Update: Luzerner Parlament lässt M365-Einführung weiterlaufen
Der Kanton Luzern stellt auf Microsoft 365 um. Die Luzerner Datenschutzbeauftragte beurteilte den Einsatz der US-amerikanischen Cloud-Lösung kritisch. Doch der Kantonsrat lehnte ein Postulat ab, welches einen Marschhalt forderte.
Update vom 28.10.2025: Die Luzerner Verwaltung arbeitet weiter mit Microsoft 365. Mit 80 zu 30 Stimmen lehnte es der Kantonsrat ab, einen Marschhalt bei der Umstellung auf die US-amerikanische Cloud-Lösung zu fordern, wie "Swissinfo" berichtet.
Den Marschhalt gefordert hatte Grünen-Politikerin Rahel Estermann. In ihrem Postulat begründete sie die Forderung mit der grossen Abhängigkeit von Microsoft, in die sich der Kanton mit der Einführung von M365 begebe.
Die Ratsmehrheit sah zwar die kritischen Punkte, wie "Swissinfo" zusammenfasst. Sie nahm aber auch zur Kenntnis, dass die in der Luzerner Verwaltung genutzten Office-Applikationen veraltet seien und dass ein Marschhalt die Verwaltung lahmlegen würde. Andere Ratsmitglieder gaben zu bedenken, dass es keine Alternative zu M365 gebe.
Mit der Ablehnung des Postulats folgte der Kantonsrat dem Regierungsrat. Der wiederum versicherte, man werde im Zuge der M365-Einführung dem Umgang mit sensiblen Daten ein besonderes Augenmerk schenken und alle Mitarbeitenden vorgängig bezüglich der Datenklassifizierung schulen. Auch künftig sollen rund 95 Prozent aller Daten in der kantonalen Obhut bleiben; und sensible Daten würden nicht in der Microsoft-Cloud bearbeitet.
Originalmeldung vom 19.09.2025 :
Luzerner Datenschützerin kritisiert M365 in der Kantonsverwaltung
Die Luzerner Datenschutzbeauftragte Natascha Ofner-Venetz zeigt sich bezüglich des geplanten Einsatzes von Microsoft 365 (M365) in der kantonalen Verwaltung kritisch. Nach heutigem Stand sei die Bearbeitung besonders schützenswerter Personendaten in M365 unzulässig. Denn es fehle an einer klaren gesetzlichen Grundlage, die für "schwerwiegende Eingriffe in die informationelle Selbstbestimmung" zwingend erforderlich sei, schreibt sie in einer Einschätzung.
Natascha Ofner-Venetz, Datenschutzbeauftragte des Kantons Luzern. (Source: Kanton Luzern)
Für besonders problematisch hält die Datenschützerin die rechtliche Lage im Zusammenhang mit Daten, die einer gesetzlichen Geheimhaltungspflicht unterliegen, etwa im Rahmen des Berufsgeheimnisses oder des Amtsgeheimnisses. Die Auslagerung solcher Datenbearbeitungen an M365 stelle ein strafrechtlich relevantes Offenbaren dar, welches weder durch Datenschutzverträge noch durch technische Schutzmassnahmen wie Verschlüsselung gerechtfertigt werden könne, solange der Anbieter potenziellen Zugriff auf die Daten hat.
Ein zusätzliches rechtliches Problem ergibt sich laut Ofner-Venetz aus der Tatsache, dass Microsoft dem US-amerikanischen Recht untersteht - und somit Gesetze wie der US Cloud Act oder der Foreign Intelligence Surveillance Act (FISA) ausländischen Behörden unter bestimmten Umständen Zugriffsmöglichkeiten auf in der Cloud gespeicherte Daten eröffnen.
Widerspruch zur digitalen Souveränität
Darüber hinaus verliert die öffentliche Verwaltung mit dem Einsatz von M365 die Kontrolle über die Datenbearbeitung, wie die Datenschützerin weiter argumentiert. Schliesslich sei der Einsatz von M365 mit weitreichenden technischen, rechtlichen und politischen Abhängigkeiten verbunden.
Die umfassende Nutzung der Microsoft-Cloud bedeute eine einseitige Abhängigkeit von einem privatwirtschaftlichen Anbieter, bei dem weder eine vertragliche Steuerung auf Augenhöhe noch ein verlässlicher Rückzug möglich sei. Und wenn man zentrale Verwaltungsfunktionen vollständig auf externe, extraterritorial regulierte Anbieter auslagert, lässt sich das von der Strategie Digitale Verwaltung Schweiz 2024-2027 vorgegebene Ziel der Wahrung digitaler Souveränität nicht erreichen, wie Ofner-Venetz weiter schreibt.
Vor diesem Hintergrund empfiehlt die kantonale Datenschutzaufsicht, den Einsatz von M365 differenziert zu prüfen. Besonders schützenswerte Personendaten sowie Daten unter Geheimhaltungspflicht solle man vorrangig in Fachanwendungen oder lokal betriebenen Systemen bearbeiten. Zudem seien datenschutzrechtliche Risiken umfassend zu bewerten, alternative Lösungen aktiv zu prüfen und die digitale Selbstbestimmung als strategisches Ziel institutionell zu verankern, merkt die Luzerner Datenschützerin an.
Nach Kritik an der geplanten Umstellung auf M365 stellte der Luzerner Regierungsrat übrigens den IT-Sicherheitschef des Kantons frei - er war allerdings nicht der einzige, der das Vorgehen des Kantons kritisiert hatte. Mehr dazu lesen Sie hier.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
Nvidias Börsenwert knackt die Marke von 5 Billionen US-Dollar
Apple verkündet Rekordumsatz und optimistische Prognosen
KI-Modelle für Medikamentenentwicklung versagen bei der Physik
Swiss Cyber Storm 2025: Thermitgranaten, Gig-Economy-Vandalen und ein klarer Aufruf
VBS verleiht Preis für "Cyber Start-up Challenge" an Pometry
Auch Vampire können vegan leben - sagt jedenfalls Morgan Freeman
ISE 2026: Die Pro-AV-Branche erhält einen Cybersecurity Summit
Cyberkriminelle nutzen Schwachstelle in Microsoft WSUS aus
Meta10 übernimmt "Databaar"-Rechenzentrum
