Die Stadt Zürich hat ihren Tätigkeitsbericht der Datenschutzstelle 2025 am 4. Mai veröffentlicht, und aus dem breiten Dossier ragt ein Punkt sofort heraus: Die Nutzung von Microsoft 365 wird dort nicht als gewöhnliche IT-Frage behandelt, sondern als Datenschutz- und Souveränitätsproblem für sensible Personendaten. Auf der offiziellen Themenseite schreibt die Datenschutzstelle, dass Fachbereiche der Stadtverwaltung im Berichtsjahr zunehmend erwogen hätten, sensible Personendaten aus ihren Anwendungen in der M365-Cloud zu speichern. Genau diese Auslagerung sei mit dem in der Bundesverfassung verankerten Grundrecht auf Datenschutz und Privatsphäre nur schwer vereinbar. Spätestens an dieser Stelle wird aus einer abstrakten Cloud-Debatte ein klar publizierbarer Datenschutzfall.
Bemerkenswert ist vor allem, wie konkret der Bericht die Eskalation beschreibt. Laut der M365-Unterseite war die Cloud-Nutzung in Zürich ursprünglich auf Basis eines Stadtratsbeschlusses aus dem Jahr 2022 freigegeben worden. Damals ging man noch davon aus, dass in der M365-Cloud grundsätzlich auch besondere Personendaten verarbeitet werden dürfen. Diese Annahme stellt die Datenschutzstelle nun ausdrücklich infrage, und zwar wegen technischer und politischer Entwicklungen. Das ist kein Nebensatz, sondern eine harte Neubewertung des bisherigen Risikomodells.
Die Folge blieb nicht theoretisch. Wie die Stadt Zürich weiter ausführt, suchte die Datenschutzstelle bereits Ende 2024 den Austausch mit der für die Sicherheit der M365-Cloud verantwortlichen Dienstabteilung Organisation und Informatik. Im Frühjahr 2025 sprach diese daraufhin ein Moratorium aus. Besondere Personendaten dürfen seither während der Dauer dieses Moratoriums nicht in einzelne Anwendungen der M365-Cloud ausgelagert werden. Für Verantwortliche in Unternehmen ist genau das der operative Kern der Geschichte: Wenn eine Verwaltung mit rund 36.000 Mitarbeitenden den Transfer sensibler Daten in eine Standard-Cloud stoppt, dann nicht aus Symbolpolitik, sondern weil die Schutzannahmen für diese Datenkategorie nicht mehr tragen.
Warum der Zürcher Fall mehr ist als eine gewöhnliche Cloud-Debatte
Der Nachrichtenwert liegt nicht bloß darin, dass eine Datenschutzstelle vorsichtig formuliert. Der Bericht beschreibt vielmehr einen klassischen Governance-Konflikt moderner Datenverarbeitung. Auf der einen Seite stehen Effizienz, Standardisierung und die Bequemlichkeit einer etablierten Cloud-Suite. Auf der anderen Seite stehen besonders schützenswerte Daten, unklare Zugriffsmöglichkeiten und die Frage, wer am Ende die tatsächliche Kontrolle über Schlüssel und Inhalte behält. Genau an diesem Punkt kippt das Thema von IT-Architektur in Datenschutzpraxis.
Besonders deutlich wird das an der geplanten Gegenmaßnahme. Laut Stadt Zürich soll das Schutzniveau der Daten in der M365-Cloud künftig durch eine neue Verschlüsselungslösung erhöht werden. Der Schlüssel zu den Daten soll dabei nicht mehr von Microsoft selbst, sondern von der städtischen IT verwaltet werden. Die Datenschutzstelle forderte dafür im Herbst 2025 zusätzlich ein externes Audit. Das ist deshalb so relevant, weil es die eigentliche Streitfrage offenlegt: Nicht die bloße Nutzung einer bekannten Plattform entscheidet über die Zulässigkeit, sondern ob Verantwortliche den Datenzugriff technisch und organisatorisch wirklich unter eigener Kontrolle halten.
Damit liefert Zürich ein sauberes Gegenbild zu vielen oberflächlichen Cloud-Debatten. Oft wird so getan, als lasse sich Datenschutz mit Vertragswerken, Standardkonfigurationen und einem allgemeinen Vertrauen in große Anbieter erledigen. Der Zürcher Bericht zeigt das Gegenteil. Gerade bei besonderen Personendaten reicht ein allgemeines Sicherheitsversprechen nicht. Wenn unklar bleibt, ob Anbieter im Ernstfall Zugriffsmöglichkeiten behalten oder politische Rahmenbedingungen den Schutz verändern, dann wird aus Komfort sehr schnell ein Compliance-Risiko.
Was Unternehmen aus dem M365-Moratorium mitnehmen sollten
Für Unternehmen ist der Fall deshalb weit mehr als eine kommunale Spezialfrage. Viele Organisationen stehen vor derselben Versuchung wie die Zürcher Fachbereiche: Daten aus sensiblen Prozessen sollen in vertraute Kollaborations- und Cloud-Umgebungen wandern, weil das operativ praktisch wirkt. Genau hier lohnt der harte Prüfblick. Welche Datenkategorien sollen tatsächlich in die Cloud? Wer kontrolliert die Schlüssel? Welche Admin- oder Supportzugriffe sind technisch möglich? Und was passiert, wenn ein heute akzeptables Risikomodell durch geopolitische, regulatorische oder technische Veränderungen plötzlich nicht mehr belastbar ist?
Die wichtigste Lehre ist deshalb nicht, Microsoft 365 pauschal zu verdammen. Die wichtigere Lehre lautet, sensible Daten nicht automatisch der Standardplattformlogik zu unterwerfen. Wer Gesundheitsdaten, Sozialdaten, HR-Daten, Falldaten oder andere besonders schützenswerte Informationen verarbeitet, braucht ein deutlich schärferes Prüfprogramm als bei normaler Bürokommunikation. Dazu gehören klare Datenklassifizierung, dokumentierte Freigaben, technische Zugriffskontrolle, belastbare Verschlüsselung, regelmäßige Re-Assessments und die Bereitschaft, ein Moratorium auszusprechen, wenn das Schutzniveau nicht sauber nachweisbar ist.
Genau deshalb ist Zürich heute ein starker DSGVOSCAN-Fall. Die Stadt veröffentlicht nicht einfach einen allgemeinen Tätigkeitsbericht, sondern macht sichtbar, wie eine große Verwaltung bei sensiblen Daten die Reißleine zieht, weil Cloud-Nutzung ohne echte Schlüsselhoheit datenschutzrechtlich kippen kann. Für Datenschutzverantwortliche in Unternehmen ist das die eigentliche Botschaft des Tages: Souveränität ist kein Marketingbegriff. Sie entscheidet ganz praktisch darüber, ob besonders schützenswerte Daten in einer Standard-Cloud überhaupt etwas zu suchen haben.
Bildquelle: Pexels
Quellen: Stadt Zürich, Tätigkeitsbericht der Datenschutzstelle 2025; Stadt Zürich, Nutzung von M365 in der Stadtverwaltung – es braucht Anpassungen; Stadt Zürich, STRB Nr. 0670/2022 zu Cloud-Services.
