Viele Gemeinden würden eine Einführung von Microsoft 365 im Rahmen ihrer Digitalisierungsstrategie planen, schreibt die Zürcher Datenschutzbeauftragte. Sie hat deshalb einen neuen
Leitfaden (PDF) publiziert, der Gemeinden bei der Einführung und datenschutzkonformen Nutzung von Microsoft 365 unterstützen soll.
Mit der Einführung von Microsoft 365 werden einige Daten nicht mehr auf eigenen Servern, sondern in der Microsoft Cloud bearbeitet und gespeichert. Dabei handelt es sich im juristischen Sinn um eine Auslagerung, heisst es von der Datenschutzbeauftragten. Dies sei rechtlich möglich. Es müsse allerdings beachtet werden, dass die Gemeinde trotz dieser Auslagerung für die Daten verantwortlich bleibt.
Zum Leitfaden gibt es auch eine
Checkliste für Projektverantwortliche, die bei der datenschutzkonformen Einführung von M365 helfen soll. Diese umfasst Punkte wie die Erstellung einer Rechtsgrundlagenanalyse sowie der Datenschutz-Folgenabschätzung (DSFA) und listet die wichtigsten Rechtsgrundlagen auf.
Konsequenzen des Cloud Acts
Ein besonderes Augenmerk gilt dem Cloud Act, dem Microsoft wie jedes andere amerikanische Unternehmen unterstellt ist. Es gelte, einen einseitigen Zugriff von Microsoft auf schützenswerte Daten zu verhindern. Gemeint sind beispielsweise besondere Personendaten wie Steuer- oder Sozialhilfedaten sowie Informationen, die Amts- oder Berufsgeheimnissen unterstehen.
Solche Daten können nur in der Cloud gespeichert werden, wenn sie durch technische Mittel – sprich Verschlüsselung – zusätzlich geschützt werden.