Die Verwaltung im Kanton Zürich darf die Cloud-Lösung Microsoft 365 nutzen. Der Regierungsrat erteilte die Zulassung, unter anderem mit Verweis auf eine Vertragsergänzung sowie eine Risikobeurteilung einschliesslich Workshop mit der «Methode Rosenthal».
Die Zulassung hat allerdings nicht die erhoffte Vorbildwirkung, denn der Kanton Zürich verweigert die Transparenz.
Die fehlende Transparenz zeigen die Ergebnisse meiner Gesuche um Zugang zu Dokumenten mit Verweis auf das Öffentlichkeitsprinzip im Kanton Zürich.
Unbefriedigend: Gesuch an die Datenschutzbeauftragte des Kantons Zürich
Die Datenschutzbeauftragte (DSB) des Kantons Zürich sah sich nicht in der Lage, die von ihr abgesegnete Vertragsergänzung herauszugeben und leitete mein Gesuch an das Amt für Informatik weiter.
Dr. Dominika Blonski konnte mit Verweis auf ihre Schweigepflicht lediglich eine kurz gehaltene E-Mail-Bestätigung herausgeben.
Siehe dazu: Geheimhaltung – Verträge für Microsoft 365 im Kanton Zürich haben erst einmal keine Vorbildwirkung.
Abgelehnt: Weitergeleitetes Gesuch an das Amt für Informatik
Das Amt für Informatik verweigerte – nach einer ersten Fristverlängerung – den Zugang zur Vertragsergänzung gemäss dem Gesuch, das die DSB weitergeleitet hatte.
«Das Vertragswerk zwischen dem Kanton Zürich und Microsoft sieht ausdrücklich vor, dass die zwischen den Parteien geschlossenen vertraglichen Bestimmungen vertraulich sind.»
Amt für Informatik des Kantons Zürich
Mit Verfügung vom 28. Juli 2022 wurde mein «Gesuch um Informationszugang betreffend Einsatz von Microsoft 365 in der kantonalen Verwaltung», wie es am 21. April 2022 ursprünglich an die Datenschutzbeauftragte des Kantons Zürich gegangen war, vom Amt für Informatik abgelehnt.
Als Rechtsgrundlage für die Ablehnung verweist Amtschef Hansruedi Born auf § 23 Abs. 1 des Gesetzes über die Information und den Datenschutz (IDG) im Kanton Zürich.
Das Amt für Informatik beruft sich insbesondere auf eine Vertraulichkeitsvereinbarung mit Microsoft.
Der Kanton Zürich hat das Vertragswerk mit Microsoft demnach mit Wissen und Willen dem Öffentlichkeitsprinzip entzogen, anstatt den Grundsatz der Öffentlichkeit im Vertragswerk zu berücksichtigen.
Begründung:
«[…] Das Vertragswerk zwischen dem Kanton Zürich und Microsoft sieht ausdrücklich vor, dass die zwischen den Parteien geschlossenen vertraglichen Bestimmungen vertraulich sind und dass beide Personen sich verpflichten, diese vertraulichen Informationen Dritten gegenüber nicht offenzulegen. Der Offenlegung des Vertragswerks steht damit eine rechtliche Begründung entgegen.»
Daneben behauptet das Amt für Informatik ein überwiegendes öffentliches Interesse:
«Ferner besteht ein überwiegendes öffentliches Interesse des Kantons Zürich an der Einhaltung eingegangener vertraglicher Pflichten, damit der Kanton Zürich als zuverlässiger Vertragspartner anerkannt bleibt und damit die Allgemeinheit nicht für die finanziellen Folgen eines Vertragsbruches einstehen muss.»
Schliesslich erklärt das Amt für Informatik, «der Bekanntgabe der vertraglichen Informationen» stehe «auch ein überwiegendes privates Interesse von Microsoft an der Wahrung der Vertraulichkeit entgegen».
Ignoriert: Direktes Gesuch an das Amt für Informatik
Ebenfalls am 21. April 2022 war ich mit einem direkten IDG-Gesuch an das Amt für Informatik gelangt.
Auf dieses Gesuch hat das Amt für Informatik bislang – soweit für mich ersichtlich – nicht reagiert. Die gesetzliche Frist von 30 Tagen ist längst abgelaufen und eine Fristverlängerung ist mir nicht bekannt.
Das Gesuch war dem Amt für Informatik am 22. April 2022 zugestellt worden.
In diesem Gesuch hatte ich um Zugang zu folgenden amtlichen Dokumenten bzw. Informationen ersucht:
- «Vertrag bzw. Verträge mit Microsoft betreffend Microsoft 365 […]»
- «Workshop-Unterlagen wie beispielsweise Einladung, Präsentation und / oder Protokoll […]»
- «Ergebnisse der Risikobeurteilung […]» (gemäss «Methode Rosenthal»)
- «Allgemeine Nutzungsrichtlinie für den Einsatz von Microsoft 365 […]»
Keine Vorbildwirkung: Geheimhaltung statt Transparenz
Mit ihrer Geheimhaltung gefährden die Kantonalzürcher Behörden das Vertrauen der Bürgerinnen und Bürger.
Ohne Transparenz hat die Zulassung von Microsoft 365 im Kanton Zürich keine Vorbildwirkung.
Eine solche Vorbildwirkung wäre nur vorhanden, wenn die Grundlagen dieser Zulassung öffentlich zugänglich wären und unabhängig überprüft werden könnten.
Ohne Transparenz verdient der Einsatz von Microsoft 365 im Kanton Zürich – unter anderem für Daten der Kantonspolizei – kein Vertrauen.
Der Öffentlichkeitsgrundsatz dient der Transparenz der Verwaltung und soll das Vertrauen der Bürgerinnen und Bürger in die staatlichen Institutionen und ihr Funktionieren fördern. Das betont das Bundesgericht jeweils in seiner Rechtsprechung mit Verweis auf Art. 1 des eidgenössischen Öffentlichkeitsgesetzes (BGÖ).
Mit ihrer Geheimhaltung gefährden die Kantonalzürcher Behörden das Vertrauen der Bürgerinnen und Bürger.
Der Kanton Zürich hat Geheimhaltung mit Microsoft vereinbart und sich einer entsprechenden Vertragsstrafe unterworfen. Dadurch wird das Öffentlichkeitsprinzip wissentlich und willentlich untergraben.
Mein direktes Gesuch an das Amt für Informatik wurde bislang ignoriert. Das Amt für Informatik erweckt (auch) damit den Eindruck, das Öffentlichkeitsprinzip für lästig und Transparenz für überflüssig zu halten.
Unverständlich ist für mich, dass Microsoft ebenfalls keine Transparenz schaffen möchte. Bislang galt Microsoft in Datenschutz-Kreisen als führend, was Cloud-Verträge betrifft, die kompatibel (genug) mit dem schweizerischen Recht sind.
Die Zulassung von Microsoft 365 im Kanton Zürich ist nicht richtungsweisend. Es handelt sich um einen Rückfall in Zeiten, als Bürgerinnen und Bürger dem Obrigkeitsstaat und seinen Beamten bedingungslos vertrauen sollten.
Der Kanton Zürich und Microsoft schaden mit ihrem Verhalten all jenen in der Schweiz, die Cloud-Dienste einsetzen möchten.
Alles in allem erweisen der Kanton Zürich und Microsoft dem Einsatz von Cloud-Lösungen in der Verwaltung und anderswo in der Schweiz einen Bärendienst.
Während die Kantonalzürcher Datenschutzbeauftragte die Zulassung von Microsoft 365 hinter verschlossenen Türen abgesegnet hat, erklären andere kantonale Datenschutzbeauftragte öffentlich, Vertraulichkeit in Bezug auf die Personendaten bei Microsoft sei nicht durchsetzbar oder sehen gar eine mögliche Amtsgeheimnisverletzung.
Der Kanton Zürich und Microsoft schaden mit ihrer Geheimhaltung all jenen in der Schweiz, die – meist aus guten Gründen – Cloud-Dienste, häufig von amerikanischen Anbietern, einsetzen möchten.
Was haben der Kanton Zürich und Microsoft zu verbergen? Was sollen die Bürgerinnen und Bürger im Kanton Zürich nicht erfahren dürfen?
Bild: Pixabay / LoboStudioHamburg, Public Domain-ähnlich.
Nachtrag vom 10. August 2022
Inzwischen kann ich die Risikobeurteilung dank der Tech-Journalistin Adrienne Fichter zur Verfügung stellen: Microsoft 365 – So funktionierte die Risikobeurteilung mit der «Methode Rosenthal» im Kanton Zürich.
In einer aktuellen Folge der Datenschutz Plaudereien sprachen Andreas Von Gunten und ich erneut über die fehlende Transparenz bei Microsoft 365 im Kanton Zürich.
Vielen Dank, Herr Steiger – ich schätze Ihr Engagement zu diesem Thema ausserordentlich. In zwei Punkten sind Sie aber noch zu nett:
a) Transparenz gibt es in der Softwarebranche ganz einfach nie – da wird alles zusammengemischt, damit der Preis am Schluss stimmt.
b) Rückfall würde bedeuten, dass es früher schlechter war. Was so pauschal halt auch nicht stimmt. Heute wird vielleicht weniger freihändig vergeben, aber man kann ja über die Ausschreibung steuern, wer als Lieferant in Frage kommt. Kontinuität ist dafür häufig nicht mehr gegeben, versteckte Folgekosten erfordern dann halt die Kreativität der Beschaffenden.
Bezüglich Vertraulichkeit teile ich die Bedenken der ‹anderen kantonalen Datenschutzbeauftragten voll und ganz.
@B. Schütz:
Vielen Dank für Ihre Rückmeldung!
Der Position der kritischen kantonalen Datenschutzbeauftragten steht der Belastungstest noch bevor. Wenn wir ehrlich sind, ist es sportlich, einfach mal so zu behaupten, es würde das Amtsgeheimnis verletzt oder Microsoft halte Verträge nicht ein.