Der Kanton Zürich hatte eine Vernehmlassung zum “Gesetz über digitale Basisdienste” durchgeführt (siehe hier). Neben weiteren Punkten sah § 17 in der damals vorgeschlagenen Fassung vor, dass Informationen grundsätzlich in der Schweiz oder der EU zu speichern sind, und bei besonderen Personendaten bzw. vertraulichen oder geheimen Daten eine Verschlüsselung erforderlich ist, die einen Zugriff ohne Mitwirkung des öffentlichen Organs auch dem Cloud-Provider verunmöglicht – das hätte im Wesentlichen noch Hostingdienste erlaubt.
In der Vernehmlassung ist dieser Punkt denn auch auf scharfe Kritik gestossen, die im Bericht des Regierungsrats wie folgt zusammengefasst wird:
Kontrovers diskutiert wurde in der Vernehmlassung der Regelungsvorschlag zur Nutzung von cloudbasierten Applikationen im Rahmen von digitalen Arbeitsplätzen. Die Mehrheit der Vernehmlassungsteilnehmenden beantragte eine Anpassung der Voraussetzungen oder den Verzicht auf die Bestimmung. Vereinzelt wurde das Verhältnis zum Gesetz über die Information und den Datenschutz vom 12. Februar 2007 (IDG, LS 170.4) und zum Gesetz über die Auslagerung von Informatikdienstleistungen thematisiert. […]
Der Zürcher Regierungsrat hat dem Kantonsrat nun – am 18. September 2024 – eine geänderte Fassung des Entwurfs übergeben. In der neuen Fassung liest sich § 17 wie folgt:
§ 17. 1 Das Bearbeiten von Personendaten und besonderen Personendaten in Applikationen digitaler Arbeitsplätze der Behörden kann an Dritte übertragen werden, wenn
a. sich deren Rechenzentren in der Schweiz oder in einem Staat mit einem angemessenen Datenschutz befinden und
b. aufgrund der getroffenen technischen, organisatorischen und vertraglichen Massnahmen kein Grund zur Annahme besteht, dass ein ausländischer Staat auf die Daten zugreifen wird.
2 Im Übrigen gelten die Bestimmungen des Gesetzes über die Information und den Datenschutz vom 12. Februar 2007*.
Das entspricht im Wesentlichen den Vorgaben des § 36 im Entwurf des revidierten IDG Zürichs. Eine Bekanntgabe von Personendaten ins Ausland ist danach – neben den übrigen Voraussetzungen der Datenbearbeitung – erlaubt, wenn
b. im Empfängerstaat ein angemessener Schutz für die Datenbearbeitung gewährleistet ist oder
c. [das öffentliche Organ] mit den Empfängerinnen und Empfängern angemessene Sicherheitsvorkehrungen vereinbart hat.
Die Voraussetzungen nach § 17 Abs. 1 lit. b lit. gelten ferner nicht zusätzlich, sondern alternativ zu lit. a, also als Erlaubnistatbestand, wenn sich die Rechenzentren ausserhalb eines Gebiets mit angemessenem Schutz befinden. Das dürfte i.d.R. den Abschluss der Standardvertragsklauseln und die Durchführung eines Transfer Impact Assessment verlangen, das diese Klauseln, die sonstigen TOMs und das Restrisiko eines Foreign Lawful Access einschätzt.
Diese Änderung ist nicht nur für die Cloud-Anbieter, sondern vor allem auch die öffentlichen Organe eine gute Nachricht, die von der Nutzung von allen ausser Speicherdiensten sonst faktisch ausgeschlossen wären (in den Applikationen digitaler Arbeitsplätze). Man hätte sich nur wünschen müssen, dass § 17 nicht nur von den besonderen Personendaten spricht, sondern auch von besonderen Geheimnissen.
Der Bericht des Regierungsrats sagt dazu:
Im Gesetz über elektronische Basisdienste soll ergänzend zu diesen bestehenden Regelungen die Auslagerung im spezifischen Anwendungsfall von cloudbasierten Applikationen in digitalen Arbeitsplätzen der Behörden geregelt werden. Dieser kann als primär verwaltungsinterner Basisdienst den Basisdiensten zugeordnet werden und ist technisch so weit konkretisiert bzw. konkretisierbar, dass er einer Regelung zugänglich ist.
Weitere Anträge betreffen die Normstufe der Regelung. Namentlich wird auf juristische Gutachten und Rechtsauffassungen verwiesen, wonach Gesetzesgrundlagen (im formellen Sinne) nicht erforderlich seien. Soweit ersichtlich befassen sich diese in der Vernehmlassung genannten Gutachten aber nicht oder nur ansatzweise mit der Frage, unter welchen Voraussetzungen eine Auslagerung in eine Cloud eines ausländischen Unternehmens – aus grundrechtlicher Sicht, also auch unter Berücksichtigung des verfassungs- und völkerrechtlichen Rahmens – überhaupt zulässig ist.
Aus staats- und grundrechtlichen Überlegungen wird vom Verzicht auf eine Bestimmung abgesehen. Die zu schaffende Gesetzesgrundlage soll zur Rechtssicherheit in einem Bereich mit rechtlich offenen Fragen wie technologisch-dynamischen Entwicklungen beitragen. So soll das Gesetz über elektronische Basisdienste insbesondere dazu dienen, den Gemeinden eine (präzisierende) Rechtsgrundlage für die Nutzung von cloudbasierten Applikationen in digitalen Arbeitsplätzen der Behörden zu schaffen. Die Bestimmung wurde mit Blick auf die in der Vernehmlassung geäusserten Bedenken zur Umsetzbarkeit in der Praxis überarbeitet. Die Voraussetzungen sollen die bestehende Arbeitsrealität angemessen berücksichtigen und technologischen Entwicklungen so weit wie möglich Raum belassen. Anliegen des Datenschutzes und der Informationssicherheit sind in einem ausgewogenen Verhältnis und mit Blick auf ein öffentliches Interesse an einer effizienten und zeitgemässen Verwaltung aufzunehmen.
Es ist davon auszugehen, dass technische Massnahmen, die insbesondere die Daten- bzw. Informationssicherheit erhöhen, weiterentwickelt werden und letztlich vom Angebot der gewählten Anbietenden von Applikationen in digitalen Arbeitsplätzen der Behörden abhängen. Daher wird davon abgesehen, bereits auf Stufe des formellen Gesetzes eine bestimmte technologische Massnahme vorzugeben (Verschlüsselung mit Schlüsselhoheit beim öffentlichen Organ). Die Behörde ist verantwortlich, mit technischen, organisatorischen und vertraglichen Massnahmen sicherzustellen, dass das Risiko eines Zugriffs auf Daten durch einen ausländischen Staat auf ein Mindestmass reduziert wird.
Im Gesetzestext wird auf die Begrifflichkeit «cloudbasiert» verzichtet, da es sich hierbei um einen noch (zu) unklaren Begriff handelt. Juristisch massgeblich ist die Qualifikation des «Cloud-Computings» als Form der Datenbearbeitung durch Dritte. Der Gegenstand der Bestimmung im Gesetz über elektronische Basisdienste ist auf die Datenbearbeitung im Rahmen der Applikationen in digitalen Arbeitsplätzen der Behörden beschränkt.