Die Datenschutzbeauftragte des Kantons Basel-Stadt bedauert den Regierungsentscheid zur umfassenden Einführung der Microsoft 365 Cloud (M365) in der Verwaltung. «Ich habe wiederholt den Dialog mit dem Regierungsrat gesucht – vergeblich», sagte Danielle Kaufmann am Mittwoch auf Anfrage der Nachrichtenagentur Keystone-SDA. Sie behalte sich nötigenfalls vor, eine Weisung zu erlassen.
Der Gebrauch dieses Instruments ist gemäss Informations- und Datenschutzgesetz möglich, wenn ein öffentliches Organ eine Empfehlung ablehnt und schutzwürdige Interessen gefährdet sind. Da die Regierung eine solche Weisung vor dem Appellationsgericht anfechten könnte, hätte dies voraussichtlich einen Rechtsstreit zur Folge, wie Kaufmann erklärt.
Ob es zu einer Weisung kommt, ist noch offen. Jedenfalls werde sie genau darauf schauen, welche Applikationen der Cloud eingesetzt werden und ob die Regierung auch Alternativen zum amerikanischen Tech-Konzern prüfe. Zudem brauche der Kanton eine Exitstrategie, sprich einen Plan, wie er wieder aus dem Microsoft-System herausfinden kann, sagte Kaufmann weiter.
Die Regierung hatte am Dienstag in einer Mitteilung festgehalten, dass Daten mit einem erhöhten Schutzbedarf, etwa im Sozial-, Gesundheits- und Finanzwesen, weiterhin hauptsächlich in den lokalen Fachanwendungen bearbeitet und gespeichert werden.
Kaufmann wirft die Frage auf, wie denn diese Unterscheidung gemacht werden, da M365 auch beim E-Mail-Verkehr Verwendung findet. So berge beispielsweise schon allein eine Mail an eine Sozialhilfeempfängerin sensible Daten.
Die Regierung beschloss die Umstellung auf M365 in der Verwaltung ab Herbst 2025. Daten mit einem hohen Schutzbedarf dürften weiterhin nicht in der Cloud bearbeitet oder gespeichert werden. Aufgrund der Datenverschlüsselung und der starken Schutzmechanismen von M365 verbessere sich die Informationssicherheit, schrieb die Regierung.
Die Daten werden in den Schweizer Rechenzentren von Microsoft gespeichert. Die Kantonsexekutive beurteilte die Restrisiken im Vergleich zum Nutzen als tragbar. Ein Anbieter- und Produktewechsel betrachtet sie als «nicht realistisch, risikoreich und zu teuer», wie es im Regierungscommuniqué heisst.
Kaufmann sieht in diesem Entscheid hingegen eine «erhebliche Schwächung der digitalen Souveränität und eine Gefährdung für die Grundrechte der Menschen» im Kanton. Sie habe schon im Vorfeld von dieser Cloud-Lösung abgeraten und den Regierungsrat auf die Risiken aufmerksam gemacht, wie es in einem Communiqué von ihr heisst.
Mit der Auslagerung der gesamten ICT-Grundversorgung, dazu gehören auch E-Mail-Kommunikation, Telefonie und Datenablage, verliere der Kanton einen wesentlichen Teil seiner Kontrolle darüber. Microsoft habe trotz Verschlüsselung weiterhin die Möglichkeit, auf sensible zurückzugreifen und für eigene Zwecke zu nutzen oder Dritten bekannt zu geben, schreibt die Datenschutzbeauftragte.
Besonders überrascht zeigt sich Danielle Kaufmann darüber, dass die Regierung ausgerechnet zum jetzigen Zeitpunkt kritische Daten des Kantons in die Hände eines US-amerikanischen Tech-Konzerns gebe. Damit mache sich Basel-Stadt weitgehend «von den erratischen und besorgniserregenden politischen Entwicklungen in den USA abhängig».
Die Konzerne intensivierten dort die Zusammenarbeit mit Regierung des Präsidenten Donald Trump, die gegenwärtig grundlegende rechtsstaatliche Garantien in Frage stelle, den Datenschutz aushöhle und die Schweiz mit willkürlichen Zöllen belege. Die Datenschutzbeauftragte wies weiter darauf hin, dass der Bund die Nutzung von M365 für sensible Daten und E-Mail-Verkehr ausdrücklich ausgeschlossen habe.
Die Regierung wird sich vor dem Parlament zu diesen Fragen äussern. Die Grossrätin Anina Ineichen (Grüne) hat am Mittwoch bereits eine Interpellation zu diesem Thema eingereicht. Sie will unter anderem von der Regierung wissen, wie diese mit M365 den Datenschutz gewährleistet.
(dsc/sda)
