Microsoft 365 in Hessen: Grünes Licht ohne technische Untersuchung

Der Landesdatenschutzbeauftragte Alexander Roßnagel gibt hessischen Behörden und Unternehmen grünes Licht für den Einsatz der Software Microsoft 365. Deren Anwendungen wie etwa das Schreibprogramm Word, das E-Mail-Programm Outlook oder die Präsentationshilfe PowerPoint könnten nun mit den richtigen Nutzereinstellungen datenschutzkonform genutzt werden, sagte Roßnagel. Das biete den Unternehmen und Behörden in Hessen grundlegende Rechtssicherheit, wie ein neues Gutachten des hessischen Landesdatenschutzes ergebe.

Hintergrund ist, dass Microsoft 365 (MS 365) inzwischen als Cloud-Dienst angeboten wird. Dies hatte datenschutzrechtliche Probleme aufgeworfen. Im November 2022 benannte die deutsche Datenschutzkonferenz sieben Kritikpunkte. Nach Ansicht der Experten war unter anderem unklar, inwieweit die US-Firma personenbezogene Daten verarbeitet. Zudem kritisierten die Datenschützer, dass Microsoft für den Betrieb von MS 365 in unzulässiger Weise Daten in die USA transferiere. Die Kritik hatte Behörden und Unternehmen verunsichert, ob sie die Software datenschutzkonform einsetzen können.

Nur Grundsatzfragen, kein technischer Check

Seit Januar habe es rund ein Dutzend Treffen mit Vertretern von Microsoft gegeben, sagte Roßnagel. Bezogen auf die sieben Kritikpunkte der Datenschutzkonferenz sei man gemeinsam zu Lösungen gekommen, wie man MS 365 datenschutzkonform nutzen könne. Technisch untersucht habe seine Behörde die einzelnen Dienste von Microsoft nicht, ergänzte Roßnagel. „Dazu sind wir personell überhaupt nicht in der Lage, aber wir haben die Grundsatzfragen des Datenschutzes zufriedenstellend gelöst.“

Wichtig sei, dass die Nutzer Microsoft 365 entsprechend konfigurierten, betonte der Landesdatenschutzbeauftragte. Dabei hälfen die Empfehlungen im rund 120 Seiten starken Gutachten seiner Behörde.

In Zusammenarbeit mit Roßnagel und dem Bayerischen Landesamt für Datenschutzaufsicht hatte Microsoft auch Datenschutz-Hilfen erarbeitet, welche das Unternehmen diese Woche veröffentliche. Das Paket umfasst ein M365-Kit mit Mustervorlagen für die DSGVO-Dokumentation, ein aktualisiertes Cloud Compendium und anpassbare Vorlagen für Datenschutz-Folgenabschätzungen (DSFA).

Microsoft passt Datenverarbeitung an

Im Bezug auf die kritisierte Datenübertragung in die USA sei – auch aufgrund europarechtlicher Änderungen – nichts mehr zu beanstanden. Microsoft habe seine Datenverarbeitung an europäische Vorgaben angepasst, erklärte Roßnagel. Das US-Unternehmen habe seine Organisation zudem so verändert, dass die Daten bis auf ganz wenige, begründete Ausnahmen in Europa verarbeitet würden. Bei der Verarbeitung personenbezogener Daten für eigene Geschäftstätigkeiten habe das Unternehmen deutlich machen können, dass es lediglich um aggregierte und dadurch anonymisierte Protokolldaten gehe.

Inzwischen gibt es auch die quelloffene Alternative openDesk, deren Entwicklung vom Zentrum für Digitale Souveränität (ZenDiS) koordiniert wurde. Sie soll nun Einzug in den öffentlichen Sektor finden, zum Beispiel bei der Bundeswehr oder dem öffentlichen Gesundheitsdienst.

Auch der Internationale Strafgerichtshof (IStGH) in Den Haag will die bislang auf den Arbeitsplätzen genutzte Microsoft-Software durch OpenDesk ersetzen. So will sich die Institution von Technologie aus den USA unabhängig machen – aus Furcht vor Repressalien Donald Trumps.

(nen)