29. Mai 2024
§ 17 gibt zu Reden
Vernehmlassung zum VE-Gesetz über digitale Basisdienste (RRB 147/2024)
Im Zuge dieses Neuerlasses wird mit § 17 eine Regelung zur Nutzung von cloudbasierten Anwendungen im Rahmen des digitalen Arbeitsplatzes bei öffentlichen Organen vorgeschlagen. Mit «digitalem Arbeitsplatz» zielt man primär auf das Angebot M365 von Microsoft ab und will bei sensibleren Daten einen durch Verschlüsselungstechniken umgesetzten 100%-Schutz vor Zugriffen Dritter (inkl. des Cloud-Providers selbst) vorschreiben. Die Vorlage ist damit hoch relevant für Anbieter und Nutzer von Cloud-Diensten in der öffentlichen Verwaltung im Kanton Zürich. Die in § 17 verankerten Anforderungen an die Verschlüsselung gehen aus unserer Sicht aus folgenden Gründen in eine falsche Richtung:
- Das Gesetz würde de facto ein generelles Cloud-Verbot mit Ausnahme vollverschlüsselter Speicherdienste statuieren, was nicht angemessen ist und Cloud-Dienste von Standard-Anbietern ausschliessen würde. Die geforderten strengen Anforderungen an die Verschlüsselung gälten nicht nur bei ausländischen Providern, sondern auch alle Cloud-Provider in der Schweiz wären davon betroffen. Dies bedeutet, dass auch bei Schweizer Dienstleistern mit eigenen Cloud-Lösungen besonders sensible Daten durch den Kunden verschlüsselt werden müssten, ohne Zugriffmöglichkeit durch den Schweizer Provider.
- § 17 gälte nicht nur für alle öffentlichen Organe des Kantons Zürich, sondern auch für alle Organisationen, die mit der Erfüllung öffentlicher Aufgaben betraut sind. Das ist ein weites Feld; es erfasst bspw. auch private Spitäler, die spitalambulante Leistungen erbringen und einen Leistungsauftrag des Kantons haben, private Spitexorganisationen oder bestimmte Anbieter im Bereich der Berufsbildung usw.
- Funktionalitäten, welche den digitalen Arbeitsplatz ausmachen, würden in den heutzutage kommerziell angebotenen Lösungen massiv eingeschränkt oder verunmöglicht. Z.B. wären Inhaltssuchen in den verschlüsselten Daten im Cloud-Dienst nach aktuellem Stand der Technik nicht mehr möglich, ebenso wie die Zusammenarbeit (Collaboration) und das parallele Arbeiten auf Dokumenten. Da die Schlüssel «nur» auf dem eigenen Notebook funktionieren, können Dokumente z.B. auf dem Tablet oder Mobile nicht entschlüsselt werden. Sie können dort deshalb weder gelesen noch bearbeitet werden (inkl. Mail). Dies schränkt die Mobilität des digitalen Arbeitsplatzes ein.
- Die Sicherheit würde nach aktuellem Stand der Technik schlechter – nicht besser: Wichtige Schutzmechanismen (z.B. Virenscan) greifen bei verschlüsselten Dokumenten nicht. Dies bedeutet, dass befallene Dokumente wie z.B. Excel-Dateien mit Makros, ZIP-Dateien, Phishing-PDF etc. vom Cloud-Dienst und somit vom Schutzmechanismus nicht erkannt werden können. Vom Cloud-Provider in der Cloud zur Verfügung gestellte Sicherheitsfunktionen, welche ständig weiterentwickelt und aktuell gehalten werden, sind somit punktuell ausgehebelt. Lokale oder hybride Lösungen müssen dann separat geschützt werden, was riesige Sicherheitslücken hinterlässt und zu massiv höheren Kosten führen kann. Es ist unter Spezialisten und IT-Verantwortlichen in Unternehmen und Behörden breit anerkannt, dass das Niveau an Sicherheit, welche moderne Cloud-Lösungen heutzutage bereitstellen, «on-premise» nicht ohne erheblichen Zusatzaufwand erreicht werden kann.
- Nach Einschätzung der Rechtskommission von swissICT ist eine solche Spezialbestimmung zudem gesetzgeberisch nicht notwendig. Für die Einführung von Cloud-Lösungen im Bereich des digitalen Arbeitsplatzes müssen keine Rechts-grundlagen geändert oder neu geschaffen werden. Zudem basieren die in § 17 vorgeschriebenen technischen Einschränkungen auf einer umstrittenen und in der Lehre nicht vorherrschenden Rechtsauffassung.
swissICT empfiehlt daher, § 17 ersatzlos aus dem Gesetzesentwurf zu streichen und hat sich entsprechend an der Vernehmlassung beteiligt. Die Rechtskommission steht Ihnen in der Person von Carmen De La Cruz und Alexander Hofmann für weitere Fragen gerne zur Verfügung.