Die Stadtverwaltung ist zunehmend damit konfrontiert, dass viele Informatikdienstleistungen nur noch in der Cloud angeboten werden. Ob ein Gang der öffentlichen Verwaltung in solche Clouds zulässig ist und wenn ja, unter welchen Rahmenbedingungen, ergibt sich aus dem Datenschutzrecht und den Fachgesetzgebungen und ist teilweise umstritten. Dabei muss sich die Verwaltung bewusst sein, dass sie bei der Nutzung einer Cloud eine Datenbearbeitung auslagert und nach wie vor die volle Verantwortung trägt.
Die persönlichen Daten der Bürger*innen stellen ein wertvolles Vertrauensgut dar und sind grundrechtlich geschützt. Das Datenschutzrecht und zahlreiche spezialgesetzliche Geheimhaltungsbestimmungen (Patientengeheimnis, Sozialversicherungsgeheimnis, Steuergeheimnis etc.) stellen hohe Schutzanforderungen an die Bearbeitung von Personendaten. Andererseits ist die öffentliche Verwaltung in der heutigen Arbeitswelt, insbesondere im Informatikbereich, auf hoch spezialisierte Partner angewiesen. Das Datenschutzrecht schliesst den Einbezug von externen Partnern – wie Cloud-Anbietern – nicht per se aus. Diese haben jedoch als «Hilfspersonen» der öffentlichen Verwaltung vollumfänglich die gesetzlichen Vorgaben an die Datenbearbeitungen, welche für die Verwaltung gelten, zu erfüllen.
Die öffentlichen Verwaltungsstellen haben bei einem Cloud-Vorhaben die Rahmenbedingungen frühzeitig zu prüfen. Zur Standardisierung dieser Prüfung hat die Datenschutzstelle im Berichtsjahr ein Formular erstellt, welches die grundsätzlichen Prüffragen bei einer Auftragsdatenbearbeitung bzw. einem Cloud-Vorhaben enthält. Dieses Formular wird unter Einbezug der Rechtsdienste am Anfang eines Cloud-Projektes eingesetzt. Das Prüfungsergebnis ist massgebend für den weiteren Projektverlauf und dem damit verbundenen ISDS-Prozess. Dies kann auch dazu beitragen, dass Vorhaben, welche die Rahmenbedingungen nicht erfüllen, rechtzeitig erkannt, angepasst oder abgebrochen werden.