Einsatz von Microsoft 365 in der Verwaltung
Datenschutzkonformität ist möglich
Einsatz von Microsoft 365 in der Verwaltung
Datenschutzkonformität ist möglich
Microsoft 365 im Zusammenspiel mit der Datenschutzgrundverordnung (DS-GVO).
Einsatz von Microsoft 365 in der Verwaltung
Microsoft 365 ist ein Produkt, das vor allem von Datenschützern häufig mit Kritik bedacht wird. Ob zu Recht, ist umstritten, dabei kommt es darauf an, wer antwortet.
Die Digitalisierung der Verwaltung ist eine mächtige und vor allem eine permanente Aufgabe. Sie wird spürbar an Fahrt aufnehmen müssen, wenn Deutschland mit den anderen Ländern der EU nur annährend mithalten möchte. Die Europäische Kommission veröffentlicht jährlich den Index für die digitale Wirtschaft und Gesellschaft (DESI), der die Fortschritte der Mitgliedstaaten in den fünf wesentlichen Bereichen Konnektivität, digitale Kompetenzen, Internetnutzung durch Privatpersonen, Integration digitaler Technik durch Unternehmen und digitale öffentliche Dienste verfolgt. Nach dem Digitalisierungsgrad der EU-Länder gemäß dem Index (DESI) im Jahr 2022 liegt Deutschland als größte Wirtschaftsmacht an 13. Stelle.
Alles gleichzeitig digitalisieren zu wollen, ist eine nicht realisierbare Herkulesaufgabe. Sie würde die Verwaltung zum Erliegen bringen. Die Verwaltung sollte diejenigen Leistungen priorisieren, die im Alltag die größte Bedeutung haben. Eine Anwendung, die im Bereich der Verwaltung, aber auch in der Privatwirtschaft von großer Bedeutung ist, ist Microsoft 365. Hierzu werden aber immer wieder kritische Kommentare zum Datenschutz veröffentlicht. An dieser Stelle wird das Thema Datenschutz bei Microsoft 365 in der Verwaltung genauer untersucht.
1. Bedenken der Aufsichtsbehörden
Am 25.11.2022 haben die unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) Bedenken in Bezug auf die Datenschutzkonformität von Microsoft 365 (M365) in einem veröffentlichten Bericht geäußert. Wer ist die DSK, dass sie so kraftvolle Aussagen treffen kann? Was könnte die Rechtsfolge sein, wenn die Aussage falsch ist? Die Datenschutzkonferenz besteht aus den unabhängigen Datenschutzbehörden des Bundes und der Länder. Sie ist ein rechtlich nicht festgelegter, also ein loser Zusammenschluss der vorgenannten Behörden. Der aktuelle Koalitionsvertrag sieht zwar vor, die DSK zu institutionalisieren, damit sie einheitlich rechtlich verbindliche Beschlüsse fassen kann. Das ist aber (noch) nicht umgesetzt. Solange dies nicht umgesetzt ist, hat die DSK keinerlei rechtlich anerkannte Befugnisse. So ist eine Aussage der DSK zwar eine Aussage, aber ohne rechtliche Bedeutung, da es am Verwaltungsakt mangelt. Solche politischen Aussagen schaden der Wertigkeit des Datenschutzes.
2. Die Meta-Entscheidung
Das Handelsblatt titelte am 31.05.2023 „Deutsche Wirtschaft steckt in einem Cloud-Dilemma. Die Milliardenstrafe für Meta ist eine Warnung: Wenn Unternehmen die Datenschutz-Grundverordnung nicht einhalten, kann es teuer werden“. Letzteres ist richtig, aber das Dilemma muss nicht sein. Weiter schreibt das Handelsblatt: Wenn Unternehmen „in ähnlicher Weise personenbezogene Daten unzulässig übertragen, sollten sie dies dringend abstellen und ihre Verarbeitung ändern“, sagte Marit Hansen, Datenschutzbeauftragte von Schleswig-Holstein. Andernfalls könnten Bußgelder, wie bei Meta verhängt werden. Die Gefahr ist akut: „In hunderten Fällen führen Datenschutzbehörden Ermittlungsverfahren wegen Datenübermittlungen in die USA“, sagte der Hamburger Datenschützer Ulrich Kühn. Die Aufsichtsbehörden haben sich somit dafür entschieden, den Datentransfer in sog. Drittstaaten – und hier vermutlich insbesondere in die USA – als besonderen Schwerpunkt ihrer derzeitigen Aktivitäten anzusehen. Die Aussagen von Frau Hansen und von Herrn Kühn sind aber nur zum Teil belastbar, denn Microsoft überträgt personenbezogene Daten nicht „in ähnlicher Weise“ in die USA (dazu sogleich). Darüber hinaus hat Microsoft – anders als Facebook – erklärt, es habe kein Interesse an den Daten seiner Nutzer.
3. Das Produkt M365
Microsoft M365 gibt es in verschiedenen Produktausprägungen, die sich wesentlich unterscheiden. Bevor es zu einer Produktbewertung kommen kann, ist somit zunächst von einer Produktfestlegung (welche Lizenz ist notwendig?) auszugehen. Wird die angemessene Lizenz gewählt, sind folgende Denkprozesse einzuleiten:
- Für wen hat Microsoft M365 entwickelt? Für einen Weltmarkt.
- Geht Microsoft davon aus, dass das Produkt im Auslieferungszustand (früher: out of the box) für den Anwender passend ist? Nein, Microsoft geht davon aus, dass der Anwender es für seine Jurisdiktion passend einstellt.
Erstes Zwischenergebnis: Im Auslieferungszustand ist das Produkt M365 garantiert nicht datenschutzkonform. Um es datenschutzkonform zu gestalten, sind Anpassungen zwingend notwendig.
4. M365 ist datenschutzkonform einsetzbar
Das sind die Voraussetzungen, um M 365 datenschutzkonform einzustellen. Es gilt folgender Analyserahmen:
a. Welche gesetzlichen Anforderungen sind zu beachten (z. B. DSGVO, BDSG – Bundesdatenschutzgesetz –, LDSG – Landesdatenschutzgesetz –)?
b. Welche Vorgaben durch die Rechtsprechung sind zu beachten (z. B. „Schrems II“)?
c. Welche Empfehlungen geben die Datenschutzaufsichtsbehörden? Hier ist z. B. die aktuellste und für den öffentlichen Bereich besonders aufbereitete Orientierungshilfe von „Der Bayerische Landesbeauftragte für den Datenschutz“ zum Thema Internationale Datentransfers vom Mai 2023 sehr zu empfehlen.
d. Welche Einstellungen hat der Tenant im Auslieferungszustand? Diese sind alle zu analysieren. Hierzu gibt es spezielle Software (z. B. das PRW® Compliance Set: M 365).
e. Wie wird der Tenant auf das gewünschte datenschutzkonforme Format gebracht? Hierzu werden z. B. technisch geschulte M365-Spezialisten benötigt, die die Handlungsempfehlungen aus dem vorgenannten PRW® Compliance Set: M365 umsetzen.
f. Ist dann alles erledigt? Nein, ziemlich sicher sind vor einem Echtbetrieb noch Datenschutzfolgeabschätzungen (DSFA) vorzunehmen.
g. Ist dann alles erledigt? Nein, nach einer gewissen Zeit sind die Anwendungen in M365 erneut zu überprüfen. Das liegt daran, dass Microsoft neue Anwendungen einbindet. Wir denken hier z. B. an die zukünftige Integration von KI. D. h., es sind Wiederholungsroutinen für technische Neuerungen, aber auch für rechtliche Entwicklungen, einzuplanen.
5. Das ist beim Einsatz von M365 zu beachten
M365 ist eine mächtige Anwendung mit über 400 Diensten. Das ist nicht mal so eben als Standard eingeführt. Budgetverantwortliche sollten Folgendes berücksichtigen: Neben dem Kauf der Lizenzen entstehen weitere Kostenstellen. Zu denken ist hier an die rechtskonformen Implementierungskosten und an die Einbindung von möglichen Gutachten für die technische und rechtliche Umsetzung einschließlich der Einbindung von Datenschutzbeauftragten, Sicherheitsbeauftragten und der Personalvertretung.
Nachfolgend zwei Beispiele, um zu zeigen, dass Datenschutz nicht nur schwarz-weiß bedeutet: In der Anwendung „Teams“ kann während Besprechungen der Button „Reagieren“ benutzt werden. Es stehen Funktionen wie „gefällt mir“, „Liebe“, „Applaus“ etc. zur Verfügung. Diese Anwendung ist nicht für den europäischen Markt gedacht, weil sie die Informationen, wer in der Anwendung anwesend ist und wer welche Reaktion setzt, an den Meta-Konzern überträgt. Dies ist mit europäischem Datenschutz nicht in Einklang zu bringen.
Ganz anders kann eine Situation zu bewerten sein, wenn eine Funktion etwa einem Menschen mit Behinderung (hier: hörgeschädigt) die Teilnahme an einem Meeting ermöglicht. Zu denken wäre hier an die „Speech to Text“-Funktion in Teams. So könnten Menschen mit einem Handicap sehr gut inkludiert werden. In diesem Fall ist eine Datenschutzfolgenabschätzung ein probates Mittel, um dies im Einzelfall zu prüfen.
6. Fazit
Der Einsatz von M365 in der Verwaltung ist möglich. Dieser Einsatz erfordert aber die Einbindung unserer rechtlichen Gegebenheiten und eine permanente Anpassung.
Wer Tipps oder weitere Informationen benötigt, kann sich gerne an den Verfasser w.reiners@prw.de wenden oder an die Living Data, das führende Systemhaus für Kunden des öffentlichen Bereichs. Ansprechpartner in der Geschäftsleitung ist thorsten.schulz@livingdata.de. Living Data ist 100%ige Tochter der Anstalt für Kommunale Datenverarbeitung in Bayern (AKDB). Die AKDB ist eine Anstalt des Öffentlichen Rechts.
