Die für Herbst 2025 geplante Einführung von Microsoft 365 beschäftigt seit Wochen den Kanton Basel-Stadt. Im Grossen Rat ist ein Vorstoss hängig, der eine gesetzliche Grundlage für die Auslagerung von Informatikdienstleistungen fordert. Letzte Woche stellte auch die kantonale Geschäftsprüfungskommission Forderungen an den Regierungsrat. Sie erwartet unter anderem, dass der Datenschutz nicht auf die Mitarbeitenden abgewälzt wird, sondern klare Weisungen, Zuständigkeiten und Kontrollen implementiert werden.

Die 'BZ' (Paywall) konnte jetzt Dokumente zum Deal zwischen Microsoft und der Basler Regierung einsehen. So habe diese im November 2023 ein "Memorandum" beim Zürcher Juristen David Rosenthal bestellt. Dessen Hauptargument ist laut Bericht: Bei M365 gebe es im Bereich von US-Behördenzugriffen einen "minimalen Kontrollverlust", dafür aber auch einen deutlich höheren Kontrollgewinn beim Schutz vor Hackern und anderen Gefahren.

Weiter habe auch eine unbekannte US-Kanzlei diese Einschätzung bestätigt. Dieses Dokument durfte die 'BZ' lediglich vor Ort einsehen. "Von wem das Papier stammt und wer es innerhalb der Verwaltung bestellt hat, bleibt geheim, die entsprechenden Stellen wurden geschwärzt. Auch das Wort Microsoft kommt auf den neun Seiten nirgends vor, es ist abstrakt von einem Provider mit einer Muttergesellschaft in den USA und einem direkten Vertragspartner in Irland die Rede", schreibt die Zeitung.

Die tatsächliche Dienstleistung soll hingegen ein Rechenzentrum erbringen, welches von einem Schweizer Partner betrieben wird. Das Konzept sei, dass einzig der Kanton den kryptografischen Schlüssel zu den Daten habe. Es werde aber explizit darauf hingewiesen, dass die Partnerfirma einen Ersatzschlüssel besitze, falls Basel-Stadt seinen Schlüssel verlieren sollte.

Gemäss den US-Anwälten ginge es bei der Datenherausgabe nach US-Recht vor allem um "Serious crimes" wie Terrorismus, Kinderhandel oder Cybercrime. Gewisse US-Gesetze nennen auch Spionage oder ähnliche Bedrohungen. Zudem sei auch fraglich, ob der Mutterkonzern Microsoft tatsächlich die faktische Kontrolle über einen Vertragspartner in der Schweiz ausübe. Diese Art von Kontrolle sei aber eine wesentliche Voraussetzung in mehreren US-Gesetzen, damit die Behörden Zugriff erhalten, zitiert die 'BZ' aus dem Dokument.

Das Fazit der US-Anwälte laute deshalb, die Gefahr, dass eine US-Behörde tatsächlich eine Anordnung zur Datenherausgabe erlässt, liege bei unter 5%. Die Chance wiederum, dass Microsoft die Anordnung erfolgreich vor US-Gerichten anfechten könne, liege bei deutlich über 80%. Die Wahrscheinlichkeit für einen Datenabfluss an US-Behörden schätze man darum als "äusserst tief" ein.

Julian Powell, stellvertretender Datenschutzbeauftragter des Kantons Basel-Stadt, betonte gegenüber der 'BZ', all diese genannten Dokumente würden aus der Zeit vor dem Amtsantritt von US-Präsident Donald Trump stammen. Seither habe sich die geopolitische Lage grundlegend verändert, die Risiken aus der Nutzung von M365 seien erheblich gestiegen.

"Bereits zuvor waren die Einschätzungen zur Wahrscheinlichkeit von Datenzugriffen durch US-Behörden auf ein fragwürdiges Fundament gestützt. Denn in wie vielen Fällen US-Behörden tatsächlich in der Vergangenheit auf Daten von US-Tech Unternehmen zugegriffen haben, ist nicht öffentlich bekannt. Entsprechend ist die Datengrundlage für allfällige Prognosen wenig aussagekräftig", so Powell zur Zeitung. Die Lage werde zunehmend unberechenbarer, was gegenwärtige Risikoberechnungen oftmals zu wenig berücksichtigen würden.