Artikel-Informationen
erstellt am:
03.05.2024
Microsoft Teams in der Landesverwaltung Niedersachsen
Am 26. April hat das Niedersächsische Ministerium für Inneres und Sport (MI) einen erfolgreichen Abschluss einer datenschutzrechtlichen Vereinbarung mit Microsoft zur Nutzung von Microsoft Teams gemeldet. An den Verhandlungen war der Landesbeauftragte für den Datenschutz Niedersachsen nicht beteiligt, hat das MI aber mit datenschutzrechtlichen Einschätzungen unterstützt und eine Bewertung der erzielten Verhandlungsergebnisse vorgenommen.
Im Fokus stand eine Überarbeitung der datenschutzrechtlichen Regelungen der Standard-Auftragsverarbeitungsvereinbarung für Microsoft Online Services – das Data Protection Addendum (DPA) – im Hinblick auf die von der Datenschutzkonferenz im November 2022 festgestellten Problemfelder des DPA.
Der LfD Niedersachsen hält das Verhandlungsergebnis mit Blick auf die Ausgestaltung der Auftragsverarbeitungsvereinbarung für akzeptabel. Auch nach diesem Verhandlungsergebnis besteht allerdings aus Sicht des LfD ein deutliches Potenzial für datenschutzfreundlichere Regelungen sowie vom Verantwortlichen weiterhin zu prüfende Aspekte, wozu der LfD dem MI entsprechende Hinweise gegeben hat.
Zu diesen Aspekten gehört unter anderem der Umfang der sogenannten EU Boundary in der aktuellen und in der Endausbaustufe. Die EU Boundary soll eine weitgehende Datenspeicherung und -verarbeitung innerhalb der Länder der Europäischen Union (EU) und der Europäischen Freihandelsassoziation (EFTA) gewährleisten. Soweit faktisch trotz des Einsatzes der EU-Boundary weitere Datenübermittlungen in die Drittländer bestehen, muss sich der Verantwortliche damit beschäftigen. Auch werden weiterhin zahlreiche interne Maßnahmen beim Verantwortlichen wie etwa Dienstanweisungen und Konfigurationseinstellungen zur Datenminimierung zu treffen sein. Ferner müssen die Verantwortlichen vor der Einführung unter anderem eine individuelle Datenschutzfolgenabschätzung erstellen und die technischen und organisatorischen Datenschutzmaßnahmen überprüfen.
Der LfD geht davon aus, dass die sich aus den vertraglichen Regelungen ergebenden Maßnahmen, die auf Seiten der Verantwortlichen zu ergreifen sind, konsequent vor Aufnahme eines Produktivbetriebs von Microsoft-Online-Diensten umgesetzt werden und regelmäßig auf ihre Wirksamkeit hin überprüft werden. Dies gilt insbesondere für die Erfüllung der Transparenz- und Dokumentationspflichten.
Forderung nach digitaler Souveränität bleibt bestehen
Das Verhandlungsergebnis bedeutet keine Abkehr von der bisherigen Sensibilisierung für die Risiken der Microsoft-Produkte. Die Datenschutzbehörde Niedersachsen fordert die Beschaffungsstellen nach wie vor auf, weiterhin Alternativen zu prüfen und dabei insbesondere digital souveräne Lösungen aktiv anzugehen.
Es sei weiterhin auf die Position der Datenschützer verwiesen, dass dauerhaft datenschutzfreundliche Lösungen insbesondere durch Berücksichtigung der Kriterien der digitalen Souveränität sichergestellt werden können. Es gilt also weiterhin, Lock-in-Effekte zu vermeiden und alternative Systeme zu fördern und implementieren – zum Beispiel mit Open-Source-Software.
Weitere Infos: