Alternativen zu den Datenkraken, ein langjähriges Thema.

Nicht erst seit der DSGVO ist das Thema sicherer und unabhängiger Softwarelösungen auch für Behörden ein Thema. Gesucht wird nach datenschutzrechtlichen Alternativen, also unabhängigen Lösungen. Weg von teuren und Datenschutzrechtlich oft fraglichen Verträgen mit Microsoftsoftware – vom Betriebssystem über Office und Cloudanwendungen müssen neue, praktikable Lösungen gefunden werden.

Seit Anfang 2019 untersucht die EU Datenschutzbehörde die Verträge Ihrer Behörden mit Microsoft und ob die Privatsphäre ihrer Anwender in ausreichendem Maß geschützt wird. Er bemängelte zum Beispiel, das Microsoft über seine Telemetrie-Funktion „teils ohne klare Zweckangabe zu viele persönliche Daten vor allem von Office-Nutzern sammle“ und dies sei ein  Verstoß gegen die DSGVO. Im Herbst 2019 fand zusammen mit dem niederländischen Justitzressort eine Konferenz für Administratoren aus der Verwaltung sowie Vertretern von Software. und Cloudanbietern statt.

Als Resultat wurde das „Den Haager Forum“ ins Leben gerufen.

Die Untersuchung dieses Forums zeigte Zitat: „ernsthafte Bedenken hinsichtlich der Übereinstimmung der relevanten Vertragsbedingungen mit den Datenschutzvorschriften und der Rolle von Microsoft als Auftragsverarbeiter für EU-Institutionen, die seine Produkte und Dienste nutzen. Ähnliche Risikobewertungen wurden vom niederländischen Justiz- und Sicherheitsministerium durchgeführt und bestätigten, dass die Behörden in den Mitgliedstaaten mit ähnlichen Problemen konfrontiert sind.“

EU-Datenschutzbeauftragter Wojciech Wiewiórowski hat die Verträge zwischen Microsoft und EU-Einrichtungen untersucht und sie 2020 als „zu offen definiert“ bemängelt. Er warnte davor, Microsoft-Produkte unüberlegt einzusetzen und empfahl, nach Alternativen mit höheren Datenschutzstandards zu suchen.

Im Jahr 2021 verkündete Wiewiórowski, dass viele Verträge vor dem „Schrems-II-Urteil“ abgeschlossen wurden und im Sinne der aktuellen Regeln des Europäischen Gerichtshofes neu bewertet werden müssten. Insbesondere ging es um die Nutzung von Microsoft- und Amazon Cloud-Diensten sowie Microsoft Office 365 in EU-Einrichtungen.

Seine Behörde hat nun einen Rahmenvertrag ausgehandelt, der allen EU-Institutionen offen steht und die Nutzung der Cloud-Anwendung Nextcloud und der Bürosoftware LibreOffice Online betrifft. Mit dieser Software können Nutzer Dateien austauschen, bearbeiten, Entwürfe erstellen, per Videoanruf besprechen und mehr – alles ohne teure Lizenzen und in Übereinstimmung mit der DSGVO.

Zurzeit befindet sich die Lösung in einer Testphase, um zu analysieren, wie gut sie die tägliche Arbeit der EU-Institutionen unterstützt. Das Ziel ist es, große Behörden und EU-Einrichtungen dazu zu bewegen, Alternativen zu den globalen Playern in Betracht zu ziehen und ihre speziellen, an die DSGVO angelehnten Datenschutzregeln besser einzuhalten.

 

Erläuterung zu „Schrems-II-Urteil“:

Das Schrems-II-Urteil ist ein Urteil des Europäischen Gerichtshofs (EuGH) aus dem Jahr 2020, das sich mit der Übermittlung personenbezogener Daten von Europa in die USA befasst. Es stellte fest, dass das amerikanische Überwachungsprogramm „PRISM“ und andere Überwachungspraktiken unzulässig sind und dass sie gegen die europäischen Datenschutzbestimmungen verstoßen.

Dieses Urteil hatte weitreichende Auswirkungen auf die Datenübermittlung zwischen Europa und den USA und hat dazu geführt, dass viele Unternehmen und Behörden nach Alternativen suchen mussten, um ihre Daten sicher zu übertragen.

Das Schrems-II-Urteil hat auch die Bedenken von Datenschützern und Regulierungsbehörden verstärkt, die bereits vorher gewarnt hatten, dass das Überwachungsprogramm PRISM und andere Überwachungspraktiken eine Bedrohung für den europäischen Datenschutz darstellen.