Die Berner Kantonsverwaltung wird künftig mit Microsoft 365 arbeiten. Dies sei bereits in mehreren Kantonen und der Bundesverwaltung so beschlossen worden, ab 2024 soll die Cloud-Software auch in Bern genutzt werden, teilt der Regierungsrat mit.
Microsoft 365 erlaube eine flexible, ortsunabhängige Zusammenarbeit mit nahtlosen Übergängen zwischen Homeoffice, mobiler Arbeit und Arbeit im Büro, heisst es von der Regierung weiter. Die Umstellung auf die neuen Services wird durch das kantonale Amt für Informatik und Organisation (Kaio) und die Bedag Informatik organisiert.
Die allermeisten Daten der Verwaltung bleiben im kantonseigenen Rechenzentrum der Bedag, so etwa die Steuer-, Bevölkerungs- und Gesundheitsdaten sowie E-Mails der Verwaltung. Vorerst dürfen keinerlei vertrauliche Informationen oder besonders schützenswerte Personendaten in der Microsoft-Cloud bearbeitet werden. Nur die verwaltungsinterne Zusammenarbeit per Chat, Telefonie, Videokonferenz sowie der Dateiaustausch erfolge verschlüsselt über die M365-Cloud aus Schweizer oder europäischen Rechenzentren, heisst es in der Mitteilung der Regierung.
Wie gross sind die Restrisiken?
Die kantonale Datenschutzaufsichtsstelle (DSA) hat sich zum Thema geäussert
(Stellungnahme als PDF). Wie gut die Mitarbeitenden sich an die Vorgaben halten, hänge davon ab, wie einfach sensible Informationen anders bearbeitet werden könnten, schreibt sie. Auch das Kaio hält in einem Bericht
(PDF) fest, dass es wahrscheinlich sei, dass die Weisungen nicht immer eingehalten würden.
Damit bleiben Risiken bestehen. Eine wirksame Kontrolle der Einhaltung der verfassungsmässigen Garantien sei bei einem internationalen Cloud-Anbieter nämlich nicht möglich, heisst es von der DSA. Aufgrund der Komplexität sei die Transparenz nicht ausreichend. Die Aufsichtsstelle hält darum fest: "Damit diese Risiken als tragbar erscheinen können, hat sich der Regierungsrat zu vergewissern, dass die Services unverzichtbare Vorteile gegenüber einer lokalen Lösung bringen, welche die neuen Risiken aufzuwiegen vermögen."
Das Kaio hat im Bericht zu den Restrisiken ebenfalls Gefahren wie Kontrollverlust, fehlende Transparenz, Nichteinhaltung von Vorschriften oder Änderungen von Services und Partnern von Microsoft ausgemacht. Es sei für den Kanton schwierig, zu überprüfen, ob die Daten effektiv am vertraglich abgemachten Ort bearbeitet werden. Zudem sei es möglich, dass in seltenen Fällen US-Strafverfolgungsbehörden oder Nachrichtendienste die Informationen einsehen.
Das Amt bilanziert aber eindeutig, die Restrisiken seien tragbar. "Dies, weil der Kanton Bern, insbesondere im Vergleich zu anderen öffentlichen und privaten Organisationen, die M365 nutzen, in enger Abstimmung mit der DSA eine Reihe von sich gegenseitig verstärkenden technischen, organisatorischen und rechtlichen Massnahmen vorsieht, welche die Risiken deutlich reduzieren."
(Mit Material von Keystone-sda)