Ist die Cloud des Berufsgeheimnis' Kryptonit?

Du möchtest wissen, mit welchen Massnahmen Du die Verletzung Deines Berufsgeheimnisses in der Cloud verhinderst?

Chantal Lutz erklärt Dir in ihrem neuen Blogbeitrag, wie dies funktioniert.

Einführung

Immer wieder stellen wir uns als Anwaltskanzlei die Frage: Dürfen wir in die Public Cloud migrieren und Services wie MS Office 365 nutzen?

Wir sind, wie auch Ärztinnen, Hebammen, Apothekerinnen, Ernährungsberaterinnen, Psychologinnen, Geistliche und weitere dem Berufsgeheimnis verpflichtet. Das Strafgesetzbuch sieht bei vorsätzlicher Offenbarung von Berufsgeheimnissen eine happige Sanktion vor: Geldstrafe oder Freiheitsstrafe bis zu drei Jahren.

Wir müssen uns deshalb folgende Fragen stellen:

Offenbaren wir mit der Migration in die Cloud Berufsgeheimnisse?

Wie müssen wir mit dem Risiko umgehen, dass sich fremde Behörden gegebenenfalls Zugriff auf Berufsgeheimnisse in der Cloud verschaffen könnten?

Welche technischen oder organisatorischen Massnahmen können wir ergreifen?

Was ist das Berufsgeheimnis?

Das Berufsgeheimnis soll das Vertrauen der Gesellschaft in die freien Berufe fördern. Die Rechtsquellen sind vielfältig: Das jeweilige Aufsichtsrecht einer Berufsgruppe kann spezifische Pflichten zum Berufsgeheimnis enthalten, bspw. ist für das Bankkundengeheimnis das Bankengesetz massgebend. Hauptquelle ist jedoch Art. 321 des schweizerischen Strafgesetzbuches («StGB»).

Gemäss Art. 321 StGB gelten als Geheimnisse solche Informationen, die den Geheimnisträgern «infolge ihres Berufes anvertraut worden» sind oder die sie «in dessen Ausübung» erfahren haben. Erteilt ein Anwalt eine kostenlose telefonische Erstberatung, kommt das Mandat aber nicht zustande, muss er das Erfahrene dennoch geheim halten. Auf die vertragliche Beziehung kommt es nicht an.

Das Berufsgeheimnis gilt übrigens auch für sämtliche Hilfspersonen der Geheimnisträger, wie bspw. für die Notariatssekretärin, den medizinischen Praxisassistenten, die Anwaltspraktikantin. Auch Labormitarbeitende oder beigezogene Privatdetektive können dazugehören, da sie die Geheimnisträger bei der Berufsausübung unterstützen und von den Geheimnissen Kenntnisse erlangen. Hilfspersonen können deshalb auch weitere Auftragnehmer sein, wie IT-Provider, die Buchhaltung oder die Steuerberaterin.

Das Offenbaren eines Berufsgeheimnisses an eine Hilfsperson ist damit grundsätzlich nicht strafbar. Nicht strafbar ist ferner, wer vor einer Offenbarung die Einwilligung seines Kunden eingeholt hat oder wer seine Aufsichtsbehörde um Entbindung vom Berufsgeheimnis ersucht hat.

Offenbaren wir mit der Migration in die Cloud Berufsgeheimnisse an unberechtigte Dritte?

Es kommt darauf an, ob der Cloudprovider «zum Kreis der zum Wissen Berufenen» gehört. Dies ist der Fall, wenn ihr Beitrag nötig ist, damit die Arztpraxis, die Kanzlei oder die Bank eine Aufgabe sachgerecht erledigen kann.

Für Anwaltskanzleien wurde diese Frage in zwei umfassenden Gutachten beleuchtet. Das ältere der beiden Gutachten wurde 2016 im Auftrag des Datenschutzbeauftragten des Kantons Zürich erstellt. Der Autor kommt darin zum Schluss, dass die Auslagerung von Klardaten in eine Cloud eine Berufsgeheimnispflichtverletzung darstellt (vgl. grobe Zusammenfassung HIER).

Das ältere Gutachten spricht sich deshalb dafür aus, dass vorgängig eine Einwilligung der Klienten zur Nutzung von Clouddiensten eingeholt werden muss.

Die Autoren des jüngeren Gutachtens, erstellt im Auftrag des Schweizerischen Anwaltsverbands, erachten die Auslagerung von Klardaten in eine Cloud als zulässig (vgl. Kurzzusammenfassung HIER). Dafür müssen die folgenden Voraussetzungen erfüllt sein:

  • Der Cloudprovider hat seine Rolle als Hilfsperson anerkannt und dies ist dokumentiert (bspw. mittels einem spezifischen Vertragszusatz);

  • Der Cloudprovider wird im Rahmen einer Zusammenarbeit «aktiv» in die Anwaltskanzlei eingebunden, indem er angemessen überwacht wird, bspw. durch regelmässige Audits oder die Übermittlung von Prüfberichten;

  • Der Zugriff auf Klardaten erfolgt nicht unkontrolliert (d.h. ein automatisierter Support wäre nicht zulässig).

Die von der Bankenbranche erstellten Gutachten gelangen zu ähnlichen Ergebnissen. Banken können sich bei Cloudvorhaben bspw. am Cloud-Leitfaden der Schweizerische Bankiervereinigung orientieren (vgl. LINK ZUM CLOUD-LEITFADEN). In der Medizinbranche gibt es unter anderem die Empfehlungen des Berufsverbands FMH (vgl. LINK ZU TECHNISCHEN ORGANISATORISCHEN ANFORDERUNG AN CLOUD-DIENSTE).

Aber aufgepasst: Die tatsächliche Rolle des Cloudproviders wurde noch nicht gerichtlich geklärt. Das heisst, es ist nicht klar, ob ein Gericht die Hilfspersoneneigenschaft im konkreten Fall tatsächlich anerkennen wird.

Wir empfehlen deshalb, vor einer Auslagerung die dokumentierte Einwilligung der Klientinnen bzw. Patientinnen einzuholen, bspw. über den Behandlungs- oder Mandatsvertrag.

Wie müssen wir damit umgehen, dass sich fremde Behörden Zugriff auf Berufsgeheimnisse in der Cloud verschaffen können?

Der US-amerikanische Clarifying Lawful Overseas Use of Data Act aus dem Jahr 2018 (kurz «CLOUD Act», abrufbar HIER) gibt den US-Strafverfolgungsbehörden weiterreichende Möglichkeiten zur Beweissammlung im Ausland.

Die Zielsetzung des CLOUD Acts ist eine effiziente Kriminalitäts- und Terrorismusbekämpfung, indem er unter anderem den Abschluss von bilateralen Übereinkommen über den internationalen Datenaustausch zwischen den USA und anderen Nationen fördert. Gemäss dem Department of Justice soll der CLOUD Act den USA ermöglichen:

“to speed access to electronic information held by U.S.-based global providers that is critical to our foreign partners’ investigations of serious crime, ranging from terrorism and violent crime to sexual exploitation of children and cybercrime.”

(Quelle: HTTPS://WWW.JUSTICE.GOV/DAG/CLOUDACT)

Die US-Behörden müssen seit 2018 nicht mehr an die schweizerischen Behörden gelangen, um Daten von in der Schweiz gelegenen Servern zu erhalten. Sie können diesen Schritt umgehen, indem sie direkt bei Microsoft in den USA Daten herausverlangen, die auf Servern von Tochterunternehmen in der Schweiz lagern.

Diese Zugriffe erfolgten allerdings nicht willkürlich. Eine solche Untersuchungshandlung muss stets durch ein Gericht genehmigt werden. Das Ganze können wir am folgenden Beispiel beleuchten:


A ist US-Bürger und wird in den USA wegen Steuerbetrugs gesucht. Anwältin B aus der Schweiz hat für A steuerrechtliche Abklärungen vorgenommen und ihn dabei unterstützt, sein Vermögen auf verschiedenen Konti in Steueroasen zu verteilen. Die mandatsbezogenen Daten sind auf SharePoint in der Microsoft Cloud, gespeichert. Die US-Strafverfolgungsbehörden holen eine gerichtliche Genehmigung ein und gehen damit auf Microsoft Corp. zu. Sie verlangen die Herausgabe sämtlicher Daten über A, die in den weltweiten Datencentern von Microsoft lagern. Mit der Herausgabe der Daten werden Berufsgeheimnisse an unberechtigte Dritte offenbart. Gleichzeitig verpflichten sie Microsoft zur Verschwiegenheit über die Herausgabe. Das bedeutet, dass weder A noch B zunächst erfahren, dass Daten über A herausverlangt werden. A wird erst im offiziell gegen ihn eröffneten Strafverfahren davon Kenntnis erhalten.

Damit sich B selbst von einem Strafverfahren wegen einer Berufsgeheimnisverletzung schützen kann, muss sie gewisse Massnahmen ergreifen.

Sie muss zunächst eine Risikoabschätzung vornehmen, in der sie prüft, wie wahrscheinlich es ist, dass eine solche Offenbarung erfolgt. In der Praxis gibt es bereits Vorlagen, die sie für diese Risikoeinschätzung verwenden kann (vgl. bspw. HIER).

B muss sich fragen, wie wahrscheinlich es ist, dass gerade die Daten ihrer Klienten von Interesse für die US-Behörden sein könnten. Sie muss ausserdem überprüfen, wie häufig Microsoft in den letzten Jahren solche Herausgabe-Gesuche erhalten hat (Microsoft publiziert diese Zahlen HIER).

Im Jahr 2021 erhielt Microsoft um die 100 Gesuche der US-Strafverfolgungsbehörden betreffend die Herausgabe von Kundendaten, die ausserhalb der USA gespeichert waren. Damit ist die Wahrscheinlichkeit, dass die Daten des Klienten von B auf diese Weise an US-Strafverfolgungsbehörden herausgegeben werden, sehr klein.

Welche weiteren Massnahmen können ergriffen werden?

Als Berufsgeheimnisträger müssen wir vertragliche Sicherheitsmassnahmen verhandeln, wie bspw. die Designation des Cloudproviders als Hilfsperson, die Sicherstellung einer angemessenen Haftung, die Vereinbarung regelmässiger Audits bzw. die Weiterleitung von Prüfberichten, etc.

Vertragliche Massnahmen sind jedoch weitgehend wirkungslos, wenn wir sie nicht mit konkreten technischen und organisatorischen Massnahmen (sog. TOMs) kombinieren. Solche Massnahmen werden bspw. von Microsoft als Add-Ons für verschiedene Lizenzmodelle angeboten, üblicherweise benötigt man aber eine nicht ganz günstige E5 Lizenz. Eine Übersicht über die angebotenen Sicherheits- und Compliance Add-Ons von Microsoft findest Du HIER.

Ein wichtiges Thema ist die Übermittlungs- und Ruheverschlüsselung der Daten. Dabei muss der Schlüsselzugang stets durch den Geheimnisträger kontrolliert werden. Die Datenschutzexperten der International Association of Privacy Professionals (iapp) raten davon ab, den Schlüssel durch den Cloudprovider verwalten zu lassen (vgl. EMPFEHLUNGEN ZUM UMGANG MIT DEM CLOUD ACT). Dabei kann der Schlüssel zwar beim Cloudprovider liegen, jedoch soll nur der Geheimnisträger Schlüssel generieren, ersetzen oder zurücksetzen können (vgl. DIE CHECKLISTE VON DAVID ROSENTHAL ZUR CLOUD-LÖSUNG BEI BANKEN).

Ausserdem muss über die Supportprozesse des Cloudanbieters Klarheit bestehen und dessen Supportzugriffe sollten durch den Geheimnisträger bzw. dessen lokalen IT-Provider kontrolliert werden. Ein Beispiel hierfür ist das Tool «Customer Lockbox» von Microsoft (vgl. INFORMATIONEN VON MICROSOFT ZUR CUSTOMER LOCKBOX).

Der Prozess der Auslagerung in die Public-Cloud gestaltet sich grob wie folgt (zum Vergrössern das Bild anklicken):

Grafik Cloudact

Grafik Cloudact

FAZIT

Die Absichten der grossen Anbieter zielen in eine klare Richtung: Die Zukunft liegt in der Cloud. Wie lange Berufsgeheimnisträger sich noch gegen die Migration in die Cloud stellen können, ist unklar. Die Abhängigkeit von den Produkten von Microsoft, Google, AWS und Co ist zu gross. Unsere Devise lautet: lieber früher als später. Noch können wir wählen, welche Cloudapplikationen wir in unsere Unternehmens-Infrastruktur integrieren und zu welchen Konditionen. Wir gestalten das künftige Cloudangebot mit, indem wir jetzt unsere Sicherheitsanforderungen gegenüber den Cloudprovidern stellen und stärken damit unsere Verhandlungsposition für die Zukunft. Ausserdem bleibt uns genügend Zeit, die Datenmigration zu planen, die Risiken zu evaluieren und zu dokumentieren, uns mit den nötigen Sicherheitsmassnahmen vertraut zu machen und uns das nötige IT-Knowhow anzueignen.

Möchtest Du als Berufsgeheimnisträger in die Cloud? Wir unterstützen Dich gerne im Zusammenhang mit regulatorischen und datenschutzrechtlichen Anforderungen.

Mehr Informationen zum Thema Datenschutz.

IT- und Technologierecht

Rechtsstreitigkeiten in der IT: Tipps für Unternehmen zur Risikominimierung

Arbeitsrecht

Die verschiedenen Arbeitszeitmodelle im Überblick

IT- und Technologierecht

KI-Dienste: Haftung, Verträge, Datenschutz und Co.

Datenschutz

1 Jahr neues Datenschutzgesetz

Datenschutz

Google Consent – Kommt die Pflicht zum Cookie-Banner?

Arbeitsrecht

Homeoffice IV

optional
optional
optional