Mit dem Einsatz einer cloudbasierten Plattform von Microsoft (M365) in der St. Galler Staatsverwaltung werden datenschutzrechtliche Vorgaben verletzt. Dies hält die kantonale Datenschutzbehörde in ihrem Tätigkeitsbericht fest. Kritische Fragen dazu gibt es auch in einem politischen Vorstoss im Kantonsparlament.
Der Kanton St.Gallen führe Microsoft 365 rollend seit Herbst 2024 ein, heisst es im diese Woche veröffentlichten Jahresbericht der kantonalen Fachstelle für Datenschutz (siehe Quellen). Entgegen der ersten Absicht könnten nun auch Personendaten, «die einem Berufs- oder besonderen Amtsgeheimnis unterstehen», in der Cloud von Microsoft bearbeitet werden.
Nach Ansicht der Fachstelle «widerspricht dieser Punkt datenschutzrechtlichen Vorgaben». Die Regierung müsse «die politische Verantwortung für diesen Umstand übernehmen».
Mit der Einführung von M365 seien die Mitarbeitenden verpflichtet, «die Dokumente je nach Sensibilität selbst zu klassifizieren», informiert die Fachstelle. Es bestehe die Gefahr, dass Dokumente falsch eingestuft würden.
Die St.Galler Datenschutzbeauftrage veröffentlicht in ihrem Jahresbericht verschiedene Empfehlungen. Sie schlägt etwa vor, dass in der Verwaltung standardmässig alle kritischen Dokumente mit «geheim» klassifiziert werden.
Weiter müsse vertraglich festgelegt werden, dass Microsoft die bearbeiteten Personendaten «gemäss dem Grundsatz der Zweckmässigkeit» nur für die vereinbarten Zwecke verwende. Angesichts der Herausforderungen von künstlicher Intelligenz (KI) sei dies «umso dringlicher».
Ausserdem müsse eine «Exit-Strategie» vorhanden sein, damit auf Vertragsverletzungen oder Verstösse gegen Datenschutzvorschriften reagiert werden könne. Es sollten deshalb auch regelmässig Alternativen geprüft werden, um einen allfälligen Wechsel zu evaluieren. Wenn Daten von Bürgerinnen und Bürgern in der Cloud von Microsoft bearbeitet werden, «muss dies transparent ausgewiesen werden».
Zum Thema Microsoft in der Staatsverwaltung liegt auch ein Vorstoss aus dem Parlament vor. SP-Kantonsrätin Monika Simmler will darin von der Kantonsregierung wissen, wie diese die Datenschutzrisiken bei der Nutzung von M365 in Anbetracht der veränderten geopolitischen Ausgangslage einschätze.
Der US-amerikanische Cloud Act ermögliche den US-Behörden «unter gewissen Voraussetzungen» einen Zugriff auf die bei den Technologiekonzernen gespeicherten Daten. Jedenfalls könne je nach technischen Möglichkeiten und vertraglicher Abrede «ein Zugriff der US-Behörden nicht ausgeschlossen werden».
Die Abhängigkeit von Microsoft-Anwendungen beinhalte Gefahren. Die US-Politik und mit ihr die US-Gesetzgebung müssten mittlerweile als ausgesprochen unberechenbar eingeschätzt und die Verlässlichkeit als minim eingestuft werden, schreibt die Assistenzprofessorin für Strafprozessrecht und Kriminologie an der HSG.
Die Regierung solle erklären, ob sie bereit ist, Alternativen zu prüfen, um zumindest mittelfristig auf europäische Lösungen setzen zu können.
Das Kantonsparlament wird den Tätigkeitsbericht der Fachstelle für Datenschutz in einer der kommenden Sessionen behandeln. Der Vorstoss von Monika Simmler ist von der Regierung noch nicht beantwortet worden.
(dsc/sda)
Fragt Chat-GPT in ein paar Wochen mal ob man eine Bratwurst mit Senf isst, ich weiss was dann die Antwort sein wird 😂
An alle IT-Menschen hier: Ja es ist einfach, mit OpenSource Software eine Alternative zu M365, GWP zu bauen. Und Nein, es ist komplex diese 24/7 zu betreiben mit genügend Personal, was im Notfall (Angriff, Datenabgriff) richtig reagiert - auch Nachts nach dem OFFA-Suff.