Entwurf Gesetz über elektronische Basisdienste: Nachbesserungsbedarf bei den neuen Regelungen
Im Tätigkeitsbericht 2023 hat die Datenschutzbeauftragte über das Rechtsetzungsprojekt DigiBasis berichtet. Es regelt die elektronische Identifikation, den elektronischen Webzugang des Kantons (Zürikonto) sowie den Digitalen Arbeitsplatz (DAP) der Mitarbeitenden von öffentlichen Organen im Kanton Zürich. Der Vorentwurf enthielt klare Regelungen, welche die Datenschutzbeauftragte begrüsste. Der inzwischen an den Kantonsrat überwiesene Entwurf des Gesetzes über elektronische Basisdienste (GEB) enthält noch ungenügende datenschutzrechtliche Regelungen.
Der Gesetzesvorentwurf von DigiBasis legte Rahmenbedingungen fest, die für eine grundrechts- und datenschutzkonforme Datenbearbeitung zu beachten sind, wenn Anwendungen des Digitalen Arbeitsplatzes (DAP) an Anbietende von cloudbasierten Dienstleistungen ausgelagert werden. So sah § 17 als eine der Voraussetzungen vor, besondere Personendaten oder der Geheimhaltung unterliegende Informationen nur in der Cloud zu bearbeiten, wenn mittels umfassender Verschlüsselung gewährleistet ist, dass der Cloud-Anbieter keinen Zugriff auf die Daten nehmen kann. Zudem legte die Bestimmung fest, dass solche Anwendungen nur in der Schweiz oder der Europäischen Union (EU) betrieben werden dürfen. Diese Vorgaben wurden gestützt auf ein von der Staatskanzlei in Auftrag gegebenes Gutachten (Markus Schefer/Philip Glass, Gutachten zum grundrechtskonformen Einsatz von M365 durch die Gemeinden im Kanton Zürich, 2023) formuliert. Das Gutachten hält fest, dass für eine Auslagerung mit einem so hohen Kontrollverlust, was auf US-amerikanische Unternehmen als Dienstleister zutrifft, ein ausreichender rechtlicher Rahmen für die Auslagerung zu schaffen ist. Mit § 17 des Vorentwurfs des GEB sollte die notwendige Rechtssicherheit für die öffentlichen Organe geschaffen und für die entsprechende Transparenz gegenüber den betroffenen Personen gesorgt werden. Mit der Regelung wäre sichergestellt, dass das öffentliche Organ die geeigneten und erforderlichen Massnahmen der Datensicherheit umsetzt. Die Datenschutzbeauftragte begrüsste die Regelung.
Nach der Durchführung der Vernehmlassung zum Vorentwurf ist der Regierungsrat aufgrund der Vernehmlassungsergebnisse von der ursprünglichen Formulierung abgewichen und hat die Regelung durch eine unbestimmte Formulierung ersetzt. Diese sieht vor, dass die Wahrscheinlichkeit eines Zugriffs ausländischer Staaten anhand der getroffenen Massnahmen abzuschätzen ist. Bei der Beurteilung der Rechtmässigkeit einer Bearbeitung im Auftrag sieht das Gesetz über die Information und den Datenschutz (IDG) keine Wahrscheinlichkeitsabwägung vor. Insbesondere bei besonderen Personendaten, bei denen die besondere Gefahr von Persönlichkeitsverletzungen besteht, sowie bei Informationen, die einer besonderen Geheimnispflicht unterstehen, muss jeder faktisch mögliche, unberechtigte Zugriff ausgeschlossen werden können. Nur eine umfassende Verschlüsselung kann solche Zugriffe verunmöglichen.
Der Vorentwurf des Gesetzes über elektronische Basisdienste (GEB) enthielt klare Regelungen, welche die Datenschutzbeauftragte begrüsste. Die Vorlage an den Kantonsrat nimmt diese nur teilweise auf.
Es ist zu bedauern, dass die klare und verfassungsmässige Regelung ersetzt wurde. Die aktuelle Fassung des Gesetzesentwurfs des Regierungsrats geht damit hinter die bis anhin geltenden Vorgaben des in den neunziger Jahren verabschiedeten Gesetzes über die Auslagerung von Informatikdienstleistungen zurück, das die damalige Risikolage berücksichtigte. Die vorgeschlagenen Bestimmungen genügen den erhöhten Anforderungen an die Ausgestaltung von Rechtsgrundlagen für die Bearbeitung besonderer Personendaten nicht, wie auch das erwähnte Gutachten festhält. Unabhängig der Regelung des GEB gelten die Vorgaben des IDG. Beim Digitalen Arbeitsplatz sind insbesondere die Vorgaben an die Datenbearbeitung durch Dritte (Auslagerung) einzuhalten.