Amerikanische Strafverfolgungsbehörden haben womöglich bald Zugriff auf «besonders schützenswerte» Personendaten von Luzernerinnen. Ohne dass der Kanton oder der Bund etwas dagegen machen kann. Der Grund: Luzern will in der Verwaltung Microsoft 365 (M365) einführen.
Das geht aus den Antworten des Regierungsrats auf eine dringliche Anfrage des Grünen-Kantonsrats Fabrizio Misticoni hervor, welche der Kanton am Dienstag veröffentlicht hat. Misticoni hat die Regierung im August gefragt, welche datenschutztechnischen Auswirkungen die Einführung der Programme in der Luzerner Verwaltung haben werde (zentralplus berichtete).
Der Kanton plant, nächsten Sommer M365 auf seinen Rechnern zu installieren. Die neue Bürosoftware soll die bisherige, Microsoft Office 2016, ersetzen. Im Gegensatz zu den alten Programmen funktionieren die neuen teilweise mittels sogenannter Cloud. In der Verwaltung soll insbesondere Microsoft Teams als Cloud-Anwendung zum Zug kommen. Auch der E-Mail- und Kalender-Server soll in der Cloud betrieben werden.
Knackpunkt «Cloud»
Wie der Regierungsrat schreibt, dürften Angestellte des Kantons künftig Informationen, die als «vertraulich» oder «besonders schützenswerte Personendaten» eingestuft sind, auf Cloud-Anwendungen bearbeiten. Das hat zur Folge, dass die bearbeiteten Daten auf Rechnern gespeichert werden, welche nicht dem Kanton gehören, sondern dem US-amerikanischen Unternehmen Microsoft.
Dass dies nicht unbedenklich ist, verdeutlicht der Umstand, dass als «geheim» klassifizierte Informationen von der kantonalen Verwaltung nicht in Cloud-Anwendungen bearbeitet werden dürfen. Die Mitarbeiter würden im Umgang mit den neuen Programmen im Vorfeld entsprechend sensibilisiert und geschult, heisst es vonseiten der Regierung.
Daten einsehen, ohne nach Erlaubnis zu fragen
Auf Daten, die auf Microsoftrechnern liegen, haben die US-amerikanischen Strafverfolgungsbehörden unter bestimmten Umständen Zugriff. Sie können vom Unternehmen die Herausgabe solcher Kundendaten verlangen, wenn das zur Aufklärung einer schweren Straftat dient.
Wie die Luzerner Regierung schreibt, geschehe das nach amerikanischem Recht. Die US-Strafverfolgungsbehörden könnten dies zudem unter Umgehung der Verfahren der internationalen Rechtshilfe tun. Sie müssten Schweizer Behörden also nicht fragen, wenn sie Personendaten einer Luzernerin bei Microsoft suchen.
Die Mitarbeiter in der Luzerner Verwaltung sind gemäss der Regierung angehalten, keine Daten in M365-Anwendungen zu bearbeiten, welche von Interesse für die amerikanischen Behörden sein könnten. Inwiefern Luzerner Angestellte abschätzen können, welche Daten für die Amerikaner allenfalls von Interesse sein könnten, ist dabei nicht ausgeführt.
Kanton wird eigene Absicherung machen
Die Luzerner Regierung gibt sich trotz dieses Schlupflochs für die amerikanischen Behörden zuversichtlich, dass der Kanton auch nach der Einführung von M365 ein «hohes Mass» an Datensouveränität behalte.
Microsoft habe sich vertraglich verpflichtet, die Daten des Kantons gemäss dem Schweizer Datenschutzrecht zu speichern sowie vertraulich und zweckgebunden zu verarbeiten. Die Daten speichere das Unternehmen einzig auf seinen Rechnern in der Schweiz, deren Bearbeitung erfolge innerhalb der EU. Hierzulande hat Microsoft Rechenzentren in Zürich und Genf. Zudem habe sich Microsoft vertraglich dazu verpflichtet, amerikanische Behörden bei einem allfälligen Gesuch auf den «ordentlichen Weg» via Rechtshilfe zu verweisen.
Damit der Kanton jederzeit Zugriff auf seine Daten hat, wird er allzeit eine vollumfängliche Sicherungskopie der Daten haben, welche auf der Cloud von Microsoft liegen. Diese Absicherung erfolge unabhängig vom amerikanischen Unternehmen, schreibt die Regierung.
Microsoft kostet Luzern viel
Mitte September gab der Kanton per Medienmitteilung bekannt, wie viel die Einführung von M365 die öffentliche Hand kosten wird. Die einmaligen Investitionskosten belaufen sich auf rund 5,8 Millionen Franken. Für den Betrieb rechnet der Kanton mit jährlichen Kosten von rund 4,4 Millionen Franken (zentralplus berichtete).
In jener Mitteilung betonte der Kanton: «Lediglich Daten, die aufgrund ihrer Klassifizierung für die Cloud-Nutzung freigegeben sind, dürfen zukünftig zusätzlich in den Microsoft-Rechenzentren in der Schweiz gespeichert werden.» Damals war noch nicht bekannt, dass damit auch vertrauliche Informationen und besonders schützenswerte Personendaten gemeint sind.
Datenschutzbeauftragter in Sorge
In der Medienmitteilung wie auch in der Antwort des Regierungsrats heisst es letztlich, dass die primären Arbeitsinstrumente der Verwaltung die spezifischen Fachanwendungen und das Geschäftsverwaltungssystem blieben.
In seinem Jahresbericht vom August bekundete der kantonale Datenschutzbeauftragte, Matthias Schönbächler, seine Sorge über die «Cloud-Zukunft» der öffentlichen Hand (zentralplus berichtete).
Nathan Affentranger ist seit März 2024 Praktikant bei zentralplus. Er hat einen Entlebucher Dialekt, eine Antipathie für Beamtensprache und ein Masterdiplom in Philosophie. Am liebsten schreibt er über die kleinen Absurditäten des Alltags.