Heute eröffnete die Staatskanzlei des Kantons Zürich die Vernehmlassung zum Gesetz über digitale Basisdienste, die bis zum 13. Mai 2024 dauern wird. Die Vorlage ist ein wichtiger Meilenstein auf dem Weg zur digitalen Verwaltung.
Der Vorentwurf des Gesetzes über digitale Basisdienste («VE-GdB»), der erläuternde Bericht sowie die Einladung zur Vernehmlassung sind online verfügbar. Der VE-GdB sieht drei digitale Basisdienste vor. Zwei davon – die elektronische Identifizierung und der zentrale Webzugang (Zürikonto) – wird die Bevölkerung selbst benutzen können. Im Zentrum dieses Blogs steht der dritte, verwaltungsinterne Basisdienst: Der VE-GdB enthält eine Regelung für die Nutzung cloudbasierter Anwendung im Rahmen des sog. Digitalen Arbeitsplatzes. Dazu zählen etwa die Microsoft-365-Apps wie Word, Excel, Outlook, Teams, SharePoint oder OneDrive. Keine Grundlage bildet der VE-GdB für cloudbasierte Fachanwendungen.
Der VE-GdB schlägt für die Cloud-Nutzung eine Unterscheidung zwischen sensitiven Informationen (Kategorie 1) und weniger sensitiven Informationen (Kategorie 2) vor. Je nach Kategorie sollen unterschiedlich strenge Anforderungen an die Auslagerung in die Cloud bestehen. Damit nimmt der VE-GdB die in der kantonalen Verwaltung für Microsoft 365 bereits bestehende und erprobte Regelung auf (vgl. auch RRB Nr. 542/2022). Die Unterscheidung ist in der Praxis aber anspruchsvoll und setzt eine entsprechende Expertise voraus.
Die Nutzung cloudbasierter Anwendungen durch die öffentliche Hand bewegt die Gemüter. Mit der dargelegten Unterscheidung schlägt der VE-GdB einen Mittelweg vor: Einerseits sieht er die Möglichkeit der Cloud-Nutzung im Rahmen des Digitalen Arbeitsplatzes ausdrücklich vor, was aus Sicht der Effizienz des Verwaltungshandelns zu begrüssen ist. Andererseits stellt er sicher, dass die Nutzung grundrechtskonform erfolgt. Aus demokratischer und rechtsstaatlicher Sicht ist es zu begrüssen, dass der Kanton Zürich die Cloud-Nutzung auf gesetzlicher Stufe regeln will.
Der Weg in die Cloud bleibt anspruchsvoll. Zunächst müssen die öffentlichen Organe eine Rechtsgrundlagenanalyse vornehmen. Sodann müssen sie über die Zulassung der Cloud-Services entscheiden, eine Datenschutz-Folgenabschätzung, eine Nutzungsrichtlinie und ein Konzept über die Informationssicherheit und den Datenschutz erstellen, einen Vertrag mit der Cloud-Anbieterin abschliessen und die Vorabkontrolle bei der Datenschutzbeauftragten des Kantons Zürich durchlaufen.
Es ist ratsam, sich dabei durch Personen begleiten zu lassen, die sowohl im öffentlichen Recht als auch im Datenschutzrecht sicher navigieren können.