Die Nutzung von Software bzw. Diensten, bei denen unkontrolliert personenbezogene Daten in die Cloud fließen, ist nicht nur für Mecklenburg-Vorpommerns Datenschutzbeauftragten ein Ärgernis. Er regt deshalb an, dass die Landesbehörden möglichst rasch Microsoft-Produkte generell aussortieren, sondern kündigt auch Maßnahmen gegen die zur Zeit so stark im Einsatz befindlichen Videokonferenz-Systeme an.
Bei der Nutzung moderner Office-Lösungen mit Cloud-Anbindung, wie etwa Office 365 von Microsoft, aber beispielsweise auch bei Verwendung von Videokonferenzlösungen, gibt es immer wieder Bedenken von Datenschützern, weil hierbei personenbezogene Daten an die Anbieter übermittelt werden. Dies ist insbesondere dann ein Problem, wenn diese Daten in den USA verarbeitet werden. Denn spätestens seitdem der EuGH das Privacy-Shield-Abkommen im letzten Jahr gekippt hatte, durch den dieser Datenaustausch geregelt war, ist ein solches Vorgehen mit den Vorgaben der DSGVO im Grunde nicht mehr vereinbar.
Datenschutzbehörden sind bei der Beurteilung uneins
Bereits im letzten Jahr urteilte die Datenschutzkonferenz von Bund und Ländern, dass Microsoft Office 365 in seiner damaligen Form nicht rechtskonform eingesetzt werden könne. Allerdings gab es in diesem Gremium erhebliche Differenzen und die Behörden aus fünf Bundesländern gaben eine gemeinsame Erklärung ab, in der sie sich von dieser Mehrheitsentscheidung distanzierten und eine abweichende Meinung vertraten. Zwar sahen auch diese Behörden verschiedene Defizite in der Software und weiteren Verbesserungsbedarf im Hinblick auf den Datenschutz, setzte aber auf Verhandlungen mit Microsoft,
- um Nachbesserungen zu erreichen
- und eine Datenschutzkonformität herzustellen.
Entsprechende Gespräche zwischen dem Softwarehersteller und den Behörden sollten die noch vorhandenen Probleme lösen
Microsoft hat teilweise nachgebessert, aber weiter Probleme bei Videokonferenzsysteme
In einigen Punkten hatte Microsoft auch bereits nachgebessert. Differenzen gibt es aber aktuell im Hinblick auf eine datenschutzkonforme Verwendung der in jüngster Zeit Corona-bedingt immer öfter genutzten Videokonferenzsysteme. Hier listete jüngst etwa die Berliner Datenschutzbehörde eine lange Liste mit solchen Diensten auf, die unter Datenschutzaspekten nicht akzeptabel seien und daher nicht weiter verwendet werden dürften. Insbesondere viele Dienste von US-Unternehmen fielen hier durch, so etwa populäre Anwendungen wie Zoom, Cisco WebMeeting oder auch Skype und Teams von Microsoft.
Mecklenburg-Vorpommerns Datenschutzbeauftragter fordert von Landesregierung einen Umstieg
Nach Auffassung des Datenschutzbeauftragten in Mecklenburg-Vorpommern Heinz Müller haben alle bisherigen Bemühungen um eine Verbesserung des Datenschutzes insbesondere mit den großen IT-Konzernen jedoch nicht die gewünschten Annäherungen gebracht. Weder Microsoft noch andere große Software- bzw. Dienstanbieter seien ernsthaft bereit, ihre bisherige Praxis im Hinblick auf die Übertragung personenbezogener Daten entscheidend zu ändern.
Als Konsequenz daraus forderte der Datenschutzbeauftragte daher nun seine Landesregierung zu einem unverzüglichen Handeln auf und verlangt etwa, dass in den Landesbehörden keine Microsoft-Produkte mehr zum Einsatz kommen sollen.
Landesrechnungshof unterstützt diese Forderung
Unterstützt wird der Datenschutzbeauftragte in seinen Forderungen vom Landesrechnungshof. In einer Pressemitteilung der Behörde heißt es dazu etwa:
„Eine Vielzahl der in diesem Land genutzten Betriebssysteme, Büro-Anwendungen oder auch Videokonferenzlösungen lässt sich nicht betreiben, ohne dass personenbezogene Daten an Dritte abfließen. Für diese Datenabflüsse gibt es keine hinreichende Rechtsgrundlage.“
Landesregierung Mecklenburg-Vorpommern soll Zeitschiene für Umstieg entwickeln
Mit Sanktionen will der Datenschutzbeauftragte der Landesregierung allerdings nicht drohen, denn zum einen kann er beispielsweise anders als bei Unternehmen gar keine Geldbußen verhängen, zum anderen ist er sich der komplexen Folgen eines sofortigen Ausstiegs aus den Microsoft-Produkten wohl bewusst und versteht seine Forderung daher eher als „Warnschuss“. Ein sofortiger Umstieg sei nicht praktikabel, allerdings erwartet er, dass die Verantwortlichen eine klare Zeitschiene für einen Umstieg entwickeln und entsprechende Aktivitäten in Angriff nehmen.
Landesregierungen suchen nach Alternativen
Die Landesregierung hatte in einer Stellungnahme auf die kaum zu bewältigenden Probleme hingewiesen, die bei einem sofortigen Umstieg auf Open-Source-Lösungen resultierten. Zudem sei man ohnehin schon bemüht, Alternativen zu finden und stehe dazu mit anderen Bundesländern wie etwa Bremen und Schleswig-Holstein in engem Kontakt, wo derzeit ein Pilotprojekt für einen Open-Source-IT-Arbeitsplatz realisiert werde, und prüfe auch weitere Alternativen.
Einsatz von Videokonferenzsystemen soll geprüft werden
Nach dieser Ansage an die Landesregierung will Müller nun verstärkt den Einsatz von Videokonferenzsystemen in seinem Bundesland unter die Lupe nehmen. Hier existierten bereits zahlreiche datenschutzkonforme Angebote, sodass ein schneller Umstieg einfach möglich sei. Als Beleg dafür verweist er etwa eine schnell erzielte Einigung mit dem Bildungsministerium in Schwerin, das den Schulen nun einen kostenfreien Zugang zu Open-Source-Videokonferenzangeboten ermöglichen will.
In den nächsten Monaten will die Datenschutzbehörde Akteure im Bundesland befragen, welche Videokonferenzlösungen auf welcher Rechtsgrundlage eingesetzt werden und wie diese technisch abgesichert sind. Sollten die Antworten unzureichend sein, wolle man von den Abhilfebefugnissen nach Art. 58 Abs. 2 DSGVO Gebrauch machen, die ein Spektrum von Sanktionen von einfachen Verwarnungen bis zu Geldbußen vorsehen.
Weitere News zum Thema:
Datenschützer kritisieren Videokonferenzsysteme, wiederum auch die von Microsoft
Datenschutzkonforme Videokonferenzen aus dem Home-Office
Datenschutz in Zeiten von Corona Covid 19
Hintergrund: DSGVO-Sanktionen
Gemäß Art. 83 Abs. 4 DSGVO sind
- Geldbußen bis 10 Millionen Euro bzw. bis 2 % des weltweiten Jahresumsatzes,
- in schweren Fällen bis zu 20 Millionen Euro oder bis zu 4 % des weltweiten Jahresumsatzes möglich.
Die Abschreckungswirkung dieser enorm hohen Geldbußen soll von Anfang an dazu beitragen, die DSGVO möglichst schnell und nachhaltig zur Geltung zu bringen.
Bemessung der DSGVO-Sanktionen bei Verstößen
Art. 83 DSGVO regelt die möglichen Bußgelder bei Verstößen, für deren Bemessung verschiedene Faktoren,
- wie die Art und Schwere eines Verstoßes,
- die Empfindlichkeit der betroffenen Daten,
- die vorsätzliche oder fahrlässige Begehung
- sowie die Kooperation mit der Aufsichtsbehörde
eine entscheidende Rolle spielen können.