Im Vorfeld zum Entscheid hatte die Datenschutzbeauftragte wiederholt von einer umfassenden Einführung der Microsoft 365 Cloud (M365) abgeraten. Sie hat den Regierungsrat in mehreren Stellungnahmen auf die damit verbundenen gewichtigen Risiken aufmerksam gemacht. Mit der Auslagerung der gesamten ICT-Grundversorgung, inklusive E-Mail-Kommunikation, Telefonie und Datenablage, verliert der Kanton einen wesentlichen Teil seiner Kontrolle darüber. Betroffen sind gemäss Medienmitteilung des Regierungsrates auch sensible Daten der Bevölkerung, wie beispielsweise Sozial-, Gesundheits- und Finanzdaten. Die Daten sind in M365 zwar verschlüsselt, Microsoft hat jedoch weiterhin die Möglichkeit darauf zuzugreifen und für eigene Zwecke zu nutzen oder Dritten bekannt zu geben.

Die Datenschutzbeauftragte ist besonders überrascht darüber, dass der Regierungsrat ausgerechnet zum jetzigen Zeitpunkt kritische Daten des Kantons in die Hände eines US-amerikanischen Tech-Konzerns gibt. So macht er sich weitgehend von den erratischen und besorgniserregenden politischen Entwicklungen in den USA abhängig. Dort intensivieren die Tech-Konzerne ihre Zusammenarbeit mit der US-Regierung. Derselben Regierung, die gegenwärtig grundlegende rechtstaatliche Garantien in Frage stellt, den Datenschutz aushöhlt und die Schweiz mit willkürlichen Zöllen belegt hat. Während in Europa die Bewegung zur Stärkung der digitalen Souveränität und Unabhängigkeit an Fahrt gewinnt, scheint sich der Kanton Basel-Stadt genau in die entgegengesetzte Richtung zu bewegen. Auch innerhalb der Schweiz haben der Bund und viele andere Kantone die erheblichen Risiken von M365 erkannt und den Einsatz stark eingeschränkt. Der Bund beispielsweise hat die Nutzung von M365 für E-Mail-Kommunikation und sensible Daten ausdrücklich ausgeschlossen. Dass Alternativen zu M365 bestehen, hat bereits eine vom Bund in Auftrag gegebene Studie vergangenes Jahr bestätigt. Die Datenschutzbeauftragte hatte den Regierungsrat auch darauf hingewiesen.

Die Verantwortung für die Einhaltung der Datenschutzbestimmungen liegt weiterhin vollumfänglich beim Regierungsrat. Die Datenschutzbeauftragte wird die Implementierung von M365 genau verfolgen und kontrollieren mit dem Ziel, die Risiken für die Grundrechte möglichst zu minimieren. Der Regierungsrat hat angekündigt mögliche Alternativen zur Reduktion der Abhängigkeit von M365 laufend zu prüfen. Auf die Umsetzung dieser Massnahme wird die Datenschutzbeauftragte ein besonderes Augenmerk legen.