Stadt Zürich nutzt Cloud-Services in der städtischen Verwaltung

Zürich, 13. Juli 2022.

Beschluss des Stadtrats der Stadt Zürich (STRB Nr. 670/2022): Cloud-Services werden in der Stadt Zürich ermöglicht. Der Stadtrat stellt in seinem Beschluss auf einRechtsgutachten von Laux Lawyers AG zur Rechtmässigkeit der Cloud-Nutzung ab.

Die Dienstabteilung «Organisation und Informatik der Stadt Zürich» (OIZ) stellt ein standardisiertes stadtweites Service-Angebot (SSA) zur Nutzung durch die anderen Organisationseinheiten der Stadt Zürich bereit. Der Stadtrat hat nun entschieden, dass die OIZ dieses unter Rückgriff auf Cloud-Services bereitstellen kann. Die Stadt Zürich soll externe Cloud-Services auf rechtskonforme, sichere und risikoarme Weise nutzen können, um insbesondere auch von Innovationen und/oder Kostenvorteilen zu profitieren.

Der Stadtrat hat dazu eine neue «Richtlinie zur Nutzung von Cloud-Services für standardisierte stadtweite Service-Angebote» (Richtlinie Cloud-SSA) erlassen, die am 1. August 2022 in Kraft getreten ist. Diese regelt die mit der Nutzung von externen Cloud-Services verbundenen Pflichten der OIZ und der übrigen Organisationseinheiten der Stadt Zürich. Die Dienststellen der Stadt Zürich müssen das SSA auch dann nutzen, wenn die OIZ es unter Rückgriff auf Cloud-Services bereitstellt.

Die Cloud-Services, die die OIZ als zentrale IT-Services gesamtstädtisch zur Verfügung stellt, haben hohen datenschutzrechtlichen und sicherheitstechnischen Anforderungen zu genügen. Der Beschluss des Stadtrats ermöglicht diesbezüglich die Nutzung der durch die OIZ zur Verfügung gestellten, zentralen IT-Services auch für besonders schützenswerte Informationen und Daten (inkl. Berufs- und Amtsgeheimnisse), wenn die OIZ diese unter Einbindung von Cloud-Services gemäss den im Beschluss formulierten Bedingungen bereitstellt.

Cloud-Gutachten unter Berücksichtigung des CLOUD Act von Laux Lawyers AG

Der Stadtrat stützt sich bei diesem Beschluss massgeblich auf das Rechtsgutachten «Rechtmässigkeit von Public Cloud Services – Cloud-Gutachten unter Berücksichtigung des CLOUD Act» von Laux Lawyers AG vom 16. September 2021.

Laux Lawyers AG publiziert das Gutachten hiermit in Absprache mit dem OIZ. LINK

Kernelemente

Die OIZ muss sicherstellen, dass Cloud-SSA in der Regel das Sicherheitsniveau Basisschutz+ aufweisen. Mit diesem speziell für Cloud-SSA geschaffenem Sicherheitsniveau werden die Basisschutzanforderungen gemäss dem Handbuch für Informationssicherheit (HISi) und der weiteren verwendeten Standards durch die Umsetzung zusätzlicher rechtlicher, technischer und organisatorischer Massnahmen überschritten. Dadurch wird sichergestellt, dass die Cloud-SSA-Anbieterinnen sämtliche rechtlichen und infrastrukturseitigen Anforderungen erfüllen, die sich aus den datenschutzrechtlichen Vorgaben, auch in Bezug auf besondere Personendaten (§ 3 IDG/ZH) und dem Amtsgeheimnis ergeben können. Bestätigt die OIZ den Basisschutz+, kann das Cloud-SSA von den Amtsstellen auch für die Bearbeitung besonders schützenswerter Daten, insbesondere auch für besondere Personendaten und Informationen, die der Schweigepflicht gemäss Amtsgeheimnis unterliegen, verwendet werden.

Der Stadtrat als politisch leitende Stelle genehmigt die Nutzung von Cloud-SSA ausdrücklich. Diese Genehmigung wirkt als schriftliche Einwilligung zur straffreien Offenbarung von Geheimnissen, soweit die Cloud-Nutzung auf eine Offenbarung hinauslaufen sollte (Art. 320 Ziff. 2 StGB), und ist überdies eine Genehmigung für das Bearbeiten besonderer Personendaten, wie sie für das zürcherische Recht vorgesehen ist (§ 25 Abs. 3 IDV/ZH).

Organisationseinheiten mit einer Sondersituation

Die Organisationseinheiten müssen sich weder um die technischen Konfigurationen des von der OIZ zur Verfügung gestellten Cloud-SSA noch um die durch die OIZ beurteilten organisatorischen und vertraglichen Massnahmen oder die Resultate der kontinuierlichen Kontrolle der Cloud-SSA durch die OIZ kümmern. Sie können sich auf das Cloud-SSA und die Kontrollen der OIZ verlassen. Nur soweit für eine Organisationseinheit eine Besonderheit greift, welche die OIZ nicht im Sinne des Stadtratsbeschlusses antizipiert hat, muss die Organisationseinheit weitere Abklärungen treffen.

Organisationseinheiten, die für sich besondere Anforderungen feststellen, überprüfen gemeinsam mit der OIZ, ob diese Zusatzanforderungen durch den Basisschutz+ abgedeckt sind. Falls nicht, werden die notwendigen Massnahmen gemeinsam mit der OIZ festgelegt. Es müssen also einzig Organisationseinheiten mit einem echten Sonderfall Zusätzliches prüfen. Grundsätzlich wirkt der Stadtratsbeschluss für die gesamte Stadtverwaltung.

Genehmigung und institutionelle Sicherung des ordnungsgemässen Geschäftsgangs

Der Stadtratsbeschluss ist Ausdruck des politischen Willens und dient zudem dem Zweck, dass der Stadtrat sich schützend vor das Personal seiner Verwaltung stellt. Verwaltungsmitarbeitende sollen kein Strafrechtsrisiko haben, da sie einen politisch gewollten Entscheid umsetzen. Das Risiko einer Strafbarkeit ist zwar nicht existent, wie das Rechtsgutachten aufgezeigt hat. Manchmal kann aber nur schon die Diskussion zu einem Thema einschüchternde Wirkung haben, was zu Projektverzögerungen führen kann. Der Stadtratsbeschluss schützt vor solchen Projektverzögerungen. Der Beschluss des Stadtrates wirkt als institutionelle Sicherung des ordnungsgemässen Geschäftsgangs der Stadt Zürich und ist in dieser Form für die Schweiz richtungsweisend. Somit kann das Vorgehen der Stadt Zürich Vorbildwirkung für andere Behörden auf verschiedenen Verwaltungsstufen in der ganzen Schweiz haben.

Sind besondere Berufsgeheimnisse Sonderfälle, die eine zusätzliche Prüfung auslösen?

Das eidgenössische und das kantonale Recht nennen wiederholt für besondere Bereiche besondere (verwaltungsrechtliche) Geheimnisregeln. Man könnte darin einen Sonderfall sehen, der zu weiteren Massnahmen Anlass gibt. Die Autoren des Rechtsgutachtens haben diesbezüglich weitere Abklärungen getroffen. Diese und anknüpfende Arbeiten zeigen, dass solche sog. Spezialgeheimnisse keine weitergehenden Pflichten auslösen, sondern einzig die Hauptregel verdeutlichen sollen, wonach ein Geheimnis Dritten nicht aktiv «ausgeplaudert» werden soll. Auf die Cloud-Diskussion haben solche klärenden Gesetzesregeln keine Wirkung, da es bei der Cloud-Nutzung nicht um ein Ausplaudern von Geheimnissen geht (dogmatisch: es geht nicht um den Content Layer), sondern um das Organisieren von Daten (Code Layer) auf technischen IT-Infrastrukturen (Physical Layer). In den meisten Fällen wird es somit nicht zu abweichenden Ergebnissen kommen (hierzu existiert ein separates Fact Sheet, welches dem publizierten Rechtsgutachten beigefügt ist). Damit kann man feststellen, dass die Schwelle der Besonderheit durch solche Spezialgeheimnisse meist nicht erreicht wird und somit diesbezüglich keine zusätzlichen Abklärungen zu treffen sein werden. Mit anderen Worten: Ein Sonderfall ist nicht leichthin anzunehmen.

Inhalt und Ergebnisse des Rechtsgutachtens

Das Rechtsgutachten kommt nach eingehender und umfassender Auseinandersetzung mit sämtlichen Aspekten des Datenschutz-, Verwaltungs- und Geheimnisrechts sowie einer detaillierten Analyse der Zugriffe durch Behörden im Ausland (namentlich in den USA, mit speziellem Exkurs zu den Abläufen rund um den CLOUD Act) zu folgenden Ergebnissen:

  • Organisationseinheiten der Stadt Zürich dürfen Public Cloud-Angebote nutzen. Für Informationen mit besonderem Schutzbedarf müssen sie reife Anbieterinnen mit technisch ausgereiften Lösungen aus­suchen.
  • Wenn Informationen ausgelagert werden sollen, die dem Amtsgeheimnis unterstehen, sind Lösungen zu wählen, bei denen es nach der allgemeinen Lebenserfahrung und dem gewöhnlichen Lauf der Dinge zu keinen Klartextzugriffen kommt (d.h. Informationen werden z.B. von Mitarbeitenden der Cloud-Anbieterin nicht eingesehen werden). Ob die Organisationseinheit davon ausgehen darf, hängt davon ab, ob solcher Zugriffsschutz durch technische und organisatorische Massnahmen genügend abgesichert ist.
  • Es sollten zusätzlich geeignete vertragliche Massnahmen getroffen werden, um die ausgewählte Cloud-Anbieterin als Hilfsperson zu bestellen. Namentlich geht es um Einbindung der Cloud-Anbieterin als Hilfsperson. Es handelt sich dabei um einen Sicherungsanker für den Fall, dass Klartextzugriffe trotz geeigneter Massnahmen in Einzelfällen (z.B. in Supportsituationen) stattfinden könnten.
  • Darüber hinaus wirkt der Stadtratsbeschluss als weitere institutionelle Sicherung des ordnungsgemässen Geschäftsgangs der Stadt Zürich; denn dieser hat im Sinne von Art. 320 Ziff. 2 StGB und 25 Abs. 3 IDV genehmigende Wirkung für die handelnden Personen.
  • Es stellt keine Durchbrechung des Amtsgeheimnisses dar, wenn eine schweizerische Strafverfolgungsbehörde auf Daten der Stadt Zürich in der Schweiz zugreift. Die Stadt Zürich wird aber zunächst versuchen, auf ihr Amtsgeheimnis hinzuweisen und die Beschlagnahme solcher Daten bzw. einen späteren Zugriff abzuwenden.
  • Dasselbe gilt in Bezug auf drohenden Zugriff auf Daten der Stadt Zürich durch Strafverfolgungsbehörden in den USA. Die Existenz des CLOUD Act und anderer Datenzugriffe ausländischer Strafverfolgungsbehörden, stellt bereits aus konzeptionellen Überlegungen keinen Hinderungsgrund für den Gang der Stadt Zürich «in die Cloud» dar.
  • Ein US-amerikanisches Gericht würde einen ausländischen Staat (und die Stadt Zürich wird als ein solcher verstanden) schützen. Bevor es zu einem Klartextzugriff kommt, würde die Stadt Zürich direkt angegangen. Dies ergibt sich nicht nur aufgrund von bedeutender Rechtsprechung, sondern auch aus einem US-amerikanischen Gesetz, dem sog. Foreign Sovereign Immunities Act (FSIA).
  • Gerade eine Behörde wie die Stadt Zürich ist in den USA sehr gut gegen Behördenzugriffe geschützt – auch wenn sie Daten in IT-Infrastrukturen einer US-amerikanischen Cloud-Anbieterin speichert. Hinzu kommen rein quantitative Erfahrungswerte, die zeigen, dass sich die Problematik sehr selten stellt.
  • Noch wichtiger als dies ist aber die Analyse nach schweizerischem Recht: Die Stadt Zürich hat nach schweizerischem Recht keine Garantieverantwortung, Zugriffe von ausländischen Strafverfolgungsbehörden abzuwenden.
  • Zusammenfassend kann die Gefahr der Strafbarkeit der Stadt Zürich bzw. ihrer Mitarbeitenden bzw. Organe (Behördenmitglieder) wegen ausländischer Behördenzugriffe als nicht existent bezeichnet werden.

Weitere Beiträge zum Thema:

  • White Paper Public Cloud für Public Services: LINK
  • Rechtsgutachten Bankgeheimnis und Cloud: LINK
  • Neue EU-Standardvertragsklauseln inkl. SCC Generator mit DocIQ: LINK

 

Laux Lawyers AG ist in der Schweiz das Rechtsdienstleistungsunternehmen mit umfassendster Erfahrung mit hochkomplexen Cloud-Projekten, auch in regulierten Sektoren (namentlich öffentlicher Sektor, Banken und Finanzen, Versicherungen, Energie und Gesundheitswesen).

Wir beraten sowohl Anbieter als auch Kunden von Cloud-Services. Anbieter unterstützen wir dabei, die rechtlich relevanten Dokumentationen (insbesondere Verträge, Sicherheitsdokumentationen, Datenschutzbestimmungen) zielgruppengerecht zu gestalten und aufzubereiten. Kunden von Cloud-Services bieten wir umfassende Beratung, angefangen vom Einkauf strategisch zentraler Software-as-a-Service-Dienstleistungen bis hin zum Aufbau einer kompletten Cloud-Governance.

Laux Lawyers AG hat sich durch ihre geradlinige und unbeeinflusste Haltung und Beratung einen Namen gemacht. Wir beraten detailliert, verbindlich und belastbar, ohne Scheu vor unangenehmen Wahrheiten und immer gestützt auf sorgfältige juristische Analyse.

Unsere Advisor verbinden drei Komponenten – Recht, Technik und Kontext – zu einer Gesamtaussage, welche das Wesen des IT-Rechts ausmacht. Die juristisch saubere Prüfung (Recht) wird, wo nötig und sinnvoll, gepaart mit technischer Analyse (Technik) und die Beratung erfolgt in Kenntnis und unter Berücksichtigung der Anforderungen, die sich aufgrund der konkreten Situation der Klientin und ihres Tätigkeitsbereichs («Branche» oder «öffentliche Hand») ergeben (Kontext).

Dies führt zu Nachhaltigkeit und langfristig belastbaren Positionsbezügen, auch in Bereichen, die allenfalls neu erscheinen oder jedenfalls noch nicht überall etabliert sind. Dies ist wichtig, weil in neuen Entwicklungen – wie sie in der IT häufig sind – oft Paradigmenwechsel anstehen, welche nicht notwendigerweise von der Gesamtgesellschaft geteilt werden. Gerade für die öffentliche Hand ist dies von zentraler Bedeutung.

Gerne unterstützen wir auch Sie als öffentliche Stelle beim Gang in die Cloud. Kontaktieren Sie uns gerne für weitere Informationen und Referenzprojekte: info@lauxlawyers.ch.