Microsoft 365 ist regelmässig Gegenstand von Beschlüssen und Stellungnahmen von Datenschutzbeauftragten. Vor knapp einem Jahr berichteten wir in einem separaten Beitrag bereits über Datenschutzbeauftragte und -behörden aus Deutschland, die von einer Anwendung von Microsoft 365 abrieten.

Nun rät auch der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte, kurz EDÖB, der Unfallversicherung Suva die Nutzung der Microsoft-Cloud nochmals neu zu evaluieren. Diese hatte eine eigene Risikoanalyse erstellt und den EDÖB um Stellungnahme geboten.

Stellungnahme des EDÖB

Der EDÖB wies die Suva darauf hin, dass diese in ihrer Risikoanalyse nur auf Risiken aufgrund der Auslagerung in die Cloud eingegangen sei, nicht jedoch auf Risiken, die sich bereits aus der Anwendung von Microsoft 365 an sich ergeben würden. Ferner verwies der EDÖB auf die fehlende End-to-End Verschlüsselung einiger Dienste von MS 365 und dass aus der Risikoanalyse der SUVA nicht hervorgehe, wie sie dieses Risiko einschätzen.

Zusätzlich war der EDÖB der Ansicht, dass die von der Suva geplante Auslagerung von Personendaten eine „grenzüberschreitende Bekanntgabe“ im Sinne der Datenschutzgesetzgebung darstelle, weswegen die Bestimmungen der Art. 6 ff. DSG/ Art. 16 ff. nDSG Anwendung finden würden.

Der EDÖB erhob dabei vor allem die Bedenken, dass ein Zugriff auf die in der Schweiz stationierten Microsoft-Rechenzentren mittels des US-Cloud Acts möglich sei, trotz der Verpflichtung Microsofts die Daten nur in der Schweiz zu verarbeiten. So könnten Schweizer Daten ausgelesen werden und daher wäre die Auslagerung als „grenzüberschreitende Datenbekanntgabe“ zu klassifizieren. Suva war sich dieses Risikos bewusst, stellte dieses jedoch als „höchst unwahrscheinlich“ dar. Der EDÖB kritisierte diese Einstufung als nicht hinreichend begründet und verwies auf den Status der USA als „Staat ohne angemessenes Datenschutzniveau“.

Überdies merkte der EDÖB an, dass die rechtliche Zulässigkeit des von der Suva verwendeten risikobasierten Ansatzes fraglich sei. Es sei unklar, ob risikobasierte Argumente verwendet werden dürften, um die Datenauslagerung zu rechtfertigen, da die im behördlichen Kontext grundrechtlich verbürgten Garantien aufgeweicht werden könnten.

Antwort der Suva zur Stellungnahme des EDÖB

Die Suva konnte der Stellungnahme des EDÖB nur begrenzt zustimmen. Sie verwies auf die Tatsache, dass sie nicht mit dem US-Konzern Microsoft einen Vertrag geschlossen hätten, sondern mit der irischen Microsoft Operations Ltd. Ireland mit Sitz in Irland, einem Land mit angemessenen Datenschutzstandards. Die Rechenzentren stünden wiederum in der Schweiz und würden von einer Schweizer Firma im Auftrag von Microsoft betreut. Im Falle von Störungen oder technischen Supports könnte Microsoft Operations Ltd. Ireland zwar Zugriff zu einzelnen Daten von Suva bekommen, müsste jedoch im Falle einer Weiterleitung in die USA selbst die Standardvertragsklauseln abschliessen und stünde dabei auch unter der Aufsicht der irischen Datenschutzbehörde.

Auch der US-CLOUD Act stelle nach Ansicht der Suva keine grosse Hürde dar, da die den Strafverfolgungsbehörden eingeräumten Befugnisse den der Schweizer Strafverfolgungsbehörden entsprächen und die erforderlichen Verfahrensgarantien mithin nicht verletzt seien. In Verbindung mit der Einschätzung nach der anerkannten Methode Rosenthal sei das Ergebnis „höchst unwahrscheinlich“ somit gerechtfertigt.

Ferner sei nach der Ansicht der Suva der von dem EDÖB kritisierte risikobasierte Ansatz im Schweizer Datenschutzrecht immanent. Dieser sei schliesslich von dem Schweizer Bundesrat zur „ersten“ Leitlinie der Revision des DSG erklärt worden. Auch wenn das Wort „risikobasiert“ in den Art. 6 DSG und Art. 16 revDSG nicht vorkomme, gelte der Grundsatz nach Ansicht der Suva trotzdem. Die Suva hat den EDÖB aus diesen Gründen nochmals gebeten, seine Stellungnahme zu überdenken.

Leitfaden des Datenschutzbeauftragten des Kantons Zürich zur Nutzung externer Cloud-Dienste

Auch der Datenschutzbeauftragte des Kantons Zürich, kurz DSB, hat sich zum Thema der Nutzung externer Cloud-Dienste geäussert. Der DSB veröffentlichte im Juni 2022 einen Leitfaden, der sich an Mitarbeitende öffentlicher Organe richtet, die Cloud-Dienste evaluieren. Ziel des Leitfadens ist es, Punkte aufzuzeigen, die bei der Nutzung externer Cloud-Dienste zu berücksichtigen sind und wie bei der Auswahl von Cloud-Dienstleistern vorzugehen ist. Sollten alle genannten Punkte eingehalten werden können, stehe der Benutzung von Cloud-Diensten grundsätzlich nichts entgegen. Um den erforderlichen Schutz zu gewährleisten, sollte jedoch stets alle Möglichkeiten abgewogen werden. Dies beinhalte etwa on-premise-Lösungen, eine hybride oder treuhänderische Cloud, die Pseudonymisierung von Personendaten oder die eingeschränkte Nutzung eines Produktes durch Nutzung einzelner Dienste oder einer Nutzung für einzelne Datenkategorien.

Quellen

Pressemitteilung des EDÖB

(PDF) Stellungnahme des EDÖB Risikobeurteilung Suva Projekt Digital Workplace M365

(PDF) Antwort der Suva zur Stellungnahme des EDÖB zum Projekt Digital Workplace M365

(PDF) DSB: Neuer Leitfaden zur Nutzung externer Cloud-Dienste