29. Mai 2024

§ 17 gibt zu Reden

Die Rechtskommission von swissICT hat, in Absprache mit der Politikkommission, ihre Positionen zum Vorentwurf des Gesetzes über digitale Basisdienste am 13. Mai 2024 bei der Staatskanzlei des Kantons Zürich eingereicht. Die Stellungnahme beschränkt sich auf jene Punkte, welche für alle betroffenen Mitglieder von swissICT relevant und kritisch sind, also sowohl für Anbieter:innen wie für Anwender:innen.

Vernehmlassung zum VE-Gesetz über digitale Basisdienste (RRB 147/2024)

Im Zuge dieses Neuerlasses wird mit § 17 eine Regelung zur Nutzung von cloudbasierten Anwendungen im Rahmen des digitalen Arbeitsplatzes bei öffentlichen Organen vorgeschlagen. Mit «digitalem Arbeitsplatz» zielt man primär auf das Angebot M365 von Microsoft ab und will bei sensibleren Daten einen durch Verschlüsselungstechniken umgesetzten 100%-Schutz vor Zugriffen Dritter (inkl. des Cloud-Providers selbst) vorschreiben. Die Vorlage ist damit hoch relevant für Anbieter und Nutzer von Cloud-Diensten in der öffentlichen Verwaltung im Kanton Zürich. Die in § 17 verankerten Anforderungen an die Verschlüsselung gehen aus unserer Sicht aus folgenden Gründen in eine falsche Richtung:

  • Das Gesetz würde de facto ein generelles Cloud-Verbot mit Ausnahme vollverschlüsselter Speicherdienste statuieren, was nicht angemessen ist und Cloud-Dienste von Standard-Anbietern ausschliessen würde. Die geforderten strengen Anforderungen an die Verschlüsselung gälten nicht nur bei ausländischen Providern, sondern auch alle Cloud-Provider in der Schweiz wären davon betroffen. Dies bedeutet, dass auch bei Schweizer Dienstleistern mit eigenen Cloud-Lösungen besonders sensible Daten durch den Kunden verschlüsselt werden müssten, ohne Zugriffmöglichkeit durch den Schweizer Provider.

 

  • § 17 gälte nicht nur für alle öffentlichen Organe des Kantons Zürich, sondern auch für alle Organisationen, die mit der Erfüllung öffentlicher Aufgaben betraut sind. Das ist ein weites Feld; es erfasst bspw. auch private Spitäler, die spitalambulante Leistungen erbringen und einen Leistungsauftrag des Kantons haben, private Spitexorganisationen oder bestimmte Anbieter im Bereich der Berufsbildung usw.

 

  • Funktionalitäten, welche den digitalen Arbeitsplatz ausmachen, würden in den heutzutage kommerziell angebotenen Lösungen massiv eingeschränkt oder verunmöglicht. Z.B. wären Inhaltssuchen in den verschlüsselten Daten im Cloud-Dienst nach aktuellem Stand der Technik nicht mehr möglich, ebenso wie die Zusammenarbeit (Collaboration) und das parallele Arbeiten auf Dokumenten. Da die Schlüssel «nur» auf dem eigenen Notebook funktionieren, können Dokumente z.B. auf dem Tablet oder Mobile nicht entschlüsselt werden. Sie können dort deshalb weder gelesen noch bearbeitet werden (inkl. Mail). Dies schränkt die Mobilität des digitalen Arbeitsplatzes ein.

 

  • Die Sicherheit würde nach aktuellem Stand der Technik schlechter – nicht besser: Wichtige Schutzmechanismen (z.B. Virenscan) greifen bei verschlüsselten Dokumenten nicht. Dies bedeutet, dass befallene Dokumente wie z.B. Excel-Dateien mit Makros, ZIP-Dateien, Phishing-PDF etc. vom Cloud-Dienst und somit vom Schutzmechanismus nicht erkannt werden können. Vom Cloud-Provider in der Cloud zur Verfügung gestellte Sicherheitsfunktionen, welche ständig weiterentwickelt und aktuell gehalten werden, sind somit punktuell ausgehebelt. Lokale oder hybride Lösungen müssen dann separat geschützt werden, was riesige Sicherheitslücken hinterlässt und zu massiv höheren Kosten führen kann. Es ist unter Spezialisten und IT-Verantwortlichen in Unternehmen und Behörden breit anerkannt, dass das Niveau an Sicherheit, welche moderne Cloud-Lösungen heutzutage bereitstellen, «on-premise» nicht ohne erheblichen Zusatzaufwand erreicht werden kann.

 

  • Nach Einschätzung der Rechtskommission von swissICT ist eine solche Spezialbestimmung zudem gesetzgeberisch nicht notwendig. Für die Einführung von Cloud-Lösungen im Bereich des digitalen Arbeitsplatzes müssen keine Rechts-grundlagen geändert oder neu geschaffen werden. Zudem basieren die in § 17 vorgeschriebenen technischen Einschränkungen auf einer umstrittenen und in der Lehre nicht vorherrschenden Rechtsauffassung.

 

swissICT empfiehlt daher, § 17 ersatzlos aus dem Gesetzesentwurf zu streichen und hat sich entsprechend an der Vernehmlassung beteiligt. Die Rechtskommission steht Ihnen in der Person von Carmen De La Cruz und Alexander Hofmann für weitere Fragen gerne zur Verfügung.

Stellungnahme von swissICT

§ 17 – Gesetz über digitale Basisdienste

Auszug der Stellungnahme vom 13. Mai 2024

Mit Ihrem Besuch auf unserer Website stimmen Sie unserer Datenschutzerklärung und der Verwendung von Cookies zu. Dies erlaubt uns unsere Services weiter für Sie zu verbessern. Datenschutzerklärung

OK