Wie US-Clouds die digitale Souveränität der Schweiz unter Druck setzen

Sie sind seit über fünf Jahren Datenschutzbeauftragte des Kantons Zürich. Was hat sich in dieser Zeit an Ihrer Rolle am stärksten verändert, insbesondere im Hinblick auf Cloud-Dienste?

Dominika Blonski: In den früheren Jahren machte sich eine zunehmende Unsicherheit bei den öffentlichen Organen bemerkbar, ob einzelne Cloud-Vorhaben datenschutzkonform sind oder nicht. Gerade zu Beginn waren sich viele öffentliche Organe nicht bewusst, dass der Cloud Act – Clarifying Lawful Overseas Use of Data Act – als US-Gesetz den dortigen Behörden ermöglicht, Zugriff auf Personendaten aus Europa zu erhalten, ohne dass die offiziellen Amtshilfewege eingehalten werden müssen. Entsprechend wurde das Interesse an einer Beratung durch die Datenschutzbeauftragten immer grösser. In den vergangenen Jahren hat sich das Bewusstsein der öffentlichen Organe hinsichtlich Cloud-Anwendungen geschärft. Und aktuell hat sich die Diskussion mehr in Richtung Datenschutzkonformität von KI-Anwendungen verlagert.

Beobachten Sie in der Verwaltung ein wachsendes Bewusstsein für Cloud-Compliance, oder steht eher die schnelle, kosteneffiziente Umsetzung im Vordergrund?

Hinsichtlich Cloud macht sich bei den öffentlichen Organen zunehmend ein Bewusstsein dafür bemerkbar, dass Clouds von grossen US-Unternehmen zwar grosse Skalierungseffekte bringen, aber vor allem im Zusammenhang mit besonderen Personendaten zu einem erhöhten Risiko von Grundrechtsverletzungen führen. Bei besonderen Personendaten handelt es sich um Informationen, bei denen die besondere Gefahr einer Persönlichkeitsverletzung besteht. Dazu gehören Informationen über die religiösen, weltanschaulichen oder politischen Ansichten oder Tätigkeiten, die Gesundheit, die Intimsphäre, die ethnische Herkunft sowie genetische und biometrische Daten, Massnahmen der sozialen Hilfe, administrative oder strafrechtliche Verfolgungen oder Sanktionen. Hinsichtlich dieser Arten von Personendaten werden sich viele öffentliche Organe der Risiken von US-Unternehmen immer bewusster und hinterfragen kosteneffiziente Modelle bezüglich der Datenschutzkonformität. Dies gilt umso mehr, als in den letzten Jahren das Bewusstsein der öffentlichen Organe wuchs, dass die Verwendung von Cloud-Software eine Auslagerung – Outsourcing – darstellt und dabei die Verantwortung für die Datenbearbeitung bei den öffentlichen Organen bleibt und nicht etwa auf die Cloud-Betreibenden übergeht.

Im Interview, das wir vor rund zwei Jahren mit ­Ihnen geführt haben, sagten Sie, dass ein datenschutzkonformer Betrieb der Microsoft Cloud für öffentliche Organe mit hohen Hürden verbunden sei. Hat sich Ihre Einschätzung seither geändert?

Nein, im Gegenteil. Wenn es um die M365-Cloud geht, hat Micro­soft weiterhin Zugriff auf sämtliche Personendaten, die in der Cloud bearbeitet werden. Microsoft bietet mittlerweile zwar verschiedene Möglichkeiten an, wie der Zugriff vertraglich geregelt werden soll. So gibt es etwa die Customer-Lockbox-Variante, bei der Microsoft zusichert, nur mit Genehmigung des öffentlichen Organs auf die in der Cloud bearbeiteten Perso­nendaten zuzugreifen. Das ändert jedoch nichts daran, dass Microsoft jederzeit auch ohne eine Genehmigung auf die Personendaten zugreifen und diese an US-Behörden weitergeben kann. Entsprechend sind öffentliche Organe weiterhin selbst angehalten, Lösungen zu suchen, die eine Verschlüsselung von besonderen Personendaten gegenüber Microsoft erlauben. Dies wäre beispielsweise mit einem Cloud Access Security Broker – CASB – aus der Schweiz oder einem EU-Staat möglich: Der CASB verschlüsselt die Personen­daten gegenüber Microsoft und verwaltet den Schlüssel dafür so, dass Microsoft keinen Zugriff auf den Schlüssel erhält.

Microsoft hat seither die «EU Data Boundary» ­eingeführt und es gibt das «EU-US Data Privacy Framework». Inwiefern verändern diese Massnahmen die Risikobewertung für Zürcher Gemeinden oder kantonale Stellen, die M365 nutzen oder einführen wollen?

Die Frage der Zulässigkeit der Bearbeitung von besonderen Personendaten verändert sich damit nicht. Beim «EU Data Boundary» handelt es sich nicht um eine technische Massnahme, die verhindert, dass Microsoft Zugriff auf besondere Personendaten erhält. Es handelt sich lediglich um ein nicht überprüfbares Versprechen seitens Microsoft, dass die Personendaten auf Servern im EU-Raum gespeichert werden. Die Frage des Zugriffs aus den USA, bei der der Speicherort keine Rolle spielt, wird dabei nicht aufgefangen. Bezüglich des EU-US-Data-Privacy-Frameworks gilt es hervorzuheben, dass dieses nichts an der Anwendbarkeit und damit der Problematik des Cloud Acts ändert. Zudem gilt das US Data Privacy Framework nur für Datenbekanntgaben, also wenn beispielsweise ein öffentliches Organ aus der Schweiz Personendaten an Dritte in den USA bekannt gibt. Das Framework gelangt jedoch nicht beim Outsourcing zur Anwendung. Bei Auslagerungskonstellationen, in denen US-amerikanische Anbieter beteiligt sind, ist der Cloud Act deshalb nach wie vor relevant, unabhängig davon, ob der Anbieter nach dem Data Privacy Framework zertifiziert ist oder nicht.

Öffentliche Verwaltungen in der Schweiz betonen zunehmend die Bedeutung der digitalen Souveränität. Dennoch begeben sie sich immer weiter in die Abhängigkeit von Microsoft. Wie erklären Sie sich diesen scheinbaren Widerspruch zwischen Anspruch und Realität?

Digitale Souveränität bedeutet kurz- bis mittelfristig mehr Aufwand. Es muss entweder eine eigene IT-Infrastruktur aufgebaut oder es müssen Abklärungen über datenschutzkonforme Alternativen zu Microsoft gemacht werden. Es gibt zahlreiche Anbieter von Cloud-Diensten in Europa und auch in der Schweiz. Diese sind jedoch nicht gleich marktpräsent und erfordern entsprechend Abklärungen seitens der öffentlichen Organe. Dem stehen die Einfachheit und die grossen Skalierungseffekte von Microsoft gegenüber. Zudem haben öffentliche Organe intern verschiedene Interessengruppen. Wenn sich die internen Datenschutzstellen für die digitale Souveränität starkmachen, müssen sie auch Entscheidungsträger überzeugen können, die andere Interessen, beispielsweise Finanzinteressen, verfolgen.

Inwiefern stellt der US Cloud Act für europäische Unternehmen eine Gefahr dar? Ist er lediglich ein theoretisches Risiko oder eine reale Bedrohung für die Datensouveränität?

Es handelt sich um ein reales Risiko: Die Zugriffe durch US-Behörden finden statt. Grosse Unternehmen wie Microsoft oder Amazon Web Services (AWS) veröffentlichen hierzu freiwillige Transparency Reports, wobei in diesen Reports nicht festgehalten wird, aus welchem Grund und gegenüber welchen Personen die Zugriffe erfolgt sind. Es fehlt an vollständiger Transparenz, da der Cloud Act die Unternehmen nicht verpflichtet, Zugriffe von US-Behörden in Anwendung des Cloud Acts offenzulegen beziehungsweise dies sogar untersagt werden kann. Die fehlende Transparenz ist bedenklich, weil so die effektive Anzahl der Grundrechtsverletzungen konkret nicht nachvollzogen werden kann.

Zahlreiche Anbieter, darunter auch Micro­soft oder SAP, werben heute mit «Sovereign Cloud»-Lösungen. Garantieren solche Lösungen tatsächlich die Einhaltung europäischer Datenschutz- und Sicherheitsstandards oder handelt es sich vielmehr um Marketingversprechen oder «Souveränitäts-Washing»?

Es handelt sich um ähnliche Begriffe wie das EU Data Boundary. Sofern «Souveränität» den Speicherort betrifft, so ist dieser für die Anwendung des Cloud Act irrelevant. Massgebend sind die Unternehmensstruktur beziehungsweise die Konzernverhältnisse. Wenn innerhalb einer Konzerngruppe ein oder mehrere Unternehmen US-Sitze aufweisen, ist der Cloud Act anwendbar. Bei der Frage der Souveränität ist somit nicht der Speicherort massgebend, sondern der Standort, von dem aus die Unternehmen agieren. Wo sitzt die Muttergesellschaft? Wo haben auch Tochterunternehmen ihren Sitz? Von wo aus sind Unterauftragnehmer tätig? Die Einhaltung europäischer Datenschutz- und Sicherheitsstandards kann nur dann gewährleistet sein, wenn Unternehmen und Konzerne keinen Anknüpfungspunkt in den USA haben.

2024 haben Sie einen Leitfaden veröffentlicht, der für besonders schützenswerte Daten aufwendige Verschlüsselungsmethoden wie Double Key Encryption oder Cloud Access Security Brokers empfiehlt. Wie hat sich dieser Leitfaden in der Praxis bewährt, und wie fiel die Resonanz aus den Gemeinden aus?

Die Resonanz war überaus positiv. Die Gemeinden zeigten sich froh um eindeutig bezeichnete Schlüsselmethoden und klare Handlungsempfehlungen bei der Implementierung von Cloud-Software. Zudem erwirkte der Leitfaden eine erhöhte Sensibilisierung für das Risiko von besonderen Personendaten in einer US-Cloud.

Ihr Leitfaden setzt auf das Prinzip «Souveränität durch Verschlüsselung». Ist dies eine nachhaltige Strategie für die Schweiz oder eher ein Workaround, der eine politische Lösung für die Abhängigkeit von US-Hyperscalern hinauszögert?

Beim Schutz vor dem Zugriff durch US-Behörden via Cloud Act geht es um mehr als die «Souveränität». Öffentliche Organe haben verschiedene Pflichten aus dem kantonalen Datenschutzgesetz einzuhalten. Die Personendaten müssen ständig verfügbar sein, sodass die öffentlichen Organe Zugangsgesuche von betroffenen Personen behandeln und Rechenschaft ablegen können. Das öffentliche Organ muss dafür sorgen, dass sämtliche Datenbearbeitungen von einer genügenden Rechtsgrundlage gedeckt sind, die Datenbearbeitung allein dem gesetzlich festgelegten Zweck dient und dass Datenschutzvorfälle erkannt und der Datenschutzbeauftragten gemeldet werden. Wenn der Betrieb einer Cloud eine derartige Nachvollziehbarkeit nicht ermöglicht, kann das öffentliche Organ seine Verantwortlichkeiten nach kantonalem Datenschutzgesetz gar nicht wahrnehmen. Die datenschutzkonforme Nutzung von Clouds liegt somit im direkten Interesse des öffentlichen Organs und nicht einer gesamtstaatlichen Souveränität.

Seit unserem letzten Gespräch schmiedete der Bund Pläne für die Swiss Government Cloud. Wird dieses Vorhaben Schweizer Gemeinden digital unabhängiger machen?

Eine durch den Bund gehostete Cloud hätte das Potenzial, dass datenschutzkonforme Lösungen einheitlich für zahlreiche Gemeinden und weitere öffentliche Organe zugänglich werden. Der Skalierungseffekt und die Infrastruktur wären vergleichbar mit jenen von grossen US-Unternehmen, aber ohne dass Kompromisse beim Datenschutz und beim Zugriff durch US-Behörden eingegangen werden müssten. Eine Lösung des Bundes ist jedoch so zu prüfen wie andere Lösungen auch. Aktuell sind keine konkreten Einschätzungen zum Datenschutz der Swiss Government Cloud möglich.

Viele Verwaltungen lagern die Cloud-Komplexität an Managed Service Provider aus. Wo sehen Sie die grössten Risiken in dieser Dreiecksbeziehung zwischen Verwaltung, IT-Dienstleister und Hyperscaler?

Wird ein Dritter einbezogen, der die Personendaten gegenüber dem Cloud-Anbieter aus den USA verschlüsseln könnte und nur den Weisungen des öffentlichen Organs unterliege, wären solche Dreiecksverhältnisse zu begrüssen. Das Problem bei der Einschaltung von zahlreichen Unterauftragnehmern ist, dass auch der Zugriff auf die Personendaten weniger einfach nachvollzogen werden kann und komplexe internationale Verhältnisse bestehen, deren Risiken so für das öffentliche Organ nicht mehr einschätzbar sind. Entsprechend müssen neben technischen Massnahmen dann auch vertragliche Absicherungen geprüft werden, die sicherstellen, dass das öffentliche Organ seinen Pflichten nach dem kantonalen Datenschutzgesetz nachkommen kann.

Der Einsatz cloudbasierter KI-Dienste nimmt rasant zu – oft auch in Kombination mit bestehenden M365-Umgebungen. Welche Auswirkungen hat das auf Ihre Arbeit?

Die Datenschutzgesetzgebung unterscheidet nicht zwischen Cloud oder KI. Beide Arten der Datenbearbeitungen müssen die Vorgaben des kantonalen Datenschutzgesetzes einhalten. Bei der generativen KI tritt erschwerend hinzu, dass die öffentlichen Organe häufig aufgrund fehlender Transparenz gar nicht nachvollziehen können, wie und wo Personendaten bearbeitet werden. So stellen sich komplexe Fragen, die jedes öffentliche Organ für die Wahrnehmung seiner Verantwortung abklären muss: Auf welchen Servern werden die Prompts gespeichert? Auf welchen Servern wird das Large Language Model (LLM) gehostet? Wer hat auf die einzelnen Personendaten Zugriff? Mit welchen Personendaten wird das LLM trainiert?

Seien wir ehrlich: In vielen Verwaltungen dürften Mitarbeitende die befürchtete Schatten-KI nutzen. Wie lässt sich so der Datenschutz noch sicherstellen?

Mitarbeitende sind zu schulen und über die Risiken von KI-Applikationen, die nicht datenschutzkonform sind, aufzuklären. Dabei ist das öffentliche Organ als Arbeitgeber dafür verantwortlich, dass Mitarbeitende die Informationssicherheitsvorgaben kennen. Ausserdem sind auch Begrifflichkeiten zu klären: Während die Bearbeitung von anonymisierten Personendaten mit KI unproblematisch ist, bleiben beispielsweise bei pseudonymisierten Personendaten, insbesondere bei besonderen Personendaten, immer noch erhebliche Risiken. Anonymisiert bedeutet, dass der Personenbezug einer Information dauerhaft aufgehoben und nicht rückgängig gemacht werden kann. Pseudonymisierung bedeutet hingegen, dass der Personenbezug mit genügend Informationen wiederhergestellt werden kann. Diese Aufklärungsarbeit erhöht entsprechend auch den in öffentlichen Organen «gelebten» Datenschutz.

Gibt es trotz aller Hürden gute Beispiele aus dem Kanton Zürich, wo der Spagat zwischen innovativen Cloud-Technologien und einem konsequenten Datenschutz aus Ihrer Sicht gut gelingt?

Viele öffentliche Organe im Kanton Zürich treiben technologische Innovationen voran und arbeiten parallel an der Informationssicherheit und den datenschutzrechtlichen Massnahmen ihrer Projekte. Gerade bei der Bearbeitung von besonderen Personendaten wird häufig mit der Anonymisierung von Personendaten gearbeitet, damit der Personenbezug dauerhaft aufgehoben werden kann. Zudem werden auch technische Lösungen wie Confidential Computing oder Edge-Processing geprüft. Dabei handelt es sich um Verschlüsselungslösungen, die auf den lokalen Geräten stattfinden und den Zugriff auf Personendaten durch den Cloud-Betreiber verhindern.

Was würden Sie IT-Providern und Systemintegratoren raten, die öffentliche Auftraggeber beim Cloud-Einsatz begleiten – gerade mit Blick auf Transparenz und Datenschutz?

Von einer «One-Size-Fits-All»-Lösung, wie sie eben oft im Geschäftsmodell von US-Cloud-Betreibern implementiert ist, ist abzusehen. Jedes öffentliche Organ hat seine spezifischen, gesetzlich festgelegten Aufgaben, die es erfüllen muss. Dabei stellt sich die Frage, für welche Aufgaben Personendaten und für welche hingegen besondere Personendaten zu bearbeiten sind. Bei Personendaten genügen einfachere Lösungen. Bei besonderen Personendaten sollte auf den Beizug von US-Unternehmen als Auftragnehmer beziehungsweise Unterauftragnehmer verzichtet werden, da hier wegen des Cloud Acts erhebliche Risiken für die Grundrechte der betroffenen Personen bestehen. Werden trotzdem US-Unternehmen beigezogen, müssen Massnahmen wie eine Verschlüsselung gegenüber diesen Unternehmen oder die Anonymisierung von besonderen Personendaten vor Übermittlung in die Cloud geprüft werden.

Zur Person
Dominika Blonski ist seit Mai 2020 Datenschutzbeauftragte des Kantons Zürich. Zuvor war sie bereits sechs Jahre im Team des vorherigen Datenschutzbeauftragten tätig. Die promovierte Juristin verfügt über einen Executive Master of Public Administration sowie einen CAS in Information Security Management. Sie ist Vizepräsidentin der Organisation Privatim und lehrt zudem an der Universität Bern ­Digitalisierung und Datenschutz.