Die Bundesverwaltung ist abhängig von Microsoft und führt in den nächsten 2 Jahren
für knapp 15 Millionen Franken Microsoft 365 ein. Eine eingehende Prüfung habe ergeben, dass die Einführung des Cloud-Produkts möglich sei, argumentiert der Bundesrat .
Interessant dabei ist die folgende Bedingung: "Nutzerinnen und Nutzer dürfen somit keine besonders schützenswerten Daten und keine vertraulichen Dokumente in der Cloud von Microsoft speichern."
Mal mit, mal ohne Cloud ist nicht praxistauglich
Praxistauglich ist das nicht, wenn Mitarbeitende bei jedem Dokument entscheiden müssen, ob es nun in die Cloud kommt oder nicht. Ausserdem muss der Bund ein Alternativsystem in eigenen RZs betreiben, das die Speicherung ausserhalb der Public Cloud erlaubt. Auch deshalb kommt die Datenschutzkonferenz in Deutschland zum Schluss, dass Microsoft 365
datenschutzwidrig "ist und bleibt".
Allerdings ist es in der Tat richtig, dass es kaum Alternativen zu M365 gibt, die nicht ebenfalls in die Cloud führen. Punkto Verfügbarkeit (trotz
kurzzeitigen Ausfällen), Sicherheit, Service, Funktionalität und Preis sind die Pakete praktisch unschlagbar. Selber machen ist in jedem Fall teurer, komplizierter und schlimmstenfalls auch risikobehafteter. Darum entscheidet sich nicht nur der Bund für M365, sondern auch Kantone wie
Schaffhausen,
Solothurn und
Zürich.
Aktuelle Rechtslage birgt Risiken und Unsicherheit
Obwohl kein grosses Unternehmen und somit auch keine Behörde an den Hyperscalern vorbeikommt, sind Entscheide wie dieser problematisch – selbst wenn die Daten in der Schweiz liegen. Meines Wissens ist es bislang noch nie vorgekommen, dass der amerikanische Staat Zugriff auf hiesige Daten verlangt hätte… Aber bleibt das auf immer so? Bund und Kantone kaufen bei der aktuellen Rechtslage mit M365 die Katze im Sack.
Auch die Urner Ständerätin Heidi Z’graggen von der Mitte-Partei findet die Abhängigkeit von US-Techkonzernen problematisch. "Es reicht nicht aus, wenn sich die Schweiz nur auf das Setzen von Rahmenbedingungen und Anwenden digitaler Lösungen von grossen ausländischen marktbeherrschenden Unternehmen beschränkt", schreibt sie
in ihrer aktuellen Kolumne für uns.
Ich stimme der Politikerin zu. Das Setzen von Rahmenbedingungen reicht nicht aus. Es braucht ein Rahmenabkommen oder eine ähnliche Vereinbarung mit den USA, was den Zugriff auf Daten angeht, die in Schweizer oder Europäischen Rechenzentren von US-Hyperscalern liegen. Es liegt an der Politik, Rechtssicherheit zu schaffen, um das Restrisiko, das durch den Cloud-Act besteht, auszumerzen.
Obs gelingt? Ich weiss es nicht. Aber es ist, genauso wie Dienste von US-Hyperscalern, eigentlich alternativlos.