Angesichts seiner weltweilt verteilten Infrastruktur und der schieren Grösse des Unternehmens lässt sich kaum kontrollieren, ob Microsoft die datenschutzrechtlichen Bestimmungen des Kantons Bern tatsächlich einhält. Ausserdem haben US-Behörden dank des 2018 unter Präsident Trump erlassenen "Cloud Act" die Möglichkeit, Microsoft zur Herausgabe von Kundendaten zu verpflichten – und zwar unabhängig davon, in welchem Staat sie gespeichert werden und wie streng die Datenschutzvorgaben dort sind.
"Ausbauschritt mit Augenmass"
Um die Zugriffsrisiken auf ein tragbares Mass zu senken, hat der Regierungsrat die Nutzung der "M365"-Dienste von vornherein beschränkt: Weder vertrauliche Informationen noch sensible Personendaten dürfen in der Cloud bearbeitet oder gespeichert werden. Bislang galt diese Vorgabe auch für "Teams". Nach nunmehr 18-monatiger Praxiserfahrung wurde die Sachlage jedoch neu bewertet. Seit Kurzem erlaubt die Kantonsregierung auch Gespräche mit vertraulichen Inhalten via "Teams"-Telefonie (inklusive Videotelefonie und Präsentationen während der Gespräche, aber ohne Aufzeichnungsfunktion). Aus Sicht der Datenschutzaufsichtsstelle (DSA) ist diese Nutzungserweiterung akzeptabel und – da die vertraulichen Gespräche nicht aufgezeichnet werden dürfen – mit dem Datenschutzgesetz grundsätzlich vereinbar. "Wir begrüssen, dass der Regierungsrat die legitimen Bedürfnisse der Kantonsverwaltung mit den Grundrechten der BürgerInnen in Einklang zu bringen sucht", kommentiert DSA-Leiter Ueli Buri. Es handle sich um einen "Ausbauschritt mit Augenmass". Wie sicher die Anwendung unter diesen Voraussetzungen im Arbeitsalltag tatsächlich ist, wird die DSA als Aufsichts- und Revisionsstelle sorgfältig überprüfen.
Für ausführlichere Informationen lesen Sie den Bericht "Restrisiken beim Einsatz von M365" des kantonalen Amts für Informatik und Organisation (KAIO) sowie die Stellungnahme der DSA zu besagtem Bericht. Beide Papiere wurden 2023 erstellt und dienten dem Regierungsrat als Beschlussgrundlage für die Nutzung von "M365".