Die Cloud-Dienste des US-Konzerns Microsoft kommen je länger, je mehr auch in Behörden zum Einsatz. In der Schweiz regt sich vermehrt Widerstand. Gegen die M365-Nutzung sind in diversen Kantonen politische Diskussion entbrannt, beispielsweise in
Aargau,
Basel-Stadt,
Bern,
Genf,
Luzern,
St. Gallen und
Zürich.
Mit dem kritischen Blick auf M365 ist die Schweiz selbstverständlich nicht allein. Im Rahmen der Migrationsprojekte der schottischen Polizei und der übergeordneten schottischen Polizeibehörde hatte Microsoft Fragen zur Datenhaltung innerhalb der Landesgrenzen zu beantworten. Denn das dortige Gesetz schreibt für bestimmte vertrauliche Informationen die Datenverarbeitung innerhalb Schottlands vor.
Rechenzentren in über 100 Ländern
Das US-Unternehmen musste in seiner Antwort eingestehen, dass Daten in der Hyperscale-Infrastruktur von Microsoft in mehr als 100 Ländern verarbeitet werden könnten. Über Details zu den Datenflüssen zwischen den mehr als 100 Rechenzentrumsstandorten verweigerte der Anbieter allerdings die Aussage, wie das britische Magazin 'Computer Weekly' berichtet.
Demnach weigerte sich der Technologiekonzern auch, seine eigenen Risikobewertungen zur Übertragung von britischen Polizeidaten an andere Gerichtsbarkeiten offenzulegen. Laut dem Magazin befinden sich unter den circa 70 Staaten auch China und andere Länder, die von der britischen Regierung als "feindlich" eingestuft werden. Somit seien die schottische Polizei und die Polizeibehörde nicht in der Lage, die Datenschutzvorschriften für Strafverfolgungsbehörden einzuhalten. Die Gesetze sehen strenge Beschränkungen für die Übermittlung von Polizeidaten ausserhalb des Vereinigten Königreichs vor.
Polizei hält an M365-Migration fest
Offenbar ungeachtet der datenschutzrechtlichen Risiken halten sowohl die schottische Polizei als auch die Polizeibehörde an den Migrationsplänen fest. Dem Magazin sagte ein Sprecher der Behörde, die Organisationen würden gemeinsam an der Implementierung von Microsoft 365 arbeiten. "Wir arbeiten eng mit Partnern zusammen, um sicherzustellen, dass alle erforderlichen Datensicherheits-, Governance- und Schutz-Massnahmen getroffen werden", sagte er zu '
Computer Weekly'. Sowohl die Polizei als auch ihre Aufsichtsbehörde seien über die Standorte der Datenverarbeitung in der Microsoft-Cloud und über alle damit verbundenen Risiken informiert.
Ein Sprecher von Microsoft beteuerte auf Anfrage des Magazins, sein Unternehmen halte alle Gesetze und Vorschriften ein, die für die Bereitstellung seiner Dienstleistungen und Produkte gelten. Der Datenverarbeitung in verschiedenen Rechenzentren auf der ganzen Welt widersprach das Unternehmen auf Anfrage aber nicht.
Microsoft hat in den vergangenen Monaten und Jahren viel Geld in den Ausbau der lokalen Infrastruktur in Europa investiert. Der Konzern musste zuletzt im Juli jedoch eingestehen, dass dadurch kein echter Schutz vor der Weitergabe von Kundendaten an die amerikanische Regierung existiert. "Nein", sagte
Anton Carniaux, Head of Legal Affairs von Microsoft Frankreich, in einer Anhörung vor dem französischen Senat. Microsoft könne nicht garantieren, dass die Daten von europäischen Bürgerinnen und Bürger vor dem Zugriff der US-Regierung geschützt seien. Dabei relativierte er, dass die Daten zwar theoretisch weitergegeben werden könnten, dies aber noch nie zuvor geschehen sei.