Datenschützer äussern harsche Kritik an Cloud-Entscheiden von Behörden

30. September 2022 um 15:05
image
Foto: Fleur / Unsplash

Die Konferenz der schweizerischen Datenschutzbeauftragten (Privatim) fordert: Kein Freipass für Microsoft 365.

Im Frühling hat die Zürcher Kantonsregierung in einem viel beachteten Entscheid den Einsatz von M365 genehmigt. Später haben sich weitere Kantone wie Schaffhausen und Solothurn ebenfalls für die Cloud-Lösung aus dem Hause Microsoft entschieden.
Die Konferenz der schweizerischen Datenschutzbeauftragten hat sich einer heute veröffentlichten Stellungnahme zu den Cloud-Entscheiden, insbesondere zu jenem in Zürich geäussert – die Stellungnahme habe aber eine Wirkung über den Kanton Zürich hinaus, schreiben die Datenschützer

Ungenügende Risikoanalyse unter falschen Voraussetzungen

Es liege in der Pflicht der öffentlichen Organe, die Risiken für die Grundrechte der betroffenen Personen zu eruieren und angemessene Massnahmen zu treffen, um den Kontrollverlust zu minimieren, heisst es in dem Beitrag. Zudem sei darzulegen, durch welche unverzichtbaren Vorteile des Cloud-Dienstes gegenüber einer gleichwertigen On-Premises-Lösung sowie gegenüber risikoärmeren Produkten anderer Anbieter die neuen Risiken aufgewogen würden.
Von Privatim heisst es: "Eine solche umfassende Risikoanalyse und -übernahme sowie eine nachvollziehbare Begründung erfolgen hier aber nicht." Zum laut Zürcher Regierung höchst unwahrscheinlichen "Lawful Access", also durch den Cloud Act legitimierten Zugriff auf gespeicherte Daten, schreibt Privatim: Die publizierten Informationen dazu seien nicht sehr repräsentativ, weil "die öffentlichen Organe erst jetzt daran sind, die Auslagerung von Daten in die Cloud zu prüfen, so dass Zugriffe auf deren Daten bisher noch gar nicht vorkommen konnten". Generell sei bei Prognosen gestützt auf die Vergangenheit Vorsicht angebracht, "namentlich wenn geopolitische Veränderungen und andere aussergewöhnlichen Ereignisse ausser Acht gelassen werden", so die Datenschützer.

Zürcher Entscheid bedeutet keinen Freipass für M365

Der Bericht schliesst mit den markigen Worten, dass der Entscheid des Regierungsrates des Kantons Zürich "kein Freipass für die Einführung von M365 in der Verwaltung ist." So sei die Begründung des Entscheids der Regierung keinesfalls für die Bewertung einer Cloud-Lösung wie M365 ausreichend.
Nichtsdestotrotz erkennt Privatim an, dass der Einsatz von M365 unter datenschutzrechtlichen Bestimmungen möglich sei. Unter bestimmten Voraussetzungen seien ebenso Datenbearbeitungen durch Dritte – auch in Cloud-Lösungen – zugelassen.

Loading

Mehr erfahren

Mehr zum Thema

image

Neue Direktorin für Förderagentur Innosuisse gewählt

Dominique Gruhl-Bégin wird im August ihre neue Position bei der Förderagentur übernehmen. Die bisherige Direktorin Annalise Eggimann tritt aus Altersgründen zurück.

publiziert am 15.5.2024
image

Schweizer Hoch­leistungs­rechner gehört zur Welt­spitze

Die leistungsfähigsten Supercomputer der Welt stehen allesamt in den USA. In Europa ist die Konkurrenz nahe beieinander.

publiziert am 14.5.2024
image

Psychiatrie Winterthur sucht neues KIS als Polypoint-Ersatz

Die Integrierte Psychiatrie Winterthur – Zürcher Unterland beschafft ein neues Klinikinformationssystem (KIS). Grund dafür ist ein Strategiewechsel des bisherigen Lieferanten.

publiziert am 14.5.2024
image

EFK verteilt Hausaufgaben ans E-ID-Projektteam

Die Eidgenössische Finanzkontrolle (EFK) hat sich mit dem E-ID-Projekt des Bundes befasst. Sie zeigt den Verantwortlichen auf, woran es noch fehlt.

publiziert am 13.5.2024 3