Besondere Risiken für die Grundrechte: M365
Öffentliche Organe dürfen nur Personendaten bearbeiten, wenn dies notwendig ist, um die gesetzlichen Aufgaben zu erfüllen. Dabei sind sie an die Grundrechte gebunden. Jede Bearbeitung von Personendaten ist ein Eingriff in die Grundrechte. Bevor Cloud-Dienste eingesetzt werden können, muss ein öffentliches Organ deshalb nicht nur abklären, ob diese Bearbeitung der Personendaten einer gesetzlichen Aufgabe dient, sondern auch, ob der Eingriff in die Grundrechte verhältnismässig ist.
Bei allen Cloud-Lösungen gelten die gleichen datenschutzrechtlichen Vorgaben. So dürfen keine gesetzlichen Schweigepflichten entgegenstehen, etwa das Arztgeheimnis oder das Steuergeheimnis. Zudem bleibt das öffentliche Organ immer für seine Personendaten verantwortlich, auch wenn die Bearbeitung in die Cloud ausgelagert wird. Es muss also sicherstellen, dass auch in diesem Fall der Datenschutz gewährleistet ist.
CLOUD Act und das Völkerrecht
Viele Cloud-Anbieter sind US-amerikanische Unternehmen. Sie fallen unter den Clarifying Lawful Overseas Use of Data Act, kurz CLOUD Act. US-Behörden können diese Unternehmen dazu verpflichten, Personendaten herauszugeben, auch wenn diese Daten ausserhalb der USA gespeichert sind. Dadurch werden die Bestimmungen der internationalen Rechtshilfe umgangen, die Teil des Völkerrechts ausmachen. Der Rechtshilfeweg ist zudem ein wesentlicher Eckpfeiler des Schweizer Rechtsstaats. Seine Umgehung verstösst gegen den Ordre public.
Das Netzwerk Egovpartner berät Gemeinden und Städte bei der Digitalisierung. Es liess untersuchen, ob und wie öffentliche Organe im Kanton Zürich M365 des US-amerikanischen Unternehmens Microsoft grundrechtskonform einsetzen können.
Die Gutachter Professor Dr. iur. Markus Schefer, Staatsrechtsprofessor der Universität Basel, und Dr. iur. Philip Glass, Lehrbeauftragter der Universität Basel, kommen zum Schluss, dass die Speicherung von Personendaten durch M365 in der Cloud einen schwerwiegenden Eingriff in das Grundrecht auf informationelle Selbstbestimmung darstellt. Die Daten sämtlicher Personen im Zuständigkeitsbereich des öffentlichen Organs werden durch den Einsatz dieser Cloud-Lösung auf Vorrat zugänglich für US-Behörden. Das öffentliche Organ verliert die Kontrolle über die Daten. Es kann den Anspruch auf Schutz der Betroffenen vor Missbrauch ihrer persönlichen Daten, wie er in der Bundesverfassung festgelegt ist, nicht mehr sicherstellen.
Die Gutachter schreiben, die Situation werde dadurch erschwert, dass keine Alternativen zu M365 geprüft werden. Es entstehe eine Abhängigkeit der schweizerischen Behörden von Microsoft. Weiter wiesen die Gutachter Egovpartner darauf hin, dass kein ausreichender rechtlicher Rahmen bestünde, der für eine Auslagerung in die Cloud eines US-Unternehmens ausreichen würde.
Diese Einschätzungen decken sich mit denjenigen der Datenschutzbeauftragten.
Die Daten sämtlicher Personen im Zuständigkeitsbereich des öffentlichen Organs werden durch den Einsatz dieser Cloud-Lösung auf Vorrat zugänglich für US-Behörden.
Eine Rechtsgrundlage für digitale Basisdienste schaffen
Die Staatskanzlei erarbeitete einen Entwurf für die Rechtsgrundlagen von digitalen Basisdiensten des Kantons. Das Gesetz über digitale Basisdienste (DigiBasis) soll Regelungen enthalten zur elektronischen Identifikation, zum elektronischen Webzugang des Kantons «Zürikonto» sowie zum digitalen Arbeitsplatz der Mitarbeitenden von öffentlichen Organen im Kanton Zürich.
Die Datenschutzbeauftragte wurde im Rahmen der Arbeiten am Entwurf von DigiBasis konsultiert und konnte vorab wichtige Punkte zum Datenschutz einbringen. Sie wies früh auf die Notwendigkeit zur Regelung der Rahmenbedingungen für die Auslagerung der Datenbearbeitungen beim digitalen Arbeitsplatz in die Cloud von US-amerikanischen Unternehmen hin. Dazu gehört beispielsweise, dass eine Auslagerung der Bearbeitung von besonderen Personendaten in die Microsoft Cloud nicht möglich ist, solange das Unternehmen Zugriff auf die Daten nehmen kann.
Diese Regelung muss für sämtliche öffentlichen Organe im Kanton Zürich gelten, also nicht nur für die kantonale Verwaltung und die Gemeinden, sondern etwa auch für die Hochschulen oder die Spitäler. Diese und weitere Punkte brachte die Datenschutzbeauftragte auch in ihrer Vernehmlassungsantwort zu DigiBasis ein.
M365 bei Gemeinden
Im Jahr 2023 legten verschiedene Gemeinde- und Stadtverwaltungen ihr Projekt zur Einführung von M365 der Datenschutzbeauftragten zur Vorabkontrolle vor. Sie zeigte auf, dass die Verwendung einer Cloud immer eine Auslagerung einer Bearbeitung ist. Bei allfälligen Grundrechtsverletzungen bleiben die Gemeinden verantwortlich.
Durch die Nutzung von M365 erhält Microsoft Einsicht in diese Personendaten und muss sie auf Anordnung einer US-Behörde bekannt geben, da das US-Unternehmen dem CLOUD Act untersteht. Gemeinden und ihre Mitarbeitenden bearbeiten besondere Personendaten sowie solche, die unter gesetzlichen Geheimnispflichten stehen, wie das Steuer- oder Sozialhilfegeheimnis. Wenn diese mit M365 in der Cloud bearbeitet werden, besteht eine besondere Gefährdung der Grundrechte.
Eine Liste von Sozialhilfeempfängerinnen und -empfängern darf deshalb nur in der Excel-Cloud-Variante geführt werden, wenn die Personendaten verschlüsselt werden und das Schlüsselmanagement bei den Gemeinden bleibt. Dasselbe gilt, wenn eine Steuerveranlagungsverfügung in Microsoft Exchange Online abgelegt werden soll.
Die Datenschutzbeauftragte informierte die Gemeinden auch über die Verwendung der Rahmenverträge der Schweizerischen Informatikkonferenz (SIK) mit Microsoft. Der Rahmenvertrag kann allerdings nur ab 250 Nutzerinnen und Nutzern eingesetzt werden.