Berner Datenschützer warnt vor Microsoft-Cloud
Der Kanton Bern hat vor den Datenschutz lockern. So sei eine effizientere Verwaltung möglich. Das ist doch verfassungswidrig, findet der Experte.
Die von der Berner Regierung vorgeschlagene Erneuerung des Datenschutzgesetzes kommt beim kantonalen Datenschützer gar nicht gut an: «Die geplante Totalrevision verstösst gegen Verfassungsrecht und Völkerrecht», sagt Ueli Buri, Chef der kantonalen Datenschutzaufsichtsstelle.
Streitpunkt ist die «grenzüberschreitende Datenübermittlung», also die Speicherung und Bearbeitung von Daten im unsicheren Ausland mittels Cloud-Lösungen wie Microsoft 365. Denn trotz Warnungen vor zahlreichen «Restrisiken» setzt der Kanton Bern – wie der Bund und zahlreiche Kantone und Gemeinden auch – auf die Software des Techgiganten aus den USA.
Das Problem dabei: Aus Sicht des Bundesrats und der Schweizer Datenschutzbehörden gelten die USA punkto Datenschutz als unsicherer Drittstaat. «Dadurch ergeben sich auch in der Schweiz Unsicherheiten bezüglich der Nutzung von US-Cloud-Lösungen wie Microsoft 365», wie die federführende Direktion für Inneres und Justiz in ihrem Vortrag zum totalrevidierten Datenschutzgesetz schreibt.
Heikle Daten werden in den USA gespeichert
Bis zum jetztigen Zeitpunkt werden Personendaten im Kanton Bern in eigenen Rechenzentren gehortet. Nicht auf Microsoft-Servern.. Als US-Unternehmen ist Microsoft dem 2018 eingeführten Cloud Act unterworfen. Das Gesetz erlaubt es US-Behörden, auf Daten in der Cloud zuzugreifen, auch wenn sie in Europa oder der Schweiz gespeichert werden.
Im Zeitalter des Überwachungskapitalismus muss sich auch der Kanton Bern zwischen Sicherheit und Praktikabilität entscheiden. In der Vernehmlassung zum neuen Datenschutzgesetz hat der Regierungsrat zwei Varianten zum künftigen Umgang mit ausländischen Cloud-Anbietern vorgeschlagen:
Variante Eins
Diese Variante entspricht dem Status quo, der Haltung des Bundesrats und, soweit bekannt, der Haltung der anderen Kantone. Sie wird vom Datenschützer begrüsst. Die Personendaten bleiben in der Schweiz oder anderen Ländern mit einem angemessenen Datenschutz.Variante Zwei
Diese hält hingegen eine konkrete Datenschutzverletzung für unwahrscheinlich und gewichtet die erleichterte Nutzung von US-Cloud-Lösungen durch die Behörden höher. Personendaten können in dieser Variante in die USA oder andere Drittstaaten übermittelt werden, selbst wenn sie über kein angemessenes Datenschutzniveau verfügen.
Der Regierungsrat geht in Variante 2 davon aus, dass die Datenschutzrisiken, die sich für die betroffenen Personen aus der Nutzung von US-Cloud-Lösungen ergeben können, «theoretischer Natur» und in der Praxis «kaum relevant» sind. Kantonsangestellten wäre es demnach erlaubt, jegliche cloudbasierten Zusammenarbeitsplattformen uneingeschränkt zu nutzen.
Standortvorteil durch schwachen Datenschutz
Weil der Kanton Bern mit diesem Paragrafen weiter gehen würde als alle anderen Kantone, erhofft er sich davon einen «Standortvorteil»: Der Kanton Bern könnte US-Cloud-Angebote so nutzen, wie es in der Privatwirtschaft Standard ist. «Damit verbindet der Regierungsrat die Hoffnung, dass die Behörden ihre Digitalisierungsziele rascher, kostengünstiger und kundenfreundlicher erreichen als mit konventioneller Software, welche ohne Cloud auskommt», sagt die zuständige Regierungsrätin Evi Allemann (SP).
Für Datenschützer Ueli Buri hingegen verstösst der Kanton damit gegen «Grundsätze rechtsstaatlichen Handelns, die so fundamental sind, dass auch der Gesetzgeber nicht davon abweichen kann».
Profitieren vom «unkritischen Kanton»
Dem Standortvorteil-Argument kann Buri wenig abgewinnen. Es sei schwerlich erkennbar, für welchen Wettbewerb dieser Vorteil geschaffen werden solle: «Die öffentlichen Verwaltungen stehen unseres Wissens in keiner Konkurrenz zueinander, und auch Bürgerinnen und Bürger sowie Unternehmen werden kaum vermehrt in den Kanton Bern umziehen, wenn ihre Daten in das unsichere Ausland übermittelt und dort bearbeitet werden.»
Profitieren würden höchstens die grossen Anbieter, die ihre Cloud-Lösungen im «unkritischen Kanton Bern» leichter verkaufen könnten als andernorts. Dass es durchaus verfassungskonforme Lösungen gebe, zeige etwa der Ersatz von Whatsapp durch Klapp an den Berner Schulen.
Auch der Vergleich mit der Privatwirtschaft ist laut dem Datenschutzchef «verfehlt»: Urteilsfähige Menschen könnten für sich selbst entscheiden, ob sie einer Übermittlung ihrer Daten in «unsichere» Drittstaaten zustimmen wollten oder nicht. Demgegenüber hätten Behörden die Grundrechte von Amtes wegen zu beachten. «Der Kanton Bern kann deshalb aus dem Verhalten der Privaten gar nichts für sich selbst ableiten.»
Den Einwand, dass der Datenschützer mit seiner kompromisslosen Position vor allem Mehrkosten für die
Steuerzahlenden
verursacht, lässt Buri nicht gelten: Der Schutz der Grundrechte sei
immer mit einem gewissen Aufwand der Behörden verbunden.
Allemann kündigt Rechtsgutachten an
Was sagt Allemann zu dieser Fundamentalkritik des Datenschützers? Der Regierungsrat habe die Varianten «ergebnisoffen» in die Vernehmlassung geschickt, so die Vorsteherin der Direktion für Inneres und Justiz. Gleichzeitig räumt Allemann ein, dass ihre Direktion die umstrittene Variante «weniger» detailliert ausgearbeitet hat. Der Regierungsrat habe sich erst kurz vor der Vernehmlassung für einen Variantenvorschlag entschieden. Ein «parallel zum Vernehmlassungsverfahren» in Auftrag gegebenes Rechtsgutachten soll nun die Vereinbarkeit mit übergeordnetem Recht beleuchten.
Bei Vorliegen des Gutachtens und der Auswertung der Vernehmlassung wird sich der Regierungsrat laut Allemann entscheiden, was er höher gewichtet: «Datenschutz oder mehr Nutzungsmöglichkeiten für eine effizientere Verwaltung.»