Datenschutzbeauftragter: Behörden sollen unverzüglich auf Microsoft verzichten
Der Landesbeauftragte für Datenschutz in MV und der dortige Rechnungshof fordern von der Landesregierung, ab sofort keine Microsoft-Produkte mehr zu verwenden.
Mecklenburg-Vorpommerns Datenschutzbeauftragter Heinz Müller will in Sachen von Produkten Microsofts und anderer US-amerikanischer Unternehmen in Behörden nicht länger auf eine Bund-Länder-Lösung warten. Zusammen mit dem Landesrechnungshof fordert er "unverzügliches Handeln". Da sich die großen Anbieter bei dem Problem des Abflusses personenbezogener Daten nicht zu bewegen scheinen, "bleibt letztlich nur der Rückgriff auf Open-Source-Produkte, um den Datenschutz und auch die digitale Souveränität der Landesregierung zu wahren".
Update 18.3.2021, 9.15 Uhr: Müller erläuterte gegenüber heise online, natürlich sei ihm als Realist bewusst, dass die Landesregierung nicht sofort auf Microsoft-Produkte verzichten kann. Er verstehe seine Mitteilung vom Mittwoch als Warnschuss. Gespräche über das Thema gebe es schon länger, nun erwarte er auch Vorschläge für einen Übergang zu alternativer Software; möglicherweise in Form eines Stufenplans für einzelne Bereiche und Abteilungen. Es gehe darum, dass sich die Landesregierung konkrete Gedanken macht, aus der Abhängigkeit von Microsoft herauszukommen.
Im Gegensatz zu Privatunternehmen könne Müller laut eigenen Angaben die Landesregierung dem Gesetz nach nicht mit einer Geldstrafe belegen. Ihm stehe angefangen von der Verwarnung laut DSGVO ein anderer Katalog an Sanktionen parat, doch zurzeit denke er nicht an solche.]
Update 18.3.2021, 11.47 Uhr: Microsoft-Sprecherin Irene Nadler sagte gegenüber heise online, ihr Unternehmen kommentiere die Vorgänge derzeit nicht.]
"Eine Vielzahl der in diesem Land genutzten Betriebssysteme, Büro-Anwendungen oder auch Videokonferenzlösungen lässt sich nicht betreiben, ohne dass personenbezogene Daten an Dritte abfließen", sagt Müller. Der Europäische Gerichtshof habe mit seinem Urteil zum Privacy Shield vom Juli 2020 eine wesentliche Rechtsgrundlage für die Übermittlung personenbezogener Daten in die USA für unwirksam erklärt. Wegen der vom EuGH aufgestellten Grundsätze sei es nicht möglich. Microsoft-Produkte allein auf Basis von Standarddatenschutzklauseln zu nutzen.
Kein Rechtsschutz
Ohne weitere Sicherungsvorkehrungen würden personenbezogene Daten an Server in den USA übermittelt, erläutert Müller. Dortige Vorschriften sähen vor, dass die Daten an Behörden und Geheimdienste weitergegeben werden können, ohne dass die Betroffenen ausreichenden Rechtsschutz genießen.
Wenn also nicht unterbunden werden kann, dass personenbezogene Daten übermittelt werden oder wenn die Daten funktionsnotwendig sind, dann müsse die Landesregierung sicherstellen, dass entweder der Personenbezug aufgelöst wird oder die Daten verschlüsselt werden. Wenn das nicht gehe, müsse ein alternatives Produkt eingesetzt werden, das der Datenschutz-Grundverordnung entspreche.
"Keine unabhängige IT-Strategie"
"Dem Land fehlt seit Jahren eine IT-Strategie, auch um unabhängig von Herstellern und bestimmten Produkten zu werden", sagte Dirk Fuhrmann vom Landesrechnungshof Mecklenburg-Vorpommern. Ein Übergang weg von einzelnen Konzernen hin zu einer breit aufgestellten, sicheren und datenschutzkonformen Landes-IT sei möglich, das bewiesen andere Bundesländer gerade.
[Update 18. März 2021, 8.14: Sebastian Jahn, Sprecher des Landesrechnungshofs Mecklenburg-Vorpommern erläuterte gegenüber heise online, der Einsatz der Microsoft-Produkte sei nicht rechtskonform und aus Sicht seiner Behörde daher auch nicht wirtschaftlich. Einen Austausch über den Einsatz von Alternativen gebe es zwischen den nördlichen Bundesländern, vor allem Schleswig-Holstein. Die Landesregierung Mecklenburg-Vorpommern sei in der Entwicklung einer IT-Strategie fünf Jahre hinterher, sagte Jahn.]
Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder habe schon 2015 auf die Gefahren hingewiesen, die sich aus dem zunehmenden Angebot cloud-gestützter Betriebssysteme und Anwendungen ergeben, erklärt Müller. Im Oktober 2020 zeigten sich aber die Datenschützer uneins über die Verwendung von Microsofts Office-Software. Fünf Landes-Datenschützer distanzieren sich von dem Beschluss, dass die Software nicht datenschutzgerecht einsetzbar sei.
Der Düsseldorfer Rechtsanwalt Christian Franz schlägt vor, dass Müller seine Befugnisse zunächst nur in besonders plakativen und konkreten Fällen nutzt, anstatt die Landesverwaltung lahmzulegen, wie Franz meint. Microsoft behalte sich beispielsweise für seine Online-Dienste vor, Inhaltsdaten zu eigenen Zwecken zu verarbeiten. Das solle auch aus "nichtigstem Anlass geschehen", wie Franz meint, etwa zur Bekämpfung von Spam. Die Verwendung der AGB, aus denen die Vorgehensweise hervorgehe, rechtfertige eine vorbeugende Untersagungsverfügung nach Art. 58 Abs. 2 f) DSGVO.
(anw)