Datenschutz: Das Wetter ist stürmisch
Die Entscheidung, Daten in ausländische Cloud-Lösungen zu outsourcen, ist umstritten. Mehrere Polemiken stören den digitalen Himmel und eröffnen spannende Möglichkeiten im Bereich des Datenschutzes.
Die Zukunft ist ungewiss. So könnte man die Affären und Polemiken zusammenfassen, die die Cloud seit mehreren Monaten insbesondere in Bezug auf Datenschutz und digitale Souveränität betreffen. Der erste Schritt wird im Frühsommer 2021 beginnen. Sechs Monate nach der Veröffentlichung seiner Ausschreibung vergibt der Bund die Entwicklung einer nationalen Cloud an fünf ausländische multinationale Unternehmen (Oracle, IBM, Microsoft, Amazon und Alibaba), um die derzeitigen Datenzentren und privaten Clouds der Bundesverwaltung zu hosten.
Eine unverständliche Entscheidung für die Schweizer Cloud-Anbieter, die einen Angriff in die Schweizer digitale Souveränität und den Verlust der Kontrolle unseres Landes über seine Daten. Der zweite Akt findet ein Jahr später statt. Ebenfalls in diesem Zusammenhang erregen sich die Gemüter über die Forderung nach Transparenz, die öffentliche Akteure und Schweizer Anbieter an den Tag legen sollten, wenn sie die Speicherung und das Hosting von Daten ausländischen Akteuren anvertrauen. So sollte jeder Bürger wissen können, in welcher Rechtsform seine Daten gespeichert sind.
Bisher speicherten Unternehmen und öffentliche Verwaltungen wie Krankenhäuser und Universitäten die Daten in ihren eigenen Cloud-Infrastrukturen. Immer mehr Unternehmen schließen Cloud-Lösungen von ausländischen Anbietern wie z. B. Microsoft ab: : «In vielen Fällen, in denen solche Datenübertragungen stattfinden, begnügen sich die Organisationen damit, ihre Kunden und Nutzer vor vollendete Tatsachen zu stellen, indem sie ihnen beispielsweise neue Allgemeine Geschäftsbedingungen übermitteln”, betont die Professorin der HEC Lausanne und internationale Expertin für Cybersicherheit, Solange Ghernaouti, in ihrem Blog der Zeitung le Temps.» Damit spricht sie sich für mehr Transparenz aus.
Die SUVA, die grösste Unfallversicherungsträgerin in der Schweiz, hat sich für diese Option entschieden. Das Ergebnis war nicht wie erwartet . Was ist passiert? Im Dezember 2021 beschloss die SUVA, ihr Projekt zur Outsource von Daten an Microsoft dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) zu unterbreiten. Damit soll sichergestellt werden, dass die Umstellung datenschutzkonform ist. Diese Entscheidung, die von dem Datenschutzbeauftragte Adrian Lobsiger bejubelt wird, war damit aber nicht zufrieden.
In seinem am 13. Juni 2022 veröffentlichten Communiqué schreibt er: “Aufgrund von teilweise unterschiedlichen Auffassungen in rechtlicher Hinsicht schlägt der EDÖB der Suva vor, das Outsource von Personendaten in eine vom US- Konzern Microsoft betriebene Cloud erneut zu prüfen.” Adrian Lobsiger kritisiert insbesondere die Entscheidung der SUVA, nicht vorher zu prüfen, ob die Nutzung von Microsofts Cloud-Tools aus Sicht des Datenschutzes überhaupt legal ist. Dieses Argument wurde von der SUVA zurückgewiesen, die darauf hinwies, dass sie ihren Vertrag mit Microsoft Irland abschließe, das dem europäischen Datenschutzgesetz unterliege.
Wenn der Fall nicht abgeschlossen ist, bringt er einige interessante Überlegungen mit sich. Diese insbesondere, sich vor jeder Übermittlung zu vergewissern, wie der neue Anbieter diese Daten schützen wird. Dies ist natürlich eine Anforderung. Wir müssen ihn noch auf alle Stufen der Informationsverarbeitung und auf alle digitalen Akteure anwenden. Auf diese Weise werden wir in der Lage sein, einen robusten Datenschutz für jede Einheit und jeden Bürger zu gewährleisten.
