Die Schweizer Public-Sector-Landschaft setzt seit 2023 das revidierte Datenschutzgesetz FADP (Bundesgesetz über den Datenschutz) um. Für Kantone, Gemeinden und staatliche IT-Dienstleister bedeutet das eine doppelte Herausforderung: Sie müssen zugleich digitale Verwaltungsleistungen ausbauen und dabei strengere Schutzanforderungen für Personendaten einhalten. Parallel treibt das E-Government-Gesetz den Aufbau von Verwaltungsportalen voran, die wiederum transparente Datenverarbeitung und Betroffenenrechte technisch abbilden müssen.

Gesetzliche Rahmenbedingungen: FADP und E-Government-Gesetz im Fokus

Das revidierte FADP bringt Schweizer Behörden näher an EU-DSGVO-Standards. Wichtigste Neuerungen sind Informationspflichten bei Datenerhebung, Privacy by Design als Grundsatz sowie die Meldepflicht bei Datenschutzverletzungen gegenüber dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten EDÖB. Anders als Private müssen öffentliche Organe bereits bei potenzieller Gefährdung melden – ein strengerer Maßstab als für Unternehmen.

Gleichzeitig fordert das E-Government-Gesetz des Bundes, dass Bürgerinnen und Bürger Verwaltungsgeschäfte elektronisch abwickeln können. Online-Dienste setzen durchgängige Datenschutzkonzepte voraus, von der Einwilligung über Speicherfristen bis zur Auskunft. Kantone und Gemeinden müssen deshalb technische Architektur und Prozesse synchron anpassen. Die digitale Identität E-ID wird zum Dreh- und Angelpunkt: Sie ermöglicht sichere Authentifizierung und protokolliert Zugriffe auf Personendaten – beides Kernanforderungen des FADP.

Investitionstrends: Cloud-Migration und Datenschutz-Management

Schweizer Behörden migrieren Fachanwendungen in Cloud-Umgebungen, bevorzugen aber Standorte mit rechtlicher Sicherheit. Swisscom Public Sector bietet deshalb Sovereign-Cloud-Pakete mit Datenhosting ausschließlich in der Schweiz an, kombiniert mit Audit-Trails für FADP-Compliance. Swisscom erweitert zudem Managed-Services für Container-basierte Anwendungen, die Daten nach Kantonen und Zwecken isolieren – Privacy by Design auf Infrastrukturebene.

Abraxas Informatik, der größte Schweizer Behörden-IT-Dienstleister, integriert Datenschutz-Impact-Assessments direkt in seinen Software-Entwicklungszyklus. Abraxas hat zudem automatisierte Löschroutinen für abgelaufene Personendaten entwickelt, die in Fachanwendungen wie Steuer- oder Sozialsysteme eingebettet werden. Kantone nutzen diese Module, um gesetzliche Aufbewahrungsfristen technisch durchzusetzen – ein Mehrwert, der über reine Software-Wartung hinausgeht.

Neue Produkte und Marktakteure

Procivis, ein Schweizer Start-up für Self-Sovereign Identity, hat seine digitale Identitätslösung kürzlich als Open Source veröffentlicht. Das eIDAS-kompatible Framework erlaubt Behörden, Credentials auszustellen, ohne zentral Personendaten zu speichern – ein datensparsamer Ansatz, der FADP-Anforderungen erfüllt. Kantone wie Schaffhausen testen solche dezentralen Architekturen für Pilotprojekte im Bildungs- und Gesundheitsbereich.

Auch A-Trust Sicherheitsservice, ein österreichischer Anbieter von elektronischen Signaturen und Identitätsdiensten, expandiert in die Schweiz. A-Trust bietet Zeitstempel- und Signaturdienste an, die FADP-konform dokumentieren, wer wann welche Daten verarbeitet hat. Die Integration in bestehende Dokumentenmanagementsysteme Schweizer Verwaltungen läuft derzeit in mehreren Kantonen.

Regulatorischer Ausblick: E-ID-Verordnung und internationale Anerkennung

Der Bundesrat arbeitet an der Verordnung zur staatlichen E-ID, die 2024 in Kraft treten soll. Sie definiert technische Sicherheitsanforderungen und Datenschutz-Standards für Wallet-Anbieter und Aussteller. Behörden müssen künftig nachweisen, dass sie nur die jeweils erforderlichen Attribute abfragen – Minimalprinzip im laufenden Betrieb. Technisch bedeutet das Selective Disclosure in Wallet-Transaktionen, ein Feature, das viele Legacy-Systeme noch nicht unterstützen.

Parallel verhandelt die Schweiz mit der EU über gegenseitige Anerkennung von digitalen Identitäten. Eine Äquivalenzentscheidung würde Schweizer Wallets im EU-Binnenmarkt akzeptieren und umgekehrt – das reduziert Integrationsaufwand für grenzüberschreitende Dienste und eröffnet Public-Sector-Anbietern neue Märkte. Für Schweizer Datenschutzbehörden bleibt die Herausforderung, einerseits EU-Standards zu erfüllen, andererseits nationale Besonderheiten wie die direkte Demokratie und föderale Strukturen abzubilden.

Datenschutz-Audit und Zertifizierung als Geschäftsfeld

Beratungshäuser bauen Datenschutz-Audits für Behörden als eigenes Geschäftsfeld aus. Sie prüfen Verarbeitungsverzeichnisse, technische Schutzmaßnahmen und Notfallpläne bei Datenpannen. Einige Kantone schreiben solche Audits inzwischen regelmäßig aus, um gegenüber dem EDÖB Compliance nachzuweisen. Zertifizierungsstellen entwickeln Labels für FADP-konforme Software – ein Signal an Beschaffungsverantwortliche, dass ein Produkt rechtlich geprüft ist.

Die Verbindung von E-Government-Pflichten und verschärften Datenschutzanforderungen treibt die Nachfrage nach integrierten Lösungen. Anbieter, die technische Sicherheit, Rechtskonformität und Usability in einer Plattform vereinen, gewinnen Ausschreibungen – der Markt konsolidiert sich um wenige, spezialisierte Player mit Public-Sector-Expertise.