Interpellation von GLP-Grossrat Lukas Huber

Der Beriker GLP-Grossrat Lukas Huber macht sich Sorgen um die Datenhoheit der kantonalen Verwaltung. Er möchte deshalb vom Regierungsrat verschiedene Antworten erhalten.

Der Grossrat begründet seine Interpellation damit, dass die Nutzung von Cloud-Diensten und damit die Abhängigkeit von internationalen Hyperscalern wie Microsoft, Google oder Amazon stark zugenommen habe – auch in der öffentlichen Verwaltung. «Der Kanton Aargau setzt nun konsequent auf Microsoft 365 und setzt damit zahlreiche kollaborative Instrumente ein, welche nicht mehr ausschliesslich in den Rechenzentren des Kantons Aargau betrieben werden können», so Huber. «Für deren Betrieb muss die Microsoft-Cloud genutzt werden, womit Daten der Verwaltung und damit auch Daten der Bürgerinnen und Bürger des Kantons Aargau auf externen Rechenzentren gespeichert werden.»

Diese neuen digitalen Werkzeuge brächten neben Effizienzpotenzialen auch erhebliche Risiken mit sich, insbesondere in Bezug auf Datenschutz, Datensouveränität und die Einhaltung des schweizerischen Rechts, so der Grossrat. Ein wesentliches Problemfeld sei dabei der sogenannte US CLOUD Act (Clarifying Lawful Overseas Use of Data Act). Dieses US-amerikanische Gesetz verpflichte US-Firmen und IT-Dienstleister, US-Behörden Zugriff auf gespeicherte Daten zu gewährleisten, selbst wenn die Speicherung ausserhalb der USA erfolge. Laut Lukas Huber besteht diese Problematik nicht nur im Kanton Aargau. «Auch beim Bund und in anderen Kantonen wurden die Abhängigkeit von Microsoft und Datenschutzbedenken bereits intensiv thematisiert.» Angesichts dieser Entwicklungen stelle sich die Frage, wie der Kanton Aargau mit dieser komplexen Problematik umgeht und welche Massnahmen zur Sicherstellung der Datensouveränität getroffen werden.

15 Fragen gestellt

Huber bittet den Regierungsrat, zu folgenden Fragen Stellung zu nehmen: 1. Gestützt auf welche gesetzliche Grundlage werden Daten der kantonalen Verwaltung und der Bürgerinnen und Bürger des Kantons Aargau an externe Rechenzentren ausgelagert? – 2. Welche Daten aus welchen Verwaltungseinheiten und Behörden speichert der Kanton Aargau nicht in eigenen Rechenzentren? – 3. Welche Unternehmungen werden für die externe Speicherung von Daten in Anspruch genommen? – 4. Welche dieser Unternehmungen unterstehen dem US CLOUD Act? – 5. Wie beurteilt die Datenschutzbeauftragte des Kantons Aargau den Einsatz von M365 und anderen Cloud-Dienste in der kantonalen Verwaltung? – 6. Wurden im Rahmen der Einführung von Microsoft 365 oder anderen Cloud-Diensten Risikoanalysen hinsichtlich Datenschutz, Datensouveränität und rechtlicher Risiken (insbesondere in Bezug auf den US CLOUD Act) durchgeführt? Wenn ja, mit welchen Ergebnissen? – 7. Wurde diese Beurteilung seit dem Regierungswechsel in den USA überprüft und gegebenenfalls revidiert? Falls ja, mit welchem Ergebnis? – 8. Wo werden die Daten örtlich gespeichert? Ist der Speicherort Schweiz bloss vertraglich vereinbart oder ist ein solcher auch technisch sichergestellt und/oder wird regelmässig überprüft? – 9. Wie werden die extern gespeicherten Daten verschlüsselt und wer kontrolliert und verwaltet den Schlüssel, der zur Verschlüsselung der Daten zum Einsatz kommt? – 10. Sofern Microsoft den Schlüssel verwaltet: Wie stellt der Kanton Aargau sicher, dass Microsoft oder ausländische Behörden nicht unberechtigt auf die Daten zugreifen können? Untersteht die Schlüsselkontrolle schweizerischem Recht? – 11. Sofern eine sogenannte Kundenlockbox zum Einsatz kommt: Wie funktionieren die internen Freigabeprozesse? Ist eine Zustimmung der verantwortlichen Personen des Kantons bloss vertraglich vereinbart oder bestehen auch technische Hürden? – 12. Wie geht der Kanton mit dem Szenario um, dass Microsoft Berechtigungen und Zugriffsmöglichkeiten einseitig entziehen können? Kann die Funktionsfähigkeit der kantonalen Verwaltung im Extremfall ohne M365 jederzeit gewährleistet werden? – 13. Gibt es für die kantonale Verwaltung verbindliche Vorgaben oder Weisungen, welche die Nutzung von Cloud-Diensten in Bezug auf den Standort der Datenhaltung, Klassifizierung, Verschlüsselung und Zugriffsrechte regeln? – 14. Wie wird die Möglichkeit beurteilt, Schweizer Cloud-Anbieter oder souveräne Cloud-Lösungen verstärkt einzusetzen? – 15. Welche Rolle spielen Überlegungen zur digitalen Souveränität in den aktuellen und geplanten Digitalisierungs- und Gesetzgebungsprojekten des Kantons Aargau? --red