Datenschutzbeauftragte kritisieren Microsoft-365-Entscheid des Zürcher Regierungsrates

Im Frühling dieses Jahres hat der Regierungsrat des Kantons Zürich die Nutzung von Microsoft 365 für die Verwaltung bewilligt. Der Beschluss gilt für sämtliche der kantonalen IKT-Strategie unterstehenden Behörden sowie die Kantonspolizei, wie Sie hier nachlesen können.

Die Entscheidung des Regierungsrates ist nicht unumstritten, wie eine Ende September veröffentlichte Stellungnahme von Privatim, der Konferenz der Schweizerischen Datenschutzbeauftragten, zeigt. Die Organisation warnt insbesondere davor, den Regierungsratsbeschluss als "Freipass für die Einführung von Microsoft 365 in der Verwaltung" anzusehen. Vielmehr habe der Rat die Aufgabe der Rechtsgrundlagenanalyse an die einzelnen öffentlichen Organe delegiert.

Umfassende Risikoanalyse fehlt

Auf Kritik stösst die Begründung des regierungsrätlichen Entscheids. Sie wirke "ausgesprochen unausgewogen", schreibt Privatim. So stelle der Regierungsrat etwa fest, bei Cloud-Lösungen bestünden grundsätzlich nicht höhere Risiken für die Informationssicherheit und den Datenschutz als bei On-Premises-Lösungen. Zudem seien die Risiken der Offenlegung vertraulicher Informationen durch unerlaubte und illegale Zugriffe bei einer Cloud-Lösung tendenziell eher geringer, als wenn die Daten on-premises gehalten werden.

"Diese Aussagen sind angesichts der diversen zusätzlichen Risiken nicht nachvollziehbar", kommentiert Privatim. Zu kurz kommt laut der Organisation etwa der Aspekt des Kontrollverlustes. Hier liege es in der Pflicht der öffentlichen Organe, die einzelnen Risiken für die Grundrechte der betroffenen Personen zu eruieren und die angemessenen Massnahmen zu treffen, um den Kontrollverlust zu minimieren. Das Restrisiko müsste der Regierungsrat übernehmen, schreibt Privatim unter Berufung auf ein im Februar 2022 veröffentlichtes Merkblatt.

Der Organisation fehlen nicht nur Risikoanalyse und -übernahme, sondern auch eine Begründung dafür, "durch welche unverzichtbaren Vorteile des Cloud-Dienstes" die neuen Risiken aufgewogen würden.

Cloud Act bleibt illegal

Weiter thematisiert Privatim auch den möglichen Zugriff US-amerikanischer Strafverfolgungsbehörden auf die in der Cloud gespeicherten Daten, gestützt auf den dortigen Cloud Act. In seinem Beschluss hatte der Zürcher Regierungsrat argumentiert, ein solches Szenario sei in der Praxis höchst unwahrscheinlich; ausserdem habe Microsoft – laut eigener Auskunft vom Dezember 2021 – im Bereich der öffentlichen Hand noch nie Daten europäischer Kunden offenlegen müssen.

Ein solcher Zugriff sei in der Schweiz widerrechtlich und verletze den Datenschutz, hält Privatim dagegen, und zwar unabhängig von seiner statistischen Wahrscheinlichkeit. Die Auskunft von Microsoft sei zudem wenig repräsentativ, "weil die öffentlichen Organe erst jetzt daran sind, die Auslagerung von Daten in die Cloud zu prüfen, so dass Zugriffe auf deren Daten bisher noch gar nicht vorkommen konnten."

Alles in allem sei die Begründung des Regierungsratsbeschlusses keinesfalls für die Bewertung einer Cloud-Lösung wie Microsoft 365 ausreichend, fasst Privatim zusammen. Als Richtlinie für öffentliche Organe zur Beurteilung und Einführung von Cloud-Lösungen gelte das von Privatim herausgegebene "Merkblatt Cloud-spezifische Risiken und Massnahmen" und dessen Anhänge.

Kritisiert wurde der Zürcher Regierungsrat auch von Rechtsanwalt Martin Steiger. Er bemängelt, dass der Kanton wesentliche Teile der abgeschlossenen Verträge geheimhält. Mehr dazu lesen Sie hier.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.