Jusletter IT

Cloud-Lösungen werden in immer mehr Bereichen eingesetzt, sowohl in privaten Unternehmen als auch bei öffentlichen Organen. Dafür gibt das Datenschutzrecht sowohl rechtliche als auch organisatorisch-technische Rahmenbedingungen vor. Dieser Beitrag beleuchtet die juristischen Vorgaben für öffentliche Organe (gem. Art. 5 lit. i DSG und auf kantonaler Ebene z.B. § 3 Gesetz über die Information und den Datenschutz des Kantons Zürich, LS 170.4 [IDG/ZH]), also Bundesorgane und öffentliche Organe in den Kantonen, die gleichzeitig auch als öffentliche Auftraggeber bzw. Beschaffungsbehörden auftreten, wenn die Cloud-Lösung auf dem privaten Markt im öffentlichen Beschaffungsprozess eingekauft wird.¹

Die juristischen Vorgaben für öffentliche Organe bei der Auslagerung von Daten in die Cloud bleiben bei der Diskussion über den Einsatz von Cloud-Lösungen häufig im Hintergrund, was angesichts ihrer Relevanz für den Datenschutz als Grundrecht der Bürgerinnen und Bürger unhaltbar ist. Denn für die öffentlichen Organe ergeben sich spezifische Anforderungen aus dem öffentlichen Recht, die sich von jenen für private Datenbearbeitende unterscheiden. Anhand der gesetzlichen Vorgaben führt dieser Beitrag Schritt für Schritt durch die Fragen, die sich für öffentliche Organe stellen, wenn sie Cloud-Lösungen öffentlich beschaffen, bzw. Daten in die Cloud an Dritte auslagern.²

Aus technischer Perspektive ist Cloud Computing ein Netzwerk, auf das jederzeit und ortsungebunden zugegriffen werden kann. Es handelt sich um einen geteilten Pool von konfigurierbaren Rechnerressourcen (z.B. Netze, Server, Speichersysteme, Anwendungen und Dienste), die mit minimalem Verwaltungsaufwand und minimaler Serviceprovider-Interaktion rasch bereitgestellt und freigegeben werden können. Cloud Computing ermöglicht damit insbesondere Flexibilität und Skalierbarkeit. Es gibt unterschiedliche Servicemodelle: Infrastructure as a Service (IaaS), Platform as a Service (PaaS), Software as a Service (SaaS) und verschiedene Organisationsmodelle wie Public Cloud, Private Cloud, Hybrid Cloud, Community Cloud (NIST, 2011; Blonski, 2022).

Im datenschutzrechtlichen Sinne liegt beim Beizug von Cloud-Dienstleistungen eine Auftragsdatenbearbeitung vor (gem. Art. 9 DSG und auch § 6 IDG/ZH), weil die Datenbearbeitung einem Dritten übergeben wird. Entsprechend sind die Vorgaben für die Auftragsdatenbearbeitung einzuhalten (Blattmann, 2021, Rz 1).

Wenn die öffentliche Hand sich also entscheidet, Cloud-Leistungen von externen Anbieterinnen einzukaufen, muss sie auch in der öffentlichen Ausschreibung beachten, dass die Vorgaben für die Auftragsdatenbearbeitung eingehalten werden. Wie bei jeder Auftragsdatenbearbeitung verbleibt auch bei der Auslagerung in eine Cloud das öffentliche Organ datenschutzrechtlich vollständig für die Datenbearbeitung verantwortlich. Eine Auftragsdatenbearbeitung ist keine Datenbekanntgabe,³ da die Auftragnehmerin eine Drittperson ist, die keine datenschutzrechtliche Verantwortung gegenüber denjenigen Personen hat, die von der Datenbearbeitungen des öffentlichen Organs betroffenen sind.⁴

Die Auftragnehmerin (bzw. die «Anbieterin» in der beschaffungsrechtlichen Terminologie) darf die Daten entsprechend nur so wie der öffentliche Auftraggeber/die Beschaffungsstelle bearbeiten und sie nicht für eigene Zwecke nutzen. Sie führt die Datenbearbeitung im Auftrag und nur auf Weisung des Auftraggebers durch. Dies gilt auch, wenn das Bearbeiten im Ausland stattfindet, wie dies bei der Inanspruchnahme von Cloud-Lösungen häufig der Fall ist (Privatim, 2022; Datenschutzbeauftragte des Kantons Zürich, 2022; Baeriswyl, 2019, S. 120). Geht eine Datenbearbeitung durch die Auftragnehmerin über das im Rahmen der Auslagerung Zulässige hinaus, z.B. wenn die Cloud-Anbieterin die Daten zu eigenen Zwecken nutzt, müsste dies von der Rechtsgrundlage des öffentlichen Organs gedeckt sein (Botschaft DSG, 7053; Epiney & Fasnacht, 2020, Rz 51 sowie Baeriswyl, 2019).

Die Ausschreibung und Nutzung von Cloud-Lösungen bringt aus datenschutzrechtlicher Sicht besondere Risiken mit sich. Dazu gehört beispielsweise ungenügende Transparenz über die Bearbeitung von Personendaten durch die Cloud-Anbieterin, womit u.a. die Einhaltung der Zweckbindung nicht gewährleistet ist. Weitere Risiken sind erschwerte Kontrollmöglichkeiten, der Einfluss ausländischer Rechtsordnungen (wie beispielsweise der CLOUD-Act, siehe auch sogleich 3) und die Gewährleistung eines gleichwertigen Datenschutzes, die Portabilität der Daten und die Interoperabilität mit anderen Systemen sowie Datenverlust und Datenmissbrauch.

In der Praxis wird oft moniert, dass der Auftraggeber bei der Beschaffung von Cloud-Lösungen kaum Einflussmöglichkeiten auf das Angebot sowie die Ausgestaltung der Cloud-Lösung hat und sich entscheiden muss, das Angebot anzunehmen oder ganz darauf zu verzichten. In einer solchen Situation besteht die Gefahr, dass Rahmenbedingungen der Auslagerung insgesamt und im Besonderen bei der Bearbeitung von Personendaten Grundrechte und Persönlichkeitsrechte verletzt werden. Umso wichtiger ist es bei öffentlichen Beschaffungen, die oben genannten Risiken durch ein vollständiges Pflichtenheft, das alle datenschutzrechtlichen Anforderungen abdeckt und in die Ausschreibung aufnimmt, zu minimieren und somit auf die Ausgestaltung der Cloud-Lösung Einfluss zu nehmen.

Jede Datenbearbeitung muss rechtmässig – also unter Einhaltung aller rechtlicher Vorgaben – erfolgen, damit sie zulässig ist.⁵ Für öffentliche Organe bedeutet dies insbesondere, dass das Legalitätsprinzip eingehalten sein muss, indem sich die Datenbearbeitung auf eine Rechtsgrundlage stützt. Neben dem Legalitätsprinzip sind durch die öffentlichen Organe des Weiteren die verfassungsmässigen Prinzipien und somit auch die Grundrechte einzuhalten und dürfen diese nicht unrechtmässig einschränken (Art. 36 der Bundesverfassung [BV, SR 101]). Diese verfassungsmässigen Vorgaben werden in den Datenschutzgesetzen sowie für einzelne Datenbearbeitungen in bereichsspezifische Gesetze konkretisiert und sind Teil der Rechtmässigkeit der Datenbearbeitung.

Für die Auftragsdatenbearbeitung, bei der ein Dritter im Auftrag des öffentlichen Organs die Daten bearbeitet (Art. 9 i.V.m. Art. 5 lit. k DSG; z.B. § 6 IDG/ZH.), bedeutet dies, dass aufgrund der spezifischen Risiken zusätzliche rechtliche Anforderungen gelten. Diese sind gesondert in den Datenschutzgesetzen festgehalten.⁶

Bei der Frage, ob eine Datenbearbeitung rechtmässig erfolgt, ist zudem die gesamte Rechtsordnung einzubeziehen, die im Rahmen einer Auftragsdatenbearbeitung involviert sein könnte. So beispielsweise auch ein Bezug zu ausländischem Recht: Sieht es z.B. vor, dass Behörden auf Daten zugreifen können, stellt sich die Frage, ob dieser Zugriff nach allgemein anerkannten rechtsstaatlichen Kriterien erfolgt (z.B. im Rahmen der internationalen Rechtshilfe). Ist dies nicht erfüllt und widerspricht eine ausländische Regelung beispielsweise dem ordre public der Schweiz – wie dies beim CLOUD Act⁷ der USA der Fall ist⁸ –, kann keine rechtmässige Auftragsdatenbearbeitung stattfinden, da ein rechtlicher Kontrollverlust stattfindet, der je nach Konstellation nicht kompensiert werden kann.⁹ Dies ist bei der Auslagerung von Datenbearbeitungen an Cloud-Anbieterinnen, die dem US-amerikanischen Recht unterliegen, besonders zu beachten, denn diese können die Einhaltung des anerkannten internationalen Rechts nicht vorbehaltslos garantieren.

Bei öffentlichen Ausschreibungen von Cloud-Dienstleistungen hat die Beschaffungsstelle als Auftraggeberin diesen Umstand bei der Ausschreibung und somit bei der Wahl der Auftragnehmerin zu beachten. Nur so kann sie ihre rechtlichen Vorgaben einhalten.¹⁰

Im Ergebnis liegt eine rechtmässige – und damit zulässige – Datenbearbeitung vor, wenn alle rechtlichen Vorgaben eingehalten sind. Das heisst folglich, dass sich auch bei der Auftragsdatenbearbeitung primär rechtliche Fragen stellen.

Die Auslagerung von Datenbearbeitungen ist unter Einhaltung der spezifischen rechtlichen Vorgaben gemäss den Datenschutzgesetzen grundsätzlich zulässig. Dabei ist insbesondere zu beachten, dass die von der Datenauslagerung in die Cloud bzw. Auftragsdatenbearbeitung durch die Cloud-Anbieterin betroffenen Personen dadurch insgesamt nicht schlechter gestellt werden. Aufgrund der spezifischen Risiken, die bei der Auftragsdatenbearbeitung für die Grundrechte der betroffenen Personen bestehen, präzisieren die Datenschutzgesetze die Rahmenbedingungen für den Beizug einer Auftragsdatenbearbeiterin und geben kumulativ zwei Voraussetzungen für die Auslagerung vor (vgl. Art. 9 DSG, § 6 IDG/ZH).¹¹ Eine Auftragsdatenbearbeitung ist demnach zulässig und rechtmässig, wenn:

1. keine gesetzliche oder vertragliche Bestimmung der Auslagerung entgegensteht und
2. die datenschutzrechtliche Verantwortung durch den Auftraggeber wahrgenommen werden kann.

Diese beiden Voraussetzungen lassen sich in zwei Schritten abbilden, die einerseits rechtliche und andererseits organisatorisch-technische Anforderungen vorgeben:

In einem ersten Schritt ist zunächst die Rechtsfrage, das heisst die Rechtmässigkeit der Datenbearbeitung an sich, zu beantworten: Darf ausgelagert werden? Es ist somit zu prüfen, ob rechtliche Bestimmungen einer Auftragsdatenbearbeitung entgegenstehen. Entgegenstehende rechtliche Bestimmungen können beispielsweise Geheimhaltungspflichten, aber auch vertragliche Vereinbarungen, Klassifizierungen von Informationen oder weitere Regelungen sein (vgl. 4.1). Zur Rechtsfrage gehört aber auch die Prüfung, ob die Beschaffungsstelle/Auftraggeberin ihre Sorgfaltspflicht bei der Auswahl, Instruktion und Überwachung der Auftragnehmerin (analog Art. 55 Obligationenrecht [OR], SR 220) wahrnimmt. Zudem hat sie sicherzustellen, dass die Anbieterin/Auftragnehmerin die Daten nur so bearbeitet, wie es die Beschaffungsstelle selber auch tun dürfte. Um diese Verantwortungen wahrzunehmen, muss dies bereits in der Ausschreibung kommuniziert werden und die Einhaltung als Eignungskriterium eingefordert und nach dem Zuschlag vertraglich festgehalten werden.

Der zweite Schritt stellt die Beantwortung folgender Frage dar: Wie darf ausgelagert werden? Bei diesem Schritt – und nur hier – werden anhand einer klassischen Risikoanalyse angemessene organisatorisch-technische Massnahmen festgelegt (vgl. sogleich 4.2).

Damit eine Auftragsdatenbearbeitung rechtmässig erfolgt, ist zunächst die Rechtsfrage zu beantworten, ob rechtliche oder andere Bestimmungen der Auftragsdatenbearbeitung in einer Cloud-Lösung entgegenstehen.

Steht eine rechtliche oder andere Bestimmung entgegen, kann geprüft werden, ob technische Massnahmen eine rechtswidrige Kenntnisnahme der Personendaten durch die Cloud-Anbieterin verhindern können (Verschlüsselung mit Schlüsselmanagement beim öffentlichen Organ, Anonymisierung oder Pseudonymisierung mit Schlüssel zur Re-Identifizierung beim Auftraggeber) und, falls ja, dennoch ausgelagert werden kann.¹²

Im Rahmen einer Rechtsgrundlagenanalyse ist zunächst zu prüfen, ob rechtliche Bestimmungen einer Auslagerung entgegenstehen.¹³

Ob eine Geheimhaltungspflicht einer Auftragsdatenbearbeitung entgegensteht, ist im Einzelfall zu eruieren. Bei dieser Prüfung spielt die Art der Personendaten keine Rolle, es geht einzig um die Frage des Geheimnisschutzes. Ob Geheimhaltungspflichten einer Auslagerung entgegenstehen, kann anhand folgenden zwei Fragen eruiert werden:

1. Was schützt das Geheimnis und wer ist somit «Geheimnisherr» oder «Geheimnisherrin»? Diese/r kann über das Geheimnis verfügen und entsprechend über die Durchbrechung der Geheimnispflicht entscheiden. Davon ist der/die GeheimnisträgerIn zu unterscheiden, der/die das Geheimnis zwar trägt, aber nicht darüber verfügen kann.
2. Findet mit der Auftragsdatenbearbeitung eine Offenbarung¹⁴ des Geheimnisses statt? Eine Offenbarung findet nicht statt, wenn die Auftragnehmerin als Hilfsperson (im strafrechtlichen Sinne)¹⁵ qualifiziert werden kann. Findet hingegen eine Offenbarung statt, ist die Auftragsdatenbearbeitung nicht zulässig, wenn die Geheimhaltungspflicht der Auslagerung entgegensteht.

So steht das im öffentlichen Arbeitsverhältnis geltende und strafbewehrte Amtsgeheimnis¹⁶ einer Auslagerung grundsätzlich nicht entgegen. Denn beim Amtsgeheimnis ist die öffentliche Hand Geheimnisherrin, da das Geheimnis primär die Funktionstüchtigkeit des Amtes schützt. Damit kann und muss das Amt selber darüber befinden, ob eine Information dem Amtsgeheimnis unterliegt oder nicht. Betroffene Personen werden nur geschützt, wenn ihre privaten Interessen einer Veröffentlichung überwiegen. Untersteht eine Information dem Amtsgeheimnis, ist durch den Auftraggeber zu prüfen, ob er mit der Auslagerung seine Verantwortung wahrnehmen kann. Ist dies der Fall, kann (und muss) das Amt der Auftragnehmerin bzw. deren Mitarbeitenden das Amtsgeheimnis vertraglich überbinden.¹⁷

Besondere (auch unter Art. 320 StGB oder direkt aus der spezialgesetzlichen Regelung strafbewehrte Amtsgeheimnisse, wie beispielsweise das Steuergeheimnis (z.B. § 120 Steuergesetz des Kantons Zürich, LS 631.1) oder das Sozialhilfegeheimnis (z.B. § 47 Sozialhilfegesetz des Kantons Zürich, LS 851.1), wurden geschaffen, weil in bestimmten Bereichen des Amtsgeheimnisses nicht nur die Funktionstüchtigkeit des Amtes an sich geschützt werden soll, sondern auch das Vertrauensverhältnis zwischen dem Amt und den betroffenen Personen. Entsprechend hat das Amt als Geheimnisherr bei der Entscheidung, ob eine Information dem besonderen Amtsgeheimnis unterliegt, die Interessen der betroffenen Personen einzubeziehen. Die besonderen Amtsgeheimnisse stehen daher einer Auslagerung grundsätzlich entgegen, wenn keine technische Lösung die Kenntnisnahme durch die Auftragnehmerin bzw. ihre Mitarbeitenden unterbindet, da mit der Auftragsdatenbearbeitung ein Offenbaren stattfindet.¹⁸

Das ebenso strafbewehrte Berufsgeheimnis (z.B. § 15 Abs. 1 und 2 Gesundheitsgesetz des Kantons Zürich (GesG/ZH), LS 810.1; Art. 321 StGB). schützt die betroffene Person selber und damit auch das Vertrauensverhältnis zwischen dieser und der einer bestimmten Berufsgruppe zugehörigen Person. Geheimnisherr oder -herrin ist beim Berufsgeheimnis allein die betroffene Person. Entsprechend kann – anders als beim Amtsgeheimnis – nicht der Geheimnisträger oder die Geheimnisträgerin darüber befinden, ob dem Geheimnis unterliegende Informationen offenbart werden dürfen. Die Geheimhaltungspflicht kann nur im Einzelfall durchbrochen werden, wenn eine gesetzliche Bestimmung dies vorsieht, die betroffenen Person eingewilligt hat oder die vorgesetzte Behörde die Geheimhaltungspflicht aufgehoben hat. Anders als beim Amtsgeheimnis, ist beim Berufsgeheimnis die vertragliche Erweiterung des Kreises der Geheimnisträger durch den Geheimnisträger nicht möglich ist.¹⁹ Bei einer Cloud-Lösung steht das Berufsgeheimnis somit einer Auslagerung grundsätzlich entgegen, es sei denn, eine technische Lösung verhindert die Kenntnisnahme durch die Auftragnehmerin bzw. ihre Mitarbeitenden.²⁰

Auch vertragliche Vereinbarungen können der Auslagerung entgegenstehen. So kann der Auftraggeber beispielsweise mit der Auftragnehmerin vereinbaren, dass keine weiteren Unterauftragnehmenden beigezogen werden dürfen.²¹

Des Weiteren können Klassifizierungen der Auftragsdatenbearbeitung entgegenstehen. Das neue Informationssicherheitsgesetz des Bundes (ISG, SR 128) hält verschiedene Klassifikationen beispielsweise zum Schutz der Interessen der inneren und äusseren Sicherheit der Schweiz fest.

Schliesslich können weitere Bestimmungen einer Auslagerung entgegenstehen bzw. diese einschränken. So sieht beispielsweise die Verordnung über das elektronische Patientendossier (Art. 12 Abs. 5 Verordnung über das elektronische Patientendossier [EPDV, SR 816.11]) vor, dass sich die Datenspeicher, auf denen die Informationen des Patientendossiers abgelegt werden, in der Schweiz befinden müssen und dem Schweizer Recht zu unterstehen haben.

Da die öffentliche Auftraggeberin für die Datenbearbeitung verantwortlich bleibt, muss sie bei Auslagerungen – auch in die Cloud – ihre Verantwortung wahrnehmen können. Dies ist die zweite Voraussetzung für die Zulässigkeit der Auftragsdatenbearbeitung.

Dies erfordert zunächst die Wahrnehmung der Sorgfaltspflicht analog Art. 55 OR bei der Auswahl, Instruktion und Kontrolle der Auftragsnehmerin (Botschaft a-DSG, 463 f.).²² Handelt es sich bei der Cloud-Auslagerung um eine öffentliche Beschaffung, darf bei der Ausschreibung nur eine Auftragnehmerin den Zuschlag erhalten, die die Anforderungen einhalten kann und die somit für die Auftragserfüllung geeignet ist.²³ Das öffentliche Organ hat dabei zu prüfen, wie die Auftraggeberin organisiert ist und wie sie arbeitet sowie in welchen (Rechts-)Umfeld sie sich befindet. Weiter muss das öffentliche Organ die Auftragnehmerin instruieren und sie bei der Aufgabenerfüllung überwachen. Das bedeutet, dass die Auftragnehmerin einem durchsetzbaren Weisungsrecht des Auftraggebers unterstehen muss. Zudem muss das öffentliche Organ jederzeit die Kontrollmöglichkeit haben, indem es überprüfen können muss, ob der Auftrag nach seinen Vorgaben und damit rechtskonform erfolgt.

Die Vorgaben, an die sich das öffentliche Organ zu halten hat, sind vertraglich auf die Auftragnehmerin zu übertragen.²⁴ Besonders hinzuweisen ist auf die Regelung der Vorgabe, dass die Auftragnehmerin die Daten nicht zu ihren eigenen Zwecken bearbeiten darf. Liegt keine Rechtsgrundlage für die Datenbekanntgabe durch das öffentliche Organ an die Auftragnehmerin vor, ist eine Verwendung zu eigenen Zwecken durch die Auftragnehmerin strafbar..²⁵

Schliesslich hat sich eine öffentliche Auftraggeberin zu vergewissern, dass die Auftragnehmerin in der Lage ist, die Datensicherheit zu gewährleisten. Sie hat dafür mittels einer Risikoanalyse festzuhalten, welche organisatorisch-technischen Massnahmen zu ergreifen sind und diese Verpflichtung der Auftragnehmerin vertraglich zu überbinden (siehe sogleich 4.2).

Ergibt die Rechtsfrage, dass eine Auftragsdatenbearbeitung zulässig ist, stellt sich in einem letzten Schritt die organisatorisch-technische Frage der Umsetzung von angemessenen Massnahmen zum Schutz der Daten, also die Frage, wie ausgelagert werden darf.

Die Datenschutzgesetze sehen vor, dass Daten angemessen geschützt werden müssen.²⁶ Um die Angemessenheit von organisatorisch-technischen Massnahmen zu eruieren, wird eine Risikoanalyse durchgeführt. Welche Massnahmen angemessen sind, hängt von der Art der Daten ab. Die Risikoabwägung zeigt die zu ergreifenden angemessenen organisatorisch-technischen Massnahmen passend zur Art der Personendaten auf. Der Auftraggeber hat sich im Rahmen der Wahrnehmung seiner Verantwortung zu vergewissern, dass die Auftragnehmerin die notwendigen organisatorischen und technischen Massnahmen einhalten kann und damit die Datensicherheit gewährleisten kann – so wie wenn die Daten durch ihn selber bearbeitet würden.²⁷

Im Rahmen der Risikoanalyse ist einzubeziehen, ob die Auslagerung in der Schweiz, in einem EU-Land oder in einem Land ohne angemessenes Datenschutzniveau stattfindet oder ob andere Rechtsordnungen Bestimmungen vorsehen, die sich auf die Auslagerung auswirken können. Mit der Übermittlung von Personendaten ins Ausland im Rahmen der Auslagerung, steigen die Risiken für die Grundrechte der betroffenen Personen. Gleichzeitig steigen auch die Risiken für den Auftraggeber. Denn die sich im Ausland befindenden Daten sind einer dem Auftraggeber fremden Rechtsordnung ausgesetzt, deren Auswirkungen er nicht einschätzen kann. Damit werden Kontrollen durch den Auftraggeber erschwert, wobei er allenfalls weitere Massnahmen ergreifen muss. Keine zusätzlichen Massnahmen müssen hingegen ergriffen werden, wenn das Datenschutzniveau im konkreten Land dem schweizerischen Datenschutz angemessen ist – dies ist bei Anwendbarkeit der Konvention 108²⁸ der Fall.²⁹

Um die umschriebenen Schritte abzudecken, kann eine übliche Projektmethodik beigezogen werden (beispielsweise die beim Bund und beim Kanton Zürich verwendete Methode HERMES). Die im Rahmen dieser Vorgehensweise vorgesehenen Dokumente adressieren die sich stellenden Fragen.

So wird mit einer Rechtsgrundlagenanalyse die rechtliche Lage eruiert und bewertet. Sie beantwortet rechtliche Fragen, wie beispielsweise: Welche rechtlichen Grundlagen sind anwendbar? Welche Vorgaben halten diese fest? Welche Bestimmungen könnten einer Auftragsdatenbearbeitung entgegenstehen? Liegen Geheimnispflichten vor und was schützen diese? Welche ausländischen Regelungen haben auf die Auftragsdatenbearbeitung Einfluss?

Mit der Risikoanalyse werden die Risiken, deren Eintretenswahrscheinlichkeit sowie die Auswirkungen bzw. das Schadensausmass im Falle des Eintretens der Risiken eruiert und bewertet.

Die Datenschutzgesetze geben für entsprechende Projekte zwei spezifische Schritte vor, die durch die öffentlichen Organe bei einer beabsichtigten Datenbearbeitung durchzuführen sind – auch bei der Absicht, eine Cloud-Lösung zu beschaffen. Damit ist zunächst eine Datenschutz-Folgenabschätzung (DSFA) durchzuführen. Diese zeigt auf, ob im Anschluss das Projekt bei der Datenschutzbeauftragten zur Vorabkontrolle einzureichen ist (Art. 22 und Art 23 DSG; z.B. § 10 IDG/ZH). Beschaffungsstellen als öffentliche Organe sind verpflichtet, bei der Datenbearbeitung bestehende Risiken für die Grundrechte von Betroffenen zu identifizieren und mit geeigneten Massnahmen zu reduzieren. Diese können sie mit der Durchführung einer DSFA erkennen und bewerten.³⁰ In diesem Dokument definiert das öffentliche Organ zudem Massnahmen, um die Risiken zu reduzieren.

Weist die beabsichtigte Bearbeitung von Personendaten eines öffentlichen Organs besondere Risiken für die Grundrechte der betroffenen Personen auf, ist eine Vorabkontrolle durch die Datenschutzbeauftragten erforderlich.³¹ In diesem Fall legt die Beschaffungsstelle das Projekt der oder dem jeweiligen Datenschutzbeauftragten vor. Diese prüft die rechtlichen, organisatorischen und technischen Rahmenbedingungen der beabsichtigten Datenbearbeitung und nimmt dazu Stellung. Sie hält insbesondere fest, welche weiteren Massnahmen zu ergreifen sind bzw. wie das Projekt datenschutzkonform umgesetzt werden kann.

Schliesslich sind immer auch alternative weitere Möglichkeiten der Datenbearbeitung zu evaluieren. So ist zu prüfen, ob eine On-premises-Lösung möglich wäre, ob eine hybride Cloud oder eine treuhänderische Cloud eingesetzt werden könnte, ob andere Produkte genutzt werden könnten oder ob eine eingeschränkte Nutzung des Produkts (beispielsweise Nutzung von nur einzelnen Diensten oder nur für einzelne Datenkategorien) möglich ist.

Cloud Computing bringt als Auftragsdatenbearbeitung spezifische Risiken mit sich. Während sich das öffentliche Beschaffungsrecht dazu nicht äussert, sehen die Datenschutzgesetze aus diesem Grund klare Voraussetzungen für die grundsätzlich zulässige Auftragsdatenbearbeitung vor, denn die Verantwortung verbleibtauch bei der Auslagerung in die Cloud beim öffentlichen Auftraggeber.

Damit rechtmässig in die Cloud ausgelagert werden kann, müssen zwei rechtliche Voraussetzungen erfüllt sein: Es dürfen der Auslagerung keine rechtlichen Bestimmungen entgegenstehen und die datenschutzrechtliche Verantwortung des Auftraggebers muss wahrgenommen werden können.

Zur Einhaltung der ersten Bedingung hat das öffentliche Organ zu prüfen, ob das Amtsgeheimnis, ein besonderes Amtsgeheimnis oder das Berufsgeheimnis oder ob vertragliche Vereinbarungen, eine Klassifizierung von Informationen oder weitere Regelungen der Auslagerung entgegenstehen. Ist dies der Fall, kann geprüft werden, ob eine technische Massnahme die Kenntnisnahme verhindern kann (beispielsweise, wenn die Informationen verschlüsselt werden und das Schlüsselmanagement beim öffentlichen Organ verbleibt, wenn die Personendaten anonymisiert oder pseudonymisiert werden) und dennoch ausgelagert werden kann. Andernfalls ist auf die Auslagerung in die Cloud bzw. auf die Beschaffung der Cloud-Lösung zu verzichten, weil diese nicht rechtmässig erfolgt.

Die zweite Voraussetzung sieht vor, dass das öffentliche Organ bei der Auswahl, Instruktion und Kontrolle der Auftragsnehmerin seine Sorgfaltspflicht wahrnimmt, die Vorgaben vertraglich auf die Auftragnehmerin weitergibt und sich vergewissert, dass die Auftragnehmerin die notwendigen organisatorischen und technischen Massnahmen einhalten kann. Sind diese beiden Voraussetzungen erfüllt und kann damit die Rechtsfrage, ob ausgelagert werden darf, bejaht werden, stellt sich die zweite Frage, wie ausgelagert werden darf. Um diese Frage zu beantworten, muss die Projektleitung bei öffentlichen Beschaffungen von Cloud-Dienstleistungen eine Risikoanalyse anhand der Art der Daten durchführen und angemessene organisatorisch-technische Massnahmen festlegen. Wenn dies umgesetzt wird, erfolgt die Auftragsdatenbearbeitung in der Cloud rechtmässig und die Cloud-Dienstleistungen dürfen öffentlich ausgeschrieben werden.

Botschaft zum Bundesgesetz über die Totalrevision des Bundesgesetzes über den Datenschutz und die Änderung weiterer Erlasse zum Datenschutz vom 15. September 2017, BBl 2017 7023.

Baeriswyl, B. (2019). Wenn die Rechtsauslegung «nebulös» wird. Cloud-Computing in der Verwaltung verändert die Art und Weise der Datenbearbeitung – aber nicht das Recht (S. 118 – 122). digma.

Blattmann, V. (2012). § 6 Bearbeiten im Auftrag. In Baeriswyl, B. & Rudin, B. (Hrsg.). Praxiskommentar zum Informations- und Datenschutzgesetz des Kantons Zürich. Schulthess.

Blonski, D. (2021). Cloud Computing. Datenschutzrechtliche Rahmenbedingungen am Beispiel des Kantons Zürich. In A Epiney & S Rovelli (Hrsg.), Künstliche Intelligenz und Datenschutz. L’intelligence artificielle et protection des données (S. 65 – S. 80), Tagungsband zum Dreizehnten Schweizerischen Datenschutzrechtstag, 2. Oktober 2020. Schulthess.

Datenschutzbeauftragte des Kantons Zürich. (2022). Merkblatt Cloud Computing (V 1.6). https://docs.datenschutz.ch/u/d/publikationen/formulare-merkblaetter/merkblatt_cloud_computing.pdf

NIST (National Institute of Standards and Technology). (2011). The NIST Definition of Cloud Computing (Special Publication 800-145). https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-145.pdf

Privatim, (2022). Merkblatt Cloud-spezifische Risiken und Massnahmen. https://www.privatim.ch/wp-content/uploads/2022/02/privatim_Cloud-Merkblatt_v3_0_20220203_def._DE-1.pdf (zuletzt besucht am 25.11.2023)

Schefer, M. & Glass, Ph. (2023). Gutachten zum grundrechtskonformen Einsatz von M365 durch die Gemeinden im Kanton Zürich. Edition Weblaw.

Dr. iur., Dominika Blonski, Executive MPA Unibe, ist Datenschutzbeauftragte des Kantons Zürich, Herausgeberin und Autorin verschiedener Kommentare und Fachpublikationen sowie Dozentin zum Datenschutzrecht.