Im Verlaufe des Jahres 2025 soll in der Verwaltung des Kantons Luzern Microsoft 365 schrittweise eingeführt werden. Budgetiert sind Investitionskosten von 5,8 Millionen Franken, dazu kommen Betriebskosten von knapp 22 Millionen Franken bis 2029. Kritik am Projekt hatte in seinem "Tätigkeitsbericht 2023" der kantonale Datenschutzbeauftragte geäussert. Die Verwaltung begebe sich mit der breiten Einführung und Nutzung von M365 in "eine Abhängigkeit von noch nie da gewesenem Ausmass".

Das führte im vergangenen Herbst auch zu einer Anfrage im Kantonsrat. In der Antwort schrieb das Finanzdepartement, man habe zur geplanten Einführung eine Datenschutz-Folgenabschätzung durchgeführt und den kantonalen Datenschutzbeauftragten dazu konsultiert. Dieser habe verschiedene Empfehlungen gemacht, "von denen ein Teil umgesetzt wird".

Doch Kritik kommt in Luzern nicht nur vom Datenschutzbeauftragten und aus der Politik. Laut einem Bericht der 'Republik' (Paywall) hat der kantonale Chief Information Security Officer (CISO) Bedenken zum zeitlichen Fahrplan von Microsoft 365 geäussert. Er habe kritisiert, dass der Kanton die erforderlichen Hausaufgaben zur IT-Sicherheit rund um das Projekt Microsoft Cloud noch nicht erfüllt habe. Das System sei noch nicht genügend ausgereift, um cloud­spezifische Risiken evaluieren zu können. Die geplante Einführung im Sommer 2025 sei deshalb ein No-Go.

Diese Kritik sei der 'Republik' durch verschiedene Quellen bestätigt worden. Laut dem Bericht sei der CISO wegen seiner geäusserten Bedenken dann Anfang Juni freigestellt worden. Das Luzerner Finanzdepartement dementierte gegenüber dem Magazin: "Der Weggang hat keinen Zusammenhang mit der Einführung von Microsoft 365 beim Kanton Luzern."

In einer Stellungnahme vom Juli 2024, die der 'Republik' ebenfalls vorliegt, kommentieren die Verantwortlichen der Gerichte im Kanton Luzern: Sie wollen die Microsoft-Software auch in Zukunft auf eigenen Servern nutzen. Die Gerichte hätten ihre Geheimhaltungs­pflichten zu erfüllen, weshalb die digitale Souveränität und nicht wirtschaftliche Nutzen im Vordergrund stehen müssten. "Das Vertrauen in eine funktionierende, grundrechts­konforme Justiz ist ein äusserst wichtiges Gut", so die Stellungnahme.

Ein Sprecher des Finanzdepartements erklärte gegenüber der 'Republik', der grösste Teil der sensiblen Verwaltungs­daten lande nicht in der Microsoft-Cloud, etwa Gesundheits- und Steuer­daten. Doch das stimme nicht, schreibt das Magazin. In einem Regierungsratsbeschluss heisse es: "M365 wird ohne zusätzliche Verschlüsselung für Daten bis zur Stufe 'vertraulich' und einschliesslich 'besonders schützenswerter Personendaten' eingesetzt." Das umfasse deshalb auch Daten zur Gesundheit oder zur Sozialhilfe. Nur die Daten der Stufe "Geheimhaltung" seien ausgeschlossen.

Ähnliche Fragen rund um in der Microsoft-Cloud verarbeitete Daten beschäftigen auch den Kanton Basel-Stadt. Dieser will M365 ebenfalls noch in diesem Jahr einführen. Die Basler Datenschützerin kritisierte den Entscheid scharf. Hängig ist weiter eine kürzlich eingereichte Motion im Basler Grossen Rat, welche eine gesetzliche Grundlage für die Auslagerung von Informatikdienstleistungen fordert.