DatenschutzkonferenzDeutsche Verwaltung nutzt Microsoft-Produkte nicht rechtskonform

Deutschlands Datenschützer:innen beklagen, dass Behörden und öffentliche Einrichtungen flächendeckend fast ausschließlich mit Microsoft-Produkten arbeiten – trotz erheblicher Datenschutzbedenken. Ein EU-Papier zeigt, dass diese Abhängigkeit nicht nur ein deutsches Problem ist.

Der Microsoft-Schriftzug an einem Firmengebäude
Nicht nur in Deutschland baut Microsoft seine Vorherrschaft auf dem Software-Markt immer weiter aus. – Vereinfachte Pixabay Lizenz efes

Der Einsatz von Microsoft 365 in deutschen Behörden und öffentlichen Einrichtung entspricht nicht den Anforderungen des Datenschutzes. Zu diesem Ergebnis kommt eine Arbeitsgruppe der Datenschutzkonferenz, die sich aus den Datenschutzbeauftragten von Bund und Ländern zusammensetzt. Das berichtet der Spiegel in seiner aktuellen Ausgabe [€].

Zu Microsoft 365 gehören Office-Produkte wie Word, Excel und PowerPoint, aber auch der Cloud-Service OneDrive und die Kommunikationsplattform Microsoft Teams. Letztere gewann besonders in der Corona-Pandemie an Bedeutung, da Behörden, Schulen und Universitäten sie zur Kommunikation einsetzen.

Flächendeckende Abhängigkeit von Microsoft

Nachdem die Datenschützer:innen Verträge und Unterlagen ausgewertet hatten, seien sie zu dem Schluss gekommen, dass „kein datenschutzgerechter Einsatz von Microsoft 365 möglich sei“, zitiert das Nachrichtenmagazin aus dem bislang internen Papier des Gremiums. Bereits im vergangenen Jahr stellte eine Marktanalyse im Auftrag des Bundesinnenministeriums [PDF] fest, dass 96 Prozent aller Behörden Produkte aus Microsoft-Office-Paket verwenden. Die Verfasser:innen forderten die Verantwortlichen auf, das Problem der Abhängigkeit anzugehen:

Die vorliegende Marktanalyse zeigt, dass die Bundesverwaltung in hohem Maße von dem Software-Anbieter Microsoft abhängig ist. Das kann kritische Folgen haben, die angesichts der Marktentwicklung noch weiter zunehmen dürften. Daraus ergibt sich dringender Handlungsbedarf […].

Eine Umstellung aller öffentlichen Institutionen auf datenschutzkonforme Lösungen wird mit zunehmender Marktmacht des US-Konzerns immer schwieriger. Deutlich in der Kritik steht die Praxis, bei Software-Lösungen nicht im Vorhinein gründlich zu prüfen, ob sie allen Anforderungen des Datenschutzes genügen.

Bayern zieht nicht mit, EU warnt ebenfalls

Laut Spiegel-Informationen sind allerdings nicht alle Landesdatenschutzbeauftragten der Meinung, dass dringend gehandelt werden muss. Besonders aus Bayern kommt Widerspruch. In einer Rundmail bezeichnet die dortige Datenschutzbehörde Formulierungen des Papiers als rechtlich fragwürdig und spricht sich gegen dessen Veröffentlichung aus. Der Unternehmenssitz der Microsoft Deutschland GmbH befindet sich in München.

Der Bundesdatenschutzbeauftragte Ulrich Kelber bestätigte dem Spiegel, dass es sowohl innerhalb der Datenschutzkonferenz als auch mit Microsoft noch Abstimmungsbedarf gebe. Er hofft auf eine zeitnahe Bewertung des Einsatzes von Microsoft-Produkten.

Auch auf EU-Ebene gibt es rechtliche Zweifel zur Vorherrschaft von Microsoft 365 in Behörden. Bereits im Juli dieses Jahres veröffentlichte der Europäische Datenschutzbeauftragte einen Bericht zur Untersuchung des Einsatzes von Microsoft-Diensten bei EU-Institutionen. Untersucht wurde, ob die Lizenzvereinbarungen zwischen Microsoft und den EU-Behörden mit dem europäischen Datenschutzrecht vereinbar ist.

Dem Bericht zufolge räumten die Behörden Microsoft zu viele Befugnisse beim Datenschutz ein, sodass sie selbst zu wenig Kontrolle über die Bestimmungen hätten. Auch bei der Datenweitergabe, -verarbeitung und beim Datentransfer in Drittstaaten außerhalb der EU gebe es dringenden Verbesserungsbedarf.

Zahnlose Datenschutzbehörden

Der Einsatz von Microsoft-Diensten in Schulen steht in Deutschland ebenfalls schon seit Längerem in der Kritik. Ende Juli warf der Jurist Peter Hense im Interview mit der Süddeutschen Zeitung den Bildungsministerien in Baden-Württemberg und Bayern vor, sich wissentlich über datenschutzrechtliche Bestimmungen hinwegzusetzen und Eltern unter Druck zu setzen, dem Einsatz von Microsoft Office an den Schulen zuzustimmen.

Bei einer Datenschutzfolgeabschätzung in den Niederlanden habe man eine Reihe von Datenabflüssen an Microsoft registriert, so Hense. Die deutschen Datenschutzbehörden seien „unterfinanziert, unterbesetzt, unterkompetent“ und könnten deshalb nicht genug gegen die Verstöße großer Konzerne wie Microsoft unternehmen, die ihre Vorherrschaft in der Verwaltung und anderen öffentlichen Institutionen weiter ausbauen könnten.

14 Ergänzungen

  1. Ich glaube der Autor macht es sich mit seinem halbseiden durchdachten Seitenhieb auf die Datenschutzbehörde in Bayern zu leicht. Meiner Erfahrung nach gehört die bayrische Datenschutzaufsicht zu den kompetenteren und strengeren Behörden in diesem Land. Die dort vorgebrachten Argumente sollte man also wenigstens prüfen und nicht mit „Microsoft sitzt in München“ abtun.

    Auch bei den Datenschutzaufsehern gibt es manchmal einen Herdentrieb und niemand möchte als Microsoft-freundlich abgestempelt werden. In der Realität (d.h. bei echten Prüfungen) sind die Datenschutzbeauftragen der Länder sowieso meist kompromissbereiter und verständiger, als in den PR-Meldungen.

    1. Nach dem LiMux-Debakel in München kann man eigentlich gar nicht genug betonen, WIE Microsoft-verliebt Bayern und speziell München sind. Dass Korruption eine der liebsten Wörter der CSU ist, dürfte auch niemanden mehr verwundern. Insofern sollte man die Aussage der bayrischen Datenschutzbehörde tatsächlich genau prüfen, und zwar auf den Aspekt hin, ob diese Aussage nicht eventuell von Microsoft selbst formuliert wurde.

      1. Allerdings ist LiMux von einem OB der SPD erledigt worden, mit den Stimmen der lokalen GroKo.

        Also der SPD, die auch fuer VDS, Leistungsschutzrecht und SteuerID-als-Buergerkennung stimmt. Aber gut, irgendwann sind deren Altwaehler gestorben, und die verbliebenen Beamten & OeDler werden sie nur knapp ueber 5% bringen…

  2. Es sollte eine Daten-/Verbraucherschutzbehörde eingerichtet werden, mit ähnlich weitreichenden Befugnissen wie die Polizeibehörden oder Steuerfahndung, nur mit qualifiziertem Personal und moderner Technik. So könnte dann auch endlich Daten-/Verbraucherschutz im Sinne der Bevölkerung durchgesetzt und Verstöße geahndet werden. Denn derzeit werden die entsprechenden Gesetze nicht konsequent genug durchgesetzt – was sich auch darin zeigt, wie oft staatliche Stellen selber dagegen verstoßen ohne dass jemand ernsthafte Konsequenzen zu fürchten hat.

  3. „Der Unternehmenssitz der Microsoft Deutschland GmbH befindet sich in München.“
    Auch wenn ich dem hiermit geäußerten verdacht zustimme hätte man auch stattdessen auf bereits vergangene Kritik hinweisen können wo nach der Einrichtung des Münchner Standorts LiMux wieder verschwand.
    So wirkt es etwas Plump.

  4. Der Spiegel berichtet, dass die Bayern dagegen sind, weil sie dann konkrete Massnahmen gegen den Einsatz von Microsoft-Produkten ergreifen muessen. Es klingt so: „Das würde bedeuten, dass wir die einheimische Wirtschaft ärgern müssten“. Und die Behörden.

    Aber vielleicht ist ein anderer Grund offensichtlicher: Die Datenschutzaufsicht hier in Bayern hat kaum Personal. Viel kann man damit nicht leisten. So ist der politische Wille. So ist Bayern.

  5. Gerade in der Corona-Zeit arbeiteten viele Behörden-Mitarbeiter von zu Hause aus, oft haben die keinerlei Ahnung von PCs, greifen dann aber mit Privatrechnern auf oft sehr sensible Daten der Bürger zu.
    Wie sieht es eigenlich da mit dem Datenschutz aus???
    1. Keiner weiß ob auf deren Rechner Schadsoftware installiert ist.
    2. Dritte können auf den Rechner Einblick oder Zugriff erhalten und Daten abgreifen.
    3. Es könnten illegal Daten der Bürger auf externe Medien gespeichert werden.
    4. Hacker könnten Zugriff haben und alle Daten wären dann nicht mehr sicher.

    Damit sollte sich der Datenschutz mal befassen, Home-Office verstösst definitiv gegen den Datenschutz, wer will denn das kontrollieren, dass die sensiblen Bürgerdaten nur von den berechtigten Personen einsehbar sind? Und natürlich ist Windows da das falsche OS, Linux ist um einiges sicherer und umständlich ist es heutzutage auch nicht mehr, wer keine Ahnung hat, muss sich längst nicht mehr mit dem Terminal und Befehlen herumquälen.

  6. Es muss inder EU eine Richtline ähnlich der Maschinen-, EMV- oder Funkgeräterichtlinie her, de es verbietet nicht konforme Software in verkehr zu bringen. Dann könnte eine schlagkräftige Marktüberwachung das Invekehrbringen auch wirklich strafbewehrt untersagen.
    So bleibt es ein politische hin und her. Schließlich ist die Korruption von Politikern in Deutschland nicht wirksam sanktioniert.

    1. Sehe ich ähnlich. Ich verstehe auch gar nicht, warum da immernoch diskutiert wird. Allein die Tatsache, dass von Seiten Microsofts nachweislich Daten abgeführt werden sollte dazu führen, dass der Betrieb solcher Software verboten wird. Vor allem wenn es um den Schutz der Daten unserer Bevölkerung geht.

      Wenn sich dann noch Amt- und Würdenträger über bestehende Gesetze vorsätzlich hinwegsetzen, dann sollte dieser Vertrauensbruch gegenüber den Bevölkerung mit sofortiger Amtsenthebung geahndet werden.

      Ich würde es vermutlich im Stile Trump’s machen: Alle Software und Webseiten, die den Datenschutz des Bürgers und Institutionen nicht nachweislich wahren ab sofort verbieten. Übergangsfrist ein halbes Jahr und wenn sich nicht wenigstens deutlich etwas in diese Richtung getan hat: Einstellen des Unternehmensbetriebes bis Vollzug aller notwendigen Maßnahmen. Kein Facebook, kein Microsoft, kein WhatsApp, kein Google, kein gar nichts mehr. Ich meine, wie lange diskutieren wir diesen Blödsinn denn jetzt schon und es tut sich rein gar nichts.

      Ja, das bedeutet vorrübergehendes digitales Mittelalter, aber übrig bleiben dann eben nur noch diejenigen, die sich wirklich für den Datenschutz engagieren und mit denen lässt sich dann etwas Vernünftiges aufbauen.

  7. Ja, ich wünsche mir mehr kritische Berichterstattung, und zwar zu dem Thema, das hier im letzten Satz des Beitrags beschrieben wird: „Die deutschen Datenschutzbehörden seien „unterfinanziert, unterbesetzt, unterkompetent“ und könnten deshalb nicht genug gegen die Verstöße großer Konzerne wie Microsoft unternehmen“.

    Ich frage seit Monaten bei diversen Ministern in NRW nach, ob denn nicht mal jemand etwas dagegen unternehmen will, dass die Aufgaben der Landesbeauftragten für Datenschutz NRW von 2016 bis 2019 knapp fünfeinhalb Mal (!) so stark gestiegen sind wie ihre Mitarbeiter-Zahl oder ihre finanzielle Ausstattung. Die Antworten reichen bisher von (keine Antwort) über „ich bin nicht zuständig“ bis zu „die Landesregierung schafft beste Rahmenbedingungen“.

    Wenn wir Bürger mehr Datenschutz wollen, dann müssen wir ihn auch vehement einfordern. Bitte helft mir dabei.

  8. Nun, selbst wenn die Erkenntnis da ist, dass der Einsatz von Microsoft-Produkten nicht den Ansprüchen an den Datenschutz genügt, und auch noch der Wille da wäre, etwas zu ändern, steht man vor dem Dilemma, wie man das dann in seinem Unternehmen umsetzen soll.
    Bei einer Firma mit 10-20 digitalen Arbeitsplätzen ist das noch mit einem vertretbaren Aufwand machbar.
    Bei Firmen oder Verwaltungen in einer Größenordnung von 500-1000 oder mehr Arbeitsplätzen ist das ein Herkules-Projekt.

    Man steht hier vor einem typischen Vendor-Lock-In Problem.
    Microsoft ist ein Quasi-Monopolist bei der Netzwerk-Serverlandschaft und den Clients.
    Wie sieht es denn bei den meisten Unternehmens-Netzen aus ?
    – Jede Menge Windows-Server mit einem Active Directory
    – stationäre Windows PC-Arbeitsplätze
    – Standard-Office Anwendung MS Office
    – Fachanwendungen sind vom Hersteller zu 90% nur mit Windows kompatibel
    – Know How der IT-Mitarbeiter und auch der Anwender ist auf Microsoft-Produkte bezogen
    Das ist schon eine gewaltige Kraftanstrengung, sowohl finanziell, als auch was die Ressourcen anbetrifft, um diese Landschaft zu ändern.
    Dass es irgendwie geht, wenn es richtig gewollt ist, hatte München mit seinem Limux-Projekt bewiesen.
    Leider ist das aber, wie gesehen, sehr abhängig von politischen und unsachlichen Faktoren.
    Die größten Chancen gleich zu Anfang andere Weichen zu stellen, hat dann noch ein Unternehmen, welches gerade erst entsteht und noch gar nichts hat.

    1. Eine Strategie könnte sein, eine knallharte aber satte Bußgeld und Sanktionslinie zugunsten der Förderung von Alternativen zu fahren.

      Also nicht eine EU Drohne mit den Bußgeldern finanzieren, sondern abgespeckte modulare Alternativen zu dem Konzernscheiß, ohne den ganzen Datensammel- Werbungs- und allgemeinen Betrugsquatsch, der ja einen großteil deren Struktur ausmacht. Und ja, dafür muss auch auf HArdwareebene eingegriffen werden, damit Business- und Verwaltungsstrukturen in Software leichter abzubilden und zu supporten sind (Protokolle, generische offene Treiberebenenunterstützung ohne proprietären Treiber, weiteres…) Bei Nichtbeachtung Bußgeld, bei Nichtzahlung Sanktionen und Verhaftungen, auch auf anderer Länder Boden (Bündnisse!).

      Und wenn Alternativen gediegen genug sind, wird wie durch ein Wunder plötzlich relative Compliance herrschen. Im Zweifel ist die Postapokalypse besser, als zurückzuweichen, solange sie nicht in Microsofts Händen… hmmm.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.