Viele Gemeinden planen im Rahmen ihrer Digitalisierungsstrategie den Einsatz von Microsoft 365 (M365). Mit der Nutzung dieser Dienstleistungen werden Daten in einer Cloud bearbeitet. Dies stellt eine Auslagerung dar. Zudem untersteht das amerikanische Unternehmen Microsoft dem CLOUD Act der USA. Die Datenschutzbeauftragte hat einen Leitfaden erstellt, mit dem die Gemeinden Schritt für Schritt die datenschutzrechtlich notwendigen Punkte für die Nutzung von M365-Applikationen prüfen können.
Der Leitfaden bringt Klarheit über die Anforderungen und die Möglichkeiten bei der Auslagerung von besonderen Personendaten sowie von Daten unter besonderen Amtsgeheimnissen oder dem Berufsgeheimnis im Anwendungsbereich des CLOUD Act. Diese Daten sind so zu verschlüsseln, dass der Anbieter keinen Zugang zu den Daten erhält ohne das Zutun der Gemeinde.
Bei der Erstellung des Leitfadens stand die Datenschutzbeauftragte im engen Austausch mit Egovpartner, der eigenständigen Zusammenarbeitsorganisation von Gemeinden, Städten und dem Kanton Zürich.