In Umsetzung von Meilenstein 5 der Cloud-Strategie des Bundesrates hat die Bundeskanzlei einen Bericht über den rechtlichen Rahmen für die Nutzung von Public-Cloud-Diensten in der Bundesverwaltung vorgelegt. In Public Clouds werden nach derzeitiger «best practice» des Bundes unkritische, anonyme und/oder öffentliche Daten bearbeitet (wie MeteoSchweiz) oder – mit Datenspeicherort Schweiz – maximal als intern klassifizierte Daten (vgl. die Darstellung der Cloud-Nutzung in der Bundesverwaltung).
Der Bericht soll Verwaltungseinheiten, die unter dem Beschaffungsvorhaben «Public Clouds Bund» Leistungen beziehen möchten, bei den Abklärungen helfen, die vor Nutzung der Nutzung von Cloud-Diensten zu treffen sind. Für den Abruf selbst stellt die Bundeskanzlei Vorlagen zur Verfügung: Die Vorlage eines anbieterneutralen Pflichtenhefts (Download) und ein Muster eines Kriterienkatalogs (Download).
1. Im Cloud-Bericht identifizierte Risiken
Der Cloud Bericht hält (zutreffend) zunächst fest, dass auch die Nutzung herkömmlicher «On-Premise»-Modelle nicht risikolos sei. Das Risiko von z.B. Cyberangriffen oder des Ausfalls technischer Infrastruktur bestehe im eigenen Rechtenzentrum gleichermassen. Entscheidend sei – unabhängig ob das gewählte Modell «on premise» oder «Cloud» sei – dass innerhalb des rechtlich zulässigen Rahmens die Risiken gegenüber den Vorteilen (bei der Cloud z.B. grössere Effizienz und Skalierbarkeit) – verhältnismässig seien. Als Risiken der Cloud-Nutzung identifiziert werden im Cloud-Bericht
- Rechtliche Risiken, insbesondere hinsichtlich Datenschutz, (Amts-)geheimnisschutz, Informationsschutz und weiteren Spezialgesetzen;
- Business Continuity- und Disaster Recovery-Risiken;
- Die Abhängigkeit von Dritten, insbesondere die Gefahr des Vendor-Lock-Ins und hinsichtlich des Beizugs weiterer Unterauftragnehmer;
- Politische Risiken, insbesondere hinsichtlich Veränderungen des rechtlichen Umfelds (Ziff. 1.7.4); und
- Reputationsrisiken.
Diese Risiken sind in Anhang C des Berichts teilweise näher beschrieben und werden mit Vorschlägen zur Risikoreduzierung verbunden. In Anhang D des Berichts finden sich sodann Fragen, die sich im Zusammenhang mit «dem Gang in die Cloud» für Verwaltungseinheiten stellen. Im Fokus des Berichts stehen jedoch die rechtlichen Risiken – konkret eine Übersicht der (allgemeinen) rechtlichen Grundlagen und Schranken im Bereich des Datenschutzes, des Amtsgeheimnisschutzes und des Informationsschutzes. Je nach Verwaltungseinheit und der Art der auszulagernden Daten oder Anwendungen können weitere spezialgesetzliche Anforderungen einschlägig sein.
2. Rechtliche Risiken beim «Gang in die Cloud»
2.1. Datenschutz
Der Cloud-Bericht betont (zutreffend), dass der Datenschutz einer Bearbeitung von Personendaten durch Dritte im Auftrag der Verwaltung nicht entgegenstehe. Sichergestellt werden müsse aber insbesondere, dass
- der Cloud-Provider – und allfällige weitere Unterauftragsbearbeiter – die Daten nur so bearbeite, wie die auslagernde Verwaltungseinheit dies dürfe;
- bei der Bekanntgabe von Personendaten ins Ausland ein angemessenes Datenschutzniveau gewährleistet und in diesem Zusammenhang ggf. das Risiko des Zugriffs ausländischer Behörden vertieft geprüft werde;
- technische und organisatorische Massnahmen zur Datensicherheit zu treffen und diese in einem Bearbeitungsreglement detailliert zu regeln seien;
- vor der Cloud-Nutzung eine (nach revidiertem Datenschutzrecht) allfällig erforderliche Datenschutzfolgenabschätzung durchgeführt werde;
- Verletzungen der Datensicherheit vom Cloud-Provider an die Verwaltungseinheit gemeldet würden; und
- die Betroffenen ihre (datenschutzrechtlichen) Rechte durchsetzen könnten.
Bekanntgabe von Personendaten ins Ausland
Bei der Bekanntgabe von Personendaten in Staaten ohne angemessenes Datenschutzniveau wird darauf hingewiesen, dass «Einwilligungslösungen für systematische Datenbearbeitungen aufgrund der hohen entsprechenden Anforderungen […] keine geeignete Lösung sind» (Ziff. 1.6.1). Stattdessen seien laut Bericht Standardvertragsklauseln oder spezifische Garantien zu verwenden und diese durch technische und organisatorische Massnahmen zu ergänzen. In der Praxis dürften in der Regel die EU-Standardvertragsklauseln (angepasst auf die Besonderheiten des schweizerischen Datenschutzrechts) Anwendung finden, die in den Vertragswerken grosser Hyperscaler oft standardmässig vorgesehen sind (vgl. z.B. Microsoft, AWS oder Google).
Zu begrüssen ist, dass die Bundeskanzlei mit Blick auf die Datenbekanntgabe ins Ausland einen risikobasierten Ansatz vertritt (Ziff. 1.7). Das Risiko von Zugriffen ausländischer Behörden könne kaum vollständig ausgeschlossen werden. Es genüge daher, wenn Restrisiken auf ein akzeptables Mass gesenkt würden. An gleicher Stelle wird jedoch explizit darauf hingewiesen, dass der EDÖB eine abweichende Auffassung vertritt (vgl. auch unseren Blogbeitrag hier).
Technische und organisatorische Massnahmen
Als technische Massnahmen zum Schutz von Personendaten schlägt der Cloud-Bericht Anonymisierung und Pseudonymisierung, Tokenisierung und die Verschlüsselung von Daten vor. Kritisch bei Letzterem sei das Schlüsselmanagement. Zu klären sei, wer den Schlüssel verwalte, ob der Schlüssel aufgeteilt werde (Double Key Encryption) und wie ein Verlust des Schlüssels verhindert werde oder wieder hergestellt werden könne (Key Recovery). Grundsätzlich seien Lösungen anzustreben, bei denen der Cloud-Provider keinen oder nur sehr eingeschränkten Zugriff auf die Schlüssel habe (z.B. «Bring Your Own Key» unter Einsatz eines dedizierten Hardware Security Moduls in der Cloud oder «Keep Your Own Key»). Bei der Übertragung von Daten (data in transit) biete sich ebenfalls die Verschlüsselung an (etwa über SFTP, TLS oder VPN). Bei der Verwendung von Daten könnten diese durch Identitätsmanagement-Tools und die Beschränkung von Bearbeitungsrechten (Information Rights Management) vor unbefugtem Zugriff geschützt werden. Wichtig sei zudem die Nutzung physisch (statt nur logisch) getrennter Infrastrukturen, um dem Risiko eines Versagens der logischen Datenisolation vorzubeugen.
In organisatorischer Hinsicht seien für den Fall unklarer organisatorischer Regelungen bei der «Shared Responsibility» klare Aufgaben, Kompetenzen und Verantwortlichkeiten zu vereinbaren. Mit «Shared Responsibility» ist gemeint, dass bei Cloud-Lösungen der Kunde in der Regel auswählen kann, welche (zusätzlichen) Sicherheitsleistungen oder ‑tools er in Anspruch nehmen möchte.
2.2. Amtsgeheimnis
Der Cloud-Bericht ordnet den Cloud-Provider unter dem revidierten Art. 320 Ziff. 1 StGB als Hilfsperson ein (Ziff. 2.2.2.4). Der Zugriff des Cloud-Providers auf geheime Daten müsse jedoch durch vertragliche, organisatorische und technische Massnahmen angemessen beschränkt bzw. soweit wie möglich ausgeschlossen werden (Ziff. 2.2.2.2). Die Feststellung, dass der Zugang angemessen beschränkt werden müsse, trifft zu – sie folgt für Geheimnisdaten schon aus dem Urteil BGE 145 II 229. In diesem verlangte das Bundesgericht u.a. den Kreis der Personen mit Zugang zu geheimen Informationen vernünftig zu beschränken und hinreichende Massnahmen zur Datensicherheit zu treffen. Zudem ist in Art. 11 Abs. 1 lit. a VDTI ausdrücklich bestimmt, dass dem externen Leistungserbringer nur soweit Zugriff auf nicht allgemein zugängliche Daten der Verwaltung gestattet werden darf, wie dies zur Leistungserbringung erforderlich ist. Art. 11 Abs. 1 lit. c VDTI verlangt zudem, angemessene vertragliche, organisatorische und technische Vorkehrungen zu treffen, um eine weitere Verbreitung der Daten zu verhindern. Es wird insofern auf die dargestellten technischen Massnahmen verwiesen.
Darüber hinaus dürfe nicht vergessen werden, zu prüfen, ob die auszulagernden Daten aufgrund spezifischer Rechtsgrundlagen gesteigerter Anforderungen an die Vertraulichkeit unterliegen (Schutzbedarfs- und Risikoanalyse).
2.3. Informationsschutz
Im Bereich des Informationsschutzes geht der Cloud-Bericht massgeblich auf die Anforderungen ein, die sich aus Cyberrisikenverordnung (CyRV), Informationsschutzverordnung (ISchV), der Verordnung über Identitätsverwaltungs-Systeme und Verzeichnisdienste des Bundes (IAMV), der GEVER-Verordnung, Art. 57i ff. RVOG und weiteren relevanten Weisungen und Richtlinien ergeben können. CyRV und ISchV werden mit Inkrafttreten des Informationssicherheitsgesetzes (voraussichtlich zum 1. Juli 2023) jedoch ausser Kraft gesetzt. Ab Inkraftsetzung des ISG werden gemäss Cloud-Bericht insbesondere folgende Punkte zu prüfen sein (Ziff. 4.2.3):
- Nach IschV klassifizierte Informationen und eingestufte Informatikmittel (wozu auch eine Cloud-Anwendung zähle) müssten an die neuen Klassifizierungs- bzw. Einstufungsbestimmungen angepasst werden;
- Personensicherheitsüberprüfungen müssten nach den Bestimmungen des ISG erfolgen; und
- Bei sicherheitsempfindlichen Aufträgen müsse sichergestellt werden, dass der Anbieter über eine ausgestellte Betriebssicherheitserklärung verfüge – diese anzustossen liege nun auch in der Verantwortlichkeit der Auftraggeber und Auftraggeberinnen.
Zudem sei Art. 57i ff. RVOG zur Bearbeitung von personenbezogenen Randdaten, die bei der Nutzung der elektronischen Bundesinfrastruktur anfallen, zu beachten (Ziff. 5.2). Diese sind in der «Randdatenverordnung» (SR 172.010.442) näher präzisiert. Art. 57j Abs. 1 RVOG regelt dabei den Grundsatz, dass Verwaltungseinheiten Personendaten, die bei der Nutzung der elektronischen Infrastruktur anfallen, grundsätzlich nicht aufzeichnen oder auswerten dürfen. Dies ist nur ausnahmsweise zu Zwecken der Datensicherung, Wartung, Kontroller der Einhaltung von Nutzungsreglement und Nachvollzug des Zugriffs zulässig (Art. 57l – 57o RVOG). An die personenbezogene Auswertung dieser Daten werden hohe Anforderungen gestellt (Art. 57o RVG). Da Verwaltungseinheiten zudem technische und organisatorische Massnahmen zur Verhinderung von Missbräuchen zu treffen hätten (Art. 57p RVOG), müssten bei Cloud-Projekten Randdaten angemessen geschützt und der Zugriff darauf klar geregelt und regelmässig überprüft werden.
3. Operationelle und weitere Risiken
Im Übrigen adressiert der Cloud-Bericht operationelle, technische und weitere Risiken. Erwähnt ist etwa
- das Risiko unvorhergesehener Serviceunterbrechungen (Nr. 13 Anhang C). Diese könnten vertraglich durch Informationspflichten, eine Exit-Option (gemeint ist wohl ein Kündigungsrecht) bei Änderung der Konditionen oder eine finanzielle Kompensation für Serviceunterbrechungen (angesprochen sein dürften Service Credits), organisatorisch durch eine Überwachung der Tätigkeiten des Providers und technisch durch Back-ups mitigiert werden; oder
- die Abhängigkeit vom Anbieter, die z.B. vertraglich durch die Regelung von Datenexport und Migration, organisatorisch durch die Planung des Anbieterwechsels oder der Rückführung und technisch durch die Wahl einer Architektur, welche den Betrieb unabhängig vom Anbieter ermögliche, adressiert werden.
4. Bewertung
Der Meilenstein 5, den der Cloud-Bericht umsetzt, hatte sich zum Ziel gesetzt, Rechtsklarheit zu schaffen. Entsprechend stehen die rechtlichen Grundlagen und Schranken im Vordergrund. Dies darf jedoch nicht darüber hinwegtäuschen, dass für den Erfolg eines Cloud-Projekts die Identifizierung und Reduktion operationeller Risiken ebenso wichtig ist. Diese folgen vor allem aus der fehlenden unmittelbaren Kontrolle über Person und Infrastruktur, aus dem allfälligen Auslandsbezug und der Gefahr einer Abhängigkeit vom Cloud-Provider. Der Cloud-Bericht spricht diese Risiken daher richtigerweise an.
Für Verwaltungseinheiten setzt der erfolgreiche Gang in die Cloud dabei aber weit früher an als bei der Verhandlung der Verträge oder der richtigen Steuerung der Security-Controls, da Behörden gegebenenfalls den Beschränkungen des Beschaffungsrechts unterliegen. Dieses verlangt etwa, dass der Leistungsgegenstand hinreichend klar beschrieben ist. Änderungen an der Ausschreibung nach Abgabe der Angebote sind nur unter bestimmten Voraussetzungen zulässig. Verwaltungsbehörden müssen sich daher vor der Ausschreibung damit auseinandersetzen, wie rechtliche, operationelle, technische und weitere Risiken in zulässigen Eignungskriterien, technischen Spezifikationen und Zuschlagskriterien adressiert werden können (Beispiel: Nachweis von ISO- oder vergleichbaren Zertifizierungen mit Blick auf die Informationssicherheit). Die Einhaltung der beschaffungsrechtlichen Anforderungen sind nach Zuschlag auch vertragsrechtlich abzubilden. Andernfalls droht eine Verletzung des vergaberechtlichen Abschlussverbots. Zudem ist bei der Projektplanung zu berücksichtigen, dass sich die Umsetzung öffentlicher Cloud-Projekte infolge allfälliger Beschwerden von unterlegenen Anbietern gegen den Zuschlag verzögern können.
Cloud-Projekte der öffentlichen Verwaltung erfordern daher einen ganzheitlichen Blick aus der Warte des Beschaffungs- und Informationsrechts, ohne dabei die operationellen und technischen Risiken aus dem Blick zu verlieren.