Mit Berufsgeheimnissen in die Cloud: So geht es trotz US CLOUD Act
Unternehmen wie Behörden drängt es in die Cloud. Doch Datenschützer warnen – vor allem vor dem US CLOUD Act: Gross ist die Angst vor dem Zugriff ausländischer Behörden. Viele haben Mühe, das Risiko einzuschätzen, tun es nur aus dem Bauch heraus. Dieser Beitrag stellt erstens eine neue, Management-taugliche Methode zur Einschätzung und Quantifizierung des Risikos eines ausländischen Behördenzugriffs à la CLOUD Act vor, und zeigt zweitens einen Weg, die gegensätzlichen Positionen im Expertenstreit um das Amts- und Berufsgeheimnisses in der Cloud zu vereinen. Beides soll helfen, Cloud-Projekte in sensitiven Bereichen nüchterner zu beurteilen.
Inhaltsverzeichnis
- A. Ausgangslage und Einleitung
- B. Rechtliche Problemstellung und Überblick
- C. Bisherige Lehre und Praxis
- 1. Wohlers: Beizug Dritter nur mit Wissen und Willen des Geheimnisherrn
- 2. Schwarzenegger: Beizug Dritter unter Beachtung der Risikoadäquanz zulässig
- 3. Weitere Lehrmeinungen
- 4. BGE 145 II 229 zur «Subdelegation» durch Hilfspersonen
- D. Analyse der Lehre und Praxis und Ansatz einer Weiterentwicklung
- 1. Stellungnahme zur bisherigen Lehre
- 2. Grundprinzip: Pflicht zur angemessenen Datensicherheit und Verwendungskontrolle
- 3. Ausnahme: Spezifische oder allgemeine Einwilligung in den Beizug Dritter
- 4. Gilt das Grundprinzip auch für den Beizug von Cloud-Providern aus dem Ausland?
- 5. Ist die Subdelegation nach BGE 145 II 229 noch zulässig?
- 6. Weitere Voraussetzungen für den Beizug von Cloud-Providern?
- 7. Übertragbarkeit auf andere Berufsgeheimnisse?
- 8. Zusammenfassung
- E. Angemessenheit der Datensicherheit und Verwendungskontrolle
- 1. Welche Risiken sind relevant?
- 2. Welches Restrisiko eines ausländischen Lawful Access ist noch akzeptabel?
- a. Grundsätzliches
- b. Massstab zur Vermeidung des Vorwurfs des Eventualvorsatzes
- c. Massstab zur Vermeidung des Vorwurfs der Fahrlässigkeit
- (1) Grundsätzliches
- (2) Sorgfaltsnorm
- (3) Vorhersehbarkeit
- (4) Vermeidbarkeit und Risikozusammenhang
- (5) Ergebnis
- F. Berechnung der Wahrscheinlichkeit eines Lawful Access im Ausland
- 1. Grundsätzliches
- 2. Das Beurteilungsmodell
- 3. Berücksichtigung der getroffenen «Gegenmassnahmen»
- 4. Berücksichtigung des Interesses ausländischer Behörden an den Daten
- a. Grundsatz
- b. Wahrscheinlichkeit eines Lawful Access Falls
- 5. Was das Ergebnis bedeutet
- Anhang:
- Ausländischer Lawful Access: Wahrscheinlichkeitsbeurteilung und Gegenmassnahmen im Detail
Loggen Sie sich bitte ein, um den ganzen Text zu lesen.
Es gibt noch keine Kommentare
Ihr Kommentar zu diesem Beitrag
AbonnentInnen dieser Zeitschrift können sich an der Diskussion beteiligen. Bitte loggen Sie sich ein, um Kommentare verfassen zu können.
0 Kommentare