Die Einführung von Microsoft 365 in der Freien und Hansestadt Hamburg (FHH) sorgt für Diskussionen. Während die Senatskanzlei (SK) eine flächendeckende Nutzung anstrebt, bleiben entscheidende datenschutzrechtliche Fragen ungeklärt. Insbesondere die Forderungen der Datenschutzkonferenz (DSK) stehen einer vollständigen Umsetzung derzeit im Weg.
Fortschritt und Herausforderungen
Seit 2019 läuft ein Proof of Concept (PoC) für Microsoft 365 in Hamburg. Im dritten Quartal 2023 begann die Migration in produktive Umgebungen (Minimum Viable Product, MVP). Das Projekt „BestCloudBasis“ (BCB) wurde initiiert, um neben klassischen Büroanwendungen wie Word, Excel und PowerPoint auch moderne Tools wie Teams, SharePoint und OneDrive for Business zu integrieren. Diese umfassende Umstellung gestaltet die Arbeitsumgebung grundlegend neu. Allerdings konnten bis zum geplanten Produktivstart im September 2023 nicht alle erforderlichen datenschutzrechtlichen Unterlagen bereitgestellt werden.
Datenschutzrechtliche Kernpunkte
Der Hamburger Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) hat klare Bedenken hinsichtlich der datenschutzrechtlichen Konformität von Microsoft 365. Die DSK kritisierte die von Microsoft bereitgestellte Standard-Auftragsverarbeitungsvereinbarung (Data Protection Addendum, DPA) als unzureichend. Problematisch sind unter anderem:
- Löschfristen: Vertraglich unzureichend definiert.
- Unterauftragsverarbeiter: Mangelhafte Informationspflicht.
- Verarbeitung zu Geschäftszwecken: Intransparente Regelungen und unzureichende Weisungsbindung.
Diese und weitere Punkte erschweren eine datenschutzkonforme Nutzung des Tools.
Erste Anpassungen und verbleibende Risiken
Die Senatskanzlei hat erste Maßnahmen ergriffen, wie die Bereitstellung einer Datenschutzfolgenabschätzung und technischer Feinkonzepte. In Workshops zwischen HmbBfDI und SK wurden weitere Fragen zu Datenverarbeitung und Projektplanung intensiv besprochen. Dennoch bleiben zentrale Themen ungelöst. Die Übermittlung von Inhaltsdaten an Microsoft, etwa durch sogenannte Connected Experiences, birgt weiterhin Risiken.
Offene Fragen und Ausblick
Für Behörden mit hohem Schutzbedarf fehlen bislang spezifische Lösungsansätze. Auch eine Backup-Strategie für den Fall, dass Microsoft 365 nicht alle Anforderungen erfüllt, ist nicht kommuniziert. Der HmbBfDI fordert eine detaillierte Evaluierung und transparente Planung, um rechtliche und technische Risiken zu minimieren.
Wir stehen Ihnen beratend zur Seite
Der Einsatz von Microsoft 365 bietet viele Chancen, birgt jedoch auch erhebliche Herausforderungen. Wir helfen Ihnen, die datenschutzrechtlichen Anforderungen zu bewältigen und eine sichere Implementierung zu gewährleisten.