Kein Freipass für «Microsoft 365»

In den vergangenen Monaten haben verschiedene kantonale Regierungen Entscheide zur Nutzung von «Microsoft 365» (M365) in der Verwaltung publiziert. Der Beschluss des Regierungsrats des Kantons Zürich (RRB 542/2022 vom 30. März 2022) hat dabei eine breite Aufmerksamkeit gefunden.

privatim hat im Februar 2022 ein «Merkblatt Cloud-spezifische Risiken und Massnahmen» publiziert, das den öffentlichen Organen insbesondere auch die Beurteilung des Einsatzes von M365 ermöglichen soll. Der Entscheid des Regierungsrates des Kantons Zürich bedeutet für die öffentlichen Organe grundsätzlich nicht, dass sie vom Inhalt und dem empfohlenen Vorgehen in diesem Merkblatt abweichen können. Dies wird in Äusserungen zum Entscheid suggeriert, weshalb privatim sich veranlasst sieht, zu einigen Punkten des RRB, die in diesem Sinne eine Wirkung über den Kanton Zürich hinaus haben, Stellung zu beziehen.

Entscheid (Dispositiv)

Der Regierungsrat hält fest, dass der Einsatz von M365 zugelassen wird (Dispositiv Ziffer I). Diese Feststellung deckt sich mit den datenschutzrechtlichen Bestimmungen, wonach Datenbearbeitungen durch Dritte – auch Cloud-Lösungen – unter bestimmten Voraussetzungen zugelassen sind.

In Ziffer II des Dispositivs hält der Regierungsrat implizit fest, dass die öffentlichen Organe ein Informationssicherheits- und Datenschutzkonzept (ISDS-Konzept) zu erstellen haben. Darin haben sie auch die Risiken eines ausländischen Lawful Access auszuweisen. Ein ISDS-Konzept (nach Hermes) enthält das Verzeichnis der sicherheitsrelevanten Dokumente, die Einstufung der Datenbearbeitung aufgrund der Schutzbedarfsanalyse, die sicherheitsrelevante Systembeschreibung, die Risikoanalyse mit Restrisiken, das Notfallkonzept, das Bearbeitungsreglement, die Einhaltung/Überprüfung der Schutzmassnahmen, Test und Abnahme der Informationssicherheitsfunktionen sowie die Liquidation. Damit weicht der Regierungsrat nicht von der methodischen Vorgehensweise im datenschutz- rechtlichen Sinne ab.

Ergänzend hält der Regierungsrat fest, dass bei «90%-Eintrittswahrscheinlichkeit eines erfolgreichen Lawful Access bei unter 100 Jahren» (Dispositiv Ziffer II Abs. 2) das öffentliche Organ die Zulassung der risikobewerteten Cloud-Lösung dem Regierungsrat vorzulegen hat. Das Herausstreichen dieses Aspekts erscheint stark übergewichtet, da der ausländische Lawful Access nur Teil der Cloud-spezifischen Risiken darstellt und eine statistische Wahrscheinlichkeit für die Frage der Zulässigkeit dieses Zugriffs keine Rolle spielt.

Im Übrigen sollen die öffentlichen Organe prüfen, ob neben einer allgemeinen Nutzungsrichtlinie für M365 weitere übergeordnete Richtlinien zu erlassen wären (Dispositiv Ziffer III). Damit deutet er an, dass unter Umständen weitergehende Vorgaben nötig sind, damit die einzelnen Organe spezifische Services von M365 datenschutzkonform nutzen können. Dies ist zu begrüssen, ebenso die Tatsache, dass der Regierungsrat die Stelle eines/r Cloud-Sicherheitsbeauftragten schafft, da Cloud-Lösungen stark zunehmend sind und generell auch die Cyberrisiken (Dispositiv Ziffer IV).

Begründung

Die Begründung des Entscheids wirkt ausgesprochen unausgewogen.

Grundsätzlich hält der Regierungsrat fest, dass in Bezug auf die Einführung von Cloud-Lösungen keine Rechtsgrundlagen geändert oder geschaffen werden müssen: «Es besteht kein Regelungsbedarf, sondern die geltenden Bestimmungen sind bei der Einführung einzuhalten» (S. 2). Deshalb müssen die Anforderungen an die Informationssicherheit und den Datenschutz mit der Schutzbedarfsanalyse bereits vor der Projektfreigabe erhoben werden, und bei einem erhöhten Schutzbedarf ist ein ISDS-Konzept zu erstellen, die Sicherheitsmassnahmen sind festzulegen und die Restrisiken sind aufzuzeigen (S. 2). Dazu gehört auch die Rechtsgrundlagenanalyse.

Mit diesem Vorgehen wird sichergestellt, dass die datenschutzrechtlichen Anforderungen an Cloud-Lösungen, wie sie das Merkblatt von privatim konkretisiert, berücksichtigt werden. Der Regierungsrat delegiert diese Aufgabe an die einzelnen öffentlichen Organe (Dispositiv Ziffer II).

Des Weiteren äussert sich der Regierungsrat zu den Cloud-spezifischen Risiken und stellt fest, dass bei Cloud-Lösungen grundsätzlich nicht höhere Risiken für die Informationssicherheit und den Datenschutz als bei On-Premises-Lösungen bestünden (S. 3). Ebenso stellt er fest, dass die Risiken der Offenlegung vertraulicher Informationen durch unerlaubte und illegale Zugriffe bei einer Cloud-Lösung tendenziell eher geringer seien, als wenn die Daten on premises gehalten werden (S. 7 f.). Diese Aussagen sind angesichts der diversen zusätzlichen Risiken nicht nachvollziehbar.

So hat der Regierungsrat auf den mit der Cloud-Lösung verbundenen Kontrollverlust nur die Bemerkung übrig, dass durch die Nutzung einer Cloud-Lösung betriebliche Aspekte und Verantwortlichkeiten, auch hinsichtlich Sicherheit, an den Anbieter übergingen, womit sie nicht mehr unmittelbar im Einflussbereich des Kunden liegen würden: «Müssten solche Risiken gänzlich ausgeschlossen werden, würde jegliche Art der Datenbearbeitung verunmöglicht» (S. 9).

Es liegt aber in der Pflicht der öffentlichen Organe, die einzelnen Risiken für die Grundrechte der betroffenen Personen zu eruieren und die angemessenen Massnahmen zu treffen, um den Kontrollverlust zu minimieren. Privatim führt in seinem Merkblatt aus, wie die Risikoanalyse detailliert zu erfolgen hat, dass die Risiken verstanden werden müssen und dass das Restrisiko vom Regierungsrat zu übernehmen wäre. Zudem sei darzulegen, durch welche unverzichtbaren Vorteile des Cloud-Dienstes gegenüber einer gleichwertigen Lösung on premises sowie gegenüber risikoärmeren Produkten anderer Anbieter die neuen Risiken aufgewogen würden. Eine solche umfassende Risikoanalyse und -übernahme sowie eine nachvollziehbare Begründung erfolgen hier aber nicht.

Dafür findet sich in der Begründung ein ausführliches Kapitel zum ausländischen Lawful Access, wie er durch den CLOUD Act bei amerikanischen Unternehmen möglich ist. Dabei wird festgehalten, dass in der Praxis ein derartiges Szenario höchst unwahrscheinlich sei, und es sei im Bereich der öffentlichen Hand gemäss Auskunft von Microsoft vom 7. Dezember 2021 noch nie zur Offenlegung von Daten europäischer Kunden durch Microsoft gekommen (S. 4). Tatsächlich ist dies nicht sehr repräsentativ, weil die öffentlichen Organe erst jetzt daran sind, die Auslagerung von Daten in die Cloud zu prüfen, so dass Zugriffe auf deren Daten bisher noch gar nicht vorkommen konnten. Generell ist bei Prognosen gestützt auf die Vergangenheit Vorsicht angebracht, namentlich wenn geopolitische Veränderungen und andere aussergewöhnlichen Ereignisse ausser Acht gelassen werden.

Weiter ist zu beachten, dass ein auf den CLOUD Act gestützter Zugriff auf Personendaten in der Schweiz unabhängig von seiner statistischen Wahrscheinlichkeit widerrechtlich ist und den Daten- und ggf. Geheimnisschutz verletzt. Deshalb kann ein Verzicht auf risikosenkende Massnahmen nicht allein damit begründet werden, dass der Zugriff hinreichend unwahrscheinlich ist.

Beim ausländischen Lawful Access handelt es sich um einen kleinen Teilaspekt in der Risikoanalyse, der über die zu treffenden technischen und organisatorischen Massnahmen oder – sofern diese nicht genügen – einen Verzicht auf die Auslagerung entscheiden kann.

Auf jeden Fall können die Ausführungen zum ausländischen Lawful Access nicht die anfangs erwähnten Schritte wie Rechtsgrundlagenanalyse, Schutzbedarfsanalyse sowie Risikoanalyse mit den Restrisiken und den Massnahmenplan ersetzen.

Die abschliessende Bemerkung in der Begründung, dass insgesamt in Bezug auf M365 keine erheblichen Restrisiken, weder durch Lawful Access noch andere Faktoren, ermittelt worden seien, die einen Verzicht auf die Einführung der Cloud-Lösung aufdrängen, erstaunt. Einerseits ist der Lawful Access nur ein Teilaspekt und andererseits wurden andere (wesentliche) Faktoren, wie sie im Merkblatt von privatim dargestellt werden, nicht erörtert. Zudem ist der Verzicht auf Cloud-Lösungen nie zur Debatte gestanden.

Fazit

Der Entscheid des Regierungsrats des Kantons Zürich ist kein Freipass für die Einführung von M365 in der Verwaltung. Zunächst ist zu beachten, dass bereits der Regierungsrat davon ausgeht, dass die Erstellung und Bearbeitung von Dokumenten mittels Word, Excel und PowerPoint weiterhin mit lokal installierten Versionen jener Anwendungen erfolgt und nicht mit Cloud-Services (S. 6); zudem ist in Exchange Online eine Verschlüsselungsmöglichkeit vorgesehen – und somit auch zu nutzen –, bei der die Verschlüsselung on premises unter der ausschliesslichen Hoheit des Kantons Zürich erfolgt (S. 5).

Sodann übernimmt der Regierungsrat in diesem Entscheid keine eigene Verantwortung für die Einführung, sondern delegiert diese an die einzelnen öffentlichen Organe, die im Rahmen eines ISDS- Konzepts die erforderlichen Abklärungen zu treffen haben (Verzeichnis der sicherheitsrelevanten Dokumente, Einstufung der Datenbearbeitung aufgrund der Schutzbedarfsanalyse, sicherheitsrelevante Systembeschreibung, fundierte Risikoanalyse mit Restrisiken, Notfallkonzept, Bearbeitungsreglement, Einhaltung/Überprüfung der Schutzmassnahmen, Test und Abnahme der Informationssicherheitsfunktionen sowie Liquidation).

So ist die Begründung des Entscheids keinesfalls für die Bewertung einer Cloud-Lösung wie M365 ausreichend. Sie nimmt Elemente der Beurteilung einer Cloud-Lösung auf, bietet aber bei weitem kein Gesamtbild, wie dies ein ISDS-Konzept beinhalten müsste.

Die Ausführungen von privatim im «Merkblatt Cloud-spezifische Risiken und Massnahmen» sowie die in dessen Anhang erwähnten Merkblätter einzelner Datenschutzbehörden bleiben für die öffentlichen Organe die Richtlinie für die Beurteilung und Einführung von Cloud- Lösungen – inklusive M365.

Verwandte Artikel

Vernehmlassung Bundesgese... Der Entwurf des Bundesgesetzes über Geldspiele vermag den rechtstaatlichen Anforderungen aus datenschutzrechtlicher Sicht nicht in allen Bereichen zu genügen: Die Tragweite der Datenbearbeitungen sind zu wenig klar
Freier Fluss der Daten UN... Das Europäische Parlament hat eine Strategie für den digitalen Handel verabschiedet. Mit einem Initiativbericht soll die europäische Kommission verpflichtet werden, den globalen digitalen Marktzugang und den Nutzen für EU-Verbraucher
digma 2012.4 Aus den Datenschutzbehörden Die News in digma 2012.4 enthalten frohe Neuigkeiten zum Schengener Informationssystem der zweiten Generation – und weniger erfreuliche Nachrichten zur Budgetkürzung im Kanton Genf.
Datenschutztag 2019 – D... Anlässlich eines Medientalks thematisieren die Datenschutzbehörden von Bund und Kantonen ihre gemeinsamen Herausforderungen bezüglich Wahlen, Polizei und AHV-Nummer. Zu den Nationalratswahlen vom kommenden Herbst haben sie Leitfaden
Vernehmlassung Krebsregis... Bei der Registrierung von Krebserkrankungen fallen sehr sensitive Personendaten an, für deren Bearbeitung aus datenschutzrechtlicher Sicht eine hinreichend bestimmte und demokratisch legitimierte Gesetzesgrundlage erforderlich ist. Nur wenige
Vernehmlassung Carrier Sa... privatim begrüsst es, dass die Nutzung des API-Systems durch das Bundesamt für Migration bzw. durch die zuständigen Grenzkontrollbehörden in einem Gesetz im formellen Sinne verankert werden soll.
digma 2014.3 Aus den Datenschutzbehörden Die News aus den Datenschutzbehörden berichten über den neuen § 30a des basel-städtischen Aufenthaltsgesetzes und über das neue Zuger Gesetz über die Videoüberwachung. (Aritkel
Digitale Zusammenarbeit: ... Der weitgehende Lockdown zur Bewältigung der Corona-Krise hatte (und hat teils noch immer) aus Datenschutzsicht zwei Abweichungen vom gewohnten Zustand zur Folge: Einerseits konnte die stets erforderliche
Umgang mit Datenschutz in... Der ehemalige Bundespräsident Joachim Gauck warnt davor, sich von den technologischen Entwicklungen überrollen zu lassen. Der digitale Wandel müsse vom Menschen gestaltet werden. Der Tagesspiegel
Vernehmlassung E-Patiente... eHealth ist ein Vorhaben von nationaler Bedeutung, weshalb eine Koordination notwendig ist, um zu vermeiden, dass einzelne, isolierte Projekte entstehen und sich später heraus stellt, dass diese