Die Stadtverwaltung mit rund 36 000 Mitarbeitenden ist auf eine zeitgemässe und effiziente IT-Infrastruktur angewiesen. Dabei sticht insbesondere der in der Stadtverwaltung eingesetzte Dienst von Microsoft 365 (M365) ins Auge. Dieser steht aktuell stark im medialen Fokus. Der Grund dafür: Die Produkte der M365-Lösung werden nur noch in der Cloud angeboten.
Im Praxisalltag der Datenschutzstelle hat sich im Berichtsjahr anhand konkreter Vorhaben gezeigt, dass die Dienstabteilungen der Stadtverwaltung zunehmend in Betracht ziehen, sensible Personendaten aus ihren Fachbereichen und -applikationen in der M365-Cloud zu speichern. Eine solche Auslagerung ist mit dem in der Bundesverfassung verankerten Grundrecht auf Datenschutz bzw. Privatsphäre nur schwer vereinbar. Die Datenschutzbeauftragten der Kantone und des Bundes haben im Namen ihres Fachvereines Privatim ebenfalls auf diese Problematik aufmerksam gemacht.
Gestützt auf den STRB Nr. 670/2022 hatte die Dienstabteilung Organisation und Informatik (OIZ) im Jahr 2022 die M365-Cloud mit dem Status Basisschutz+ freigegeben. Man war davon ausgegangen, dass in der M365-Cloud grundsätzlich auch besondere (und damit sensible) Personendaten gespeichert und bearbeitet werden dürfen. Diese Annahme ist aus heutiger Sicht aufgrund der technischen und politischen Entwicklung in Frage zu stellen.
Bereits Ende 2024 suchte die Datenschutzstelle den Austausch mit der OIZ, welche für die Gewährleistung der Sicherheit der M365-Cloud gemäss genanntem STRB verantwortlich ist, und setzte sie über ihre Bedenken in Bezug auf die Nutzung der M365-Cloud detailliert in Kenntnis.
Im Zuge dessen nahm die OIZ eine erneute Risikobetrachtung vor, welche sie im Ergebnis dazu bewog, im Frühjahr 2025 ein Moratorium auszusprechen. Das Moratorium betrifft besondere Personendaten, welche während der Dauer des Moratoriums nicht in einzelne Anwendungen der M365-Cloud ausgelagert werden dürfen.
Um das Schutzniveau der Daten in der M365-Cloud-Umgebung zu erhöhen, soll eine neue Verschlüsselungslösung eingesetzt werden, welche die Daten besser schützt. Vereinfacht gesagt soll mit der Umsetzung dieses Vorhabens der Schlüssel zu den Daten in der M365-Cloud neu durch die OIZ und nicht mehr durch Microsoft selbst verwaltet werden. Damit soll erreicht werden, dass Microsoft keinen Zugang zu den Daten in unverschlüsselter Form hat und damit die Personendaten für Microsoft nicht lesbar sind. Zur Absicherung der Tauglichkeit dieser Lösung hat die Datenschutzstelle im Herbst 2025 ein externes Audit gefordert.
Am Ende des Berichtsjahrs wurde dieses Audit fertiggestellt. Es bestätigte im Ergebnis, dass die geplante Verschlüsselungslösung grundsätzlich geeignet ist, die Datensicherheit in Bezug auf die datenschutzrelevanten Schutzziele, insbesondere Vertraulichkeit und Integrität, zu gewährleisten. Jedoch verbleiben auch mit dem Einsatz der Verschlüsselungslösung (Rest-)Risiken.
Die Datenschutzstelle hat diesbezüglich den Gesamtstadtrat einbezogen und ist bei ihm vorstellig geworden. Sie vertritt die Haltung, dass – aufgrund der Tragweite der Entscheidung sowie der momentan herrschenden politischen Diskussion über die Nutzung der M365-Cloud-Umgebung – diese Restrisikoübernahme durch den Stadtrat zu erfolgen hat. Die Tragweite, Konsequenz und insbesondere der konkrete Einsatz der Verschlüsselungslösung bzw. der M365-Cloud muss vom Stadtrat in einer verbindlichen Cloud-Governance definiert werden.
Aufgrund der hohen Abhängigkeit zum Anbieter Microsoft hat die Datenschutzstelle den Stadtrat zudem aufgefordert, eine verbindliche, valide und operationalisierbare Exitstrategie zu verabschieden. Für die öffentliche Verwaltung ist eine Exitstrategie kein optionales Zusatzthema, sondern ein zentraler Bestandteil einer verantwortungsvollen und verbindlichen Cloud-Governance.