Im Intranet des Kantons Zürich zirkuliert eine Liste mit jenen Daten, die in die Public-Cloud ausgelagert werden dürfen – oder eben nicht. Das Dokument, erstellt am 1. Februar 2023, liegt inside-it.ch vor: OneDrive, Sharepoint, Teams und Office 365 Online sind nur für öffentliche und interne Daten zugelassen, vertrauliche und geheime Informationen dürfen nicht in die Microsoft-Dienste gelangen. Die Einschränkung im Dokument ist so gross, dass der Regierungs­rats­beschluss zum Einsatz der Microsoft Cloud stark relativiert ist. Als "vertraulich" gelten nämlich sämtliche Daten, die nur einem definierten Personenkreis zugänglich sein sollen.

"Ich höre aus den Verwaltungen immer wieder Stimmen, dass sich die Cloud-Angebote der Hyperscaler ohne klare Vorgaben gar nicht richtig nutzen lassen", sagt Dominika Blonski, die Datenschutzbeauftragte des Kantons Zürich. Sie hatte sich im letzten Herbst kritisch zum Regierungsbeschluss geäussert und insbesondere moniert, dass sich der Regierungsrat auf ein statistisches Verfahren stützt – und so die rechtliche Eindeutigkeit für bestimmte Daten auszuhebeln versucht. Sie zeigt sich nun aber zufrieden mit der Liste, in die Erstellung war sie nicht involviert.

Der Entscheid in Zürich hatte auch für Verstimmung bei der Konferenz der schweizerischen Datenschutzbeauftragten (Privatim) geführt, die sich öffentlich deutlich äusserte. Zuvor hatte sich bereits die Bundesverwaltung Public-Cloud-Ressourcen bei den Hyperscalern gesichert. Einzig Meteo Schweiz habe aber bislang darauf basierend einen Auftrag vergeben, sagte Daniel Markwalder, der Delegierte für Digitale Transformation beim Bund, an einem Event im März. "Es gibt eine gewisse Zurückhaltung", erklärte er, ohne spezifisch zu werden.

Von der Bundeskanzlei wurde ebenfalls eine Liste mit jenen Daten publiziert, die nicht in die Cloud gehören. Sie ist praktisch identisch mit der Liste aus Zürich. Es scheint, als hätten die Datenschützerinnen und Datenschützer derzeit in Sachen Cloud-Hyperscaler Oberwasser. Die zuständigen Stellen können die Richtlinien aber jederzeit anpassen. Die Verantwortung liegt indes bei den Verwaltungseinheiten, die sie mit den internen IT-Stellen – im Falle von Zürich das Amt für Informatik – teilen. Beide Seiten dürften Grund zur Vorsicht haben.

Das Thema ist indes noch lange nicht erledigt, schliesslich sind die finanziellen Vorteile und die Skalierbarkeit bei den Hyperscalern kaum zu übertreffen. Gerade weil die Unzufriedenheit in der Verwaltung gross ist, könnte der Druck zunehmen, die Regeln anzupassen. Es geht dabei um fundamentale Fragen: Soll sich ein Staat von privatwirtschaftlichen Grosskonzernen abhängig machen? Schützt er die Daten seiner Bürger genug?

Wie die 'Republik' kürzlich aufzeigte, arbeitet der Bund an einer Schweizer Cloud. Diese wird aber offenbar erst 2026 zur Verfügung stehen. Von den Anwendern gibt es aber Zug: Derzeit landen bei Datenschützerin Blonski immer wieder Anfragen aus dem Gesundheitswesen auf dem Tisch. In den Spitälern sei die Diskussion um die Cloud angekommen, was ausgelagert werden könne, sei aber noch offen, bestätigt Blonski.