Luzerns Datenschützer fokussiert verstärkt auf die Cloud

27. Juli 2021, 11:37
image

Cloud-Aufträge sorgen in der Schweiz für Diskussionen. Auch der Luzerner Datenschutzbeauftragte will, dass die Verwaltung ihre Cloud-Verträge überprüft.

Per 2020 hatte der Luzerner Kantonsrat beschlossen, die Stellenprozente beim kantonalen Datenschutz von 90 auf 190% Prozente aufzustocken. Die zwei neuen Teilzeitstellen konnten per 1. Mai bzw. 1. Juli 2020 besetzt werden, wie der Datenschutzbeauftragte (DSB) Matthias Schönbächler in seinem "Tätigkeitsbericht 2020" schreibt.
Durch die Corona-Pandemie sei man trotzdem an den Anschlag gekommen. Aber auch unabhängig von der Covid-19-Krise habe die Digitalisierung 2020 einen zusätzlichen Schub erfahren und eine Zunahme der Datenschutz-Arbeit ausgelöst. Der DSB habe 52 neue Projekte begleitet, die sich in 33 Informatikprojekte und 19 Nicht-Informatikprojekte aufteilen würden. Weiter hätten die Anfragen von Behörden und Privaten zu Informatikprojekten im Vergleich zum Vorjahr um 105% zugenommen. Den zweithöchsten Anstieg verzeichnete der Bereich Gesundheit mit plus 79%.
Den Gesundheitsbereich betrifft auch eine von zwei Kontrollen, die der DSB 2020 durchgeführt hat. 2019 hatte das Luzerner Kantonsspital sein neues Klinik-Informationssystem (LUKiS) in Betrieb genommen. Das mit rund 66 Millionen Franken ungewöhnlich teure Projekt hatte anfangs hohe Wellen geschlagen.

LUKiS-Kontrollbericht (noch) nicht öffentlich

Der DSB habe die Einführung zum Anlass genommen, eine Datenschutzkontrolle beim LUKiS durchzuführen und die datenschutzkonforme Bearbeitung der Patienten- und anderer Personendaten zu überprüfen. Die Kontrolle sei im dritten und vierten Quartal 2020 durchgeführt worden. Die Kontrolle könne nach Erhalt der Stellungnahme des Luzerner Kantonspitals zum abgegebenen Bericht abgeschlossen werden.
Zum genauen Inhalt und zu den Ergebnissen der LUKiS-Kontrolle macht Schönbächler keine Angaben. Gegenüber der 'Luzerner Zeitung' sagte er, der fertige Bericht werde dem Verwaltungsrat des Kantonsspitals übergeben. Dieser entscheide dann, ob er die Ergebnisse öffentlich mache.
Die zweite Kontrolle betraf die Digitalisierung des Postverkehrs auf der Kantonsverwaltung. Durch das Projekt würden Postsendungen durch den Postdienst geöffnet und weiterbearbeitet, heisst es im Tätigkeitsbericht. "Dadurch bearbeitet der Postdienst besonders schützenswerte Personendaten einer grossen Zahl betroffener Personen." Der DSB habe deshalb beim Service "Digitaler Postdienst der Staatskanzlei" eine Datenschutzkontrolle durchgeführt, damit aus datenschutzrechtlicher Sicht die Rechte und Freiheiten von Bürgerinnen und Bürgern bei den Tätigkeiten des Postdienstes der Staatskanzlei richtig adressiert werden.

Kritische Haltung gegenüber US-Cloud-Anbietern

In der Schweiz hat die grosse Public-Cloud-Vergabe des Bundes zu Diskussionen bei Politikern und beim Edöb geführt. Die Beschaffung verzögert sich nach einer Beschwerde von Google. Auch Schönbächler legt einen Schwerpunkt auf die Cloud-Technologie. "Durch die stetige Verlagerung der Datenbearbeitung in die Cloud ergeben sich auch für den Kanton Luzern und die Gemeinden neue Herausforderungen, insbesondere bei der Nutzung der Services der grossen US-amerikanischen Unternehmen", schreibt er.
Der DSB habe deshalb empfohlen, dass bei ausgelagerten Datenbearbeitungen die Verantwortlichen die bestehenden Verträge überprüfen, "ob die Datenbearbeitung direkt (d.h. durch eine Vertragspartnerin des Kanton Luzern) oder indirekt (z.B. durch eine Subunternehmerin der Vertragspartnerin) von einem amerikanischen Anbieter vorgenommen wird". Falls solche Verträge abgeschlossen wurden, "mögen die Organisationseinheiten die Verträge überprüfen und den Datenschutzbeauftragten bitte kontaktieren".
Schönbächler sieht die Entwicklung kritisch: Die Dominanz und marktbeherrschende Stellung einiger grosser Anbieter würden letztendlich auch die digitale Souveränität des Kantons Luzern in Frage stellen. Alternativen zu den bereits genutzten Lösungen seien vielfach nicht vorhanden und der Zeitpunkt, wann der Schritt in die Cloud zu erfolgen habe, bestimme der Anbieter der Lösung.
Biete ein US-Anbieter dem Kanton Luzern oder seinen Gemeinden Cloud-Services an, würden im Ernstfall konkurrenzierende Anforderungen des Schweizerischen und des US-Rechtssystems aufeinanderprallen. "Dieses Dilemma kann auch der DSB nicht auflösen und das Damoklesschwert einer ungewollten Offenlegung von Personendaten schwebt immer über einem solchen US-amerikanischen Cloud-Service", so Schönbächler im Tätigkeitsbericht.

Loading

Mehr zum Thema

image

Google will ChatGPT-Konkurrenz öffentlich zugänglich machen

OpenAI hat mit Microsoft den Kampf um die Zukunft des Internets eröffnet, nun zieht Google nach. Das bedeutet ein Umdenken im Suchmaschinenkonzern.

publiziert am 3.2.2023
image

Das Wachstum der Hyperscaler verlangsamt sich

Bei AWS, Azure und Google Cloud ist es jahrelang nur steil bergauf gegangen. Jetzt aber macht sich der Spardruck der Kunden bemerkbar.

publiziert am 3.2.2023
image

Podcast: Was hinter dem Zürcher Datenskandal steckt

In dieser Podcast-Episode arbeiten wir den Zürcher Datenskandal auf. Wie konnte es dazu kommen, was ist genau geschehen und was muss passieren, damit das nie mehr passiert?

publiziert am 3.2.2023
image

So arbeiten Googles interne Hacker

Hoodies, Plasmalampen, digitale Brandstiftung. Daniel Fabian, Leiter von Googles Team Red, zeigt Praktiken seiner Hacker-Gruppe.

publiziert am 2.2.2023