Seit beinahe drei Jahren hangeln sich der Bundesdatenschutzbeauftragte und seine sechzehn Kollegen aus den Ländern mit dem Unternehmen Microsoft um die Frage, ob Landes- und Bundesbehörden, die kommunale Verwaltung oder öffentliche Einrichtungen wie Schulen und Universitäten Cloud-basierte Produkte des Anbieters aus Redmond einsetzen dürfen. Microsoft möchte – wen kann das überraschen – natürlich ein großes Paket mit der öffentlichen Hand in Deutschland schnüren. Und die Datenschützer blockieren das wegen einiger Bedenken zum Datenschutz im Allgemeinen und zur Konformität mit der Datenschutz-Grundverordnung im Besonderen.
Der Streit schwelt, seit in den Vereinigten Staaten nur wenige Wochen nach dem Terroranschlag auf das World Trade Center der sogenannte US Patriot Act unter der Präsidentschaft von George W. Bush verabschiedet wurde, der einerseits die Rechte von US-Bürgern und Einreisenden aus der EU einschränkt, sondern andererseits auch US-Behörden wie dem FBI, der NSA oder der CIA nicht nur den Zugriff auf die Server von US-Unternehmen ermöglichta. Auch ausländische Tochterfirmen – wie zum Beispiel die Deutschlandniederlassungen von Microsoft, Google, Amazon oder Apple, sind nach dem US-Gesetz verpflichtet, Zugriff auf ihre Server zu gewähren; selbst dann, wenn lokale Gesetze dies untersagen. Und genau so ist es: In allen Fällen, in denen personenbezogene Daten auf Servern von US-Töchtern gespeichert werden, verstößt dies theoretisch und putativ gegen deutsches und europäisches Recht. Das hat auch der EuGH in zwei Urteilen nach Klagen des österreichischen Datenschutz-Aktivisten Max Schrems bestätigt – auch, nachdem der Patriot Act 2015 durch den sogenannte US Freedom Act abgelöst wurde. Der Freedom Act zielt also auf das exakte Gegenteil von Freiheit – deren Einschränkung nämlich.
Da Microsoft seine Lösungen wie Windows, Office oder Teams aus der Cloud anbietet, ist die Problematik nun für die gesamte Microsoft-Palette anhängig. Hinzu kommt, dass Microsoft durch Monitoring zum Beispiel Nutzungsdaten mitschreibt, die für einen besseren Schutz gegen Cyber-Angriffe, zur Fehlerbehebung und zur Performance-Messung verwendet werden. Den Datenschützern geht das zu weit – beziehungsweise gehen ihnen die Beteuerungen von Microsoft, die Daten nur für die genannten Zwecke zu verwenden, nicht weit genug.
Deshalb wurde ein Gutachten (an eine nicht näher identifizierte Stelle) in Auftrag gegeben, das die Einsatzmöglichkeiten von Microsofts Cloud-Lösungen unter Datenschutzgesichtspunkten in Behörden untersucht. Das Gutachten liegt jetzt vor – und wird unter Verschluss gehalten. Der Tech-Redaktion von golem.de ist es zu verdanken, dass diese Geheimniskrämerei jetzt öffentlich wird. Sie hatte im Rahmen des Transparenz-Gesetzes um Freigabe des Gutachtens gebeten.
Abgesehen von formaljuristischen Aspekten gibt es eine zentrale Begründung für die Ablehnung: Man würde die Verhandlungsposition gegenüber Microsoft schwächen, wenn jetzt Details aus dem Gutachten zur Rechtskonformität der Microsoft-Produkte aus der Cloud veröffentlicht würden. Aber ist das nicht gerade der Geist der Transparenz-Gesetze, dass durch Veröffentlichung geheim gehaltener Informationen Chancengleichheit hergestellt wird und die Position der privaten Wirtschaft gegenüber dem staatlichen Machtapparat gestärkt werden kann? Oder haben wir da was missverstanden?
Nun ist es gar nicht mal wahrscheinlich, dass das Gutachten zu einem anderen Ergebnis kommt als dem, dass die durch die US-Gesetzgebung geschaffene Schieflage bestätigt wird. Demnach wären Cloud-Produkte von US-Anbietern immer noch nicht rechtskonform, gemessen an den Standards der DSGVO. Im Schreiben der nordrhein-westfälischen Datenschützer, das die Verweigerung der Herausgabe begründet, wird allerdings von einer „Reduzierung“ der Standards gesprochen, so dass die Datenschützer offensichtlich Verhandlungsbereitschaft signalisieren, wenn die Gegenseite – also Microsoft Deutschland – sich ebenfalls entgegenkommend zeigt.
Das Absurde an der Situation ist aber, dass niemand die Behörden zwingt – oder zwingen kann – Microsoft-Produkte einzusetzen oder ganz grundsätzlich Cloud-basierte Lösungen von wem auch immer zu nutzen. Es ist aber nun mal die Verbeugung vor den Vorzügen der Cloud, dass auch die deutschen Behörden nach langem Weigern nun endlich in die Cloud wollen und eine allgemein verfügbaren Lösung für ihre Geschäftsprozesse und die Kommunikation mit Bürgern und Unternehmen nutzen wollen. Raus aus dem Fax-Zeitalter, rein in das Digital Age: Auf diesem Niveau befindet sich die IT im behördlichen Deutschland – da ist von Aufholjagd im digitalen Ranking der europäischen Länder nun wirklich noch nicht die Rede.
Es ist aber auch ein zweites: Nach den jahrzehntelangen Debatten um Open Source – angefangen bei Unix und nicht enden wollend bei Apache Open Office – verbeugen sich die öffentlich-rechtlichen Nutzer vor der Attraktivität der Microsoft-Angebote. Niemand muss die Angebote aus Redmond kaufen oder nutzen. Aber mit der Bereitstellung von KI-Funktionen durch die ChatGPT-gestützten Copiloten hat Microsoft binnen weniger Monate eine völlig neue Anwendungs-Suite geschaffen, deren Produktivitätsvorteile auch einen Bürokratie-Moloch wie die deutschen Behörden nicht kalt lassen kann.
Mein Vorschlag: Hört auf mit dem Rumeiern. Der Vorteil für die deutsche Wirtschaft, wenn die Behörden aus dem Fax-Zeitalter in die Ära der künstlichen Intelligenz durchstarten würden, wäre ungemein größer als der potenzielle (und ohnehin hypothetische) Schaden. Wenn der deutsche Mittelstand jetzt Tempo aufnimmt, sollte er nicht durch deutsche Behörden wieder ausgebremst werden. Geheimniskrämerei ist jetzt das absolut falsche Signal. Es dient nicht dem Datenschutz, sondern dem Bestandsschutz der ewig Gestrigen.