Microsoft M365: Grüne / Junge Grüne fordern Klarheit zum Datenschutz

Die Fraktion der Grünen / Jungen Grünen Luzern hat eine Interpellation im Grossen Stadtrat eingereicht, in der sie Auskunft über den Umgang mit dem Datenschutz und dem Einsatz von Microsoft M365 in der städtischen Verwaltung verlangt.

Anlass dafür ist der kürzlich veröffentlichte Tätigkeitsbericht 2024 des kantonalen Datenschutzbeauftragten (DSB), der erhebliche datenschutzrechtliche und sicherheitsrelevante Bedenken im Zusammenhang mit der Einführung von M365 in der kantonalen Verwaltung formuliert.

Der DSB kritisiert unter anderem die geplante Verarbeitung von Daten bis zur Stufe «vertraulich» in der Microsoft-Cloud, was er als «schweren Eingriff in das Grundrecht auf informationelle Selbstbestimmung» einstuft.

Weiter sieht er die Abhängigkeit von Microsoft zementiert und befürchtet den Verlust der digitalen Souveränität und das Risiko eines Vendor Lock-in.

Zudem formuliert er Bedenken zur Sicherheit der Daten und rät dringend zu einem umfassenden Risikomanagement inklusive einer Exit-Strategie.

Da Microsoft M365 bereits in der Verwaltung der Stadt Luzern im Einsatz ist und der DSB auch für kommunale Behörden zuständig ist, wollen die Grünen / Jungen Grünen vom Stadtrat wissen, welche Konsequenzen die Stadt aus den Einschätzungen des Datenschutzbeauftragten zieht.

Konkret wird der Stadtrat unter anderem gefragt, inwiefern der Stadtrat sich allgemein durch Einschätzungen und vorgeschlagene Massnahmen des DSB verpflichtet fühlt.

Ausserdem möchten die Grünen / Jungen Grünen wissen, welche Datenklassifikationen die Stadt bei der Arbeit mit M365 anwendet und ob diese im Lichte der Einschätzungen des DSB überprüft werden.

Weiter wollen sie klären, ob ein kontinuierliches Risikomanagement besteht und ob eine Exit-Strategie für den Fall eines Systemwechsels vorliegt. Schliesslich soll beantwortet werden, wie die Stadt Luzern generell mit den Risiken von Vendor Lock-in und dem Verlust digitaler Souveränität umgeht.

Die Grünen sind irritiert über den Umgang des Kantons mit den Einschätzungen des DSB: «Die Einführung von M365 im Kanton trotz der deutlich geäusserten Bedenken kann nur als ein mutwilliges Ignorieren des Datenschutzes verstanden werden», so der grüne Grossstadtrat Adrian Häfliger, welcher die Interpellation gemeinsam mit seiner Kollegin Monika Weder einreichte.

«Wir wünschen uns, dass die Stadt Luzern eine grössere Sensibilität für Datenschutzfragen zeigt und einen besseren Umgang mit den Einschätzungen des DSB pflegt!»

«Die Handlungsfähigkeit der öffentlichen Hand darf nicht leichtfertig aufs Spiel gesetzt werden!», so Adrian Häfliger weiter. «Der Bericht des DSB zeigt klar auf, dass die einseitige Ausrichtung auf die Dienstleistungen von Microsoft nicht nur ein grosses Sicherheitsrisiko darstellt, sondern auch die digitale Souveränität bedroht. Der Bericht zeigt ebenfalls auf, dass es Alternativen gibt. Wir fordern deshalb die Stadt zum Handeln auf!»