Luzerner Datenschützerin kritisiert M365 in der Kantonsverwaltung
Die Luzerner Datenschutzbeauftragte beurteilt den Einsatz der Microsoft-Cloud in der öffentlichen Verwaltung kritisch. Sie verweist auf fehlende Rechtsgrundlagen, Kontrollverlust sowie Abhängigkeiten - und sie empfiehlt Alternativen.
Die Luzerner Datenschutzbeauftragte Natascha Ofner-Venetz zeigt sich bezüglich des geplanten Einsatzes von Microsoft 365 (M365) in der kantonalen Verwaltung kritisch. Nach heutigem Stand sei die Bearbeitung besonders schützenswerter Personendaten in M365 unzulässig. Denn es fehle an einer klaren gesetzlichen Grundlage, die für "schwerwiegende Eingriffe in die informationelle Selbstbestimmung" zwingend erforderlich sei, schreibt sie in einer Einschätzung.
Für besonders problematisch hält die Datenschützerin die rechtliche Lage im Zusammenhang mit Daten, die einer gesetzlichen Geheimhaltungspflicht unterliegen, etwa im Rahmen des Berufsgeheimnisses oder des Amtsgeheimnisses. Die Auslagerung solcher Datenbearbeitungen an M365 stelle ein strafrechtlich relevantes Offenbaren dar, welches weder durch Datenschutzverträge noch durch technische Schutzmassnahmen wie Verschlüsselung gerechtfertigt werden könne, solange der Anbieter potenziellen Zugriff auf die Daten hat.
Ein zusätzliches rechtliches Problem ergibt sich laut Ofner-Venetz aus der Tatsache, dass Microsoft dem US-amerikanischen Recht untersteht - und somit Gesetze wie der US Cloud Act oder der Foreign Intelligence Surveillance Act (FISA) ausländischen Behörden unter bestimmten Umständen Zugriffsmöglichkeiten auf in der Cloud gespeicherte Daten eröffnen.
Widerspruch zur digitalen Souveränität
Darüber hinaus verliert die öffentliche Verwaltung mit dem Einsatz von M365 die Kontrolle über die Datenbearbeitung, wie die Datenschützerin weiter argumentiert. Schliesslich sei der Einsatz von M365 mit weitreichenden technischen, rechtlichen und politischen Abhängigkeiten verbunden.
Die umfassende Nutzung der Microsoft-Cloud bedeute eine einseitige Abhängigkeit von einem privatwirtschaftlichen Anbieter, bei dem weder eine vertragliche Steuerung auf Augenhöhe noch ein verlässlicher Rückzug möglich sei. Und wenn man zentrale Verwaltungsfunktionen vollständig auf externe, extraterritorial regulierte Anbieter auslagert, lässt sich das von der Strategie Digitale Verwaltung Schweiz 2024-2027 vorgegebene Ziel der Wahrung digitaler Souveränität nicht erreichen, wie Ofner-Venetz weiter schreibt.
Vor diesem Hintergrund empfiehlt die kantonale Datenschutzaufsicht, den Einsatz von M365 differenziert zu prüfen. Besonders schützenswerte Personendaten sowie Daten unter Geheimhaltungspflicht solle man vorrangig in Fachanwendungen oder lokal betriebenen Systemen bearbeiten. Zudem seien datenschutzrechtliche Risiken umfassend zu bewerten, alternative Lösungen aktiv zu prüfen und die digitale Selbstbestimmung als strategisches Ziel institutionell zu verankern, merkt die Luzerner Datenschützerin an.
Nach Kritik an der geplanten Umstellung auf M365 stellte der Luzerner Regierungsrat übrigens den IT-Sicherheitschef des Kantons frei - er war allerdings nicht der einzige, der das Vorgehen des Kantons kritisiert hatte. Mehr dazu lesen Sie hier.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
Das ist die Nominiertenliste von Best of Swiss Software 2025
Katzenfutterwerbung à la Jurassic Park
Security-VAD Icos verlässt DACH-Raum nach nur 4 Jahren
Wie Cyberkriminelle digitale Treuhanddienste ausnutzen
Piratenpartei präsentiert Konzept zur datensparsamen Altersprüfung
JustAskJacky: Wie künstliche Intelligenz Trojaner auf ein neues Bedrohungslevel hebt
Initiative fordert Verbot biometrischer Gesichtserkennung
Check Point kauft Zürcher KI-Start-up Lakera
Informatikzentrum des Bundes wird Cloud-Service-Broker
