Der Bundesrat hat am 15. Februar 2023 entschieden, in der Bundesverwaltung Microsoft 365 als neue Office-Version einzusetzen (Medienmitteilung). Dem Entscheid ging eine Testphase voran, mit dem schönen Titel Projekt “Cloud Enabling Büroautomation” (CEBA). Die Einführung betrifft u.a. Word, Excel, PowerPoint, OneNote, Outlook, Teams, Windows 10 und 11 Enterprise, SharePoint Online, OneDrive for Business, Stream, Sway, Visio, Power Apps for Microsoft 365, Power Automate for Microsoft 365, Power Virtual Agents for Teams, Power BI und andere.
Die Bundeskanzlei hat das Projekt in einem auf den 14. Februar 2023 aufdatierten Informationspapier näher umschrieben (hier) und die Zulässigkeit des Bezugs in einem Papier “Rechtliche Grundlagen” vom gleichen Datum analysiert (hier). Das Ergebnis dieses Papiers:
Mit den mit Microsoft abgeschlossenen Verträgen hat die Bundesverwaltung die Grundlagen geschaffen, mit Einhaltung der rechtlichen Rahmenbedingungen die Nutzung von M365 zuzulassen. Für den Einsatz ist eine Einsatzrichtlinie zu schaffen, damit Daten mit höherem Schutzbedarf nicht in der Cloud abgelegt werden. Im Rahmen des ISDS Konzepts wurde eine Risikoanalyse erstellt, die Restrisiken wurden darin ausgewiesen und sind bekannt.
Die Analyse der BK kommt mit Bezug auf das Erfordernis der gesetzlichen Grundlage – eine Frage, die anderweitig noch zu reden geben könnte – zu folgendem Ergebnis:
Mit dem Betrieb der BA [Büroautomation] sind keine Eingriffe in die Rechte Einzelner verbunden. Unter diesen Umständen kann für den Betrieb der BA direkt auf die Übertragung der entsprechenden Verwaltungsaufgaben abgestellt werden. Eine explizite Rechtsgrundlage ist damit nicht notwendig; dies gilt auch für die Auslagerung der BA in die Public Cloud.
Die gesetzliche Grundlage bleibt daher Art. 57h RVOG (Bundesorgane können zur Registrierung, Verwaltung, Indexierung und Kontrolle von Schriftverkehr und Geschäften ein Informations- und Dokumentationssystem führen, das auch besonders schützenswerte Daten und Persönlichkeitsprofile enthalten kann). –
Besonders schützenswerte Personendaten dürfen nach der Analyse der BK – im vorliegenden Fall – nicht in der Public Cloud bearbeitet oder gespeichert werden; sie bleibt On Premise. Offen ist, ob dies eine freiwillige Massnahme des Bundes darstellt oder aus – nicht genannten – Anforderungen an die rechtliche Grundlage abgeleitet wurde (allenfalls aus Art. 17 DSG; man müsste sich dann aber fragen, ob diese Normstufe effektiv auch für die Bearbeitungsmodalität der Auslagerung an einen Auftragsbearbeiter in einer Cloud gilt – eine Frage, die auch im Public-Cloud-Bericht der Bundesverwaltung nicht gestellt wurde).
Die BK geht weiter auf die Anforderungen der CyRV ein, die u.a. die Einhaltung des Grundschutzes und eine Schutzbedarfsanalyse und ggf. – aber nicht hier, da kein erhöhter Schutzbedarf bestehe – ein ISDS-Konzept verlangt (vgl. Art. 14b ff. CyRV; solange diese noch nicht durch das ISG bzw. die Informationssicherheitsverordnung ISV ersetzt ist; voraussichtlich am 1. April 2023 in Kraft).
Aus datenschutzrechtlicher Optik ist mit Microsoft sodann eine Auftragsbearbeitungsvereinbarung zu schliessen. Mit Bezug auf die Bearbeitung von Metadaten ist Microsoft zwar ein Verantwortlicher, bewege sich aber innerhalb des Rahmens von Art. 57h RVOG. Zudem legt Microsoft regelmässige Prüfberichte (Drittaudits) vor, die die Bundesverwaltung ihrerseits prüft.
Mit Bezug auf den Geheimnisschutz gibt die Analyse das inzwischen weitgehend anerkannte Ergebnis wieder:
Die Auftragsbearbeitung durch den Anbieter einer Cloudlösung ist auch für Daten zulässig, die vom Amts‑, Geschäfts- oder Berufsgeheimnis bzw. der beruflichen Schweigepflicht erfasst sind, sofern die Geheimhaltungs- und Schweigepflichten in Spezialgesetzen nicht enger umschrieben und eine Auslagerung an Dritte ausgeschlossen werden. […]
Mit dem revidierten Artikel 320 StGB werden neu auch Hilfspersonen strafrechtlich sanktioniert. Da sich externe IKT-Leistungserbringer als solche qualifizieren ist eine Weitergabe von Informationen an Auftragsdatenbearbeiter zulässig
Für die Bekanntgabe ins Ausland hält der Bericht fest:
Es werden keine Daten auf Systeme ausserhalb der Schweiz bzw. der europäischen Union gespeichert, auch ein Ausfall des Verzeichnisdienstes (Azure AD) wird nicht auf einen Server ausserhalb erfolgen. Dies gilt auch für Verrechnungs- und Supportdaten (bis Ende 2022 umgesetzt). Es werden einzig für die Sicherheitsanalyse zeitlich beschränkt Daten in die USA anonymisiert übermittelt. Entsprechend der EU Boundary Massnahmen von Microsoft, wird Microsoft dazu Anfang nächsten Jahres eine Zusammenstellung machen, welche Daten übermittelt werden. […]
Falls eine Cloud oder ein Cloud Service von einem Unternehmen mit Bezugspunkten zu den USA betrieben wird – und zwar unabhängig von seinem Sitz, den Serverstandorten oder dem Bezugsort der Cloudlösung -, besteht zudem die Gefahr, dass dieses Kundendaten gestützt auf den CLOUD-Act an die amerikanischen Strafverfolgungsbehörden herausgeben muss, selbst wenn dies schweizerisches Recht verletzt (Art. 271, 320 StGB). Voraussetzung dafür ist jedoch, dass diese Daten im Zusammenhang mit einem Verbrechen stehen. […]
Neben dem US Cloud-Act ist der Foreign Intelligence Surveillance Act (FISA) von Bedeutung. Dieser regelt die nachrichtendienstliche Ausspähung von amerikanischen Geheimdiensten. Er sollte bei der Risikobeurteilung jedoch nicht mehr ins Gewicht fallen, als das allgemeine Risiko der nachrichtendienstlichen Ausspähung.
Aufgrund der geteilten Verantwortlichkeit ist es an den Departementen und Verwaltungseinheiten im Einzelfall das Risiko bezüglich Datenbekanntgabe an die USA aufgrund ihrer Daten abzuschätzen. Die vorliegende Rechtsgrundlagenanalyse weist allgemein auf das bestehende Risiko hin. Die Einsatzrichtlinie E 03135 definiert welche Daten in die Cloud bearbeitet werden dürfen und welche nicht. […]
Die Bundesverwaltung übermittelt die Daten an Microsoft in der EU (Irland), ein Land mit angemessenen Datenschutzniveau gemäss Staatenliste, basierend auf den Standardvertragsklauseln mit Ergänzung, dass auch das CH-DSG gültig ist. Entsprechend der EU Boundary Massnahmen werden sämtliche Daten in EU/CH-Rechenzentren gehalten. […]
Zu beachten sind ferner – in der Zentralverwaltung – Bestimmungen der VDTI und der IAMV.