Jusletter

Mit Berufsgeheimnissen in die Cloud: So geht es trotz US CLOUD Act

  • Autor/Autorin: David Rosenthal
  • Beitragsart: Wissenschaftliche Beiträge
  • Rechtsgebiete: Datenschutz, Informatik und Recht, Notariats- und Anwaltsrecht, Bankrecht, Strafrecht
  • DOI: 10.38023/0bb8c2e9-10ea-4736-9965-34c45374bd43
  • Zitiervorschlag: David Rosenthal, Mit Berufsgeheimnissen in die Cloud: So geht es trotz US CLOUD Act, in: Jusletter 10. August 2020
Unternehmen wie Behörden drängt es in die Cloud. Doch Datenschützer warnen – vor allem vor dem US CLOUD Act: Gross ist die Angst vor dem Zugriff ausländischer Behörden. Viele haben Mühe, das Risiko einzuschätzen, tun es nur aus dem Bauch heraus. Dieser Beitrag stellt erstens eine neue, Management-taugliche Methode zur Einschätzung und Quantifizierung des Risikos eines ausländischen Behördenzugriffs à la CLOUD Act vor, und zeigt zweitens einen Weg, die gegensätzlichen Positionen im Expertenstreit um das Amts- und Berufsgeheimnisses in der Cloud zu vereinen. Beides soll helfen, Cloud-Projekte in sensitiven Bereichen nüchterner zu beurteilen.

Inhaltsverzeichnis

  • A. Ausgangslage und Einleitung
  • B. Rechtliche Problemstellung und Überblick
  • C. Bisherige Lehre und Praxis
  • 1. Wohlers: Beizug Dritter nur mit Wissen und Willen des Geheimnisherrn
  • 2. Schwarzenegger: Beizug Dritter unter Beachtung der Risikoadäquanz zulässig
  • 3. Weitere Lehrmeinungen
  • 4. BGE 145 II 229 zur «Subdelegation» durch Hilfspersonen
  • D. Analyse der Lehre und Praxis und Ansatz einer Weiterentwicklung
  • 1. Stellungnahme zur bisherigen Lehre
  • 2. Grundprinzip: Pflicht zur angemessenen Datensicherheit und Verwendungskontrolle
  • 3. Ausnahme: Spezifische oder allgemeine Einwilligung in den Beizug Dritter
  • 4. Gilt das Grundprinzip auch für den Beizug von Cloud-Providern aus dem Ausland?
  • 5. Ist die Subdelegation nach BGE 145 II 229 noch zulässig?
  • 6. Weitere Voraussetzungen für den Beizug von Cloud-Providern?
  • 7. Übertragbarkeit auf andere Berufsgeheimnisse?
  • 8. Zusammenfassung
  • E. Angemessenheit der Datensicherheit und Verwendungskontrolle
  • 1. Welche Risiken sind relevant?
  • 2. Welches Restrisiko eines ausländischen Lawful Access ist noch akzeptabel?
  • a. Grundsätzliches
  • b. Massstab zur Vermeidung des Vorwurfs des Eventualvorsatzes
  • c. Massstab zur Vermeidung des Vorwurfs der Fahrlässigkeit
  • (1) Grundsätzliches
  • (2) Sorgfaltsnorm
  • (3) Vorhersehbarkeit
  • (4) Vermeidbarkeit und Risikozusammenhang
  • (5) Ergebnis
  • F. Berechnung der Wahrscheinlichkeit eines Lawful Access im Ausland
  • 1. Grundsätzliches
  • 2. Das Beurteilungsmodell
  • 3. Berücksichtigung der getroffenen «Gegenmassnahmen»
  • 4. Berücksichtigung des Interesses ausländischer Behörden an den Daten
  • a. Grundsatz
  • b. Wahrscheinlichkeit eines Lawful Access Falls
  • 5. Was das Ergebnis bedeutet
  • Anhang:
  • Ausländischer Lawful Access: Wahrscheinlichkeitsbeurteilung und Gegenmassnahmen im Detail

0 Kommentare

Es gibt noch keine Kommentare

Ihr Kommentar zu diesem Beitrag

AbonnentInnen dieser Zeitschrift können sich an der Diskussion beteiligen. Bitte loggen Sie sich ein, um Kommentare verfassen zu können.