Die Bundesregierung Deutschlands teilt grundsätzlich die datenschutzrechtlichen Bedenken der Datenschutzbeauftragen zu Microsofts Cloud-Office. Aber das deutsche Außenministerium und weitere Behörden setzen auf Microsoft 365. Dies ist die Bilanz einer Anfrage des CDU Bundestagsabgeordneten Marc Biadacz. Und dies, obwohl den Beteiligten klar ist, dass die Anwendung der Lösung auf erhebliche Schwierigkeiten bei der Begründung der Rechtmäßigkeit stößt.
Anzeige
Ich hatte hier im Blog ja bereits häufiger auf die Problematik beim Einsatz der Cloud-Lösungen Microsoft Office 365 und Microsoft 365 hinwiesen. Und Ende November 2022 hatte die Deutsche Datenschutzkonferenz (DSK) deutlich gemacht, dass nach ihrer Einschätzung ein Einsatz von Microsoft 365 weiterhin nicht datenschutzkonform möglich sei. Ich hatte das im Blog-Beitrag Datenschutzkonferenz 2022: Microsoft 365 weiterhin nicht datenschutzkonform thematisiert und dann sowohl eine Nachbetrachtung (siehe Nachbetrachtung zur DSK-Einstufung "Microsoft 365 weiterhin nicht datenschutzkonform") als auch weitere Artikel (siehe Links am Beitragsende) veröffentlicht. Die Open Source Business Alliance (OSB Allicance) sieht durch den Einsatz der Microsoft Cloud die digitale Souveränität deutscher Unternehmen und Behörden gefährdet (siehe OSB-Alliance warnt: Die Microsoft Cloud gefährdet unsere digitale Souveränität). Und wie verhalten sich die deutsche Bundesregierung und deutsche Behörden?
Behörden setzen auf Microsoft 365
Der CDU Bundestagsabgeordnete Marc Biadacz hat eine Anfrage an die Bundesregierung gestellt und gefragt, wie diese den Einsatz von Microsoft 365 bewertet. Konkret wurde gefragt:
Teilt die Bundesregierung die Einschätzung des Datenschutzbeauftragten des Landes Baden-Württemberg, Stefan Brink, dass Behörden die gängigen Cloud-basierten Microsoft-Office-365- Produkte wie Word, Excel, PowerPoint, Outlook und Teams nur „nach intensiver Prüfung und erheblichem Begründungsaufwand" nutzen können (FAZ-Artikel); und in welchem Umfang werden das Bundeskanzleramt, die Bundesministerien und ihre nachgeordneten Behörden Microsoft-Office-365-Produkte nutzen (bitte nach Ministerien aufschlüsseln)?
Die Antwort der Parlamentarischen Staatssekretärin (PDF) Katja Hessel vom 9. Dezember 2022 hat es in sich – ich bin über nachfolgenden Tweet von Mike Kuketz auf das Thema aufmerksam geworden, da die Kollegen es hier aufbereitet haben. In der Antwort heißt es:
Anzeige
Ja, die Bundesregierung teilt im Grunde nach die Einschätzung des Datenschutzbeauftragten des Landes Baden-Württemberg, Stefan Brink, bezüglich der datenschutzrechtlichen Problematik beim Einsatz von Office 365-Produkten der Firma Microsoft in der öffentlichen Verwaltung.
Anwendende haben erhebliche Schwierigkeiten, die Rechtmäßigkeit der Verarbeitung personenbezogener Daten nachzuweisen. Dieser Nachweis muss durch verantwortliche Stellen aber erbracht werden. Es ist zum einen nicht zu jedem Zeitpunkt klar, welche Verarbeitungen zu welchem Zweck vorgenommen werden, zum anderen, welche Verarbeitungstätigkeiten von Microsoft im Auftrag und welche in eigener Verantwortung erfolgen. Insbesondere für Einrichtungen des Bundes ist dabei unklar, auf welcher Rechtsgrundlage eine Verarbeitung in eigener Verantwortlichkeit stattfinden kann.
Für die Einrichtungen des Bundes bereitet diese Unklarheit besondere Schwierigkeiten nachzuweisen, dass die Datenverarbeitung z. B. von Telemetriedaten innerhalb des gesetzlich vorgegebenen Zweckes erfolgt bzw. ausgeschlossen ist. Nur so ist eine Verarbeitung von personenbezogenen Daten in einer Umgebung dieser Art überhaupt möglich.
Die damit verbundenen Prüfungen können deshalb nach Einschätzung der Bundesregierung, wie im Artikel geschrieben, als intensiv und mit einem erheblichen Aufwand für die Begründung aufgefasst werden.
Nicht nur daher hat der Bund frühzeitig Entscheidungen getroffen und Maßnahmen umgesetzt, die einen Einsatz dieser Produkte für den Bund grundsätzlich entbehrlich machen. Die augenblicklich im Einsatz sich befindenden Microsoft Office-Produkte werden zudem nicht aus einer Public Cloud bezogen, sondern als On-Premise-Lösungen im Eigenbetrieb des Bundes genutzt.
Im Rahmen der Dienstekonsolidierung Bund wird ein Bundesclient in der unmittelbaren Bundesverwaltung (ohne BMVg und AA) eingeführt, der „on-premise" im ITZBund betrieben wird.
Damit wäre für mich ziemlich klar, deutsche Behörden sind auf dem Weg zum Cloud-Exit. Aber die Wirklichkeit sieht dann etwas anders aus. Folgende Tabelle zeigt, dass das deutsche Außenministerium auf Microsoft 365 setzt und auch weitere Behörden verwenden die Microsoft Cloud.
Jetzt bleibt es spannend, wie die rechtliche Bewertung der Datenschutzkonferenz im Hinblick auf das geplante EU-US-Datenschutzabkommen weiter geht und ob das Abkommen juristischen Bestand hat (siehe auch EU-Kommission fällt vorläufige Angemessenheitsentscheidung zum Trans-Atlantic Data Privacy Framework).
Ähnliche Artikel:
Safe Harbor: EuGH erklärt Abkommen für ungültig
EuGH kippt EU-US-Datenschutzvereinbarung "Privacy Shield"
Keine Karenzfrist für Unternehmen nach Privacy Shield-EU-Urteil
Datenschützer plant durchgreifen bei Privacy Shield-Verstößen
Vorläufige Einigung zwischen EU und USA im Trans-Atlantic Data Privacy Framework
US-Präsident Biden bringt Datenschutzabkommen "Privacy Shield 2.0" auf den Weg
Datenschutzkonferenz 2022: Microsoft 365 weiterhin nicht Datenschutzkonform
Microsoft 365 an Schulen, Baden-Württembergs Datenschützer sagt Nein
Vier Jahre DSGVO: Baustelle statt großer Wurf
DSGVO, Microsoft Office und die Datenschutzprobleme
Privacy: Microsoft steht mit Windows 10/Office 365 unter Druck
Microsoft will Office Pro Plus DSGVO-konform nachbessern
Microsoft Office spioniert Nutzer aus, kollidiert mit DSGVO
Nachbetrachtung zur DSK-Einstufung "Microsoft 365 weiterhin nicht datenschutzkonform"
Microsoft 365 und der Datenschutz, wie geht es weiter?
OSB-Alliance warnt: Die Microsoft Cloud gefährdet unsere digitale Souveränität
Microsoft rollt "EU Data Boundary" für die Europa-Cloud ab 2023 aus
EU-Kommission fällt vorläufige Angemessenheitsentscheidung zum Trans-Atlantic Data Privacy Framework
Anzeige
"Die Bundesregierung Deutschlands teilt grundsätzlich die datenschutzrechtlichen Bedenken der Datenschutzbeauftragen zu Microsofts Cloud-Office. Aber das deutsche Außenministerium und weitere Behörden setzen auf Microsoft 365" – dies ist für mich alles andere als nachvollziehbar. Nunja, die Zukunft wird es zeigen…
Es ist nachvollziehbar, dass, nach Erkennen des eklatanten Rechtsverstoßes, das Umstellen der Infrastruktur nicht von gestern auf heute geschehen kann.
Allersdings haben die staatlichen Stellen hier proaktiv zu handeln und sich gefälligst bei begründeten Zweifeln der Rechtmäßigkeit gegen eine Technologie zu entscheiden.
Muss man vielleicht auch bedenken, dass die Diskussion um das breite Abfließen von Nutzungsdaten, Telemetrie und Inhalten bei Produkten von Microsoft alles andere als neu ist. Da hätte man sich als Staat schon vor mehr als 10 Jahren anders aufstellen können.
Mal ganz abgesehen davon, ob man es für politisch gewollt halten könnte, dass ein einziger privater Konzern weltweit das Monopol über eine Software Sparte hält.
In Zeiten, in denen man tagtäglich in DE und auch in der EU über Abhängigkeiten diskutiert, sollte das Thema IT auch nicht ausgeklammert werden.
Insbesondere der Datenschutz im Umfeld der Microsoft-Produkte und den IT-Größen Google, FaceBook, Amazon und Apple sollte immer im Focus bleiben und es sollte langsam an der Umsetzung alternativer Angebote nicht nur gedacht, sondern auch realisiert werden.
Frohes Fest
Man findet doch auch nicht den Straßenhändler mit den Uhren im Innenfutter des Mantels dubios aber kauft trotzdem bei ihm.
Die Bundesregierung muss nach Recht und Gesetz handeln. Und wenn ein Programm nicht der DSGVO entspricht DARF es nicht eingesetzt werden und es MUSS zu anderen Produkten gewechselt werden die der DSGVO entsprechen.
Die Büchse der Pandora wurde geöffnet und läßt sich jetzt nicht mehr schließen.
Selbstgewählte totale Abhängigkeit.
Probleme ignorieren und wegdiskutieren.
So funktioniert Deutschland im 21. Jahrhundert (nicht).
Gibt es ein Ministerium, dass kein Windows 365 einsetzt?
Ach geht nicht. Nachdem die FDP mit dem Außenministerium ihrerseits bewies, das Open Source nicht klappen kann. Nee, nicht klappen darf.
Imo müsste unsere Regierung der Document Foundation richtig Geld überweisen und Zeit investieren. Mit den Ressourcen mit denen Microsoft sein Office-Paket vorantreibt, kann LO so nicht mithalten.
Ich weiß, es ist unpopulär, was ich schreibe.
Gut so! Die angeblichen Datenschützer nerven nur noch.
Das sollen unsere Datenschützer: denn ich möchte das meine Daten nicht wild abgegriffen und ins Netz verteilt werden. Das betrifft im übrigen auch Krankschreibungen wie Gehaltsdaten.
"Wenn man sagt, die Privatsphäre ist mir egal, ich habe nichts zu verbergen, dann ist das so, wie wenn man sagt, die Meinungsfreiheit ist mir egal, ich habe nichts zu sagen."
Die Bundesministerien usw. sind doch fein raus, die haben in der Bundscloud ihr eigenes OnPremise-Azure für M365.
https://www.heise.de/news/Cloud-Dienste-Regierungsstratege-fordert-souveraenen-nationalen-Hyperscaler-6443417.html
Alles gut.
Die Bundesministerien haben gar nichts.
Wie bei heise ausgeführt sind das nur lauwarme Forderungen, Absichtserklärungen, Arbeitsgrüppchen, Auslagerungen an Industrie mit einem angedachten ersten "PoC" nach 2023 und irgendwelchen "Ergebnissen" in 2024 (die auch "ist leider nicht geignet" sein könnten):
Ist ja nicht so, daß im Rahmen des "Abhörskandals™" (Empörung, Empörung) mindestens zwei erfolgreiche Angriffe durch löchrige Microsoft-Exchange-Server erfolgten.
Man muß schon ganz schön Banane sein, diese Produkte in derart sensiblen Bereichen – trotz aller Erfahrung – so dermaßen leichtsinnig einzusetzen.
Aber gut, die BRD ist eh ein Selbstbedienungsladen. Und eines können wir gut: Uns bitterböse empören! Das wissen selbst die Macher von South Park (Staffel 15, Episode 2).
in den USA oder UK hast Du aber auch nicht so hohe Abgaben wie hier, pay less, complain less.
Die sind sowas von dämlich, dass es wehtut.
Das ist etwa so, als würde man verschimmelte Lebensmittel weiter konsumieren, weil leider zuviel eingekauft wurde und der Weg zum nächsten Supermarkt zu ungemütlich ist.
Als ob das wieder mal NUR ein DE Thema ist. Schaut mal über den DE Tellerrand in die Nachbarstaaten bzw. zur EU und Demokratische Staaten. Ist also kein Thema was es nur in DE gibt.
Es ist halt imho einfacher, etwas existierende zu verwenden, anstatt etwas neues zu kreieren und je mehr Köche dabei sind… naja kann sich ja jeder ausmalen was dann passiert :D
es ist doch eigentlich auch egal, ob die Inkompetenz in den Behörden direkt oder indirekt zur Schau gestellt wird, oder? Also kann man die „Arbeitsweisen" der MA doch auch MS direkt übermitteln. Der Office Productivity Score gibt dann vielleicht etwas Transparenz darüber, was mit unseren Steuergeldern passiert.
DSGVO im Übrigen wird überbewertet, darum geht es doch gar nicht.