Der DSB kritisiert unter anderem die geplante Verarbeitung von Daten bis zur Stufe „vertraulich“ in der Microsoft-Cloud, was er als „schweren Eingriff in das Grundrecht auf informationelle Selbstbestimmung“ einstuft. Weiter sieht er die Abhängigkeit von Microsoft zementiert und befürchtet den Verlust der digitalen Souveränität und das Risiko eines Vendor Lock-in. Zudem formuliert er Bedenken zur Sicherheit der Daten und rät dringend zu einem umfassenden Risikomanagement inklusive einer Exit-Strategie.
Da Microsoft M365 bereits in der Verwaltung der Stadt Luzern im Einsatz ist und der DSB auch für kommunale Behörden zuständig ist, wollen die Grünen / Jungen Grünen vom Stadtrat wissen, welche Konsequenzen die Stadt aus den Einschätzungen des Datenschutzbeauftragten zieht. Konkret wird der Stadtrat unter anderem gefragt:

• Inwiefern der Stadtrat sich allgemein durch Einschätzungen und vorgeschlagene Massnahmen des DSB verpflichtet fühlt.
• Welche Datenklassifikationen die Stadt bei der Arbeit mit M365 anwendet und ob diese im Lichte der Einschätzungen des DSB überprüft werden.
• Ob ein kontinuierliches Risikomanagement besteht und ob eine Exit-Strategie für den Fall eines Systemwechsels vorliegt.
• Wie die Stadt Luzern generell mit den Risiken von Vendor Lock-in und dem Verlust digitaler Souveränität umgeht.

Die Grünen sind irritiert über den Umgang des Kantons mit den Einschätzungen des DSB:

Der Bericht des DSB zeigt klar auf, dass die einseitige Ausrichtung auf die Dienstleistungen von Microsoft nicht nur ein grosses Sicherheitsrisiko darstellt, sondern auch die digitale Souveränität bedroht. Der Bericht zeigt ebenfalls auf, dass es Alternativen gibt. Wir fordern deshalb die Stadt zum Handeln auf!

Adrian Häfliger, Grossstadtrat

Interpellation: Konsequenzen aus dem Bericht des kantonalen Datenschutzbeauftragten