Der Kanton Zürich schlägt ein neues Gesetz vor, das die Verwendung von elektronischer Identifikation, Webzugang, digitalem Arbeitsplatz, Interoperabilität und Weiterentwicklung digitaler Basisdienste durch öffentliche Behörden regelt.
Rechtliche Herausforderungen bei cloudbasierten Anwendungen
Der Gesetzentwurf befasst sich mit der Auslagerung der Datenverarbeitung an Cloud-Anbieter, insbesondere solche, die ausländischen Vorschriften unterliegen. Es fordert unterschiedliche Verschlüsselungs- und Schutzniveaus, abhängig von der Sensibilität und Vertraulichkeit der Daten.
Der Konsultationsprozess und die vorherigen Studien
Der Gesetzentwurf ist bis zum 31. Mai 2024 zur Konsultation offen. Er basiert auf der kantonalen IKT-Strategie, den Bundesgesetzen über E-Government und elektronische Identifikation und einem von eGovpartner in Auftrag gegebenen Rechtsgutachten. Die Vernehmlassung läuft bis zum 13. Mai 2024. Die Vernehmlassungsunterlagen finden Sie auf der Webseite des Kantons Zürich (Suchbegriff «Gesetz über digitale Basisdienste»). Hier kann auch jedes Mitglied aus dem Kanton Zürich von IAMCP seine Meinung abgeben. Es hilft letztlich sicher für eine fundierte Gesetzgebung, sich zu beteiligen. Es lohnt sich also.
Das bedeutet nun was?
Die Vorlage sieht vor, dass durchgehende Verschlüsselung beim Einsatz solcher Cloud-Dienste obligatorisch wäre. Der Provider dürfte also keine Möglichkeit für den Zugriff auf die Daten des Kunden haben. Stand jetzt bedeutet dies technisch gesehen, dass Private oder Public Cloud für Institutionen der öffentlichen Hand nicht mehr erlaubt wären. Dies, weil es unmöglich ist, die Anforderungen auf praktikable Art und Weise zu erfüllen. Microsoft 365 Customer Key verhindert keinen Zugriff und Double Key Encryption wird nur für einzelne Objekte genutzt. Private Cloud-Anbieter könnten diese Anforderung nicht bieten. Also müssten Kanton, Gemeinden und öffentliche Institutionen wieder auf lokale Installationen zurückgreifen. Es ist heute jedoch schwer vorstellbar, dass eine Gemeinde ihren eigenen Mail-Service betreibt und verwaltet.
Regeln ja – aber nur sinnvoll
Der IAMCP befürwortet grundsätzlich die Einführung von klaren, praktikablen Regelungen, da einige Instanzen beim Thema Datenschutz nicht sorgfältig genug sind oder es aus verschiedenen Gründen vernachlässigen. Es ist sinnvoll, angemessene Massnahmen zu ergreifen.
Zu harte Regelungen, die den Datenschutz beeinträchtigen oder negative Folgen für die Betriebsstabilität oder Sicherheit haben, sollten jedoch vermieden werden. Denn Regelungen, die digitale Transformation in der öffentlichen Hand erschweren, führen zu Mehraufwand und gehen letztlich auch zulasten des Steuerzahlers.