Die Aberkennung des Privacy Shield hat auch für kantonale Behörden Folgen. Die Bau- und Verkehrsdirektion des Kantons Bern setzt Microsoft Teams als Bestandteil von Microsoft 365 ein. Erfahren sie am Beispiel der BVD mehr über die rechtliche Ausgangslage, Voraussetzungen und Massnahmen für den datenschutzkonformen Betrieb während der Pandemie und darüber hinaus.

By Hans-Martin Stampfli aus dem CAS Data Privacy Officer

Aufhebung Privacy Shield – Ein Entscheid mit Folgen

Am 8. September 2020 hat der Eidgenössische Datenschutzbeauftragte (EDÖB) dem schweizerisch-amerikanischem Privacy Shield-Abkommen die Anerkennung für einen ausreichenden Schutz für den Transfer von personenbezogenen Daten in die USA (Art. 6, Abs. 1 DSG) entzogen. Damit wird auf das Urteil des Europäischen Gerichtshofes (EuGH) reagiert. Ab sofort sind Behörden und öffentliche Organe in der Schweiz verantwortlich einen ausreichenden Datenschutz für Microsoft Online-Produkte über ein separates Abkommen mit Microsoft sicherzustellen.

Natürlich stehen von Seiten Microsoft Standard-Verträge wie die «Online Service Terms (OST)» und das «Data Processing Addendum (DPA)» zur Verfügung. Die Datenschützer sind sich aber einig: Die darin enthaltenen Regelungen reichen nicht aus, um den Abzug von personenbezogenen Daten in die USA zu verhindern. In dem für Microsoft 365 zur Verfügung stehende Administrationswerkzeug, lässt sich insbesondere die Übermittlung sogenannter «Diagnose-Telemetriedaten» der Benutzenden nicht vollständig einschränken.

 

Der Weiterbetrieb – Über Voraussetzungen und Massnahmen

Wird unter diesen Voraussetzungen der Betrieb von Microsoft Teams und anderen Microsoft 365-Produkten bei Behörden wie der BVD nur während der Pandemie geduldet (s. weiterführende Links), besteht für die anschliessende Verwendung ein grosses Fragezeichen. Wie bei anderen Unternehmen und Organisationen hat die BVD das Problem, dass sich die bekannten Werkzeuge von US-Herstellern bei der Kommunikation zwischen Mitarbeitenden, Partnern oder auch Bewerbern etabliert haben. Ganz sicher seit dem „Lockdown“, wo fast alle im Homeoffice „hocken“. Damit nicht jede Behörde einzeln auf Microsoft zugeht, macht es Sinn, dass die datenschutzrelevanten Punkte wie:

  • Anwendung schweizerisches Recht sowie schweizerischer Gerichtsstand (Art. 19 Abs. 1 DSG, Art. 16 KDSG)
  • Schutz vor Export bzw. Abrufen von Personendaten über den EU-Raum hinaus (Art. 6 Abs. 1 DSG, Art. 14a KDSG)
  • Anforderungen für die Datenbearbeitung klären
  • Festlegung eines zuständigen Microsoft-Vertragspartner innerhalb CH/EU

idealerweise gesamtschweizerisch mit Microsoft geregelt werden. Natürlich können sie als Vertreter eines öffentlichen Organs mit Berührungspunkten zu diesem Thema vorerst die Bemühungen für ein Abkommen abwarten. Ratsamer aber ist, wenn sie der Problematik aktiv begegnen und „technischen und organisatorischen Massnahmen“ (TOMs) einleiten. Die BVD hat frühzeitig reagiert und folgende Massnahmen über die Microsoft 365-eigene Verwaltungskonsole veranlasst, um damit den Transfer von personenbezogenen Daten oder deren Bearbeitung in die USA zu erschweren:

  • Das Verschlüsseln der Cloud-Daten über einen eigenen Schlüssel (BYOE) über „Customer Lockbox“
  • Zugriffsberechtigungen setzen mittels Einschränken von Regionen und Multi-Faktor-Authentifizierung über „Conditional access“
  • Anhänge auf Links aus direktionsinternem Datenmanagementsystem (DMS) beschränken

Abkommen mit Microsoft – Zurück am runden Tisch

Denn auch hinsichtlich Abkommen tut sich etwas. Stellvertretend für die öffentlichen Organe aus Bund und Kantonen, stehen die Mitglieder der Schweizerischen Informatikkonferenz (SIK) mit Microsoft für eine Regelung in Kontakt. Dabei wird die SIK von einer Arbeitsgruppe der Konferenz der schweizerischen Datenschutzbeauftragten (privatim) für die Klärung der datenschutzrelevanten Punkte beraten. Der Datenschutzbeauftragte des Kantons Bern ist optimistisch, dass innerhalb des 2. Halbjahres 2021 mit positiven Ergebnissen gerechnet werden kann. Ergreifen sie somit heute die Initiative. Nutzen sie das Potenzial der TOMs, um dem datenschutzkonformen und sicheren Weiterbetrieb der durchaus innovativen Werkzeuge von Microsoft 365 näher zu kommen.

 

 

About: Hans-Martin Stampfli ist Sicherheitsverantwortlicher bei der Bau- und Verkehrsdirektion des Kantons Bern und bloggt aus dem Unterricht des CAS Data Privacy Officer.

Weiterkommen mit dem CAS Data Privacy Officer: Dieses Weiterbildungsprogramm vermittelt die erforderlichen Fachkenntnisse zur Ausübung der Funktion des/der betrieblichen Datenschutzverantwortlichen oder des/der Datenschutzberatenden. Die Entwicklungen im Zusammenhang mit der laufenden Revision des Datenschutzgesetzes der Schweiz sowie die relevanten Aspekte der EU-Datenschutzgrundverordnung (DSGVO) – der General Data Protection Regulation (GDPR) 2016/679 – werden in diesem Kurs mitberücksichtigt.