Mit Basel-Stadt gibt der nächste Kanton die breite Einführung von Microsoft 365 bekannt. Der Regierungsrat hat entschieden, dass der kantonalen Verwaltung ab Herbst 2025 die Cloud-Services zur Verfügung stehen sollen. Damit würden "neue Formen der digitalen Zusammenarbeit ermöglicht, wie sie heute in der Privatwirtschaft bereits als Standard etabliert sind", teilt er mit.

Mit der M365-Einführung erhalte Basel-Stadt "eine integrierte Plattform für effizientes, modernes und mobiles Arbeiten". Andere öffentliche Verwaltungen und der Bund hätten die Anwendungen von M365 bereits erfolgreich eingeführt. Aufgrund der Datenverschlüsselung und der starken Schutzmechanismen von M365 verbessere sich auch die Informationssicherheit im Vergleich zum Status Quo, ist die Regierung überzeugt.

Daten mit einem erhöhten Schutzbedarf wie beispielsweise Sozial-, Gesundheits- oder Finanzdaten würden weiterhin hauptsächlich in den lokalen Fachanwendungen bearbeitet und gespeichert. Die Nutzung von M365 werde aber auch für diese Datenkategorie grundsätzlich möglich sein. Nicht erlaubt ist die Verwendung für Daten mit einem sehr hohen Schutzbedarf.

Zwar seien Restrisiken vorhanden. "Diese Restrisiken werden im Vergleich zum Nutzen als tragbar beurteilt und werden durch technische, organisatorische und rechtliche Massnahmen erheblich reduziert", heisst weiter.

Man sei sich aber bewusst, dass mit der Einführung von M365 die Abhängigkeit von Microsoft-Produkten weiter bestehen bleibt. "Ein Anbieter- und Produktwechsel wird als nicht realistisch, zu risikoreich und teuer beurteilt. Die Prüfung möglicher Alternativen sowie die mittel- und langfristige Reduktion der Abhängigkeit wird weitergeführt." Ebenso verfolge der Regierungsrat die internationalen Entwicklungen – insbesondere in den USA.

Bei den weiteren Einführungsschritten werde die Datenschutzstelle des Kantons einbezogen, heisst es zum Schluss. Die Datenschutzbeauftragte Danielle Kaufmann bedauert in einer eigenen Mitteilung den Entscheid. Sie sieht in der M365-Einführung "eine erhebliche Schwächung der digitalen Souveränität und eine Gefährdung für die Grundrechte der Menschen im Kanton Basel-Stadt".

Betroffen seien auch sensible Daten der Bevölkerung. Diese Daten seien in M365 zwar verschlüsselt, Microsoft habe jedoch weiterhin die Möglichkeit, darauf zuzugreifen und die Daten für eigene Zwecke zu nutzen oder sie an Dritte weiter zu geben, kritisiert Kaufmann.

"Ich habe wiederholt den Dialog mit dem Regierungsrat gesucht - vergeblich", sagte Kaufmann auf Anfrage der Nachrichtenagentur 'Keystone-SDA'. Sie behalte sich nötigenfalls vor, eine Weisung zu erlassen. Dies ist gemäss Informations- und Datenschutzgesetz möglich, wenn ein öffentliches Organ eine Empfehlung ablehnt und schutzwürdige Interessen gefährdet sind.

Da die Regierung eine solche Weisung vor dem Appellationsgericht anfechten könnte, hätte dies voraussichtlich einen Rechtsstreit zur Folge, wie Kaufmann erklärt. Ob es zu einer Weisung kommt, ist noch offen. Jedenfalls werde sie genau darauf schauen, welche Applikationen der Cloud eingesetzt werden.

"Die Datenschutzbeauftragte ist besonders überrascht darüber, dass der Regierungsrat ausgerechnet zum jetzigen Zeitpunkt kritische Daten des Kantons in die Hände eines US-amerikanischen Tech-Konzerns gibt. So macht er sich weitgehend von den erratischen und besorgniserregenden politischen Entwicklungen in den USA abhängig", schreibt Kaufmann.

Während in Europa "die Bewegung zur Stärkung der digitalen Souveränität und Unabhängigkeit" an Fahrt gewinne, scheine sich der Kanton Basel-Stadt genau in die entgegengesetzte Richtung zu bewegen. Auch innerhalb der Schweiz hätten der Bund und viele andere Kantone die erheblichen Risiken von M365 erkannt und den Einsatz stark eingeschränkt. Zu M365 würden Alternativen bestehen, darauf habe sie den Regierungsrat auch hingewiesen.

"Die Datenschutzbeauftragte wird die Implementierung von M365 genau verfolgen und kontrollieren. Das Ziel ist, die Risiken für die Grundrechte möglichst zu minimieren." Der Regierungsrat hat angekündigt, mögliche Alternativen zur Reduktion der Abhängigkeit von M365 laufend zu prüfen. Auf die Umsetzung dieser Massnahme werde sie ein besonderes Augenmerk legen, hält Kaufmann fest. Zudem brauche der Kanton eine Exitstrategie, sprich einen Plan, wie er wieder aus dem Microsoft-System herausfinden kann, ergänzte die Datenschützerin gegenüber der Nachrichtenagentur.