­dings wäre das nur für Pri­vat­ge­heim­nis­se über­zeu­gend, beim Amts­ge­heim­nis also für Geheim­nis­se, an denen letzt­lich nur der mit dem Staat kom­mu­ni­zie­ren­de Pri­va­te ein Inter­es­se hat. Bei Staats­ge­heim­nis­sen wür­de dies nicht oder jeden­falls nicht ohne Schutz­be­darfs­ana­ly­se gelten;
  • man kann ver­tre­ten, dass sich der (Eventual-)Vorsatz nur auf den Nor­mal­be­trieb bezie­hen kann, weil eine Behör­de davon aus­ge­hen dür­fe, eine Kennt­nis­nah­me durch einen Unbe­fug­ten ausser­halb des Nor­mal­be­triebs sei so unwahr­schein­lich, dass sie damit nicht mehr zu rech­nen hat (hier ver­läuft die Gren­ze zwi­schen dem Even­tu­al­vor­satz und der bewuss­ten Fahr­läs­sig­keit). Dann wäre der Nor­mal­be­trieb eine ande­re Ter­mi­no­lo­gie für den vor­aus­seh­ba­ren Betrieb;
  • beim US CLOUD Act kommt es u.a. dar­auf an, ob eine der US Juris­dic­tion unter­lie­gen­de Stel­le für die her­aus­zu­ge­ben­den Daten “custo­dy, pos­ses­si­on or con­trol” hat, und hier kann der “Nor­mal­be­trieb” – je nach­dem, was dar­un­ter ver­stan­den wird – eine Rol­le spielen.

Im Kapi­tel zum Begriff der Offen­ba­rung kom­men die Autoren anschlie­ssend wei­ter auf die Kau­sa­li­tät zu spre­chen, weil durch die Spei­che­rung in einer Cloud ein straf­ba­rer Ver­such der Offen­ba­rung an Mit­ar­bei­ten­de des Cloud-Pro­vi­ders vor­lie­gen könn­te. Bei einer Kennt­nis­nah­me von Klar­text­da­ten durch sol­che Mit­ar­bei­ten­den kön­ne zwar eine Offen­ba­rung vor­lie­gen, aber die Spei­che­rung in der Cloud sei des­halb noch kein Ver­such, weil die­se Spei­che­rung für eine spä­te­re ver­pön­te Kennt­nis­nah­me nicht adäquat kau­sal wäre. Man könn­te dies aller­dings auch als Fra­ge des sub­jek­ti­ven Tat­be­stands betrach­ten, nach­dem die Adäquanz an der – wenn auch abstra­hier­ten – Vor­her­seh­bar­keit anknüpft. Im Ergeb­nis ist aber so oder anders rich­tig, dass eine Bestra­fung wegen Ver­suchs grund­sätz­lich nicht in Fra­ge kom­men dürfte.

Die Autoren prü­fen anschlie­ssend wei­ter, ob bei einem Klar­text­zu­griff durch Mit­ar­bei­ten­de des Pro­vi­ders eine straf­ba­re Offen­ba­rung durch Unter­las­sung vor­lie­gen könn­te. Sie ver­nei­nen dies eben­falls für den Fall, dass die Kun­din des Pro­vi­ders, die Stadt Zürich, aus­rei­chen­de Sicher­heits­mass­nah­men gegen sol­che Zugrif­fe getrof­fen hat. Das ist rich­tig, wenn auch kaum eine Fra­ge der Unter­las­sung (fehl­ten Sicher­heits­mass­nah­men, wäre eine Offen­ba­rung durch das akti­ve Han­deln der Aus­la­ge­rung begangen).

Dem Ergeb­nis ist jeden­falls bei­zu­pflich­ten. Es ist inzwi­schen wohl aner­kannt, dass die Spei­che­rung von Amts­ge­heim­nis­sen in einer Cloud grund­sätz­lich kei­ne straf­ba­re Offen­ba­rung an den Pro­vi­der darstellt.

Zugrif­fe durch (vor allem aus­län­di­sche) Behörden

Der inter­es­san­te­ste Punkt ist der Zugriff durch aus­län­di­sche Behör­den und hier der Umgang mit dem berüch­tig­ten US CLOUD Act. Das Gut­ach­ten dis­ku­tiert zunächst den Behör­den­zu­griff durch schwei­ze­ri­sche und anschlie­ssend jenen durch aus­län­di­sche Behör­den. Bei der Schweiz kann man sich knapp fas­sen: Grei­fen schwei­ze­ri­sche Behör­den im Rah­men des schwei­ze­ri­schen Rechts auf Daten zu, dür­fen sie das. Ob sie das bei der Stadt selbst oder einer Hilfs­per­son tun, spielt kei­ne Rol­le. Grei­fen Behör­den im Aus­land auf Daten zu, ist das etwas ande­res, weil das aus­län­di­sche Recht eben aus­län­disch ist und folg­lich kei­ne Offen­ba­rung erlaubt, unter Vor­be­halt der Amts- und Rechtshilfe.

Garan­tie­ver­ant­wor­tung” (nur) der Eidgenossenschaft?

Das Gut­ach­ten dis­ku­tiert in die­sem Zusam­men­hang den US CLOUD Act mit inter­es­san­ten Über­le­gun­gen. Aus­gangs­punkt die­ser Über­le­gun­gen ist die “Garan­tie­ver­ant­wor­tung”, die die Eid­ge­nos­sen­schaft habe, nach Art. 29a BV (Rechts­weg­ga­ran­tie). Die­se Garan­tie wer­de nicht ver­letzt, wenn

im Fall eines all­fäl­li­gen Klar­text­zu­griffs auf Infor­ma­tio­nen im Aus­land im dor­ti­gen Ver­fah­ren ein Schutz­ni­veau gilt, das im Resul­tat jenem in der Schweiz entspricht.

Zudem kön­ne sie

jeden­falls auch dann ord­nungs­ge­mäss umge­setzt sein, wenn die Her­aus­ga­be von Beweis­mit­teln mit Bele­gen­heits­ort im Aus­land an Pri­va­te – näm­lich die Cloud-Anbie­te­rin­nen mit Sitz oder Haupt­sitz in den USA– dele­giert wird.

Das ist wohl so zu ver­ste­hen, dass die Schweiz – neben der Fra­ge des Amts­ge­heim­nis­ses – auch sicher­zu­stel­len habe, dass ihre Bür­ger nicht aus­län­di­schem Recht aus­ge­lie­fert wer­den, das ihre Grund­rech­te nicht mit Füssen tritt. Wäre dies auf­grund des CLOUD Act der Fall, wäre dem­nach nicht nur das Amts­ge­heim­nis ver­letzt, son­dern auch die Bun­des­ver­fas­sung. Aller­dings: Die USA ver­füg­ten über ein “Justiz­we­sen von jahr­hun­der­te­al­ter Tra­di­ti­on”, “das histo­risch auch für die Schweiz durch­aus eine Vor­bild­wir­kung ent­fal­tet hat”. Es sei daher kaum davon aus­zu­ge­hen, dass der CLOUD Act der Bekannt­ga­be unter dem Titel der Rechts­weg­ga­ran­tie ent­ge­gen­ste­he (das ist im Ergeb­nis ein­leuch­tend, zumal der CLOUD Act bzw. der Stored Com­mu­ni­ca­ti­on Act nicht zu den Rechts­grund­la­gen gehört, denen der EuGH in Schrems II rechts­staat­li­che Man­gel­haf­tig­keit beschei­nigt hat).

Ent­schei­dend sei aber eher ein for­ma­les Argu­ment: Mass­s­ge­bend sei zwar die Rechts­weg­ga­ran­tie, aber die­se sei das Pro­blem des Bun­des und nicht der Stadt Zürich.

Es geht […] also dar­um, ob die Stadt Zürich die Garan­tie­ver­ant­wor­tung der Eid­ge­nos­sen­schaft […] ver­ei­telt, wenn sie ein Cloud-Ange­bot mit einem der­ar­ti­gen Aus­lands­be­zug ein­setzt. Der Hin­weis dar­auf, dass es sich um eine Pro­ble­ma­tik han­delt, mit der sich die Eid­ge­nos­sen­schaft kon­fron­tiert sieht, legt wie­der­um die fol­gen­de Fra­ge nahe: Ist es Auf­ga­be der Stadt Zürich, das Pro­blem der Eid­ge­nos­sen­schaft zu lösen? Die Fra­ge stel­len heisst, sie zu beant­wor­ten: Nein. Es geht nur um die Fra­ge, ob die Stadt Zürich in rechts­ver­let­zen­der Wei­se die Garan­tie­ver­ant­wor­tung der Eid­ge­nos­sen­schaft ver­ei­telt. Dies kann ver­neint wer­den […]; denn es wird im Resul­tat jeweils zu einem direk­ten Ein­be­zug der stadt­zür­che­ri­schen Stel­len kom­men, wenn sich ein Anwen­dungs­fall unter dem CLOUD Act erge­ben soll­te. In einem sol­chen Fall kann die Stadt Zürich sicher­stel­len, dass die Eid­ge­nos­sen­schaft ihre Garan­tie­ver­ant­wor­tung wahr­neh­men kann. Jeden­falls wird die Stadt Zürich durch geeig­ne­tes Vor­ge­hen sicher­stel­len, dass sie Straf­bar­keit nach Art. 271 StGB im Fall einer an sie gerich­te­ten Anfra­ge abwen­den kann. Eine Rechts­ver­let­zung kann somit syste­ma­tisch aus­ge­schlos­sen werden.

Unklar bleibt hier z.B., ob Art. 29a BV als inst­u­tio­nel­le Garan­tie des effek­ti­ven Zugangs zum Gericht einer Daten­be­kannt­ga­be ins Aus­land durch ein öffent­li­ches Organ ent­ge­gen­ste­hen kann, wenn dort Rechts­schutz­de­fi­zi­te herr­schen. Wenn dem so ist, wür­de dies aber auch für kan­to­na­le Behör­den gel­ten müs­sen (abge­se­hen davon, dass auch die Kan­tons­ver­fas­sung Zürich eine Rechts­weg­ga­ran­tie ent­hält). Das Gut­ach­ten ver­tieft die­se Fra­gen aber bewusst nicht, aber sie sei­en bei ande­ren Rechts­ord­nun­gen als der US-ame­ri­ka­ni­schen allen­falls aufzunehmen.

Abge­lei­te­te Sou­ve­rä­ni­tät des Providers?

Im Zusam­men­hang mit dem Risi­ko eines Behör­den­zu­griffs fragt sich wei­ter, wie und gestützt wor­auf die Stadt Zürich bei einem Anwen­dungs­fall des CLOUD Act ein­be­zo­gen wür­de. Der CLOUD Act bzw. viel­mehr der Stored Com­mu­ni­ca­ti­ons Act sieht dies jeden­falls nicht aus­drück­lich vor (§ 2703(b)(1) des Stored Com­mu­ni­ca­ti­ons Act).

Die Autoren wei­sen zunächst auf ein Manu­al der US-Behör­den hin, das sich mit der Durch­su­chung und Beschlag­nah­me elek­tro­ni­scher Daten in Straf­un­ter­su­chun­gen befasst. Sie brin­gen dem Manu­al dabei gro­sses Ver­trau­en ent­ge­gen. Bsp. sagt das Manu­al, “spe­cial pro­ce­du­res desi­gned to uphold tho­se users’ pri­va­cy inte­rests may be appro­pria­te”, und “agents might inform the magi­stra­te judge in the search war­rant affi­da­vit that they will take steps to ensu­re the con­fi­dentia­li­ty of the accounts” – dar­aus schliesst das Gut­ach­ten, ein Beam­tin, die beim Gericht um einen war­rant ersucht, “müs­se” dabei ange­ben, wie sie mit Geheim­nis­sen einer Dritt­par­tei umge­hen wür­de, oder das Manu­al “wei­se Beam­te ent­spre­chend an”. Das ist eine wohl­wol­len­de Les­art. Inter­es­sant sind aber auch die fol­gen­den Hin­wei­se zum Umgang des US-Rechts mit der Tat­sa­che, dass die von einem der US Juris­dic­tion unter­ste­hen­den Pro­vi­der her­aus­zu­ge­ben­den Daten einem Amts­ge­heim­nis unterstehen.

Die Autoren kom­men hier zu fol­gen­den Ergebnissen:

Obwohl die ange­gan­ge­nen Cloud-Anbie­ter selbst kei­nen eige­nen Anspruch auf sou­ve­rä­ne Immu­ni­tät genie­ssen, ist davon aus­zu­ge­hen, dass Cloud-Anbie­ter als Reak­ti­on auf Infor­ma­ti­ons­an­fra­gen der US-Straf­ver­fol­gungs­be­hör­den im Rah­men des CLOUD Acts tat­säch­lich eine (von ihrem Cloud-Kun­den, wel­cher eine Behör­de eines aus­län­di­schen sou­ve­rä­nen Staats ist) abge­lei­te­te sou­ve­rä­ne Immu­ni­tät gel­tend machen kön­nen. In der Ver­gan­gen­heit haben US-Gerich­te den Schutz einer sol­chen abge­lei­te­ten sou­ve­rä­nen Immu­ni­tät für pri­va­te US-Unter­neh­men aner­kannt, die auf Anwei­sung aus­län­di­scher Regie­run-gen han­del­ten. Eine solch abge­lei­te­te sou­ve­rä­ne Immu­ni­tät ist aus Sicht des Cloud-Anbie­ters dort anzu­neh­men, wo die Nut­zung der Cloud-Dien­ste durch die aus­län­di­sche Regie­rung resp. deren Behör­de im Rah­men der Aus­füh­rung von hoheit­li­chen resp. Ver­wal­tungs-Auf­ga­ben geschieht, also mit­hin­auch über­all dort, wo vom Amts­ge­heim­nis erfass­te Infor­ma­tio­nen in den Cloud-Dien­sten bear­bei­tet oder gespei­chert werden.

Die­se Schluss­fol­ge­run­gen wer­den auf meh­re­re Quel­len und Urtei­le ame­ri­ka­ni­scher Gerich­te gestützt.

Zurück zu Art. 320 StGB

Aus­gangs­punkt bleibt indes­sen Art. 320 StGB (all­ge­mei­nes Amts­ge­heim­nis; und auch Art. 273 StGB, den die Autoren – zu Recht – gleich behan­deln). Die Fra­ge lau­tet also, ob das Amts­ge­heim­nis ver­letzt sein kann, wenn eine US-Behör­de ohne Amts- oder Rechts­hil­fe nach ihrem eige­nen Recht auf Kun­den­da­ten zugreift.

Geht man davon aus, dass das Amts­ge­heim­nis sowohl Pri­vat­ge­heim­nis­se als auch genu­in staat­li­che Geheim­nis­se schützt, wäre nach bei­den Schutz­rich­tun­gen zu fra­gen, wie weit der Geheim­nis­schutz jeweils reicht. Bei den Pri­vat­ge­heim­nis­sen dürf­te auch hier von den berech­tig­ten Geheim­nis­er­war­tun­gen der Pri­va­ten aus­zu­ge­hen sein. Hier ist die Fra­ge nahe­lie­gend, ob Per­so­nen in der Schweiz im Ver­kehr mit Behör­den nicht erwar­ten dür­fen, dass ihre Daten nicht in aus­län­di­sche Hän­de gelan­gen. Bejaht man die­se Fra­ge, muss man wei­ter fra­gen, wel­cher Schutz denn berech­tig­ter­wei­se erwar­tet wird. Die nahe­lie­gen­de und m.E. rich­ti­ge Ant­wort ist: ein ange­mes­se­ner, kein abso­lu­ter. Dann ist man zurück bei der Risi­ko­ein­schät­zung, die das Gut­ach­ten auch verlangt.

Hier sind die Aus­füh­run­gen zur Ein­re­de des Pro­vi­ders, die Daten unter­stün­den einem aus­län­di­schen Amts­ge­heim­nis, beacht­lich, so sie das Risi­ko einer Offen­ba­rung an aus­län­di­sche Behör­den tat­säch­lich redu­zie­ren. Eben­falls zuzu­stim­men ist der Fest­stel­lung des Gut­ach­tens, dass es sehr unwahr­schein­lich ist, dass US-Behör­den auf Daten der Stadt Zürich zugreifen.

Zur Wir­kung der Ein­wil­li­gung der vor­ge­setz­ten Behörde

Die Stadt Zürich hat offen­bar das Bedürf­nis, sicher­heits­hal­ber die in Art. 320 Ziff. 2 StGB vor­ge­se­he­ne “schrift­li­che Ein­wil­li­gung der vor­ge­setz­ten Behör­de” in die Offen­ba­rung ein­zu­ho­len. Das Gut­ach­ten dis­ku­tiert hin die­sem Zusam­men­hang die Wir­kung die­ser Ein­wil­li­gung oder Geneh­mi­gung (mit Bezug auf ein ech­tes Staats­ge­heim­nis ist es eine Ein­wil­li­gung, mit Bezug auf die mit­ge­schütz­ten Pri­vat­ge­heim­nis­se eher eine Geneh­mi­gung), beson­ders wie eine sol­che Ein­wil­li­gung im Vor­aus erteilt wer­den kann und was ihr Ver­hält­nis ist zu einem kan­to­nal-daten­schutz­recht­li­chen Genehmigungserfordernis.