Microsoft 365 einführen ohne Bauchweh: Warum ihr jetzt die Vorabkonsultation ernst nehmen müsst

Microsoft 365 einführen ohne Bauchweh: Warum ihr jetzt die Vorabkonsultation ernst nehmen müsst

Hand aufs Herz: Teils Verwaltungen führen Microsoft 365 (M365) ein – ohne die obligatorische Vorabkonsultation bei der Fachstelle für Datenschutz sauber durchzuziehen. „Zu viel Papier“, „zu wenig Zeit“, „machen die anderen auch nicht“… kennen wir alles. Aber: Das St.Galler Datenschutzrecht ist hier eindeutig – und der Prozess ist klar beschrieben. Wer ihn ignoriert, riskiert Fehlentscheide und unnötiges Risiko.

Was das Gesetz verlangt – in einem Satz

Stellt eure Datenschutz-Folgenabschätzung (DSFA) ein hohes Restrisiko fest und lässt sich dieses trotz Massnahmen nicht genügend senken, müsst ihr euer Vorhaben der Fachstelle für Datenschutz zur Vorabkonsultation vorlegen. Punkt. Kanton St. Gallen

Wann ist die Vorabkonsultation fällig?

Das Merkblatt der Fachstelle nennt typische Konstellationen (Auswahl):

• Cloud / Auftragsbearbeitung mit umfangreicher Bearbeitung sensibler Personendaten in Drittländern ohne angemessenes Schutzniveau – klassisches Risiko im M365-Kontext, wenn Verschlüsselung & Schlüsselmanagement nicht beim öffentlichen Organ liegen. Kanton St. Gallen

• Systematische, umfangreiche Überwachung öffentlich zugänglicher Bereiche (z. B. Videoüberwachung). Kanton St. Gallen

• Systematische Verwendung biometrischer Daten (z. B. Gesichtserkennung, Fingerprint). Kanton St. Gallen

• Umfangreiche Register-Verknüpfungen über mehrere Behördenebenen. Kanton St. Gallen

• Einsatz von KI/ähnlichen Systemen zur Bearbeitung besonders schützenswerter Personendaten, Persönlichkeitsprofile oder Daten unter Geheimhaltungspflicht. Kanton St. Gallen

Warum M365 in der Praxis häufig prüfpflichtig ist

• M365 ist ein Cloud-Dienst mit Komponenten und Verarbeitungswegen ausserhalb der Schweiz und EU; rechtlich heikel wird es, wenn Cloud-Schlüssel & Verschlüsselung nicht unter eurer Hoheit liegen. Genau darauf weist die Checkliste „Microsoft 365 in der Verwaltung“ der St.Galler Fachstelle hin. komsg.ch

• Mit dem Wechsel auf neues Outlook/M365 liegen E-Mails und Inhalte regelmässig in der Cloud – und damit ist das Risiko, dass sensible Daten betroffen sind, sehr real. (Folge: DSFA sauber durchführen, hohes Restrisiko → Vorabkonsultation.) komsg.ch

Der richtige Ablauf – so macht ihr es korrekt

1. Vorhaben beschreiben Architektur, Datenflüsse (inkl. Admin-Rollen, Support-Zugriffe, Schlüsselverwaltung), Datenarten/Klassen, Speicherorte, Transfers.

2. Daten klassifizieren & Rechtsgrundlagen prüfen Welche besonders schützenswerten Personendaten sind betroffen? Welche Rechtsgrundlage? Welche Schutzbedarfe?

3. Datenschutz-Folgenabschätzung (DSFA) durchführen Risiken analysieren, Massnahmen festlegen, Restrisiko bewerten. Die Fachstelle bietet Kurzinfos/Video „DSFA & Vorabkonsultation kompakt erklärt“. Kanton St. Gallen

4. Vorabkonsultation einreichen, wenn hohes Restrisiko Der offizielle Einstieg: Vorabkonsultation | sg.ch – inkl. Prozess-PDF und Merkblatt. Kanton St. Gallen+1(Rechtsgrundlage: Datenschutzgesetz Kanton SG (sGS 142.1); Details & Definitionen siehe Gesetzessammlung.) gesetzessammlung.sg.ch+1

5. Umsetzung & Re-Assessment Auflagen der Fachstelle umsetzen, Wirksamkeit der Massnahmen nachziehen, DSFA regelmässig aktualisieren. Hilfreich: Merkblätter & Arbeitshilfen der Fachstelle. Kanton St. Gallen

„Aber das ist so viel Aufwand…“ – drei klare Antworten

• Recht & Governance: Das Verfahren ist gesetzlich verankert und klar dokumentiert – das schützt euch und Betroffene. Kanton St. Gallen+1

• Risikoreduktion: Vorabkonsultation ist kein Selbstzweck; sie reduziert rechtliche, technische und Reputations-Risiken.

• Planbarkeit: Wer Risiken früh adressiert, spart später teure Korrekturen. (Die Fachstelle kommuniziert fortlaufend Hinweise & Updates.) Kanton St. Gallen+1

Warum es (noch) zu selten passiert – und was ihr gewinnen könnt

Hürden: Zeitdruck, fehlende Zuständigkeiten, Unsicherheit bei DSFA, „macht der Lieferant schon richtig“.Gewinn:

• Rechtssicherheit und dokumentierte Sorgfalt.

• Saubere Architekturentscheidungen (Kundenschlüssel, Logs, Rollen, Mandanten-Trennung).

• Akzeptanz: Mitarbeitende und Öffentlichkeit sehen, dass Datenschutz gelebt wird – nicht nur versprochen.Startpunkte/Ansprechpartner: Fachstelle für Datenschutz (Kontakt auf sg.ch). Kanton St. Gallen+1

Unser Appell an die Verwaltungen im Kanton St.Gallen

Ihr führt M365 oder neue KI-gestützte Dienste ein? Dann macht es richtig.

• DSFA sauber.

• Hohes Restrisiko? → Vorabkonsultation.

• Dokumentiert, entscheidet, setzt um.

Die Instrumente liegen auf dem Tisch – nutzt sie:

• Vorabkonsultation (Ablauf & Prozess): https://www.sg.ch/sicherheit/datenschutz/Vorabkonsultation.html Kanton St. Gallen

• Merkblatt Vorabkonsultation (PDF): https://www.sg.ch/…/Merkblatt%20Vorabkonsultation.pdf Kanton St. Gallen

• DSG Kanton SG (sGS 142.1): https://www.gesetzessammlung.sg.ch/app/de/texts_of_law/142.1 gesetzessammlung.sg.ch

• Checkliste „Microsoft 365 in der Verwaltung“ (Fachstelle): komsg.ch

• DSFA & Vorabkonsultation – Kurz erklärt (News/Video): https://www.sg.ch/news/…/datenschutz-folgenabschaetzung-und-vorabkonsultation-kompakt-erk.html Kanton St. Gallen