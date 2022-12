Gemeinsam mit der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) ist die Bundesregierung prinzipiell der Ansicht, dass Microsoft Office 365 derzeit allenfalls mit zusätzlichen Schutzvorkehrungen rechtskonform betrieben werden kann. Die Exekutive teile die entsprechende Einschätzung der Kontrolleure im Grunde, erklärte die parlamentarische Finanzstaatssekretärin Katja Hessel (FDP).

Undurchsichtige Datenverarbeitung, zweifelhafte Rechtmäßigkeit

"Anwendende haben erhebliche Schwierigkeiten, die Rechtmäßigkeit der Verarbeitung personenbezogener Daten nachzuweisen", schreibt Hessel in einer jetzt veröffentlichten Antwort auf eine schriftliche Anfrage des Bundestagsabgeordneten Marc Biadacz (CDU). "Es ist zum einen nicht zu jedem Zeitpunkt klar, welche Verarbeitungen zu welchem Zweck vorgenommen werden." Offen sei auch, wann Microsoft im Auftrag des Anwenders handle und wann letzterer selbst hafte.

"Insbesondere für Einrichtungen des Bundes ist dabei unklar, auf welcher Rechtsgrundlage eine Verarbeitung in eigener Verantwortlichkeit stattfinden kann", führt die Vertreterin des Bundesfinanzministeriums aus. So sei es für diese Institutionen vor allem schwierig nachzuweisen, dass die Verarbeitung etwa von Telemetriedaten "innerhalb des gesetzlich vorgegebenen Zweckes erfolgt" beziehungsweise ausgeschlossen ist. Dies sei für eine Cloud-Umgebung aber entscheidend.

Auswärtiges Amt hält an MS 365 fest

Der baden-württembergische Datenschutzbeauftragte hatte im Rahmen der Ansage der DSK deutlich gemacht, dass Behörden die gängigen Cloud-basierten Microsoft-Office-365-Produkte wie Word, Excel, PowerPoint, Outlook und Teams nur "nach intensiver Prüfung und erheblichem Begründungsaufwand“ nutzen könnten. Dies bestätigt Hessel.

Trotzdem werde insbesondere das Auswärtige Amt MS 365 "im Rahmen der besonderen Erfordernisse der Auslands-IT" verwenden, geht aus der Antwort hervor. Offen bleibt dabei, ob im Haus von Annalena Baerbock (Grüne) die nötige Datenschutzfolgenabschätzung bereits erfolgte und welche Zusatzmaßnahmen wie Verschlüsselung im Interesse eines rechtskonformen Einsatzes zum Tragen kommen sollen.

Hohe Lizenzkosten, Absage an Open-Source-Software

Das Auswärtige Amt belegte schon 2018 Platz 2 bei der Höhe der Ausgaben für Lizenzgebühren für Microsoft-Produkte mit 4,7 Millionen Euro. Das Ressort migrierte seit 2010 von Linux auf Windows & Co, nachdem es "erhebliche Beschwerden der Nutzer" über Anwenderfreundlichkeit, fehlende Integration und mangelhafte Interoperabilität gegeben habe. Die Grünen beklagten 2015 angesichts dieses Wechsels eine "Abkehr" des Außenministeriums von Open Source.

Als Microsoft-Großanwender unter den Bundesressorts gelten die Bundesministerien der Verteidigung und des Inneren. Beim ersteren ist nach Angaben der Regierung aber kein Einsatz von MS-365-Produkten geplant. Dies gilt auch für das Bundeskanzleramt sowie die Ministerien für Gesundheit, Arbeit und Forschung. Im Bereich des Innenressorts baut nur das Bundesinstitut für Sportwissenschaft auf die Cloud-Lösung des Softwarekonzerns.

Das Bundesministerium für wirtschaftliche Zusammenarbeit und Entwicklung setzt laut dem Finanzressort Microsoft 365 "im Rahmen eines jüngst begonnenen Modellversuches in einem begrenzten Umfang" mit 25 Lizenzen ein. In der Bundeszentrale für Kinder- und Jugendmedienschutz gebe es entsprechende Installationen an neun Arbeitsplätzen, die aber nicht an die Netze des Bundes angeschlossen seien.

Soweit im Ministerium für Digitales und Verkehr MS 365 laufe, erfolge dies im Rahmen eines Machbarkeitsnachweises (Proof of Concept), heißt es weiter. Dieser werde datenschutzrechtlich begleitet. Im Finanzministerium selbst würden im Rahmen eines Modellversuches einschlägige Software "für mögliche Krisen- und Notfallszenarien" getestet.

Nur Cloud im Eigenbetrieb des Bundes verwendet

Generell habe die Regierung "frühzeitig Entscheidungen getroffen und Maßnahmen umgesetzt, die einen Einsatz dieser Produkte für den Bund grundsätzlich entbehrlich machen", versichert Hessel. Die augenscheinlich verwendete MS-365-Software werde zudem "nicht aus einer Public Cloud bezogen, sondern als On-Premise-Lösungen im Eigenbetrieb des Bundes genutzt".

Mit der geplanten "Dienstekonsolidierung" soll der Exekutive zufolge ferner ein Bundesclient in der unmittelbaren Bundesverwaltung eingeführt werden, der beim Informationstechnikzentrum Bund (ITZ) betrieben werde. Das Auswärtige Amt und das Verteidigungsressort blieben hier aber außen vor.

Der Digitalpolitiker Biadacz forderte gegenüber heise online: "Microsoft und die Datenschützer müssen jetzt handeln, um schnell und transparent die rechtlichen Bedenken aus dem Weg zu räumen." Gerade in den aktuellen Zeiten, in denen vor allem kommunale Verwaltungen "enorm viel stemmen müssen", könne es nicht sein, "dass sie auch noch grundsätzlich ihre IT umstellen müssen, nur um die datenschutzrechtlichen Vorgaben zu erfüllen". Microsoft hatte die Bewertung der DSK als "grundlegend falsch" zurückgewiesen.

(tiw)