Zug – Der US-amerikanische Cloud Act ist bereits im März 2018, also vor über sechs Jahren, in Kraft getreten. Er verpflichtet US-Unternehmen zur Herausgabe von Daten an amerikanische Behörden, unabhängig davon, wo die Daten ihrer Kunden gespeichert sind. Doch bis in Schweizer Behörden- und Regierungskreise scheinen sich die Konsequenzen noch nicht herumgesprochen zu haben. Wie sonst ist es zu erklären, dass neben der Bundesverwaltung auch die Kantone Luzern, Schwyz, Solothurn, Thurgau und Zürich beschlossen haben, ihre verwaltungsinternen Vorgänge zukünftig in der Microsoft-Cloud erledigen zu wollen? Und das trotz massiver Datenschutz-Bedenken.

Von Andrea Wörrlein, Geschäftsführerin von VNC in Berlin und Verwaltungsrätin der VNC AG in Zug

Obwohl die Daten in Schweizer Rechenzentren bearbeitet und gespeichert werden, wird ein Transfer in die USA explizit nicht ausgeschlossen. Wie löchrig der angeblich so strikte Datenschutz tatsächlich ist, dokumentiert auch das Verbot des Kantons Luzern, geheime Informationen in der Microsoft-Cloud zu bearbeiten. Die systemimmanenten Schwachstellen sind also bekannt – und werden auch noch auf dem Rücken der Mitarbeitenden ausgetragen. Und die Argumentation, die in der Microsoft-Cloud gespeicherten Daten würden ja mit einem unabhängigen Backup gesichert, ist eine bewusste Irreführung. Ein Backup ist bekanntermassen nur eine Sicherungskopie und sagt nichts darüber aus, was mit den Daten während und nach der Bearbeitung passiert.

Neben der chronischen Verletzung der Datensouveränität spielen zudem Kostenaspekte eine wichtige Rolle. Wie das in der Praxis aussieht, zeigt ein Blick nach Deutschland. Dort stiegen die Microsoft-Kosten der Bundesregierung innerhalb eines einzigen Jahres um satte 57 Prozent, exakt von 771 Millionen Euro 2022 auf über 1,2 Milliarden Euro 2023. Wie weit das Unternehmen bereit ist, seine marktbeherrschende Stellung monetär auszuspielen, zeigt sich auch im Umgang mit Vertriebs- und Lösungspartnern, sprich dem Channel. So ist der Schweizer Software-Vermarkter Software One in eine bedrohliche Schieflage geraten, weil Microsoft einseitig die Vergütungsbedingungen geändert hat. Zu wessen Gunsten wohl? IT-Händler und -Dienstleister sollten ihre Umsatzschwerpunkte einmal kritisch unter die Lupe nehmen und dabei ein offenes Ohr für die Alarmglocke haben. Die sollte immer dann läuten, wenn Microsoft einen überproportionalen Anteil am Gesamtumsatz hat. Statt kurzsichtig eine gefährliche Abhängigkeit weiter zu kultivieren, wäre es besser, rechtzeitig und weitsichtig Alternativen zum Quasi-Monopolisten aufzubauen.

Die gefährliche Festlegung auf ein proprietäres US-System ist umso unverständlicher, als es sichere Alternativen gibt, die offenen Standards verpflichtet sind (Stichwort: Open Source) und dazu auch noch aus der Schweiz kommen. Warum staatliche Institutionen etablierte einheimische Software-Anbieter ignorieren, wird wohl ein Rätsel bleiben, solange die aggressive Akquisitionstaktik und Lobbyarbeit des US-Konzerns nicht öffentlich gemacht wird. Eine wirklich sinnvolle, zukunftsorientierte strategische IT-Planung staatlicher Institutionen müsste vielmehr auf den Zeitpunkt vorbereiten, an dem endlich die nötigen Konsequenzen aus den systematischen Verstössen Microsofts gegen die einschlägigen Datenschutzbestimmungen gezogen werden. Die Entscheidung der genannten Kantone ist das genaue Gegenteil davon. Es ist zu erwarten, dass der datengetriebene KI-Boom und die krisenhaften Entwicklungen rund um den Globus den Druck auf die Einhaltung von Gesetzen und Massnahmen zum Schutz sensibler Daten weiter erhöhen. Er wird die staatlichen Behörden zu schnellen Erkenntnisgewinnen und praktischen Konsequenzen zwingen.