{"id":280567,"date":"2023-05-09T08:46:30","date_gmt":"2023-05-09T06:46:30","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=280567"},"modified":"2023-05-12T11:37:23","modified_gmt":"2023-05-12T09:37:23","slug":"bundeslnder-verweigern-einsicht-in-rechtsgutachten-zur-dsgvo-einstufung-von-microsoft-365","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/05\/09\/bundeslnder-verweigern-einsicht-in-rechtsgutachten-zur-dsgvo-einstufung-von-microsoft-365\/","title":{"rendered":"Bundesländer verweigern Einsicht in Rechtsgutachten zur DSGVO-Einstufung von Microsoft 365"},"content":{"rendered":"

\"StopZum \"Fr\u00fchst\u00fcck\" der dicke Hund der Woche. Es gibt ein im Auftrag der deutschen Bundesl\u00e4nder angefertigtes Rechtsgutachten zur Frage, ob sich Microsoft 365 datenschutzkonform in Beh\u00f6rden und Landesgesellschaften einsetzen l\u00e4sst. Die Redaktion von Golem hatte davon Wind bekommen und wollte das Gutachten im Rahmen einer Auskunft gem\u00e4\u00df Informationsfreiheitsgesetz einsehen. Obwohl Golem die anfallenden Geb\u00fchren von ca. 1.000 Euro tragen wollte, verweigerte die angefragte Stelle die Herausgabe des (ggf. in Teilen geschw\u00e4rzten) Gutachtens.<\/p>\n

<\/p>\n

Der Sachverhalt<\/h2>\n

\"\"Spannende Frage: Kann das Produkt Microsoft 365 datenschutzkonform in deutschen Verwaltungen eingesetzt werden<\/em>? Die deutschen Bundesl\u00e4nder hatten dazu ein Rechtsgutachten erstellen lassen, was diese Frage f\u00fcr die Beh\u00f6rden kl\u00e4ren sollte. In Auftrag gegeben wurde das Gutachten von den mit der IT-Verwaltung beauftragten IT-Dienstleistern der deutschen Bundesl\u00e4nder (mit Ausnahme Th\u00fcringens).<\/p>\n

Das Rechtsgutachten liegt den L\u00e4ndern inzwischen wohl vor. Frag den Staat sowie die Redaktion von Golem wollten wissen, was in in diesem Gutachten steht und waren auch bereit, die Geb\u00fchren (bis zu 1.000 Euro) f\u00fcr diesen Akt und ggf. erforderliche Schw\u00e4rzungen im Gutachten zu tragen. Also wurde eine Einsichtnahme im Rahmen des Informationsfreiheitsgesetzes bei der IT und Technik des Landes Nordrhein-Westfalen beantragt. Dieser k\u00fcmmert sich um die IT dieses Bundeslandes.<\/p>\n

Frag den Staat<\/em> hat die Einsichtnahme bereits am 7. November 2022 beantragt und diese Anfrage wurde im Februar 2023 endg\u00fcltig abgelehnt. Dazu schrieb die zust\u00e4ndige Stelle in einer Zwischenantwort bereits:<\/p>\n

Sie beantragen die \u00dcberlassung des Gutachtens zur Datenschutzrechtm\u00e4\u00dfigkeit von Microsoft Office365, das im Auftrag der IT-Dienstleistungszentren der Bundesl\u00e4nder erstellt wurde. \u00dcber Ihren Antrag kann ich aus folgenden Gr\u00fcnden nicht fristgerecht entscheiden. Das Gutachten liegt meinem Haus in einer Fassung vor, die als \u201eVertraulich \u2013 Nicht extern weiterleiten\" eingestuft ist, so dass es vermutlich Betriebs- oder Gesch\u00e4ftsgeheimnisse enth\u00e4lt. In diesem Fall w\u00e4re nach \u00a7 8 IFG NRW der Antrag auf Informationszugang abzulehnen, soweit durch die \u00dcbermittlung der Information auch ein wirtschaftlicher Schaden entstehen w\u00fcrde. Vor einer m\u00f6glichen Herausgabe muss das Gutachten daher auf darin enthaltene Betriebsgeheimnisse gepr\u00fcft werden, die einer Herausgabe entgegenstehen w\u00fcrden oder zumindest Schw\u00e4rzungen erfordern k\u00f6nnten.<\/p><\/blockquote>\n

Frag den Staat scheint aber die Anfrage aufrecht erhalten zu haben, so dass das dann final abgelehnt wurde. Die Ablehnung ist in einem Schreiben vom 14. Februar 2023 begr\u00fcndet worden (das Schreiben ist \u00fcber die Seite von Frag den Staat<\/a> abrufbar).<\/p>\n

Breiter in die \u00d6ffentlichkeit gelangte dies mit dem gestrigen Golem-Beitrag L\u00e4nder verheimlichen Rechtsgutachten zu Microsoft 365<\/a>. Golem schreibt, dass der Redaktion diese Einsichtnahme verweigert wurde, die L\u00e4nder wollen das Gutachten geheim halten (siehe auch obiger Tweet<\/a> des CCC). Die IT und Technik des Landes Nordrhein-Westfalen schrieb zur Verweigerung der Einsichtnahme in das Rechtsgutachten zu Microsoft 365 und dessen DSGVO-Konformit\u00e4t \"Ihren Antrag auf \u00dcberlassung eines Rechtsgutachtens zur Datenschutzkonformit\u00e4t von Microsoft Office365 weise ich zur\u00fcck. \",<\/em> und begr\u00fcndete dies damit, dass dieses Rechtsgutachten die Beziehungen zu anderen L\u00e4ndern beeintr\u00e4chtigen k\u00f6nnte, da die Datenzentralen der L\u00e4nder einer Herausgabe widersprochen h\u00e4tten. Au\u00dferdem w\u00fcrde die Herausgabe die Verhandlungsposition gegen\u00fcber Microsoft \"erheblich schw\u00e4chen\"<\/em>.<\/p>\n

Noch einige Informationen herausgezogen<\/h2>\n

Die komplette Antwort mit der Ablehnung an Frag den Staat<\/em> in Form eines vierseitigen PDF-Dokuments ist hier<\/a> einsehbar. So wird argumentiert, dass die \"Herausgabe des Gutachtens ohne Zustimmung der Datenzentralen der L\u00e4nder der notwendigen vertrauensvollen Zusammenarbeit die Grundlage entziehen\" w\u00fcrde. Zudem st\u00e4nden einer Herausgabe auch einzelnen Regelungen der Landesgesetze entgegen. Hier ein Auszug:<\/p>\n

Gem\u00e4\u00df \u00a7 14 Nr. 7 Landestransparenzgesetz von Rheinland Pfalzdarf eine Herausgabe nicht dazu f\u00fchren, dass sich Dritte durch gezielte Informationen wirtschaftliche Vorteile zu Lasten \u00f6ffentlicher Haushalte verschaffen, die gegen\u00fcber der Situation ohne Kenntnis der entsprechenden Informationen zu h\u00f6heren Ausgaben f\u00fchren k\u00f6nnen. Die Interessensb\u00fcndelung und Beauftragung des Gutachtens dient zumindest auch dem Erfordernis einer sparsamen Haushaltsf\u00fchrung durch \u00f6ffentliche Auftraggeber.<\/p>\n

Die Auswertung des Gutachtens erlaubt R\u00fcckschl\u00fcsse auf das grunds\u00e4tzliche Vorgehen bei der Beschaffung im Zusammenhang kritischer Infrastrukturen des Landes. Die Beeintr\u00e4chtigung fiskalischer Interessen besteht in der m\u00f6glicherweise erforderlichen Aufwendung von zus\u00e4tzlichen Haushaltsmitteln.<\/p><\/blockquote>\n

Halte ich f\u00fcr vorgeschoben, da genau diese aus Sicht der Beh\u00f6rden \"kritischen\" Passagen geschw\u00e4rzt werden k\u00f6nnen. Noch skurriler wird die zweite Begr\u00fcndung:<\/p>\n

Zudem steht die Vorschrift des 8 6 b) IFG NRW einer Herausgabe des Gutachtens entgegen. Danach ist der Antrag abzulehnen, wenn und soweit durch die Bekanntgabe der Information der Verfahrensablauf eines anh\u00e4ngigen Verwaltungsverfahrens erheblich beeintr\u00e4chtigt w\u00fcrde. Das laufende Verwaltungsverfahren \u2014 n\u00e4mlich der Einkauf von cloudbasierter Software und die Verhandlung der Vertragsmodalit\u00e4ten hierzu – ist noch nicht abgeschlossen.<\/p>\n

Die Bundesl\u00e4nder wollen cloudbasierte L\u00f6sungen einsetzen, sehen aber hohe Abh\u00e4ngigkeiten zu einzelnen Technologieanbietern und damit die Gefahr, die Kontrolle \u00fcber die eigene IT zu verlieren und datenschutzrechtliche Erfordernisse nicht mehr gew\u00e4hrleisten zu k\u00f6nnen. In diesem Zusammenhang ist auch die Arbeit des IT-Planungsrats zu sehen, der zur St\u00e4rkung der digitalen Souver\u00e4nit\u00e4t von Bund und L\u00e4ndern die l\u00e4nderoffene Arbeitsgruppe \u201eCloud-Computing und Digitale Souver\u00e4nit\u00e4t\" unter Federf\u00fchrung Nordrhein-Westfalens und des Bundes eingesetzt hat.<\/p><\/blockquote>\n

Das Ganze muss man sich auf der Zunge zergehen lassen. Die IT-Dienstleister der L\u00e4nder sehen hohe Abh\u00e4ngigkeiten zu Technologieanbietern und die Gefahr, die Kontrolle \u00fcber die eigene IT zu verlieren und datenschutzrechtliche Erfordernisse nicht mehr gew\u00e4hrleisten zu k\u00f6nnen, stehen aber gleichzeitig mit genau einem dieser Technologieanbieter, der daf\u00fcr bekannt ist, extreme Abh\u00e4ngigkeiten zu schaffen, in Verhandlungen. Klingt f\u00fcr mich wie Realsatire. Sprache ist vielseitig, ist manchmal auch verr\u00e4terisch. So hei\u00dft es in der Ablehnung:<\/p>\n

Zur Erreichung der gew\u00fcnschten digitalen Souver\u00e4nit\u00e4t ist weiter ein eng abgestimmtes Agieren von Bund und L\u00e4ndern erforderlich, das u.a. auch durch die Arbeit der ALD erfolgt, die das Gutachten als ein Arbeitspapier in Auftrag gegeben hat, um hieraus detaillierte Verhandlungsstrategien zur gezielten Reduzierung erkannter Schmerzpunkte abzuleiten.<\/p><\/blockquote>\n

Ich \u00fcbersetze das doch einfach mal: Die DSGVO fordert, dass IT-Verantwortliche benennen k\u00f6nnen, welche Daten im Rahmen einer Verarbeitung erfasst werden und was damit passiert. Die DSK stellt fest, dass auch nach Gespr\u00e4chen mit Microsoft nicht klar ist, welche Daten durch Office 365 abgezogen und an den Hersteller \u00fcbertragen werden. Aufgabe der Beh\u00f6rden bzw. deren IT von Bund und L\u00e4ndern w\u00e4re es, alle relevanten DSGVO-Punkte aufzugreifen und in Verhandlungen auszur\u00e4umen. In obigem Passus ist dagegen von der \"gezielten Reduzierung erkannter Schmerzpunkte\" die Rede. Daraus leite ich ab, dass das unter Verschluss gehaltene Gutachten die nachfolgend erl\u00e4uterte Position der Deutschen Datenschutzkonferenz\u00a0 (DSK) st\u00fctzt und die Beh\u00f6rden massive Probleme haben, ihre cloudbasierten L\u00f6sungen DSGVO-konform hinzubekommen, solange Microsoft 365 als Produkt in der Auswahl ist.<\/p>\n

Der Hintergrund<\/h2>\n

Aufh\u00e4nger des Ganzen ist die Feststellung der deutschen Datenschutzkonferenz (DSK) zu Microsoft 365, die ich im Blog-Beitrag\u00a0 Datenschutzkonferenz 2022: Microsoft 365 weiterhin nicht datenschutzkonform<\/a> aufgegriffen hatte. Die DSK kam am 25. November 2022 auf Basis einer Arbeitsgruppe zum eindeutigen Entschluss, dass Microsoft 365 (beinhaltet Office 365) auf der Grundlage des von Microsoft bereitgestellten \"Datenschutznachtrags vom 15. September 2022\" nicht datenschutzrechtskonform zu betreiben sei.<\/p>\n

Verantwortliche f\u00fcr den Datenschutz k\u00f6nnten nicht den geforderten DSGVO-Nachweis erbringen, weil die notwendige Transparenz \u00fcber die Verarbeitung personenbezogener Daten aus der Auftragsverarbeitung f\u00fcr Microsofts eigene Zwecke nicht hergestellt und deren Rechtm\u00e4\u00dfigkeit nicht belegt werde. Microsoft sieht das zwar anders (siehe auch Nachbetrachtung zur DSK-Einstufung \"Microsoft 365 weiterhin nicht datenschutzkonform\"<\/a>).<\/p>\n

Von den Juristen von reuschlaw gab es dann eine \"Gegenstellungnahme\", die dem Einsatz von Microsoft 365 (wie das Ganze nun hei\u00dft) ein problemloser Einsatz bescheinigt wurde. Ich hatte im Beitrag MS 365 DSGVO-Konformit\u00e4t: Merkw\u00fcrdiger \"Meinungsartikel\" bei heise<\/a> darauf abgestellt. Hintergrund ist auch, dass es derzeit kein g\u00fcltiges Abkommen zum Datentransfer mit den USA gibt – und Microsoft 365 Daten in die Microsoft Cloud \u00fcbertr\u00e4gt. Damit sind die Daten im Einflussbereich der US-Beh\u00f6rden.<\/p>\n

Einstufung des Vorgangs<\/h2>\n

Der oben skizzierte Vorgang, die Einsichtnahme in das Rechtsgutachten zu verweigern, wirft nun zahlreiche Fragen auf. Es ist nat\u00fcrlich unklar, was im Rechtsgutachten steht. Wenn die DSK schreibt, dass der DSGVO-konforme Einsatz nicht m\u00f6glich sei, kann ich mir nicht vorstellen, dass das Rechtsgutachten die Position von reuschlaw, dass alles kein Problem sei, st\u00fctzt. In diesem Fall h\u00e4tten die Beh\u00f6rden sicherlich der Freigabe zugestimmt. So bleibt das Gef\u00fchl, dass die Position der DSK best\u00e4tigt wird, und die Beh\u00f6rden mauern, um sich da durch zu lavieren. Die Argumentation im Ablehnungsschreiben, aus dem ich oben zitiert habe, enth\u00e4lt auch folgende Aussage:<\/p>\n

So beschreibt das Gutachten detailliert, welche Ma\u00dfnahmen als Mindest-Anforderungen f\u00fcr eine Vereinbarkeit der MS-Produkte und ihrer Nutzung mit der DSGVO gesehen werden und welche Anforderungen eher als optionale Ma\u00dfnahmen w\u00fcnschenswert w\u00e4ren.<\/p><\/blockquote>\n

Es wird argumentiert, dass Microsoft Kenntnis keine Kenntnisse von der genauen Abgrenzung, welche Ma\u00dfnahmen f\u00fcr eine Vereinbarkeit der MS-Produkte und ihre Nutzung mit der DSGVO als zwingend und welche nur als optionale Ma\u00dfnahmen angesehen werden, erhalten solle. Denn dies w\u00fcrde die Verhandlungsposition des Bundes in zuk\u00fcnftigen Verhandlungen \u00fcber die Konditionenvertr\u00e4ge sowie der Verhandlungspositionen der L\u00e4nder im Hinblick auf die datenschutzrechtlichen Anforderungen im Rahmen zuk\u00fcnftiger Beschaffungen von Lizenzen unter den Konditionenvertr\u00e4gen erheblich schw\u00e4chen. Zweck des Gutachtens sei eine B\u00fcndelung und St\u00e4rkung der Interessen wie auch der Verhandlungspositionen der Bundesl\u00e4nder im Hinblick gegen\u00fcber Microsoft und den jeweiligen Handelsvertragspartnern. Bleibt nat\u00fcrlich die Frage, wie es mit der datenschutzrechtlichen Beurteilung bereits bestehender L\u00f6sungen ausschaut?<\/p>\n

Die DSGVO wurde als gro\u00dfer Erfolg gefeiert und man h\u00e4tte darauf aufbauen k\u00f6nnen. Stattdessen rangeln die Verantwortlichen in Vertr\u00e4gen mit Microsoft darum, wie etwas ein bisschen DSGVO-konform gestaltet werden kann, was in der mir bisher vorliegenden Konzeption niemals DSGVO-konform sein kann. Der Ansatz von Microsoft 365 als kontinuierliche Entwicklung mit monatlichen \u00c4nderungen l\u00e4sst doch \u00fcberhaupt keinen Raum f\u00fcr Evaluierungen. Man kann sich h\u00f6chstens auf Zusicherungen des Anbieters verlassen, die morgen schon wieder durch die technische Entwicklung Makulatur sein k\u00f6nnen.<\/p>\n

Wie schreibt Golem in seinem Artikel<\/a>: Ohne grunds\u00e4tzliche \u00c4nderungen auf Seiten Microsofts kann die Cloudsoftware nicht rechtskonform genutzt werden. Im Unterschied zu dem Gutachten der IT-Dienstleister der L\u00e4nder hat die DSK ihr Gutachten allerdings in einer um Gesch\u00e4ftsgeheimnisse bereinigten Zusammenfassung ver\u00f6ffentlicht. Warum dies der L\u00e4nder-IT nicht m\u00f6glich war, bleibt unklar.<\/em><\/p>\n

Unter dem Strich best\u00e4rkt dieser Vorgang mich im Gef\u00fchl, dass Politik und Beh\u00f6rden die eigenen Gesetze so langsam um die Ohren fliegen. Gerade folgenden Tweet<\/a> gesehen, dass der EU-Kommission ihre Pl\u00e4ne zur Chat-Kontrolle voraussichtlich um die Ohren fliegen, weil sie Grundrechte verletzen. Netzpolitik hat es hier aufbereitet<\/a> – eine Aufbereitung des EU-Abgeordneten Patrick Breyer findet sich hier<\/a>.<\/p>\n

Dann gibt es die Pl\u00e4ne der EU-Kommission, eine vorl\u00e4ufige Angemessenheitsentscheidung in Bezug das Trans Atlantik Data Privacy Framework zu treffen, die voraussichtlich vor dem EuGH scheitern d\u00fcrfte (siehe meinen Beitrag EU-Kommission f\u00e4llt vorl\u00e4ufige Angemessenheitsentscheidung zum Trans-Atlantic Data Privacy Framework<\/a>). Und bei der NZZ habe ich gerade gelesen<\/a>, dass der EU Data Act bei der Industrie Bedenken ausl\u00f6st, dass durch die Weitergabe von Daten Gesch\u00e4ftsgeheimnisse weiter gegeben werden. In Frankreich gibt es \u00fcbrigens das Dinum-Rundschreiben von 2021, welches \"den Einsatz von Office 365 in den franz\u00f6sischen Beh\u00f6rden\" verbietet (siehe meinen Blog-Beitrag Kostenloses Microsoft 365 und Google Workspace an Frankreichs Schulen verboten<\/a>). Es bleibt in meinen Augen spannend, wie das weiter geht – es lohnt am Thema dran zu bleiben und ggf. Fragen auch juristisch von Gerichten kl\u00e4ren zu lassen.<\/p>\n

\u00c4hnliche Artikel:
\n<\/strong>Datenschutzkonferenz 2022: Microsoft 365 weiterhin nicht datenschutzkonform<\/a>
\nNachbetrachtung zur DSK-Einstufung \"Microsoft 365 weiterhin nicht datenschutzkonform\"<\/a>
\nMS 365 DSGVO-Konformit\u00e4t: Merkw\u00fcrdiger \"Meinungsartikel\" bei heise<\/a>
\nMicrosoft 365 an Schulen: Droht Schadensersatz wegen DSGVO-Verst\u00f6\u00dfen?<\/a><\/p>\n

Safe Harbor: EuGH erkl\u00e4rt Abkommen f\u00fcr ung\u00fcltig<\/a>
\nEuGH kippt EU-US-Datenschutzvereinbarung \"Privacy Shield\"<\/a>
\nKeine Karenzfrist f\u00fcr Unternehmen nach Privacy Shield-EU-Urteil<\/a>
\nDatensch\u00fctzer plant durchgreifen bei Privacy Shield-Verst\u00f6\u00dfen<\/a>
\nVorl\u00e4ufige Einigung zwischen EU und USA im Trans-Atlantic Data Privacy Framework<\/a>
\nUS-Pr\u00e4sident Biden bringt Datenschutzabkommen \"Privacy Shield 2.0\" auf den Weg<\/a>
\nEU-Kommission f\u00e4llt vorl\u00e4ufige Angemessenheitsentscheidung zum Trans-Atlantic Data Privacy Framework<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Zum \"Fr\u00fchst\u00fcck\" der dicke Hund der Woche. Es gibt ein im Auftrag der deutschen Bundesl\u00e4nder angefertigtes Rechtsgutachten zur Frage, ob sich Microsoft 365 datenschutzkonform in Beh\u00f6rden und Landesgesellschaften einsetzen l\u00e4sst. Die Redaktion von Golem hatte davon Wind bekommen und wollte … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[7263,270,426],"tags":[1171,451,4322,4328],"class_list":["post-280567","post","type-post","status-publish","format-standard","hentry","category-cloud","category-office","category-sicherheit","tag-cloud","tag-datenschutz","tag-office","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/280567","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=280567"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/280567\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=280567"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=280567"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=280567"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}