«Unsere zentrale Aufgabe besteht im Schutz der persönlichen Daten und damit der Privatsphäre der Einwohnerinnen und Einwohner des Kantons Zürich. Mängel und Abkürzungen beim Datenschutz und in der Informationssicherheit führen zum Verlust des Vertrauens der Bevölkerung» Dr. Domenika Blonski, Datenschutzbeauftragte des Kantons Zürich (DSB)
Die DSB hat ihren jährlichen Tätigkeitsbericht vorgelegt. Unter dem Titel «Risiken beim Datenschutz» weist sie darauf hin, dass Cyberangriffe vor der staatlichen Infrastruktur nicht halt machen und Kontrollen und Meldepflicht für Datenschutzvorfälle zeigten, dass oft grundlegende Sicherheitsvorkehrungen in der öffentlichen Verwaltung nicht getroffen werden. Mit zunehmender Digitalisierung wächst die Komplexität der Datenbearbeitungen, was zu zusätzlichen Risiken führt. Im vergangenen Jahr seien besonders im Gesundheitsbereich (insbesondere bei Alters- und Pflegeheimen) anlässlich von Kontrollen Schwachstellen festgestellt worden. Manche Alters- und Pflegeheime nähmen es mit dem Datenschutz nicht so genau. Die Möglichkeit eines «unkontrollierten Zugriffs» auf Gesundheitsdaten sei dies anlässlich von rund 60 Kontrollen (dazu kamen 793 Beratungen und Vorabkontrollen) und einer repräsentativen Stichprobekontrolle aus kleinen und grossen Zentren offensichtlich geworden.
Derzeit wird das Gesetz über die Information und den Datenschutz (5923, IDG) auf Antrag des Regierungsrates revidiert. Die Vorlage befindet sich in der vorberatenden Kommission Staat und Gemeinden (STGK) des Zürcher Kantonsrates. Der Datensicherheit muss im neuen Gesetz grösste Aufmerksamkeit geschenkt werden. In ihrem Jahresbericht (leider erst auf Seite 20) nimmt die DSB erstmals unter dem Titel « Besondere Risiken für die Grundrechte: M365» klar und deutlich Stellung zu den Risiken von Microsoft365: «Die Daten sämtlicher Personen im Zuständigkeitsbereich des öffentlichen Organs werden durch den Einsatz dieser Cloud-Lösung auf Vorrat zugänglich für US-Behörden». Gemäss Gutachten eines Beratungsnetzwerks für Zürcher Gemeinden und Städte «wird die Situation dadurch erschwert, dass keine Alternativen zu M365 geprüft werden“. Es entstehe eine Abhängigkeit der schweizerischen Behörden von Microsoft. Weiter weisen die Gutachter darauf hin, dass kein ausreichender rechtlicher Rahmen für eine Auslagerung in die Cloud eines ausländischen Unternehmens (hier eines US-Unternehmens) besteht. Weiter stellt die DSB fest: «Bei Informationen, die der gesetzlichen Schweigepflicht unterstehen, und besonderen Personendaten ist die Auslagerung in eine Cloud eines US-Unternehmens ohne zusätzliche Massnahmen nicht datenschutzkonform».
Und die DSB stellt fest, dass bevor öffentliche Institutionen Daten durch Dritte bearbeiten lassen, viele Fragen geklärt werden müssen. Das öffentliche Organ sei verantwortlich dafür, «dass die Vorgaben im Zusammenhang mit der Auslagerung eingehalten werden».
Die DSB hat dazu einen Leitfaden und eine Checkliste erstellt (Leitfaden Microsoft365 in Gemeinden und Checkliste für Vorabkontrollen Microsoft365 in Gemeinde). Die Absicht hinter der Erstellung von Leitfaden und Checkliste ist löblich – das Grundproblem ist damit aber nicht gelöst: der weiterhin unkontrollierte Zugang von US Behörden auf in schweizerischen oder ausländischen Rechenzentren der Firma Microsoft gespeicherten Daten unserer öffentlichen Verwaltung. Daran ändert auch die vorgegebene «Verschlüsselung sensibler Daten» wohl nur sehr wenig, werden die entsprechenden Verschlüsselungssysteme doch auch in den USA oder ihr höriger Staaten/Unternehmen hergestellt und unterstehen auch dem US CLOUD Act. Es ist offensichtlich, dass sich mittels Microsoft365 gespeicherte Daten immer im Kontrollbereich Dritter befinden, ob mit oder ohne ausgerüstet mit Double Key Encryption (DKE) sowie der umfassenden Nutzung eines Cloud Access Brokers (CASB).
Darum und deshalb befindet sich die DSB mit ihrem Leitfaden Microsoft365 und ihrer Checkliste für Vorabkontrollen Microsoft365 auf dünnem Eis. Sehr interessant wird zu erfahren, wie sich die vorberatende- und mit der Materie im Detail nicht bewanderte Kommission Staat und Gemeinden (STGK) des Zürcher Kantonsrates dieser Problematik anlässlich der laufenden Revision des IDG angenommen hat?