Schmerzpunkte bei Microsoft 365 reduzieren

"Die Bundesländer wollen cloudbasierte Lösungen einsetzen, sehen aber hohe Abhängigkeiten zu einzelnen Technologieanbietern und damit die Gefahr, die Kontrolle über die eigene IT zu verlieren und datenschutzrechtliche Erfordernisse nicht mehr gewährleisten zu können", schreibt der IT-Dienstleister aus NRW.

Das in Auftrag gegebene Papier soll demnach die Verhandlungsposition gegenüber Microsoft stärken, indem es dabei hilft, "erkannte Schmerzpunkte" gezielt zu reduzieren – wohlgemerkt: nicht zu beseitigen, sondern zu reduzieren.

Dabei wünschen sich Bund und Länder digitale Souveränität. Dazu wurde eigens eine länderübergreifende Arbeitsgruppe Cloud-Computing und digitale Souveränität unter der Führung Nordrhein-Westfalens eingesetzt. Das Land habe zudem die Evaluation der im vergangenen Jahr durch den Bund festgelegten deutschen Verwaltungscloud-Strategie zugesagt.

Dabei handelt es sich um gemeinsame Standards und offene Schnittstellen für Cloudlösungen der öffentlichen Verwaltung, die beispielsweise bereits durch den IT-Dienstleister der Bundeswehr, der BWI, mit ihrem Bundesmessenger auf Matrix-Basis berücksichtigt wird.

Gerade im Zusammenhang mit digitaler Souveränität, Standardisierungen, offenen Schnittstellen und Open Source fühlt sich die Geheimhaltung von Kritikpunkten an Microsoft 365 deplatziert an. Unklar bleibt auch, in welchem Rahmen überhaupt Verhandlungen mit Microsoft geführt werden oder geführt werden sollen.

Microsoft 365 wohl auch nach geheimem Gutachten rechtswidrig

Dabei haben nicht nur die IT-Dienstleister der Länder geprüft, ob Microsoft 365 datenschutzkonform eingesetzt werden kann. Eine entsprechende Prüfung der Datenschutzkonferenz von Bund und Ländern (DSK) kommt zu einem eindeutigen Ergebnis: Der Einsatz des Clouddienstes in Behörden, Schulen oder Unternehmen ist datenschutzwidrig.

Es sei nach wie vor ungeklärt, welche Daten erhoben, übertragen und für eigene Zwecke verarbeitet würden, sagte der Bundesdatenschutzbeauftragte Ulrich Kelber im November 2022. Nach wie vor gebe es Mängel in der Transparenz und der Prüfung, ob die Datenverarbeitung zu eigenen Zwecken rechtmäßig sei.

Auch das von uns mittels Informationsfreiheitsgesetz angefragte Gutachten kann im Grunde zu keinem anderen Ergebnis kommen. Vielmehr ist der Antwort auf unsere Anfrage zu entnehmen, dass in dem Gutachten beschrieben wird, "welche Maßnahmen als Mindest-Anforderungen für eine Vereinbarkeit der MS-Produkte und ihrer Nutzung mit der DSGVO gesehen werden und welche Anforderungen eher als optionale Maßnahmen wünschenswert wären".

Damit sind sich die Länder beziehungsweise das in Auftrag gegebene Gutachten mit der DSK offensichtlich einig: Ohne grundsätzliche Änderungen auf Seiten Microsofts kann die Cloudsoftware nicht rechtskonform genutzt werden. Im Unterschied zu dem Gutachten der IT-Dienstleister der Länder hat die DSK ihr Gutachten allerdings in einer um Geschäftsgeheimnisse bereinigten Zusammenfassung veröffentlicht. Warum dies der Länder-IT nicht möglich war, bleibt unklar.