Thought Leadership

Image
Datenschutz und Windows
Microsoft-Programme und der Datenschutz: Es gibt eine Lösung!

Von DC Mitglied Detlef Schmuck, Geschäftsführer TeamDrive

Microsoft-Programme wie Windows, Office, 365 oder Teams lassen sich entgegen manchen Behauptungen sehr wohl im Einklang mit der Datenschutz-Grundverordnung (DSGVO) einsetzen. Allerdings muss dazu der mit den Programmen eng verwobene US-Clouddienst OneDrive konsequent durch einen DSGVO-konformen deutschen Clouddienst wie TeamDrive ersetzt werden. Die Tatsache, dass der Deutsche Anwaltverein (DAV) unter der Bezeichnung „TeamDrive DAV“ seinen Mitgliedern die Nutzung empfiehlt, ist als Beweis dafür zu sehen, dass die Software den Anforderungen nach § 203 StGB entspricht, also für Berufsgeheimnisträger geeignet ist. Damit genügt sie über die DSGVO hinaus auch den Sicherheitsanforderungen für den Einsatz in den deutschen Unternehmen und Behörden.

EuGH kippt transatlantischen Datenschutz zweimal

Schon am 6. Oktober 2015 hatte der Europäische Gerichtshof (EuGH) das damalige transatlantische Datenschutzabkommen „Safe Harbor“ für ungültig erklärt. Der daraufhin als Nachfolgeabkommen in Kraft getretene „EU-US Privacy Shield“ wurde vom EuGH am 16. Juli 2020 gekippt.

Spätestens seit Mitte 2020 ist somit klar: Es gibt keine Rechtskonformität mit der europäischen und damit auch mit der deutschen Datenschutz-Gesetzgebung, wenn personenbezogene Daten in den USA oder bei einem US-basierten Clouddienst gespeichert werden. Das bringt alle hiesigen Anwender von US-Software in die Bredouille. Davon betroffen ist natürlich auch die Öffentliche Verwaltung – und zwar gewaltig, weil über beinahe alle Behörden hinweg Microsoft-Software im Einsatz ist. Besondere Brisanz hat die Situation dadurch erhalten, dass der Unterarbeitskreis der Datenschutzkonferenz von Bund und Ländern (DSK), der sich speziell mit Microsoft 365 (früher Office 365) befasst, zu einem vernichtenden Urteil kommt: Die Programmsuite mit Word, Excel, PowerPoint und Teams sowie dem Cloudspeicher OneDrive lässt sich demnach nicht DSGVO-konform verwenden. Wenn man die dahingehende Analyse von 2019 im Auftrag des Bundesinnenministeriums berücksichtigt, nach der 96 Prozent aller Behörden Produkte aus dem Microsoft-Office-Paket verwenden, wird die Dimension dieses Dilemmas deutlich. Es wird ebenfalls klar, warum eine Lösung, die den Einsatz von Microsoft bei gleichzeitiger Konformität zur hiesigen Gesetzgebung erlaubt, für die Öffentliche Verwaltung von immenser Bedeutung ist.

Microsoft ohne OneDrive-Cloud ist DSGVO-konform

Um die Microsoft-Programme hierzulande gesetzeskonform zu verwenden, bedarf es detaillierter technischer Einstellungen an der Software, damit die Datenhaltung konsequent aus den USA herausgehalten wird. Dazu muss man bei der Konfiguration darauf achten, dass alle schutzwürdigen Daten entweder lokal gespeichert oder in einer rein deutschen Cloud wie TeamDrive abgelegt werden. Insbesondere gilt es, den Microsoft-eigenen US-Datendienst OneDrive von den Installationen fernzuhalten.

Um eine dauerhaft gesetzeskonforme Installation zu erreichen, ist eine regelmäßige Überprüfung erforderlich, weil Microsoft mit jedem Update bei jedem Programm die Gelegenheit erhält, OneDrive neu einzuschleusen oder sonstige Einstellungen zu ändern. So gibt es beispielsweise konkrete Hinweise darauf, dass Microsoft beim Update von Windows 10 seinen US-Clouddienst automatisch einspielt. Die Datenschutzbeauftragten müssen also regelmäßig überprüfen, ob die Firmen und Behörden noch gesetzeskonform zur Datenschutz-Grundverordnung arbeiten. Da ist keine leichte Aufgabe, aber angesichts der enormen Verbreitung der Microsoft-Programme und der dadurch erreichten Produktivität und Vereinfachung in der Öffentlichen Verwaltung wohl unerlässlich.

Cloud und Rechenzentrum unter deutscher Kontrolle

Es genügt übrigens keineswegs, nur darauf zu achten, die Daten in einem Rechenzentrum zu speichern, das in Deutschland steht. Vielmehr ist es wichtig, dass es sich sowohl beim Anbieter des Clouddienstes als auch beim Betreiber des Rechenzentrums um rein deutsche Unternehmen handelt, ohne US-Muttergesellschaft.

Darüber hinaus ist es von Bedeutung, dass die Daten durchweg von Ende-zu-Ende verschlüsselt werden. Hackerattacken, Datendiebstähle, Ransomware und ähnliche Angriffe nehmen schließlich immer mehr zu – völlig unabhängig davon, wo Datenbestände abgelegt werden. Nur durch eine konsequente Ende-zu-Ende-Verschlüsselung ist gewährleistet, dass die behördlichen Daten selbst dann nicht lesbar sind, wenn sie versehentlich in falsche Hände geraten. Dabei ist eine Zero-Knowledge-Sicherheitsarchitektur essenziell. Das bedeutet, dass selbst der Cloudbetreiber keine Zugangsschlüssel zu den Datenbeständen besitzt, denn was nicht vorhanden ist, kann auch nicht angegriffen oder entwendet werden. Mit anderen Worten: Nur die dazu befugten Behörden können bei einer Zero-Knowledge-Ende-zu-Ende-Hochsicherheitsarchitektur ihre Verwaltungsdaten lesen und verarbeiten – sonst niemand.

Trennung von Programmen und Daten als einziger Ausweg

Einen anderen Weg als die konsequente Trennung von Programmen einerseits und der DSGVO-konformen hochsicheren Datenspeicherung bei einem rein deutschen Anbieter andererseits wird es nicht geben. Zwar ist zu erwarten, dass die US-Anbieter mit immer neuen Datenschutzklauseln, Gutachten, Testaten und der Verlagerung von Cloudkapazität nach Deutschland versuchen werden zu beweisen, dass ihre Angebote ebenfalls DSGVO-konform sind. Doch US-Konzerne wie beispielsweise Microsoft unterliegen letztlich der US-Gesetzgebung und der Europäische Gerichtshof hat 2020 erneut klipp und klar entschieden, dass der niedrige US-Datenschutz mit den hohen europäischen Anforderungen an den Schutz personenbezogener Daten unvereinbar ist. Hier ist insbesondere der US Cloud Act zu nennen, der US-amerikanische Internetfirmen und IT-Dienstleister seit 2018 verpflichtet, US-Behörden auch dann Zugriff auf gespeicherte Kundendaten zu gewähren, wenn die Speicherung außerhalb der USA erfolgt, also beispielsweise in Deutschland. Die US-Behörde kann dem Dienstleister sogar verbieten, seine Kunden über einen solchen Zugriff zu informieren.

Diese grundlegende Lücke zwischen den Vereinigten Staaten von Amerika und der Bundesrepublik Deutschland kann weder Microsoft noch ein anderer US-Anbieter überbrücken, auch nicht mit noch so vielen juristischen Spitzfindigkeiten. Es empfiehlt sich daher für deutsche Unternehmen und Behörden, denselben rechtssicheren Weg zu gehen, den der Deutsche Anwaltsverein DAV mit seinem Angebot „TeamDrive DAV“ vorgezeichnet hat.

Wie ein Fisch ohne Wasser

Eine Deglobalisierung der IT ist im Übrigen nicht nur aus Gründen des Datenschutzes geboten, sondern auch aufgrund zunehmender Unwägbarkeiten in den transatlantischen Beziehungen. So besteht bei einer Datenspeicherung unter US-Kontrolle nicht nur die Gefahr, dass US-Behörden Zugriff auf die Datenbestände deutscher Firmen und Verwaltungen nehmen, sondern zumindest potenziell auch das Risiko, dass sie diese Daten sperren. Wenn man sich die Sanktionspolitik der US-Regierung vergegenwärtigt, lässt sich die Drohung, den Zugriff auf Daten zur Durchsetzung politischer oder wirtschaftlicher Interessen schlichtweg zu verweigern, nicht ausschließen – auch dann nicht, wenn die Daten in Rechenzentren in Deutschland gespeichert sind, sofern sie einer US-Kontrolle unterliegen. Und eine Firma oder eine Verwaltung ohne Daten ist wie ein Fisch ohne Wasser.