Immer mehr Kantonsverwaltungen entscheiden sich dafür, die Software Microsoft 365 einzusetzen. Mit ihr ist es möglich, von jedem Computer aus, der ans Internet angeschlossen ist, ortsunabhängig zu arbeiten. Die Daten werden in den Rechenzentren des US-Konzerns Microsoft gespeichert und können von überall abgerufen werden.
Im März gaben die Regierungen der Kantone Zug und Zürich grünes Licht für die Anwendung von Microsoft 365. Freiburg, Nidwalden, Obwalden und Schaffhausen arbeiten bereits mit Microsoft 365. Andere Kantone prüfen einen Einsatz – etwa Aargau, Solothurn, Basel-Stadt, Graubünden oder Uri.
Der Einsatz von Microsoft 365 in Verwaltungen ist heikel. Denn die Kantone speichern viele ihrer Dokumente in der Cloud von Microsoft. Darunter können auch höchst persönliche Informationen von Bürgern sein – Steuer- oder Sozialhilfedaten. Gemäss Gesetz sind Bund und Kantone an das Amtsgeheimnis gebunden. Sie müssen also alle Daten der Bürger vertraulich behandeln. Und sie müssen sicherstellen, dass Drittpersonen oder andere Firmen die Daten nicht bearbeiten oder weitergeben.
Microsoft liefert Daten von Schweizern an US-Behörden
Doch das können die Kantone nicht garantieren, wenn sie Microsoft 365 nutzen. Denn Microsoft unterliegt als US-Firma dem US-Cloud-Act. Dieses Gesetz verpflichtet US-Firmen, auf Anfrage Kundendaten an die Behörden herauszugeben. Die Firma Microsoft legte in einem Bericht offen, dass sie im letzten Jahr in 966 Fällen Angaben von Schweizer Kunden an die US-Behörden weitergeleitet habe, zum Beispiel E-Mail-Adressen oder Kreditkarteninformationen.
Die Kantone sagen, sie hätten mit Microsoft Verträge abgeschlossen. So würden alle Daten in der Schweiz gespeichert. Zudem habe sich Microsoft verpflichtet, Anfragen möglichst abzuwehren. Doch der Thurgauer Datenschutzbeauftragte Fritz Tanner sagt: «Wir können mit Microsoft zwar Vertraulichkeit vereinbaren, diese aber nicht durchsetzen.» Sein Fazit: «Die Kantone sind nicht berechtigt, Microsoft 365 zum Bearbeiten von Personendaten einzusetzen.» Auch für den Datenschutzexperten Hernani Marques vom Chaos Computer Club ist klar: «Auf vertragliche Zusagen von Microsoft ist kein Verlass. Vor allem dann nicht, wenn es um diplomatische und wirtschaftliche Spionage geht.»
Der Kanton Zürich liess eine Risikobeurteilung von Microsoft 365 von Juristen und IT-Experten durchführen. Gestützt auf den Bericht hält der Regierungsrat einen Zugriff durch die US-Behörden für «höchst unwahrscheinlich». Marques weist aber darauf hin, dass Datenzugriffe der US-Behörden in der Regel geheim erfolgten. Für Matthias Schönbächler, Datenschutzbeauftragter des Kantons Luzern, handelt es sich bei einem Zugriff durch US-Behörden um einen Gesetzesverstoss, da das Amtsgeheimnis verletzt werde.
Wollen die Schweizer Behörden unabhängig bleiben, müssten sie Daten lokal bearbeiten oder eine eigene Cloud schaffen. Fribourg, Genf, Jura, Neuenburg, Tessin, Waadt und Wallis untersuchen zurzeit, ob eine eigene Cloud zweckmässig wäre.
