Datenschutzkonferenz

Deutsche Verwaltung nutzt Microsoft-Produkte nicht rechtskonform

Deutschlands Datenschützer:innen beklagen, dass Behörden und öffentliche Einrichtungen flächendeckend fast ausschließlich mit Microsoft-Produkten arbeiten – trotz erheblicher Datenschutzbedenken. Ein EU-Papier zeigt, dass diese Abhängigkeit nicht nur ein deutsches Problem ist.

Der Microsoft-Schriftzug an einem Firmengebäude
Nicht nur in Deutschland baut Microsoft seine Vorherrschaft auf dem Software-Markt immer weiter aus. Vereinfachte Pixabay Lizenz efes

Der Einsatz von Microsoft 365 in deutschen Behörden und öffentlichen Einrichtung entspricht nicht den Anforderungen des Datenschutzes. Zu diesem Ergebnis kommt eine Arbeitsgruppe der Datenschutzkonferenz, die sich aus den Datenschutzbeauftragten von Bund und Ländern zusammensetzt. Das berichtet der Spiegel in seiner aktuellen Ausgabe [€].

Zu Microsoft 365 gehören Office-Produkte wie Word, Excel und PowerPoint, aber auch der Cloud-Service OneDrive und die Kommunikationsplattform Microsoft Teams. Letztere gewann besonders in der Corona-Pandemie an Bedeutung, da Behörden, Schulen und Universitäten sie zur Kommunikation einsetzen.

Flächendeckende Abhängigkeit von Microsoft

Nachdem die Datenschützer:innen Verträge und Unterlagen ausgewertet hatten, seien sie zu dem Schluss gekommen, dass „kein datenschutzgerechter Einsatz von Microsoft 365 möglich sei“, zitiert das Nachrichtenmagazin aus dem bislang internen Papier des Gremiums. Bereits im vergangenen Jahr stellte eine Marktanalyse im Auftrag des Bundesinnenministeriums [PDF] fest, dass 96 Prozent aller Behörden Produkte aus Microsoft-Office-Paket verwenden. Die Verfasser:innen forderten die Verantwortlichen auf, das Problem der Abhängigkeit anzugehen:

Die vorliegende Marktanalyse zeigt, dass die Bundesverwaltung in hohem Maße von dem Software-Anbieter Microsoft abhängig ist. Das kann kritische Folgen haben, die angesichts der Marktentwicklung noch weiter zunehmen dürften. Daraus ergibt sich dringender Handlungsbedarf […].

Eine Umstellung aller öffentlichen Institutionen auf datenschutzkonforme Lösungen wird mit zunehmender Marktmacht des US-Konzerns immer schwieriger. Deutlich in der Kritik steht die Praxis, bei Software-Lösungen nicht im Vorhinein gründlich zu prüfen, ob sie allen Anforderungen des Datenschutzes genügen.

Bayern zieht nicht mit, EU warnt ebenfalls

Laut Spiegel-Informationen sind allerdings nicht alle Landesdatenschutzbeauftragten der Meinung, dass dringend gehandelt werden muss. Besonders aus Bayern kommt Widerspruch. In einer Rundmail bezeichnet die dortige Datenschutzbehörde Formulierungen des Papiers als rechtlich fragwürdig und spricht sich gegen dessen Veröffentlichung aus. Der Unternehmenssitz der Microsoft Deutschland GmbH befindet sich in München.

Der Bundesdatenschutzbeauftragte Ulrich Kelber bestätigte dem Spiegel, dass es sowohl innerhalb der Datenschutzkonferenz als auch mit Microsoft noch Abstimmungsbedarf gebe. Er hofft auf eine zeitnahe Bewertung des Einsatzes von Microsoft-Produkten.

Auch auf EU-Ebene gibt es rechtliche Zweifel zur Vorherrschaft von Microsoft 365 in Behörden. Bereits im Juli dieses Jahres veröffentlichte der Europäische Datenschutzbeauftragte einen Bericht zur Untersuchung des Einsatzes von Microsoft-Diensten bei EU-Institutionen. Untersucht wurde, ob die Lizenzvereinbarungen zwischen Microsoft und den EU-Behörden mit dem europäischen Datenschutzrecht vereinbar ist.

Dem Bericht zufolge räumten die Behörden Microsoft zu viele Befugnisse beim Datenschutz ein, sodass sie selbst zu wenig Kontrolle über die Bestimmungen hätten. Auch bei der Datenweitergabe, -verarbeitung und beim Datentransfer in Drittstaaten außerhalb der EU gebe es dringenden Verbesserungsbedarf.

Zahnlose Datenschutzbehörden

Der Einsatz von Microsoft-Diensten in Schulen steht in Deutschland ebenfalls schon seit Längerem in der Kritik. Ende Juli warf der Jurist Peter Hense im Interview mit der Süddeutschen Zeitung den Bildungsministerien in Baden-Württemberg und Bayern vor, sich wissentlich über datenschutzrechtliche Bestimmungen hinwegzusetzen und Eltern unter Druck zu setzen, dem Einsatz von Microsoft Office an den Schulen zuzustimmen.

Bei einer Datenschutzfolgeabschätzung in den Niederlanden habe man eine Reihe von Datenabflüssen an Microsoft registriert, so Hense. Die deutschen Datenschutzbehörden seien „unterfinanziert, unterbesetzt, unterkompetent“ und könnten deshalb nicht genug gegen die Verstöße großer Konzerne wie Microsoft unternehmen, die ihre Vorherrschaft in der Verwaltung und anderen öffentlichen Institutionen weiter ausbauen könnten.

Du möchtest mehr kritische Berichterstattung?

Unsere Arbeit bei netzpolitik.org wird fast ausschließlich durch freiwillige Spenden unserer Leserinnen und Leser finanziert. Das ermöglicht uns mit einer Redaktion von derzeit 15 Menschen viele wichtige Themen und Debatten einer digitalen Gesellschaft journalistisch zu bearbeiten. Mit Deiner Unterstützung können wir noch mehr aufklären, viel öfter investigativ recherchieren, mehr Hintergründe liefern - und noch stärker digitale Grundrechte verteidigen!

 

Unterstütze auch Du unsere Arbeit jetzt mit deiner Spende.

11 Ergänzungen
  1. Ich glaube der Autor macht es sich mit seinem halbseiden durchdachten Seitenhieb auf die Datenschutzbehörde in Bayern zu leicht. Meiner Erfahrung nach gehört die bayrische Datenschutzaufsicht zu den kompetenteren und strengeren Behörden in diesem Land. Die dort vorgebrachten Argumente sollte man also wenigstens prüfen und nicht mit „Microsoft sitzt in München“ abtun.

    Auch bei den Datenschutzaufsehern gibt es manchmal einen Herdentrieb und niemand möchte als Microsoft-freundlich abgestempelt werden. In der Realität (d.h. bei echten Prüfungen) sind die Datenschutzbeauftragen der Länder sowieso meist kompromissbereiter und verständiger, als in den PR-Meldungen.

    1. Nach dem LiMux-Debakel in München kann man eigentlich gar nicht genug betonen, WIE Microsoft-verliebt Bayern und speziell München sind. Dass Korruption eine der liebsten Wörter der CSU ist, dürfte auch niemanden mehr verwundern. Insofern sollte man die Aussage der bayrischen Datenschutzbehörde tatsächlich genau prüfen, und zwar auf den Aspekt hin, ob diese Aussage nicht eventuell von Microsoft selbst formuliert wurde.

  2. Es sollte eine Daten-/Verbraucherschutzbehörde eingerichtet werden, mit ähnlich weitreichenden Befugnissen wie die Polizeibehörden oder Steuerfahndung, nur mit qualifiziertem Personal und moderner Technik. So könnte dann auch endlich Daten-/Verbraucherschutz im Sinne der Bevölkerung durchgesetzt und Verstöße geahndet werden. Denn derzeit werden die entsprechenden Gesetze nicht konsequent genug durchgesetzt – was sich auch darin zeigt, wie oft staatliche Stellen selber dagegen verstoßen ohne dass jemand ernsthafte Konsequenzen zu fürchten hat.

  3. „Der Unternehmenssitz der Microsoft Deutschland GmbH befindet sich in München.“
    Auch wenn ich dem hiermit geäußerten verdacht zustimme hätte man auch stattdessen auf bereits vergangene Kritik hinweisen können wo nach der Einrichtung des Münchner Standorts LiMux wieder verschwand.
    So wirkt es etwas Plump.

  4. Der Spiegel berichtet, dass die Bayern dagegen sind, weil sie dann konkrete Massnahmen gegen den Einsatz von Microsoft-Produkten ergreifen muessen. Es klingt so: „Das würde bedeuten, dass wir die einheimische Wirtschaft ärgern müssten“. Und die Behörden.

    Aber vielleicht ist ein anderer Grund offensichtlicher: Die Datenschutzaufsicht hier in Bayern hat kaum Personal. Viel kann man damit nicht leisten. So ist der politische Wille. So ist Bayern.

  5. Gerade in der Corona-Zeit arbeiteten viele Behörden-Mitarbeiter von zu Hause aus, oft haben die keinerlei Ahnung von PCs, greifen dann aber mit Privatrechnern auf oft sehr sensible Daten der Bürger zu.
    Wie sieht es eigenlich da mit dem Datenschutz aus???
    1. Keiner weiß ob auf deren Rechner Schadsoftware installiert ist.
    2. Dritte können auf den Rechner Einblick oder Zugriff erhalten und Daten abgreifen.
    3. Es könnten illegal Daten der Bürger auf externe Medien gespeichert werden.
    4. Hacker könnten Zugriff haben und alle Daten wären dann nicht mehr sicher.

    Damit sollte sich der Datenschutz mal befassen, Home-Office verstösst definitiv gegen den Datenschutz, wer will denn das kontrollieren, dass die sensiblen Bürgerdaten nur von den berechtigten Personen einsehbar sind? Und natürlich ist Windows da das falsche OS, Linux ist um einiges sicherer und umständlich ist es heutzutage auch nicht mehr, wer keine Ahnung hat, muss sich längst nicht mehr mit dem Terminal und Befehlen herumquälen.

  6. Es muss inder EU eine Richtline ähnlich der Maschinen-, EMV- oder Funkgeräterichtlinie her, de es verbietet nicht konforme Software in verkehr zu bringen. Dann könnte eine schlagkräftige Marktüberwachung das Invekehrbringen auch wirklich strafbewehrt untersagen.
    So bleibt es ein politische hin und her. Schließlich ist die Korruption von Politikern in Deutschland nicht wirksam sanktioniert.

    1. Sehe ich ähnlich. Ich verstehe auch gar nicht, warum da immernoch diskutiert wird. Allein die Tatsache, dass von Seiten Microsofts nachweislich Daten abgeführt werden sollte dazu führen, dass der Betrieb solcher Software verboten wird. Vor allem wenn es um den Schutz der Daten unserer Bevölkerung geht.

      Wenn sich dann noch Amt- und Würdenträger über bestehende Gesetze vorsätzlich hinwegsetzen, dann sollte dieser Vertrauensbruch gegenüber den Bevölkerung mit sofortiger Amtsenthebung geahndet werden.

      Ich würde es vermutlich im Stile Trump’s machen: Alle Software und Webseiten, die den Datenschutz des Bürgers und Institutionen nicht nachweislich wahren ab sofort verbieten. Übergangsfrist ein halbes Jahr und wenn sich nicht wenigstens deutlich etwas in diese Richtung getan hat: Einstellen des Unternehmensbetriebes bis Vollzug aller notwendigen Maßnahmen. Kein Facebook, kein Microsoft, kein WhatsApp, kein Google, kein gar nichts mehr. Ich meine, wie lange diskutieren wir diesen Blödsinn denn jetzt schon und es tut sich rein gar nichts.

      Ja, das bedeutet vorrübergehendes digitales Mittelalter, aber übrig bleiben dann eben nur noch diejenigen, die sich wirklich für den Datenschutz engagieren und mit denen lässt sich dann etwas Vernünftiges aufbauen.

  7. Ja, ich wünsche mir mehr kritische Berichterstattung, und zwar zu dem Thema, das hier im letzten Satz des Beitrags beschrieben wird: „Die deutschen Datenschutzbehörden seien „unterfinanziert, unterbesetzt, unterkompetent“ und könnten deshalb nicht genug gegen die Verstöße großer Konzerne wie Microsoft unternehmen“.

    Ich frage seit Monaten bei diversen Ministern in NRW nach, ob denn nicht mal jemand etwas dagegen unternehmen will, dass die Aufgaben der Landesbeauftragten für Datenschutz NRW von 2016 bis 2019 knapp fünfeinhalb Mal (!) so stark gestiegen sind wie ihre Mitarbeiter-Zahl oder ihre finanzielle Ausstattung. Die Antworten reichen bisher von (keine Antwort) über „ich bin nicht zuständig“ bis zu „die Landesregierung schafft beste Rahmenbedingungen“.

    Wenn wir Bürger mehr Datenschutz wollen, dann müssen wir ihn auch vehement einfordern. Bitte helft mir dabei.

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.