Dem Cloudcomputing gehört die Zukunft, und zwar bei Unternehmen aller Grössenordnungen. Eigene teure Server zu betreiben, die man wegen des technologischen Fortschritts alle paar Jahre erneuern muss, ist passé. Das ist in den informationstechnologischen Kreisen eine unbestrittene Tatsache. Trotzdem gibt es immer noch Schweizer Klein- und Mittelunternehmen, darunter namentlich auch Berufsgeheimnisträger wie Anwältinnen und Anwälte oder Ärztinnen und Ärzte, die Angst vor dem Schritt in die Cloud haben. Der Grund: Die Furcht, heikle Daten seien wegen der in den Cloudcomputinglösungen eingebundenen Anwendungen von Microsoft über den US-amerikanischen «Clarifying Lawful Overseas Use of Data ’CLOUD’ Act» der amerikanischen Justiz ausgesetzt. Diese Angst ist weitgehend unbegründet, unterstreicht der auf Daten- und Technologierecht spezialisierte Rechtsanwalt David Rosenthal in seinem Beitrag «US CLOUD Act: Warum er Cloudprojekte nicht verhindern sollte».

Angst vor dem US-Gesetz «Clarifying Lawful Overseas Use of Data ’CLOUD’ Act»

David Rosenthal stellt in seinem Beitrag «’US CLOUD Act’: Warum er Cloudprojekte nicht verhindern sollte» fest: «Cloud-basierte Lösungen werden bereits heute zahlreich genutzt, doch nun möchten auch Unternehmen und Amtsstellen mit ‘heiklen’ Daten in die Cloud und beispielsweise Umgebungen wie ‘Microsoft 365’ nutzen. Interessanterweise macht dabei den meisten Stellen beim Gang in die Cloud nicht die klassische Datensicherheit oder Fragen der ‘Business Continuity’ Sorgen, sondern die Möglichkeit eines Datenzugriffs durch ausländische Behörden, so insbesondere unter dem ‘US
CLOUD Act’».

Falsche Vorstellungen

David Rosenthal fährt fort: «Das Unheil mit dem ‘US CLOUD Act’ begann schon vor mehr als zwei Jahren: Zahlreiche Medien, aber auch Juristen stellten es als ein Gesetz dar, das US-Behörden jederzeit Zugang zu Daten in der Cloud ermöglicht. Unter den Tisch fiel dabei, dass das, was der ‘US CLOUD Act’ festschrieb, schon seit langem der US-Gerichtspraxis entsprach. Unbeachtet blieb auch, dass nach dem ‘US CLOUD Act’ und ständiger Rechtspraxis die US-Behörden selbst bei einem Cloudprovider in den USA nicht einfach auf alle Daten zugreifen können, auf die sie technisch theoretisch Zugriff erlangen könnte. Was unter dem ‘US CLOUD Act’ möglich ist, ist weder spektakulär, noch ungewöhnlich, noch spielt es im Behördenalltag eine grosse Rolle.»

Rechtliche Anforderungen an Cloudprojekte

Wie können Cloudprojekte trotz des «US CLOUD Act» selbst mit heiklen Daten von Berufsgeheimnisträgern realisiert werden? Laut David Rosenthal liefert dafür die herrschende Rechtslehre die beste Antwort: «Wer eine Cloudlösung mit berufsgeheimnisgeschützten Daten realisieren will, muss nebst den klassischen Massnahmen zur Datensicherheit, Business Continuity und Erfüllung aufsichtsrechtlicher Anforderungen eine Risikoeinschätzung vornehmen und ‘geeignete’ Massnahmen treffen, um das Restrisiko eines Zugriffs durch ausländische Behörden – auch ‘lawful access’ genannt – auf ein akzeptables Niveau zu senken.»

Risikobeurteilungsmodell als Lösung

David Rosenthal hat ein Excel-basiertes Risikobeurteilungsmodell entwickelt, das für alle möglichen Cloudlösungsmodelle die Eintrittswahrscheinlichkeit eines erfolgreichen rechtmässigen Zugriffs einer ausländischen Behörde auf Daten offenlegt.
Wörtlich sagt David Rosenthal: «Um das Risikobeurteilungsmodell einem breiteren Publikum zugänglich zu machen, habe ich mich entschlossen, es unter einer freien Lizenz zu veröffentlichen, und zwar zusammen mit einer wissenschaftlichen Abhandlung darüber, ob und unter welchen Bedingungen es erlaubt ist, mit Berufs- und Amtsgeheimnissen in die Cloud zu gehen. Neben dem Excel-basierten Risikobeurteilungsmodell, lege ich darin auch dar, wie sich die auf den ersten Blick widersprechenden Ausführungen in der Schweizer Lehre zum Thema auf einen Nenner bringen lassen. Das Risikobeurteilungsmodell ist hier abrufbar. Der wissenschaftlichen Beitrag «Mit Berufsgeheimnissen in die Cloud: So geht es trotz ‘US CLOUD’ Act» ist hier und der Anhang «Ausländischer ‘Lawful Access’: Wahrscheinlichkeitsbeurteilung und Gegenmassnahmen» ist hier verfügbar.

Hier findet man den gesamten Beitrag «’US CLOUD Act’: Warum er Cloudprojekte nicht verhindern sollte» von David Rosenthal, Rechtsanwalt bei der Zürcher Anwaltskanzlei VISCHER AG.