Bedenken wegen Microsoft in der St. Galler Staatsverwaltung

Mit dem Einsatz einer cloudbasierten Plattform von Microsoft (M365) in der St. Galler Staatsverwaltung werden datenschutzrechtliche Vorgaben verletzt. Dies hält der kantonale Datenschutz im Tätigkeitsbericht fest. Kritische Fragen dazu gibt es auch in einem Vorstoss.

Der Kanton St. Gallen führe Microsoft 365 rollend seit Herbst 2024 ein, heisst es im diese Woche veröffentlichten Jahresbericht der Fachstelle für Datenschutz. Entgegen der ersten Absicht könnten nun auch Personendaten, «die einem Berufs- oder besonderen Amtsgeheimnis unterstehen», in der Cloud von Microsoft bearbeitet werden.

Nach Ansicht der Fachstelle «widerspricht dieser Punkt datenschutzrechtlichen Vorgaben». Die Regierung müsse «die politische Verantwortung für diesen Umstand übernehmen».

Mit der Einführung von M365 seien die Mitarbeitenden verpflichtet, «die Dokumente je nach Sensibilität selbst zu klassifizieren», informiert die Fachstelle. Es bestehe die Gefahr, dass Dokumente falsch eingestuft würden.

Die Fachstelle veröffentlicht in ihrem Jahresbericht verschiedene Empfehlungen. Sie schlägt etwa vor, dass in der Verwaltung standardmässig alle kritischen Dokumente mit «geheim» klassifiziert werden.

Weiter müsse vertraglich festgelegt werden, dass Microsoft die bearbeiteten Personendaten «gemäss dem Grundsatz der Zweckmässigkeit» nur für die vereinbarten Zwecke verwende. Angesichts der Herausforderungen von künstlicher Intelligenz (KI) sei dies «umso dringlicher».

Weiter müsse eine «Exit-Strategie» vorhanden sein, damit auf Vertragsverletzungen oder Verstösse gegen Datenschutzvorschriften reagiert werden könne. Es sollten deshalb auch regelmässig Alternativen geprüft werden, um einen allfälligen Wechsel zu evaluieren. Wenn Daten von Bürgerinnen und Bürgern in der Cloud von Microsoft bearbeitet werden, «muss dies transparent ausgewiesen werden».

Zum Thema Microsoft in der Staatsverwaltung liegt auch ein Vorstoss aus dem Parlament vor. SP-Kantonsrätin Monika Simmler will darin von der Regierung wissen, wie diese die Datenschutzrisiken bei der Nutzung von M365 in Anbetracht der veränderten geopolitischen Ausgangslage einschätze.

Der US-amerikanische Cloud Act ermögliche den US-Behörden «unter gewissen Voraussetzungen» einen Zugriff auf die bei den Technologiekonzernen gespeicherten Daten. Jedenfalls könne je nach technischen Möglichkeiten und vertraglicher Abrede «ein Zugriff der US-Behörden nicht ausgeschlossen werden».

Die Abhängigkeit von Microsoft-Anwendungen beinhalte Gefahren. Die US-Politik und mit ihr die US-Gesetzgebung müssten mittlerweile als ausgesprochen unberechenbar eingeschätzt und die Verlässlichkeit als minim eingestuft werden, schreibt die Assistenzprofessorin für Strafprozessrecht und Kriminologie an der HSG.

Die Regierung solle erklären, ob sie bereit ist, Alternativen zu prüfen, um zumindest mittelfristig auf europäische Lösungen setzen zu können.

Das Parlament wird den Tätigkeitsbericht der Fachstelle für Datenschutz in einer der kommenden Sessionen behandeln. Der Vorstoss von Monika Simmler ist von der Regierung noch nicht beantwortet worden.