Das sagt die Zürcher Datenschutzbeauftragte zur Microsoft-Cloud

Wie und wozu nutzen Sie die Cloud-Dienste von Microsoft?

Dominika Blonski: Wir nutzen bei uns im Büro keine Cloud-Dienste von Microsoft. Wir evaluieren aber laufend die rechtlichen Vorgaben und mögliche organisatorisch-technische Massnahmen eines datenschutzkonformen Einsatzes, was aber nicht einfach ist.

Im April 2022 bewilligte der Zürcher Regierungsrat Microsoft 365 für die kantonale Verwaltung. Wie läuft es mit der Einführung aus Sicht Ihrer Behörde?

Vorweg möchte ich festhalten, dass der Regierungsrat der Verwaltung keinen Freipass zur Nutzung von Microsoft 365 erteilt hat. Er hält klar fest, dass die geltenden Bestimmungen eingehalten werden müssen. Vor der Nutzung von Cloud-Diensten sind rechtliche Abklärungen nötig. So dürfen beispielsweise keine Geheimhaltungsvorgaben gegen die Nutzung der Cloud sprechen. Anschliessend muss in einer Risikoanalyse geprüft werden, mit welchen technischen und organisatorischen Massnahmen die Risiken der Cloud-Nutzung minimiert werden können. Die Finanzdirektion des Kantons Zürich hat hierfür konkretisierende Ausführungsbestimmungen erlassen, die klar aufzeigen, dass nicht einfach alle Daten in die Microsoft-Cloud ausgelagert werden dürfen. Ich gehe davon aus, dass sich die Ämter bei der Einführung von Microsoft 365 an diese Vorgaben halten.

Im letzten Tätigkeitsbericht haben Sie festgehalten, dass Sie noch von keiner Behörde wegen einer M365-Einführung kontaktiert wurden. Woran liegt das?

Tatsächlich sind uns im Jahr 2022 keine umfassenden Projekte zu einer Vorabkontrolle unterbreitet worden. Solche Projekte müssen der Datenschutzbeauftragten vorgelegt werden, wenn sie mit besonderen Risiken für die Persönlichkeitsrechte der betroffenen Personen verbunden sind. Nicht jedes Cloud-Projekt beinhaltet besondere Risiken, viele jedoch schon. Wir beantworteten jedoch im vergangenen Jahr sehr viele Einzelanfragen zum Einsatz von Cloud-Diensten und haben auch Merkblätter für die Verwaltung publiziert.

Was sind die datenschutztechnisch grössten Knacknüsse für ­Verwaltungen bei der Migration in die Microsoft-Cloud?

Handelt es sich um sensible Daten oder Daten unter einem Geheimnisschutz, ist zu vermeiden, dass sie von Dritten zur Kenntnis genommen werden können. Das kann bedeuten, dass nicht einmal Microsoft Daten im Klartext erhalten darf. Aber auf jeden Fall dürfen solche Daten nicht einem rechtswidrigen Zugriff von anderen Behörden ausgesetzt werden. Das alles kann die Microsoft-Cloud nicht garantieren. Die Verwaltung muss also selbst Massnahmen treffen, oder bei diesen Daten auf eine Auslagerung verzichten. Verwaltungen und andere öffentliche Institutionen bleiben in jedem Fall verantwortlich für den Umgang mit den Personendaten. Deshalb ist der Kontrollverlust bei der Auslagerung in die Microsoft-Cloud ein grosses Risiko: Hier wird ausländisches Recht angewendet, US-amerikanische Behörden erhalten Zugriffsmöglichkeiten auf die Daten; es ist nicht transparent, wie Micro­soft die Daten zu eigenen Zwecken verwendet. Zudem ändert Microsoft die Datenschutzvereinbarung immer wieder einseitig und von sich aus.

Einige Schweizer Verwaltungen, etwa jene des Kantons und der Stadt Bern, haben entschieden, zwar Microsofts Cloud-­Angebot zu nutzen, vertrauliche oder schützenswerten Informa­tionen jedoch nicht dort zu bearbeiten. Was halten Sie von dieser Strategie?

Dies entspricht auch der Strategie im Kanton Zürich, wie sie in den Ausführungsbestimmungen der Finanzdirek­tion definiert ist. Diese Bestimmungen wurden einfach nie so laut verkündet wie der Beschluss des Regierungsrats. Auch der Bund fährt diese Strategie. Ich gehe davon aus, dass nur so eine rechtskonforme Datenbearbeitung unter Einsatz der Microsoft-Cloud möglich ist.

Gibt es Alternativen dazu?

Hier liegt ein generelles Problem vor. Microsoft dominiert den Markt der Office-Produkte. Die Schweiz hat im Rahmen der Diskussionen um die digitale Souveränität auch zu erörtern, wie solche Abhängigkeiten aufgebrochen werden können.

An der IT-Beschaffungskonferenz sagte Simon Graber, Projekt­leiter bei der Bildungsplattform Educa, dass die mit Microsoft abgeschlossenen Rahmenverträge nicht datenschutzkonform seien. Sie wiederum befanden, dass die Verträge die notwendigen rechtlichen Bestimmungen enthalten. Woher kommen diese unterschiedlichen Betrachtungen?

Ich sehe keinen Widerspruch. Unsere Beurteilung war eine Momentaufnahme, die festhielt, dass die Verträge für eine datenschutzkonforme Bearbeitung grundsätzlich geeignet sind. Wie dies aber in der Praxis gehandhabt wird, die Vereinbarung durchgesetzt wird und allenfalls auch notwendige technische Massnahmen bezüglich der Vertraulichkeit umgesetzt wurden, ist mir im Einzelnen nicht bekannt. Sollte die Aussage von Herrn Graber zutreffen, dann hätte Educa einen Handlungsbedarf.

An der Konferenz wurden Vertragsverhandlungen mit Microsoft als schwierig und langfädig beschrieben. Mitunter entstand der Eindruck, dass der Tech-Konzern die hiesigen Regeln schlechthin ignoriere. Sind Schweizer Behörden und Unternehmen Microsoft ausgeliefert?

Tatsächlich haben US-amerikanische Grossfirmen Mühe, sich dem Schweizer Recht anzupassen. Der Markt ist global gesehen unbedeutend, und deshalb ist die Rechtsanpassung für sie auch nicht vordringlich. Behörden und Unternehmen sind aber Microsoft nicht ausgeliefert. Sie müssen nur genügend Druck ausüben, denn letztlich will Microsoft mit ihnen ja ein Geschäft abschliessen. Aber Microsoft hat auch seine Taktik: Sie beschäftigen Anwälte und Rechtskonsulenten, die in Artikeln und Gutachten erklären, dass es auch so geht!

Wie erleben Sie den Austausch mit Microsoft? Wie hat sich die Haltung des Konzerns den hiesigen Anliegen gegenüber verändert?

Microsoft hat sich eine Zeit lang mit den Datenschutzbeauftragten ausgetauscht. Als sie aber sahen, dass zahlreiche Rechtsfragen nicht einfach vom Tisch zu wischen sind, haben sie die Taktik geändert. Sie bearbeiten nun mit ihren Anwälten die Unternehmen und die Behörden und reden die wirklichen Themen bei der Nutzung der Cloud klein.

An der Medienkonferenz zu ihrem aktuellen Tätigkeitsbericht sprachen Sie vom "Diktat der Grossunternehmen". Wie könnte oder sollte die Schweiz diesem entgegentreten?

Wie bereits erwähnt, braucht es Druck, dass sich Grossunternehmen an die schweizerischen Rechtsverhältnisse anpassen, obwohl das ja eigentlich eine Selbstverständlichkeit sein sollte. Daneben braucht es aber eine politische Diskussion über die digitale Souveränität der Schweiz, die auch die Nutzung von Cloud-Diensten umfassen muss.

Bisher sprachen wir vor allem über Herausforderungen öffent­licher Verwaltungen. Was können Sie KMUs auf den Weg geben, die in die Microsoft-Cloud migrieren wollen?

KMUs haben sich zu vergewissern, dass sie die notwendigen technischen und organisatorischen Massnahmen bei der Nutzung der Microsoft-Cloud treffen. Damit die Daten vertraulich bleiben, müssen aufwendige Einstellungen vorgenommen werden. Und zu beachten gilt auch, dass sie für das Backup ihrer Daten selbst verantwortlich sind!