Projekt CEBA der Bundeskanzlei
Der EDÖB begleitet das Projekt «Cloud Enabling Büroautomation», kurz CEBA, aufsichtsrechtlich. Im Fokus steht zurzeit die von der Verwaltung erstellten Datenschutz-Folgenabschätzung und die Umsetzung der Massnahme «Einführung von Vertraulichkeitsbezeichnungen» bei Dokumenten der Bundesverwaltung (sog. Labeling).
Das im Jahr 2019 initiierte Projekt CEBA wird vom Bereich Digitale Transformation und IKT-Lenkung (DTI) der Bundeskanzlei (BK) geleitet. Ziel des Projekts ist es, die aktuell in den Arbeitsplatzsystemen der Bundesverwaltung eingesetzte Office-Produktsuite «Microsoft Office LTSC Professional Plus 2021» durch die cloudbasierte Lösung «Microsoft Office 365» (M365) zu ersetzen. Der Bereich DTI hat den EDÖB frühzeitig in das Projekt einbezogen, der regelmässig über das Auslagerungsprojekt in der Bundesverwaltung informierte (s. Kurzmitteilung vom 7. März 2023; 30.Tätigkeitsbericht 2022/2023; 31.Tätigkeitsbericht 2023/2024).
Nachdem der EDÖB seit der Lancierung des Projekts u.a. erfolgreich darauf hinwirken konnte, dass das DTI mittelfristig einsetzbare Alternativen zu Microsoft Office 365 prüft (s. dazu auch die Medienmitteilung des Bundesrates vom 15.02.2023: Bund führt Microsoft 365 ein), stehen nun die Anpassung und Präzisierung der vom DTI erstellten Datenschutz-Folgenabschätzung (DSFA) und die ersten Schulungen des Bundespersonals im Fokus seiner aufsichtsrechtlichen Beratung.
Der EDÖB verlangte, dass die Verhältnismässigkeit einer cloudbasierten Bundeslösung geprüft und datenschutzrechtlich relevante Risiken – insbesondere hinsichtlich ausländischer Behördenzugriffe und Abhängigkeiten von marktbeherrschenden Cloudanbietern – analysiert und bewertet werden müssen. Mit seinen Stellungnahmen zu den laufend angepassten Versionen der DSFA wirkt der EDÖB darauf hin, dass wesentliche Risiken präziser beschrieben und notwendige Massnahmen zur Risikominimierung eindeutig definiert werden. Derzeit arbeitet das DTI daran, entsprechende Präzisierungen und Ergänzungen vorzunehmen. Gleichzeitig werden unabhängige Audits durchgeführt, deren Ergebnisse in der nächsten Version der DSFA ebenfalls berücksichtigt werden sollen.
Eine wichtige Massnahme zur Risikominimierung des Projekts CEBA ist die Vertraulichkeitsbezeichnung bei Dokumenten, das sogenannte Labeling. Dies soll verhindern, dass Dokumente mit besonders schützenswerten Personendaten und solche mit klassifizierten, also vertraulichen Daten in die Cloud gelangen, denn solche Dokumente sollen weiterhin nur in den Rechenzentren der Bundesverwaltung bearbeitet werden können. Hierzu muss das Bundespersonal entsprechend geschult werden. Einzelne Mitarbeiter des EDÖB besuchten die ersten Schulungen, um darauf hinzuwirken, dass die Datenschutz- und Sicherheitsanforderungen eingehalten werden.