Das Thema Microsoft 365 und Datenschutz zieht nach der Festlegung der DSK weitere Kreise. Nun hat sich auf Basis einer kleinen Anfrage an die Bundesregierung diese geäußert und aufgezeigt, welche Ministerien M365 einsetzen, Planen oder es gerade testen.
Dazu der TLfDI, Dr. Lutz Hasse: „Die einmütigen Erkenntnisse und Schlussfolgerungen der DSK werden von immer mehr sachkundigen Stellen und Einrichtungen nachvollzogen. Dieser Prozess wird sich fortsetzen und den Schutz der Privatsphäre stärken, den die Datenschutzbeauftragten nun auch entsprechend umsetzen werden.“
Zitat
Seite 44, https://dserver.bundestag.de/btd/20/048/2004852.pdf
57. Abgeordneter Marc Biadacz (CDU/CSU)
“Teilt die Bundesregierung die Einschätzung des Datenschutzbeauftragten des Landes Baden-Württemberg, Stefan Brink, dass Behörden die gängigen Cloud-basierten Microsoft-Office-365- Produkte wie Word, Excel, PowerPoint, Outlook und Teams nur „nach intensiver Prüfung und erheblichem Begründungsaufwand“ nutzen können (www.faz.net/aktuell/wirtschaft/digitec/excel-word-teams-datenschutz-warnt-vor-microsoft-365-18
494770.html); und in welchem Umfang werden das Bundeskanzleramt, die Bundesministerien und ihre nachgeordneten Behörden Microsoft-Office-365-Produkte nutzen (bitte nach Ministerien aufschlüsseln)?”
Antwort der Parlamentarischen Staatssekretärin Katja Hessel vom 9. Dezember 2022
“Ja, die Bundesregierung teilt im Grunde nach die Einschätzung des Datenschutzbeauftragten des Landes Baden-Württemberg, Stefan Brink, bezüglich der datenschutzrechtlichen Problematik beim Einsatz von Office 365-Proukten der Firma Microsoft in der öffentlichen Verwaltung. Anwendende haben erhebliche Schwierigkeiten, die Rechtmäßigkeit der Verarbeitung personenbezogener Daten nachzuweisen. Dieser Nachweis muss durch verantwortliche Stellen aber erbracht werden. Es ist zum einen nicht zu jedem Zeitpunkt klar, welche Verarbeitungen zu welchem Zweck vorgenommen werden, zum anderen, welche Verarbeitungstätigkeiten von Microsoft im Auftrag und welche in eigener Verantwortung erfolgen.
Insbesondere für Einrichtungen des Bundes ist dabei unklar, auf welcher Rechtsgrundlage eine Verarbeitung in eigener Verantwortlichkeit stattfinden kann.
Für die Einrichtungen des Bundes bereitet diese Unklarheit besondere Schwierigkeiten nachzuweisen, dass die Datenverarbeitung z. B. von Telemetriedaten innerhalb des gesetzlich vorgegebenen Zweckes erfolgt bzw. ausgeschlossen ist. Nur so ist eine Verarbeitung von personenbezogenen Daten in einer Umgebung dieser Art überhaupt möglich.
Die damit verbundenen Prüfungen können deshalb nach Einschätzung der Bundesregierung, wie im Artikel geschrieben, als intensiv und mit einem erheblichen Aufwand für die Begründung aufgefasst werden.
Nicht nur daher hat der Bund frühzeitig Entscheidungen getroffen und Maßnahmen umgesetzt, die einen Einsatz dieser Produkte für den Bund grundsätzlich entbehrlich machen. Die augenblicklich im Einsatz sich befindenden Microsoft Office-Produkte werden zudem nicht aus einer Public Cloud bezogen, sondern als On-Premise-Lösungen im Eigenbetrieb des Bundes genutzt. Im Rahmen der Dienstekonsolidierung Bund wird ein Bundesclient in der unmittelbaren Bundesverwaltung (ohne BMVg und AA) eingeführt, der „on-premise“ im ITZBund betrieben wird. Der Umfang in welchem das Bundeskanzleramt, die Bundesministerien und ihre nachgeordneten Behörden Microsoft-Office-365-Produkte beabsichtigen zu nutzen, ist der nachfolgenden Tabelle zu entnehmen.”
