St.Galler Behörden stehen wegen Verwendung von Microsoft 365 in Kritik

Glücklich aussehende Menschen halten eine virtuelle Wolke hoch und lächeln. In der Mitte des Bildes sind zwei grosse Wolken zu sehen.

2 Min. Lesezeit

Der Kanton St. Gallen muss derzeit einige Kritik einstecken. Hintergrund ist, dass die St.Galler Staatsverwaltung seit Herbst 2024 die cloudbasierte Plattform Microsoft 365 einführt. Dies zum Missfallen der kantonalen Datenschutzbeauftragten. Die kantonale Fachstelle Datenschutz (FSD) hat Anfang Mai 2025 zum Schritt der St. Galler Behörden einen kritischen Bericht veröffentlicht, worüber unter anderem swissinfo.ch und watson.ch berichteten.

Im erwähnten Tätigkeitsbericht hält die FDS fest: «(…) Entgegen der ersten Absicht können nun auch Personendaten, die einem Berufs- oder besonderen Amtsgeheimnis unterstehen, in der Cloud von Microsoft bearbeitet werden.» Dies widerspreche datenschutzrechtlichen Vorgaben.

CH-Alternative zu Microsoft 365

Einleitung 1. «Gibt eigentlich keine Alternative zu Microsoft 365»2. Diverse Schweizer Behörden speichern Daten in US-Cloud 3. Doch, es gibt Alternativen 4. BOX 5. Artikel zum Thema

[ 1 ]«Gibt eigentlich keine Alternative zu Microsoft 365»

Benedikt van Spyk, Staatssekretär und Leiter der St. Galler Staatskanzlei, nahm gegenüber SRF Stellung und verteidigte die Datenspeicherung in der Microsoft-Cloud. «Wir haben probiert, sowohl vertragliche (…) als auch organisatorische Massnahmen mit Microsoft zu machen.» Der Kanton mache klare Vorgaben wie: wo liegen die Schlüssel und wer darf darauf zugreifen. «Für uns der wichtigste Punkt: Diese Daten bleiben in der Schweiz», sagt van Spyk in der SRF-Sendung «Schweiz Aktuell».

Das Problem sei auch, dass es eigentlich keine Alternative zu Microsoft 365 gebe, so der Staatssekretär weiter.

Wenn Schweizer Städte und Gemeinden – die sensible Informationen und personenbezogene Daten verarbeiten – ihre Daten auf Cloud-Servern von amerikanischen Unternehmen speichern, ist dies im Hinblick auf den Datenschutz und die Datensouveränität sehr heikel – egal, ob der Daten-Standort in den USA oder in der Schweiz liegt.

Im erwähnten Tätigkeitsbericht der kantonalen Fachstelle Datenschutz heisst es weiter: «Mit der Einführung von M365 sind die Mitarbeitenden verpflichtet, die Dokumente je nach Sensibilität selbst zu klassifizieren (Labeling). Dabei besteht das Risiko, dass Dokumente falsch klassifiziert werden.» Die FDS empfiehlt deshalb, zu prüfen, standardmässig sämtliche kritischen Dokumente mit «geheim» zu klassifizieren.

Die FDS veröffentlichte unter anderem mehrere Empfehlungen, beispielsweise, dass eine Exit-Strategie vorhanden sein muss und «wenn Daten von Bürgerinnen und Bürgern in der Cloud von Microsoft bearbeitet werden, muss dies transparent ausgewiesen werden». Die Einhaltung der Datenschutzbestimmungen sei eine wichtige Voraussetzung für das Vertrauen der Bevölkerung in die Digitalisierung durch öffentliche Organe.

[ 2 ]Diverse Schweizer Behörden speichern Daten in US-Cloud

Der Kanton St.Gallen ist allerdings bei weitem nicht die einzige Schweizer Behörde, die Daten von der Bevölkerung in die US-Cloud auslagert. Zum Beispiel der Bund rollt ebenfalls seit Herbst 2024 schrittweise Microsoft 365 für die Bundesverwaltung aus, wie das Techportal «Inside IT» schreibt. Es sind bereits über 15'000 Arbeitsplätze mit der jüngsten Office-Version von Microsoft ausgestattet, bis Ende 2025 sollen die restlichen Arbeitsplätze damit ausgestattet sein. Auch der Bund hielt die US-Cloud von Microsoft für Alternativlos und prüft erst jetzt – nach Druck von Medien und Öffentlichkeit – Alternativen wie Open-Source-Lösungen.

[ 3 ]Doch, es gibt Alternativen

Es ist ein Irrtum, dass es keine Alternativen zu Microsoft 365 gibt. Erstens gibt es sogar Schweizer Anbieter, die eine komplette Microsoft-365-Alternative anbieten, inklusive Ersatz für Microsoft Teams.

Zweitens, wenn man nicht auf Office-Programme von Microsoft verzichten kann oder will, kann man beispielsweise On-Premise-Installationen verwenden. Wenn hiesige Gemeinden hierfür mit Schweizer Cloud-Anbietern zusammenarbeiten – die ausschliesslich der Schweizer Rechtsprechung unterliegen –, kann die Daten-Souveränität gewahrt und das Risiko von Datenschutzverletzungen minimiert werden.

Drittens können öffentliche Behörden Open-Source-Lösungen in Betracht ziehen. Open-Source-Software bietet mehr Kontrolle über die Daten, ist weniger anfällig für ausländische Einmischung und ist ausserdem an die eigenen Anforderungen anpass- und erweiterbar. Mehr zu alternativen Lösungsansätzen findet sich in diesem Blogbeitrag zum Thema Datensouveränität.

[ 4 ]BOX

Datensouveränität und -Haltung in der Schweiz

Die Daten-Souveränität bezieht sich auf das Recht eines Landes oder einer Organisation, die Kontrolle und die Entscheidungsgewalt über die eigenen Daten zu haben. In der Schweiz ist die Sicherstellung der Daten-Souveränität von entscheidender Bedeutung, insbesondere für öffentliche Behörden, die sensible Informationen und personenbezogene Daten verarbeiten. Die Datenhaltung bei einem Schweizer Unternehmen innerhalb der Schweiz gewährleistet, dass die Daten den schweizerischen Datenschutzgesetzen unterliegen und nicht ohne Zustimmung der Behörden offengelegt werden können. Sind die Daten zum Beispiel bei einem amerikanischen Konzern in einem Rechenzentrum in der Schweiz gespeichert, ist diese Datensouveränität nicht gegeben.