Datenschützer setzen sich für „digitale Souveränität“ der öffentlichen Verwaltung ein – Datenschutzkonferenz fasst verschiedene Beschlüsse

Pressemitteilung des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz vom 30.09.2020

Vor dem Hintergrund einer wachsenden Abhängigkeit von marktbeherrschenden Softwareanbietern hat die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) eine datenschutzpolitische Positionierung zur digitalen Souveränität der öffentlichen Verwaltung vorgenommen. Unter digitaler Souveränität wird hier die die Möglichkeit verstanden, in der digitalen Welt selbstständig, selbstbestimmt und sicher agieren zu können. In der Praxis können viele öffentliche Verwaltungen derzeit jedoch nicht selbstbestimmt handeln, weil sie von großen Software-Firmen abhängig sind und weil in der IT-Landschaft besondere technische Zwänge bestehen. Die DSK sieht die digitale Souveränität der öffentlichen Verwaltung beeinträchtigt und regt daher an, verstärkt alternative Softwareprodukte sowie Open-Source-Produkte einzusetzen. Dadurch könne „die Unabhängigkeit der öffentlichen Verwaltung von marktbeherrschenden Softwareanbietern dauerhaft sichergestellt werden“, heißt es in der Entschließung, die nun vorliegt und vergangene Woche auf der Datenschutzkonferenz beschlossen wurde.

Die DSK hat eine Reihe von Handlungsempfehlungen mit Blick auf die digitale Souveränität verabschiedet. Konkret fordert sie Bund, Länder und Kommunen dazu auf, langfristig nur solche Hard- und Software-Produkte einzusetzen, die den Verantwortlichen die ausschließliche und vollständige Kontrolle über die von ihnen genutzte Informationstechnik belässt. Kurzfristig sollten Produkte und Dienstleistungen besser datenschutzrechtlich beurteilt werden – sowohl bei der Auswahl als auch im laufenden Betrieb. Die DSK spricht sich für Zertifizierungen aus, die Verantwortlichen die Prüfung und Kontrolle erleichtern, wenn sie sich nicht eigenständig ein valides Bild über die komplexe Funktionsweise von Informationstechnik machen können. Zudem sollten Produktentwickler offene Standards nutzen, damit die Verantwortlichen auch tatsächlich in die Lage versetzt werden, Anbieter und Produkte zu wechseln, wenn sie mit deren Produkten und Dienstleistungen die Datenschutzanforderungen nicht mehr oder nur ungenügend umsetzen können.

Die DSK hat überdies eine vorläufige Bewertung von „Microsoft Office 365“ vorgenommen und ein entsprechendes Positionspapier des Arbeitskreises Verwaltung mehrheitlich zustimmend zur Kenntnis genommen. Dieses kommt zu dem Ergebnis, dass auf Basis der Auftragsverarbeitungsunterlagen von Microsoft (Stand Januar 2020) kein datenschutzgerechter Einsatz von Microsoft Office 365 möglich sei. Die DSK hat daher beschlossen, eine Arbeitsgruppe einzurichten, die auf Grundlage dieser Bewertungen Gespräche mit Microsoft aufnehmen soll, um zeitnah datenschutzgerechte Nachbesserungen zu erreichen. Über die Notwendigkeit solcher Nachbesserungen besteht in der DSK Einigkeit.

Bei der DSK-Zwischentagung wurde überdies beschlossen, zu dem wegweisenden Urteil des Europäischen Gerichtshofs (EuGH) zum Datentransfer in die USA (Schrems II) eine Taskforce zu gründen, die eine bundesweite Abstimmung der Vorgehensweise sicherstellen und eine Strategie für die Durchsetzung erarbeiten soll. Die DSK hat zudem ein überarbeitetes „Kurzpapier“ zum Beschäftigtendatenschutz verabschiedet: Es dient als erste Orientierung insbesondere für den nicht-öffentlichen Bereich und zeigt, wie die Datenschutz-Grundverordnung im praktischen Vollzug angewendet werden sollte. Zudem fordert die DSK, die erstinstanzliche Zuständigkeit der Landgerichte für Geldbußen über 100.000 Euro zu belassen.

Weitere Informationen:

– Entschließung „Digitale Souveränität der öffentlichen Verwaltung herstellen“
– Kurzpapier Nr. 14 „Beschäftigtendatenschutz“
– Entschließung „Datenschutz braucht Landgerichte – auch erstinstanzlich“