07.03.2023 - Die heute in der ganzen Bundesverwaltung noch lokal betriebenen Microsoft Office 2021 Anwendungen sollen durch die Public Cloud gestützte Anwendung Microsoft 365 abgelöst werden. Der EDÖB wird zu gegebener Zeit zu den Ergebnissen der teilweise noch ausstehenden Prüfungen der Verwaltung Stellung nehmen.
Mit Medienmitteilung vom 15.2.2023 teilte der Bundesrat mit, dass die aktuell bei der Bundesverwaltung eingesetzte Office-Version ersetzt werden muss, weil wichtige Office-Anwendungen ans Ende ihres Lebenszyklus gelangt seien, die vom Hersteller Microsoft in wenigen Jahren (voraussichtlich 2026) nicht mehr unterstützt würden. Der Ersatz sei aussergewöhnlich, weil die Nachfolgeprodukte nur noch mit Public-Cloud-Anbindungen für die Bundesverwaltung zum Einsatz kommen könnten. Faktisch sei die Bundesverwaltung heute abhängig von Office-Produkten des Herstellers Microsoft. Ein Anbieter- und Produktewechsel werde zurzeit als zu risikoreich und aufgrund der zahlreichen Abhängigkeiten zu Fachanwendungen als zu aufwendig beurteilt. Zur mittel- und langfristigen Reduktion der Abhängigkeit werde die Prüfung von Alternativen zu Microsoft 365 weitergeführt. Im Rahmen einer Exit-Strategie prüfe der Bereich Digitale Transformation und IKT-Lenkung der Bundeskanzlei (DTI) auch Open-Source-Alternativen. Mit der Einführung seien Schutzmassnahmen zu treffen, insbesondere dürften die Nutzerinnen und Nutzer keine besonders schützenswerten Daten und vertraulichen Dokumente in der Cloud von Microsoft speichern.
Der Bereich DTI hat den EDÖB in seine Vorarbeiten zur Einführung von Microsoft 365 einbezogen, indem er ihm insbesondere die Entwürfe einer Rechtsgrundlageanalyse und des ISDS-Konzepts unterbreitete. In seinen Stellungnahmen hat der Beauftragte u.a. dargelegt, dass seines Erachtens ungewiss ist, wie lange es technisch durchsetzbar bleibt, ausgewählte Applikationen in eigenen Bundeszentren statt in der vom US-Konzern Microsoft betriebenen Cloud ausführen zu lassen, wie dies das Projekt des DTI heute noch vorsieht. Angesichts dieser Ungewissheit verlangte der Beauftragte, es seien datenschutzrechtlich vorteilhaftere Alternativen zu Microsoft 365 aufzuzeigen. Bezüglich der Rechtsgrundlagenanalyse fordert er, dass eingehender geprüft werde, ob eine genügende Rechtsgrundlage für die Personendatenbearbeitungen in der vom US-Konzern betriebenen Cloud besteht und ob der Grundsatz der Verhältnismässigkeit gewahrt bleibt. Hinsichtlich der Aussonderung von besonders schützenswerten Personendaten durch die Nutzerinnen und Nutzer verbleiben aus Sicht des Beauftragten offene Fragen zu deren Zweckmässigkeit und praktischen Durchführbarkeit. Schliesslich verlangt er vom DTI die Erstellung einer umfassenden Datenschutz-Folgenabschätzung, welche die Risiken der Auslagerung in die Cloud transparent ausweist. Dabei erachtet es der EDÖB als unumgänglich, dass die Problematik von möglichen Zugriffen der US-Sicherheitsbehörden auf Personendaten, welche die Bundesverwaltung in der Cloud von Microsoft bearbeiten lässt, vertieft analysiert wird.
Vor dem Hintergrund seiner Bedenken begrüsst der EDÖB, dass der Bundesrat in seiner Medienmitteilung die Problematik der faktischen Abhängigkeit von Office-Produkten des US-Konzerns Microsoft offenlegt und die Prüfung von Alternativen zu Microsoft 365 weiterführen lässt. Unsere Aufsichtsbehörde wird das Auslagerungsprojekt der Bundesverwaltung im Rahmen ihrer gesetzlichen Beratungstätigkeit weiterhin begleiten, zu gegebener Zeit zu der noch ausstehenden Datenschutz Folgenabschätzung Stellung beziehen und die Ergebnisse der erwähnten Prüfung von Alternativen zur Kenntnis nehmen.
Letzte Änderung 11.12.2023