Zürcher Datenschützerin zum Cloudeinsatz: "Der Regierungsratsbeschluss ändert gar nichts"

30. September 2022 um 09:43
image
Dominika Blonski, Datenschutzbeauftragte des Kantons Zürich.

Bei Dominika Blonski häufen sich seit dem Frühling Anfragen von Behörden zur Cloudnutzung. Im Gespräch sagt die Datenschützerin: "Ich weiss nicht, was die Absicht der Zürcher Regierung war."

Die nächsten Monate dürften für den Datenschutz in der Schweiz richtungsweisend sein. Kanton und Stadt Zürich sind auf der Basis von juristischen Gutachten vorgeprescht und wollen in ihrer Verwaltung den Einsatz von US-Clouddiensten vereinfachen. Datenschützer kritisieren das Vorgehen. Deutliche Worte fand der Eidgenössische Datenschutzbeauftragte Adrian Lobsiger. Er warnt in unserem Interview Behörden davor, sich auf die privaten Gutachten zu verlassen. Auch der Basler Datenschützer bemängelt das Vorgehen und befürchtet wegweisenden Charakter. Exekutiven könnten "noch so viele Gutachten von Anwälten und Anwältinnen einholen – die Gesamtverantwortung bleibt bei ihnen", hiess es in seinem letzten Tätigkeitsbericht.
Zuständig für kantonale Zürcher Behörden ist Dominika Blonski, die Datenschutzbeauftragte des bevölkerungsreichsten Schweizer Kantons. Wir treffen sie zum Gespräch in ihrem Büro an der Beckenhofstrasse, einen kurzen Fussmarsch vom Rathaus entfernt, wo die Kantonsregierung im Frühling Microsoft 365 in der kantonalen Verwaltung gutgeheissen hatte.
"Der Regierungsratsbeschluss ändert gar nichts", sagt Blonski im Gespräch, wie zuvor seien alle datenschutzrechtlichen Vorgaben einzuhalten. Die Juristin verweist auf einen Leitfaden zur Nutzung von Cloud-Diensten. Diesen hat sie in diesem Sommer aufgrund des Regierungsbeschlusses publiziert, wie sie einräumt. Denn seither häufen sich in ihrem Büro die Anfragen für die Cloudnutzung von kleineren Verwaltungen: Gemeinden, Schulen, Kirchgemeinden.
Blonski, die seit gut zwei Jahren Datenschutzbeauftragte des Kantons ist, antwortet bei den Anfragen immer gleich: Behörden haben nach wie vor die vollständige Verantwortung für ihre Daten und dürfen betroffene Personen nicht schlechter stellen, als wenn das Amt die Daten selbst verarbeitet – etwa weil diese einem Land mit nicht angemessenem Datenschutz zufallen könnten. Die USA zählen seit rund zwei Jahren zu diesen Staaten, und dementsprechend auch die Ländergesellschaften von US-Firmen hier in der Schweiz, weil sie unter den 'Cloud Act' (Clarifying Lawful Overseas Use of Data Act) fallen. "Ich weiss nicht, was die Absicht der Regierung war, aber der juristische Weg in die Cloud lässt sich nicht abkürzen", sagt Blonski.

"Der 'Cloud Act' lässt sich nicht statistisch relativieren"

Die statistische Methode von Rosenthal sei gesetzlich unnötig und nicht zielführend, sagt die Juristin weiter. Für Daten unter einer besonderen Geheimhaltungsvorschrift wie Steuerdaten oder Gesundheitsdaten ist die Nutzung der Cloud-Dienste von US-Anbietern rechtlich ausgeschlossen – selbst wenn die Zugriffswahrscheinlichkeit bei 0,0001 Prozent liegen würde. "Den Cloud-Act kann man nicht juristisch wegdefinieren oder statistisch relativieren", sagt Blonski und ergänzt: "Man muss in der kantonalen Verwaltung nach wie vor ein entsprechendes System aufbauen, das den jeweils vorgeschriebenen Schutzniveaus Rechnung trägt". Eine Lösung könnte für Blonski etwa eine Government-Cloud sein, die von den öffentlichen Institutionen gemeinsam aufgebaut und betrieben würde.
Es gebe zur Frage von Cloud-Diensten von US-Anbietern aber nicht einfach ein "Ja" oder "Nein", so die Datenschützerin. Denn Risikoabschätzungen spielten durchaus eine Rolle. Bloss nicht im juristischen Bereich, sondern bei der technischen Absicherung der Daten, etwa was Serverstandort, Verschlüsselung und Schlüsselmanagement betrifft. Dies wurde zum Beispiel im Rahmenvertrag zwischen Educa und Microsoft festgelegt. Man müsse sich wie bislang genau überlegen, wie man die Cloud nutze und nach Schutzniveau der unterschiedlichen Daten unterscheiden. Die Datenschützerin bietet dazu Merkblätter an.

Die Datenschützerin kann Datenverarbeitung untersagen

Diese sollte man als Behörde unbedingt konsultieren, denn die Einschätzung von Blonski hat Gewicht: Im Kanton Zürich hat die Datenschutzbeauftragte bereits seit dem Jahr 2020 Möglichkeiten, die auf nationaler Ebene erst im nächsten Herbst mit dem neuen Datenschutzgesetz in Kraft treten. Sie kann als letzten Schritt Verfügungen erlassen und die Datenbearbeitung bei Verwaltungsstellen unterbinden, wenn sie nicht rechtmässig sind. Derzeit würden die Cloud-Lösungen erst noch ausgerollt, sagt Blonski und unterstreicht: "Sobald Daten in der Cloud bearbeitet werden, schauen wir uns das technisch und vertraglich im Detail an". Derzeit sucht sie für ihr 14-köpfiges Büro eine Cybersecurity-Fachperson.
Die Datenschützerin stört sich daran, dass ihr Büro als 'Disabler' bezeichnet wird, im Gegensatz zu den Anwaltskanzleien, die Gutachten erstellen und sich selbst als 'Enabler' betrachten. "Wir sind auch 'Enabler' – aber der Grundrechte", betont sie. Microsoft 365 sei bestimmt ein guter Weg, aber er müsse nach allen gesetzlichen Vorgaben beschritten werden. Schliesslich hätten die Einwohnerinnen und Einwohner des Kantons keine Wahl, als ihre heiklen Daten den Behörden zu überlassen.

Loading

Mehr zum Thema

image

Zürcher Finanzkontrolle untersucht die Juris-X-Probleme

Die Finanzkontrolle des Kantons soll prüfen, was bei der problembehafteten Beschaffung einer neuen Software für den Justizvollzug schief gelaufen ist.

publiziert am 3.10.2024
image

EU will von Online-Plattformen mehr Infos

Youtube und Snapchat sollen der EU-Kommission erklären, wie genau ihre Algorithmen funktionieren, die den Nutzern bestimmte Inhalte vorschlagen.

publiziert am 3.10.2024
image

Winterthur stockt seine IT-Stellen auf

Mit dem Budget 2025 sieht der Stadtrat einen grösseren Ausbau bei den Informatikdiensten vor. Auch diverse Digitalprojekte schlagen bei den Ausgaben zu Buche.

publiziert am 2.10.2024
image

Luzerner Regierungsrat verteidigt M365-Einführung

Die Umstellung der Verwaltung auf Microsoft 365 hat zu einer Anfrage im Parlament geführt. Die Regierung äussert sich zu Datenschutz, Cloud und Alternativen.

publiziert am 1.10.2024