Die Datenschutzstelle des Kantons Basel-Stadt hatte vergangenes Jahr viel zu tun. Unter anderem mussten die verschiedenen Stellen auf das revidierte Informations- und Datenschutzgesetz (IGD) vorbereitet werden, das am 1. Januar 2025 in Kraft gesetzt wurde.
Insgesamt seien die Fragen an die Datenschutzstelle Basel-Stadt (DBS) sehr breit gefächert gewesen, heisst es im Jahresbericht. Die voranschreitende Digitalisierung und die sich daraus ergebenden Vorhaben hätten die Arbeiten besonders geprägt. Vor allem die zunehmende Verlagerung von IT-Systemen in die Cloud und erste Anwendungsfälle von Künstlicher Intelligenz (KI) beschäftigten die DBS.
M365 im Bildungsbereich
Wichtiges Thema ist Microsoft 365. Die Datenschutzstelle hat im vergangenen Jahr unter anderem die mögliche Einführung von M365 im Schulbereich und an der Universität Basel geprüft. Das Erziehungsdepartement wollte in einer Vorabkonsultation wissen, inwiefern es aus datenschutzrechtlicher Sicht vertretbar wäre, gewisse, klar definierte Anwendungen aus der Cloud-Lösung Microsoft 365 (M365) zu Unterrichtszwecken einzusetzen. Dabei sollen keine personenbezogenen Daten von Schülerinnen und Schülern oder Lehrpersonen betroffen sein.
Wie auch im Fall der Uni bewertet die DBS dies wohl als zulässig, empfiehlt aber zusätzliche Massnahmen. Etwa müssten die Nutzenden sensibilisiert und die Umsetzung regelmässig kontrolliert werden. Der Ausschluss von besonderen Personendaten aus M365 sei zu begrüssen, so die Datenschutzstelle im Rahmen der Vorkonsultation der Universität. Die Uni müsste für diese Daten aber eine entsprechende Infrastruktur zur Verfügung stellen, dies praktikabel gestalten und Nutzende entsprechend schulen. Die Datenschutzstelle hielt weiter fest, dass die Verantwortung bei der Leitung der Universität verbleibe und nicht auf die Nutzenden überwälzt werden könne.
Kritik an der Verwaltung
Nicht Teil des Jahresberichts 2024 ist das Thema Microsoft in der kantonalen Verwaltung. Der Regierungsrat von Basel-Stadt will M365 ab dem Herbst 2025 einführen. Dieses Vorhaben wurde – wie auch in anderen Kantonen – von mehreren Stellen kritisiert. Die Datenschutzbeauftragte hat Bedenken angemeldet und empfiehlt der Regierung eine Double Key Encryption (DKE),
wie die 'BaZ' kürzlich berichtete. Ein Schlüssel würde unter alleiniger Kontrolle des Kantons bleiben. Damit könnte verhindert werden, dass Microsoft Zugriff auf die Daten hätte.
Dies eigne sich nicht für die flächendeckende Verschlüsselung aller Daten und sei dafür auch nicht vorgesehen, findet hingegen die Regierung laut dem Bericht. Mit der DKE seien auch die Kollaborationsmöglichkeiten eingeschränkt, zitiert die 'BaZ' Regierungssprecher Marco Greiner.
Weiter erklärte er, dass mit einer DKE auch operative Risiken einhergehen würden. Der Kanton wäre für die Schlüssel verantwortlich. Ginge einer verloren, könnten die verschlüsselten Daten nicht wieder hergestellt werden.