Juristische Gutachten, Kritik des Eidgenössischen Datenschützers, Mängel in der Beschaffung, Untersuchungen der Geschäftsprüfungskommission: Die Public-Cloud-Abenteuer der Schweizer Behörden beschäftigen Politik und Medien. Nun hat das Magazin
'Republik' eine neue Reise ins Unbekannte enthüllt.
Swissmedic beschafft Leistungen bei den US-Hyperscalern AWS, Oracle und Microsoft. Inside-it.ch hatte vom Zuschlag an die drei Cloud-Riesen
im letzten Juni berichtet. 25 Millionen Franken könnten über 5 Jahre an die drei US-Konzerne fliessen. Die Recherchen der 'Republik' zeigen nun: Die potenziellen Datenschutzkonflikte mit den USA wurden nicht genügend berücksichtigt und auch der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (Edöb) wurde nicht in den Prozess involviert.
Das ist für eine öffentlich-rechtliche Anstalt, die für die Zulassung und Kontrolle von Arzneimitteln zuständig ist, zumindest fragwürdig. Der Schutz von sensiblen Daten gegenüber den USA sorgt hierzulande für grosse Diskussionen. Derzeit zirkulieren mehrere Gutachten, die sich auf unterschiedliche Methoden stützen, etwa vom
Kanton Zürich und
der Stadt Zürich. Der
Edöb kritisiert bestimmte Ansätze deutlich. Wir diskutieren dies
in unserem aktuellen Podcast.
Swissmedic machte es sich laut 'Republik' aber noch einfacher: Dort sei in den Ausschreibungsunterlagen die USA einfach als Staat mit angemessenem Datenschutzniveau gefasst worden. Das ist aber in der Schweiz seit zwei Jahren passé, gleich mehrere Gesetzesartikel der USA schliessen dies aus. Die Liste der "sicheren" Staaten in der Ausschreibung war veraltet. Das war Swissmedic aber "nicht bekannt", wie die Anstalt zum Magazin sagte.
Ob Gesundheitsdaten von Personen bei Swissmedic in der Cloud verarbeitet werden sollen, ist ebenfalls noch nicht klar. Besonders schützenswerte Daten seien aber davon ausgeschlossen, hiess es gegenüber der 'Republik'.