Datenschützer äussern harsche Kritik an Cloud-Entscheiden von Behörden

30. September 2022, 15:05
image
Foto: Fleur / Unsplash

Die Konferenz der schweizerischen Datenschutzbeauftragten (Privatim) fordert: Kein Freipass für Microsoft 365.

Im Frühling hat die Zürcher Kantonsregierung in einem viel beachteten Entscheid den Einsatz von M365 genehmigt. Später haben sich weitere Kantone wie Schaffhausen und Solothurn ebenfalls für die Cloud-Lösung aus dem Hause Microsoft entschieden.
Die Konferenz der schweizerischen Datenschutzbeauftragten hat sich einer heute veröffentlichten Stellungnahme zu den Cloud-Entscheiden, insbesondere zu jenem in Zürich geäussert – die Stellungnahme habe aber eine Wirkung über den Kanton Zürich hinaus, schreiben die Datenschützer

Ungenügende Risikoanalyse unter falschen Voraussetzungen

Es liege in der Pflicht der öffentlichen Organe, die Risiken für die Grundrechte der betroffenen Personen zu eruieren und angemessene Massnahmen zu treffen, um den Kontrollverlust zu minimieren, heisst es in dem Beitrag. Zudem sei darzulegen, durch welche unverzichtbaren Vorteile des Cloud-Dienstes gegenüber einer gleichwertigen On-Premises-Lösung sowie gegenüber risikoärmeren Produkten anderer Anbieter die neuen Risiken aufgewogen würden.
Von Privatim heisst es: "Eine solche umfassende Risikoanalyse und -übernahme sowie eine nachvollziehbare Begründung erfolgen hier aber nicht." Zum laut Zürcher Regierung höchst unwahrscheinlichen "Lawful Access", also durch den Cloud Act legitimierten Zugriff auf gespeicherte Daten, schreibt Privatim: Die publizierten Informationen dazu seien nicht sehr repräsentativ, weil "die öffentlichen Organe erst jetzt daran sind, die Auslagerung von Daten in die Cloud zu prüfen, so dass Zugriffe auf deren Daten bisher noch gar nicht vorkommen konnten". Generell sei bei Prognosen gestützt auf die Vergangenheit Vorsicht angebracht, "namentlich wenn geopolitische Veränderungen und andere aussergewöhnlichen Ereignisse ausser Acht gelassen werden", so die Datenschützer.

Zürcher Entscheid bedeutet keinen Freipass für M365

Der Bericht schliesst mit den markigen Worten, dass der Entscheid des Regierungsrates des Kantons Zürich "kein Freipass für die Einführung von M365 in der Verwaltung ist." So sei die Begründung des Entscheids der Regierung keinesfalls für die Bewertung einer Cloud-Lösung wie M365 ausreichend.
Nichtsdestotrotz erkennt Privatim an, dass der Einsatz von M365 unter datenschutzrechtlichen Bestimmungen möglich sei. Unter bestimmten Voraussetzungen seien ebenso Datenbearbeitungen durch Dritte – auch in Cloud-Lösungen – zugelassen.

Loading

Mehr zum Thema

image

Alliance Swisspass will weg vom analogen ÖV-Billett

Die Vereinigung möchte so schnell wie möglich von Investitionen in physische Billette wegkommen. Ab 2035 soll der Ticket-Verkauf mehrheitlich digital ablaufen.

publiziert am 1.12.2022
image

Beschaffung des Aargauer Serviceportals war rechtswidrig

Weil die Vergabe freihändig erfolgt ist, muss neu ausgeschrieben werden. Dies hat das Verwaltungsgericht Aargau entschieden.

publiziert am 1.12.2022
image

Ob- und Nidwalden erhalten gemeinsame Informatikstrategie

Beide Kantonsparlamente stimmen einer IT-Zusammenarbeit zu. Das E-Government soll ausgebaut werden.

publiziert am 1.12.2022
image

Neues digitales Organspenderegister soll 2025 kommen

Das BAG prüft in einer internen Studie verschiedene Umsetzungsvarianten eines neuen digitalen Organspenderegisters – mit und ohne staatliche E-ID.

publiziert am 30.11.2022 2