Stadt und Kanton führen in ihren Verwaltungen Microsoft 365 ein, obwohl die US-Administration damit theoretisch auf persönliche Daten der Schaffhauser:innen zugreifen könnte. Der Datenschutzbeauftragte warnte – und wurde übergangen.
«Verwaltungssoftware» rangiert ziemlich weit oben auf der Liste der Begriffe, mit denen kein Zeitungsartikel beginnen sollte. Bleiben Sie trotzdem dran, denn dahinter verbirgt sich einiges an politischer Sprengkraft. Grosse Fragen stehen im Raum: Wer kontrolliert unsere Daten? Wer hat Zugriff darauf? Und ist es schlau, in der Ära Trump das Funktionieren einer Verwaltung von einem US-Konzern abhängig zu machen?
Im Kleinen geht es darum: Stadt und Kanton Schaffhausen gehen in die Cloud. Weil die alten Microsoft Office-Lizenzen bald auslaufen, stellen sie ihre Verwaltungen auf Microsoft 365 um. Die Stadt hat mit dem Rollout bereits begonnen, beim Kanton steht die Einführung noch an.
Auch Basel-Stadt, Solothurn, Schwyz, St. Gallen, Bern, Luzern, Zürich und der Bund haben in den letzten Jahren zu M365 gewechselt oder sind dran. Wie Schäfchen, die anderen nachlaufen; denn eigentlich hatte der Europäische Gerichtshof 2020 geurteilt, dass der Schutz von Personendaten in den USA nicht genügend gewährleistet sei. Daraufhin setzte der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte Microsoft auf die Schwarze Liste von Unternehmen, die den Anforderungen des eidgenössischen Datenschutzgesetzes nicht genügen. Auch der Schaffhauser Datenschutzbeauftragte hat früh Bedenken angebracht und Sicherheitsmassnahmen gefordert – und wurde übergangen. Das zeigen verwaltungsinterne Dokumente der Stadt, in die die AZ gestützt auf das Öffentlichkeitsprinzip Einsicht erhalten hat.
Risiko mit luftigem Namen
Das Risiko, das den Datenschützer:innen schlaflose Nächte bereitet, trägt den luftigen Namen Cloud Act. So heisst ein Gesetz, das Donald Trump schon während seiner ersten Amtszeit 2018 unterzeichnete. Es verpflichtet US-Tech-Konzerne, der Regierung Zugriff auf sämtliche Daten zu geben, die in ihren Clouds gespeichert sind – ohne dass die betroffenen Behörden oder Unternehmen davon erfahren.
Dieser Zugriff geschieht zwar nicht willkürlich; das erratische Verhalten von Trump wirft aber die berechtigte Frage auf, ob er sich im Zweifelsfall an rechtsstaatliche Verfahren halten wird. Das ist kein hypothetisches Szenario, Donald Trump sitzt faktisch an einem Kill-Switch. Das heisst: Gefällt ihm ein Entscheid irgendwo auf der Welt nicht, kann er die kritische Infrastruktur per Dekret lahmlegen, sofern sie von einem US-Techkonzern stammt (siehe auch Box auf Seite 4).
Als Microsoft vor einigen Jahren sein M365-Paket vorstellte, mahnten die kantonalen Datenschützer:innen deshalb zur Vorsicht. Ihr Warnruf verhallte in den Gängen vieler Verwaltungen. Die Verlockung einer Software-Lösung, die reibungslos funktioniert, war zu gross. Microsoft ist einer der grössten Software-Anbieter weltweit; seine Angebote sind bekannt, breit verfügbar und gut integrierbar. Sie scheinen alternativlos.
Wir schenken Dir diesen Artikel. Aber Journalismus kostet.
Hier geht es zum Probe-Abo: drei Monate lang jede Woche eine AZ für nur 48 Franken.
Stadt und Kanton erklärten sich 2022 in einem gleichlautenden Beschluss bereit, sämtliche Risiken auf sich zu nehmen und in die Cloud zu gehen. Sie kommunizierten damals, dass ein wesentlicher Faktor im Entscheid für M365 gewesen sei, dass man die Daten auf Servern in der Schweiz speichern würde. Nur: Das nützt nichts. Laut dem Cloud Act können US-Behörden auch dann auf Daten zugreifen, wenn sie hier in Rechenzentren gespeichert sind. Darauf wies der kantonale Datenschützer Christoph Storrer die Schaffhauser Behörden bereits 2021 hin. Und schlug Lösungen vor – vergeblich.
Wer macht die Datentriage?
Die Lösungen, die Storrer gern gesehen hätte, tragen sperrige Namen wie «Double Key Encription» oder «Cloud Access Security Broker». Im Kern geht es dabei darum, sensible Daten – etwa Angaben über religiöse oder politische Ansichten, über die Gesundheit oder die ethnische Herkunft einer Person – so zu verschlüsseln, dass weder Microsoft noch die US-Regierung sie lesen kann.
Stadt und Kanton prüften die Vorschläge des Datenschützers und verwarfen sie als zu teuer oder zu mühsam. Ausserdem befürchtete man, dass der Schlüssel zu den Daten verloren gehen könnte.
Stattdessen wollen die Behörden hauptsächlich auf ein «Labeling-System» setzen. Schützenswerte Daten sollen als solche gekennzeichnet werden; das soll verhindern, dass sie überhaupt in die Cloud gelangen. Die Mitarbeiter:innen sind selbst für die Datentriage verantwortlich. Damit wird auch die Verantwortung auf sie abgewälzt. Wenn beispielsweise eine Lehrerin für die Vorbereitung eines Klassenlagers die Essgewohnheiten ihrer Schüler:innen zusammenträgt und einer ihrer Schüler aus religiösen Gründen kein Schweinefleisch isst, macht sie sich möglicherweise strafbar, wenn sie diese Information in der Cloud abspeichert.
Storrer macht sich keine Illusionen: «Das wird niemals zu hundert Prozent befriedigend durchgeführt werden können.»
Trotz seiner Bedenken entschied die Stadt, am Labeling-System festzuhalten. Davon allerdings erfuhr der Datenschutzbeauftragte erst, als die Einführung von M365 in der städtischen Verwaltung unmittelbar bevorstand – und das nur, weil sich «besorgte Mitarbeitende der öffentlichen Verwaltung» bei ihm gemeldet hatten. So steht es in einem Brief, in dem Storrer letzten November dem Stadtrat seinen Ärger kundtat. Darin empfahl er ein letztes Mal, sensible Daten zu verschlüsseln – und aus datenschutzrechtlichen Gründen die Einführung zu sistieren, bis entsprechende Massnahmen getroffen worden seien. Geschehe das nicht, könne das «auch strafrechtlich (Verletzung des Amtsgeheimnisses) relevant sein».
Auch diese Warnung führte bei der Stadt zu keinem Umdenken. Und so griff der Datenschützer schliesslich zum drastischsten Mittel, das er hat: Er stellte Stadt und Kanton eine Verfügung aus. Darin akzeptiert er zähneknirschend das Vorgehen der Stadt. Viel bleibt ihm auch nicht übrig: In einem gleichlautenden Beschluss haben Stadt- und Regierungsrat 2022 entschieden, die datenschutzrechtlichen Risiken bei der Einführung von M365 in Kauf zu nehmen.
Mit der Verfügung verpflichtet Storrer Stadt und Kanton aber auf eine engmaschige und aufwändige Kontrolle: Die Verwaltungsmitarbeiter:innen seien konsequent auf das Labeling zu sensibilisieren und zu schulen; ausserdem solle eine externe Firma jährlich prüfen, dass besonders schützenswerte Personendaten korrekt klassifiziert und nicht weitergegeben werden.
Wenn man schon am Labeling festhalte, müsse man das wenigstens einigermassen seriös durchführen, sagt Storrer. Glücklich mit dieser Lösung ist er nicht: «Was ich mit der Verfügung gemacht habe, ist eigentlich nur noch Schadensbegrenzung.»
Bald zu spät?
Auf Anfrage der AZ halten Regierungsrat Marcel Montanari (FDP) und Stadtrat Daniel Preisig (parteilos) fest, dass man die Einschätzungen und Empfehlungen des Datenschutzbeauftragten ernst nehme und in der weiteren Umsetzung der Einführung von Microsoft 365 berücksichtigen werde. Auch die «Prüfung von Ausstiegsszenarien und Alternativen» sei «Teil der aktuellen Arbeiten». Dafür arbeite man aktiv bei verschiedenen Initiativen mit, unter anderem mit der Digitalen Verwaltung Schweiz, die die Digitalisierungsaktivitäten von Bund, Kantonen und Gemeinden koordiniert. Die Stadt treibt die Einführung von M365 indes wie geplant voran. «Es gibt keinen Grund für eine künstliche Projektverzögerung», so Preisig.
Man werde die Cloud einführen und sich im Nachhinein Gedanken machen, vermutet Datenschützer Christoph Storrer. Die Daten der Schaffhauser:innen seien dann aber bereits bei Microsoft. Und ist es einmal so weit, lässt sich nicht mehr verhindern, dass US-Geheimdienste darauf Zugriff nehmen könnten.
Trump und der Kill-Switch
M365 ist ein Allround-Paket. E-Mail, Kalender, Datenablage, Tools für Dokumentbearbeitung, Telefonie: Alles ist drin. Genau hier liegt das zweite grosse Risiko – vielleicht gar das grössere als der Cloud Act. Eine so umfassende Verwaltungssoftware wie M365 gehört zur kritischen Infrastruktur. Und Donald Trump sitzt am Kill-Switch. Heisst: Wenn ihm ein Verwaltungsentscheid nicht passt, kann er sie per Dekret einfach abschalten und die Verwaltung handlungsunfähig machen.
Dass das kein hypothetisches Szenario ist, zeigt das Beispiel des Internationalen Strafgerichtshofs in Den Haag. Vor einem Jahr verhängte die US-Regierung Sanktionen gegen dessen Chefankläger, weil der gegen den israelischen Ministerpräsidenten Benjamin Netanyahu ermittelt und einen internationalen Haftbefehl gegen ihn verhängt hatte. Sein Microsoft-Konto wurde gesperrt, er verlor Zugang zu seinen E-Mails.
Ein solches Szenario wäre auch im Fall Schaffhausen denkbar. Was, wenn sich der Kanton gegen US-Strafzölle äussert oder sich der Präsident an den vielen US-Konzernen stört, die hier Steuern sparen, und daraufhin einfach das Volkswirtschaftsdepartement lahmlegen kann? Stadt und Kanton schätzen dieses Risiko auf Anfrage als «sehr gering» ein. Christoph Storrer hingegen spricht von einer «Wahnsinnsabhängigkeit», in die sich Stadt und Kanton begeben.
In Den Haag hat man aus der Geschichte gelernt: Der Strafgerichtshof wechselt auf eine Open Source-Lösung, um in Zukunft nicht mehr von US-Softwareanbietern abhängig zu sein. Denn Alternativen gibt es durchaus. Wie gut sie im Verwaltungskontext funktionieren, darauf fallen die Antworten unterschiedlich aus. Das deutsche Bundesland Schleswig-Holstein jedenfalls hat sich im Lauf der letzten beiden Jahre fast vollständig von Microsoft gelöst. Auch das Bundesgericht in Lausanne setzt auf Open Source-Software.
Inzwischen kommt schweizweit Bewegung in die Sache. In verschiedenen Parlamenten gibt es Vorstösse. Der Bund, der letztes Jahr an 54 000 Arbeitsplätzen M365 eingeführt hat, hat unlängst bekanntgegeben, sich von Microsoft lösen zu wollen. Auch die Stadt Zürich möchte aussteigen. Winterthur wiederum hat kürzlich entschieden, bei der geplanten Einführung von M365 einen Marschhalt einzulegen. Um Politik und Verwaltung mehr Zeit für den Entscheid für oder gegen M365 zu verschaffen, hat die Stadt gebrauchte Office-Lizenzen gekauft, statt den Wechsel in die Cloud voranzutreiben.
