Nutzung von Cloud-Diensten - Digitalisierung

Nutzung von Cloud-Diensten

Die Nutzung von IT-Diensten ist aus der Anwaltspraxis längst nicht mehr wegzudenken. Das Aufsetzen und die Wartung der IT werden allerdings oft nicht durch die Anwältin oder den Anwalt selbst vorgenommen, sondern internen IT-Mitarbeitenden oder einem externen IT-Dienstleister übertragen. In jüngerer Zeit nutzen Anwaltskanzleien nicht nur sogenannte Stand-alone-Computer oder lokale Netzwerke, sondern auch die Dienste von Cloud-Providern. Der Begriff «Cloud» beschreibt dabei eine Reihe von Onlinediensten, die über ein Netzwerk von beliebigen Orten aus zugänglich sind, sodass ihr physischer Standort in technischer Sicht vernachlässigt werden kann.

Derweil sich in den USA Cloud-Computing als Alternative zur traditionellen IT etabliert hat und in Europa der CCBE als Dachverband der Rechtsanwaltschaft allgemein gehaltene Empfehlungen zum Umgang mit Cloud-Computing  erlassen und diese Alternative somit als grundsätzlich zulässiges Arbeitsinstrument deklariert hat, herrschte in der Schweiz bis vor Kurzem grosse Unsicherheit darüber, wie weit solche externen Services vor den strengen Berufsregularien überhaupt standhalten. Ein vom SAV begleitetes universitäres Forschungsprojekt mit dem Arbeitstitel «Digitalisierung der Kommunikation und cloudbasierte Lösungen als Herausforderung für den Anwaltsbveruf» und eine daraus hervorgehende Studie des Center for Information Technolgy, Society and Law (ITSL) der Universität Zürich schufen hier Klarheit: 

«Werden Daten durch Anwältinnen und Anwälte vor der Übertragung an einen Cloud-Provider verschlüsselt und verfügt der Cloud-Provider nicht über den Schlüssel, liegt kein Offenbaren von Geheimnissen im Sinn von Art.  321 StGB vor. Da verschlüsselte Daten nicht als Personendaten zu qualifizieren sind, untersteht die Tätigkeit des Cloud-Providers auch nicht dem Datenschutzrecht. In dieser Konstellation ist die Nutzung von Cloud-Diensten durch Anwältinnen und Anwälte deshalb straf- und datenschutz-rechtlich unbedenklich. Werden die Daten aber nicht durch die Anwältinnen und Anwälte, sondern erst durch den Cloud-Provider verschlüsselt, hat dieser Zugriff auf die Daten im Klartext und Zugang zu den vom Berufsgeheimnis geschützten Informationen. Mit der Nutzung seiner Dienste wird der Cloud-Provider allerdings Teil der arbeitsteilig organisierten Funktionseinheit «Anwaltskanzlei» und ist damit als Hilfsperson der Anwältinnen und Anwälte zu qualifizieren. Hilfspersonen sind nie unberechtigte Dritte im Sinn von Art. 321 StGB. Die Bekanntgabe geheimer Informationen an Cloud-Provider erfüllt deshalb das objektive Tatbestandsmerkmal des Offenbarens an unberechtigte Dritte nicht, womit eine Strafbarkeit nach Art. 321 StGB entfällt. Anwältinnen und Anwälte müssen den Cloud-Provider al-lerdings sorgfältig auswählen, die Wahrung des Berufs-geheimnisses vertraglich absichern und sicherstellen, dass die Daten vom Cloud-Provider nur zur Vertragserfüllung verwendet werden.»

Beiträge diverser Autoren  (vgl. Chappuis/Alberini,  secret professionnel de l’avocat et solutions cloud, Anwaltsrevue 8/2017, S. 337 f.) und auch der Bundesrat untermauern diese Schlussfolgerungen: Im Rahmen seiner Botschaft zum Datenschutzgesetz hält dieser fest, dass die Auftragsbearbeitung für Personendaten, die durch Art. 321 StGB geschützt sind, auch durch das neue Datenschutzgesetz nicht ausgeschlossen ist, wenn die Dritten als Hilfspersonen im Sinne von Art. 321 Ziff. 1 Abs. 1 StGB zu qualifizieren sind.

SAV-Wegleitung für IT-Outsourcing und Cloud Computing

Es kann hier auf die von der SAV-Fachgruppe Digitalisierung im Juni 2019 erarbeitete Wegleitung verwiesen werden.

Cloud-Dienst-Modelle

Eine Umfrage des SAV im Jahre 2018 zeigt auf, dass bei den befragten Kanzleien IT-Basisinfrastrukturen mehrheitlich stationär installiert (53%) sind, von einem grossen Teil aber bereits in der Cloud (39%) gespeichert sind. Nahezu alle IT-Ressourcen können in eine Cloud ausgelagert werden und entsprechend unterschiedlich sind die am Markt angebotenen Cloud-Dienst-Modelle. Meist wer-den drei Hauptkategorien unterschieden: Infrastructure-as-a-Service (IaaS), Platform-as-a-Service (PaaS) und Software-as-a-Service (SaaS). Das PaaS-Dienst-Modell wird dabei vor allem zur Entwicklung von Applikationen eingesetzt. Da Anwaltskanzleien dieses Modell gegenwärtig kaum nutzen werden, beschränkt sich die nachfolgen-de Darstellung auf die beiden anderen Modelle.
 

Infrastructure-as-a-Service (IaaS) ist das Grundmodell der Dienstleistungen einer Cloud. Beim IaaS-Dienst-Modell werden die Cloud-Computing-Ressourcen (z. B. Rechnen, Speichern oder Netzwerkzugang) als Dienstleistung zur Verfügung gestellt. Dieses Modell ist eine interessante Option, wenn eine Anwaltskanzlei eine rechnergestützte Infrastruktur benötigt, diese aber aus Kostengründen nicht selbst betreiben möchte. Die Anwaltskanzlei be-stimmt in diesem Modell weiterhin, welche Softwarelösungen auf der Infrastruktur installiert werden, und muss auch Massnahmen treffen, welche die Vertraulichkeit und Integrität des Systems gewährleisten. Der Cloud-Provider dagegen hat dafür zu sorgen, dass die von der Anwalts-kanzlei gespeicherten Daten jederzeit verfügbar sind.

Bei Software-as-a-Service (SaaS) stellt der Cloud-Provider eine endverbraucher-freundliche, webbasierte Softwareanwendung zur Verfügung. Bei diesem Dienst-Modell werden nicht nur Software und Daten auf der Cloud-Infrastruktur zentral gespeichert, sondern es findet auch die Datenverarbeitung auf dieser Infrastruktur statt (z. B. Textverarbeitung, Kalkulation oder Erstellen von Präsentationen). Der Cloud-Provider installiert ausserdem Updates und bietet Supportfunktionen an. Im Gegensatz zu IaaS kann die Anwaltskanzlei beim SaaS-Dienst-Modell nur be-schränkt sicherheitsrelevante Konfigurationen vornehmen. In technischer Hinsicht hat sie nur für die Sicherheit der Zugangsdaten zu sorgen. Die Vertraulichkeit der Daten, die Integrität des Netzwerks und die Verfügbarkeit der Dienste hat der Cloud-Provider sicherzustellen.


Datenzugriff

Bei der Nutzung von Cloud-Diensten werden die Daten nicht mehr lokal in der Anwaltskanzlei, sondern beim Cloud-Provider gespeichert. Die Übertragung über das Internet erfolgt dabei verschlüsselt und zwar unter Ver-wendung von HTTPS (Hypertext Transmission Protocol Secure) und TLS (Transport Layer Security)1, das eine starke Schlüsselgrösse (128 oder 256 bit) einsetzt. Beim Cloud-Provider werden die Daten zudem mit einem lokalen Schlüssel verschlüsselt, z. B. mit dem AES-(Advanced-Encryption-Standard-)Verschlüsselungsverfahren.
 

Hier sind zwei Varianten zu unterscheiden:

  • Werden die Daten erst beim Cloud-Provider verschlüsselt, haben die Anwaltskanzlei und der Cloud-Provider Zugang zu den Daten im Klartext
  • Die beim Cloud-Provider zu speichernden Daten können aber schon vor der Übertragung über das Internet durch die Anwaltskanzlei verschlüsselt werden. Damit hat nur noch die Anwaltskanzlei Zugang zu den Daten.

Hier stellt der Cloud-Provider die Software in der Cloud zur Verfügung. Die Software-applikation muss dabei auf die unverschlüsselten Dateien zugreifen können und die Daten sind des-halb für den Cloud-Provider im Klartext sichtbar. Andere Nutzer derselben Cloud können allerdings nicht auf die Daten zugreifen, weil für jeden Kunden ein anderer Schlüssel verwendet wird. Kunden, die mit vertraulichen Inhalten arbeiten, müssen sich bei der Nutzung von SaaS aber bewusst sein, dass der Cloud-Provider auf ihre Daten zugreifen kann und an sich die Möglichkeit hat, diese auch zu nutzen.

 

Beizug ausländischer Cloudprovider

Werden Daten ins Ausland transferiert oder wird einem ausländischen Cloud-Provider der Zugriff auf in der Schweiz gespeicherte Daten ermöglicht, unterstehen diese Daten unter Umständen einem schwächeren rechtlichen Schutz oder einem Zugriffsrecht ausländischer Behörden (z. B. bei strafprozessualen Zwangsmassnahmen). So ermöglicht z. B. der im März 2018 vom US-Kongress erlassene Cloud Act29 US-Behörden den Zugriff auf im Ausland gespeicherte Daten, wenn sich diese im Besitz, Gewahrsam oder unter der Kontrolle eines US-amerikanischen Cloud-Providers befinden.

Die Schweizer Strafhoheit knüpft grundsätzlich am Begehungsort an, d. h., entweder am Ausführungs- oder am Erfolgsort (Art. 8 Abs. 1 StGB). Wird das Geheimnis im Ausland offenbart und dort zur Kenntnis genommen, kann es an einem Schweizer Begehungsort fehlen. Für die Zulässigkeit einer Bekanntgabe an eine Hilfsperson ist aber nicht entscheidend, dass diese auch selbst Art. 321 StGB untersteht. Entscheidend ist vielmehr, dass der Beizug des Cloud-Providers berechtigt ist. Dies bedingt, dass dieser vertraglich zur Wahrung des Berufsgeheimnisses verpflichtet ist und die Auslagerung einer Risikobeurteilung im Einzelfall standhält. Bei dieser Beurteilung ist vor allem die Sensitivität der Daten, aber auch die zu erwartende Vertrags- und Gesetzestreue des ausländischen Cloud-Providers sowie die tatsächliche Wahrscheinlichkeit eines Zugriffs auf die Daten zu berücksichtigen. Diese Risikoeinschätzung kann je nach Tätigkeit von Anwältinnen und Anwälten unterschiedlich ausfallen; besondere Vorsicht dürfte etwa bei der Beratung ausländischer Klienten in Steuerfragen und bei politisch exponierten Mandanten angezeigt sein.

Zusätzliche Absicherung: rechtferigende Einwilligung

Auch wenn die Nutzung von Cloud-Providern durch Anwältinnen und Anwälte grundsätzlich zulässig ist, erscheint es im Sinn einer zusätzlichen Absicherung sinnvoll, von den Klienten im Rahmen des Mandatsvertrages eine Einwilligung zur Nutzung von Cloud-Providern (wie auch zum Einsatz weiterer Hilfspersonen, etwa Substituten und IT-Verantwortlichen) einzuholen. Diese Einwilligung kann formlos erteilt werden. Von einer konkludenten Einwilligung liesse sich zudem ausgehen, wenn die Klienten über die Nutzung von Cloud-Diensten hinreichend informiert wurden und sie das Mandatsverhältnis ohne Weiteres fortführen. Für abgeschlossene Mandatsverhältnisse bietet sich dagegen eine nutzerseitig verschlüsselte Archivierung im Rahmen eines IaaS-Dienst-Modells an, die einen Zugriff des Cloud-Providers auf die Daten im Klartext von vornherein ausschliesst