Verwaltungsweite Druck- und Scan-Infrastruktur mit KI-gestützten Möglichkeiten
Wenn eine Behörde IT-Dienstleistungen zentral bereitstellt, stellt sich die Frage der Abgrenzung von Verantwortlichkeiten zwischen dem Bereitsteller und den nutzenden Stellen. Die Datenschutzbeauftragte hat die Thematik anhand der einheitlichen Druck- und Scan-Infrastruktur in der Verwaltung sowie in Mittel- und Berufsfachschulen aufgenommen und auf massgebende Punkte hin sensibilisiert.
Das Amt für Informatik (AFI) hat der Datenschutzbeauftragten im Jahr 2025 eine zentrale Input- und Output-Management-Lösung vorgestellt. Im Rahmen einer Vorabkontrolle hat sich die Datenschutzbeauftragte mit der Ausgestaltung einer Druck- und Scan-Infrastruktur befasst, die in der gesamten Verwaltung sowie in Mittel- und Berufsfachschulen eingesetzt wird und die bisher dort verwendeten Einzellösungen ablösen soll. Zu deren Realisierung zieht das AFI einen Schweizer Anbieter bei, der die Infrastruktur als cloudbasierte Software as a Service anbietet und in mehreren Schweizer Rechenzentren hostet. Die Lösung bietet neben den Basisfunktionen Drucken und Scannen auch die Möglichkeit, KI-gestützte Funktionen zu nutzen (beispielsweise zur Kategorisierung von Geschäftsfällen und deren direkten Ablage in den jeweiligen Fachapplikationen).
Insgesamt verfolgt das AFI den Ansatz, dass die Anwendung für sämtliche in der Verwaltung und in den Mittel- und Berufsfachschulen anfallenden Dokumente genutzt werden kann. Das bedeutet, dass diese auch besondere Personendaten und geheimnisgeschützte Inhalte in der Druck- und Scan-Infrastruktur bearbeiten. Aufgrund dieses Anspruchs an die Lösung hat die Datenschutzbeauftragte erhöhte Anforderungen an die Auslagerung der Datenbearbeitung an den Anbieter formuliert. Das AFI kommt mit der Bereitstellung der Druck- und Scan-Infrastruktur dem gesetzlichen Auftrag zur Querschnittsdienstleistung im Bereich Informatik nach. Somit liegt es in der Zuständigkeit des AFI, die Lösung dem erhöhten Schutzbedarf entsprechend auszugestalten und dies auch in der Zusammenarbeit und Vertragsausgestaltung mit dem beigezogenen Anbieter sicherzustellen. Konkret hat das AFI mittels technischer Vorkehrungen dafür zu sorgen, dass die in der Infrastruktur bearbeiteten Druck- und Scanaufträge für den Anbieter nicht einsehbar sind. Alternativ kann das AFI auch konkret bezeichnete Mitarbeitende des Anbieters in seine funktionale Hierarchie einbinden und an strafbewehrte Schweigepflichten binden.
Unabhängig davon bleiben aber auch in dieser Konstellation die Verwaltung und die erwähnten Schulen dafür verantwortlich, dass sie die Infrastruktur gemäss den für sie geltenden Vorgaben nutzen.
Unabhängig davon bleiben aber auch in dieser Konstellation die Verwaltung und die erwähnten Schulen dafür verantwortlich, dass sie die Infrastruktur gemäss den für sie geltenden Vorgaben nutzen. Dem AFI als Bereitsteller kommt eine entsprechende Informationspflicht zu. Insbesondere bezüglich der aktivierbaren KI-gestützten Funktionen hat das AFI die nutzenden Behörden dafür zu sensibilisieren.
Darüber hinaus hat die Datenschutzbeauftragte für die Ausgangslage einer zentral bereitgestellten, dezentral genutzten Anwendung auf weitere datenschutzrechtlich relevante Aspekte hingewiesen. So ist etwa vorgängig zu klären, ob das AFI oder die Verwaltung und die Schulen dafür verantwortlich sind, einen Datenschutzvorfall im Zusammenhang mit der Infrastruktur an die Datenschutzbeauftragte zu melden. Gleiches gilt für die Behandlung von Gesuchen um Zugang zu den eigenen Daten. Da diese auch Daten über den Zugriff auf die eigenen Personendaten umfassen, hat das AFI diese Angaben gegebenenfalls ergänzend für die Gesuchsbeantwortung durch die Verwaltung oder Schulen bereitzustellen.