Regierungsbeschluss: Berner Kantonsverwaltung kriegt Microsoft-Cloud

30. Juni 2023 um 10:42
image
Blick auf die Hauptstadt des Kantons. Foto: Andreas Fischinger / Unsplash

Auch Bern will MS 365 und definiert klare Vorgaben für Beschäftigte. Datenschützer und das IT-Amt fürchten aber, dass sich diese nicht immer an Weisungen halten.

Die Berner Kantonsverwaltung wird künftig mit Microsoft 365 arbeiten. Dies sei bereits in mehreren Kantonen und der Bundesverwaltung so beschlossen worden, ab 2024 soll die Cloud-Software auch in Bern genutzt werden, teilt der Regierungsrat mit.
Microsoft 365 erlaube eine flexible, ortsunabhängige Zusammenarbeit mit nahtlosen Übergängen zwischen Homeoffice, mobiler Arbeit und Arbeit im Büro, heisst es von der Regierung weiter. Die Umstellung auf die neuen Services wird durch das kantonale Amt für Informatik und Organisation (Kaio) und die Bedag Informatik organisiert.
Die allermeisten Daten der Verwaltung bleiben im kantonseigenen Rechenzentrum der Bedag, so etwa die Steuer-, Bevölkerungs- und Gesundheitsdaten sowie E-Mails der Verwaltung. Vorerst dürfen keinerlei vertrauliche Informationen oder besonders schützenswerte Personendaten in der Microsoft-Cloud bearbeitet werden. Nur die verwaltungsinterne Zusammenarbeit per Chat, Telefonie, Videokonferenz sowie der Dateiaustausch erfolge verschlüsselt über die M365-Cloud aus Schweizer oder europäischen Rechenzentren, heisst es in der Mitteilung der Regierung.

Wie gross sind die Restrisiken?

Die kantonale Datenschutzaufsichtsstelle (DSA) hat sich zum Thema geäussert (Stellungnahme als PDF). Wie gut die Mitarbeitenden sich an die Vorgaben halten, hänge davon ab, wie einfach sensible Informationen anders bearbeitet werden könnten, schreibt sie. Auch das Kaio hält in einem Bericht (PDF) fest, dass es wahrscheinlich sei, dass die Weisungen nicht immer eingehalten würden.
Damit bleiben Risiken bestehen. Eine wirksame Kontrolle der Einhaltung der verfassungsmässigen Garantien sei bei einem internationalen Cloud-Anbieter nämlich nicht möglich, heisst es von der DSA. Aufgrund der Komplexität sei die Transparenz nicht ausreichend. Die Aufsichtsstelle hält darum fest: "Damit diese Risiken als tragbar erscheinen können, hat sich der Regierungsrat zu vergewissern, dass die Services unverzichtbare Vorteile gegenüber einer lokalen Lösung bringen, welche die neuen Risiken aufzuwiegen vermögen."
Das Kaio hat im Bericht zu den Restrisiken ebenfalls Gefahren wie Kontrollverlust, fehlende Transparenz, Nichteinhaltung von Vorschriften oder Änderungen von Services und Partnern von Microsoft ausgemacht. Es sei für den Kanton schwierig, zu überprüfen, ob die Daten effektiv am vertraglich abgemachten Ort bearbeitet werden. Zudem sei es möglich, dass in seltenen Fällen US-Strafverfolgungsbehörden oder Nachrichtendienste die Informationen einsehen.
Das Amt bilanziert aber eindeutig, die Restrisiken seien tragbar. "Dies, weil der Kanton Bern, insbesondere im Vergleich zu anderen öffentlichen und privaten Organisationen, die M365 nutzen, in enger Abstimmung mit der DSA eine Reihe von sich gegenseitig verstärkenden technischen, organisatorischen und rechtlichen Massnahmen vorsieht, welche die Risiken deutlich reduzieren."
(Mit Material von Keystone-sda)

Loading

Mehr erfahren

Mehr zum Thema

image

Centerboard liefert neue Admin-Software für Berufsschulen

Die für die Softwareentwicklung für Berufsbildende Schulen zuständige Genossenschaft SEBBS hat eine Nachfolgelösung für ihre veraltete Lösung gesucht.

publiziert am 20.8.2024
image

Fehlendes Sicherheitszertifikat des Thurgauer IT-Amtes sorgt für Diskussionen

Seit 2021 verzichtet das Amt auf eine Zertifizierung für Informationssicherheit. Kantonale Parlamentarier kritisieren den Entscheid und verlangen eine Rezertifizierung.

publiziert am 20.8.2024
image

Zürcher Piraten fordern mit Volksinitiative "digitale Integrität"

Die Piratenpartei hat für ihre Initiative "für ein Grundrecht auf digitale Integrität" 9000 Unterschriften gesammelt. Ein ähnlicher Vorstoss in Genf wurde sehr deutlich angenommen.

publiziert am 19.8.2024
image

Datenschützer wusste nichts über Swisscom-Drohnenprojekt

Für das neue Drohnen-Angebot von Swisscom und Nokia sind laut einem Medienbericht keine Gesuche beim Eidgenössischen Datenschutzbeauftragten eingegangen.

aktualisiert am 19.8.2024