Im Frühling hat die Zürcher Kantonsregierung in einem viel beachteten Entscheid den Einsatz von M365 genehmigt. Später haben sich weitere Kantone wie Schaffhausen und Solothurn ebenfalls für die Cloud-Lösung aus dem Hause Microsoft entschieden.

Die Konferenz der schweizerischen Datenschutzbeauftragten hat sich einer heute veröffentlichten Stellungnahme zu den Cloud-Entscheiden, insbesondere zu jenem in Zürich geäussert – die Stellungnahme habe aber eine Wirkung über den Kanton Zürich hinaus, schreiben die Datenschützer

Es liege in der Pflicht der öffentlichen Organe, die Risiken für die Grundrechte der betroffenen Personen zu eruieren und angemessene Massnahmen zu treffen, um den Kontrollverlust zu minimieren, heisst es in dem Beitrag. Zudem sei darzulegen, durch welche unverzichtbaren Vorteile des Cloud-Dienstes gegenüber einer gleichwertigen On-Premises-Lösung sowie gegenüber risikoärmeren Produkten anderer Anbieter die neuen Risiken aufgewogen würden.

Von Privatim heisst es: "Eine solche umfassende Risikoanalyse und -übernahme sowie eine nachvollziehbare Begründung erfolgen hier aber nicht." Zum laut Zürcher Regierung höchst unwahrscheinlichen "Lawful Access", also durch den Cloud Act legitimierten Zugriff auf gespeicherte Daten, schreibt Privatim: Die publizierten Informationen dazu seien nicht sehr repräsentativ, weil "die öffentlichen Organe erst jetzt daran sind, die Auslagerung von Daten in die Cloud zu prüfen, so dass Zugriffe auf deren Daten bisher noch gar nicht vorkommen konnten". Generell sei bei Prognosen gestützt auf die Vergangenheit Vorsicht angebracht, "namentlich wenn geopolitische Veränderungen und andere aussergewöhnlichen Ereignisse ausser Acht gelassen werden", so die Datenschützer.

Der Bericht schliesst mit den markigen Worten, dass der Entscheid des Regierungsrates des Kantons Zürich "kein Freipass für die Einführung von M365 in der Verwaltung ist." So sei die Begründung des Entscheids der Regierung keinesfalls für die Bewertung einer Cloud-Lösung wie M365 ausreichend.

Nichtsdestotrotz erkennt Privatim an, dass der Einsatz von M365 unter datenschutzrechtlichen Bestimmungen möglich sei. Unter bestimmten Voraussetzungen seien ebenso Datenbearbeitungen durch Dritte – auch in Cloud-Lösungen – zugelassen.