Aargauer Regierung sieht Datensouveränität des Kantons gewährt

Keystone-SDA

Die Verwaltung des Kantons Aargau nutzt Cloud-Dienste - vor allem Microsoft 365. Der Regierungsrat hält diese Cloud-Dienste nach eigenen Angaben für datenschutz- und sicherheitskonform. Die Datensouveränität des Kantons ist demnach gewährt.

(Keystone-SDA) Sämtliche rechtlichen, vertraglichen und technischen Schutzmassnahmen wie Verschlüsselung, Schlüssel‐Kontrolle und Zertifizierungen würden das Restrisiko des US Cloud Acts wirksam mindern. Dies schreibt der Regierungsrat in der am Freitag veröffentlichten, 13 Seiten zählenden Antwort auf eine Interpellation von Lukas Huber (GLP).

Der Kanton Aargau setzt primär auf Microsoft 365 als zentrale Cloud‐Plattform, ergänzt diese jedoch durch Google, SAP und diverse schweizerische und europäische Cloud‐Anbieter. Vier US‐Dienstleister – Microsoft, Google, SAP und ein weiteres US‐Tool – werden ebenfalls genutzt, wie aus der Antwort hervorgeht.

Die Nutzung von Cloud‐Diensten ist laut Regierungsrat als administrative Hilfstätigkeit im Organisationsgesetz verankert. Es gebe keine spezielle gesetzliche Vorgabe, jedoch müssten alle Outsourcing‐Massnahmen die Datenschutz‐ und Informationsgesetze erfüllen.

Datenhoheit sichern

Das Ziel sei es, die Hoheit über Daten sowie technische Abläufe beim Kanton zu belassen und damit Abhängigkeiten gegenüber externen Anbietern oder ausländischen Akteuren zu vermeiden, schreibt der Regierungsrat.

Die Unabhängigkeit des Kantons stehe im Zentrum, weshalb Projekte konsequent darauf ausgelegt würden, jederzeit handlungsfähig zu bleiben. Dazu gehörten der Aufbau und Betrieb eigener Cloud-Lösungen sowie der gezielte Einsatz von Schweizer Anbietern.

Geheime Daten sind nicht in der Cloud

Daten werden in der Kantonsverwaltung in vier Klassen (C1 öffentlich, C2 intern, C3 vertraulich, C4 geheim) eingeteilt. Nur die Klassen C1‐C3 dürfen extern gespeichert werden, während C4‐Daten nicht in die Cloud gelangen.

Die Datenschutzbeauftragte stuft die Nutzung von Cloud‐Diensten (schweizerisch/europäisch) grundsätzlich als datenschutzkonform ein, wie der Regierungsrat weiter schreibt.

Für US‐Anbieter lägen Zertifizierungen vor. Das Risiko eines Zugriffs nach dem Cloud Act werde als sehr gering – 0,67 Prouzent über fünf Jahre – bewertet.

Der US Cloud Act gilt für alle US‐Anbieter beziehungsweise Anbieter mit US‐Präsenz. Er erlaubt nur Zugriff nach gerichtlichem Beschluss. Der Act stelle kein generelles Verbot dar, sondern sei Restrisiko, das durch vertragliche und technische Massnahmen gemindert werde, heisst es in der Antwort.