MICROSOFT CLOUD FOR SCHWEIZER ANWÄLTE - David ...
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
ANWALTSPRAXIS/PRATIQUE DU BARREAU MICROSOFT CLOUD FOR SCHWEIZER ANWÄLTE DAVID ROSENTHAL Partner bei VISCHER AG Stichworte: Cloud, Microsoft, Berufsgeheimnis, 1365, Outsourcing Immer mehr Unternehmen wechseln mit ihren Office-Anwendungen in die Microsoft Cloud. Eine wachsende Zahl von Schweizer Anwaltskanzleien will dies ebenfalls tun oder hat es schon getan. Dieser Beitrag erläutert, welche vertraglichen Voraussetzungen dafür geschaffen werden müssen. Die bisherigen Standardverträge des Marktführers in diesem Bereich genügen jedenfalls nicht. Wann bietet Microsoft eine Lösung, die für alle Anwälte zugänglich sind? Um es vorwegzunehmen: Technisch gesehen, punkto Hand- Die Voraussetzungen, die eine Auslagerung in die habung und in Sachen Sicherheit erhält Microsofts 1365-Ser- Cloud erfüllen muss, damit sie den gesetzlichen Anforde- vice in der Privatwirtschaft praktisch durchwegs gute Noten) rungen genügt, sind vom Autor an anderer Stelle einge- Die meisten Unternehmen starten mit Teams (Videokonfe- hend diskutiert worden.5 Hier soll konkret über den Nach- renz, Telefonie und andere Gruppenkommunikation), dann besserungsbedarf der Verträge speziell von Microsoft folgen die klassischen Office -Anwendungen (die es auch in orientiert werden, damit Anwälte und andere Berufsge- Online-Varianten gibt), mit Exchange auch der Mail -Server, heimnisträger von Microsoft entsprechende Anpassungen Sharepoint Online (als Dateiablage) sowie OneDrive for Busi- verlangen können. Microsoft wird deshalb als einzelne An- ness (u. a. zum Teilen von Dateien mit Dritten). Diese und wei- bieterin herausgenommen, weil sie in diesem Bereich mit tere Dienste fasst Microsoft unter der Bezeichnung «1365» 1365 besonders erfolgreich ist und sich deshalb auch in zusammen. Seltener kommt Azure zur Anwendung, quasi ein der Anwaltschaft oft die Frage stellt, ob in die Cloud ge- Cloud-basierter, virtueller Server, auf dem Kunden eigene An- wechselt werden soll und was zu tun ist. wendungen installieren und betreiben können - wie ihn aber Faktisch wird diese Entwicklung nicht aufzuhalten auch Konkurrenten wie Amazon oder Google anbieten. sein. Jede Anwaltskanzlei wird zwar für sich selbst eine Ri- sikobeurteilung vornehmen und sich auch entsprechende Alternativen und Ausgestaltungen (wie Backups ausser- I. Ungenügende Standardverträge halb der Microsoft Cloud) überlegen müssen. Doch auch Doch nicht in jeder Hinsicht schneidet Microsoft gut ab. Un- wenn das Angebot von Microsoft gut erscheint und die Er- genügend ist der Softwarekonzern noch immer hinsichtlich fahrungen derjenigen, die schon gewechselt haben, die- seiner Verträge. Diese genügen für Schweizer Anwälte und sen Eindruck bestärken mögen, werden auch Schweizer andere Berufsgehеimnisträger nicht den gesetzlichen An- Anwälte über kurz oder lang nicht darum herumkommen, forderungen - entgegen dem, was aus einem kürzlichen den korrekten Umgang mit ihren Daten und jenen ihrer Bericht in der «Anwaltsrevue» hätte geschlossen werden Klienten und den Betrieb wesentlicher Aspekte ihres Ge - können.z Daher dieser Beitrag zur Klarstellung. Microsoft bietet zu ihren Standardverträgen für Anwälte zwar ein «Professional Secrecy Addendum» an, aber darin bestätigt Microsoft im Grunde nur, dass sie wisse, dass die 1 Der Verfasser Ist in Cloud- Prolekten jeweils auf der Gegenseite Daten des Kunden unter das Berufsgeheimnis fallen können. von Microsoft tätig. Es wird mitunter vertreten, das mache sie zu einer Hilfsperso- 2 DANIEL HÜRLIMANN/MARTIN STEIGER, Auf dem Weg zur digitalen Anwaltskanzlei trotz Berufsgeheimnis und Datenschutz, nen, was wohl wiederum das Problem des Anwaltsgeheim- in: Anwaltsrevue 5/2021, S. 199-205 (https://www.sav-fsa.ch/de/ nisses lösen so11.3 Das ist jedoch nicht richtig. Das Wissen um documents/dynamiccontent/199arv0521.pdf [besucht am die Existenz von Berufsgeheimnisdaten macht noch nieman- 4.10.2021]). 3 Ebd., S. 204. den zur Hilfsperson, und selbst, wo Microsoft als Hilfsperson 4 Ebd., S. 202 f.; DAVID ROSENTHAL, Mit Berufsgeheimnissen in die zu betrachten ist, sind die Vorgaben aus dem Anwaltsge- Cloud: So geht es trotz US CLOUD Act, in: Jusletter 10.8.2020 heimnis damit (leider) noch nicht eingehalten; gewisse ver- (https://www.rosenthal.ch/downloads/Rosenthal-CloudLawful Access.pdf, https://www.rosenthal.ch/downloads/Rosenthal- tragliche Voraussetzungen müssen zusätzlich geschaffen CloudLawfulAccess-Anhang.pdf [besucht am 4.10.2021]). werden. Dies wurde in BGE 145 II 229 verdeutlicht.4 5 ROSENTHAL, ibid. ANWALTS REVUE DE L'AVOCAT 10/2021 443
ANWALTSPRAXIS/PRATIQUE DU BARREAU schäfts auch vertraglich so abzusichern, wie sie dies ihren in der Regel unterstehen, sind die Haftungsbegrenzungen eigenen Klienten empfehlen. und -ausschlösse gemäss irischen Anwälten jedoch selbst dann wirksam, wenn Microsoft die Verträge grob fahrlässig oder sogar vorsätzlich verletzt - etwa, indem ein Datenver- Il. Die Schwachstellen im Einzelnen lust bewirkt wird, etwa weil Microsoft grobfahrlässig ver- Die Schwachstellen beziehen sich auf die Standardverträ- traglich vorgesehene Sicherungen unterlässt. Zwar gibt es ge von Microsoft, wie sie noch diesen Sommer zum Einsatz diverse andere Gründe, warum Microsoft sich damit selbst kamen. Die für den Datenschutz und die Geheimhaltung schaden würde und es daher nicht darauf ankommen las- wichtigsten beiden Dokumente sind das «Data Protection sen wird, aber die Wirksamkeit des Vertrags ist damit infra- Addendum» (DPA) und das «Microsoft Business Software ge gestellt. Auch die Anforderungen von BGE 145 II 229 - Agreement» (MBSA), das in unterschiedlichen Versionen soweit sie hier gelten - sind damit wohl nicht erfüllt. aus verschiedenen Jahren vorliegt und von den Kunden oft - Das DPA spricht jeweils von «Microsoft», der Pflichten schon im Zusammenhang mit dem Erwerb von Lizenzen auferlegt und Rechte eingeräumt werden, aber es ist vereinbart worden ist. Teilweise gibt es auch andere Basis- nicht klar, wer «Microsoft» ist: nur die vertragsschliessen- verträge, die jeweils gesondert geprüft werden müssen. de Partei (Microsoft Ireland Operations Ltd.) oder jede Das DPA enthält die für den Datenschutz wesentlichen Microsoft-Gesellschaft? Erstere muss es sein, und nur sie, Bestimmungen, das über allem stehende MBSA die Ge- damit der korrekte Beizug weiterer Hilfspersonen richtig heimhaltungsklausel und die Haftungsklausel, also die für geregelt ist. Sie ist die Ansprechpartnerin und daher ver- Berufsgeheimnisträger wichtigen Bestimmungen. Im MBSA antwortlich für alle anderen Konzerngesellschaften, die wird auch das anwendbare Recht festgehalten. Daneben mitwirken. Aber Achtung: Support- und Beratungsleis- werden noch diverse weitere Dokumente Bestandteil eines tungen werden im Microsoft-Konzern mitunter von der Vertrags, wie etwa die Produktbestimmungen, die ge- Landesgesellschaft, d. h. Microsoft Schweiz, erbracht und meinsame oder spezifische Aspekte der einzelnen Online- in einem separaten Vertrag geregelt. Dieser muss auch Services regeln wie etwa die möglichen Speicherstandorte entsprechend angepasst werden. oder zusätzliche sicherheitsrelevante Optionen. - Das DPA regelt die Bearbeitung von Personendaten ent- Microsoft hat leider die Angewohnheit, ihre Vertrags- sprechend den Vorgaben der DSGVO. Die Bestimmungen werke regelmässig zu verändern. Sie sind in wichtigen Teilen sind jedoch teilweise so formuliert, dass sie nur auf Da- zudem schlecht redigiert, unübersichtlich und unklar formu- tenbearbeitung Anwendung finden, die der DSGVO un- liert. Viele Verweise sind dynamisch, was allerdings zum Teil terliegen. Bearbeitet Microsoft Daten eines Schweizer auch der Thematik geschuldet ist, denn das, was Microsoft Anwalts, wird das in der Regel nicht zutreffen. Wichtige an Services anbietet, verändert sich ständig und damit auch Bestimmungen greifen in diesen Fällen gar nicht. Unter die Vertragsbedingungen. Das macht es für jemanden, der dem revidierten Schweizer DSG kann das zur Strafbarkeit mit der Thematik nicht näher vertraut ist, praktisch unmög- des Kunden führen. Hier ist daher klarzustellen, dass die lich, sich darin in vernünftiger Zeit zurechtzufinden. Wer Bestimmungen des DPA auch für Bearbeitungen gelten, sich also nur mit Mühe zurechtfindet: Sie sind nicht allein! die dem DSG unterliegen, und Verweise auf die DSGVO Andere Anbieter sind da besser unterwegs. als solche gelten, die auf die entsprechenden Schweizer Die Verträge von Microsoft decken allerdings manche Bestimmungen des Schweizer Datenschutzrechts ver- Aspekte, die für den rechtskonformen Einsatz erforderlich weisen, sowie das Schweizer Datenschutzrecht einzuhal- sind, bereits ab. Anwälte und andere Berufsgeheimnisträ- ten ist. Im neusten DPA vom 15.9.2021 wurde nachgebes- ger sollten aber insbesondere über folgende Schwach- sert, aber noch nicht hinreichend. punkte im Bilde sein: - Es muss das Amendment «1329» vereinbart werden, ein - Im MBSA ist die Geheimhaltungspflicht je nach Fassung Standardvertragszusatz, den es seit vielen Jahren gibt. Er zeitlich begrenzt. Im Schweizer Recht ist sie unbegrenzt; wurde geschaffen, um die via DPA ebenfalls mitverein- das Anwaltsgeheimnis läuft nicht einfach nach fünf Jah- barten (alten) Standardvertragsklauseln der Europäi- ren ab. Es muss daher klargestellt werden, dass sich die schen Kommission an Schweizer Verhältnisse anzupas- Frist am Schweizer Berufsgeheimnis ausrichtet. sen. Wichtig war 1329 bisher (vor September 2021) noch - Das MBSA sieht in der Geheimhaltungsklausel einen Haf- aus zwei weiteren für das Berufsgeheimnis sehr wichti- tungsvorbehalt für den Fall vor, dass ein Mitarbeiter von gen Gründen: Es erweiterte den Begriff «Kundendaten» Microsoft sich ein Geheimnis nur in seinem Gedächtnis ge- auf Daten juristischer Personen (wird 1329 beim Ver- merkt hat und in der Folge verrät. Selbstverständlich muss tratsabschluss vergessen, fallen diese Daten vertraglich die Geheimhaltungspflicht auch in diesen Fällen gelten. durch die Maschen, insbesondere unter dem revidierten - Das MBSA sieht auf den ersten Blick übliche Haftungsbe- DSG), und es sieht die Pflicht von Microsoft vor, Behör- grenzungen und Ausschlüsse vor. Eine Haftung für «direkte denzugriffe von ausserhalb der Schweiz abzuwehren, Schäden» (gemeint sind wohl unmittelbare Schäden) ist wenn sie mit dem Schweizer Recht im Konflikt stehen. vorgesehen und summenmässig begrenzt. Hinzu kommt, Diese «Defend your Data»-Klausel muss für Zugriffe dass die Haftung für den Verlust von Geschäftsinformatio- durch jedwelche Behörden von ausserhalb der Schweiz nen generell ausgeschlossen wird. Aufgrund der Anwend- gelten, nicht nur für aussereuropäische Behörden, die barkeit von irischem Recht, dem die Verträge von Microsoft dabei die DSGVO verletzen. Sie ist daher auch im DPA 444 ANWALTS REVUE DE L'AVOCAT 10/2021
ANWALTSPRAXIS/PRATIQUE DU BARREAU vorzusehen. Dort ist sie zwar schon drin seit Dezember passungen auch gelten, wenn weitere Dienstleistungen 2020, aber nur in Bezug auf aussereuropäische Behör- oder Funktionen hinzugebucht werden. Zu achten ist auch den. Auch das genügt natürlich nicht. Die neuste Fassung auf die Laufzeit etwaiger kundenspezifischer Anpassun- von 1329 (vom September 2021) ist leider viel enger als gen. Diese sind häufig zeitlich auf eine Vertragsperiode die bisherige formuliert, d. h. dass spätestens ab dem In- (typischerweise drei Jahre) begrenzt und sind danach er- krafttreten des revidierten DSG der Schutz von Daten für neut zu vereinbaren - oder für neue Services, die während juristische Personen wegfällt, was aber für das Berufsge- der Vertragsperiode hinzugekauft werden. heimnis wichtig wäre. Hier muss nachgebessert werden. Wer Microsoft 1365 nutzt, diese Anpassungen aber - Die Bestimmungen betreffend die Bearbeitung von Per- nicht gemacht hat, der sollte sich um eine nachträgliche An- sonendaten gemäss DSGVO passen im Wesentlichen passung bemühen, etwa durch entsprechende Vorstösse auch zur Durchsetzung des Berufsgeheimnisses, so etwa beim Vertriebspartner (z. B. SoftwareOne, Swisscom), über das Vetorecht des Kunden für den Beizug von Hilfs- den er den Vertrag mit Microsoft abgeschlossen hat. Zwar personen und deren Subordination. Es ist aber wichtig, ist davon auszugehen, dass Microsoft sich im operativen dass diese Bestimmungen für alle Kundendaten gelten, Betrieb so oder so an die nötigen Standards halten wird. und zwar nach dem Verständnis, das noch im alten 1329 Der Betrieb einer Cloud in der Grösse, wie sie Microsoft be- festgehalten war. Denn das Berufsgeheimnis gilt nicht treibt, ist nur durch hochstandardisierte, einheitliche Pro- nur für Personendaten natürlicher Personen (wie es unter zesse möglich. Passende Verträge braucht es aus Gründen der DSGVO genügt und worauf das DPA ausgerichtet ist), der Sorgfalt über kurz oder lang aber trotzdem. sondern es muss auch für Daten von juristischen Perso- Microsoft ist daher aufgefordert, möglichst rasch ein ver- nen vereinbart sein. Sonst besteht eine grundsätzliche nünftiges «Standard-Amendment» für Berufsgeheimnisträ- Schutzlücke. Heute wird sie noch dadurch verhindert, ger bereitzustellen, mit dem diese Anpassungen einfach um- dass das Schweizer Datenschutzrecht juristische Perso- gesetzt werden können. Dies würde es nicht nur für Anwälte, nen ebenfalls schützt, aber das wird sich mit dem revi- sondern auch für andere Berufs- und Amtsgeheimnisträger dierten DSG ändern. Bis dahin muss diese Schutzlücke in erleichtern, in die Microsoft Cloud zu wechseln. Denn Micro- den Microsoft-Verträgen anders gestopft werden. soft sieht heute nur für einen Teil ihrer Kunden (solche mit hin- - Microsoft behält sich im DPA vor, berufsgeheimnisge- reichend gewichtigen Verträgen) kundenspezifische Vertrags- schützte Kundendaten auch für eigene Zwecke zu ver- anpassungen vor, mit denen die obigen Punkte abgedeckt wenden («Microsoft will use and otherwise process Custo- werden können.? Die anderen gehen leer aus. Der Druck auf mer Data and Personal Data only in accordance with Microsoft, auch für diese Kunden rechtskonforme Verträge Customer's documented instructions and as described anzubieten, genügte bisher jedenfalls nicht, denn die Verträ- and subject to the limitations provided below (a) to pro- ge für 1365 werden in der Praxis nach wie vor oft ungeprüft vide Customer the Online Services, and (b) for Micro- abgeschlossen. Einige der oben zitierten Mängel betreffen im soft's legitimate business operations incident to delivery Übrigen alle Kunden von Microsoft ohne kundenspezifische of the Online Services to Customer.»6). Diese eigenen Anpassungen; in diesem Sinne sollte auch der Eidgenössische Zwecke, im Fachjargon «LBOs» genannt, sind sehr weit Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) ein In- gefasst und unklar. Details dazu gibt es nur in vertrauli- teresse daran haben, für Nachbesserung zu sorgen. Bisher chen Papieren, die nicht Bestandteil des Vertrags sind war er allerdings mit anderen Themen beschäftigt. und daher keine Zusagen darstellen. Das verträgt sich Wir werden an dieser Stelle gerne darüber berichten, nicht mit dem Berufsgeheimnis, weil dies auch berufsge- wenn hier Fortschritte zugunsten der Schweizer Anwalt- heimnisgeschützte Daten betrifft. Es muss daher verein- schaft erzielt worden sind. bart werden, dass Mitarbeiter von Microsoft in diesen Fällen auf unverschlüsselte Kundendaten keinen Zugang erhalten. Es müssen zudem dieselben Massnahmen gel- Ill. WeIche Konfiguration? ten wie für den Fall, in dem die Kundendaten im Auftrag Nebst den Verträgen muss auch der Service passend kon- des Kunden bearbeitet werden (Datensicherheit, Beizug figuriert werden. Auch hier zeichnen sich gewisse Stan- von Subunternehmern mit Vetomöglichkeit etc.), d. h., dards ab: die Bestimmungen über die Auftragsbearbeitung müs- - Als Speicherstandort für die Daten (data at-rest) muss sen auf diese Fälle, in denen Microsoft nicht mehr Auf- die Schweiz gewählt werden. Das geht für die wichtigsten tragsbearbeiterin, sondern Verantwortliche ist, ausge- Dienste (aber nicht für alle). Dies bedeutet entgegen dehnt werden. Sonst verbleibt eine Schutzlücke. landläufiger Meinung nicht, dass Daten nicht aus dem - Microsoft beruft sich darauf, dass alles, was im Vertrag Ausland abrufbar sind oder Microsoft nicht auch aus dem drin steht an Datenbearbeitungen, als Instruktion des Kunden gilt und von ihr folglich getan werden darf. Hier ist festzuhalten, dass dies natürlich nur gilt, soweit sie die Daten für den Kunden bearbeitet. 6 Gemäss DPA vom Dezember 2020; die Version vom 15.9.2021 ist ähnlich formuliert. 7 Für Banken siehe: https://www.vischer.com/know-how/Ы oу/ Ferner muss die Rangreihenfolge der Regelungen geklärt schweizer-banken-in-die- cloud-so-geht-es-und-so-nicht-39214/ werden, und es muss sichergestellt werden, dass die An- (besucht am 4.10.2021). ANWALTS REVUE DE L'AVOCAT 10/2021 445
ANWALTSPRAXIS/PRATIQUE DU BARREAU Ausland auf diese Daten zugreift. Die ständige Speiche- und das Vorhandensein von Lockbox hilft Microsoft recht- rung erfolgt aber in Schweizer Rechenzentren. Das ist lich, behördliche Zugriffe aus dem Ausland abzuwehren. wichtig zur rechtlichen Abwehr ausländischer Behörden- Lockbox erforderte bisher eine sogenannte E5-Lizenz. zugriffe. Microsoft hat immerhin angekündigt, ab 2022 zusätzlich zur Speicherung von Daten in der Schweiz auch Mit diesen Schutzmechanismen und obigen Vertragsan- sicherstellen zu können, dass der Service komplett aus passungen kann in der Praxis eine Situation geschaffen Europa erbracht wird. Heute behält sich Microsoft noch werden, in der die Wahrscheinlichkeit eines erfolgreichen immer Zugriffe auf die Daten aus der ganzen Welt vor. Zugriffs ausländischer Behörden auf Berufsgeheimnisda- - Es sollte Provider-seitig eine Datenverschlüsselung einge- ten im Klartext so klein ist, dass sie nach herrschender setzt werden, was an sich standardmässig angeboten Meinung vernachlässigbar ist. Hierzu kann die vom Autor wird. Der Kunde steuert diese bzw. den Zugang über sein dieses Beitrags in Gestalt einer Excel-Datei entwickelte Active Directory, d. h. sein Benutzerverzeichnis, das opti- Methode zur Berechnung dieser Wahrscheinlichkeit be- malerweise lokal gespeichert und jeweils in die Cloud ko- nutzt werden; sie wurde im August 2020 als Open Source piert wird. Im Active Directory wird dann angegeben, wer im Internet publiziert8 und wird inzwischen von diversen auf welche Daten zugreifen kann. Was es nach der hier Stellen in der Schweiz und im Ausland zur Beurteilung des vertretenen Ansicht nicht braucht, ist Bring-your-own-key Risikos eines ausländischen Lawful Access eingesetzt und (BYOK), auch bekannt als «customer-managed key». Bei empfohlen.9 Die Risikobeurteilung muss am Ende jede An- ВУОК ist es zwar der Kunde, der den Entschlüsselungs- waltskanzlei allerdings für sich selbst vornehmen. schlüssel in der Cloud verwaltet; in den Händen von Micro- soft liegt er trotzdem, d. h., wenn ihr nicht vertraut wird, bringt selbst BYOK nichts. Aber ВУОК erhöht die Kosten, erhöht den Aufwand zur Verwaltung und sorgt für zusätz- 8 DAVID ROSENTHAL, Cloud Computing: Risk Assessment of Lawful Access Ву Foreign Authorities/ Risikobeurteilung eines Lawful Access liche Fehlerquellen. durch ausländische Behörden, https://www.rosenthal.ch/downloads/ - Es sollte Customer Lockbox eingesetzt werden. Das ist eine Rosenthal_Cloud_Lawful_Access_Risk_Assessment.xlsx; vgl. auch Option, wonach Microsoft sich verpflichtet, auf die Kun- https://datenrecht.ch/transfer-impact-assessments-Tapp- veroeffeпtlicht- zwei-formulare-von-david-rosenthal/ (besucht am 4.10.2021), dendaten im Klartext nur mit Zustimmung des Kunden zu- 9 Vgl. auch https://datenrecht.ch/transfer-impact-assess- zugreifen. Das kann z. В. in einem Support-Fall nötig sein. ments-iapp-veroeffentlicht-zwei-formu lare-von-david-rosenthal/ In der Regel kommen die Kunden ohne solche Zugriffe aus, (besucht am 4.10.2021). Aktuelle «Orali Füssli Kommentare»: zugeschnitten auf die Praxis Kommentar Kommentar ZGB Wettbewerbsrecht li 5diwiaed,dкs3гиг19е,ееаииех Vки, гикА, игпвги. Рвс, вьв, uWc, всвм wd rRA 0ег И Ро11х.Weta, Рoиеrôд ('"Д) z.. иы,.~ыпме ипг eпкпmг югове NAVI GATO R..H NАН.'IAAVОR.CH < ј Bestellen Über 50 Expertinnen und Experten Mit Kommentar zu VKU, aus machen dieses Werk zu einem SVKG, VertBek, PüG, вöB, Sie über: zuverlässigen Begleiter bei Fragen UWG, BGBM, ТIG. www.ofv.ch rund um die Bestimmungen des 1069 Seiten, gebunden, Fr. 148.- Zivilgesetzbuchs. 978-3-280-07450-3 2402 Seiten, gebunden, CHF 274.- ore11füssli 978-3-280-07464-0 verlag 446 ANWALTS REVUE DE L'AVOCAT 10/2021
Sie können auch lesen