Zum Hauptinhalt springen

Sensible Personendaten bei BehördenDatenschützer warnen vor Microsoft-Produkt

Vertrauliche Angaben über die Schweizer Bevölkerung werden mit den Office-Programmen von Microsoft bearbeitet. Dabei besteht die Gefahr, dass sich US-Behörden Zugriff verschaffen, befürchten die kantonalen Datenschützer.

Auch zu Hause arbeiten viele Behördenmitarbeitende mit den Office-Programmen von Microsoft.
Auch zu Hause arbeiten viele Behördenmitarbeitende mit den Office-Programmen von Microsoft.
Foto: Sebastian Gollnow (Keystone)

Sie sind allgegenwärtig, die Office-Programme von Microsoft. In vielen Schweizer Amtsstuben werden Briefe an die Einwohner mit Word geschrieben, auch solche mit heiklem Inhalt, zum Beispiel Verfügungen von Erwachsenenschutzbehörden oder Entscheide von Steuer- und Sozialämtern.

Zu einem Problem geworden ist das mit der Corona-Pandemie, als auch Tausende Angestellte der öffentlichen Hand ins Homeoffice geschickt wurden. Plötzlich benötigten sie Möglichkeiten, Besprechungen per Videokonferenz abzuhalten, Dateien von zu Hause aus zu bearbeiten, gemeinsam Texte zu verfassen.

Eine einfache Lösung hielt der US-amerikanische IT-Gigant Microsoft bereit – mit der jüngsten Version seines Dienstleistungspakets unter dem Namen Microsoft 365 und seinem Bestandteil Teams. «Einfach, schnell», sei das zu handhaben, teilweise sogar frei von Lizenzgebühren, lobt ein kantonaler IT-Verantwortlicher auf einer Austauschplattform für Corona-Lösungen. «Einführung wurde bei verschiedenen Kunden innerhalb ein bis zwei Tagen erreicht.»

Heikle Daten in der Cloud

Kritischer sehen das die Datenschützer. Microsoft 365 könne «in öffentlichen Organen (Verwaltung, Gemeinden etc.) nur während der Corona-Krise eingesetzt werden», schreibt Zürichs Beauftragte auf ihrer Website. «Die Voraussetzungen für einen Einsatz nach der ausserordentlichen Lage sind zurzeit nicht gegeben.»

Gemeint ist damit: Der Datenschutz genügt den Schweizer Standards nicht, wenn Behörden heikle Angaben mithilfe der neusten Microsoft-Produkte bearbeiten. Diese vereinfachen die Arbeitsabläufe, indem Daten nicht nur im verwaltungsinternen Netz abgespeichert werden, sondern auch in Datenzentren im Internet, sogenannten Clouds.

Die Risiken seien in dieser Konstellation «erhöht», hielten die Datenschützer vor kurzem in einem Merkblatt fest. Sie befürchten, dass sich die US-Behörden Zugriff auf sensible Daten von Schweizer Behörden verschaffen könnten. Microsoft hat zwar erst gerade zwei Servercenter in Zürich und Genf in Betrieb genommen, um die Sicherheit zu verbessern. Selbst dort sind die Daten aber gemäss Einschätzung der Datenschützer nicht vor den US-Behörden sicher.

Diese könnten den Zugriff mithilfe des 2018 verabschiedeten Gesetzes namens Cloud Act erzwingen. Selbst eine Verschlüsselung reduziere das Risiko nur dann, wenn in den Verträgen auf das Schweizer Recht verwiesen werde und im Fall von Streitigkeiten ein Schweizer Gericht entscheiden könne.

Keine Einigung im Gespräch

Die Zürcher Datenschutzbehörde hat darum versucht, «sich mit Microsoft in datenschutzrechtlichen Belangen auf Schweizer Recht und einen schweizerischen Gerichtsstand zu einigen», wie sie in ihrem Jahresbericht schreibt, der Ende April erschienenen ist. «Microsoft hat sich nicht auf die vorgeschlagene Formulierung festgelegt.»

Die Zürcher haben die Verhandlungen im Auftrag sämtlicher kantonaler Datenschützer geführt. Ähnliche Gespräche fanden auch mit Anbietern wie Google und Apple statt, auf deren Lösungen vor allem Schulen zurückgreifen. Stets konnten sich Behörden und IT-Giganten einigen. Für die Schulen bot Microsoft ebenfalls Hand – nicht aber für die Verwaltungen.

Das hat Folgen: Zahlreiche öffentliche Verwaltungen haben sich auf einen Rückbau der Software vorbereitet, wie gut informierte Personen bestätigen. Das heisst, dass sie mit dem Ende der ausserordentlichen Covid-Lage auf Microsoft 365 verzichten oder auf andere Produkte umsteigen werden. Sie könnten die Cloud-Produkte von Microsoft zwar weiterhin einsetzen. Allerdings müssten die Kantonsregierungen für die Risiken geradestehen, auch in finanzieller Hinsicht, etwa im Fall von Schadenersatzklagen, warnen die Datenschützer in ihrem Merkblatt.

Tauziehen mit der Bundesverwaltung

Auch die Bundesverwaltung hat das Problem erkannt. Sie testet derzeit «für einen möglichen späteren Einsatz temporäre Cloud-Lösungen», wie das für Beschaffungen zuständige Bundesamt für Bauten und Logistik (BBL) mitteilt. Es hat erst Anfang März seinen Vertrag mit Microsoft für die Nutzung der Office-Software verlängert, mit einem Auftrag im Umfang von 150 Millionen Euro über fünf Jahre.

Zwar wollen weder der Bund noch Microsoft dazu Stellung nehmen, wie der Datenschutz in diesen Verträgen gewährleistet wird – sie hätten Vertraulichkeit vereinbart. In Bern ist jedoch zu hören, der Bund habe sich durchgesetzt, wenn auch erst nach zähen Verhandlungen. Auf ein längeres Tauziehen deutet der Umstand hin, dass der alte Vertrag Ende 2019 auslief, der neue jedoch erst im März abgeschlossen werden konnte und eine Übergangsvereinbarung nötig wurde.

Einmal mehr hat der Bund den Auftrag an Microsoft trotz des hohen Volumens ohne öffentliche Ausschreibung vergeben. Es komme kein anderer Anbieter infrage, argumentiert das BBL: «Der Büroarbeitsplatz Bund ist standardisiert und beruht auf den Microsoft-Produkten.» Der Bundesrat lässt aber nun prüfen, ob er diese Abhängigkeit wenigstens für die Cloud-Dienste mindern kann: Mitte April hat er beschlossen abzuklären, ob die Schweiz eine eigene Cloud- und Dateninfrastruktur anstreben soll.

Schweiz soll Abkommen mit USA schliessen

Gegen eine solche «Swiss Cloud» argumentiert Microsoft. Die US-Cloud-Giganten seien «aus IT-Sicht nahezu uneinholbar. Das ist eine für die Betroffenen unangenehme, aber zutreffende Wahrheit», schrieb Schweiz-Chefin Marianne Jannik vor kurzem in einem Gastkommentar in der NZZ. Fragen dieser Zeitung beantwortete das Unternehmen nicht. «Zu den Details der vertraglichen Zusammenarbeit mit unseren Kunden äussern wir uns grundsätzlich nicht in der Öffentlichkeit», teilt ein Sprecher mit.

In einem Interview mit den Zeitungen von CH Media relativierte ein Microsoft-Manager Anfang Jahr die Bedeutung des Cloud Act: Dieser komme erst bei einem Verdacht auf kriminelle Machenschaften zum Einsatz, es werde nicht wahllos nach Daten gefischt. Microsoft mache sich aber dafür stark, dass die Schweiz ein Abkommen mit den USA abschliesse, das grundsätzlich regelt, in welchen Fällen US-amerikanisches oder Schweizer Recht Vorrang hat. Einen solchen Vertrag haben auch Schweizer Parlamentarier angeregt; der Bundesrat hat versprochen, das Anliegen zu prüfen.