Diverse Vorgaben, seien dies die sogenannten Rundschreiben der FINMA, des BAG oder diverse Gesetzgebungen (elektronisches Patientendossier Art. 12 Abs. 5 EPDV), schreiben vor, dass die Daten der Kunden geographisch in der Schweiz bleiben und nicht im Ausland gespeichert werden dürfen. Vor allem dann, wenn es sich um besonders schützenswerte Personendaten, beispielsweise Gesundheitsdaten, handelt. Diesen Anforderungen ist das Unternehmen nun mit der Eröffnung der beiden Datencenter nachgekommen. Die Fragen bzw. die Risiken über den möglichen Zugriff auf die Daten durch die US-Behörden (siehe Abschnitt Cloud Act) und den Besitz des kryptographischen Schlüssels bleiben jedoch bestehen.
Cloud Act – und wieso die US-Behörden theoretisch immer noch Zugriff auf meine Daten haben
Dem Cloud Act liegt ein Streit zwischen den US-Behörden und Microsoft zugrunde. Microsoft weigerte sich, Daten, die auf Servern in Irland gespeichert waren, an die US-Behörden herauszugeben. Die US-Behörden stützten sich für die Herausgabe der Daten auf den Stored Communications Act (SCA).
Das Berufungsgericht gab Microsoft Recht und sagte, dass der SCA keine Anwendung auf Fälle im Ausland findet, da Verfügungen, die sich auf den SCA stützen, nicht ausserhalb der USA vollstreckbar sind. In Folge dieses Urteils erliessen die US-Behörden den Cloud Act, der seit dem 23. März 2018 in Kraft ist.
Der Cloud Act bildet die rechtliche Grundlage für einen Zugriff der US-Behörden auf Daten auf ausländischen Servern, ohne zuvor ein Rechtshilfegesuch stellen zu müssen. Doch was genau ist der Geltungsbereich des Cloud Acts? Der Cloud Act dient der Aufklärung von Straftaten. Anwendung findet er aber nur auf sog. US-Persons. US-Persons sind alle natürlichen und juristischen Personen, die Staatsbürger der USA oder in den USA wohnhaft sind. Der Cloud Act bietet nun eine Grundlage für den Zugriff auf sämtliche nationalen und internationalen Kommunikationsdaten eines Kunden eines Cloud Service Providers mit US-Bezug, die mit einer Herausgabeverfügung herausverlangt oder aufgrund eines Durchsuchungsbefehls erlangt werden können. Betroffen sind dabei Kommunikationsdaten, die in Besitz, Obhut oder unter der Kontrolle eines Cloud Service Providers stehen.
Als Cloud Service Provider kann man einem Zugriff der US-Behörden aufgrund des Cloud Acts nur entgehen, wenn sich der Server in einem sog. Qualifying foreign government befindet. Die US-Behörden qualifizieren damit ausländische Regierungen, indem die Regierungen mit den USA ein sog. executive agreement vereinbaren. Das Problem für einen Cloud Service Provider stellt sich aber, sobald der Provider sich in einem nicht durch die USA qualifizierten ausländischen Land befindet, die USA nun aufgrund des Cloud Acts die Herausgabe der Daten verlangen, das ausländische Land, in welchem sich der Provider befindet, eine Herausgabe der Daten aber für strafbar erklärt. In solchen Fällen würde der Cloud Service Provider entweder US-Recht oder das nationale Recht der ausländischen Regierung verletzen.
Laut dem Cloud Act gilt also, dass die USJustiz im Falle eines Strafverfahrens gegen ein Unternehmen, welches Daten ausserhalb der USA gespeichert hat, einen Cloud Provider dazu verpflichten kann, die Daten herauszugeben. Dies darf jedoch nur dann geschehen, wenn der Cloud Provider die Daten über den legalen Weg herausgeben kann. Es ist dem Cloud Provider untersagt, zum Beispiel den kryptographischen Schlüssel illegal zu beschaffen, sei dies mittels Hacking oder sogenannter Backdoors.
Verschlüsselung und Besitz des kryptographischen Schlüssels
Die folgende Übersicht bezieht sich auf die verschiedenen Varianten der Verschlüsselung und die damit verbundene Verschlüsselung von ruhenden Daten (Daten die auf einem Datenträger gespeichert sind, welcher sich in der Cloud befindet): Grundsätzlich unterscheidet man bei der Verschlüsselung zwei Arten. Die clientseitige Verschlüsselung und die serverseitige Verschlüsselung. Dabei ist die Frage, wer nun im Besitz des kryptographischen Schlüssels ist, sehr unterschiedlich.
Clientseitige Verschlüsselung: Vor- und Nachteile
Bei der clientseitigen Verschlüsselung werden die Daten auf dem Rechner des Kunden verschlüsselt und bereits verschlüsselt an den Server, in diesem Fall die Cloud, übertragen. Ein Nachteil für KMUs ist jedoch, dass die clientseitige Verschlüsselung bisher relativ schwierig umzusetzen war. Es gibt mittlerweile Methoden und Software, welche die Implementation vereinfachen. Jedoch haben auch diese immer noch ihre Tücken, und ohne auf einen Fachexperten zurückgreifen zu können, fehlt den meisten KMUs nach wie vor oft das notwendige Know-how. Aufgrund dessen wird oft auf die Umsetzung dieser Methode verzichtet. Der grosse Vorteil dieser Methode ist jedoch, dass der verwendete kryptographische Schlüssel beim Kunden bleibt. Somit ist es dem Cloud Provider nicht möglich, auf legalem Weg an den Schlüssel zu gelangen und die Daten in der Cloud zu entschlüsseln.
Serverseitige Verschlüsselung: Vor- und Nachteile
Bei der serverseitigen Verschlüsselung muss zwischen drei verschiedenen Varianten unterschieden werden. Zum einen gibt es die Möglichkeit, den Schlüssel durch den Dienst verwalten zu lassen. Dies ist für die Unternehmen mit geringstem Aufwand verbunden, da das System die Verschlüsselung, von der Generierung der Schlüssel bis zur Verschlüsselung der Daten, selber regelt. Da der Schlüssel dann jedoch in der Cloud hinterlegt und gespeichert ist, greift der Cloud Act. Eine weitere Möglichkeit ist es, den Schlüssel durch den Kunden selber verwalten zu lassen. Dabei wird oft vom Bring your Own Key (BYOK) gesprochen, da der Schlüssel dann aber ebenfalls in der Cloud hinterlegt und gespeichert sein muss, greift ebenfalls der Cloud Act. Die letzte und zugleich einzige Möglichkeit der serverseitigen Verschlüsselung, bei welcher der kryptographische Schlüssel durch den Kunden auf seiner eigenen Hardware gesichert ist, ist zugleich die komplizierteste. Die Konfiguration ist komplex und die meisten Dienste unterstützen dieses Modell nicht. Somit fallen womöglich viele der Funktionen weg, welche für die KMUs interessant wären. Allerdings ist es dem Cloud Provider nur bei dieser Variante der serverseitigen Verschlüsselung nicht möglich, auf legalem Weg an den Schlüssel zu gelangen und die Daten in der Cloud zu entschlüsseln.
Fazit
Zusammenfassend lässt sich sagen, dass mit der Eröffnung dieser Datencenter in der Schweiz den Anforderungen des Marktes nachgekommen ist. Die Hürden für Schweizer Unternehmen, ihre Daten nun in dieser Cloud zu speichern, wurden sicherlich teilweise überwunden. Trotz allem gilt vor allem für kleinere KMUs, welche besonders schützenswerte Personendaten bearbeiten, abzuklären, welche Verschlüsselungsvariante für sie die beste Lösung darstellt. Denn ohne eine Investition, sei dies in den Aufbau des Know-hows oder in die Beratung, ist es schwer abzuschätzen, welche Variante geeignet ist, allen Vorgaben und Gesetzen zu entsprechen.
Ursula Sury ist selbständige Rechtsanwältin in Luzern, Zug und Zürich (CH) und Vizedirektorin an der Hochschule Luzern - Informatik. Sie ist zudem Dozentin für Informatikrecht, Datenschutzrecht und Digitalisierungsrecht.
Erschienen: IT-Business 04/19
Kommentar schreiben