Bei kommunalen IT-Dienstleistern steigt die Skepsis gegenüber aktueller Microsoft-Software, die auch in der Verwaltung nahezu ein Monopol hat. Sie sehen Gefahren für die digitale Souveränität des Staates. Speziell bei Windows 10 und Office 365 sehen sie auch gravierende Datenschutzprobleme. Diese Bedenken stützen sie u.a. auf die Datenschutzfolgenabschätzung einer niederländischen Behörde, wonach die Produkte nicht den DSGVO-Vorgaben genügen.
In der aktuellen Ausgabe ihres Hausblatts Vitako aktuell äußern sich Experten von kommunalen IT-Dienstleistern kritisch über die monopolartige Stellung, die Microsoft mit Software wie Windows 10 oder Office 365 auch bei öffentlichen Verwaltungen erreicht hat.
Kommunale IT-Kräfte sehen monopolartige Stellung von Microsoft und bangen um staatliche Datensouveränität
Speziell der bei dieser Software kaum zu kontrollierende Transfer von Nutzerdaten in die Microsoft-Cloud bzw. auf Rechner in den USA bereitet den Fachleuten Kopfschmerzen, die hierdurch die Datensouveränität in Gefahr sehen. Bei ihrer Kritik berufen sich die Fachleute dabei auch auf die Einschätzung niederländischer Behörden, nach der aktuelle Microsoft-Produkte nicht DSGVO-konform sind.
Mangelnde Datenschutzkonformität bei Windows 10 und Office 365?
Die in der niederländischen Regierung zuständige Beschaffungsbehörde für IT-Produkte hatte im letzten Jahr eine Datenschutzfolgenabschätzung für Microsoft-Produkte durchgeführt und dabei zahlreiche Risiken identifiziert, wodurch diese Software nicht den Vorgaben der DSGVO genügt. Dazu zählten etwa:
- Fehlender Überblick über spezifische Risiken aufgrund unzureichender Transparenz.
- Fehlende Möglichkeiten zur Beeinflussung oder zum Beenden der Erfassung von diagnostischen Daten.
- Illegales Speichern sensibler Daten (Metadaten oder auch Inhalte wie E-Mail-Betreffzeilen).
- Unzureichende Kontrolle über Unterauftragsverarbeiter sowie über die tatsächliche Datenverarbeitung.
Microsoft hatte auf Kritikpunkte in der Datenschutzfolgenabschätzung reagiert
Microsoft hatte auf die von der Behörde vorgelegten Kritikpunkte reagiert und einem Aktionsplan zugestimmt, durch den die von der niederländischen Regierung verwendeten Microsoft-Produkte so modifiziert werden sollen, dass die den Vorgaben der DSGVO und auch anderen rechtlichen Bestimmungen entsprechen. Eine Überprüfung dieser Verbesserungen soll im nächsten Monat erfolgen.
DSGVO-konforme Anpassung nur für große Nutzer möglich
Allerdings wird es diese Anpassungen der Microsoft-Produkte nur für große Unternehmen und Behörden mit mehr als 500 Nutzern geben, bei den Softwareversionen für kleinere Organisationen werden diese Anpassungen nicht vorgenommen. Für diese wäre das Problem mangelnder DSGVO-Compliance also auch durch die Umsetzung des Aktionsplans nicht aus der Welt.
Alternative: Open Source?
Angesichts der Tatsache, dass sich an der marktbeherrschenden Stellung von Microsoft-Produkten in der öffentlichen Verwaltung kurz- und mittelfristig nichts ändern wird, müssten nach Ansicht von Vitako-Geschäftsführer Ralf Resch Rahmenbedingungen geschaffen werden, die „souveränes Handeln“ der Verwaltungen ermöglichen und das Vertrauen der Bürger in den Staat schützen.
- Als Option dazu verweist er auf gut funktionierende Open-Source-Lösungen.
- Einschränkend bemerkt er zugleich aber auch, dass eine solche Migration ein „mutiger Schritt“ sei, der einen großen Zeitaufwand und hohe Folgekosten verursachen könne.
- Ebenso sei es möglich, Abhängigkeiten einzuschränken bzw. besser zu verteilen.
Beispiel für ein begrenzen von Abhängigkeit
Als Beispiel für ein solches Vorgehen nennt er den Umstieg von Microsoft Office auf Googles Firmensoftware G Suite, wie sie der Flugzeughersteller Airbus für seine 130.000 Mitarbeiter kürzlich angekündigt hat. Dabei schränkt er zugleich aber auch ein, dass auch diese Cloud-Lösung aus Datenschutzperspektive für die Verwaltungen wohl nicht in Frage kommen dürfte.
Warnungen sind nicht neu
Vor den Risiken, die eine zu große Abhängigkeit der öffentlichen Verwaltung von Microsoft-Produkten hatten schon vor zwei Jahren EU-Experten gewarnt. Damals machte sich die Kritik, über die ein unabhängiges Journalistenteam des paneuropäischen Recherchenetzwerks Investigate Europe (www.investigate-europe.eu) berichtet hatte,
- vor allem an der unzureichenden Sicherheit vieler Microsoft-Produkte fest ,
- die immer wieder Cyberattacken ermöglichten,
- aber auch an der Blockade des technischen Fortschritts in Behörden und Regierungseinrichtungen durch die ausschließliche Nutzung der Microsoft-Produkte.
Trotz der vorgebrachten Bedenken gibt es aus der kommunalen Praxis allerdings auch gegenläufige Entwicklungen zu berichten. So läuft in München derzeit etwa eine umstrittene „Rückmigration“ von Open-Source-Software auf Microsoft-Produkte, nachdem man dort vor gut 15 Jahren begonnen hatte, sich durch die Verwendung von Linux-Software von Microsoft unabhängiger zu machen.
Weitere News zum Thema:
BSI warnt vor Sicherheitslücken bei vielen Cloud-Servern
Hintergrund:
Datenschutzfolgenabschätzung
Eine Datenschutzfolgenabschätzung (DSFA) ist notwendig, wenn eine Form der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat (Art. 35 DS-GVO), z.B bei Verwendung neuer Techniken oder systematischer und umfassender Bewertung persönlicher Aspekte natürlicher Personen, die als Grundlage für rechtswirksame Entscheidungen dient.
Bei der DSFA werden die geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung systematisch beschrieben. Die Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck, die Risiken für die Rechte und Freiheiten der betroffenen Personen werden bewertet, sowie die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen und Sicherheitsvorkehrungen.