Datenschützer uneinig über Microsoft Office 365
Föderale Vielfalt: Fünf Landes-Datenschützer distanzieren sich von dem Beschluss, dass das Microsoft-Paket nicht datenschutzgerecht einsetzbar sei.
Die von Anfang an umstrittene Entscheidung der Datenschutzkonferenz von Bund und Ländern (DSK), das Microsoft Office 365 derzeit nicht rechtskonform verwendet werden könne, sorgt weiter für Wirbel: Die Landesdatenschutzbeauftragten von Bayern, Baden-Württemberg, Hessen und dem Saarland sowie das Bayerische Landesamt für Datenschutzaufsicht, das für Microsoft Deutschland zuständig ist, lassen kaum ein gutes Haar an dem von ihnen nicht mitgetragenem Beschluss.
Es gebe zwar "erhebliche datenschutzrechtliche Verbesserungspotenziale" bei dem Paket für Bürosoftware mit Word, Excel und Powerpoint, betonen die fünf Amtsleiter in einer gemeinsamen Erklärung vom Freitag. Dies habe etwa jüngst noch einmal das Urteil des Europäischen Gerichtshof (EuGH) gegen den Privacy Shield verdeutlicht, wonach der Transfer persönlicher Daten in die USA auf Basis der bisher meistgenutzten rechtlichen Instrumente nicht mehr ohne weiteres möglich ist.
Gesamtbewertung "zu undifferenziert"
Die Gruppe unterstützt deshalb "im Grundsatz die Zielsetzungen des Arbeitskreises" der DSK zu Office 365, "soweit er Ansatzpunkte für datenschutzrechtliche Verbesserungen des Produkts" formuliere. Seine Gesamtbewertung könnten sie aber schon deshalb nicht teilen, "weil sie zu undifferenziert ausfällt".
Der rheinland-pfälzische Datenschutzbeauftragte Dieter Kugelmann hatte am Mittwoch von einer "vorläufigen Bewertung" der Office-Suite auf Basis eines entsprechenden Positionspapiers des Arbeitskreises Verwaltung der DSK gesprochen, den das Gremium nun "mehrheitlich zustimmend zur Kenntnis genommen" habe. Dessen Ergebnis laute, dass auf Basis der Auftragsverarbeitungsunterlagen von Microsoft mit Stand vom Januar 2020 "kein datenschutzgerechter Einsatz von Microsoft Office 365" möglich sei.
Das Papier selbst hat die DSK, die derzeit die sächsische Datenschutzbehörde leitet, bislang entgegen ihrer Gepflogenheiten nicht publiziert. Konkret prüften die Experten des Gremiums die Online Service Terms (OST) von Office 365 sowie die Datenschutzbestimmungen für Microsoft-Onlinedienste (Data Processing Addendum – DPA) und fällten ihr Urteil am 15. Juli.
Der Arbeitskreis habe seine Analyse "auf der Grundlage von Vertragsbestimmungen getroffen, die Microsoft zwischenzeitlich bereits zweimal überarbeitet hat", werfen die fünf internen Kritiker nun ein. Auch die einschlägige EuGH-Entscheidung habe er noch nicht berücksichtigen können.
Nur knappe Mehrheit
Die Annahme des Positionspapiers durch die DSK erfolgte mit einer knappen Mehrheit von neun zu acht Stimmen. Schon vorab war bekannt geworden, dass Kontrolleure aus Bayern in einer Rundmail Formulierungen der Arbeitsgruppe als rechtlich fragwürdig bezeichnet und sich gegen die Publikation der Einschätzung ausgesprochen hatten. Nach Informationen von heise online hatte der baden-württembergische Datenschutzbeauftragte Stefan Brink derweil darauf gedrängt, den Tenor der Stellungnahme zu präzisieren.
Gemeinsam unterstreichen die fünf Behördenchefs jetzt, dass sie die Bewertung des Arbeitskreises zwar "als relevante Arbeitsgrundlage, aber noch nicht als entscheidungsreif angesehen" hätten. Das gelte umso mehr, "als bislang noch keine förmliche Anhörung von Microsoft" dazu erfolgt sei. Dies gehöre aber "zu einem fairen, rechtsstaatlichen Verfahren".
Umso mehr begrüßt die Gruppe der südlichen Ländervertreter, dass die DSK einstimmig eine neue Arbeitsgruppe eingesetzt hat, die "zeitnah Gespräche mit dem Hersteller aufnehmen soll". Ziel sei es, zeitnah in einem konstruktiven Dialog" nachhaltig datenschutzgerechte Korrekturen zu erreichen.
Die unlängst frisch im Amt bestätigte schleswig-holsteinische Datenschutzbeauftragte Marit Hansen meint, dass das knappe Abstimmungsergebnis in der DSK "kein Zeichen für eine Spaltung" sei. Es übten alle Kritik in der Sache. "Allerdings mag man weitere Wünsche an die Ausarbeitung oder an den Weg haben, um beim Anbieter Änderungen zu erreichen", sagte Hansen gegenüber heise online. Entscheidend sei, dass "zeitnah an dem Thema" und praktikablen Lösungen weitergearbeitet werde.
"Der Datenschutz unserer Kunden hat für Microsoft oberste Priorität", erklärte eine Sprecherin des Konzerns. Das Unternehmen sei informiert worden, dass die DSK Office 365 auf ihrer jüngsten Sitzung diskutiert habe. Man gehe aber weiterhin davon aus, dass das Softwarepaket "im Einklang mit dem anwendbaren Datenschutzrecht genutzt werden" könne. Microsoft befürworte "die Zusammenarbeit mit der Arbeitsgruppe aus den Behörden auf Bundes- und Länderebene, um Fragen und Anliegen gemeinsam zu erörtern und Lösungen zu erarbeiten".
Mehr Open Source
In einer Resolution sieht die DSK derweil auch die digitale Souveränität der öffentlichen Verwaltung beeinträchtigt und regt daher an, verstärkt alternative Softwareprodukte sowie Open-Source-Programme einzusetzen. Dadurch könne "die Unabhängigkeit der öffentlichen Verwaltung von marktbeherrschenden Softwareanbietern dauerhaft sichergestellt werden". Bund, Länder und Kommunen fordern die Kontrolleure auf, langfristig nur solche Hard- und Software einzusetzen, die den Verantwortlichen die ausschließliche und vollständige Kontrolle über die von ihnen genutzte Informationstechnik belasse. (vbr)