Focus: Ökosystem Microsoft

Schweizer Microsoft-Cloud – so steht es um den Datenschutz

Uhr
(Source: Popenko/Adobestock.com; Microsoft)
(Source: Popenko/Adobestock.com; Microsoft)

Selbst Datenschutzbehörden sind sich nicht darüber einig, ob die Cloud-Lösungen von Microsoft nun datenschutzkonform sind oder nicht. In der Schweiz sowie in Deutschland und Frankreich steht zurzeit insbesondere Microsoft 365 in der Kritik der Datenschützer. So untersagte etwa das französische Bildungsministerium im vergangenen November den Einsatz der kostenlosen Angebote von Microsoft 365 an Schulen mit der Begründung, dass sie gegen die europäische Datenschutz-Grundverordnung (EU-DSGVO) verstossen würden. In Deutschland kam indes die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder zum Schluss, dass Microsoft 365 grundsätzlich nicht als datenschutzkonform angesehen werden könne. Microsoft hingegen entgegnete, die Datenschutzbehörden würden in ­ihrer Kritik keinen Betroffenenschutz mehr verfolgen, sondern den ­«Datenschutz zum dogmatischen Selbstzweck» erheben.

In der Schweiz sorgte derweil die Zürcher Kantonsregierung für Auf­sehen: Im April 2022 bewilligte der Regierungsrat Microsoft 365 für die kantonale Verwaltung. Dominika Blonski, die Datenschutzbeauftragte des Kantons Zürich, hatte den Beschluss zur Kenntnis genommen – stellt jedoch klar: Trotz dieses Entscheids habe die Kantonsverwaltung keinen Freipass zur Nutzung von Microsoft 365. Sensible Daten dürften keinesfalls einem rechtswidrigen Zugriff von anderen Behörden ausgesetzt werden – und das könne die Microsoft-Cloud nicht garantieren, sagt Blonski im Interview. Generell liege das Problem darin, dass Micro­soft den Markt der Office-Produkte dominiere, sagt die Zürcher Datenschutzbeauftragte und ergänzt: «Die Schweiz hat im Rahmen der Diskussionen um die digitale Souveränität auch zu erörtern, wie solche Abhängigkeiten aufgebrochen werden können.»

Etwas pragmatischer argumentiert Matthias Graf, stv. Gemeindeschreiber der Gemeinde Gossau (ZH). Das Thema Datenschutz werde in der ­öffentlichen Verwaltung oftmals als Grund genommen, etwas nicht zu tun – was der Sache jedoch nicht dienlich sei. Stattdessen müsse man den Datenschutz in der Praxis umsetzen. Das heisst, es braucht ein transparentes Berechtigungsmodell, klare Zuständigkeiten und vertragliche Regelungen mit den involvierten Partnern, wie Graf in seinem Fachbeitrag schreibt. Zudem sei es wichtig, die Mitarbeitenden zu sensibilisieren und zu befähigen, kompetent und sicher mit ­Datenschutzfragen umzugehen.

Einen praktischen Ansatz verfolgt Rechtsanwalt Dimitri Korostylev von Swiss Infosec. In seinem Fachbeitrag listet er auf, wie man Microsoft 365 «datenschutzfreundlich» einstellen kann. KMUs sollten allerdings nicht nur auf die richtigen Einstellungen achten, sondern auch auf den Servicevertrag mit Microsoft. Ausserdem empfiehlt es sich laut Korostylev insbesondere für KMUs, eine Cloud-Exit-Strategie in der Hinterhand zu haben und zu beachten, dass Microsoft ab 2025 ausschliesslich cloudbasierte Bereitstellungsmodelle anbieten will.

Florian Schulz, Thomas Holderegger und André Schmidt von Accenture stürzen sich schliesslich auf die Grundsatzdebatte zur Frage: Cloud oder nicht Cloud? Die Vorstellung, wonach selbst verwaltete Rechenzentren sicherer seien als Clouds, sei ein Trugschluss, schreiben die Autoren in ihrem Fachbeitrag. Dennoch sollten Unternehmen nicht Hals über Kopf von einem Rechenzentrum in die Cloud wechseln. Was man bei der ­Migration in puncto Datenschutz beachten sollte, erläutern Schulz, Holderegger und Schmidt.

Webcode
PMU58otN