Dürfen Kommunen Microsoft Office 365 einsetzen, ohne dabei gegen Anforderungen der Datenschutz-Grundverordnung zu verstoßen? Die Frage scheint simpel, die Antwort darauf ist es jedoch nicht! Nicht umsonst ist dazu bislang keine offizielle Stellungnahme der Datenschutzkonferenz, des Gremiums der Datenschutzbehörden des Bundes und der Länder, erfolgt.
Unter Experten herrscht bei Weitem keine Einigkeit im Spannungsfeld zwischen Gesetzeskonformität und dem nicht zu leugnenden Anwendernutzen, den der De-facto-Marktmonopolist Microsoft möglich macht. Die Innovationsstiftung beabsichtigt daher, mit einem Gutachten Kommunen eine praktikable Handlungsempfehlung an die Hand zu geben.
Microsoft Office 365 ist dank komfortabler Funktionen und vieler Anschlussmöglichkeiten innerhalb mehrerer Software-Lösungen sehr beliebt. Ortsunabhängiges Arbeiten von jedem beliebigen Endgerät aus gewinnt auch bei Behörden und Verwaltungen immer mehr an Bedeutung. Einen zusätzlichen Nachfrageschub erfahren die Anwendungen aus dem Microsoft-Rechenzentrum in der gegenwärtigen Coronapandemie. Den eindeutigen Vorzügen des „Büropakets in der Cloud“ – so Microsoft – stehen jedoch triftige datenschutzrechtliche Bedenken gegenüber. Denn mit Blick auf das Datenschutzniveau der USA, den CLOUD-Act sowie die automatische Erhebung und Verarbeitung sogenannter Telemetriedaten der Endanwender ist die Nutzung von Microsoft Office 365 in Behörden durchaus kritisch zu beurteilen.
Diskussionen und Datenschutzfolgeabschätzungen
Seit Beginn der Diskussionen vor knapp zwei Jahren werden Risiken ausführlich in Datenschutzfolgeabschätzungen bewertet. Die Reaktion von Microsoft – ein Prüfschema und eine Transparenzinitiative – vermittelte zwar Orientierung und „good will“. Die Aufsichtsbehörden sahen sich jedoch bislang nicht in der Lage, die Frage nach der Vereinbarkeit von Datenschutz mit der Aufrechterhaltung der Arbeitsfähigkeit der Verwaltungen zu wirtschaftlich hinnehmbaren Kosten eindeutig und final zu beantworten. Auch dort ist man sich bewusst, dass der Wechsel einer ganzen Behörde hin zu einem alternativen Cloud-Anbieter alles andere als ein Selbstläufer ist und erhebliche Ressourcen in einer Verwaltung bindet. Das Dilemma wird umso brisanter, sollte Microsoft seine Office-Anwendungen mit Einstellung der datenschutzsicheren „on-premise“-Alternative in einigen Jahren ausschließlich aus der Cloud anbieten.
Gutachten: „Ja, aber unter der Voraussetzung, dass ...“
Die Innovationsstiftung Bayerische Kommune gibt Kommunalverwaltungen, die unsicher sind, ob sie unter diesen Voraussetzungen Microsoft Office 365 einsetzen dürfen, Handlungsempfehlungen an die Hand. Professor Dr. Dirk Heckmann, Lehrstuhlinhaber für Recht und Sicherheit der Digitalisierung an der TUM School of Governance in München, befasst sich in seinem Gutachten mit dem oben geschilderten Zielkonflikt ausführlich. Seine Schlussfolgerung lautet: „Ja, aber unter der Voraussetzung, dass …!“ Der Einsatz von Microsoft Office 365 ist unter strikter Einhaltung datenschutzfördernder Maßnahmen derzeit möglich. Gleichzeitig betont Heckmann, dass ein Einsatz nur einer vorübergehenden Duldung ohne jeglichen Investitionsschutz auf Seiten der Kommunen entsprechen könne. Maßgebliche Entwicklungen, vor allem Äußerungen der Datenschutzkonferenz oder – speziell auf Bayern bezogen – des Landesbeauftragten für den Datenschutz, seien laut Heckmann aufmerksam zu verfolgen. Eine empfehlenswerte Ergänzung zum Gutachten sowie ein Update zum Themenkomplex ist das Webinar von Prof. Dr. Dirk Heckmann, das er im Oktober 2020 auf dem virtuellen AKDB Kommunalforum gehalten hat. Kurzweilig und wissenswert zugleich werden in dem Online-Vortrag mit dem Titel „DSGVO-konforme Nutzung von MS (Office) 365 für Kommunen: Rechtslage und Praxistipps“ eine Reihe konkreter Konfigurationshinweise für den Endanwender gegeben. Mit vergleichbar geringem Aufwand umgesetzt, sorgen diese für ein Mehr an Datenschutz. Das gesamte Rechtsgutachten sowie eine Aufzeichnung des Webinars können kostenlos abgerufen werden unter www.bay-innovationsstiftung.de/projekte.
Dass die Innovationsstiftung Bayerische Kommune mit der Umsetzung dieses Projekts das richtige Gespür für die Belange der Kommunen bewiesen hat, belegen Rekord-Downloadzahlen: Anfragen nach dem Gutachten erreichen die Stiftung aus dem gesamten Bundesgebiet, auch aus diversen Einrichtungen im öffentlichen Sektor.