Hat sich der Regierungsrat mit seinem Bekenntnis zu Microsoft 365 selbst ein Ei gelegt? Die Wogen schlagen hoch, seitdem die Medienmitteilung Dienstagmittag veröffentlicht wurde und die Datenschutzbeauftragte des Kantons Danielle Kaufmann kurz darauf öffentlich reagierte. In ihrer Mitteilung macht sie klar, dass sie den Entscheid des Regierungsrates zur umfassenden Einführung der Microsoft 365 Cloud (M365) in der kantonalen Verwaltung bedauert.

Der Grund: Sie sieht darin eine erhebliche Schwächung der digitalen Souveränität und eine Gefährdung für die Grundrechte der Menschen im Kanton Basel-Stadt. Sie habe wiederholt abgeraten und auf gewichtige Risiken aufmerksam gemacht, heisst es. Es sei vor allem heikel, die E-Mail-Kommunikation, Telefonie und die Datenablage an Microsoft 365 auszulagern. «Der Kanton verliert einen wichtigen Teil der Kontrolle darüber», schreibt Kaufmann, da Microsoft weiterhin die Möglichkeit habe, auf die Daten zuzugreifen und sie für eigene Zwecke zu nutzen oder Dritten bekannt zu geben.

Das Thema beschäftigte auch die Grünen-Grossrätin Anina Ineichen so sehr, dass sie bereits Mittwoch früh eine Interpellation «betreffend Regierungsratsbeschluss zum Einsatz von M365 für die ICT-Grundversorgung» geschrieben und versucht hat, diese als dringlich zu erklären. Ihr Vorhaben scheiterte knapp und sie wird die Antworten des Regierungsrats wohl erst im Mai erhalten. Ineichen bedauert das und findet, das Vorgehen des Regierungsrats, einen derart weitreichenden Entscheid entgegen der klaren Empfehlung der kantonalen Datenschutzbeauftragten und ohne Einbezug des Grossen Rates zu treffen, hätte eine dringliche Interpellation gerechtfertigt: «Gerade in der heutigen Zeit ist ein sensibler Umgang mit Daten extrem wichtig, der Entscheid der Regierung betrifft uns alle direkt und ich habe Bedenken, dass der Regierungsrat den Schutz unserer Daten nicht gewährleisten kann», sagt sie zu Bajour. 

Zwölf Fragen an den Regierungsrat

In der Interpellation, die Bajour vorliegt, stellt sie dem Regierungsrat zwölf Fragen, unter anderem auch danach, inwiefern der Datenschutz gewährleistet sei, wenn Microsoft auf die verschlüsselten Daten zugreifen und diese an Dritte weitergeben könne? Sie fragt zudem, weshalb der Kanton sich nicht an der Praxis des Bundes und vieler anderer Kantone orientiere, «welche bei der Verwendung von M365 deutlich risikobewusster vorgehen». 

In ihrer Interpellation verweist Ineichen darauf, dass der Einsatz von M365-Produkten in der Verwaltung «erheblichen Einfluss auf die Bearbeitung der Daten der Einwohnerinnen und Einwohner des Kantons haben». Indem die Daten auf Clouds gespeichert werden sollen, gebe der Kanton «beträchtliche Kontrolle aus der Hand».

Ineichen schreibt: «Dies ist insbesondere im Hinblick auf die geänderten Verhältnisse in den USA bedenklich.» Sie fragt den Regierungsrat zudem, weshalb  bei einem solch umfassenden Projekt der Grosse Rat nicht involviert wurde und ob der Regierungsrat bereit ist, seinen Entscheid nochmals zu überdenken. 

Der Regierungsrat hingegen verweist auf umfangreiche Sicherheits- und Compliance-Funktionen, um den Schutz sensibler Daten zu gewährleisten. Regierungssprecher Marco Greiner sagt: «Mit M365 soll und kann die Informationssicherheit im Kanton Basel-Stadt gegenüber dem Status quo noch weiter erhöht werden.» Die Sorge der Datenschutzbeauftragten richte sich hauptsächlich gegen das Unternehmen Microsoft und den US-amerikanischen Staat.

«Das Rechenzentrum, in dem die M365-Daten gespeichert werden, befindet sich in der Schweiz. Dass Microsoft auf Daten des Kantons zugreift, ist vertraglich und gesetzlich ausgeschlossen», so Greiner. US-Behörden könnten aus rechtlichen Gründen keinen unkontrollierten Zugriff auf Daten in der Microsoft-365-Umgebung erhalten. Hier gehe es auch um das «ureigenste Interesse» von Microsoft: «Würde Microsoft das Vertrauen seiner Kunden aufs Spiel setzen, würde es sein weltweites Geschäftsmodell beschädigen», so Greiner. 

Aber sind die Daten wirklich sicher, wenn sich das Rechenzentrum in der Schweiz befindet? In diesem Punkt sei Skepsis angebracht, findet Beat K. Schaller. Der SVP-Grossrat ist allerdings auch der Ansicht, dass es heutzutage kaum mehr vergleichbare Lösungen zu Microsoft gibt. Es seien zwar Open-Source-Alternativen vorhanden, diese würden für Verwaltungen langfristig aber kaum standhalten. «Von daher finde ich es nachvollziehbar, dass die Regierung die Werkzeuge bei Microsoft einkauft. Was mich aber überrascht, ist die Tatsache, dass der Regierungsrat die Datenspeicherung in der Cloud von Microsoft hosten lässt.» 

Da gebe es aus Schallers Sicht sehr wohl Alternativen bei Schweizer Anbieter*innen, die eine Abhängigkeit von den USA schmälern würden, denn: «Wenn die Daten bei Microsoft gespeichert werden, kann die US-Regierung Zugriff verlangen.» Dies sei auch der Fall, wenn die Server in der Schweiz stehen.» Weshalb der Regierungsrat nicht auf eine Lösung innerhalb der Schweizer Infrastruktur setzt, wundere ihn und werde sicher noch im parlamentarischen Prozess zu reden geben, so Schaller, der auch Mitglied in der Geschäftsprüfungskommission (GPK) ist.

Der Entscheid des Regierungsrats löst auch bei Expert*innen Kopfschütteln aus. Matthias Stürmer, Professor für digitale Souveränität an der Fachhochschule Bern, sagt gegenüber dem Regionaljournal etwa, es sei «sehr problematisch», sich so von einer einzelnen – «notabene amerikanischen» – Firma abhängig zu machen.

Dass die Datenschutzbeauftragte sehr wichtige Bedenken vorbringt, «mit denen wir uns als Parlament vertieft befassen sollten», findet auch FDP-Grossrat Luca Urgese. Grundsätzlich gelte es für den Kanton, wie bei privaten Unternehmen auch, einen Spagat zu bewältigen: Einerseits eine Lösung, die gut etabliert und bei den Usern bekannt ist. Andererseits die bekannten Fragen bezüglich Datensicherheit und Datenschutz. Nicht umsonst gibt es in gewissen datensensiblen Branchen klare Vorgaben, welche Daten nicht in einer Cloud oder bei bestimmten Unternehmen gespeichert werden dürfen. Da der Kanton ebenfalls mit sehr sensiblen Daten umgehen muss, muss er der Datensicherheit und dem Datenschutz einen hohen Stellenwert beimessen. Deshalb sollte unsere GPK diesen Entscheid kritisch prüfen.»

Es scheint schon einen Tag nach dem Bekenntnis zu Microsoft 365 klar: Das Thema wird die Basler Regierung noch weiter beschäftigen. SP-Grossrat und Präsident der GPK Tim Cuénod sagt zu Bajour, er könne die Bedenken der Datenschutzverantwortlichen durchaus nachvollziehen. Wie die Risiken einzuschätzen seien, sei auf Grundlage der nun vorliegenden Informationen aber schwierig zu beurteilen. «Es gibt aus meiner Sicht noch viele offene Fragen.» Zum weiteren Vorgehen der GPK wollte er keinen Kommentar abgeben.

Basel steht mit der Herausforderung nicht alleine da. Bereits im Mai 2024 publizierte die Berner Fachhochschule eine Studie zum Thema: «Weg von Microsoft - hin zu Open Source Software?». Die Herausgeber raten darin, Open-Source-Lösungen als eine Art «stille, souveräne Reserve» für Notfallsituationen zu entwickeln». Dies insbesondere «im Hinblick auf die aktuellen Herausforderungen in unserer von schnellen und unvorhersehbaren weltpolitischen Veränderungen geprägten Welt.» Vor allem seit Donald Trumps Amtsantritt als Präsident der USA haben sich die Gegebenheiten verändert. Das hat offenbar auch der Regierungsrat im Blick, der «natürlich die geopolitische Lage und die technischen Entwicklungen im Auge behalten» wird, wie Greiner zu Bajour sagt. Ob er die Mitglieder des Grossen Rates von seinem Bekenntnis zu Microsoft 365 überzeugen kann?