Microsoft 365: Datenschutzbedenken in St. Galler Verwaltung

Gegen die Einführung von Microsoft 365 in der St. Galler Kantonsverwaltung hat es Bedenken des Datenschutzes gegeben. In einem Vorstoss wurden zudem kritische Fragen gestellt. In einer Stellungnahme räumt nun die Regierung ein, sie würde die Risiken heute anders beurteilen.

Im Kanton St. Gallen hat die Verwaltung in den letzten Monaten auf Microsoft 365 (M365) umgestellt. Neu werden damit Daten in einer Cloud des US-Konzerns gespeichert.

Der sogenannte «Cloud Act» ermöglicht den US-Behörden unter gewissen Voraussetzungen einen Zugriff auf gespeicherte Daten («Foreign Lawful Access») – auch wenn sie beispielsweise in der Schweiz gesichert werden.

Die Einführung von M365 war Thema im letzten Jahresbericht der kantonalen Fachstelle für Datenschutz. Dort hiess es, entgegen der ersten Absicht könnten nun auch Personendaten, die einem Berufs- oder besonderem Amtsgeheimnis unterstehen, in der Cloud von Microsoft bearbeitet werden. Dieser Punkt widerspreche datenschutzrechtlichen Vorgaben.

Die St.Galler SP-Kantonsrätin Monika Simmler reichte zum Thema M365 einen Vorstoss ein und wollte von der Regierung wissen, wie sie die Datenschutzrisiken «in Anbetracht der veränderten geopolitischen Ausgangslage» einschätze.

Inzwischen liegt die Stellungnahme der Regierung vor. Den Einsatz von Microsoft 365 habe sie am 9. Mai 2023 beschlossen. Damals sei die Eintrittwahrscheinlichkeit eines «Foreign Lawful Accress» auf «unter 1 Prozent in einem Betrachtungszeitraum von fünf Jahren» eingeschätzt worden.

Sie verfolge die politischen Entwicklungen in den USA aufmerksam, so die Regierung. Angesichts der veränderten Ausgangslage erscheine eine Neubeurteilung der mit der Nutzung von M365 verbundenen Risiken «grundsätzlich als angezeigt».

Um das Risiko zu reduzieren, habe sie «technische, organisatorische und rechtliche Abhilfemassnahmen» getroffen. Unter anderem gebe es mit Microsoft eine Regelung, wie im Fall eines «Foreign Lawful Access» vorgegangen wird. Es sei die Einhaltung des kantonalen Datenschutzgesetzes sowie die Anwendbarkeit von Schweizer Recht bei Rechtsstreitigkeiten vereinbart worden.

Weiter würden die Daten verschlüsselt im Schweizer Rechenzentren gespeichert. Mit einer zusätzlich vereinbarten «Customer Lockbox» bestehe eine weitere Zugriffskontrolle. Eine Zugriffsanfrage müsse jeweils durch den Kanton als Kunden genehmigt werden.

Die Regierung hält fest, dass bisher keine zukunftsfähige technische Alternativlösung zu Microsoft 365 bekannt sei, «welche die Arbeitsfähigkeit der Verwaltung zeitnah und im selben Funktionsumfang gewährleisten könne».

Es gebe aber zahlreiche nationale und internationale Initiativen, in denen es darum gehe, «die digitale Souveränität zu stärken», schrieb die Regierung. So etwa mit einer Initiative des Bundes für eine «Swiss Government Cloud» oder mit einem Projekt des deutschen Bundeslandes Schleswig-Holstein zur Ablösung von Microsoft-Produkten mit Open-Source-Software .