Regie­rungs­rat Zürich: grü­nes Licht für M365; Risi­ko­be­ur­tei­lungs­mo­dell Rosen­thal kano­ni­siert; Risi­ko­gren­ze bei 10% über 5 Jahre

Zulas­sung von M365

Der Zür­cher Regie­rungs­rat hat 30. März 2022 einen am 14. April 2022 publi­zier­ten Beschluss mit dem Titel „Ein­satz von Cloud-Lösun­gen in der kan­to­na­len Ver­wal­tung, (Micro­soft 365), Zulas­sung“ gefällt (RRB 542/2022).

Dabei geht es um den Ein­satz von M365 und ins­be­son­de­re Exchan­ge Online und Teams, das als on-pre­mi­se-Lösung gar nicht exi­stiert und mit zuneh­men­der Ver­brei­tung daher zum Gang in die Cloud zwingt. Zu die­sem Gang sieht der Kan­ton Zürich denn auch kei­ne Alter­na­ti­ve, was er recht pla­ka­tiv beschreibt: Ohne Cloud begä­be sich der Kan­ton „ins tech­no­lo­gi­sche Abseits“, weil er sich „dem tech­no­lo­gi­schen Fort­schritt ver­schlie­ssen“ wür­de. Das steht text­lich am Ende, logisch aber am Anfang des Beschlus­ses (und erin­nert an den „Fuss­schweiss des Fort­schritts“ nach Karl Kraus).

Law­ful Access: Rosenthal‘sches Modell

Was die Risi­ken betrifft, so geht der Regie­rungs­rat wohl zu Recht davon aus, dass die all­ge­mei­nen Sicher­heits­ri­si­ken zumin­dest nicht höher sind als bei einer on-prem-Lösung. Die­se Risi­ken (z.B. das Lie­fe­ran­ten­ri­si­ko) wur­den sepa­rat geprüft (zu den Rechts­grund­la­gen fin­den sich Hin­wei­se im Beschluss). Dazu kommt aber das spe­zi­fi­sche Law­ful Access-Risi­ko, also das Risi­ko, dass sich aus­län­di­sche Behör­den Zugang zu Daten verschaffen.

Die­ses Risi­ko bezieht der Regie­rungs­rat auf US-Behör­den. Der Ver­trag, den der Kan­ton 2021 und auf Basis des SIK-Ver­trags mit Micro­soft geschlos­sen hat (mit einem Zusatz, den die Daten­schutz­be­auf­trag­te gestützt hat), kommt zwar mit der iri­schen Gesell­schaft von Micro­soft zustan­de, aber das bedeu­tet nicht, dass US-Behör­den nicht u.U. über den Stored Com­mu­ni­ca­ti­ons Act – mit den Ände­run­gen durch den US CLOUD Act – auf Daten des Kan­tons zugrei­fen kön­nen. Geprüft wur­de des­halb das Risi­ko eines sol­chen Zugriffs (das ana­lo­ge Risi­ko für Irland wird im Beschluss nicht erwähnt; ob es eben­falls geprüft wur­de, geht aus dem Beschluss des­halb nicht hervor).

Der Kan­ton hat sich bei der Risi­ko­be­ur­tei­lung auf das Risi­ko­be­ur­tei­lungs­mo­dell von David Rosen­thal gestützt:

Für die Risi­ko­be­ur­tei­lung eines aus­län­di­schen Law­ful Access im Fal­le von M365 wur­de die Berech­nungs­me­tho­de von David Rosen­thal ver­wen­det […]. Die Berech­nungs­me­tho­de zur struk­tu­rier­ten Ermitt­lung der Ein­tritts­wahr­schein­lich­keit eines erfolg­rei­chen Law­ful Access durch eine aus­län­di­sche Behör­de bei einem Cloud-Vor­ha­ben ist seit 2020 unter einer frei­en Lizenz publi­ziert und wur­de durch die Inter­na­tio­nal Asso­cia­ti­on of Pri­va­cy Pro­fes­sio­nals (IAPP) über­nom­men. Die Berech­nungs­me­tho­de hat sich als Instru­ment im Schwei­zer Finanz­sek­tor eta­bliert und wird unter ande­rem auch von der Zür­cher Kan­to­nal­bank im Zusam­men­hang mit der Ein­füh­rung von M365 angewendet.

Für die­se Risi­ko­be­ur­tei­lung hat der Kan­ton einen Work­shop durch­ge­führt:

Die Risi­ko­be­rech­nung für M365 für die kan­to­na­le Ver­wal­tung wur­de in einem Work­shop mit juri­sti­schen und tech­ni­schen Fach­ex­per­tin­nen und Fach­ex­per­ten aus dem Amt für Infor­ma­tik, der Staats­an­walt­schaft, dem kan­to­na­len Steu­er­amt, der Staats­kanz­lei und der Kan­tons­po­li­zei durch­ge­führt. Für die sta­ti­sti­schen Berech­nun­gen wur­den fer­ner vom Bun­des­amt für Justiz Zah­len aus der US-Rechts­hil­fe erho­ben, ergänzt mit Erfah­rungs­wer­ten der dor­ti­gen Spe­zia­li­stin­nen und Spe­zia­li­sten im Zusam­men­hang mit abge­lehn­ten und nicht gestell­ten Gesu­chen von US-Behörden.

Das Risi­ko für einen Behör­den­zu­griff wur­de dabei als sehr nied­rig ein­ge­schätzt (unter 1% inner­halb eines Beob­ach­tungs­zeit­raums von fünf Jahren).

Risi­ko­gren­ze: 10% in 5 Jahren

Auf die­ser Basis ent­schied der Regie­rungs­rat fol­gen­de Punkte:

  • Das Risi­ko­be­ur­tei­lungs­mo­dell von David Rosen­thal wird in der kan­to­na­len Ver­wal­tung als Stan­dard­mo­dell für die Ein­schät­zung des Law­ful-Access-Risi­kos bei Cloud­lö­sun­gen eingesetzt.
  • Liegt die Ein­tre­t­rens­wahr­schein­lich­keit eines erfolg­rei­chen Law­ful Access so nied­rig, dass eine Wahr­schein­lich­keit von 90% erst bei einem Beob­ach­tungs­zeit­raum von über 100 Jah­ren erreicht wird, wird der Ein­satz der Cloud-Lösung aus der War­te des Regie­rungs­rats zuge­las­sen (was nicht heisst, dass die zustän­di­gen Behör­den nicht einen eige­nen Risi­ko­ent­scheid tref­fen müs­sen). Die­se For­mu­lie­rung der Wahr­schein­lich­keit ist viel­leicht nicht so intui­tiv, aber die­se Risi­ko­schwel­le liegt beim mehr als Zehn­fa­chen des Risi­kos für M365. In einer Beob­ach­tungs­pe­ri­ode von 5 Jah­ren ent­spricht es einem Zugriffs­ri­si­ko von ca. 10%. Der Regie­rungs­rat zieht die Gren­ze sei­ner gene­rel­len Zustim­mung damit grund­sätz­lich bei einem Risi­ko, das in der Ter­mi­no­lo­gie von Hill­son, die Rosen­thal über­nom­men hat, „sehr tief“ oder „tief“, aber noch nicht „mit­tel“ ist. Es ist ein Risi­ko, das ganz erheb­lich über den in der Pra­xis i.d.R. erreich­ten Wer­ten liegt.
  • Nur wenn das Risi­ko noch höher liegt, führt dies dazu, dass die ent­spre­chen­de Cloud-Lösung vom Regie­rungs­rat im Ein­zel­fall zuge­las­sen wer­den muss.

Anschluss­be­mer­kun­gen

Die­se Risi­ko­ein­schät­zung und ‑akzep­tanz des Regie­rungs­rats beruht auf dem Daten­schutz­recht und dem Amts­ge­heim­nis (auch wenn sich die­ses Wort im Beschluss nur ein­mal fin­det). Offen­bar geht der Regie­rungs­rat davon aus, dass ein Rest­ri­si­ko, das ex ante und lege artis auf 10% oder weni­ger inner­halb einer 5‑Jah­res-Peri­ode ver­an­schlagt wird, in Kauf genom­men wer­den darf. Das heisst u.a. auch, dass ein tat­säch­lich ein­ge­tre­te­ner Law­ful Access zwar mög­li­cher­wei­se eine Amts­ge­heim­nis­ver­let­zung bedeu­ten wür­de, dass die­se Ver­let­zung bei einer sol­chen Risi­ko­ein­schät­zung aber nicht vor­sätz­lich, nicht even­tu­al­vor­sätz­lich und nicht fahr­läs­sig began­gen wäre. Vor die­sem Hin­ter­grund ist es durch­aus bedeut­sam, dass die Risi­ko­ein­schät­zung im Rah­men von Work­shops erfolgt ist, an denen u.a. Ver­tre­ter der Staats­an­walt­schaft teil­ge­nom­men haben. Unter dem Titel des Daten­schutz­rechts gilt im Ergeb­nis der glei­che Mas­stab – hier kommt es dar­auf an, dass der Expor­teur „no rea­son to belie­ve“ hat, dass Behör­den auf Basis einer unzu­rei­chen­den Rechts­grund­la­ge auf über­mit­tel­te Per­so­nen­da­ten zugrei­fen (das lie­sse sich ver­tie­fen – so steht es aber in den Standardvertragsklauseln).

Im Ergeb­nis hat der Regie­rungs­rat dem Risi­ko­be­ur­tei­lungs­mo­dell von David Rosen­thal, das sich in der Pra­xis ver­brei­tet und bewährt hat, höhe­re Wei­hen ver­lie­hen. Es wür­de für eine Staats­an­walt­schaft oder ein Gericht schwer wer­den, die­sem Modell ent­ge­gen­zu­tre­ten, auch wenn sich die Fra­ge der Risi­ko­gren­ze – d.h. des sub­jek­ti­ven Tat­be­stands – nur schwer objek­ti­vie­ren lässt und letzt­lich von den Gerich­ten im Ein­zel­fall zu beur­tei­len wäre.

Bemer­kens­wert ist ein wei­te­rer Punkt: Bei der Risi­ko­be­ur­tei­lung hat der Regie­rungs­rat expli­zit auch das Inter­es­se aus­län­di­scher Behör­den an den frag­li­chen Daten berück­sich­tigt. Soweit pri­vatim in der aktua­li­sier­ten Fas­sung des Merk­blatts “Cloud-spe­zi­fi­sche Risi­ken und Mass­nah­men” für öffent­li­che Orga­ne von einem Null­ri­si­ko­an­satz aus­ge­gan­gen sein soll­te (was nicht klar wur­de, aber es fan­den sich im Merk­blatt ent­spre­chen­de Anzei­chen; vgl. dazu unse­ren Bei­trag), dürf­te dies vom Tisch sein.

Dass bei einer Risi­ko­be­ur­tei­lung nicht „fire and for­get“ gilt, ist dem Regie­rungs­rat bewusst. Ver­langt sei viel­mehr ein „ent­schlos­se­nes und fort­dau­ern­des Über­wa­chen sowie ein ste­ti­ges Beur­tei­len der Risi­ken“. Dafür schafft der Regie­rungs­rat die Stel­le eines Cloud-Sicher­heits­be­auf­trag­ten des Kan­tons Zürich.