Luzerns Datenschützer fokussiert verstärkt auf die Cloud

27. Juli 2021, 11:37
image

Cloud-Aufträge sorgen in der Schweiz für Diskussionen. Auch der Luzerner Datenschutzbeauftragte will, dass die Verwaltung ihre Cloud-Verträge überprüft.

Per 2020 hatte der Luzerner Kantonsrat beschlossen, die Stellenprozente beim kantonalen Datenschutz von 90 auf 190% Prozente aufzustocken. Die zwei neuen Teilzeitstellen konnten per 1. Mai bzw. 1. Juli 2020 besetzt werden, wie der Datenschutzbeauftragte (DSB) Matthias Schönbächler in seinem "Tätigkeitsbericht 2020" schreibt.
Durch die Corona-Pandemie sei man trotzdem an den Anschlag gekommen. Aber auch unabhängig von der Covid-19-Krise habe die Digitalisierung 2020 einen zusätzlichen Schub erfahren und eine Zunahme der Datenschutz-Arbeit ausgelöst. Der DSB habe 52 neue Projekte begleitet, die sich in 33 Informatikprojekte und 19 Nicht-Informatikprojekte aufteilen würden. Weiter hätten die Anfragen von Behörden und Privaten zu Informatikprojekten im Vergleich zum Vorjahr um 105% zugenommen. Den zweithöchsten Anstieg verzeichnete der Bereich Gesundheit mit plus 79%.
Den Gesundheitsbereich betrifft auch eine von zwei Kontrollen, die der DSB 2020 durchgeführt hat. 2019 hatte das Luzerner Kantonsspital sein neues Klinik-Informationssystem (LUKiS) in Betrieb genommen. Das mit rund 66 Millionen Franken ungewöhnlich teure Projekt hatte anfangs hohe Wellen geschlagen.

LUKiS-Kontrollbericht (noch) nicht öffentlich

Der DSB habe die Einführung zum Anlass genommen, eine Datenschutzkontrolle beim LUKiS durchzuführen und die datenschutzkonforme Bearbeitung der Patienten- und anderer Personendaten zu überprüfen. Die Kontrolle sei im dritten und vierten Quartal 2020 durchgeführt worden. Die Kontrolle könne nach Erhalt der Stellungnahme des Luzerner Kantonspitals zum abgegebenen Bericht abgeschlossen werden.
Zum genauen Inhalt und zu den Ergebnissen der LUKiS-Kontrolle macht Schönbächler keine Angaben. Gegenüber der 'Luzerner Zeitung' sagte er, der fertige Bericht werde dem Verwaltungsrat des Kantonsspitals übergeben. Dieser entscheide dann, ob er die Ergebnisse öffentlich mache.
Die zweite Kontrolle betraf die Digitalisierung des Postverkehrs auf der Kantonsverwaltung. Durch das Projekt würden Postsendungen durch den Postdienst geöffnet und weiterbearbeitet, heisst es im Tätigkeitsbericht. "Dadurch bearbeitet der Postdienst besonders schützenswerte Personendaten einer grossen Zahl betroffener Personen." Der DSB habe deshalb beim Service "Digitaler Postdienst der Staatskanzlei" eine Datenschutzkontrolle durchgeführt, damit aus datenschutzrechtlicher Sicht die Rechte und Freiheiten von Bürgerinnen und Bürgern bei den Tätigkeiten des Postdienstes der Staatskanzlei richtig adressiert werden.

Kritische Haltung gegenüber US-Cloud-Anbietern

In der Schweiz hat die grosse Public-Cloud-Vergabe des Bundes zu Diskussionen bei Politikern und beim Edöb geführt. Die Beschaffung verzögert sich nach einer Beschwerde von Google. Auch Schönbächler legt einen Schwerpunkt auf die Cloud-Technologie. "Durch die stetige Verlagerung der Datenbearbeitung in die Cloud ergeben sich auch für den Kanton Luzern und die Gemeinden neue Herausforderungen, insbesondere bei der Nutzung der Services der grossen US-amerikanischen Unternehmen", schreibt er.
Der DSB habe deshalb empfohlen, dass bei ausgelagerten Datenbearbeitungen die Verantwortlichen die bestehenden Verträge überprüfen, "ob die Datenbearbeitung direkt (d.h. durch eine Vertragspartnerin des Kanton Luzern) oder indirekt (z.B. durch eine Subunternehmerin der Vertragspartnerin) von einem amerikanischen Anbieter vorgenommen wird". Falls solche Verträge abgeschlossen wurden, "mögen die Organisationseinheiten die Verträge überprüfen und den Datenschutzbeauftragten bitte kontaktieren".
Schönbächler sieht die Entwicklung kritisch: Die Dominanz und marktbeherrschende Stellung einiger grosser Anbieter würden letztendlich auch die digitale Souveränität des Kantons Luzern in Frage stellen. Alternativen zu den bereits genutzten Lösungen seien vielfach nicht vorhanden und der Zeitpunkt, wann der Schritt in die Cloud zu erfolgen habe, bestimme der Anbieter der Lösung.
Biete ein US-Anbieter dem Kanton Luzern oder seinen Gemeinden Cloud-Services an, würden im Ernstfall konkurrenzierende Anforderungen des Schweizerischen und des US-Rechtssystems aufeinanderprallen. "Dieses Dilemma kann auch der DSB nicht auflösen und das Damoklesschwert einer ungewollten Offenlegung von Personendaten schwebt immer über einem solchen US-amerikanischen Cloud-Service", so Schönbächler im Tätigkeitsbericht.

Loading

Mehr zum Thema

image

Bundesverwaltung testet Videoidentifikation

Als Alternative zur Smartcard wird die Ausweiskontrolle per Video geprüft. Die von Intrum gelieferte Lösung soll einen einfacheren Zugang zu den Bundessystemen liefern.

publiziert am 10.8.2022 2
image

Bund sichert sich Printer und Zubehör für 80 Millionen Franken

An papierlos ist noch lange nicht zu denken. HP wird die nächsten Jahre für die Drucker der Verwaltung zuständig sein. Ein kleiner Teil des Auftrags geht daneben an Canon.

publiziert am 9.8.2022
image

In Zürich werden auch die Stühle smart

Im Rahmen von Smart City Zürich testet die Stadt neue Sensoren. Diese sollen an öffentlichen Stühlen Sitzdauer, Lärmpegel und mehr messen.

publiziert am 8.8.2022
image

Google wird bald Nachbar von AWS am Zürcher Seeufer

Google baut seine Büro­räumlichkeiten in Zürich weiter aus und zieht demnächst im ehemaligen Schweizer IBM-Hauptsitz ein. In der Nähe hat sich bereits AWS eingerichtet.

publiziert am 8.8.2022