In letzter Zeit gerät der Datenschutz unter Druck. Der Begriff "Datenschutz" hatte bisher eine positive Bedeutung: Daten von Bürgern sollen geschützt werden. Neuerdings beginnt sich das Blatt zu wenden, indem Datenschutz als Verhinderer umdefiniert wird. Datenschutz wird gegen Innovation positioniert. Auf dem Weg zur notwendigen Digitalisierung, Bewältigung der Energiekrise, und Verhinderung von Straftaten, soll der Datenschutz nicht im Wege stehen. Datenschutz wird als bürokratisches Hemmnis beschuldigt. Auf dieser Bühne befinden sich Datenschützer von Amts wegen, alle anderen Behörden und private Anwälte.
Den föderalen Behörden (Bund, Länder und Gemeinden) steht das Wasser der Inkompetenz und der Druck der Digitalisierung bis zum Halse. Um schnell modern zu wirken, kniet man vor den preislich unschlagbaren Angeboten der Hyperscaler zu Boden. Man kennt es nicht anders (z.B.: Microsoft 365) und möchte auch nicht über den Tellerrand (z.B.: Nextcloud) hinausblicken.
Diese Geschichte spielt in der Schweiz, lässt sich aber durchaus auf andere Länder übertragen.
Die Behörden
Die Schweizer Bundesverwaltung hat die Rahmenverträge für den Bezug von Public-Cloud-Services mit 5 Anbietern unterzeichnet. Die entsprechenden Zuschläge an die 4 US-Konzerne Microsoft, Oracle, IBM und AWS sowie den chinesischen Anbieter Alibaba wurden 2021 getroffen. Nachdem im März 2022 die Vertragsverhandlungen begonnen hatten, wurden die Verträge mittlerweile unterzeichnet.
Der Regierungsrat Zürich hat beschlossen, den Einsatz der Cloud-Lösung Microsoft 365 in der kantonalen Verwaltung zuzulassen. Dies gilt laut dem entsprechenden Beschluss für sämtliche der IKT-Strategie unterstehenden Einheiten sowie die Kantonspolizei. Kanton und Stadt Zürich sind auf der Basis von juristischen Gutachten vorgeprescht und wollen in ihrer Verwaltung den Einsatz von US-Clouddiensten vereinfachen. Die Gutachten wurden von zwei renommierten IT-Kanzleien erstellt: Laux und Rosenthal. (Christian Laux hatten wir bei GNU/Linux.ch im Interview, als es um das Thema "Haftung von Behörden bei Datenverlust" ging.)
Die Kernaussage dieser Gutachten ist: "Der Cloud Act kann uns nichts anhaben; alles ist nur eine Wahrscheinlichkeitsrechnung." Es wird argumentiert, dass, selbst wenn Daten bei Anbietern von US-Cloud-Anbietern lägen, die Zugriffswahrscheinlichkeit bei 0,0001 % läge.
Ich fasse zusammen: Die Behörden auf allen föderalen Ebenen versuchen, mit Gutachten von Rechtsanwälten den Datenschutz auszuhebeln. Das deute ich als Mischung aus Unbeholfenheit, Gewohnheit und Ängsten. Um es böse zu formulieren: Die Schweizer Behörden- und Firmenlandschaft hält viel von ihrer Staatsform (Nutzen), aber anerkennt die internationalen Cloud-Dienste als ihre Herrscher, wenn es um Best Practices und Kostenoptimierung geht.
Die Datenschützer
Fun Fact: Die Datenschützer auf Kantons- und Bundes-Ebene sind selbstverständlich auch Behörden, nehmen aber eine konträre Position ein und werden damit ihrer Aufgabe gerecht. Deutliche Worte fand der Eidgenössische Datenschutzbeauftragte Adrian Lobsiger. Er warnt Behörden davor, sich auf die privaten Gutachten zu verlassen. Auch der Basler Datenschützer (Beat Rudin) bemängelt das Vorgehen und befürchtet wegweisenden Charakter. Exekutiven könnten "noch so viele Gutachten von Anwälten und Anwältinnen einholen – die Gesamtverantwortung bleibt bei ihnen".
Den letzten Satz sollte man noch einmal lesen und ihn sich auf der Zunge zergehen lassen. Durch Menschenrechte und Verfassungen garantierter Datenschutz kann nicht externalisiert werden; jede Behörde haftet für alles, was Microsoft und Co. mit den Bürgerdaten veranstaltet, auch wenn die Firmen ihre Rechenzentren in das Nutzungsland verlagern.
Seit dem Beschluss des Zürcher Regierungsrats, häufen sich in Büro von Dominika Blonski (Datenschutzbeauftragte für den Kanton Zürich) die Anfragen für die Cloudnutzung von kleineren Verwaltungen: Gemeinden, Schulen, Kirchgemeinden. Sie sagt:
Die statistische Methode von Rosenthal sei gesetzlich unnötig und nicht zielführend. Für Daten unter einer besonderen Geheimhaltungsvorschrift wie Steuerdaten oder Gesundheitsdaten ist die Nutzung der Cloud-Dienste von US-Anbietern rechtlich ausgeschlossen – selbst wenn die Zugriffswahrscheinlichkeit bei 0,0001 Prozent liegen würde. Den Cloud-Act kann man nicht juristisch wegdefinieren oder statistisch relativieren.
Ich weiss nicht, was die Absicht der Regierung war, aber der juristische Weg in die Cloud lässt sich nicht abkürzen.
Der Eidgenössische Datenschützer, Adrian Lobsiger, stösst ins gleiche Horn und sagt:
Vertrauen Behörden nur auf private Gutachten, können sie sich eine blutige Nase holen.
Lesenswert finde ich in diesem Zusammenhang den neuen Leitfaden der Datenschutzbeauftragten des Kantons Zürich über die Nutzung externer Cloud-Dienste. Ich empfehle euch, diesen Leitfaden zu lesen. Am Ende findet man diese Perle (gekürzt):
Überlegungen zu den folgenden Möglichkeiten sind in den Evaluationsprozess einzubeziehen, um den erforderlichen Schutz für die Daten zu erreichen:
...
Nutzung von Produkten wie Dataport, Nextcloud prüfen
...
Ich wünsche euch ein wohliges Wochenende.
Quellen:
- https://www.inside-it.ch/zuercher-datenschuetzerin-zum-cloudeinsatz-der-regierungsratsbeschluss-aendert-gar-nichts-20220930
- https://www.inside-it.ch/it-woche-datenschutz-vs-justiz-%E2%80%93-wer-gewinnt-20220930
- https://www.inside-it.ch/cloud-kanton-zuerich-laesst-microsoft-365-zu-20220419
- https://www.inside-it.ch/public-cloud-der-bund-hat-vertraege-mit-hyperscalern-unterzeichnet-20220927
- https://www.inside-it.ch/cloud-kanton-zuerich-laesst-microsoft-365-zu-20220419
- https://www.datenschutz.ch/mitteilungen/2022/neuer-leitfaden-nutzung-externer-cloud-dienste
- https://docs.datenschutz.ch/u/d/publikationen/leitfaeden/leitfaden_nutzung_externer_cloud_dienste.pdf
Danke Ralf. Ich sehe dass genau so. Allerdings sind Politik und Management in Firmen leider arg Berater/Lobby getrieben anstatt sich mal selber zu informieren und dann ein Bild zu machen.
Ich kann die beschriebene Situation gut nachvollziehen, da an tertiären Bildungseinrichtungen ähnliche Strategien wahrnehmbar sind. An der Hochschule Düsseldorf bspw. ist Microsoft 365 spätestens seit Beginn der Pandemie per "IT-Benutzungsordnung" vorgeschrieben. DSB, CISO, CIO und Präsidium haben Sicherheitsbedenken und Warnungen bzgl. Datenschutz nicht ernst genommen. Es wirkt so als seien zuvor genannte Positionen Lobbyisten des Software-Herstellers aus Redmond, USA. Ursachen liegen dabei höchstwahrscheinlich an der oft fehlenden Unabhängigkeit sowie Gewöhnung Produkte von Big Tech Konzernen: https://gano.ven.uber.space/die-bildungspolitik-als-komplize-bei-datendeals-mit-drogen-frei-cloud