[English]Datenschützer von Bund und Ländern fordern von Microsoft Nachbesserungen beim Office 365-Paket. Der Arbeitskreis Verwaltung der Datenschützer hat ein Positionspapier vorgelegt, dass kein datenschutzgerechter Einsatz von Microsoft Office 365 möglich sei. Angesichts einer wachsenden Abhängigkeit von marktbeherrschenden Softwareanbietern fordert die Konferenz der Datenschutzbehörden (DSK) eine digitale Souveränität der öffentlichen Verwaltung. Zudem gibt es eine Taskforce zur Durchsetzung des EU-Safe Harbor-Urteils.
Anzeige
Es sind einige Paukenschläge, die Dieter Kugelmann, Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz, am Mittwoch in Mainz kund tat. Die Datenschutzaufsichtsbehörden sehen eine fatale Abhängigkeit der deutschen Verwaltungen von marktbeherrschenden Softwareanbietern und fordern digitale Souveränität. Dabei steht auch Microsofts Office 365 in der offenen Kritik. Kugelmann bezog sich in seiner Erklärung auf die Ergebnisses des Arbeitskreises Verwaltung der Bundesdatenschützer. Kugelmann dazu: Ein Positionspapier des Arbeitskreises Verwaltung komme zu dem Ergebnis, dass kein datenschutzgerechter Einsatz von Microsoft Office 365 möglich sei. Die Konferenz der Datenschutzbehörden (DSK) habe dieses Papier mehrheitlich zustimmend zur Kenntnis genommen.
Datenschutzaufsichtsbehörden fordern digitale Souveränität
Vor dem Hintergrund einer wachsenden Abhängigkeit von marktbeherrschenden Softwareanbietern hat die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) eine datenschutzpolitische Positionierung zur digitalen Souveränität der öffentlichen Verwaltung vorgenommen. Unter digitaler Souveränität wird hier die die Möglichkeit verstanden, in der digitalen Welt selbstständig, selbstbestimmt und sicher agieren zu können. In der Praxis können viele öffentliche Verwaltungen derzeit jedoch nicht selbstbestimmt handeln, weil sie von großen Software-Firmen abhängig sind und weil in der IT-Landschaft besondere technische Zwänge bestehen.
Die DSK sieht die digitale Souveränität der öffentlichen Verwaltung beeinträchtigt und regt daher an, verstärkt alternative Softwareprodukte sowie Open-Source-Produkte einzusetzen. Dadurch könne „die Unabhängigkeit der öffentlichen Verwaltung von marktbeherrschenden Softwareanbietern dauerhaft sichergestellt werden", heißt es in der Entschließung, die nun vorliegt und vergangene Woche auf der Datenschutzkonferenz beschlossen wurde.
Die DSK hat eine Reihe von Handlungsempfehlungen mit Blick auf die digitale Souveränität verabschiedet. Konkret fordert sie Bund, Länder und Kommunen dazu auf, langfristig nur solche Hard- und Software-Produkte einzusetzen, die den Verantwortlichen die ausschließliche und vollständige Kontrolle über die von ihnen genutzte Informationstechnik belässt. Kurzfristig sollten Produkte und Dienstleistungen besser datenschutzrechtlich beurteilt werden – sowohl bei der Auswahl als auch im laufenden Betrieb. Die DSK spricht sich für Zertifizierungen aus, die Verantwortlichen die Prüfung und Kontrolle erleichtern, wenn sie sich nicht eigenständig ein valides Bild über die komplexe Funktionsweise von Informationstechnik machen können. Zudem sollten Produktentwickler offene Standards nutzen, damit die Verantwortlichen auch tatsächlich in die Lage versetzt werden, Anbieter und Produkte zu wechseln, wenn sie mit deren Produkten und Dienstleistungen die Datenschutzanforderungen nicht mehr oder nur ungenügend umsetzen können.
Anzeige
Vorläufige Bewertung von Office 365 durch die DSK
Die DSK hat überdies eine vorläufige Bewertung von „Microsoft Office 365" vorgenommen und ein entsprechendes Positionspapier des Arbeitskreises Verwaltung mehrheitlich zustimmend zur Kenntnis genommen. Dieses kommt zu dem Ergebnis, dass auf Basis der Auftragsverarbeitungsunterlagen von Microsoft (Stand Januar 2020) kein datenschutzgerechter Einsatz von Microsoft Office 365 möglich sei. Die DSK hat daher beschlossen, eine Arbeitsgruppe einzurichten, die auf Grundlage dieser Bewertungen Gespräche mit Microsoft aufnehmen soll, um zeitnah datenschutzgerechte Nachbesserungen zu erreichen. Über die Notwendigkeit solcher Nachbesserungen besteht in der DSK Einigkeit.
Ich bin erstmals bei ZON auf diesen Sachverhalt aufmerksam geworden. Dort wird eine Microsoft-Sprecherin zitiert, die sagte, Datenschutz habe für Microsoft oberste Priorität. "Microsoft beachtet die jeweiligen gesetzlichen Anforderungen in den Märkten, in denen wir tätig sind, sehr genau. Wir sind überzeugt, dass unsere Produkte im Allgemeinen und damit auch Microsoft Office 365 im Einklang mit dem anwendbaren Datenschutzrecht genutzt werden können".
heise hat bereits Mitte September 2020 auf diesen Sachverhalt aufmerksam gemacht. Basis war wohl dieser Artikel von Netzpolitik.org über die Ergebnisse der Datenschutzkonferenz. Und manchmal fallen Themen einfach zusammen. Es sieht so aus, als ob Office 365 im Privatbereich auch nicht mehr einsetzbar wäre. Denn die Nutzung erfordert ein Microsoft-Konto, zu dessen Registrierung eine Mobilfunknummer erforderlich ist. Andernfalls wird das Microsoft-Konto gesperrt. Ich hatte das Thema schon vor einiger Zeit im Blog, aber gestern ist mein Artikel bei Golem erschienen, der bei der Leserschaft rege diskutiert wird. Fazit: Es klemmt bei Microsoft wohl an vielen Ecken.
Durchsetzung des Safe Harbor EU-Urteils
Kürzlich hatte der EU-Gerichtshof ja das sogenannte Safe-Harbor-Abkommen zum Datenaustausch mit den USA als nichtig erklärt. Firmen dürfen keine Personendaten mit den USA austauschen, wenn sie sich auf Safe-Harbor berufen. Das Urteil lässt auch keine Übergangsfristen zu. Bei der DSK-Zwischentagung wurde daher beschlossen, zu dem wegweisenden Urteil des Europäischen Gerichtshofs (EuGH) zum Datentransfer in die USA (Schrems II) eine Taskforce zu gründen. Diese soll eine bundesweite Abstimmung der Vorgehensweise sicherstellen und eine Strategie für die Durchsetzung erarbeiten.
Die DSK hat zudem ein überarbeitetes „Kurzpapier" zum Beschäftigtendatenschutz verabschiedet: Es dient als erste Orientierung insbesondere für den nicht-öffentlichen Bereich und zeigt, wie die Datenschutz-Grundverordnung im praktischen Vollzug angewendet werden sollte. Zudem fordert die DSK, die erstinstanzliche Zuständigkeit der Landgerichte für Geldbußen über 100.000 Euro zu belassen.
Ähnliche Artikel:
DSGVO, Microsoft Office und die Datenschutzprobleme
Microsoft 'mahnt' Berliner Datenschutzbeauftragte ab
Werden Microsoft-Konten von Office ohne Telefonnummer gesperrt?
Falle: Office 365 Business/Microsoft 365-App-Abonnement vom 'Reseller' – Teil 11
Microsoft Cloud: Ist Azure Active Directory ein Single Point of Failure?
Cyber-Kriminalität bedroht Wirtschaft und Gesellschaft
Anzeige
Dieser Beitrag gibt mir Hoffnung.
Es macht keinen Spaß, wenn man immer nur als schwarzmalender IT-Nerd wahrgenommen wird.
Aber langsam werden sie wohl munter….
So sehr auch die Bedenken der Datenschützer richtig sein mögen, welcher Linux-Herausgeber (zusammenhängend mit Provider) bietet ein ähnliches Paket an? Microsofts Paket besteht aus einem mehr als vollständigen Office-Paket plus Cloudspeicher. Aktuell kenne ich keinen deutschen/europäischen Anbieter. Linux: Wirklich mögen tue ich nur KDE Plasma. LO: Die Installation mag schnell von Statten gehen und die Justierarbeiten hinterher?