Rechtsfragen Microsoft 365 in bundesdeutschen Behörden: „Datenschutzgerechter Einsatz nicht möglich“

30. September 2020 – Stefan Buschkühler
Microsoft 365 in bundesdeutschen Behörden: „Datenschutzgerechter Einsatz nicht möglich“

Abgesehen von den üblichen Verdächtigen wie Google und Co. werden wohl von keiner Instanz so viele personenbezogene Daten gesammelt wie von den Behörden und öffentlichen Einrichtungen des Bundes und der Länder. Die Liste der vertraulichen Informationen, die sich in der öffentlichen Hand befinden, ist gewaltig. Es ist also nur selbstverständlich, dass bezüglich der Erhebung und des Umgangs mit diesen Daten strenge Vorgaben implementiert wurden. So ist geregelt, wer welche Daten zu welchem Zweck erheben darf, wie und wie lange sie abgespeichert werden dürfen und unter welchen Bedingungen Daten weitergeleitet werden dürfen. Die strengen Auge der Datenschutzbeauftragten überwachen dabei, ob all diesen Auflagen Genüge geleistet wird.

Ein Softwaremonopol bereitet Probleme

Also alles in Ordnung, oder? Nicht ganz. Denn in all diesen Behörden kommt geradezu monopolartig eine Software eines Herstellers zum Einsatz, die laut Einschätzung einer Arbeitsgruppe der Datenschutzkonferenz alle genannten Bemühungen um die Vertraulichkeit von Bürgerdaten konterkariert: Microsoft Office 365.

Ein aktueller Artikel auf netzpolitik.org geht detailliert auf diese Problematik ein. Die Kernaussage eines internen Papiers, welches von der sich aus den Datenschutzbeauftragten von Bund und Ländern zusammensetzenden Arbeitsgruppe erarbeitet wurde, liest sich dabei geradezu spektakulär: „Ein datenschutzgerechter Einsatz von Microsoft 365 ist nicht möglich.“

Guter Rat ist nicht mal teuer

Eine Lösung könnte nun darin bestehen, den Anbieter der Cloud-Plattform, also Microsoft, stärker in Haftung zu nehmen und dafür zu sorgen, dass die Lizenzvereinbarungen mit Microsoft alle Vorgaben des Bundesdatenschutzgesetzes widerspiegeln und bei Verstößen entsprechend gehandelt wird. Leider stellt das Papier der Arbeitsgruppe den eigenen Datenschutzbehörden diesbezüglich jedoch ein schlechtes Zeugnis aus: Sie seien für die Durchsetzung solcher Forderungen „unterfinanziert, unterbesetzt, unterkompetent“.

Es gibt jedoch einen weiteren und überaus pragmatischen Ansatz zur Beseitigung des Problems: Wenn die Behörden zu gebrauchten On-premises Lizenzen greifen würden, hätten sie durch die Unterbindung der Kommunikation zu externen Cloudservern nicht nur viel größere Kontrolle über die in den Dokumenten enthaltenen Daten, sie könnten gleichzeitig von enormen Einsparungen profitieren.

Und wer weiß: Vielleicht könnte das eingesparte Geld sogar einen kleinen Beitrag dazu leisten, die beklagte Unterfinanzierung, Unterbesetzung und Unterqualifizierung endlich anzugehen.

Artikel teilen