„Nutzung von Microsoft-Software durch Behörden ist illegal“ oder etwas nüchterner: „Behörden sollen unverzüglich auf Microsoft verzichten“ lauten Schlagzeilen im Zusammenhang mit einer aktuellen Pressemitteilung des Landesbeauftragten für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern, Heinz Müller.
Damit stößt der Behördenchef im Wesentlichen in dasselbe Horn wie bereits im September des vergangenen Jahres eine Arbeitsgruppe der Datenschutzkonferenz, die sich aus den Datenschutzbeauftragten von Bund und Ländern zusammensetzte. Das Thema wird darüber hinaus in mehreren Ländern der EU diskutiert, wie ein öffentliches Dokument des EDPS (European Data Protection Supervisor) zeigt. Im Fokus der Kritik der Datenschützer stehen die Cloud-Services von Microsoft, Microsoft 365, aber auch andere Betriebssysteme, Büro-Anwendungen oder Videokonferenzlösungen außereuropäischer Anbieter. Nach Ansicht der Datenschützer fließen bei der Nutzung personenbezogene Daten an Dritte ab, wofür keine hinreichende Rechtsgrundlage bestehe.
Im Herbst waren sich jedoch die Datenschützer nicht einig. Dass kein datenschutzgerechter Einsatz dieser Services möglich sei, meinten damals neun Mitglieder der Datenschutzkonferenz, bei acht Gegenstimmen. Immerhin sahen auch diese Verbesserungspotenzial, gerade im Hinblick auch das „Schrems II“ genannte Urteil zum US Privacy Shield des EuGH vom Juli 2020.
Tipps zur Umsetzung der DSGVO-Vorgaben
Allein diese Uneinigkeit zeigt, wie unterschiedlich die Einschätzung von Cloud-Services in Bezug auf die Rechtslage ist. Tipps, die verraten, worauf Unternehmen achten müssen, um Klarheit über die Rechtssicherheit der von ihnen genutzten Services zu bekommen, haben wir übersichtlich zusammengestellt. Auf dieser Seite steht auch ein kostenloser Fragebogen zur Verfügung, mit dem Cloud-Dienstleister auf eine DSGVO-konforme Datenverarbeitung überprüft werden können
Laut Heinz Müller, dem Mecklenburg-Vorpommerschen Datenschutzbeauftragten, bleibe nur ein Rückgriff auf Open-Source-Produkte, um den Datenschutz und die digitale Souveränität von Behörden zu wahren.
Die Services von Retarus – egal, ob Dienste der Secure Email Platform, der Communications Platform oder der Business Integration Platform – lassen sich sowohl mit Cloud Services kommerzieller Anbieter wie zum Beispiel Microsoft, SAP oder Oracle als auch mit Open-Source-Systemen DSGVO-konform betreiben. Alle Daten europäischer Kunden verarbeitet Retarus, sofern nicht anders vertraglich vereinbart, in selbst betriebenen Rechenzentren in Europa.