Die Datenschutzbeauftragte des Kantons Basel-Stadt (DSB) hat ihre Vorabkonsultation zur umfassenden Einführung der Microsoft 365 Cloud (M365) in der kantonalen Verwaltung abgeschlossen. Sie hat dem Finanzdepartement, als verantwortliches öffentliches Organ eine Reihe von Empfehlungen abgegeben. 

Die DSB hat insbesondere die Wichtigkeit eines wirksamen Business Continuity Managements (BCM) betont. Dabei handelt es sich um Massnahmen zur Aufrechterhaltung der Dienstleistungen der kantonalen Verwaltung im Ernstfall, etwa falls Anwendungen von Microsoft (plötzlich) nicht mehr verfügbar sein sollten. Von Bedeutung ist namentlich eine solide Exit-Strategie. Die Relevanz eines effektiven BCMs zeigt sich umso mehr, weil es in jüngster Vergangenheit wiederholt zu gravierenden Sicherheitsvorfällen bei Microsoft gekommen ist. Die bestehenden Unterlagen lassen allerdings auf wesentliche Defizite im BCM schliessen. Die DSB empfiehlt, diese Lücke zu schliessen.

Ferner hat die DSB empfohlen, eine gesamtkantonale, systemunabhängige Datenklassifizierung einzuführen. Die bereits geplante Klassifizierung innerhalb der M365-Umgebung ist ungenügend, weil sie ausserhalb dieser Umgebung keine Wirkung entfaltet. Eine übergreifende Klassifizierung würde zur Einhaltung der datenschutzrechtlichen Vorgaben beitragen. Dadurch kann z.B. sichergestellt werden, dass sensible Daten nach den entsprechenden Sicherheitsvorgaben behandelt werden.

Der Regierungsrat hat zwar betont, dass besondere Personendaten «weiterhin hauptsächlich in den lokalen Fachanwendungen» und nicht in der M365 Cloud bearbeitet werden sollen. Allerdings ist für die DSB nicht ersichtlich, wie dies wirksam sichergestellt werden soll. Die bestehenden Vorgaben dazu erscheinen vage und wenig effektiv. Die DSB empfiehlt, dies zu verbessern. Ausserdem warnt sie insbesondere vor dem Versand von sensiblen Daten per E-Mail, weil dies mit hohen Sicherheitsrisiken verbunden ist.

Ebenfalls kritisch sieht die DSB, dass Microsoft eine grosse Menge an Daten über die Benutzenden (d.h. die Kantonsmitarbeitenden) sammelt und zu eigenen Zwecken auswertet. Die DSB empfiehlt dem Kanton, solche Datenbearbeitungen einzuschränken, um eine Verletzung der Datenschutzgrundsätze zu vermeiden. Für eine personenbezogene Auswertung von Nutzungsdaten durch den Kanton selbst müssten zunächst die erforderlichen gesetzlichen Grundlagen geschaffen werden. So kann eine unrechtmässige Überwachung der Mitarbeitenden verhindert und sichergestellt werden, dass die Mitarbeitenden über allfällige Auswertungen angemessen informiert werden.