Öffentliche Organe nehmen für ihre Datenbearbeitungen in vielfältiger Art und Weise die Dienstleistungen Dritter in Anspruch. Für die Auslagerung von Datenbearbeitungen an Dritte enthalten die (Informations- und) Datenschutzgesetze regelmässig Bestimmungen, die im Wesentlichen festhalten, dass das öffentliche Organ auch bei einer Auslagerung für die Datenbearbeitung vollumfänglich verantwortlich bleibt. Wie diese Verantwortung bei solchen Auftragsdatenbearbeitungen wahrzunehmen ist, haben verschiedene Datenschutzbehörden in Leitfäden und Checklisten festgehalten (siehe Links im Anhang 2).

Die von Dritten zur Verfügung gestellten Datenbearbeitungsdienstleistungen basieren heute immer mehr auf der Verwendung von Cloud-Technologie:

Die Ressourcen für die Datenbearbeitungen werden dynamisch zur Verfügung gestellt und eine konkrete Lokalisation von Datenbearbeitungen und Daten ist nicht vorgesehen: Sie befinden sich eben in der «Cloud».

Auch bei der Inanspruchnahme solcher Cloud-Dienstleistungen bleibt das öffentliche Organ vollumfänglich verantwortlich.

Privatim, die Konferenz der schweizerischen...