Datenschutz Aufsichtsbehörden bringen Nutzungsstopp für Microsoft-Produkte ins Spiel
Nach einem EuGH-Urteil sind Datentransfers von Unternehmen aus der EU an Cloud-Dienste in den Vereinigten Staaten wie Microsoft rechtswidrig.
Berlin Nach Einschätzung des Landesbeauftragten für Datenschutz und des Landesrechnungshofs in Mecklenburg-Vorpommern ist ein datenschutzgerechter Einsatz von US-Cloud-Diensten wie Microsoft 365 nicht möglich. Beide Behörden raten daher dazu, „ein alternatives Produkt einzusetzen, welches die Anforderungen der Datenschutz-Grundverordnung (DSGVO) erfüllt“, heißt es in einer Mitteilung des Datenschutzbeauftragten Heinz Müller.
Hintergrund ist, dass nach einem Urteil des Europäischen Gerichtshofs (EuGH) Datentransfers von Unternehmen aus der EU an Cloud-Dienste in den Vereinigten Staaten wie Microsoft oder Amazon rechtswidrig sind, sofern ein Zugriff von Behörden und Geheimdiensten auf die Daten nicht ausgeschlossen werden kann.
„Eine Vielzahl der in diesem Land genutzten Betriebssysteme, Büroanwendungen oder auch Videokonferenzlösungen lässt sich nicht betreiben, ohne dass personenbezogene Daten an Dritte abfließen“, sagte Behördenchef Müller. „Für diese Datenabflüsse gibt es keine hinreichende Rechtsgrundlage.“
Nach Angaben des Landesrechnungshofs, der schon mehrfach Defizite im IT-Management der Landesregierung beklagt hatte, sind in Landesverwaltung und Behörden in großem Umfang Microsoft-Produkte im Einsatz. „Dem Land fehlt seit Jahren eine IT-Strategie, auch um unabhängig von Herstellern und bestimmten Produkten zu werden“, konstatierte Dirk Fuhrmann vom Landesrechnungshof. Bundesländer wie Schleswig-Holstein seien wesentlich besser aufgestellt.
Aus Müllers Sicht besteht nun dringender Handlungsbedarf. Anstatt weiterhin auf eine Bund-Länder-Lösung zu warten, sei nun „unverzügliches Handeln“ gefragt, sagte er. Der Datenschützer nahm dabei ausdrücklich Bezug auf das bereits im Juli 2020 ergangene EuGH-Urteil zum sogenannten „Privacy Shield“.
„Personenbezug auflösen oder Daten verschlüsseln“
Die Richter hatten seinerzeit das EU-US-Abkommen für die Übermittlung personenbezogener Daten in die USA gekippt und dies damit begründet, dass die Geheimdienste der Vereinigten Staaten weitgehenden Zugriff auf die bei US-Unternehmen gespeicherten Daten haben. „Betroffen sind davon unter anderem Produkte der Firma Microsoft“, sagte Datenschützer Müller.
Theoretisch können Behörden und Unternehmen auf sogenannte Standardvertragsklauseln ausweichen. Doch aus Sicht Müllers und anderer Datenschützer bieten auch einzelne Verträge mit US-Dienstleistern keinen ausreichenden Schutz. „Auch der fortgesetzte Einsatz von Standardvertragsklauseln ohne notwendige zusätzliche Garantien bleibt rechtswidrig“, sagte Baden-Württembergs Datenschutzbeauftragter Stefan Brink kürzlich dem Handelsblatt.
Müller sieht das Risiko, dass ohne weitere Sicherungsmaßnahmen personenbezogene Daten an Server mit Standort in den USA übermittelt würden. Dort sähen diverse Vorschriften die Herausgabe der Daten an Behörden und Geheimdienste vor, ohne dass den Betroffenen hinreichende Rechtsschutzmöglichkeiten zur Verfügung stünden.
Landesrechnungshof und Landesdatenschutzbeauftragter sehen die Landesregierung in der Pflicht, sofern die Nutzung einer Anwendung oder eines Dienstes „funktionsnotwendig“ ist, „durch geeignete Maßnahmen sicherzustellen, dass entweder der Personenbezug aufgelöst (…) oder die Daten nach dem Stand der Technik verschlüsselt werden“. Wenn das nicht gehe, sei die Verarbeitung einzustellen oder ein alternatives Produkt einzusetzen, das die Anforderungen der DSGVO erfülle.
Landesregierung: Verzicht auf Microsoft kurzfristig nicht möglich
Müller erinnerte in diesem Zusammenhang, dass die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) schon im Jahr 2015 auf die Gefahren hingewiesen habe, die sich aus dem zunehmenden Angebot Cloud-gestützter Betriebssysteme und Anwendungen ergeben. „Da sich die großen Anbieter in dieser Hinsicht nicht zu bewegen scheinen, bleibt letztlich nur der Rückgriff auf Open-Source-Produkte, um den Datenschutz und auch die digitale Souveränität der Landesregierung zu wahren“, sagte der Datenschützer.
Andere Datenschutzbehörden in Deutschland halten wenig von vorschnellen Vorgaben für den Umgang mit Microsoft. Die Datenschützer Baden-Württembergs, Bayerns, Hessens und des Saarlands vertreten zwar auch die Auffassung, dass es bei Microsoft in Bezug auf Datenschutz Verbesserungspotenzial gibt, und unterstützen das Bestreben der DSK, Verbesserungen zu erreichen. Die Gesamtbeurteilung des US-Dienstleisters fällt den Behörden allerdings zu „undifferenziert“ aus, zumal Microsoft seine Vertragsbestimmungen zwischenzeitlich bereits zweimal überarbeitet habe.
Die Landesregierung in Mecklenburg-Vorpommern warnte vor den Risiken eines möglichen Nutzungsstopps für Microsoft-Produkte. Eine Abschaltung der betroffenen Systeme sei kurzfristig nicht möglich, da die Arbeitsfähigkeit der Landesverwaltung damit akut gefährdet wäre, hieß es aus dem für Digitalisierung zuständigen Infrastrukturministerium in Schwerin.
Mit der Entwicklung standardisierter IT-Arbeitsplätze in der Landesverwaltung würden Alternativen geprüft. Dazu gebe es auch engen Austausch mit den Ländern Schleswig-Holstein und Bremen, in denen solche Open-Source-IT-Arbeitsplätze getestet würden.
Mehr: Studie: Zahlreiche Firmen verstoßen beim Datentransfer in die USA gegen EU-Recht
Das Kommentieren dieses Artikels wurde deaktiviert.