Cloud-Services: Zwischen Fortschritt und Datensouveränität
Die Stadt Luzern nutzt Microsoft 365 als Arbeitsplattform, bleibt aber kritisch. Mit umfassenden Massnahmen will sie Datenschutz und Sicherheit gewährleisten.
Wie die Stadt Luzern berichtet, nutzt sie Microsoft 365 (M365) als unterstützendes Arbeitsinstrument im Bereich Zusammenarbeit, Kommunikation und als Produktivitätsplattform. Von der kantonalen Datenschutzbeauftragten (DSB) wurden Vorbehalte geäussert hinsichtlich der Nutzung von M365 für sensible Personendaten.
Auch der Stadtrat ist kritisch bezüglich der Abhängigkeit von einer einzelnen Anbieterin und misst der Datensicherheit sowie dem sicheren Umgang mit sensiblen Daten höchste Bedeutung bei.
Deshalb hat die Stadt bereits im Vorfeld der Einführung entsprechende Schutzmassnahmen umgesetzt und die kantonale Datenschutzbehörde eingebunden.
Effizientere Arbeitsprozesse durch moderne Tools
Die digitale Transformation der städtischen Verwaltung schreitet voran. Dazu gehört auch der Einsatz von zeitgemässen Arbeitsinstrumenten wie die M365-Umgebung. Dabei soll die Zusammenarbeit durch moderne Technologien und Arbeitsformen erleichtert und die Einbindung von Anspruchsgruppen und externen Partnern gefördert werden.
Die Stadt Luzern hat ab 2021 schrittweise auf M365 gewechselt und nutzt es heute als Standard für eine moderne Office-Umgebung.
Stellungnahme der kantonalen Datenschutzbeauftragten
Die kantonale Datenschutzbeauftragte (DSB) hat in ihrer Stellungnahme vom 22. Juli 2025 Bedenken hinsichtlich der Nutzung von M365 für sensible Personendaten geäussert. Die DSB erachtet M365 zur Bearbeitung von besonders schützenswerten Personendaten als heikel, sofern die Daten nicht vom verantwortlichen Organ selbst verschlüsselt werden.
Auch die Konferenz der kantonalen Datenschutzbeauftragten (privatim) äussert in einer Ende November 2025 veröffentlichten Resolution Vorbehalte gegenüber der Nutzung von US-Cloud-Services wie u. a. Microsoft 365 durch Behörden.
Sie weisen darauf hin, dass die Bearbeitung von sensiblen Daten das Amtsgeheimnis gefährde und die digitale Souveränität einschränke.
Umfangreiche Massnahmen eingeleitet
Zum Schutz von sensiblen Daten und um die datenschutzrechtlichen Risiken zu minimieren, hat die Stadt Luzern umfangreiche vertragliche, organisatorische und technische Massnahmen ergriffen.
Sie stützt sich dabei auf Rechtsgutachten, etablierte Normen und einschlägige Praxisleitfäden. Nach vollständiger Umsetzung dieser Massnahmen können auch vertrauliche Daten in Cloud Services bearbeitet werden.
Geschäftsrelevante Daten werden weiterhin in den Fachapplikationen und im dafür vorgesehenen Geschäftsverwaltungssystem gespeichert.
Absicherung der Datenbearbeitung
Wie unter anderem in den Antworten zur Interpellation 85 «Konsequenzen aus dem Bericht des kantonalen Datenschutzbeauftragten» festgehalten, wurden zudem Massnahmen umgesetzt.
Sämtliche relevanten Fragestellungen zum Datenschutz wurden frühzeitig identifiziert und im Rahmen von Konsultationen und Arbeitstreffen mit der kantonalen Datenschutzbeauftragten thematisiert.
Die Daten werden ausschliesslich innerhalb der EU/EFTA bearbeitet und in der Schweiz gespeichert. Es bestehen umfassende Kontrollrechte gegenüber Microsoft.
Die Stadt Luzern hat eine Zusatzvereinbarung abgeschlossen, dass Herausgabebegehren von Behörden ausserhalb der EU/EFTA nur gemäss Schweizer Recht bearbeitet werden. Der Gerichtsstand ist in der Schweiz und Schweizer Recht ist anwendbar.
Die Abhängigkeit von einer einzelnen Anbieterin ist im Risikomanagement der Stadt aufgenommen. Eine Abwägung von Chancen und Risiken wird periodisch vorgenommen.
Fazit und weiteres Vorgehen
Die Stadt Luzern vertritt die Haltung, dass die Nutzung von Cloud-Services von US-Anbietenden wie Microsoft in Übereinstimmung mit den datenschutzrechtlichen Bestimmungen erfolgen kann. Sie ist überzeugt, dass mit den getroffenen Vorkehrungen ein hohes Schutzniveau gewährleistet ist und die Datenschutzrisiken angemessen reduziert werden.
Zudem will sie weiter an ihrer IT-Strategie und der Nutzung von Cloud-Services wie M365 festhalten. Die zunehmende Abhängigkeit von einer einzelnen Anbieterin sieht sie dabei sehr kritisch. Mangels sinnvoller Alternativen ist ein Rückzug aus Cloud-Services aktuell nicht vorgesehen.
Massnahmen zur Risikoreduktion sind fester Bestandteil des Projektmanagements und des Business Continuity Managements (BCM).
Engagement für digitale Souveränität
Die Stadt Luzern unterstützt die Stärkung der digitalen Souveränität und verfolgt die Entwicklungen aufmerksam. Sie tauscht sich diesbezüglich regelmässig mit anderen Deutschschweizer Städten aus und beteiligt sich aktiv in entsprechenden Arbeitsgruppen.
Ziel ist es, gemeinsame Lösungen zu finden, um die digitale Souveränität der Städte und Verwaltungen zu stärken.
