Zulassung von M365
Der Zürcher Regierungsrat hat 30. März 2022 einen am 14. April 2022 publizierten Beschluss mit dem Titel „Einsatz von Cloud-Lösungen in der kantonalen Verwaltung, (Microsoft 365), Zulassung“ gefällt (RRB 542/2022).
Dabei geht es um den Einsatz von M365 und insbesondere Exchange Online und Teams, das als on-premise-Lösung gar nicht existiert und mit zunehmender Verbreitung daher zum Gang in die Cloud zwingt. Zu diesem Gang sieht der Kanton Zürich denn auch keine Alternative, was er recht plakativ beschreibt: Ohne Cloud begäbe sich der Kanton „ins technologische Abseits“, weil er sich „dem technologischen Fortschritt verschliessen“ würde. Das steht textlich am Ende, logisch aber am Anfang des Beschlusses (und erinnert an den „Fussschweiss des Fortschritts“ nach Karl Kraus).
Lawful Access: Rosenthal‘sches Modell
Was die Risiken betrifft, so geht der Regierungsrat wohl zu Recht davon aus, dass die allgemeinen Sicherheitsrisiken zumindest nicht höher sind als bei einer on-prem-Lösung. Diese Risiken (z.B. das Lieferantenrisiko) wurden separat geprüft (zu den Rechtsgrundlagen finden sich Hinweise im Beschluss). Dazu kommt aber das spezifische Lawful Access-Risiko, also das Risiko, dass sich ausländische Behörden Zugang zu Daten verschaffen.
Dieses Risiko bezieht der Regierungsrat auf US-Behörden. Der Vertrag, den der Kanton 2021 und auf Basis des SIK-Vertrags mit Microsoft geschlossen hat (mit einem Zusatz, den die Datenschutzbeauftragte gestützt hat), kommt zwar mit der irischen Gesellschaft von Microsoft zustande, aber das bedeutet nicht, dass US-Behörden nicht u.U. über den Stored Communications Act – mit den Änderungen durch den US CLOUD Act – auf Daten des Kantons zugreifen können. Geprüft wurde deshalb das Risiko eines solchen Zugriffs (das analoge Risiko für Irland wird im Beschluss nicht erwähnt; ob es ebenfalls geprüft wurde, geht aus dem Beschluss deshalb nicht hervor).
Der Kanton hat sich bei der Risikobeurteilung auf das Risikobeurteilungsmodell von David Rosenthal gestützt:
Für die Risikobeurteilung eines ausländischen Lawful Access im Falle von M365 wurde die Berechnungsmethode von David Rosenthal verwendet […]. Die Berechnungsmethode zur strukturierten Ermittlung der Eintrittswahrscheinlichkeit eines erfolgreichen Lawful Access durch eine ausländische Behörde bei einem Cloud-Vorhaben ist seit 2020 unter einer freien Lizenz publiziert und wurde durch die International Association of Privacy Professionals (IAPP) übernommen. Die Berechnungsmethode hat sich als Instrument im Schweizer Finanzsektor etabliert und wird unter anderem auch von der Zürcher Kantonalbank im Zusammenhang mit der Einführung von M365 angewendet.
Für diese Risikobeurteilung hat der Kanton einen Workshop durchgeführt:
Die Risikoberechnung für M365 für die kantonale Verwaltung wurde in einem Workshop mit juristischen und technischen Fachexpertinnen und Fachexperten aus dem Amt für Informatik, der Staatsanwaltschaft, dem kantonalen Steueramt, der Staatskanzlei und der Kantonspolizei durchgeführt. Für die statistischen Berechnungen wurden ferner vom Bundesamt für Justiz Zahlen aus der US-Rechtshilfe erhoben, ergänzt mit Erfahrungswerten der dortigen Spezialistinnen und Spezialisten im Zusammenhang mit abgelehnten und nicht gestellten Gesuchen von US-Behörden.
Das Risiko für einen Behördenzugriff wurde dabei als sehr niedrig eingeschätzt (unter 1% innerhalb eines Beobachtungszeitraums von fünf Jahren).
Risikogrenze: 10% in 5 Jahren
Auf dieser Basis entschied der Regierungsrat folgende Punkte:
- Das Risikobeurteilungsmodell von David Rosenthal wird in der kantonalen Verwaltung als Standardmodell für die Einschätzung des Lawful-Access-Risikos bei Cloudlösungen eingesetzt.
- Liegt die Eintretrenswahrscheinlichkeit eines erfolgreichen Lawful Access so niedrig, dass eine Wahrscheinlichkeit von 90% erst bei einem Beobachtungszeitraum von über 100 Jahren erreicht wird, wird der Einsatz der Cloud-Lösung aus der Warte des Regierungsrats zugelassen (was nicht heisst, dass die zuständigen Behörden nicht einen eigenen Risikoentscheid treffen müssen). Diese Formulierung der Wahrscheinlichkeit ist vielleicht nicht so intuitiv, aber diese Risikoschwelle liegt beim mehr als Zehnfachen des Risikos für M365. In einer Beobachtungsperiode von 5 Jahren entspricht es einem Zugriffsrisiko von ca. 10%. Der Regierungsrat zieht die Grenze seiner generellen Zustimmung damit grundsätzlich bei einem Risiko, das in der Terminologie von Hillson, die Rosenthal übernommen hat, „sehr tief“ oder „tief“, aber noch nicht „mittel“ ist. Es ist ein Risiko, das ganz erheblich über den in der Praxis i.d.R. erreichten Werten liegt.
- Nur wenn das Risiko noch höher liegt, führt dies dazu, dass die entsprechende Cloud-Lösung vom Regierungsrat im Einzelfall zugelassen werden muss.
Anschlussbemerkungen
Diese Risikoeinschätzung und ‑akzeptanz des Regierungsrats beruht auf dem Datenschutzrecht und dem Amtsgeheimnis (auch wenn sich dieses Wort im Beschluss nur einmal findet). Offenbar geht der Regierungsrat davon aus, dass ein Restrisiko, das ex ante und lege artis auf 10% oder weniger innerhalb einer 5‑Jahres-Periode veranschlagt wird, in Kauf genommen werden darf. Das heisst u.a. auch, dass ein tatsächlich eingetretener Lawful Access zwar möglicherweise eine Amtsgeheimnisverletzung bedeuten würde, dass diese Verletzung bei einer solchen Risikoeinschätzung aber nicht vorsätzlich, nicht eventualvorsätzlich und nicht fahrlässig begangen wäre. Vor diesem Hintergrund ist es durchaus bedeutsam, dass die Risikoeinschätzung im Rahmen von Workshops erfolgt ist, an denen u.a. Vertreter der Staatsanwaltschaft teilgenommen haben. Unter dem Titel des Datenschutzrechts gilt im Ergebnis der gleiche Masstab – hier kommt es darauf an, dass der Exporteur „no reason to believe“ hat, dass Behörden auf Basis einer unzureichenden Rechtsgrundlage auf übermittelte Personendaten zugreifen (das liesse sich vertiefen – so steht es aber in den Standardvertragsklauseln).
Im Ergebnis hat der Regierungsrat dem Risikobeurteilungsmodell von David Rosenthal, das sich in der Praxis verbreitet und bewährt hat, höhere Weihen verliehen. Es würde für eine Staatsanwaltschaft oder ein Gericht schwer werden, diesem Modell entgegenzutreten, auch wenn sich die Frage der Risikogrenze – d.h. des subjektiven Tatbestands – nur schwer objektivieren lässt und letztlich von den Gerichten im Einzelfall zu beurteilen wäre.
Bemerkenswert ist ein weiterer Punkt: Bei der Risikobeurteilung hat der Regierungsrat explizit auch das Interesse ausländischer Behörden an den fraglichen Daten berücksichtigt. Soweit privatim in der aktualisierten Fassung des Merkblatts “Cloud-spezifische Risiken und Massnahmen” für öffentliche Organe von einem Nullrisikoansatz ausgegangen sein sollte (was nicht klar wurde, aber es fanden sich im Merkblatt entsprechende Anzeichen; vgl. dazu unseren Beitrag), dürfte dies vom Tisch sein.
Dass bei einer Risikobeurteilung nicht „fire and forget“ gilt, ist dem Regierungsrat bewusst. Verlangt sei vielmehr ein „entschlossenes und fortdauerndes Überwachen sowie ein stetiges Beurteilen der Risiken“. Dafür schafft der Regierungsrat die Stelle eines Cloud-Sicherheitsbeauftragten des Kantons Zürich.