Kanton Zürich hält Verträge zu Microsoft 365 geheim
Im April hat der Zürcher Regierungsrat den Einsatz von Microsoft 365 in der kantonalen Verwaltung bewilligt. Doch wer sich für die vertraglichen Grundlagen dieser Zulassung interessiert, guckt in die Röhre. Das sorgt für Kritik.
Die Verwaltung des Kantons Zürich darf künftig den Cloud-Dienst Microsoft 365 nutzen. Dies hatte der Regierungsrat im April dieses Jahres entschieden.
Der Beschluss gilt für sämtliche der kantonalen IKT-Strategie unterstehenden Behörden sowie die Kantonspolizei. Im Vergleich zu einer On-Premise-Lösung sei das IT-Sicherheits- und Datenschutzrisiko der Microsoft-Cloud nicht höher. Das Risikoprofil sei jedoch anders, befand der Rat.
Verträge bleiben geheim
Das Vertragswerk zwischen dem Kanton Zürich und Microsoft wurde mit einer von der kantonalen Datenschutzbeauftragten gestützten Ergänzung abgeschlossen. Doch was konkret in diesem Vertrag steht, will der Kanton nicht sagen, wie aus einem Blogbeitrag von Rechtsanwalt Martin Steiger hervorgeht. Darin beschreibt er seine weitgehend fruchtlosen Bemühungen, gestützt auf das Öffentlichkeitsprinzip Zugang zu den Dokumenten zu erhalten.
Steiger scheiterte sowohl bei der Zürcher Datenschutzbeauftragten als auch beim kantonalen Amt für Informatik. Von ersterer erhielt der Anwalt lediglich eine Bestätigung, "dass der (nun auf Deutsch übersetzte) Wortlaut dem entspricht, was Microsoft im Rahmen der von uns begleiteten Verhandlungen zugesicherte hatte." Den eigentlichen Vertragszusatz lieferte die Datenschutzbeauftragte indes nicht - mit Hinweis auf die Schweigepflicht.
Auf diese beruft sich auch das Amt für Informatik: "Das Vertragswerk zwischen dem Kanton Zürich und Microsoft sieht ausdrücklich vor, dass die zwischen den Parteien geschlossenen vertraglichen Bestimmungen vertraulich sind und dass beide Personen sich verpflichten, diese vertraulichen Informationen Dritten gegenüber nicht offenzulegen", zitiert Steiger aus dem ablehnenden Bescheid. Und weiter: "überwiegendes öffentliches Interesse des Kantons Zürich an der Einhaltung eingegangener vertraglicher Pflichten, damit der Kanton Zürich als zuverlässiger Vertragspartner anerkannt bleibt und damit die Allgemeinheit nicht für die finanziellen Folgen eines Vertragsbruches einstehen muss."
Keine Vorbildwirkung
"Der Kanton Zürich hat das Vertragswerk mit Microsoft demnach mit Wissen und Willen dem Öffentlichkeitsprinzip entzogen, anstatt den Grundsatz der Öffentlichkeit im Vertragswerk zu berücksichtigen", kritisiert Steiger. Mit der Geheimhaltung gefährden die Behörden das Vertrauen der Bürgerinnen und Bürger.
Zudem habe der Regierungsratsentscheid auch keine Vorbildwirkung mehr. Eine solche wäre nur vorhanden, "wenn die Grundlagen dieser Zulassung öffentlich zugänglich wären und unabhängig überprüft werden könnten."
Microsoft verzichtet auf Anfrage auf eine Stellungnahme: "Wir äussern uns grundsätzlich nicht zu vertraglichen Bestimmungen zwischen unseren Kunden oder Partnern und uns", schreibt das Unternehmen.
Während die Zürcher Datenschutzbeauftragte den Microsoft-Vertrag absegnete, riet der eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) in einem anderen Fall zum Verzicht. Dabei beurteilte er die Pläne der Suva, ebenfalls in die Microsoft-Cloud zu wechseln. Ihm ging es vor allem um den theoretisch möglichen Zugriff auf Daten in einem Schweizer Microsoft-Rechenzentrum durch den US-Mutterkonzern im Rahmen des Cloud-Acts, wie Sie hier lesen können.