Die Datenschützer von Bund und Ländern haben Bedenken zu einer verbreiteten Software des US-Konzerns Microsoft angemeldet – und einen Beschluss gefasst. Nach Ansicht des Thüringer Landesdatenschutzbeauftragten hat das weitreichende Folgen.
Thüringens Landesdatenschutzbeauftragter Lutz Hasse will mit Unternehmerverbänden und Behörden über die Umsetzung eines Beschlusses der Datenschutzkonferenz zur Office-Software des US-Konzerns Microsoft sprechen. «Dieser Beschluss richtet sich an alle Behörden und alle Unternehmen», sagte Hasse der Deutschen Presse-Agentur. Konsequenz könnte laut Hasse sein, dass die Software nicht mehr verwendet werden kann. Allerdings wolle er nun zunächst herausfinden, wie stark sie in der Unternehmerschaft verbreitet ist und unter anderem mit der Industrie- und Handelskammer über die Auswirkungen des Beschlusses sprechen.
Die Datenschutzkonferenz (DSK) hatte vor Kurzem festgestellt, dass Datenschutzverantwortliche keinen Nachweis darüber erbringen können, dass die Software Microsoft 365 datenschutzkonform betrieben wird. Microsoft teilte anschließend mit, dass man die Bedenken erst nehme. «Jedoch halten wir viele der datenschutzrechtlichen Einschätzungen sowie die Schlussfolgerungen der DSK für grundlegend falsch», hieß es in einer Mitteilung von Microsoft nach dem DSK-Beschluss.
Die Hauptgeschäftsführerin der Industrie- und Handelskammer Erfurt, Cornelia Haase-Lerch, äußerte sich besorgt. «Die Produkte von Microsoft 365 sind für die Unternehmen unverzichtbar. Gemeinsam mit der Wirtschaft müssen Lösungen gefunden werd en, damit Anwendungen von Microsoft in Deutschland und der Europäischen Union rechtskonform eingesetzt werden können», erklärte sie auf Anfrage. Software-Komponenten von 365 sind unter anderem Word oder Excel.
Hintergrund ist, dass nach Ansicht der Datenschützer unklar ist, inwieweit die US-Firma personenbezogene Daten verarbeitet. Hasse erläuterte, dass nach Angaben von Microsoft personenbezogene Daten zu eigenen Zwecken verwendet würden. Von wem genau diese Daten erhoben werden und für welche eigenen Zwecke sie verarbeitet werden, sei aber bislang unklar.
Hasse erläuterte die Folgen des DSK-Beschlusses am Beispiel der Schulen: Verantwortlich sei dort nach Datenschutzregeln der Schulleiter. Selbst wenn dieser die Einwilligungen der Eltern für die Verwendung der Software einholen würde, wäre sie nach Ansicht der Datenschutzkonferenz unwirksam. Denn die Eltern müssten informiert einwilligen. Der Schulleiter könne aber gar nicht ausreichend über die Datenschutzaspekte informieren, weil Microsoft nicht preisgebe, wie und für was die personenbezogenen Daten verarbeitet werden.
Microsoft dagegen beteuerte, dass die Software datenschutzkonform einsetzbar ist. Außerdem warnt das Unternehmen davor, dass ein «ausufernder Aufsichtsansatz» die Digitalisierung in Deutschland ausbremse und «Verantwortliche (z. B. Schulleiter bei der Erstellung einer Datenschutz-Folgenabschätzung)» lähme und überfordere.
Hasse machte klar, dass man nun darüber nachdenken müsse, wie man den DSK-Beschluss verhältnismäßig umsetzt und in welchem Zeitraum. «Das Ende des Prozesses steht aber fest, nämlich dass es ein Alternativprodukt geben muss – es sei denn, Microsoft bring Licht ins Dunkel», sagte er. Auch über Beratungsangebote zu Alternativen denke er nach. «Ich verstehe die Not, die jetzt auftritt und wir wollen versuchen, das in aller Ruhe über die Bühne zu ziehen.»
dpa