Die nächsten Monate dürften für den Datenschutz in der Schweiz richtungsweisend sein. Kanton und Stadt Zürich sind auf der Basis von juristischen Gutachten vorgeprescht und wollen in ihrer Verwaltung den Einsatz von US-Clouddiensten vereinfachen. Datenschützer kritisieren das Vorgehen. Deutliche Worte fand der Eidgenössische Datenschutzbeauftragte Adrian Lobsiger. Er warnt
in unserem Interview Behörden davor, sich auf die privaten Gutachten zu verlassen. Auch der Basler Datenschützer bemängelt das Vorgehen und befürchtet wegweisenden Charakter. Exekutiven könnten "noch so viele Gutachten von Anwälten und Anwältinnen einholen – die Gesamtverantwortung bleibt bei ihnen", hiess es
in seinem letzten Tätigkeitsbericht.
Zuständig für kantonale Zürcher Behörden ist Dominika Blonski, die Datenschutzbeauftragte des bevölkerungsreichsten Schweizer Kantons. Wir treffen sie zum Gespräch in ihrem Büro an der Beckenhofstrasse, einen kurzen Fussmarsch vom Rathaus entfernt, wo
die Kantonsregierung im Frühling Microsoft 365 in der kantonalen Verwaltung gutgeheissen hatte.
"Der Regierungsratsbeschluss ändert gar nichts", sagt Blonski im Gespräch, wie zuvor seien alle datenschutzrechtlichen Vorgaben einzuhalten. Die Juristin verweist auf einen Leitfaden zur Nutzung von Cloud-Diensten. Diesen hat sie in diesem Sommer aufgrund des Regierungsbeschlusses publiziert, wie sie einräumt. Denn seither häufen sich in ihrem Büro die Anfragen für die Cloudnutzung von kleineren Verwaltungen: Gemeinden, Schulen, Kirchgemeinden.
Blonski, die seit gut zwei Jahren Datenschutzbeauftragte des Kantons ist, antwortet bei den Anfragen immer gleich: Behörden haben nach wie vor die vollständige Verantwortung für ihre Daten und dürfen betroffene Personen nicht schlechter stellen, als wenn das Amt die Daten selbst verarbeitet – etwa weil diese einem Land mit nicht angemessenem Datenschutz zufallen könnten. Die USA zählen seit rund zwei Jahren zu diesen Staaten, und dementsprechend auch die Ländergesellschaften von US-Firmen hier in der Schweiz, weil sie unter den 'Cloud Act' (Clarifying Lawful Overseas Use of Data Act) fallen. "Ich weiss nicht, was die Absicht der Regierung war, aber der juristische Weg in die Cloud lässt sich nicht abkürzen", sagt Blonski.
"Der 'Cloud Act' lässt sich nicht statistisch relativieren"
Die statistische Methode von Rosenthal sei gesetzlich unnötig und nicht zielführend, sagt die Juristin weiter. Für Daten unter einer besonderen Geheimhaltungsvorschrift wie Steuerdaten oder Gesundheitsdaten ist die Nutzung der Cloud-Dienste von US-Anbietern rechtlich ausgeschlossen – selbst wenn die Zugriffswahrscheinlichkeit bei 0,0001 Prozent liegen würde. "Den Cloud-Act kann man nicht juristisch wegdefinieren oder statistisch relativieren", sagt Blonski und ergänzt: "Man muss in der kantonalen Verwaltung nach wie vor ein entsprechendes System aufbauen, das den jeweils vorgeschriebenen Schutzniveaus Rechnung trägt". Eine Lösung könnte für Blonski etwa eine Government-Cloud sein, die von den öffentlichen Institutionen gemeinsam aufgebaut und betrieben würde.
Es gebe zur Frage von Cloud-Diensten von US-Anbietern aber nicht einfach ein "Ja" oder "Nein", so die Datenschützerin. Denn Risikoabschätzungen spielten durchaus eine Rolle. Bloss nicht im juristischen Bereich, sondern bei der technischen Absicherung der Daten, etwa was Serverstandort, Verschlüsselung und Schlüsselmanagement betrifft. Dies wurde zum Beispiel im
Rahmenvertrag zwischen Educa und Microsoft festgelegt. Man müsse sich wie bislang genau überlegen, wie man die Cloud nutze und nach Schutzniveau der unterschiedlichen Daten unterscheiden. Die Datenschützerin bietet dazu
Merkblätter an.
Die Datenschützerin kann Datenverarbeitung untersagen
Diese sollte man als Behörde unbedingt konsultieren, denn die Einschätzung von Blonski hat Gewicht: Im Kanton Zürich hat die Datenschutzbeauftragte bereits seit dem Jahr 2020 Möglichkeiten, die auf nationaler Ebene erst im nächsten Herbst mit dem neuen Datenschutzgesetz in Kraft treten. Sie kann als letzten Schritt Verfügungen erlassen und die Datenbearbeitung bei Verwaltungsstellen unterbinden, wenn sie nicht rechtmässig sind. Derzeit würden die Cloud-Lösungen erst noch ausgerollt, sagt Blonski und unterstreicht: "Sobald Daten in der Cloud bearbeitet werden, schauen wir uns das technisch und vertraglich im Detail an". Derzeit sucht sie für ihr 14-köpfiges Büro eine Cybersecurity-Fachperson.
Die Datenschützerin stört sich daran, dass ihr Büro als 'Disabler' bezeichnet wird, im Gegensatz zu den Anwaltskanzleien, die Gutachten erstellen und sich selbst als 'Enabler' betrachten. "Wir sind auch 'Enabler' – aber der Grundrechte", betont sie. Microsoft 365 sei bestimmt ein guter Weg, aber er müsse nach allen gesetzlichen Vorgaben beschritten werden. Schliesslich hätten die Einwohnerinnen und Einwohner des Kantons keine Wahl, als ihre heiklen Daten den Behörden zu überlassen.