Datenschutz: Nutzung von Microsoft-Software durch Behörden ist illegal

In deutschen Behörden kommt in großem Umfang Software zum Einsatz, deren Nutzung in der gegebenen Form schlicht illegal ist. Darauf wies der Landesdatenschutzbeauftragte Mecklenburg-Vorpommerns hin. Den größten Anteil daran hat Microsoft. "Eine Vielzahl der in diesem Land genutzten Betriebssysteme, Büro-Anwendungen oder auch Videokonferenzlösungen lässt sich nicht betreiben, ohne dass personenbezogene Daten an Dritte abfließen", erklärte Heinz Müller, der der Behörde in dem nördlichen Bundesland vor­steht. "Für diese Datenabflüsse gibt es keine hinreichende Rechtsgrundlage." Aus seiner Sicht könne hier nicht länger darauf gewartet werden, dass der Bund irgendwann eine zu­frie­den­stel­len­de Lösung liefert.

Das Kernproblem besteht darin, dass die diversen Software-Produkte Daten zu ihren Herstellern in den USA schicken, wo die europäischen Datenschutz-Normen bei weitem nicht eingehalten werden. Es geht dabei keineswegs nur um Telemetrie-Daten. Vielmehr landen grundsätzlich immer mehr Inhalte kommerzieller Software-Produkte in "der Cloud", also auf den Computern der Anbieter oder ihrer Dienstleister. Um den Status Quo nicht anfassen zu müssen, gab es über Jahre Abkommen zwischen der EU und den USA, die im vergangenen Sommer vom Europäischen Gerichtshof (EuGH) aber komplett für rechtswidrig und nichtig erklärt wurden.

Open Source wäre besser

Im Grunde betrifft diese Einschätzung eine gro­ße Bandbreite an Software und Services von An­bie­tern aus den USA. "Betroffen sind davon un­ter an­de­rem Produkte der Firma Microsoft", stellte Mül­ler heraus. Es genüge demnach kei­nes­wegs, wenn die Anbieter Stand­ard­da­ten­schutz­klau­seln verfassen. Ein grundlegendes Problem liege hier beispielsweise darin, dass die Vorschriften in den USA die Herausgabe der Daten an Behörden und Geheimdienste vor­se­hen, den europäischen Nutzern stehen in sol­chen Fäl­len keinerlei Rechtsschutzmöglichkeiten zur Verfügung.

Die einzige Möglichkeit, eine rechtskonforme Nutzung der fraglichen Produkte zu ermöglichen, besteht darin, den Personenbezug aufzulösen oder eine starke Verschlüsselung zu nutzen. Wenn das nicht geht, sei die Verarbeitung einzustellen oder ein alternatives Produkt einzusetzen, welches die Anforderungen der Datenschutz-Grundverordnung erfüllt. "Das mag für viele nun überraschend kommen, aber die Probleme, vor denen wir stehen, sind seit langem bekannt", so Müller. "Da sich die großen Anbieter in dieser Hinsicht nicht zu bewegen scheinen, bleibt letztlich nur der Rückgriff auf Open-Source-Produkte."

Siehe auch: