Zürich: "Schweizerische oder europäische Clouds sind zu bevorzugen"

24. Juni 2022, 07:41
  • politik & wirtschaft
  • e-government
  • kanton
  • cloud
image
Foto: Sara Kurfess / Unsplash

Richtlinien des Kantons zeigen, was bei der Auswahl und der Nutzung von Cloud-Diensten zu berücksichtigen ist.

Laut einem Beschluss des Regierungsrates des Kantons Zürich ist der Einsatz von M365 in der Verwaltung zulässig. Darin wird ebenfalls festgehalten, dass "für die Einführung von Cloud-Lösungen keine Rechtsgrundlagen geändert oder geschaffen werden müssen, sondern die geltenden Bestimmungen einzuhalten sind."
Trotzdem hat die Datenschutzbeauftragte des Kantons Zürich, Dominika Blonski, nun Richtlinien (PDF) veröffentlicht, welche Mitarbeitenden öffentlicher Organisationen die Evaluation von Cloud-Diensten erleichtern sollen.

Auslagerung ohne Schweizer Gerichtsstand ist nicht datenschutzkonform

Im Dokument zeigt Blonski auf, wie bei der Wahl eines Cloud-Diensts vorzugehen sei. Zunächst sei die Art der zu bearbeitenden Daten und der Datenbearbeitung festzulegen. "Je sensitiver die Informationen, desto umfangreicher die rechtlichen, organisatorischen und technischen Anforderungen", so das wenig überraschende Urteil.
Konkreter wird Blonski beim Gerichtsstand: "Werden Personendaten oder besondere Personendaten bearbeitet und kann für die vorgesehene Cloud-Lösung weder schweizerisches Recht noch ein schweizerischer Gerichtsstand vereinbart werden, ist die Auslagerung nicht datenschutzkonform", heisst es im Dokument. Dies gelte ebenso, wenn keine Möglichkeit der Verschlüsselung angeboten werde. In beiden Fällen kann die vorgesehene Cloud-Lösung "nicht eingesetzt werden".

Cloud Act muss technisch verhindert werden

Weil mit diesem Passus praktisch alle amerikanischen Anbieter ausgeschlossen werden, gibts eine Spezialklausel im Dokument: "Personendaten unter besonderen Geheimnispflichten können nur dann in die Cloud von Anbietern ausgelagert werden, die dem Cloud-Act unterstehen, wenn durch eine technische Lösung das Offenbaren dieser Daten ausgeschlossen werden kann."
Technisch ausschliessen ist das eine, wenn die Daten auf dem juristischen Weg dennoch eingefordert werden können. Wohl deshalb schreibt Blonski: "Schweizerische oder europäische Clouds oder solche in Ländern, die über einen gleichwertigen gesetzlichen Datenschutz verfügen, sind zu bevorzugen. Ansonsten sind angemessene zusätzliche Informationssicherheitsmassnahmen umzusetzen."

Loading

Mehr zum Thema

image

EU-Gericht: Suchmaschinen müssen Links zu Falschinformationen löschen

Betroffene brauchen Beweise um Links löschen zu lassen, aber kein gerichtliches Urteil, sagt der Europäische Gerichtshof.

publiziert am 8.12.2022
image

Kampagne soll Zürcher Frauen für Tech-Berufe begeistern

Die Volkswirtschaftsdirektorin des Kantons, Carmen Walker Späh, sieht die Kampagne als "Weckruf" an die Gesellschaft.

publiziert am 8.12.2022
image

Netrics gründet eine eigenständige Consulting Boutique

Die neue Firma namens Aliceblue bietet unter anderem Beratung im Bereich Cloud-Technologie. Das Team besteht aus IT-Veteranen.

publiziert am 8.12.2022
image

Apple riegelt seine Cloud ab und wirft den Schlüssel weg

Der Konzern plant ein rigides Verschlüsselungssystem für den hauseigenen Cloudspeicher. Usern gefällt das, den US-Straf­verfolgungs­behörden hingegen nicht.

publiziert am 8.12.2022