Behörden aus Mecklenburg-Vorpommern bald ohne Microsoft?
Der Landesbeauftragte für Datenschutz und Informationssicherheit Mecklenburg Vorpommern hat in einer Pressemitteilung vom 17.03.21 zusammen mit dem Landesrechnungshof dazu aufgefordert, unverzüglich die Verwendung von Microsoftprodukten in den landeseigenen Behörden zu beenden.
Was sind die Beweggründe?
Generell sind die beiden Behörden der Ansicht, dass die Landesbehörden den Schutz der von ihnen bearbeiteten Daten besser sicherstellen und insbesondere darauf achten müssen, dass keine Daten in Drittländer übermittelt werden. Spätestens seit dem Urteil des Europäischen Gerichtshofes zum Privacy Shield sei klar, dass eine Übermittlung von Daten in die USA rechtlich sehr bedenklich sei. Standarddatenschutzklauseln alleine stellen keine geeignete Rechtsgrundlage dar, sondern es müssen zusätzliche Sicherheitsmaßnahmen ergriffen werden. Wenn die Übermittlung der personenbezogenen Daten nicht unterbunden werden kann, müsste durch andere Maßnahmen sichergestellt werden, dass eine Übermittlung nur anonymisiert erfolge oder die Daten nach dem Stand der Technik verschlüsselt werden. Sei dies nicht möglich, müsse die Verarbeitung eingestellt oder ein alternatives Produkt eingesetzt werden.
Sehen das alle Datenschutzbehörden so?
Die Ansicht, dass Microsoft 365 nicht rechtmäßig eingesetzt werden kann, wird aber nicht von allen Aufsichtsbehörden geteilt. Die Datenschutzkonferenz – der Zusammenschluss aller deutschen Aufsichtsbehörden- hatte zwar geurteilt, dass der Einsatz von Microsoft 365 unrechtmäßig sei. Das Ergebnis der Abstimmung unter den Aufsichtsbehörden fiel aber sehr knapp aus und einige Bundesländer distanzierten sich im Nachgang von der Ansicht. Wir berichteten hier darüber. Im Zweifel hilft die Uneinigkeit dem Einzelnen allerdings nicht weiter und bringt viele in die Bredouille.
Dass auch die Behörden nicht von heute auf morgen auf Microsoft verzichten können, sei auch dem Landesbeauftragten aus Mecklenburg-Vorpommern bewusst. Laut Heise verstehe die Aufsicht die Aufforderung erstmal als Warnschuss, der dazu führen soll, dass sich die Behörden Gedanken machen, wie sie datenschutzfreundlicher agieren können. Der Landesrechnungshof moniert, dass dem Land eine unabhängige IT-Strategie fehle. Hier soll anscheinend den Behörden auf die Füße getreten werden.
Was bedeutet das für private Unternehmen?
Für Unternehmen hat dieser Weckruf derzeit keine direkte Relevanz. Gleichwohl ist der Einsatz von Microsoft und auch anderen Produkten, die Daten in die USA übermitteln, risikobehaftet. Eine hundertprozentige Lösung gibt es derzeit nicht. Hoffnung macht da nur, dass die EU bereits seit August mit den USA wieder in Verhandlungen über ein neues Datenschutzabkommen steht. Wie lange das allerdings vor dem EuGH standhalten würde, steht in den Sternen.
Quellen:
Pressemitteilung vom 17.03.21: Land muss Schutz personenbezogener Daten sicherstellen
Artikel von Andreas Wilkens auf heise.de vom 18.03.2021: Datenschutzbeauftragter: Behörden sollen unverzüglich auf Microsoft verzichten