Datenschützer: Kein Microsoft 365 für Behörden
Deutsche Behörden und öffentliche Einrichtungen können Microsoft 365 nicht datenschutzkonform einsetzen. Zu diesem Ergebnis ist die Datenschutzkonferenz von Bund und Ländern (DSK) gekommen, berichtet das Online-Magazin Netzpolitik.org unter Berufung auf die aktuelle Ausgabe des Spiegels. Microsoft 365 umfasst Programme wie Word und Excel, sowie den Cloud-Speicherdienst OneDrive. Die Programme stehen als Online-Dienst, teilweise aber auch als Desktop-Anwendung zur Verfügung.
Für ihre Einschätzung haben die Datenschützer unter anderem Verträge zwischen Behörden und Microsoft ausgewertet. Dabei sind sie zu dem Schluss gekommen, dass “kein datenschutzgerechter Einsatz von Microsoft 365 möglich sei”. Die Untersuchung wurde bisher jedoch noch nicht veröffentlicht.
Das soll auch daran liegen, dass nicht alle Landesdatenschutzbehörden Handlungsbedarf sehen. Widerspruch soll es laut Netzpolitik.org von der Aufsichtsbehörde in Bayern geben, wo auch Microsofts deutsche Niederlassung sitzt. In einer E-Mail habe sich die Behörde dagegen ausgesprochen, die Einschätzung zu veröffentlichen.
Der Bundesdatenschutzbeauftragte Ulrich Kelber bestätigte dem Spiegel, dass es noch Abstimmungsbedarf gebe – sowohl innerhalb der Datenschutzkonferenz als auch mit Microsoft. Er hoffe, dass die DSK bald eine Bewertung der Microsoft-Produkte veröffentlichen könne.
Datenschützer kritisieren Microsoft schon länger
Während die Details zur Begründung der DSK unklar sind, ist der Einsatz der Microsoft-Produkte unter Datenschützern bereits länger umstritten. Im Auftrag des niederländischen Ministeriums für Justiz und Sicherheit hatte die Firma Privacy Company schon 2018 eine Datenschutz-Folgeabschätzung für die damals noch als Office 365 bekannten Produkte erstellt. “Microsoft sammelt systematisch und in großem Umfang Daten über die individuelle Nutzung von Word, Excel, PowerPoint und Outlook”, hatte die Firma geurteilt.
Bei einer neuen Untersuchung ein Jahr später bescheinigte Privacy Company zwar Verbesserungen beim Datenschutz – allerdings nicht bei den Online-Anwendungen aus Office 365.
Im Juli hatte der hessische Datenschutzbeauftragte Michael Ronellenfitsch entschieden, dass Schulen die Microsoft-Anwendungen nicht einsetzen dürfen. Denn die in der Cloud gespeicherten Daten seien “einem möglichen Zugriff US-amerikanischer Behörden ausgesetzt”. Aktuell werde der Einsatz an Schulen zwar weiter geduldet, Ronellenfitsch kündigte jedoch weitere Prüfungen an.
Der baden-württembergische Datenschützer Stefan Brink hatte in Hinblick auf den Einsatz von Microsoft-Produkten an Schulen erst kürzlich kritisiert, dass sich der Abfluss personenbezogener Daten in den Programmen nicht vollständig unterbinden lasse.
Internationale Datentransfers
Der Europäische Datenschutzbeauftragte Wojciech Wiewiórowski hatte zudem die Verträge der EU mit Microsoft geprüft. Demnach kann Microsoft die Datenschutzbestimmungen einseitig ändern. Auch könnten EU-Behörden nicht festlegen, wo ihre Daten gespeichert und verarbeitet werden – das betrifft auch Datentransfers in die USA. Wiewiórowski hatte empfohlen zu prüfen, ob andere Angebote einen besseren Datenschutz bieten.
Laut einer Analyse im Auftrag des Bundesinnenministeriums setzen in Deutschland 96 Prozent aller Behörden Microsofts Office-Anwendungen ein. (js)