Der Kanton Zürich setzt auf Cloud-Lösungen von Microsoft. Grundlage für den Einsatz von Microsoft 365 bildet ein Vertragswerk, der von der kantonalen Datenschutzbeauftragten abgesegnet wurde. Wie genau hat sich die Datenschutzbeauftragte zum Vertrag geäussert?
Der Regierungsrat des Kantons Zürich, die Kantonsregierung, beschloss an seiner Sitzung vom 30. März 2022 die Zulassung von Microsoft 365 in der kantonalen Verwaltung und für die Kantonspolizei Zürich.
Im entsprechenden Protokollauszug heisst es unter anderem, die Datenschutzbeauftragte des Kantons Zürich, die kantonale Datenschutz-Aufsichtsbehörde, habe den Vertrag – mit einer Ergänzung – abgesegnet:
«Die Vertragsverhandlungen wurden von der Datenschutzbeauftragten des Kantons Zürich begleitet. Der Kanton Zürich hat das Vertragswerk mit einer von der Datenschutzbeauftragten gestützten Ergänzung abgeschlossen, nachdem die Datenschutzbeauftragte am 23. Juni 2021 schriftlich erklärt hatte, dass die datenschutzrechtlichen Anforderungen mit Microsoft auf vertraglicher Ebene erfüllt sind.»
Die Zulassung habe Vorbildwirkung, schreibt beispielsweise die Microsoft-Partnerin Baggenstos :
«Richtungsweisend: Mit dem zukunftsweisenden Regierungsratsbeschluss […] darf die kantonale Verwaltung Zürich fortan die Cloud-Lösung Microsoft 365 nutzen. Der Bezug der Services soll über die Schweizer Microsoft Rechenzentren erfolgen. Dem Zürcher Vorbild wollen sich bald weitere Kantone anschliessen.»
Die Vorbildwirkung besteht aber nur, wenn klar ist, was die Datenschutzbeauftragte mit welcher vertraglichen Ergänzung tatsächlich abgesegnet hat.
Ich fragte deshalb bei Dr. Dominika Blonski, der amtierenden Datenschutzbeauftragten, mit Verweis auf das Öffentlichkeitsprinzip im Kanton Zürich nach.
Datenschutzbeauftragte: Öffentliche Erklärung, geheime Vertragsergänzung
Die erwähnte «schriftliche Erklärung» vom 23. Juni 2021 wurde mir freundlicherweise zugestellt. Es handelt sich um eine kurze E-Mail mit im Wesentlichen folgendem Inhalt:
«Besten Dank für die Zustellung des Microsoft-Vertragswerks. Wir haben die Dokumente geprüft und nehmen dazu gerne nachfolgende Stellung.
Im Dokument ‹Vertragszusatz Kanton Zürich (Amendment-M23,M523,CTM-CTC-OST 7-YXMRFBB3)› sind die Punkte gemäss unserem Sideletter-Vorschlag enthalten. Wir konnten uns vergewissern, dass der (nun auf Deutsch übersetzte) Wortlaut dem entspricht, was Microsoft im Rahmen der von uns begleiteten Verhandlungen zugesicherte hatte.
Damit sind die datenschutzrechtlichen Anforderungen auf der vertraglichen Ebene erfüllt.»
Der Zugang zur ebenfalls erwähnten Ergänzung zum Vertragswerk wurde mir hingegen mit Verweis auf die Schweigepflicht verweigert:
«Die […] ‹Ergänzung […]› ist Teil eines Vertragswerkes bei dem die DSB nicht Vertragspartei ist. Die DSB unterliegt bei ihrer Tätigkeit der gleichen Schweigepflicht wie das öffentliche Organ (§ 38 IDG). Dieses, im vorliegenden Fall das Amt für Informatik, kann mit seinen Vertragspartnern vertragliche Geheimhaltungspflichten vereinbaren, an welche auch die DSB gebunden ist.»
Und:
«Da die Datenschutzbeauftragte nicht Vertragspartei ist, können wir den Inhalt der Geheimhaltungspflicht im Einzelnen nicht auslegen und insbesondere keine Interessenabwägung zum Informationsanspruch vornehmen. Aus diesem Grund haben wir Ihr Gesuch betreffend die Information […] an das Amt für Informatik überwiesen.»
Im Klartext: Der Kanton Zürich, vertreten durch das Amt für Informatik, hat mit Microsoft vereinbart, das Vertragswerk geheim zu halten. Mit der Vereinbarung solcher Geheimhaltungspflichten unterlaufen Behörden immer wieder das Öffentlichkeitsprinzip.
(IDG steht für das Gesetz über die Information und den Datenschutz im Kanton Zürich. Das IDG regelt unter anderem das – schwach ausgestaltete – Öffentlichkeitsprinzip im Kanton Zürich.)
Zwischenfazit: Noch (?) keine Vorbildwirkung
Das Amt für Informatik teilte mir inzwischen mit einem Schreiben mit, man gehe davon aus, dass «ein Entscheid über das Gesuch im Verlaufe des Julis 2022 vorliegen» werde.
Das Amt für Informatik erklärte, dass eine sorgfältige Interessenprüfung vorgenommen werden müsse, weil die «Dokumente Informationen enthalten können, die als vertraulich klassifiziert sind oder Personendaten betreffen […].»
Auf ein separates Gesuch, unter anderem betreffend Zugang zum Vertrag bzw. den Verträgen mit Microsoft, Workshop-Unterlagen und den Ergebnissen der Risikobeurteilung, hat das Amt für Informatik – soweit für mich ersichtlich – bislang nicht reagiert. Die gesetzliche Frist von 30 Tagen gemäss § 28 Abs. 1 IDG ist inzwischen abgelaufen.
Die Zulassung von Microsoft 365 im Kanton Zürich kann in der datenschutzrechtlichen Substanz vorläufig keine Vorbildwirkung entfalten.
Eine solche Vorbildwirkung wäre erst möglich, wenn öffentlich bekannt würde, was der Kanton Zürich und Microsoft tatsächlich vereinbart haben und wie genau sich die Datenschutzbeauftragte tatsächlich dazu geäussert hat. Solche Transparenz würde auch das Vertrauen der Menschen im Kanton Zürich in den Datenschutz bei ihrer Verwaltung stärken.
Siehe auch: Microsoft 365-Lösung für Zürcher Kantonsverwaltung zugelassen (dnip.ch).
Nachtrag vom 10. August 2022
Inzwischen kann ich die Risikobeurteilung dank der Tech-Journalistin Adrienne Fichter zur Verfügung stellen: Microsoft 365 – So funktionierte die Risikobeurteilung mit der «Methode Rosenthal» im Kanton Zürich.