Lexipedia

114.5

Gesetz über die Auslagerung von Informatikdienstleistungen

(Auslagerungsgesetz, AusG)

Vom 29.01.2025 (Stand 01.05.2025)

Präambel

Der Kantonsrat von Solothurn

gestützt auf Artikel 8 Absatz 2, 85 und 86 Absatz 1 Buchstabe a der Verfassung des Kantons Solothurn (KV) vom 8. Juni 1986[1]

nach Kenntnisnahme von Botschaft und Entwurf des Regierungsrates vom 12. November 2024 (RRB Nr. 2024/1809)

beschliesst:

Art. 1 Zweck

Dieses Gesetz regelt für die kantonale Verwaltung die Auslagerung von Informatikdienstleistungen.

Art. 2 Geltungsbereich

Dieses Gesetz gilt für alle Behörden der kantonalen Verwaltung.

Nicht unter den Geltungsbereich fallen die Solothurner Spitäler AG, die selbständigen öffentlich-rechtlichen Anstalten des Kantons und die Informatikdienstleistungen an den kantonalen Schulen für Unterrichtszwecke.

Art. 3 Begriffe

In diesem Gesetz bedeuten:

  1. Auslagerung: Auftrag der zuständigen Behörde an Dritte zur Erbringung von Informatikdienstleistungen;
  2. Informatikdienstleistungen: Dienstleistungen der Informations- und Kommunikationstechnik, namentlich im Zusammenhang mit allen Anwendungen, Informationssystemen, Einrichtungen und Produkten, die der elektronischen Verarbeitung von Informationen dienen;
  3. Dritte: Auftragnehmende ausserhalb der kantonalen Verwaltung, die mit der Erbringung von Informatikdienstleistungen beauftragt werden;
  4. auslagernde Behörde: Behörde, die zur Erfüllung ihrer Aufgaben Informatikdienstleistungen an Dritte auslagert;
  5. zuständige Behörde: Behörde, die gemäss § 6 für den Entscheid über die Auslagerung zuständig ist.

Art. 4 Zulässige Standorte

Die Auslagerung von Informatikdienstleistungen darf ins Ausland nur erfolgen, wenn ein angemessener Datenschutz gemäss Anhang 1 der Verordnung über den Datenschutz (DSV) vom 31. August 2022[2] gewährleistet ist.

Besonders schützenswerte Personendaten und Sachdaten mit erhöhtem Schutzbedarf dürfen nur innerhalb der Schweiz ausgelagert werden. Ausnahmen sind in begründeten Einzelfällen zulässig.

Art. 5 Voraussetzungen

Die Auslagerung ist dann zulässig, wenn die zuständige Behörde durch Gesetz oder schriftliche Vereinbarung sicherstellt, dass

  1. Dritte Informatikdienstleistungen nur so erbringen, wie es die auslagernde Behörde selbst tun dürfte;
  2. Dritte, einschliesslich ihrer Mitarbeitenden und Hilfspersonen, diejenigen Amtsgeheimnis-, Berufsgeheimnis- und besonderen Geheimhaltungspflichten übernehmen sowie die Bestimmungen über den Datenschutz einhalten, an welche die auslagernde Behörde gebunden ist;
  3. die Datensicherheit durch angemessene technische und organisatorische Massnahmen gewährleistet ist;
  4. Dritte zur Erbringung der Informatikdienstleistungen nur mit vorgängiger schriftlicher Genehmigung der zuständigen Behörde andere Dritte beauftragen dürfen;
  5. Dritte für die gehörige Sorgfalt bei der Auswahl, Instruktion und Überwachung ihrer Mitarbeitenden und Hilfspersonen haften;
  6. die Bestimmungen der kantonalen Archivgesetzgebung eingehalten werden;
  7. der zuständigen und der auslagernden Behörde sowie den zuständigen Aufsichtsbehörden die erforderlichen Weisungs- und Kontrollrechte zustehen und
  8. auf das Vertragsverhältnis Schweizer Recht zur Anwendung gelangt und ein Gerichtsstand in der Schweiz bestimmt wird, wobei Ausnahmen in begründeten Einzelfällen zulässig sind.

Die zuständige Behörde stellt sicher, dass die staatliche Aufgabenerfüllung auch dann ohne wesentliche Beeinträchtigung gewährleistet ist, wenn Dritte Abmachungen nicht einhalten oder die Geschäftstätigkeit einstellen.

Art. 6 Zuständigkeiten

Der Regierungsrat beschliesst unter Vorbehalt von Absatz 2 für die kantonale Verwaltung die Auslagerung von Informatikdienstleistungen, wenn sie

  1. von übergeordnetem oder strategischem Interesse ist; oder
  2. für eine oder mehrere Organisationseinheiten zwingend vorgeschrieben werden soll; oder
  3. ein hohes Risiko für die Grundrechte der betroffenen Personen mit sich bringt, namentlich bei einer umfangreichen Bearbeitung besonders schützenswerter Personendaten.

Unter den gleichen Voraussetzungen beschliesst die Gerichtsverwaltungskommission für die Gerichte die Auslagerung von Informatikdienstleistungen.

In allen übrigen Fällen ist die auslagernde Behörde für die Auslagerung zuständig.

Die Beschlüsse zu Auslagerungen gemäss Absatz 1 und 2 werden veröffentlicht.

Art. 7 Risikomanagement

Die zuständige Behörde sorgt dafür, dass die sich aus der Auslagerung ergebenden Risiken laufend beurteilt werden.

Sie bestimmt die erforderlichen Massnahmen, um die Risiken angemessen zu minimieren.

Risiken, die getragen werden sollen, müssen nachweislich akzeptiert werden.

Art. 8 Verantwortung

Die Verantwortung für die rechtmässige Aufgabenerfüllung bleibt bei der auslagernden Behörde.

Für die sich aus der Auslagerung ergebenden Risiken trägt die zuständige Behörde die Verantwortung.

Art. 9 Verhältnis zu anderen Erlassen

Der Geltungsbereich der kantonalen Datenschutz- und Archivgesetzgebung sowie die anwendbaren finanz- und submissionsrechtlichen Bestimmungen bleiben von diesem Gesetz unberührt.

Art. 10 Übergangsbestimmung

Bereits in Auftrag gegebene Auslagerungen sind innerhalb von fünf Jahren nach Inkrafttreten dieses Gesetzes an die Anforderungen dieses Erlasses anzupassen.

Egress

KRB Nr. RG 0220/2024 vom 29. Januar 2025.

Die Referendumsfrist ist am 16. Mai 2025 unbenutzt abgelaufen.

Inkrafttreten am 1. Mai 2025.

Publiziert im Amtsblatt vom 30. Mai 2025.

GS 2025, 3

* Änderungstabelle - Nach Beschluss

Beschluss Inkrafttreten Element Änderung GS Fundstelle
29.01.2025 01.05.2025 Erlass Erstfassung GS 2025, 3

* Änderungstabelle - Nach Artikel

Element Beschluss Inkrafttreten Änderung GS Fundstelle
Erlass 29.01.2025 01.05.2025 Erstfassung GS 2025, 3