In Zeiten, in denen Europa und selbst die Schweizer Bundesverwaltung (wenn auch zögerlich) Exitstrategien aus Big Tech überlegen, möchten die Kantone absurderweise ihre Zusammenarbeit mit Microsoft sogar vertiefen. In Bern sollen die Server von Microsoft auch für die Bearbeitung von heiklen Daten eingesetzt werden. Basel-Stadt will Microsoft-Produkte ebenfalls flächendeckend in der gesamten Verwaltung einführen. Politikerinnen und Datenschützer kritisieren dies.
In dieser zweiteiligen Artikelserie werde ich aufzeigen, wie einige Kantone ohne Bedenken auch schützenswerte Personendaten in die Wolke schieben, wie naiv sie bei der Einschätzung von Risiken vorgegangen sind und wie unrealistisch die Datenhandhabung in der verordneten künstlichen Trennung von Cloud- und lokalem Betrieb im Büroalltag sein kann.
Wir alle kennen den Kontext: Ein erratisch-irrationaler Präsident droht Europa mit Sanktionen und Embargo. Seine wichtigsten Hebel sind unter anderem die Tech-Konzerne. Wenn diese vom bulldozernden US-Präsidenten gezwungen werden ihren Kunden den Stecker zu ziehen, haben Unternehmen und Regierungen Europas auf Knopfdruck keinen Zugriff mehr auf ihre installierte Infrastruktur; auch wenn Microsoft in ihrer neuesten Medienmitteilung etwas anders verkauft, und verspricht den Code in der Schweizer Rechenzentren «zu deponieren», um im Fall eines «Unplugs» durch Donald Trump den Cloud-Betrieb weiterhin operativ tätigen zu können. Ich habe bei der Republik ausführlicher über die Problematik geschrieben.
Das Dilemma der Big Tech-Giganten wegen Trump: Die amerikanischen Big Tech-Riesen stecken seit der zweiten Trump-Administration in einem riesigen Dilemma. Zum einen gilt Europa als einer der wichtigsten Märkte. Unternehmen und Verwaltungen nutzen amerikanische Dienste zum Chatten, Surfen, aber auch Streamen, darunter unzählige Kunden aus der Privatwirtschaft und auch aus der Verwaltung. Donald Trumps Drohgebärden gegenüber der EU sind für die Tech-Konzerne Fluch und Segen: Der US-Präsident forderte, die verschiedenen Regulierungen gegen die Konzerne fallenzulassen. In der Vergangenheit hatte die EU Millionen von Bußgeldern erlassen – für mehr digitalen Wettbewerb und auch besseren Datenschutz. Die schützende Hand Trumps ist auch der Grund, warum sich manch ein Tech-CEO nun gefügig in die erste Reihe von dessen Inaugurationsfeier platzierte. Vor allem CEO Jeff Bezos machte eine 180-Grad-Kehrtwende in der Personalie Trump. Er verordnete der liberalen Washington Post einen Maulkorb und lud den US-Präsidenten zu seiner Hochzeit ein. Zum anderen könnte Trump die Maximalforderung stellen, dass europäischen Kunden amerikanischer Software per sofort den Stecker gezogen wird. Dann wäre praktisch ganz Europa ohne Zugriff auf Mail, Dokumente und Kommunikationstools. Aus Sicht der Tech-CEOs wäre das kommerziell suizidal, dem aktuellen Anbiederungskurs würden sich diese im geopolitischen Streit aber wahrscheinlich beugen müssen.
Beugen sich diese Unternehmen künftig dem Willen eines US-Präsidenten wie Donald Trump, könnte Europa im Extremfall digital lahmgelegt werden. Wie real diese Gefahr ist, zeigte sich kürzlich am Beispiel des Internationalen Strafgerichtshofs in Den Haag: Auf Anweisung der Trump-Regierung sperrte Microsoft den E-Mail-Zugang des Chefanklägers – offenbar, um Ermittlungen gegen Israel zu behindern.
Trotz der aktuellen politischen Grosswetterlage möchten die Kantone die Zusammenarbeit mit dem IT-Konzern sogar noch vertiefen. Und fallen dabei auf deren unglaubwürdigen Marketingversprechen rein.
Kantone vertiefen Zusammenarbeit mit Microsoft
Kanton Bern
Der Kanton Bern hat Microsoft 365 offiziell vor einigen Jahren eingeführt. Brisant dabei: Den Zuschlag an Microsoft erteilte das Informatikdepartement bereits im Jahr 2022, also noch vor dem offiziellen Regierungsratsentscheid 2023.
Der Kanton Bern prüfte zudem nur als einzige Alternative zu Microsoft 365 eine andere verbreitete kommerzielle Software eines Tech-Giganten: Google Workplace. Das Informatikdepartement entschied sich wegen «den hohen Migrationskosten und -risiken» gegen Google, wie der Leiter des Informatikdepartements auf Anfrage sagte.
Die Ironie: Er rechtfertigte die freihändige Vergabe an Microsoft mit dem Beschaffungsgeschäft «Microsoft Enterprise Agreement Renewal» im Jahr 2022 damit, dass keine andere Firmen den freihändigen Zuschlag an Microsoft angefochten habe und der Kanton damit bestätigt werde, dass es am Markt keinen wirksamen Wettbewerb gebe. Eine typische «Katze beisst sich in den Schwanz»-Antwort. Hätte der Kanton wirksame Alternativen geprüft, wäre das Verfahren offen gewesen und es hätte einen Anreiz gegeben für Alternativen.
Interessant ist in dem Kontext auch die Begründung des Kantons Bern auf der Beschaffungsplattform Simap.ch:
Weil die gesamte ICT-Grundversorgung auf Microsoft Office, Microsoft Windows und anderen Microsoft-Produkten basiert, kann diese Software nicht ohne weiteres durch andere Produkte ersetzt werden. Selbst soweit vergleichbar leistungsfähige Konkurrenzprodukte existieren, stellen diese nicht oder nicht immer die proprietären Schnittstellen von Microsoft zur Verfügung, mit denen die über tausend Fach- und Konzernapplikationen der Verwaltung mit der Grundversorgungs-Software verbunden sind.
Begründung auf simap.ch für den Zuschlag an Microsoft
Weil also die «Grundversorgung» (Windows, Office) Microsoft ist, «müssen» nun Email und Video-Kommunikation auch über Microsoft 365 Cloud laufen? Eine kreative Antwort. Schliesslich könnten immer noch alternative Möglichkeiten wie das Open-Source-Konferenzsystem Jitsi oder ein anderes Email-Angebot aus Europa genutzt werden.
Nun arbeiten also die Berner Kantonsangestellten täglich mit der Office-Suite des IT-Konzerns aus Redmond. Es gibt jedoch einige Einschränkungen: Die Angestellten dürfen die Produktpalette nur mit angezogener Handbremse nutzen. Denn: sie müssen ihre Dokumente nach Vertraulichkeit klassifizieren.
Gelangt ein vertrauliches Dokument auf die Server von Microsoft, so begeht ein Kantonsangestellter eine Amtsgeheimnisverletzung und macht sich strafrechtlich strafbar, wie aus einer Anleitung hervorgeht, die DNIP.ch vorliegt. Gleichzeitig räumt der Regierungsrat in seinem Risikobericht ein, dass die Weisung der Klassifizierung nicht immer eingehalten werden kann (vor allem, wenn dann intelligente Funktionen genutzt werden zur Klassifizierung),
Wenn die «Connected Experience» in Microsoft 365 aktiviert ist, werden Dokumente zur Analyse an Microsoft-Server geschickt. Dadurch kann die KI von Microsoft Vorschläge machen, z. B. ob ein Dokument als «vertraulich» eingestuft werden sollte. Diese Funktion basiert auf der Erkennung sensibler Inhalte wie personenbezogener oder finanzieller Daten. Die Datenverarbeitung zur richtigen Erkennung erfolgt in der Microsoft Cloud und unterliegt damit den Datenschutzrichtlinien von Microsoft.
In der Tat: Diese Lösung erwies sich als kaum praktikabel, wie Insider gegenüber DNIP.ch bestätigen. Eine Behörde wie die KESB (Kinder- und Erwachsenenschutzbehörde) darf die Telefonie- und Videokonferenz-Lösung von Microsoft nutzen, dabei aber nicht über ihre Fälle sprechen.
Eine Quelle beschreibt es so:
«Stellen Sie sich vor, Sie arbeiten im Home Office und werden nun dahingehend sensibilisiert, dass Sie
… bei Videokonferenzen über keine als vertraulich zu klassifizierenden Themen sprechen dürfen
… dass Sie via Chat bei Rückfragen an ihre Kolleginnen keine als vertraulich klassifizierten Themen ansprechen dürfen
… dass Sie für die sichere 1:1-Kommunikation per Telefon vorher noch ihre eigenen Teams-Einstellungen konfigurieren müssten – was vermutlich kaum jemand getan hat
… dass Sie beispielsweise durch Projektarbeit nun Planner (Tool von Microsoft) in Teams für die Aufgabenverwaltung kennen lernen und dieses Werkzeug eigentlich auch für die Fallbearbeitung einsetzen möchten, dann jedoch feststellen, dass sie hier wiederum mit vertraulichen Daten operieren.»
Mitarbeiter:in aus der Berner Kantonsverwaltung
Denn KESB-Daten enthalten sachgemäss schützenswerte Personeninformationen. Der Berner Regierungsrat hat erkannt, dass eine solche Selbstzensur nicht sinnvoll ist. Doch statt nach einer Alternative zu suchen, bei welchem das Verwaltungspersonal mit gutem Gewissen diese Daten auf einer datenschutzkonformen Infrastruktur bearbeiten kann, macht er das Gegenteil. Er geht nun bei Microsoft 365 «voll in».
Das Berner Informatikdepartement KAIO plant nun die Cloud auszudehnen auf diese Datenkategorie (schützenswerte Personendaten), wie aus einer internen Präsentation hervorgeht, die DNIP.ch vorliegt. Die vom Kanton beauftragte IT-Kanzlei Laux Lawyers schreibt zurzeit den dafür nötigen Risikobericht. Laux Lawyers hatte in der Vergangenheit für die Stadt Zürich das entsprechende Gutachten verfasst und gilt in juristischen Kreisen als «Microsoft-nah». Die Anwaltskanzlei arbeitet auch mit dem IT-Dienstleister Monday Coffee zusammen, dessen Hauptdienstleistung die Einführung von Microsoft 365 für Schweizer Unternehmen ist. Wenn der Berner Regierungsrat den Bericht zu den Risiken samt allerlei «Schutzmassnahmen» genehmigt, steht der «vollumfänglichen Nutzung» von Microsoft 365 nichts mehr im Wege.
Immerhin hängt der Kanton Bern nicht mehr der Illusion nach, dass die Kantonsangestellten diese künstliche Trennung zwischen problemlosen und sensitiven Dokumenten fehlerlos aufrechterhalten können. Macht der eine Sachbearbeiter des Sozialamts mit einer anderen Mitarbeiterin via Teams-Call (einem Programm, mit dem Menschen online zusammenarbeiten, chatten, telefonieren und Dateien teilen können – alles an einem Ort) ein bisschen Smalltalk und fragt diese, wie es ihr nach dem Arztbesuch nun gesundheitlich gehe, ist dies ja auch schon eine schützenswerte Information, die eigentlich nicht in dem virtuellen Rahmen fallen darf.
Anders ist das beim Kanton Zürich, wo schon länger mit M365 gearbeitet wird. Dort sind die IT-Verantwortlichen nach wie vor davon überzeugt, dass mit den richtigen Weisungen besondere Personendaten (gemäss lokalen Datenschutzgesetz der Terminus für schützenswerte Personendaten) nicht in der Cloud landen. Ein Sprecher sagt gegenüber DNIP.ch: «Ja, die Richtlinie zur Nutzung von M365 ist praktikabel. Für die konkrete Umsetzung sind – wie gesagt – die Direktionen und die Staatskanzlei zuständig.»
Zurück nach Bern: Interessant ist, dass der Regierungsrat in seinem Bericht den Kontrollverlust relativiert mit der Begründung, dass auch der Rechenzentrumsbetreiber Bedag (bei dem die Fachapplikationen der Kantonsverwaltung laufen), Swisscom und der Netzwerkdienstbetreiber SPIE ICS ebenfalls Zugriff auf die von der Kantonsverwaltung bearbeiteten Daten hätten.
Die ersten beiden genannten sind Schweizer Unternehmen (mit Schweizer Gerichtsstand und Datenschutzgesetz) und SPIE ICS stammt aus Frankreich, das laut dem Datenschutzbeauftragten ein Land mit einem gleichwertigen oder höheren Datenschutzniveau ist.
Also nicht ganz dieselbe Ausgangslage wie in den USA, das eben nach wie vor (trotz Data Privacy Framework Schweiz-USA) nicht als Nation mit angemessenem Datenschutzniveau gilt.
Immerhin räumt der Regierungsrat ein, dass er keine Ahnung habe, welche Metadaten durch die Nutzung von Microsoft 365 entstehen und wie Microsoft diese genau für sich selbst nutze. So schreibt er: «Obwohl Microsoft sich dazu verpflichtet, diese Daten zu pseudonymisieren, ist es nicht ausgeschlossen, dass in bestimmten Fällen eine Depseudonymisierung und damit eine Identifizierung der betroffenen Person möglich ist». Allgemein ist eine Deanonymisierung beim Vorhandensein grosser Datensammlungen sehr oft möglich.
Dazu eine immerhin erfreuliche Nachricht: Der Kanton Bern nutzt noch bis Ende 2026 die Videokonferenz-Lösung Zoom, danach werden die Angestellten die Alternative von Microsoft namens «Teams» einsetzen. Zoom bot auch für Gruppencalls die Ende-zu-Ende-Verschlüsselung Bei Microsoft könnte diese Funktion neu ebenfalls aktiviert werden für Gruppenanrufe. Wird das KAIO diese Funktion nun aufschalten?
Ja, bestätigt der Leiter der Informatikabteilung Thomas Fischer:
In diesen Nutzungsbedingungen steht, dass E2EE für Gruppenanrufe nicht verfügbar ist, weil diese Funktion nur mit einer Teams-Premium-Lizenz verfügbar ist. Diejenigen Nutzerorganisationen, die häufig Gruppengespräche zu vertraulichen Themen führen, können m.W. allerdings Teams Premium bei uns bestellen.
Thomas Fischer, KAIO Bern
Ob diese Möglichkeit dann effektiv genutzt und aktiviert wird bei all den teuren Zusatz-Lizenzen, ist dann nochmals eine andere Frage.
Kanton Basel-Stadt
Auch der Kanton Basel-Stadt gab Microsoft 365 vor ein paar Monaten grünes Licht.
Brisant dabei: Die Finanz-, Sozial- und Gesundheitsdaten der Baslerinnen dürften in einer Microsoft Cloud gespeichert werden. Anina Ineichen, die Basler Grossrätin der Grünen, stellte deshalb in einer Interpellation kritische Fragen an die Regierungsrätin Tanja Soland. Diese entgegnete, dass der Schritt wegen der Cloudifizierung von Microsoft notwendig sei. Obwohl Microsoft sogar seinen Regierungskunden anbot, noch länger ohne Cloud auszukommen.
Die Medienmitteilung des Kantons mutet anachronistisch an, sie sagt im Wesentlichen, dass eine Alternative zu Microsoft «nicht realistisch, zu risikoreich und teuer beurteilt» werde. Anachronistisch, weil wir uns heute in geopolitisch turbulenten Zeiten befinden und weil die Aussage «nicht realistisch» sicher nicht für den heutigen Zustand gilt (sondern vor vielleicht 6 Jahren gültig gewesen wäre).
Exekutivpolitikerin Soland behauptete etwa, dass keine Open Source-Alternativen in den Kantonen funktioniert hätten. Dabei gäbe es ein berühmtes Beispiel einer wichtigen Behörde, die seit 10 Jahren nur mit alternativen Produkten für IT-Betrieb auskommt: das Bundesgericht in Lausanne. Das Justizorgan in Lausanne operiert seit 10 Jahren mit Linux, LibreOffice und weiteren offener Software. Die Akzeptanz des Personals für die alternative IT-Infrastruktur sei gut, wie ein Sprecher auf Anfrage bestätigt. Und auch Schleswig-Holstein geht nun diesen souveränen, Open-Source-Weg.
Warum im Jahr 2025 Microsoft 365 als alternativlos gilt, bleibt ein Rätsel. Gemäss einem Bundesgerichtsurteil von 2023 müssen Verwaltungen bei einer freihändigen Vergabe eigentlich genau begründen, warum die Lösung alternativlos ist. Eine genaue Begründung liefern die meistens Kantonsverwaltungen kaum, ausser dass Microsoft sie wegen seiner Cloud-Strategie dazu zwingt.
SP-Regierungsrätin Tanja Soland behauptet auch in der Sitzung des Grossen Rats, dass die Verwaltung im Besitz der «Schlüssel» sei, für die Daten die in Schweizer Rechenzentren von Microsoft liegen. Doch Microsoft selbst sogar räumt ein, dass Kundenverschlüsselung die Cloudnutzung unbrauchbar mache. Der Konzern schreibt, dass man diese Verschlüsselungsform nur bei 5 % der Dokumente anwenden sollte. Ansonsten funktionieren die meisten Dienste gar nicht mehr (auch der Kanton Bern sieht deswegen laut seinem Risikobericht von der eigenen Verschlüsselung ab).
Oder was ist genau gemeint mit der von Soland behaupteten Schlüsselhoheit?
Ich habe nochmals beim Kanton Basel-Stadt nachgefragt: Sprecher Marco Greiner antwortete, dass damit der «Customer Key» gemeint ist.
Die Verschlüsselungsthematik umfasst verschiedene Massnahmen. Im Bereich der Customer Managed Key Lösung setzt Basel-Stadt (neben anderen Sicherheitsmassnahmen) auf folgende Funktion: Overview of Customer Key – Microsoft Purview | Microsoft Learn. «Microsoft Purview Customer Key» wird zusätzlich mit «Microsoft Customer Lockbox» ergänzt – diese Funktion verhindert den Zugriff von Microsoft Mitarbeitenden (z.B. Supportmitarbeitende) auf unsere Daten. Sollte dies in einem Supportfall dennoch nötig sein, was äusserst selten vorkommt, muss jeder Zugriff von uns über einen «Lockbox Request» genehmigt werden. Ohne unsere Freigabe kann der Zugriff nicht erfolgen. Eine Übersicht und Dokumentation kann hier abgerufen werden: Customer Lockbox requests | Microsoft Learn.»
Marco Greiner, Regierungsratssprecher von Basel-Stadt
Mit der Schlüsselhoheit ist also der Customer Key gemeint. Das ist ein Schlüssel, welcher zwar die IT-Abteilung des Kantons verwaltet, den aber jeder Microsoft-Server, der mit diesen Dokumenten arbeiten muss, anstandslos und automatisiert innert Sekundenbruchteilen vom Kanton bekommt. Denn ohne diese Schlüssel könnten die Microsoft-Server im Auftrag der Basler Mitarbeiter:innen weder nach Dokumenten suchen noch diese anzeigen und zum Editieren bereitstellen.
Gemäss dem alten Risikobericht von 2023 hat das Berner IT-Departement etwa versucht Lösungsansätze zu prüfen, bei denen kantonale Daten verschlüsselt bleiben oder die Benutzernamen pseudonymisiert sind. Doch das IT-Amt verwarf diese Optionen, weil Microsoft solche Weiterentwicklungen nicht berücksichtige. Der Kanton Bern müsste die Schlüssel für die Cloud alleine verwalten, würden sie diese irgendwie «verlieren» oder den Zugang dazu, würde alles still stehen.
Hier noch ein Blick auf den Bund: Auch die dafür zuständige Bundeskanzlei hatte sich in der Vergangenheit vorgenommen, die Microsoft-Abhängigkeiten zu reduzieren. Aus einem Sitzungsprotokoll, das DNIP.ch vorliegt, geht hervor, dass der Bund schon vor der Einführung von Microsoft 365 technische Möglichkeiten geprüft hatte, um das Risiko von Zugriffen durch Microsoft zu verringern. Ähnlich wie Deutschland mit der Delos-Cloud untersuchte man z. B. den Einsatz eines Gateways der Firma Eperi, das als Zwischenstation zwischen zwei Netzwerken fungieren würde. Dieses System verschlüsselt die Daten noch bevor sie Microsoft erreichen, sodass Microsoft selbst keinen Zugriff auf die Klartextdaten hat. Doch die Bundeskanzlei stellte nach der Prüfung fest, dass dieses Setting für den nicht tech-affinen Bundesangestellten untauglich ist und die Microsoft-Produkte damit nicht mehr einwandfrei funktionieren würden.
Bei solchen Experimenten lässt sich gut veranschaulichen: Ergreifen Informatiker:innen zusätzliche Massnahmen zum Schutz der digitalen Privatsphäre der betroffenen User:innen, funktioniert wenig überraschend die von einem kommerziellen IT-Konzern betriebenen IT-Infrastruktur (deren Code ja nicht Open Source ist) nicht mehr so, wie sie sollen.
Doch kommen wir zurück zu Basel-Stadt: Die Lockbox ist in der Tat eine Massnahme, um den Zugriff durch Microsoft-Mitarbeitende zu erschweren.
Dass die Massnahme im schlimmsten Fall schlussendlich den Zugriff nicht verhindert, schreibt Microsoft sogar selber.
Der Ort der Rechenzentren – den Soland ebenfalls betont – ist relativ irrelevant für die amerikanischen Überwachungsgesetze. Genau dafür wurde ja auch der CLOUD ACT von der ersten Trump-Regierung 2017–2021 geschaffen; die Standorte von Servern einer amerikanischen Firma sollen keine Rolle mehr spielen für den Zugriff durch die US-Behörden.
Klar können die Kunden Europas vertraglich den Weg erschweren, falls die Microsoft-Zentrale in den USA genötigt werden würde, Daten von Schweizer:innen herauszugeben. Aber: man kann den «Weg» trotzdem nicht verhindern.
Oder anders gesagt: Microsoft kann die amerikanischen Überwachungsgesetze nicht weg bedingen.
Und klar sichert Microsoft jetzt allen europäischen Regierungskunden zu, sich gegen allerlei Zugriffe gerichtlich zu wehren.
Doch wie transparent wird der Konzern sein können angesichts einer «Gag Order» eines US-Gerichts, das den Konzern verpflichtet weder die betroffene Kundin noch die Öffentlichkeit über die Daten-Herausgabe zu informieren? (und dass diese Daten vermutlich jetzt – ungeachtet der europäischen DSGVO- nun jahrelang aufbewahrt werden müssen und damit sicher vorhanden sein werden für die Behörden, wie ein neues Urteil aus den USA für das KI-Unternehmen OpenAI festhält)
Mit anderen Worten: wessen Daten wie herausgegeben werden, lässt sich nicht ausfindig machen.
Da nützt es auch nichts, wenn man sich einredet, nicht genügend interessant zu sein für die NSA wie das der Kanton Bern als Schutzbehauptung schreibt: «Die Berner Kantonsverwaltung ist nach den hier verfügbaren Informationen kein Hauptziel der US-Nachrichtendienste». Doch vielleicht ist es auch nur eine Einzelperson oder eine einzelne Firma interessant, über die der Kanton aber spezifische Informationen hat?
Zu guter Letzt: solange der Mutterkonzern in den USA sitzt, gibt es allgemein wenig rechtlichen Spielraum wie das niederländische Cybersecurity-Amt in seiner Analyse zu Microsoft 365 herausgefunden hat.
Immerhin räumt der Regierungsratssprecher von Basel-Stadt Marco Greiner zum Thema Datenbearbeitung ein, dass eine permanente Trennung von Cloud und On Premise-Daten (also Daten die lokal auf eigenen Servern (z. B. im Rechenzentrum der Organisation) gespeichert und verarbeitet werden), im Büroalltag nicht praktiziert werden kann:
«Daten mit einem erhöhten Schutzbedarf – wie beispielsweise Sozial-, Gesundheits- oder Finanzdaten – werden weiterhin hauptsächlich in den lokalen Fachanwendungen bearbeitet und gespeichert. Die Nutzung von M365 ist aber auch für diese Datenkategorie grundsätzlich möglich. E-Mail-Programme, Kollaborationswerkzeuge und Dateiablagen von M365 für diese Datenkategorie grundsätzlich nicht zu verwenden, wäre in der Praxis kaum umsetzbar.»
Regierungsratssprecher von Basel-Stadt Marco Greiner
Widerstand und die Ämter als Korrektiv
Die Hoheit der amerikanischen Tech-Konzerne in der Schweiz ist nach wie vor intakt. Weitere Kantone, die mit Microsoft arbeiten oder noch einführen: Aargau, Nidwalden, Schaffhausen, Solothurn, Zug und Zürich. In den Kantonen Appenzell Innerrhoden, Baselland, Fribourg, Glarus, Luzern, Obwalden, Sankt Gallen, Uri und Waadt laufen entweder Projektarbeiten oder die Migration ist bereits abgeschlossen.
Doch es regt sich auch Widerstand: Gemäss uns vorliegenden Aussagen von Insidern bei den Verwaltungen versuchen Klarheit zum Thema «Welche Daten dürfen wirklich bei Microsoft 365 gespeichert werden? Und gibt es nicht doch Alternativen?» über den gerichtlichen Weg zu erstreiten und bis zum Bundesgericht zu gehen.
Aber auch andere Institutionen fordern die Prüfung von Alternativen oder schauen nun dem Kanton auf die Finger, wie etwa die Basler Datenschutzbeauftragte Danielle Kaufmann, die wiederholt von der Einführung Microsoft 365 abriet.
In einer pfeffrigen Medienmitteilung warnte sie den Regierungsrat vor der Schwächung der digitalen Souveränität und kritisierte insbesondere den aktuellen Zeitpunkt: «So macht er [der Regierungsrat] sich weitgehend von den erratischen und besorgniserregenden politischen Entwicklungen in den USA abhängig».
Auch weiss ich von Gesprächen mit Insidern aus den beiden Kantonsverwaltungen, dass diese sich hüten werden über ihre teils sehr sensiblen Daten via der Microsoft-Teams-Infrastruktur zu reden. Insofern agieren die Ämter, die am Ende verantwortlich sind für den Datenschutz, zumindest teilweise als Korrektiv für mehr Datenschutz.
Dass die Microsoft-Server eine Blackbox bleiben, geben die Kantone auch zu. Auch wenn ihnen ein Auditrecht eingeräumt wird, seien sie offenbar kaum imstande dieses richtig wahrzunehmen. Der Kanton Bern schreibt dazu: «Im Vergleich zum kantonalen Rechenzentrum, Telefoniesystem oder Netzwerk ist die Komplexität der Cloud-Services und der Organisation von Microsoft viel höher, was ein wirksames Audit viel teurer und schwieriger machen würde.»
Kurz: Wir versuchen es gar nicht erst zu verstehen.
Und um diesen Artikel noch etwas visuell abzuschliessen: hier ein Blick auf die Mailserver-Karte unserer Schweizer Gemeindsverwaltungen, erstellt vom Belgier und ethischen Hacker Jurgen Gaeremyn.
Orange sind die Microsoft-Server eingezeichnet. Diese Zahl müsste aber eigentlich sehr viel höher sein, die von Gaeremyn gefundenen MX-Einträge (Mailserver-Adressen) mit anderen Farben sind vermutlich in den meisten Fällen nur ein sogenannter Zwischenschritt (Mail-Proxy) für eine Big Tech-Firma. Gaeremyn geht davon aus, dass bei einem grossen Teil der Proxies sehr oft ebenfalls Microsoft steckt.
In meinem nächsten Teil gehe ich vertieft auf den Kanton Luzern ein, der ein «spezieller Fall» von Microsoft 365 Cloud-Einführung zu sein scheint.
3 Antworten
Von Schottland wissen wir: Speziell ausgehandelte Bedingungen sind eine glatte Lüge.
In Schottland will die Polizei schützenswerte Daten in der Microsoft-Cloud verarbeiten. Dazu gab es parlamentarische Anfragen und Freedom of Information, bei denen im Prinzip herauskommt, dass Microsoft zu keiner Zeit jemals garantieren, dass die Daten in UK bleiben.
Und das, obwohl das von Politikern und Jursten die ganze Zeit versprochen wurde, speziell ausgehandelte Bedingungen eben. Diese ganze Behauptung von Speicherort und Datenresidenz sind Täuschungen, die sich Microsoft-Verkäufer und Juristen gegenseitig ins Gesicht erzählen und mit der technischen und vertraglichen Realität nie gedeckt waren.
Dieselben Punkte sind für Deutschland, Österreich, Schweiz und die EU genauso relevant. Und sie müssen diskutiert werden, bevor unsere digitalen Analphabeten die nächsten Verträge mit Microsoft und Co. abschliessen.
> Microsoft admits no guarantee of sovereignty for UK policing data
> Documents show Microsoft’s lawyers admitted to Scottish policing bodies that the company cannot guarantee sensitive law enforcement data will remain in the UK, despite long-standing public claims to the contrary
> Microsoft has admitted to Scottish policing bodies that it cannot guarantee the sovereignty of UK policing data hosted on its hyperscale public cloud infrastructure, despite its systems being deployed throughout the criminal justice sector.
> According to correspondence released by the Scottish Police Authority (SPA) under freedom of information (FOI) rules, Microsoft is unable to guarantee that data uploaded to a key Police Scotland IT system – the Digital Evidence Sharing Capability (DESC) – will remain in the UK as required by law.
> While the correspondence has not been released in full, the disclosure reveals that data hosted in Microsoft’s hyperscale public cloud infrastructure is regularly transferred and processed overseas; that the data processing agreement in place for the DESC did not cover UK-specific data protection requirements; and that while the company has the ability to make technical changes to ensure data protection compliance, it is only making these changes for DESC partners and not other policing bodies because “no one else had asked”.
> The correspondence also contains acknowledgements from Microsoft that international data transfers are inherent to its public cloud architecture. As a result, the issues identified with the Scottish Police will equally apply to all UK government users, many of whom face similar regulatory limitations on the offshoring of data.
Investigativer Medienbericht (Paywall):
https://www.computerweekly.com/news/366589152/Microsoft-admits-no-guarantee-of-sovereignty-for-UK-policing-data
Originalanfragen und -antworten ohne Paywall:
https://www.spa.police.uk/spa-media/ug4fhi44/let-20240326-foi-response-2023-24-104_redacted.pdf
https://www.whatdotheyknow.com/r/31bb2b55-1476-48e0-affc-cd1cfdd3ba12/response/2647585/attach/3/LET%2020240506%20FOI%20Response%202024%2025%20006.pdf
Zitat von Seite 2:
> Microsoft 365 – Microsoft have advised that they cannot guarantee data sovereignty for M365.
Ah das Schottland-Beispiel hab ich vergessen…Ich habe bisher immer nur das niederländische NCSC erwähnt. Vielen Dank, werde ich in Zukunft berücksichtigen!
Es gibt seit Jahren gute Alternativen zu den MS Produkten, doch Faulheit siegt bekanntlich immer (und das Argument: „der beisst ja nicht…“). Zum Thema Digitale Souveränität ist das Buch von Jaron Lanier nach wie vor zwingend; hier mein Beitrag zur Digitalen Souveränität https://youtu.be/U3cIOg-NOwI