Neue Aspekte im Datenschutz
Gleich zwei – wenn auch unterschiedlich aktuelle – Hinweise zum Bereich Datenschutz stellen die bisherige Praxis in Frage.
Das bezieht sich insbesondere auf die Frage danach, inwiefern ausländische Staaten auf Daten von Schweizer Behörden zugreifen können oder dürfen.
Gerade im Zusammenhang mit MS 365 und dem „CloudAct“ wird oft suggeriert, es entstehe ein quasi rechtsfreier Raum und „die USA“ könnten mehr oder weniger problemlos auf Schweizer Daten zugreifen, welche auf Servern amerikanischer Unternehmen liegen. Wer insbesondere die Rechtsgrundlagen zum CloudAct und den Datenschutzvereinbarungen etwas eingehender studiert, weiss, dass dem nicht so ist. Dazu kommt die Frage nach der Wahrscheinlichkeit, dass solche Zugriffe überhaupt beantragt werden.
Das Bild der allmächtigen amerikanischen Geheimdienste wird dabei überstrapaziert und scheint von entsprechenden Filmen abzufärben. In Tat und Wahrheit sind alle Geheimdienste letztlich staatliche Behörden
Die Stadt Zürich hat bereits 2021 ein Gutachten erstellen lassen, welches genau diese Aspekte detailliert prüfen sollte. Es wurde im August 2022 veröffentlicht. Dabei stand nicht die technische Sicherheit im Vordergrund, sondern die rechtliche. Ganz vereinfacht kann man sagen:
– Will eine amerikanische Behörde von einem amerikanischen Unternehmen die Herausgabe von Daten ausländischer Staaten oder Behörden, sind die Hürden hoch und es gibt viele Möglichkeiten, sich rechtlich zu wehren.
– Die amerikanischen Behörden akzeptieren grundsätzlich die Datenschutzbestimmungen anderer Länder oder Staatenverbünde (EU)
– Die Wahrscheinlichkeit, dass eine amerikanische Behörde überhaupt Zugriff auf solche Daten will, tendiert gegen null. Die Tatbestände, die solche Herausgaben grundsätzlich ermöglichen würden, sind Steuervergehen, Gewaltverbrechen oder Terrorismus.
Eine ähnliche Studie hat auch der Kanton Thurgau in Auftrag gegeben. Dabei ging es darum, zu entscheiden, ob die kantonale Verwaltung ihre Dienste bis hin zum Managed Workplace outsourcen kann. Dieser Entscheid ist 2023 gefallen, die Umsetzung läuft. Leider ist der entsprechende Bericht der Öffentlichkeit (noch) nicht zugänglich.
Datenschutzabkommen
Die EU hat schon vor einiger Zeit ein Datenschutzübereinkommen mit den USA abgeschlossen, welches die rechtlichen Aspekte der Datenübertragung neu regelt und Unternehmen, Behörden und Staaten beim Datenschutz stärkt.
Nun hat auch die Schweiz nachgedoppelt und ein praktisch identisches Abkommen mit den USA geschlossen.
https://www.inside-it.ch/neues-data-privacy-framework-zwischen-schweiz-und-usa-20240814
Fazit
Was nun zu tun bliebe, wäre, das Datenschützerinnen und Datenschützer diese neuen Gutachten und Vereinbarungen prüfen und dann die Nutzung von MS 365 und anderer Plattformen neu beurteilen. Insbesondere die Eintretenswahrscheinlichkeit müsste dabei eine grosse Rolle spielen.
