Beim «Cloud-Computing» handelt es sich aus datenschutzrechtlicher Sicht um eine Datenbearbeitung im Auftrag. Der Grundsatz, dass das öffentliche Organ vollumfänglich für die Datenbearbeitungen verantwortlich bleibt, gilt auch hier. Das «Cloud-Computing» hat indessen andere und zusätzliche Risiken. Konkrete Regulierungen Cloud-spezifischer Risiken wären für ein einheitliches Schutzniveau bei der Verwendung dieser Technologie im öffentlich-rechtlichen Bereich zu begrüssen. Solange dies nicht der Fall ist, steht die Risikoanalyse im Vordergrund. Es sind Massnahmen zu treffen, die auch beim «Cloud-Computing» den Schutz der Grundrechte gewährleisten, wie wenn die Datenbearbeitungen «inhouse» erfolgen würden.

Die öffentliche Verwaltung hat bei der Datenbearbeitung seit jeher Dienstleistungen von Dritten in Anspruch genommen. Was mit der Auslagerung einzelner Datenbearbeitungen begann, wurde später zu einem Outsourcing der Datenbearbeitungen ganzer Abteilungen oder Ämter....