Ist die Einführung von Microsoft 365 in Dübendorf ein Risiko?
Immer mehr Gemeinden und Städte setzen auf das cloudbasierte Microsoft 365. Nun kommt in Dübendorf die Frage auf: Ist garantiert, dass US-Behörden nicht auf sensible Daten zugreifen können?
Als die Stadt Dübendorf Anfang 2023 damit begann, Microsoft 365 einzuführen, krähte sprichwörtlich kein Hahn danach. Mittlerweile hat sich die globale Grosswetterlage geändert: Im Weissen Haus ist mit Donald Trump ein Mann an der Macht, der seine Interessen mit allen Mitteln durchsetzt – auch mithilfe von US-Technologiekonzernen, die sich den Wünschen der Regierung beugen.
Erst kürzlich etwa sperrte Microsoft das E-Mail-Konto von Karim Khan. Dies, nachdem die USA den Chefankläger des Internationalen Strafgerichtshofs mit Sanktionen belegt hatten.
Dazu kommt die grundsätzliche Sorge um die Datensicherheit. Microsoft 365 ist ein Abo-Dienst für Office-Anwendungen, die Daten der Anwender werden hauptsächlich in den Microsoft-Rechenzentren gespeichert. Auch wenn sich diese nicht in USA befinden, können US-Behörden darauf zugreifen, denn amerikanische Unternehmen sind aufgrund des sogenannten Cloud Act zur vollen Kooperation verpflichtet.
Wie sicher ist das?
In diesem Zusammenhang hatte die St. Galler Datenschutzbehörde kürzlich kritisiert, dass die kantonale Verwaltung sensible Personendaten verschicke, die dann in der Cloud beziehungsweise irgendwo auf Servern gespeichert würden. Darüber berichtete unter anderem die SRF-Sendung «Schweiz aktuell» im Mai. Und darauf bezieht sich nun Gemeinderat Remo Stadler (Die Mitte) von der Mitte/EVP-Fraktion in einer schriftlichen Anfrage.
Stadler will etwa wissen, ob vor der Einführung von Microsoft Abklärungen mit dem kantonalen Datenschützer getroffen worden seien und ob die Verantwortlichen der Stadt Alternativen zum Microsoft-Produkt geprüften hätten.
Weiter erkundigt er sich, welche Vorkehrungen der Stadtrat getroffen habe, um den Datenmissbrauch durch Externe zu minimieren, und wie die Stadtregierung das Risiko einschätze, dass vertrauliche Daten aufgrund des Cloud Act abfliessen könnten. Der Stadtrat hat nun zwei Monate Zeit, die Anfrage zu beantworten.
Andere planen Ausstieg
Gemäss dem Datenschutzbeauftragten des Kantons Zürich birgt die Nutzung von Microsoft 365 «besondere Risiken für die Grundrechte von betroffenen Personen». Deshalb wird vor der Einführung geprüft, ob die Nutzung datenschutzkonform ist.
Datenschutzrechtliche Bedenken ändern allerdings nichts daran, dass immer mehr Gemeinden Microsoft 365 einführen. Gleichzeitig gibt es aber auch eine gegenteilige Bewegung: So will etwa mit Aarhus die zweitgrösste Stadt Dänemarks auf eine Alternative umstellen, um nicht mehr abhängig von US-Unternehmen zu sein.
Aus demselben Grund plant auch die Regierung des deutschen Bundeslands Schleswig-Holstein einen umfassenden Ausstieg aus Microsoft-Produkten. Ebenso wie Städte und Behörden in Frankreich, Spanien oder Polen.