Vor­ge­hen beim Ein­satz von M365 in Ge­mein­den

Der Einsatz von cloudbasierten M365-Applikationen bei öffentlichen Organen ist nur unter bestimmten Voraussetzungen datenschutzrechtlich zulässig. Gestützt auf US-Gesetze wie den CLOUD Act können amerikanische Behörden Microsoft verpflichten, in der Microsoft Cloud bearbeitete Informationen herauszugeben. Öffentliche Organe dürfen daher sensitive Informationen wie besondere Personendaten und Informationen, die dem Berufsgeheimnis oder einem besonderen Amtsgeheimnis unterstehen, nicht ohne technische Schutzmassnahmen in der Cloud von Microsoft bearbeiten. Andernfalls ist ein hybrider Betrieb zu implementieren, in dem besondere Personendaten und geheimnisgeschützte Informationen nicht in der M365-Cloud-Umgebung bearbeitet und gespeichert werden. Im Leitfaden M365 in Gemeinden sind die Umsetzungsvarianten beschrieben. 

Die Datenschutzbeauftragte hat darauf hingewiesen, dass eine Vorabkontrolle bei der Einführung von M365 grundsätzlich nicht notwendig ist, sofern die Gemeinde eine der beschriebenen Varianten umsetzt. Sie hat die Gemeinden angewiesen, die benötigten Unterlagen wie zum Beispiel Datenschutz-Folgenabschätzung (DSFA), Informationssicherheits- und Datenschutzkonzept (ISDS-Konzept) und Verträge mit Microsoft selbstständig zu erstellen. Bei Umsetzungsfragen stand sie beratend zur Verfügung.