Deutsche und auch Schweizer Behörden wählen je länger, je mehr Microsoft 365 für die Büroautomation. Am jüngsten Digital-Gipfel der deutschen Bundesregierung in Frankfurt am Main wurde die Digitale Souveränität Deutschlands zur Chefsache erklärt, heisst es in einem
Blogbeitrag der deutschen Gesellschaft für Informatik (GI). Die Informatiker kritisieren, dass mit der Auslagerung in die Microsoft-Cloud zunehmend auch sensible Bürgerdaten in die Obhut des Technologie-Konzerns wanderten. Damit werde die "besorgniserregende Abhängigkeit von Microsoft nicht nur zementiert, sondern weiter ausgebaut".
Der Präsidiumsarbeitskreis "Digitale Souveränität" und der Arbeitskreis "Datenschutz und IT-Sicherheit" der Gesellschaft für Informatik sehen darin unvertretbare Risiken für den Schutz der Daten von Bürgerinnen und Bürgern sowie von Unternehmen. Sie warnen vor dem goldenen Microsoft-Käfig.
Rechtsunsicherheit und Preis-Monopol
Die Frage nach dem geltenden Datenschutzrecht könne lediglich auf dem Papier geklärt werden. Sind die Daten einmal auf Microsoft-Servern gespeichert, hat der Provider die volle Kontrolle. Dann gelten für die Bürgerdaten das deutsche und das US-amerikanische Recht, so die Experten.
Sie beklagten auch, dass es im professionellen Umfeld zu Microsoft kaum Alternativen gebe. Die Suite Microsoft 365 sei nahezu konkurrenzlos. Damit habe der US-Konzern auch die Preisgestaltung in der Hand. Mit der Konsequenz willkürlicher Preiserhöhungen. Gemäss einer
Analyse (PDF) des Beratungsunternehmens PwC hat die deutsche Bundesregierung im Jahr 2022 rund 770 Millionen Euro für Software-Lizenzen ausgegeben. 2023 waren es schon mehr als 1,2 Milliarden. Das entspreche einer Zunahme von rund 57%.
Datenschutzbedenken in der Schweiz
Hierzulande kommen auf die
Bundesverwaltung sowie die Kantone
Luzern,
Schwyz,
Solothurn,
Thurgau und
Zürich vergleichbare Szenarien zu. Sie alle haben sich in diesem Jahr für den Wechsel in die Microsoft-Cloud entschieden. Die Versprechungen seitens Microsoft Schweiz, die Behördendaten würden in Schweizer Rechenzentren gespeichert, genügten den Datenschützern für das grüne Licht für die Cloud-Projekte.
Das Versprechen der Datenhaltung innerhalb der Landesgrenzen ist allerdings nur die halbe Wahrheit, betonte zum Beispiel Zürichs Datenschützerin Dominika Blonski im
Interview mit inside-it.ch. Nach ihren Worten ist die Nutzung von Software wie Microsoft 365 eine "Auslagerung der Datenbearbeitung". Diese könne nur dann datenschutzkonform sein, wenn je nach Konstellation sichergestellt werden könne, dass der Auftragnehmer keinen Zugriff auf die Daten hat. Das sei zum Beispiel mit Datenverschlüsselung sicherzustellen, schlug sie vor.
Die Mitarbeitenden in der Pflicht
Der
Kanton Luzern nimmt bei der Datenbearbeitung in der Microsoft-Cloud seine Angestellten in die Pflicht: Im Rahmen des anstehenden Migrations-Projekts würden die Mitarbeitenden entsprechend geschult, sensibilisiert und technisch unterstützt. Denn für "geheim" klassifizierte Informationen und für Informationen, die aus rechtlichen Gründen nicht in einer Cloud bearbeitet werden dürfen, sei die Nutzung von Microsoft 365 nicht gestattet.
Bei den Fragen von Kantonsrat Fabrizio Misticoni (Grüne) zur Datensicherheit und Datensouveränität wiegelte der Luzerner Regierungsrat ab: "Die in den Microsoft 365 Cloud Services bearbeiteten Daten werden nur in den Schweizer Rechenzentren von Microsoft gespeichert und ausschliesslich innerhalb der EU bearbeitet, wobei in Einzelfällen Datentransfers in die USA vorbehalten bleiben." Sämtliche in der Cloud gespeicherten Daten würden mit einem eigenen, von Microsoft unabhängigen Backup gesichert.
Microsoft versus Dienststelle Informatik
Der scheidende Luzerner Datenschützer Matthias Schönbächler hatte den Microsoft-365-Entscheid allerdings in seinem letzten Jahresbericht kritisiert: "Der Datenschutzbeauftragte hat in der Vergangenheit bereits mehrfach darauf hingewiesen, dass sich die Verwaltung des Kantons Luzern mit der breiten Einführung und Nutzung von Microsoft 365 in eine Abhängigkeit von noch nie dagewesenem Ausmass begibt."
Kantonsrat Misticoni schrieb in seiner Anfrage weiter, die Crowdstrike-Panne und die darauf folgenden Abstürze von Microsoft-Systemen hätten gezeigt, "wie problematisch die Abhängigkeit von einem einzigen Monopol-Anbieter sein kann". Dazu antwortet das Luzerner Finanzdepartement, Microsoft sei "mit seinen grossen personellen Ressourcen schneller in der Lage, die Funktionsfähigkeit eines Cloud-Services wiederherzustellen, als es die Dienststelle Informatik bei vergleichbaren, selbst betriebenen Anwendungen wäre". Offenbar begibt sich auch die Schweiz in den goldenen Microsoft-Käfig.