Zürcher Datenschützerin zum Cloudeinsatz: "Der Regierungsratsbeschluss ändert gar nichts"

30. September 2022 um 09:43
image
Dominika Blonski, Datenschutzbeauftragte des Kantons Zürich.

Bei Dominika Blonski häufen sich seit dem Frühling Anfragen von Behörden zur Cloudnutzung. Im Gespräch sagt die Datenschützerin: "Ich weiss nicht, was die Absicht der Zürcher Regierung war."

Die nächsten Monate dürften für den Datenschutz in der Schweiz richtungsweisend sein. Kanton und Stadt Zürich sind auf der Basis von juristischen Gutachten vorgeprescht und wollen in ihrer Verwaltung den Einsatz von US-Clouddiensten vereinfachen. Datenschützer kritisieren das Vorgehen. Deutliche Worte fand der Eidgenössische Datenschutzbeauftragte Adrian Lobsiger. Er warnt in unserem Interview Behörden davor, sich auf die privaten Gutachten zu verlassen. Auch der Basler Datenschützer bemängelt das Vorgehen und befürchtet wegweisenden Charakter. Exekutiven könnten "noch so viele Gutachten von Anwälten und Anwältinnen einholen – die Gesamtverantwortung bleibt bei ihnen", hiess es in seinem letzten Tätigkeitsbericht.
Zuständig für kantonale Zürcher Behörden ist Dominika Blonski, die Datenschutzbeauftragte des bevölkerungsreichsten Schweizer Kantons. Wir treffen sie zum Gespräch in ihrem Büro an der Beckenhofstrasse, einen kurzen Fussmarsch vom Rathaus entfernt, wo die Kantonsregierung im Frühling Microsoft 365 in der kantonalen Verwaltung gutgeheissen hatte.
"Der Regierungsratsbeschluss ändert gar nichts", sagt Blonski im Gespräch, wie zuvor seien alle datenschutzrechtlichen Vorgaben einzuhalten. Die Juristin verweist auf einen Leitfaden zur Nutzung von Cloud-Diensten. Diesen hat sie in diesem Sommer aufgrund des Regierungsbeschlusses publiziert, wie sie einräumt. Denn seither häufen sich in ihrem Büro die Anfragen für die Cloudnutzung von kleineren Verwaltungen: Gemeinden, Schulen, Kirchgemeinden.
Blonski, die seit gut zwei Jahren Datenschutzbeauftragte des Kantons ist, antwortet bei den Anfragen immer gleich: Behörden haben nach wie vor die vollständige Verantwortung für ihre Daten und dürfen betroffene Personen nicht schlechter stellen, als wenn das Amt die Daten selbst verarbeitet – etwa weil diese einem Land mit nicht angemessenem Datenschutz zufallen könnten. Die USA zählen seit rund zwei Jahren zu diesen Staaten, und dementsprechend auch die Ländergesellschaften von US-Firmen hier in der Schweiz, weil sie unter den 'Cloud Act' (Clarifying Lawful Overseas Use of Data Act) fallen. "Ich weiss nicht, was die Absicht der Regierung war, aber der juristische Weg in die Cloud lässt sich nicht abkürzen", sagt Blonski.

"Der 'Cloud Act' lässt sich nicht statistisch relativieren"

Die statistische Methode von Rosenthal sei gesetzlich unnötig und nicht zielführend, sagt die Juristin weiter. Für Daten unter einer besonderen Geheimhaltungsvorschrift wie Steuerdaten oder Gesundheitsdaten ist die Nutzung der Cloud-Dienste von US-Anbietern rechtlich ausgeschlossen – selbst wenn die Zugriffswahrscheinlichkeit bei 0,0001 Prozent liegen würde. "Den Cloud-Act kann man nicht juristisch wegdefinieren oder statistisch relativieren", sagt Blonski und ergänzt: "Man muss in der kantonalen Verwaltung nach wie vor ein entsprechendes System aufbauen, das den jeweils vorgeschriebenen Schutzniveaus Rechnung trägt". Eine Lösung könnte für Blonski etwa eine Government-Cloud sein, die von den öffentlichen Institutionen gemeinsam aufgebaut und betrieben würde.
Es gebe zur Frage von Cloud-Diensten von US-Anbietern aber nicht einfach ein "Ja" oder "Nein", so die Datenschützerin. Denn Risikoabschätzungen spielten durchaus eine Rolle. Bloss nicht im juristischen Bereich, sondern bei der technischen Absicherung der Daten, etwa was Serverstandort, Verschlüsselung und Schlüsselmanagement betrifft. Dies wurde zum Beispiel im Rahmenvertrag zwischen Educa und Microsoft festgelegt. Man müsse sich wie bislang genau überlegen, wie man die Cloud nutze und nach Schutzniveau der unterschiedlichen Daten unterscheiden. Die Datenschützerin bietet dazu Merkblätter an.

Die Datenschützerin kann Datenverarbeitung untersagen

Diese sollte man als Behörde unbedingt konsultieren, denn die Einschätzung von Blonski hat Gewicht: Im Kanton Zürich hat die Datenschutzbeauftragte bereits seit dem Jahr 2020 Möglichkeiten, die auf nationaler Ebene erst im nächsten Herbst mit dem neuen Datenschutzgesetz in Kraft treten. Sie kann als letzten Schritt Verfügungen erlassen und die Datenbearbeitung bei Verwaltungsstellen unterbinden, wenn sie nicht rechtmässig sind. Derzeit würden die Cloud-Lösungen erst noch ausgerollt, sagt Blonski und unterstreicht: "Sobald Daten in der Cloud bearbeitet werden, schauen wir uns das technisch und vertraglich im Detail an". Derzeit sucht sie für ihr 14-köpfiges Büro eine Cybersecurity-Fachperson.
Die Datenschützerin stört sich daran, dass ihr Büro als 'Disabler' bezeichnet wird, im Gegensatz zu den Anwaltskanzleien, die Gutachten erstellen und sich selbst als 'Enabler' betrachten. "Wir sind auch 'Enabler' – aber der Grundrechte", betont sie. Microsoft 365 sei bestimmt ein guter Weg, aber er müsse nach allen gesetzlichen Vorgaben beschritten werden. Schliesslich hätten die Einwohnerinnen und Einwohner des Kantons keine Wahl, als ihre heiklen Daten den Behörden zu überlassen.

Loading

Mehr erfahren

Mehr zum Thema

image

Neue Direktorin für Förderagentur Innosuisse gewählt

Dominique Gruhl-Bégin wird im August ihre neue Position bei der Förderagentur übernehmen. Die bisherige Direktorin Annalise Eggimann tritt aus Altersgründen zurück.

publiziert am 15.5.2024
image

Schweizer Hoch­leistungs­rechner gehört zur Welt­spitze

Die leistungsfähigsten Supercomputer der Welt stehen allesamt in den USA. In Europa ist die Konkurrenz nahe beieinander.

publiziert am 14.5.2024
image

Psychiatrie Winterthur sucht neues KIS als Polypoint-Ersatz

Die Integrierte Psychiatrie Winterthur – Zürcher Unterland beschafft ein neues Klinikinformationssystem (KIS). Grund dafür ist ein Strategiewechsel des bisherigen Lieferanten.

publiziert am 14.5.2024
image

EFK verteilt Hausaufgaben ans E-ID-Projektteam

Die Eidgenössische Finanzkontrolle (EFK) hat sich mit dem E-ID-Projekt des Bundes befasst. Sie zeigt den Verantwortlichen auf, woran es noch fehlt.

publiziert am 13.5.2024 3