SwissICT und Digiges kritisieren Zürcher Gesetz

Der Kanton Zürich will mit einem neuen Gesetz Grundlagen für digitale Basisdienste schaffen. Das Gesetz sollte es der Verwaltung ermöglichen, ihr digitales Leistungsangebot auszubauen mit dem Ziel, dass Einwohnerinnen und Einwohnern sowie Unternehmen ihre Rechte und Pflichten durchgängig und sicher auf dem elektronischen Weg wahrnehmen können. So erklärte es die Staatskanzlei, als sie den Gesetzesentwurf im Februar 2024 in die Vernehmlassung schickte.

Zwei in der IT-Branche bekannte Organisationen veröffentlichten zum Ende der Eingabefrist ihre Stellungnahmen zum Gesetzesentwurf: Der Branchenverband SwissICT sowie der Verein digitale Gesellschaft (Digiges).

In beiden Stellungnahmen fällt auf, dass die Organisationen das Gros der Artikel nicht kommentieren. Die Digitale Gesellschaft merkt an, sie befürworte die Vorlage, während SwissICT schreibt, man kommentiere lediglich "jene Punkte, welche für alle betroffenen Mitglieder von SwissICT relevant und kritisch sind, also sowohl für Anbieterinnen wie für Anwenderinnen".

Cloud-Artikel nicht umsetzbar

Kritisch äussern sich beide Organisationen zu Artikel 17. Er wolle mit dem Artikel "eine gesetzliche Grundlage für cloudbasierte Anwendungen im Rahmen des digitalen Arbeitsplatzes" schaffen, schreibt der Kanton Zürich dazu. Dabei gilt: Die Rechenzentren des genutzten Clouddienstleisters müssen sich in der Schweiz oder in der Europäischen Union befinden. Für unterschiedliche Kategorien von Personendaten und Informationen definiert der Artikel unterschiedlich strenge Anforderungen an die Verschlüsselung: Im Falle besonderer Personendaten - etwa Informationen über die Inanspruchnahme von Sozialhilfeleistungen - oder vertraulicher und geheimgehaltener Informationen müssen die Daten so verschlüsselt sein, dass auch der Cloudanbieter "darauf nicht ohne Mitwirkung des öffentlichen Organs zugreifen kann", wie es im Gesetzesentwurf heisst. Weniger streng sind die Anforderungen für sonstige Informationen. Diese müssen Behörden "durch alle zumutbaren organisatorischen, technischen und vertraglichen Massnahmen" schützen. Zudem müsse das verbleibende Risiko einer Bekanntgabe vertretbar sein.

Insbesondere mit den Anforderungen hinsichtlich der Datenverschlüsselung zeigt sich SwissICT nicht einverstanden: "Das Gesetz würde de facto ein generelles Cloud-Verbot mit Ausnahme vollverschlüsselter Speicherdienste statuieren", erklärt der Verband. Dies sei nicht angemessen und würde Cloud-Dienste von Standard-Anbietern ausschliessen.

SwissICT merkt an, dass die Verschlüsselungsanforderungen nicht nur für ausländische, sondern auch für in der Schweiz ansässige Dienstleister gelten würden. Zudem gelte Artikel 17 nicht nur für Verwaltungen selbst, sondern auch für mit öffentlichen Aufgaben betraute Organisationen, beispielsweise private Spitäler, die spitalambulante Leistungen erbringen und einen Leistungsauftrag des Kantons haben, private Spitexorganisationen oder bestimmte Anbieter im Bereich der Berufsbildung und so weiter.

Sobald Daten so verschlüsselt werden, dass der Cloud-Anbieter selbst sie nicht mehr entschlüsseln kann, würden Funktionalitäten des digitalen Arbeitsplatzes eingeschränkt oder ganz wegfallen. Das bemerkt nicht nur SwissICT, sondern auch die Digitale Gesellschaft. Es sei fraglich, wie "eine wirksame Verschlüsselung auch gegenüber der Cloud-Anbieterin gewährleistet werden soll. Wenn cloudbasierte Anwendungen, wie Word, Excel, PowerPoint, Outlook, Teams, OneDrive, genutzt werden, liegt es in der Natur der Sache, dass die Cloud-Anbieterin auch ohne Mitwirkung des öffentlichen Organs auf die Personendaten sowie vertrauliche oder der Geheimhaltung unterliegende Informationen zugreifen kann", heisst es in der Stellungnahme.

Auch Sicherheits- und Schutzmechanismen wie Virenscans würden wohl nicht mehr greifen. "Die Sicherheit würde nach aktuellem Stand der Technik schlechter - nicht besser", fasst SwissICT zusammen. Somit müssten lokale oder hybride Lösungen separat geschützt werden, was riesige Sicherheitslücken hinterlasset und zu massiv höheren Kosten führen könne.

Die Änderungsanträge der Organisationen sind unterschiedlich: Die Digitale Gesellschaft möchte, dass "öffentliche Organe die Bearbeitung von Informationen nur an Cloud-Anbieterinnen übertragen können, bei denen technisch und rechtlich sichergestellt ist, dass ausländische Behörden nicht unter Umgehung der Rechtshilfe auf Personendaten sowie vertrauliche oder der Geheimhaltung unterliegende Informationen zugreifen können."

SwissICT ist pragmatischer und schlägt vor, den Artikel ersatzlos zu streichen. "Für die Einführung von Cloud-Lösungen im Bereich des digitalen Arbeitsplatzes müssen keine Rechtsgrundlagen geändert oder neu geschaffen werden", meint die Organisation und findet die im Artikel genannten technischen Einschränkungen basierten "auf einer umstrittenen und in der Lehre nicht vorherrschenden Rechtsauffassung".

"Digital Only" nicht annehmbar

Der Digitalen Gesellschaft ist noch eine zweite Bestimmung ein Dorn im Auge. In einem Abschnitt des Artikels 10 will der Kanton öffentlichen Organen - gestützt auf entsprechende rechtliche Grundlagen - ermöglichen, ihre Leistungen ausschliesslich elektronisch zur Verfügung zu stellen, also nach dem "Digital Only"-Prinzip. Ein derartiges Vorhaben gehe zu weit, findet die Digitale Gesellschaft. Auch für Personen, die nicht über ein eigenes Endgerät mit Internetzugang oder das nötige IT-Know-how verfügen, müsse ein niederschwelliger Zugang zu den (elektronisch angebotenen) Leistungen der öffentlichen Organe gewährleistet werden, fordert sie. Wo diese nicht möglich sei, müsse die Leistung des öffentlichen Organs auch auf nicht elektronischem Weg angeboten werden.

Lesen Sie auch: Der Bundesrat will 320 Millionen Franken in eine Cloud-Infrastruktur für die öffentlichen Verwaltungen investieren. Erste Dienste der Swiss Government Cloud sollen ab 2026 nutzbar sein.