Befürworter des Datenschutzes sind sich in Microsoft Office 365 nicht einig

Die von Anfang an umstrittene Entscheidung der Bundes- und Landesdatenschutzkonferenz (DSK), dass Microsoft Office 365 derzeit nicht gesetzeskonform eingesetzt werden kann, sorgt weiterhin für Aufsehen: Beamte Datenschutzbehörden der Bundesländer Bayern, Baden-Württemberg, Hessen und Saarland sowie das für Microsoft Deutschland zuständige bayerische Landesamt für Datenschutzaufsicht können es kaum sein Sorgen Sie sich um die Entscheidung, die sie nicht unterstützte.

Das Office-Softwarepaket mit Word, Excel und Powerpoint bietet „erhebliches Verbesserungspotenzial für das Datenschutzrecht“, unterstreichen die fünf Office-Manager Gemeinsame Verlautbarung Von Freitag. Damit wurde kürzlich erneut das Urteil des Europäischen Gerichtshofs (EuGH) gegen den Datenschutzschild klargestellt, wonach die Übermittlung personenbezogener Daten an die Vereinigten Staaten auf dieser Grundlage nicht mehr möglich ist der bislang am weitesten verbreiteten Rechtsinstrumente.

Gesamtbewertung „zu undifferenziert“

Die Gruppe unterstützt daher „im Prinzip die Ziele der Arbeitsgruppe“ des DSK für Office 365, „sofern sie Ausgangspunkte für Verbesserungen des Datenschutzes des Produkts formuliert“. Aber sie konnten ihre Gesamtbewertung nicht teilen, „weil sie zu undifferenziert ist“.

Der rheinland-pfälzische Datenschutzbeauftragte Dieter Kugelmann hatte Mittwoch aus einer „vorläufigen Bewertung“ der Office-Suite auf der Grundlage eines entsprechenden Positionspapiers der DSK-Verwaltungsarbeitsgruppe, das der Ausschuss nun „mit der Mehrheit der Zustimmung zur Kenntnis genommen“ hat. Basierend auf den Auftragsbearbeitungsdokumenten von Microsoft vom Januar 2020 ist daher „keine datenschutzkonforme Verwendung von Microsoft Office 365“ möglich.

Die DSK, die derzeit die sächsische Datenschutzbehörde leitet, hat das Dokument im Gegensatz zu ihrer Praxis noch nicht selbst freigegeben. Insbesondere überprüften die Panel-Experten die Bedingungen des Onlinedienstes (OST) von Office 365 sowie die Datenschutzbestimmungen für Microsoft-Onlinedienste (Data Processing Addendum – DPA) und verkündete sein Urteil am 15. Juli.

Die Arbeitsgruppe hat ihre Analyse „auf der Grundlage vertraglicher Bestimmungen vorgenommen, die Microsoft in der Zwischenzeit bereits zweimal überarbeitet hat“, und nun die fünf internen Kritiker hinzugefügt. Er konnte auch die einschlägige Entscheidung des EuGH nicht berücksichtigen.

Nur eine kleine Mehrheit

Die DSK stimmte dem Positionspapier mit knapper Mehrheit von neun bis acht Stimmen zu. Es war bereits im Voraus bekannt, dass die bayerischen Inspektoren die Formulierungen der Arbeitsgruppe in einer Rundschreiben-E-Mail als rechtlich fragwürdig beschrieben und sich gegen die Veröffentlichung der Bewertung ausgesprochen hatten. Nach Angaben von heise online hatte der baden-württembergische Datenschutzbeauftragte Stefan Brink inzwischen eine Verschärfung der Bekanntmachung gefordert.

Die fünf Autoritätschefs betonen nun gemeinsam, dass sie die Bewertung der Arbeitsgruppe „als relevante Arbeitsgrundlage, aber noch nicht entscheidungsbereit“ betrachteten. Dies gilt umso mehr, „da noch keine formelle Anhörung von Microsoft stattgefunden hat“. Es ist Teil eines „fairen Verfassungsprozesses“.

Die Gruppe der Vertreter der Länder des Südens freut sich umso mehr, dass die DSK einstimmig eine neue Arbeitsgruppe eingerichtet hat, die „so bald wie möglich Gespräche mit dem Hersteller aufnehmen soll“. Ziel ist es, durch konstruktiven Dialog schnell „dauerhafte datenschutzkonforme Korrekturen zu erreichen.

Die kürzlich im Amt bestätigte Schleswig-Holstein-Datenschutzbeauftragte Marit Hansen ist der Ansicht, dass das knappe Ergebnis der DSK-Abstimmung „kein Anzeichen für eine Spaltung“ ist. Alle kritisierten das Thema. „Es kann jedoch auch andere Anfragen geben, wie oder wie Änderungen beim Lieferanten vorgenommen werden sollen“, sagte Hansen gegenüber Heise Online. Es ist wichtig, dass die Arbeit „zügig zu diesem Thema“ fortgesetzt wird und dass praktikable Lösungen fortgesetzt werden.

„Der Schutz der Daten unserer Kunden hat für Microsoft oberste Priorität“, sagte ein Sprecher der Gruppe. Das Unternehmen war darüber informiert worden, dass die DSK bei ihrer letzten Sitzung über Office 365 gesprochen hatte. Es wird jedoch weiterhin davon ausgegangen, dass die Software „in Übereinstimmung mit dem geltenden Datenschutzgesetz verwendet werden darf“. Microsoft befürwortet „die Zusammenarbeit mit der Arbeitsgruppe der Bundes- und Landesbehörden, um gemeinsam Probleme und Bedenken zu erörtern und Lösungen zu finden“.

Mehr Open Source

In Eins Inzwischen sieht die DSK die Resolution auch als Angriff auf die digitale Souveränität der öffentlichen Verwaltung. und fördert daher die Verwendung alternativer Softwareprodukte und Open-Source-Programme. Auf diese Weise kann „die Unabhängigkeit der öffentlichen Verwaltung gegenüber den marktbeherrschenden Softwareanbietern jederzeit gewährleistet werden“. Bundes-, Landes- und Kommunalverwaltungen fordern die Inspektoren auf, langfristig nur Hardware und Software zu verwenden, damit die Beamten die von ihnen verwendete Informationstechnologie exklusiv und vollständig kontrollieren können.

(vbr)