Die St. Galler Fachstelle für Datenschutz (FDS) hat ihren Tätigkeitsbericht für das Jahr 2022 veröffentlicht. Im Fokus stand dabei die Datenbearbeitung mit Microsoft 365 und in der Cloud. Die öffentlichen Organe sind an die rechtsstaatlichen Prinzipien und Grundrechte gebunden. "Sie müssen deshalb besonders sorgfältig prüfen, welche Personendaten in einer solchen Cloud bearbeitet werden dürfen und welche nicht", schreibt die Behörde.
Vorhaben rund um Microsoft 365 sollen auch weiterhin sehr aufmerksam verfolgt werden. Es seien noch diverse komplexe Fragen zum Datenschutz zu klären, heisst es von der Fachstelle. Unter anderem muss noch Klarheit darüber geschaffen werden, welcher Kontrollverlust mit einer solchen Datenbearbeitung einhergeht oder ob zu grosse Abhängigkeiten entstehen. Dazu stellt man sich die Frage, was geschieht, wenn Vertragsbedingungen verletzt und ein Vertrag gekündigt werden muss.
Die Behörde empfiehlt deshalb, solche Vorhaben nicht ohne den Beizug der Datenschutz-Fachstelle zu realisieren. Als Beispiel wird der Fall eines Spitals aufgeführt, das seine On-Premise-Dienstleistungen durch solche aus der Cloud ablösen wollte. Die FDS verweist darauf, dass die USA als ein Land mit nicht angemessenem Datenschutzniveau gelten, weil der Cloud Act einen Zugriff durch die Behörden zulässt, auch wenn die Daten ausserhalb der Vereinigten Staaten gespeichert sind.
Deshalb sei es wichtig, dass nicht alle Daten in einer solchen Cloud bearbeitet werden. Bei der Auslagerung sei eine Klassifizierung der Daten besonders wichtig, um beurteilen zu können, welche Daten ausgelagert werden dürfen und welche nicht. Die Datenschutzbehörde schlug deshalb vor, dass Microsoft die Daten nur für Zwecke der Auftragserfüllung zugunsten des Spitals nutzen darf. Die Nutzung zu eigenen Zwecken bleibt Microsoft verwehrt. So zumindest soll es das Vertragswerk vorsehen.