Der lange Abschied von der Cloud-Abhängigkeit

Eine Schweizer Behörde nach der anderen gibt bekannt, dass sie Cloud-Lösungen von Microsoft beziehen will – doch noch immer stellt sich die Frage: Dürfen die das? Die kurze, laienhafte Antwort lautet: Es kommt darauf an … Fundierte Ausführungen dazu finden Sie im Focus dieser Ausgabe.

Auch nach jahrelanger Diskussion bleibt dies jedenfalls umstritten. ­Europäische Aufsichtsbehörden machten schwere datenschutzrechtliche Bedenken insbesondere bezüglich Microsoft 365 geltend, die der Softwarekonzern bis heute nicht ausräumen kann. Ein Vorwurf lautet, dass aus den Geschäftsbedingungen nicht klar hervorgehe, welche Daten Microsoft von seinen Kundinnen und Kunden abgreife und was der Konzern damit mache. So kam das höchste Gremium der deutschen Datenaufsichtsbehörden zum Schluss, dass der Einsatz von Microsoft 365 gegen das europäische Datenschutzrecht respektive gegen die EU-DSGVO verstösst.
Microsoft reagierte ungewohnt schroff. «Einige Datenschutz­behörden in Deutschland scheinen die DSGVO übermässig risikoscheu auszulegen», entgegnete der Softwarekonzern und doppelte nach: Diese Behörden würden keinen Betroffenenschutz mehr verfolgen, sondern den ­«Datenschutz zum dogmatischen Selbstzweck» erheben.

Ein weiterer Einwand, der insbesondere in der Debatte hierzulande mitschwingt, lässt sich allerdings nicht von der Hand weisen. Das Risiko eines «Lawful Access», so unwahrscheinlich es auch erscheinen mag, ist grösser als null. Da Microsoft seinen Sitz in den USA hat und folglich dem «Cloud Act» untersteht, könnte der Konzern unter Umständen dazu gezwungen sein, US-Behörden und -Geheimdiensten Zugang zu Schweizer Cloud-Daten zu gewähren, selbst wenn diese Daten nicht in den USA, sondern in einem Microsoft-Rechenzentrum in der Schweiz gespeichert sind.

Wie wahrscheinlich es ist, dass dieser Fall eintritt, lässt sich zwar ausrechnen – mit dem naheliegenden Ergebnis, dass das entsprechende Risiko nach heutigem Stand sehr gering ist. Doch der springende Punkt ist in diesem Fall nicht die Risikoabwägung, sondern die ernüchternde Feststellung, dass es keine Alternativen gibt. Zumindest nicht in nützlicher Frist. Die Idee einer «Swiss Cloud» für die wichtigsten Daten des Bundes, der Kantone und Gemeinden steht zwar erneut zur politischen Diskussion. Doch bis so ein Projekt zustande kommt, braucht es einen politischen Konsens, viel Geld und vermutlich viel mehr Zeit, als man dafür veranschlagen würde.

Immerhin bestimmte der Bundesrat das Thema «digitale Souveränität» zu einem digitalstrategischen Fokusthema für 2023 – mit dem erklärten Ziel, Abhängigkeiten in der digitalen Welt zu reduzieren. Mittelfristig müssen sich Schweizer Behörden allerdings damit arrangieren, de facto abhängig von Microsoft und seinen Cloud-Diensten zu sein. Und wie auch immer sich der Ausweg aus dieser Abhängigkeit gestalten lässt: Es wird ein langwieriger Entzug.