Aktuelles Datenschützer gegen Office 365

Die Datenschutzkonferenz spricht sich für den verstärkten Einsatz von Open-Source-Software  in der öffentlichen Verwaltung aus. Gleichzeitig bewerten die Experten den Einsatz von Microsoft Office 365 als nicht datenschutzgerecht. Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) geht mit einem aktuellen Positionspapier auf Konfrontationskurs zu großen Softwareherstellern wie Microsoft. Darin beschäftigen sich die Datenschützer vor allem mit der Frage, wie stark und riskant Abhängigkeit von marktbeherrschenden Softwareanbietern ist und wie dieser entgegengewirkt werden kann. Mit eindeutigem Ergebnis: »Die DSK sieht die digitale Souveränität der öffentlichen Verwaltung beeinträchtigt und regt daher an, verstärkt alternative Softwareprodukte sowie Open-Source-Produkte einzusetzen.« Doch damit nicht genug. Im Weiteren beschäftigte sich die Datenschutzkonferenz auch mit dem Thema Microsoft Office 365. Schon seit Tagen schlagen hier die Wellen hoch, nachdem sich der Arbeitskreis Verwaltung in einem Positionspapier gegen die Nutzung des Online-Office-Pakets ausgesprochen hatte. Aufgrund der ihnen vorliegenden Auftragsverarbeitungsunterlagen von Microsoft (mit Stand Januar 2020), kommen die Experten darin zu dem Urteil, dass »kein datenschutzgerechter Einsatz von Microsoft Office 365 möglich sei«. Die von Microsoft extra dafür eingeführte Bereitstellung aus deutschen Rechenzentren ändert daran aus Sicht der Datenschützer nichts. Auch der große Kreis der DSK stellt sich jetzt auf die Seite der Fachgruppe und nimmt diese heiß diskutierte Position »mehrheitlich zustimmend zur Kenntnis«. Eine Arbeitsgruppe soll deshalb jetzt das Gespräch mit Microsoft suchen und zeitnahe Nachbesserungen anregen. Wie diese angesichts des klaren Urteils aber aussehen könnten, bleibt bisher noch völlig im Dunkeln. Zwar bringt diese Position keinen Zwang zum sofortigen Handeln für Betroffene mit sich, mittelfristig sollen sich die IT-Verantwortlichen jedoch Gedanken über die Konsequenzen und Alternativen machen. Diese müssen nach Ansicht einiger deutscher Cloud-Anbieter nicht unbedingt die komplette Abkehr vom aktuellen Weg bedeuten. Sowohl On-Premises als auch in den DSGVO-konformen Clouds deutscher und europäischer Anbieter könnten die sensiblen Daten sicher vor Fremdzugriffen abgelegt werden. In diesem Sinne widerspricht etwa der Datensicherheitsexperte und Geschäftsführer der Hamburger TeamDrive GmbH, Detlef Schmuck, einer generellen Absage an Office 365. Er schlägt als einfache Lösung des Problems die hochverschlüsselte Auslagerung aller personenbezogenen Daten in eine deutsche Cloud vor. Als Beispiel nennt er die Lösung »TeamDrive DAV«, mit der der Deutsche AnwaltVerein (DAV) seinen Mitgliedern eine DSGVO-kompatible Cloud-Lösung anbiete. »Man muss bei der Konfiguration allerdings darauf achten, dass alle schutzwürdigen Daten entweder lokal gespeichert oder in der TeamDrive-Cloud abgelegt werden«, beschreibt Schmuck den von ihm vorgeschlagenen Weg. Dabei ist er sich sicher: »Das sollte allerdings für deutsche Behörden kein unlösbares Problem darstellen.« In diesem Zusammenhang hat sich die Datenschutzkonferenz auch das Urteil des Europäischen Gerichtshofs (EuGH) zum Datentransfer in die USA (Schrems II) vorgenommen. Sie bezeichnet die Entscheidung als »wegweisend« und will eine Taskforce dazu einrichten. Sie soll eine bundesweite Abstimmung der Vorgehensweise sicherstellen und eine Strategie für die Durchsetzung erarbeiten.

Geklesen in www.ICT-Channel.com

vom 30.09.2020