Der Regierungsrat Zürich hat beschlossen, den Einsatz der Cloud-Lösung Microsoft 365 in der kantonalen Verwaltung zuzulassen. Dies gilt laut dem entsprechenden Beschluss für sämtliche der IKT-Strategie unterstehenden Einheiten sowie die Kantonspolizei.

Im Rahmen der kantonalen IT-Strategie wird eine standardisierte IKT-Grundversorgung bereitgestellt. Die Erweiterung der bestehenden On-Premises-Anwendungen durch Cloud-Lösungen würden eine "flexible, skalierbare, performante und sichere Infrastruktur" ermöglichen, heisst es vom Regierungsrat.

Mit Microsoft 365 stehe eine Cloud-Lösung mit einer Breite an Diensten zur Verfügung. Die wichtigsten Dienste seien Exchange Online als Cloud-Alternative zur On-Prem-Variante Microsoft Exchange sowie Microsoft Teams, das ausschliesslich als Cloud-Service angeboten werde.

Im Rahmen der IKT-Grundversorgung werde der Kanton Zürich Leistungen aus den schweizerischen Rechenzentren von Microsoft beziehen und dort Daten speichern, heisst es weiter.

Der Regierungsrat geht in der Publikation auch auf Fragen zur IT-Sicherheit und zum Datenschutz im Zusammenhang mit Cloud-Lösungen ein. Im Vergleich zu On-Premises-Lösungen würden bei Cloud-Lösungen grundsätzlich keine höheren Risiken bestehen, aber das Risikoprofil unterscheide sich.

Der Kanton, vertreten durch das Amt für Informatik, habe im Juni 2021 Verträge mit Microsoft abgeschlossen. Diese bilden den Rahmen für den Bezug von M365-Services. Grundlage des Vertrags sei ein Rahmenwerk, das die Schweizerische Informatikkonferenz (SIK) mit Microsoft für die öffentlichen Verwaltungen vereinbart habe. Die Verhandlungen seien von der Datenschutzbeauftragen des Kantons begleitet worden. Das Vertragswerk sei mit einer von der Datenschutzbeauftragten gestützten Ergänzung abgeschlossen worden.

Weitere Bedenken bestehen im Zusammenhang mit ausländischen Behörden, dem Lawful Access: Softwareanbieter können unter bestimmten Voraussetzungen von Behörden zur Herausgabe von Kundendaten gezwungen werden. Ein solcher Zugriff stelle – genau wie ein illegaler Zugriff durch Dritte – eine unrechtmässige Datenbearbeitung im Sinne des Gesetzes über die Information und den Datenschutz (IDG) dar, heisst es im Protokoll der Regierung.

Im Falle von Microsoft schaffe der amerikanische Cloud Act die entsprechende rechtliche Grundlage. Die US-Strafverfolgung könnte damit Microsoft zur Offenbarung von spezifischen Daten auffordern.

In der Praxis, so der Schluss der Regierung, sei ein solches Szenario jedoch höchst unwahrscheinlich. Gemäss einer Auskunft von Microsoft Ende letzten Jahres sei es im Rahmen des Cloud Acts noch nie zur Offenlegung von Daten europäischer Kunden durch Microsoft gekommen.

Mit Blick auf Datenschutz und Informationssicherheit müsse das Cloud-Angebot und die Risiken überwacht und neu beurteilt werden. Um diesem Umstand Rechnung zu tragen, sieht der Kanton als weitere Massnahme die Stelle eines Cloud-Sicherheitsbeauftragten vor.

Zu den Aufgaben der Person gehören laut dem Protokoll des Regierungsrats die Sicherstellung der Cloud Compliance, die Auditierung bestehender Cloud-Lösungen und die Überwachung der Risikosituation. Der oder die Cloud-Sicherheitsbeauftragte soll die Direktionen bei Cloud-Vorhaben beraten und Massnahmen zur Minimierung des Risikos erarbeiten und umsetzen.