Der Kan­ton Zürich hat­te eine Ver­nehm­las­sung zum “Gesetz über digi­ta­le Basis­dien­ste” durch­ge­führt (sie­he hier). Neben wei­te­ren Punk­ten sah § 17 in der damals vor­ge­schla­ge­nen Fas­sung vor, dass Infor­ma­tio­nen grund­sätz­lich in der Schweiz oder der EU zu spei­chern sind, und bei beson­de­ren Per­so­nen­da­ten bzw. ver­trau­li­chen oder gehei­men Daten eine Ver­schlüs­se­lung erfor­der­lich ist, die einen Zugriff ohne Mit­wir­kung des öffent­li­chen Organs auch dem Cloud-Pro­vi­der ver­un­mög­licht – das hät­te im Wesent­li­chen noch Hosting­dien­ste erlaubt.

In der Ver­nehm­las­sung ist die­ser Punkt denn auch auf schar­fe Kri­tik gesto­ssen, die im Bericht des Regie­rungs­rats wie folgt zusam­men­ge­fasst wird:

Kon­tro­vers dis­ku­tiert wur­de in der Ver­nehm­las­sung der Rege­lungs­vor­schlag zur Nut­zung von cloud­ba­sier­ten Appli­ka­tio­nen im Rah­men von digi­ta­len Arbeits­plät­zen. Die Mehr­heit der Ver­nehm­las­sungs­teil­neh­men­den bean­trag­te eine Anpas­sung der Vor­aus­set­zun­gen oder den Ver­zicht auf die Bestim­mung. Ver­ein­zelt wur­de das Ver­hält­nis zum Gesetz über die Infor­ma­ti­on und den Daten­schutz vom 12. Febru­ar 2007 (IDG, LS 170.4) und zum Gesetz über die Aus­la­ge­rung von Infor­ma­tik­dienst­lei­stun­gen thematisiert. […]

Der Zür­cher Regie­rungs­rat hat dem Kan­tons­rat nun – am 18. Sep­tem­ber 2024 – eine geän­der­te Fas­sung des Ent­wurfs über­ge­ben. In der neu­en Fas­sung liest sich § 17 wie folgt:

§ 17. 1 Das Bear­bei­ten von Per­so­nen­da­ten und beson­de­ren Per­so­nen­da­ten in Appli­ka­tio­nen digi­ta­ler Arbeits­plät­ze der Behör­den kann an Drit­te über­tra­gen wer­den, wenn

a. sich deren Rechen­zen­tren in der Schweiz oder in einem Staat mit einem ange­mes­se­nen Daten­schutz befin­den und

b. auf­grund der getrof­fe­nen tech­ni­schen, orga­ni­sa­to­ri­schen und ver­trag­li­chen Mass­nah­men kein Grund zur Annah­me besteht, dass ein aus­län­di­scher Staat auf die Daten zugrei­fen wird.

2 Im Übri­gen gel­ten die Bestim­mun­gen des Geset­zes über die Infor­ma­ti­on und den Daten­schutz vom 12. Febru­ar 2007*.

Das ent­spricht im Wesent­li­chen den Vor­ga­ben des § 36 im Ent­wurf des revi­dier­ten IDG Zürichs. Eine Bekannt­ga­be von Per­so­nen­da­ten ins Aus­land ist danach – neben den übri­gen Vor­aus­set­zun­gen der Daten­be­ar­bei­tung – erlaubt, wenn

b. im Emp­fän­ger­staat ein ange­mes­se­ner Schutz für die Daten­be­ar­bei­tung gewähr­lei­stet ist oder

c. [das öffent­li­che Organ] mit den Emp­fän­ge­rin­nen und Emp­fän­gern ange­mes­se­ne Sicher­heits­vor­keh­run­gen ver­ein­bart hat.

Die Vor­aus­set­zun­gen nach § 17 Abs. 1 lit. b lit. gel­ten fer­ner nicht zusätz­lich, son­dern alter­na­tiv zu lit. a, also als Erlaub­nis­tat­be­stand, wenn sich die Rechen­zen­tren ausser­halb eines Gebiets mit ange­mes­se­nem Schutz befin­den. Das dürf­te i.d.R. den Abschluss der Stan­dard­ver­trags­klau­seln und die Durch­füh­rung eines Trans­fer Impact Assess­ment ver­lan­gen, das die­se Klau­seln, die son­sti­gen TOMs und das Rest­ri­si­ko eines For­eign Lawful Access einschätzt.

Die­se Ände­rung ist nicht nur für die Cloud-Anbie­ter, son­dern vor allem auch die öffent­li­chen Orga­ne eine gute Nach­richt, die von der Nut­zung von allen ausser Spei­cher­dien­sten sonst fak­tisch aus­ge­schlos­sen wären (in den Appli­ka­tio­nen digi­ta­ler Arbeits­plät­ze). Man hät­te sich nur wün­schen müs­sen, dass § 17 nicht nur von den beson­de­ren Per­so­nen­da­ten spricht, son­dern auch von beson­de­ren Geheimnissen.

Der Bericht des Regie­rungs­rats sagt dazu:

Im Gesetz über elek­tro­ni­sche Basis­dien­ste soll ergän­zend zu die­sen bestehen­den Rege­lun­gen die Aus­la­ge­rung im spe­zi­fi­schen Anwen­dungs­fall von cloud­ba­sier­ten Appli­ka­tio­nen in digi­ta­len Arbeits­plät­zen der Behör­den gere­gelt wer­den. Die­ser kann als pri­mär ver­wal­tungs­in­ter­ner Basis­dienst den Basis­dien­sten zuge­ord­net wer­den und ist tech­nisch so weit kon­kre­ti­siert bzw. kon­kre­ti­sier­bar, dass er einer Rege­lung zugäng­lich ist.

Wei­te­re Anträ­ge betref­fen die Norm­stu­fe der Rege­lung. Nament­lich wird auf juri­sti­sche Gut­ach­ten und Rechts­auf­fas­sun­gen ver­wie­sen, wonach Geset­zes­grund­la­gen (im for­mel­len Sin­ne) nicht erfor­der­lich sei­en. Soweit ersicht­lich befas­sen sich die­se in der Ver­nehm­las­sung genann­ten Gut­ach­ten aber nicht oder nur ansatz­wei­se mit der Fra­ge, unter wel­chen Vor­aus­set­zun­gen eine Aus­la­ge­rung in eine Cloud eines aus­län­di­schen Unter­neh­mens – aus grund­recht­li­cher Sicht, also auch unter Berück­sich­ti­gung des ver­fas­sungs- und völ­ker­recht­li­chen Rah­mens – über­haupt zuläs­sig ist.

Aus staats- und grund­recht­li­chen Über­le­gun­gen wird vom Ver­zicht auf eine Bestim­mung abge­se­hen. Die zu schaf­fen­de Geset­zes­grund­la­ge soll zur Rechts­si­cher­heit in einem Bereich mit recht­lich offe­nen Fra­gen wie tech­no­lo­gisch-dyna­mi­schen Ent­wick­lun­gen bei­tra­gen. So soll das Gesetz über elek­tro­ni­sche Basis­dien­ste ins­be­son­de­re dazu die­nen, den Gemein­den eine (prä­zi­sie­ren­de) Rechts­grund­la­ge für die Nut­zung von cloud­ba­sier­ten Appli­ka­tio­nen in digi­ta­len Arbeits­plät­zen der Behör­den zu schaf­fen. Die Bestim­mung wur­de mit Blick auf die in der Ver­nehm­las­sung geäu­sser­ten Beden­ken zur Umsetz­bar­keit in der Pra­xis über­ar­bei­tet. Die Vor­aus­set­zun­gen sol­len die bestehen­de Arbeits­rea­li­tät ange­mes­sen berück­sich­ti­gen und tech­no­lo­gi­schen Ent­wick­lun­gen so weit wie mög­lich Raum belas­sen. Anlie­gen des Daten­schut­zes und der Infor­ma­ti­ons­si­cher­heit sind in einem aus­ge­wo­ge­nen Ver­hält­nis und mit Blick auf ein öffent­li­ches Inter­es­se an einer effi­zi­en­ten und zeit­ge­mä­ssen Ver­wal­tung aufzunehmen.

Es ist davon aus­zu­ge­hen, dass tech­ni­sche Mass­nah­men, die ins­be­son­de­re die Daten- bzw. Infor­ma­ti­ons­si­cher­heit erhö­hen, wei­ter­ent­wickelt wer­den und letzt­lich vom Ange­bot der gewähl­ten Anbie­ten­den von Appli­ka­tio­nen in digi­ta­len Arbeits­plät­zen der Behör­den abhän­gen. Daher wird davon abge­se­hen, bereits auf Stu­fe des for­mel­len Geset­zes eine bestimm­te tech­no­lo­gi­sche Mass­nah­me vor­zu­ge­ben (Ver­schlüs­se­lung mit Schlüs­sel­ho­heit beim öffent­li­chen Organ). Die Behör­de ist ver­ant­wort­lich, mit tech­ni­schen, orga­ni­sa­to­ri­schen und ver­trag­li­chen Mass­nah­men sicher­zu­stel­len, dass das Risi­ko eines Zugriffs auf Daten durch einen aus­län­di­schen Staat auf ein Min­dest­mass redu­ziert wird.

Im Geset­zes­text wird auf die Begriff­lich­keit «cloud­ba­siert» ver­zich­tet, da es sich hier­bei um einen noch (zu) unkla­ren Begriff han­delt. Juri­stisch mass­geb­lich ist die Qua­li­fi­ka­ti­on des «Cloud-Com­pu­tings» als Form der Daten­be­ar­bei­tung durch Drit­te. Der Gegen­stand der Bestim­mung im Gesetz über elek­tro­ni­sche Basis­dien­ste ist auf die Daten­be­ar­bei­tung im Rah­men der Appli­ka­tio­nen in digi­ta­len Arbeits­plät­zen der Behör­den beschränkt.