Microsoft 365 erobert die Verwaltung – doch nicht alle haben Freude daran

Die US-amerikanische Bürosoftware Microsoft 365 bietet viele praktische Funktionen, löst aber Fragen punkto Datenschutz aus. In der öffentlichen Verwaltung hat die Cloud-Lösung jedoch längst Einzug gehalten. Kantonsrätinnen und Kantonsräte sehen dabei Risiken. Microsoft nimmt gegenüber Rathuus Stellung.

Viele Mitarbeitende der Stadt und des Kantons Zürich arbeiten schon lange damit. Und Angestellte unzähliger Unternehmen in der Schweiz sowieso. Kein Wunder, Microsoft 365 bietet für die Nutzerinnen und Nutzer nützliche Funktionen, etwa das bekannte Microsoft Office mit den Büroprogrammen Word, Outlook, Powerpoint oder Excel. Doch im Gegensatz zu früher, als man noch CDs und später DVDs kaufen sowie installieren musste, läuft heute alles viel praktischer über digitale Downloads oder Cloud-Abonnements.

Dank der Cloud – zu Deutsch Wolke – können Daten und Programme auf Servern irgendwo auf der Welt gespeichert werden. Der Vorteil: Man kann von verschiedenen Geräten darauf zugreifen. Der Nachteil: Die Daten liegen nicht mehr nur auf dem eigenen Computer, sondern bei einem Cloud-Anbieter, was aus Sicht des Datenschutzes ein Risiko sein kann. Insbesondere, wenn der Dienst von einem ausländischen Unternehmen angeboten wird – in diesem Fall vom US-amerikanischen Hard- und Softwareentwickler Microsoft.

US-Behörden könnten auf Daten zugreifen

Microsoft untersteht dem Cloud-Act (Clarifying Lawful Overseas Use of Data Act) der USA, also der Gesetzgebung des US-Kongresses. Dieser erlaubt es amerikanischen Behörden, auf Daten von US-Firmen zuzugreifen – unabhängig davon, wo diese Daten auf der Welt gespeichert sind. Es gibt zwar ein Abkommen zwischen den USA und der Schweiz (Swiss-U.S. Data Privacy Framework), das den Datenschutz verbessern soll. Allerdings ist der Cloud-Act ein Gesetz, nicht nur ein Abkommen. Die Gefahr bleibt also bestehen, dass US-Behörden auf Daten europäischer Nutzerinnen und Nutzer zugreifen können.

Die Datenschutzbeauftragte des Kantons Zürich hat einen Leitfaden zur Nutzung von Microsoft 365 für Gemeinden erstellt. Doch Politikerinnen und Politiker von links bis rechts haben trotzdem Bedenken, wenn es um die Nutzung der Cloud-Lösung geht. Selma L’Orange Seigo (Grüne), Tobias Langenegger (SP), Marc Bochsler (SVP), Tina Deplazes (Die Mitte), Martin Huber (FDP) und Markus Schaaf (EVP) haben im Kantonsrat kürzlich eine Anfrage eingereicht.

„Die Anfrage wurde tatsächlich durch die jüngsten Entwicklungen ausgelöst“, sagt Kantonsrätin Selma L’Orange Seigo (Grüne).

Politikerinnen und Politiker haben Bedenken

Die Anfrage stützt sich auch auf den Regierungsratsbeschluss Nr. 542/2022. Darin spricht der Kanton das Problem an, dass die US-amerikanische Strafverfolgung Microsoft zur Offenbarung von spezifischen Daten auffordern könnte. Der Schluss der Regierung: „In der Praxis ist ein derartiges Szenario höchst unwahrscheinlich.“

Die Politikerinnen und Politiker wollen nun unter anderem vom Regierungsrat wissen, ob die kantonale Verwaltung noch ordnungsgemäss funktionieren könnte, wenn Microsoft 365 seine Dienstleistungen einschränken oder sogar sistieren würde. „Ist der Regierungsrat der Ansicht, dass die Risikoanalyse bezüglich Microsoft 365 aus dem Jahr 2021 immer noch angemessen ist und die tatsächlichen Risiken widerspiegelt?“, fragen sie ausserdem in ihrem Vorstoss. Und sie möchten Auskunft dazu, ob der Regierungsrat plant, verstärkt Wert auf Datenhoheit und Unabhängigkeit von amerikanischen beziehungsweise ausländischen Tech-Firmen zu legen.

Doch warum kommt die Anfrage gerade jetzt und in welchem Zusammenhang steht sie zu den aktuellen politischen Verschlechterungen in der Beziehung zwischen Europa und den USA? „Die Anfrage wurde tatsächlich durch die jüngsten Entwicklungen ausgelöst“, sagt Selma L’Orange Seigo auf Anfrage von Rathuus. Sie ist die Erstunterzeichnerin der Anfrage.

„Dass die USA nicht mehr der zuverlässige Partner sind, der sie jahrzehntelang waren, scheint mir klar“, erklärt die Präsidentin der Grünen Kanton Zürich. Es sei nur noch nicht klar, wie das neue Verhältnis aussehen werde. US-Präsident Donald Trump habe in den ersten Wochen seiner Amtszeit unzählige „executive orders“ unterschrieben, von denen mehrere gegen Verfassung und Gesetze seines eigenen Landes verstossen würden. „Ich würde mich daher nicht nur auf Verträge verlassen“, findet die Kantonsrätin.

Grünen-Politikerin warnt vor erpressbarem Kanton

L’Orange Seigo sieht zwei Hauptrisiken: „Das eine ist, dass ein unerlaubter Zugriff auf Daten erfolgt, das andere, dass die Arbeit in der Verwaltung lahmgelegt wird.“ Bezüglich Daten sei es zumindest beim Kanton so, dass gemäss dem Amt für Informatik keine sensiblen Daten in der Cloud gespeichert würden. „Bei Gemeinden habe ich jedoch schon gehört, dass sie auch Daten von zum Beispiel Sozialbehörden in der Cloud speichern“, erklärt die Politikerin.

Ausserdem problematisch ist für die Kantonsrätin die starke Abhängigkeit von Microsoft, „die den Kanton ein Stück weit erpressbar macht“. Microsoft könnte laut L’Orange Seigo seinen Dienst einschränken oder sogar ganz einstellen, was die Verwaltung mutmasslich nahezu lahmlegen würde, denn der digitale Arbeitsplatz basiere auf Microsoft 365. „Ich schätze diese Gefahr im Moment nicht als gross ein, aber sie gehört meiner Meinung nach zu einer seriösen Risikoanalyse dazu.“

Die Grünen-Politikerin nutzt seit vielen Jahren das Betriebssystem Linux, welches von Menschen auf der ganzen Welt weiterentwickelt wird. Für Texte, Tabellenkalkulation und so weiter verwendet die Stadtzürcherin die Bürosoftware Libre Office, für E-Mails, Kalender und Kontakte im Moment das Programm Thunderbird. „Zudem habe ich meine private E-Mail-Adresse bei kolabnow.com und kann so Mails, Kalender und Kontakte zwischen verschiedenen Geräten synchronisieren“, sagt L’Orange Seigo. Daten synchronisiere sie mit einer eigenen kleinen Cloud, die sie zu Hause habe und die mit der selbst gehosteten Cloud-Software Seafile laufe.

„Wir haben umfangreiche technische, vertragliche und organisatorische Massnahmen getroffen, um Daten zu schützen und sicherzustellen, dass wir bei der Beantwortung von Anfragen von Strafverfolgungsbehörden die geltenden Gesetze einhalten“, sagt ein Microsoft-Sprecher.

Microsoft nimmt Stellung

Microsoft selbst setzt sich laut eigener Aussage „intensiv für den Datenschutz unserer Kunden und die Wahrung ihrer Privatsphäre ein“. Ein Microsoft-Sprecher sagt gegenüber Rathuus: „Wir haben umfangreiche technische, vertragliche und organisatorische Massnahmen getroffen, um Daten zu schützen und sicherzustellen, dass wir bei der Beantwortung von Anfragen von Strafverfolgungsbehörden die geltenden Gesetze einhalten.“ Der IT-Konzern hat seinen Schweizer Sitz im Business-Quartier Circle am Flughafen Zürich.

Der Sprecher verweist auf das Datenschutzprogramm „Defending Your Data“. Dieses unterstreiche das Bekenntnis, jede behördliche Anfrage nach Kundendaten aus dem öffentlichen Sektor oder von Unternehmen – unabhängig davon, von welcher Behörde sie komme – mit Hilfe sämtlicher Rechtsmittel anzufechten, sofern es eine rechtmässige Grundlage dafür gebe.

„Dazu kommen verschiedene Schutzmechanismen, welche die Kunden anwenden können“, erklärt der Microsoft-Sprecher: Er zählt die sogenannte „Bring your own key“-Verschlüsselung auf, wobei die Hoheit über den Schlüssel bei der Behörde verbleibe, der Funktionsumfang der Anwendung, zum Beispiel von Microsoft 365, aber nicht eingeschränkt werde. Ausserdem würden auch organisatorische Massnahmen dazugehören, beispielsweise dass kein Microsoft-Mitarbeiter allein die Möglichkeit habe, auf Kundendaten zuzugreifen. 

Man führe ausserdem kontinuierlich Gespräche mit politischen Entscheidungstragenden auf allen Ebenen unseres föderalen Systems, seien das Einzelpersonen, Parteien, Datenschutzbehörden oder Regulatoren. „Wir zeigen transparent und detailliert auf, wie die Daten geschützt sind und wie man sich ein Bild verschaffen kann, dass unsere Erklärungen korrekt sind“, sagt der Mediensprecher. Dies, damit die Politikerinnen und Politiker informiert beurteilen könnten, ob die Schutzmassnahmen ihren Anforderungen entsprechen würden. 

Übrigens: Während die Daten von geschäftlichen Nutzerinnen und Nutzern wie Behörden oder Verwaltungen in Schweizer Rechenzentren gespeichert werden, gilt das nicht für die Daten von privaten Usern der Microsoft-365-Cloud. Diese werden laut dem Microsoft-Sprecher „im globalen Netzwerk unserer Rechenzentren“ gesichert.