Public-Cloud-Bericht der Bundesverwaltung

In Umset­zung von Mei­len­stein 5 der Cloud-Stra­te­gie des Bun­des­ra­tes hat die Bun­des­kanz­lei einen Bericht über den recht­li­chen Rah­men für die Nut­zung von Public-Cloud-Dien­sten in der Bun­des­ver­wal­tung vor­ge­legt. In Public Clouds wer­den nach der­zei­ti­ger «best prac­ti­ce» des Bun­des unkri­ti­sche, anony­me und/oder öffent­li­che Daten bear­bei­tet (wie Meteo­Schweiz) oder – mit Daten­spei­cher­ort Schweiz – maxi­mal als intern klas­si­fi­zier­te Daten (vgl. die Dar­stel­lung der Cloud-Nut­zung in der Bun­des­ver­wal­tung).

Der Bericht soll Ver­wal­tungs­ein­hei­ten, die unter dem Beschaf­fungs­vor­ha­ben «Public Clouds Bund» Lei­stun­gen bezie­hen möch­ten, bei den Abklä­run­gen hel­fen, die vor Nut­zung der Nut­zung von Cloud-Dien­sten zu tref­fen sind. Für den Abruf selbst stellt die Bun­des­kanz­lei Vor­la­gen zur Ver­fü­gung: Die Vor­la­ge eines anbie­ter­neu­tra­len Pflich­ten­hefts (Down­load) und ein Muster eines Kri­te­ri­en­ka­ta­logs (Down­load).

1. Im Cloud-Bericht iden­ti­fi­zier­te Risiken

Der Cloud Bericht hält (zutref­fend) zunächst fest, dass auch die Nut­zung her­kömm­li­cher «On-Premise»-Modelle nicht risi­ko­los sei. Das Risi­ko von z.B. Cyber­an­grif­fen oder des Aus­falls tech­ni­scher Infra­struk­tur bestehe im eige­nen Rech­ten­zen­trum glei­cher­ma­ssen. Ent­schei­dend sei – unab­hän­gig ob das gewähl­te Modell «on pre­mi­se» oder «Cloud» sei – dass inner­halb des recht­lich zuläs­si­gen Rah­mens die Risi­ken gegen­über den Vor­tei­len (bei der Cloud z.B. grö­sse­re Effi­zi­enz und Ska­lier­bar­keit) – ver­hält­nis­mä­ssig sei­en. Als Risi­ken der Cloud-Nut­zung iden­ti­fi­ziert wer­den im Cloud-Bericht

  • Recht­li­che Risi­ken, ins­be­son­de­re hin­sicht­lich Daten­schutz, (Amts-)geheimnisschutz, Infor­ma­ti­ons­schutz und wei­te­ren Spezialgesetzen;
  • Busi­ness Con­ti­nui­ty- und Dis­a­ster Reco­very-Risi­ken;
  • Die Abhän­gig­keit von Drit­ten, ins­be­son­de­re die Gefahr des Ven­dor-Lock-Ins und hin­sicht­lich des Bei­zugs wei­te­rer Unterauftragnehmer;
  • Poli­ti­sche Risi­ken, ins­be­son­de­re hin­sicht­lich Ver­än­de­run­gen des recht­li­chen Umfelds (Ziff. 1.7.4); und
  • Repu­ta­ti­ons­ri­si­ken.

Die­se Risi­ken sind in Anhang C des Berichts teil­wei­se näher beschrie­ben und wer­den mit Vor­schlä­gen zur Risi­ko­re­du­zie­rung ver­bun­den. In Anhang D des Berichts fin­den sich sodann Fra­gen, die sich im Zusam­men­hang mit «dem Gang in die Cloud» für Ver­wal­tungs­ein­hei­ten stel­len. Im Fokus des Berichts ste­hen jedoch die recht­li­chen Risi­ken – kon­kret eine Über­sicht der (all­ge­mei­nen) recht­li­chen Grund­la­gen und Schran­ken im Bereich des Daten­schut­zes, des Amts­ge­heim­nis­schut­zes und des Infor­ma­ti­ons­schut­zes. Je nach Ver­wal­tungs­ein­heit und der Art der aus­zu­la­gern­den Daten oder Anwen­dun­gen kön­nen wei­te­re spe­zi­al­ge­setz­li­che Anfor­de­run­gen ein­schlä­gig sein.

2. Recht­li­che Risi­ken beim «Gang in die Cloud»

2.1. Daten­schutz

Der Cloud-Bericht betont (zutref­fend), dass der Daten­schutz einer Bear­bei­tung von Per­so­nen­da­ten durch Drit­te im Auf­trag der Ver­wal­tung nicht ent­ge­gen­ste­he. Sicher­ge­stellt wer­den müs­se aber ins­be­son­de­re, dass

  • der Cloud-Pro­vi­der – und all­fäl­li­ge wei­te­re Unter­auf­trags­be­ar­bei­ter – die Daten nur so bear­bei­te, wie die aus­la­gern­de Ver­wal­tungs­ein­heit dies dürfe;
  • bei der Bekannt­ga­be von Per­so­nen­da­ten ins Aus­land ein ange­mes­se­nes Daten­schutz­ni­veau gewähr­lei­stet und in die­sem Zusam­men­hang ggf. das Risi­ko des Zugriffs aus­län­di­scher Behör­den ver­tieft geprüft werde;
  • tech­ni­sche und orga­ni­sa­to­ri­sche Mass­nah­men zur Daten­si­cher­heit zu tref­fen und die­se in einem Bear­bei­tungs­re­gle­ment detail­liert zu regeln seien;
  • vor der Cloud-Nut­zung eine (nach revi­dier­tem Daten­schutz­recht) all­fäl­lig erfor­der­li­che Daten­schutz­fol­gen­ab­schät­zung durch­ge­führt werde;
  • Ver­let­zun­gen der Daten­si­cher­heit vom Cloud-Pro­vi­der an die Ver­wal­tungs­ein­heit gemel­det wür­den; und
  • die Betrof­fe­nen ihre (daten­schutz­recht­li­chen) Rech­te durch­set­zen könnten.

Bekannt­ga­be von Per­so­nen­da­ten ins Ausland

Bei der Bekannt­ga­be von Per­so­nen­da­ten in Staa­ten ohne ange­mes­se­nes Daten­schutz­ni­veau wird dar­auf hin­ge­wie­sen, dass «Ein­wil­li­gungs­lö­sun­gen für syste­ma­ti­sche Daten­be­ar­bei­tun­gen auf­grund der hohen ent­spre­chen­den Anfor­de­run­gen […] kei­ne geeig­ne­te Lösung sind» (Ziff. 1.6.1). Statt­des­sen sei­en laut Bericht Stan­dard­ver­trags­klau­seln oder spe­zi­fi­sche Garan­tien zu ver­wen­den und die­se durch tech­ni­sche und orga­ni­sa­to­ri­sche Mass­nah­men zu ergän­zen. In der Pra­xis dürf­ten in der Regel die EU-Stan­dard­ver­trags­klau­seln (ange­passt auf die Beson­der­hei­ten des schwei­ze­ri­schen Daten­schutz­rechts) Anwen­dung fin­den, die in den Ver­trags­wer­ken gro­sser Hypers­ca­ler oft stan­dard­mä­ssig vor­ge­se­hen sind (vgl. z.B. Micro­soft, AWS oder Goog­le).

Zu begrü­ssen ist, dass die Bun­des­kanz­lei mit Blick auf die Daten­be­kannt­ga­be ins Aus­land einen risi­ko­ba­sier­ten Ansatz ver­tritt (Ziff. 1.7). Das Risi­ko von Zugrif­fen aus­län­di­scher Behör­den kön­ne kaum voll­stän­dig aus­ge­schlos­sen wer­den. Es genü­ge daher, wenn Rest­ri­si­ken auf ein akzep­ta­bles Mass gesenkt wür­den. An glei­cher Stel­le wird jedoch expli­zit dar­auf hin­ge­wie­sen, dass der EDÖB eine abwei­chen­de Auf­fas­sung ver­tritt (vgl. auch unse­ren Blog­bei­trag hier).

Tech­ni­sche und orga­ni­sa­to­ri­sche Massnahmen

Als tech­ni­sche Mass­nah­men zum Schutz von Per­so­nen­da­ten schlägt der Cloud-Bericht Anony­mi­sie­rung und Pseud­ony­mi­sie­rung, Toke­ni­sie­rung und die Ver­schlüs­se­lung von Daten vor. Kri­tisch bei Letz­te­rem sei das Schlüs­sel­ma­nage­ment. Zu klä­ren sei, wer den Schlüs­sel ver­wal­te, ob der Schlüs­sel auf­ge­teilt wer­de (Dou­ble Key Encryp­ti­on) und wie ein Ver­lust des Schlüs­sels ver­hin­dert wer­de oder wie­der her­ge­stellt wer­den kön­ne (Key Reco­very). Grund­sätz­lich sei­en Lösun­gen anzu­stre­ben, bei denen der Cloud-Pro­vi­der kei­nen oder nur sehr ein­ge­schränk­ten Zugriff auf die Schlüs­sel habe (z.B. «Bring Your Own Key» unter Ein­satz eines dedi­zier­ten Hard­ware Secu­ri­ty Moduls in der Cloud oder «Keep Your Own Key»). Bei der Über­tra­gung von Daten (data in tran­sit) bie­te sich eben­falls die Ver­schlüs­se­lung an (etwa über SFTP, TLS oder VPN). Bei der Ver­wen­dung von Daten könn­ten die­se durch Iden­ti­täts­ma­nage­ment-Tools und die Beschrän­kung von Bear­bei­tungs­rech­ten (Infor­ma­ti­on Rights Manage­ment) vor unbe­fug­tem Zugriff geschützt wer­den. Wich­tig sei zudem die Nut­zung phy­sisch (statt nur logisch) getrenn­ter Infra­struk­tu­ren, um dem Risi­ko eines Ver­sa­gens der logi­schen Daten­iso­la­ti­on vorzubeugen.

In orga­ni­sa­to­ri­scher Hin­sicht sei­en für den Fall unkla­rer orga­ni­sa­to­ri­scher Rege­lun­gen bei der «Shared Respon­si­bi­li­ty» kla­re Auf­ga­ben, Kom­pe­ten­zen und Ver­ant­wort­lich­kei­ten zu ver­ein­ba­ren. Mit «Shared Respon­si­bi­li­ty» ist gemeint, dass bei Cloud-Lösun­gen der Kun­de in der Regel aus­wäh­len kann, wel­che (zusätz­li­chen) Sicher­heits­lei­stun­gen oder ‑tools er in Anspruch neh­men möchte.

2.2. Amts­ge­heim­nis

Der Cloud-Bericht ord­net den Cloud-Pro­vi­der unter dem revi­dier­ten Art. 320 Ziff. 1 StGB als Hilfs­per­son ein (Ziff. 2.2.2.4). Der Zugriff des Cloud-Pro­vi­ders auf gehei­me Daten müs­se jedoch durch ver­trag­li­che, orga­ni­sa­to­ri­sche und tech­ni­sche Mass­nah­men ange­mes­sen beschränkt bzw. soweit wie mög­lich aus­ge­schlos­sen wer­den (Ziff. 2.2.2.2). Die Fest­stel­lung, dass der Zugang ange­mes­sen beschränkt wer­den müs­se, trifft zu – sie folgt für Geheim­nis­da­ten schon aus dem Urteil BGE 145 II 229. In die­sem ver­lang­te das Bun­des­ge­richt u.a. den Kreis der Per­so­nen mit Zugang zu gehei­men Infor­ma­tio­nen ver­nünf­tig zu beschrän­ken und hin­rei­chen­de Mass­nah­men zur Daten­si­cher­heit zu tref­fen. Zudem ist in Art. 11 Abs. 1 lit. a VDTI aus­drück­lich bestimmt, dass dem exter­nen Lei­stungs­er­brin­ger nur soweit Zugriff auf nicht all­ge­mein zugäng­li­che Daten der Ver­wal­tung gestat­tet wer­den darf, wie dies zur Lei­stungs­er­brin­gung erfor­der­lich ist. Art. 11 Abs. 1 lit. c VDTI ver­langt zudem, ange­mes­se­ne ver­trag­li­che, orga­ni­sa­to­ri­sche und tech­ni­sche Vor­keh­run­gen zu tref­fen, um eine wei­te­re Ver­brei­tung der Daten zu ver­hin­dern. Es wird inso­fern auf die dar­ge­stell­ten tech­ni­schen Mass­nah­men verwiesen.

Dar­über hin­aus dür­fe nicht ver­ges­sen wer­den, zu prü­fen, ob die aus­zu­la­gern­den Daten auf­grund spe­zi­fi­scher Rechts­grund­la­gen gestei­ger­ter Anfor­de­run­gen an die Ver­trau­lich­keit unter­lie­gen (Schutz­be­darfs- und Risikoanalyse).

2.3. Infor­ma­ti­ons­schutz

Im Bereich des Infor­ma­ti­ons­schut­zes geht der Cloud-Bericht mass­geb­lich auf die Anfor­de­run­gen ein, die sich aus Cyber­ri­si­ken­ver­ord­nung (CyRV), Infor­ma­ti­ons­schutz­ver­ord­nung (ISchV), der Ver­ord­nung über Iden­ti­täts­ver­wal­tungs-Syste­me und Ver­zeich­nis­dien­ste des Bun­des (IAMV), der GEVER-Ver­ord­nung, Art. 57i ff. RVOG und wei­te­ren rele­van­ten Wei­sun­gen und Richt­li­ni­en erge­ben kön­nen. CyRV und ISchV wer­den mit Inkraft­tre­ten des Infor­ma­ti­ons­si­cher­heits­ge­set­zes (vor­aus­sicht­lich zum 1. Juli 2023) jedoch ausser Kraft gesetzt. Ab Inkraft­set­zung des ISG wer­den gemäss Cloud-Bericht ins­be­son­de­re fol­gen­de Punk­te zu prü­fen sein (Ziff. 4.2.3):

  • Nach IschV klas­si­fi­zier­te Infor­ma­tio­nen und ein­ge­stuf­te Infor­ma­tik­mit­tel (wozu auch eine Cloud-Anwen­dung zäh­le) müss­ten an die neu­en Klas­si­fi­zie­rungs- bzw. Ein­stu­fungs­be­stim­mun­gen ange­passt werden;
  • Per­so­nen­si­cher­heits­über­prü­fun­gen müss­ten nach den Bestim­mun­gen des ISG erfol­gen; und
  • Bei sicher­heits­emp­find­li­chen Auf­trä­gen müs­se sicher­ge­stellt wer­den, dass der Anbie­ter über eine aus­ge­stell­te Betriebs­si­cher­heits­er­klä­rung ver­fü­ge – die­se anzu­sto­ssen lie­ge nun auch in der Ver­ant­wort­lich­keit der Auf­trag­ge­ber und Auftraggeberinnen.

Zudem sei Art. 57i ff. RVOG zur Bear­bei­tung von per­so­nen­be­zo­ge­nen Rand­da­ten, die bei der Nut­zung der elek­tro­ni­schen Bun­des­in­fra­struk­tur anfal­len, zu beach­ten (Ziff. 5.2). Die­se sind in der «Rand­da­ten­ver­ord­nung» (SR 172.010.442) näher prä­zi­siert. Art. 57j Abs. 1 RVOG regelt dabei den Grund­satz, dass Ver­wal­tungs­ein­hei­ten Per­so­nen­da­ten, die bei der Nut­zung der elek­tro­ni­schen Infra­struk­tur anfal­len, grund­sätz­lich nicht auf­zeich­nen oder aus­wer­ten dür­fen. Dies ist nur aus­nahms­wei­se zu Zwecken der Daten­si­che­rung, War­tung, Kon­trol­ler der Ein­hal­tung von Nut­zungs­re­gle­ment und Nach­voll­zug des Zugriffs zuläs­sig (Art. 57l – 57o RVOG). An die per­so­nen­be­zo­ge­ne Aus­wer­tung die­ser Daten wer­den hohe Anfor­de­run­gen gestellt (Art. 57o RVG). Da Ver­wal­tungs­ein­hei­ten zudem tech­ni­sche und orga­ni­sa­to­ri­sche Mass­nah­men zur Ver­hin­de­rung von Miss­bräu­chen zu tref­fen hät­ten (Art. 57p RVOG), müss­ten bei Cloud-Pro­jek­ten Rand­da­ten ange­mes­sen geschützt und der Zugriff dar­auf klar gere­gelt und regel­mä­ssig über­prüft werden.

3. Ope­ra­tio­nel­le und wei­te­re Risiken

Im Übri­gen adres­siert der Cloud-Bericht ope­ra­tio­nel­le, tech­ni­sche und wei­te­re Risi­ken. Erwähnt ist etwa

  • das Risi­ko unvor­her­ge­se­he­ner Ser­vice­un­ter­bre­chun­gen (Nr. 13 Anhang C). Die­se könn­ten ver­trag­lich durch Infor­ma­ti­ons­pflich­ten, eine Exit-Opti­on (gemeint ist wohl ein Kün­di­gungs­recht) bei Ände­rung der Kon­di­tio­nen oder eine finan­zi­el­le Kom­pen­sa­ti­on für Ser­vice­un­ter­bre­chun­gen (ange­spro­chen sein dürf­ten Ser­vice Credits), orga­ni­sa­to­risch durch eine Über­wa­chung der Tätig­kei­ten des Pro­vi­ders und tech­nisch durch Back-ups miti­giert wer­den; oder
  • die Abhän­gig­keit vom Anbie­ter, die z.B. ver­trag­lich durch die Rege­lung von Daten­ex­port und Migra­ti­on, orga­ni­sa­to­risch durch die Pla­nung des Anbie­ter­wech­sels oder der Rück­füh­rung und tech­nisch durch die Wahl einer Archi­tek­tur, wel­che den Betrieb unab­hän­gig vom Anbie­ter ermög­li­che, adres­siert werden.

4. Bewer­tung

Der Mei­len­stein 5, den der Cloud-Bericht umsetzt, hat­te sich zum Ziel gesetzt, Rechts­klar­heit zu schaf­fen. Ent­spre­chend ste­hen die recht­li­chen Grund­la­gen und Schran­ken im Vor­der­grund. Dies darf jedoch nicht dar­über hin­weg­täu­schen, dass für den Erfolg eines Cloud-Pro­jekts die Iden­ti­fi­zie­rung und Reduk­ti­on ope­ra­tio­nel­ler Risi­ken eben­so wich­tig ist. Die­se fol­gen vor allem aus der feh­len­den unmit­tel­ba­ren Kon­trol­le über Per­son und Infra­struk­tur, aus dem all­fäl­li­gen Aus­lands­be­zug und der Gefahr einer Abhän­gig­keit vom Cloud-Pro­vi­der. Der Cloud-Bericht spricht die­se Risi­ken daher rich­ti­ger­wei­se an.

Für Ver­wal­tungs­ein­hei­ten setzt der erfolg­rei­che Gang in die Cloud dabei aber weit frü­her an als bei der Ver­hand­lung der Ver­trä­ge oder der rich­ti­gen Steue­rung der Secu­ri­ty-Con­trols, da Behör­den gege­be­nen­falls den Beschrän­kun­gen des Beschaf­fungs­rechts unter­lie­gen. Die­ses ver­langt etwa, dass der Lei­stungs­ge­gen­stand hin­rei­chend klar beschrie­ben ist. Ände­run­gen an der Aus­schrei­bung nach Abga­be der Ange­bo­te sind nur unter bestimm­ten Vor­aus­set­zun­gen zuläs­sig. Ver­wal­tungs­be­hör­den müs­sen sich daher vor der Aus­schrei­bung damit aus­ein­an­der­set­zen, wie recht­li­che, ope­ra­tio­nel­le, tech­ni­sche und wei­te­re Risi­ken in zuläs­si­gen Eig­nungs­kri­te­ri­en, tech­ni­schen Spe­zi­fi­ka­tio­nen und Zuschlags­kri­te­ri­en adres­siert wer­den kön­nen (Bei­spiel: Nach­weis von ISO- oder ver­gleich­ba­ren Zer­ti­fi­zie­run­gen mit Blick auf die Infor­ma­ti­ons­si­cher­heit). Die Ein­hal­tung der beschaf­fungs­recht­li­chen Anfor­de­run­gen sind nach Zuschlag auch ver­trags­recht­lich abzu­bil­den. Andern­falls droht eine Ver­let­zung des ver­ga­be­recht­li­chen Abschluss­ver­bots. Zudem ist bei der Pro­jekt­pla­nung zu berück­sich­ti­gen, dass sich die Umset­zung öffent­li­cher Cloud-Pro­jek­te infol­ge all­fäl­li­ger Beschwer­den von unter­le­ge­nen Anbie­tern gegen den Zuschlag ver­zö­gern kön­nen.

Cloud-Pro­jek­te der öffent­li­chen Ver­wal­tung erfor­dern daher einen ganz­heit­li­chen Blick aus der War­te des Beschaf­fungs- und Infor­ma­ti­ons­rechts, ohne dabei die ope­ra­tio­nel­len und tech­ni­schen Risi­ken aus dem Blick zu verlieren.