Deutschlands Datenschützer:innen beklagen, dass Behörden und öffentliche Einrichtungen flächendeckend fast ausschließlich mit Microsoft-Produkten arbeiten – trotz erheblicher Datenschutzbedenken. Ein EU-Papier zeigt, dass diese Abhängigkeit nicht nur ein deutsches Problem ist.
Der Einsatz von Microsoft 365 in deutschen Behörden und öffentlichen Einrichtung entspricht nicht den Anforderungen des Datenschutzes. Zu diesem Ergebnis kommt eine Arbeitsgruppe der Datenschutzkonferenz, die sich aus den Datenschutzbeauftragten von Bund und Ländern zusammensetzt. Das berichtet der Spiegel in seiner aktuellen Ausgabe.
Zu Microsoft 365 gehören Office-Produkte wie Word, Excel und PowerPoint, aber auch der Cloud-Service OneDrive und die Kommunikationsplattform Microsoft Teams. Letztere gewann besonders in der Corona-Pandemie an Bedeutung, da Behörden, Schulen und Universitäten sie zur Kommunikation einsetzen.
Flächendeckende Abhängigkeit von Microsoft
Nachdem die Datenschützer:innen Verträge und Unterlagen ausgewertet hatten, seien sie zu dem Schluss gekommen, dass „kein datenschutzgerechter Einsatz von Microsoft 365 möglich sei“, zitiert das Nachrichtenmagazin aus dem bislang internen Papier des Gremiums. Bereits im vergangenen Jahr stellte eine Marktanalyse im Auftrag des Bundesinnenministeriums [PDF] fest, dass 96 Prozent aller Behörden Produkte aus Microsoft-Office-Paket verwenden. Die Verfasser:innen forderten die Verantwortlichen auf, das Problem der Abhängigkeit anzugehen:
„Die vorliegende Marktanalyse zeigt, dass die Bundesverwaltung in hohem Maße von dem Software-Anbieter Microsoft abhängig ist. Das kann kritische Folgen haben, die angesichts der Marktentwicklung noch weiter zunehmen dürften. Daraus ergibt sich dringender Handlungsbedarf […].“
Eine Umstellung aller öffentlichen Institutionen auf datenschutzkonforme Lösungen wird mit zunehmender Marktmacht des US-Konzerns immer schwieriger. Deutlich in der Kritik steht die Praxis, bei Software-Lösungen nicht im Vorhinein gründlich zu prüfen, ob sie allen Anforderungen des Datenschutzes genügen.
Bayern zieht nicht mit, EU warnt ebenfalls
Laut Spiegel-Informationen sind allerdings nicht alle Landesdatenschutzbeauftragten der Meinung, dass dringend gehandelt werden muss. Besonders aus Bayern kommt Widerspruch. In einer Rundmail bezeichnet die dortige Datenschutzbehörde Formulierungen des Papiers als rechtlich fragwürdig und spricht sich gegen dessen Veröffentlichung aus. Der Unternehmenssitz der Microsoft Deutschland GmbH befindet sich in München.
Der Bundesdatenschutzbeauftragte Ulrich Kelber bestätigte dem Spiegel, dass es sowohl innerhalb der Datenschutzkonferenz als auch mit Microsoft noch Abstimmungsbedarf gebe. Er hofft auf eine zeitnahe Bewertung des Einsatzes von Microsoft-Produkten.
Auch auf EU-Ebene gibt es rechtliche Zweifel zur Vorherrschaft von Microsoft 365 in Behörden. Bereits im Juli dieses Jahres veröffentlichte der Europäische Datenschutzbeauftragte einen Bericht zur Untersuchung des Einsatzes von Microsoft-Diensten bei EU-Institutionen. Untersucht wurde, ob die Lizenzvereinbarungen zwischen Microsoft und den EU-Behörden mit dem europäischen Datenschutzrecht vereinbar ist.
Dem Bericht zufolge räumten die Behörden Microsoft zu viele Befugnisse beim Datenschutz ein, sodass sie selbst zu wenig Kontrolle über die Bestimmungen hätten. Auch bei der Datenweitergabe, -verarbeitung und beim Datentransfer in Drittstaaten außerhalb der EU gebe es dringenden Verbesserungsbedarf.
Zahnlose Datenschutzbehörden
Der Einsatz von Microsoft-Diensten in Schulen steht in Deutschland ebenfalls schon seit Längerem in der Kritik. Ende Juli warf der Jurist Peter Hense im Interview mit der Süddeutschen Zeitung den Bildungsministerien in Baden-Württemberg und Bayern vor, sich wissentlich über datenschutzrechtliche Bestimmungen hinwegzusetzen und Eltern unter Druck zu setzen, dem Einsatz von Microsoft Office an den Schulen zuzustimmen.
Bei einer Datenschutzfolgeabschätzung in den Niederlanden habe man eine Reihe von Datenabflüssen an Microsoft registriert, so Hense. Die deutschen Datenschutzbehörden seien „unterfinanziert, unterbesetzt, unterkompetent“ und könnten deshalb nicht genug gegen die Verstöße großer Konzerne wie Microsoft unternehmen, die ihre Vorherrschaft in der Verwaltung und anderen öffentlichen Institutionen weiter ausbauen könnten.
Der Beitrag ist zuerst auf netzpolitik.org erschienen. Autorin ist Jana Ballweber. Der Text steht unter der Lizenz Creative Commons BY-NC-SA 4.0.