Datenschutzkonferenz: Digitale Souveränität der öffentlichen Verwaltung beeinträchtigt

Verstärkt sollten laut Datenschutzkonferenz alternative Softwareprodukte sowie Open-Source-Produkte eingesetzt werden

[datensicherheit.de, 30.09.2020] Laut einer aktuellen Meldung des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI RLP) setzt sich die Datenschutzkonferenz für Digitale Souveränität der öffentlichen Verwaltung ein.

Entschließung der Datenschutzkonferenz zur Digitalen Souveränität

Vor dem Hintergrund einer wachsenden Abhängigkeit von marktbeherrschenden Softwareanbietern hat die „Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder“ (Datenschutzkonferenz, DSK) eine datenschutzpolitische Positionierung zur Digitalen Souveränität der öffentlichen Verwaltung vorgenommen. Unter Digitaler Souveränität werde hierbei die Möglichkeit verstanden, in der digitalen Welt selbstständig, selbstbestimmt und sicher agieren zu können. In der Praxis könnten viele öffentliche Verwaltungen derzeit jedoch nicht selbstbestimmt handeln, weil sie von großen Software-Firmen abhängig seien und weil in der IT-Landschaft besondere technische Zwänge bestünden.
Die DSK sehe die Digitale Souveränität der öffentlichen Verwaltung beeinträchtigt und rege daher an, verstärkt alternative Softwareprodukte sowie Open-Source-Produkte einzusetzen. Dadurch könne „die Unabhängigkeit der öffentlichen Verwaltung von marktbeherrschenden Softwareanbietern dauerhaft sichergestellt werden“, heiße es in der Entschließung, die nun vorliege und vergangene Woche auf der Datenschutzkonferenz beschlossen worden sei.

Datenschutzkonferenz verabschiedet Handlungsempfehlungen

Die DSK habe eine Reihe von Handlungsempfehlungen mit Blick auf die Digitale Souveränität verabschiedet. Konkret fordere sie Bund, Länder und Kommunen dazu auf, langfristig nur solche Hard- und Software-Produkte einzusetzen, welche „den Verantwortlichen die ausschließliche und vollständige Kontrolle über die von ihnen genutzte Informationstechnik belässt“. Kurzfristig sollten Produkte und Dienstleistungen besser datenschutzrechtlich beurteilt werden – sowohl bei der Auswahl als auch im laufenden Betrieb.
Die DSK spreche sich für Zertifizierungen aus, welche Verantwortlichen die Prüfung und Kontrolle erleichtere, wenn sie sich nicht eigenständig ein valides Bild über die komplexe Funktionsweise von Informationstechnik machen könnten. Zudem sollten Produktentwickler offene Standards nutzen, damit die Verantwortlichen auch tatsächlich in die Lage versetzt würden, „Anbieter und Produkte zu wechseln, wenn sie mit deren Produkten und Dienstleistungen die Datenschutzanforderungen nicht mehr oder nur ungenügend umsetzen können“.

„Microsoft Office 365“ – datenschutzgerechte Nachbesserungen gefordert

Die DSK habe überdies eine vorläufige Bewertung von „Microsoft Office 365“ vorgenommen und ein entsprechendes Positionspapier des Arbeitskreises „Verwaltung“ mehrheitlich zustimmend zur Kenntnis genommen. Dieses komme zu dem Ergebnis, dass auf Basis der Auftragsverarbeitungsunterlagen von Microsoft (Stand Januar 2020) kein datenschutzgerechter Einsatz von „Microsoft Office 365“ möglich sei.
Die DSK habe daher beschlossen, eine Arbeitsgruppe einzurichten, welche auf Grundlage dieser Bewertungen Gespräche mit Microsoft aufnehmen solle, um zeitnah datenschutzgerechte Nachbesserungen zu erreichen. Über die Notwendigkeit solcher Nachbesserungen bestehe in der DSK Einigkeit.

Schrems II: Datenschutzkonferenz setzt Taskforce zum EuGH-Urteil ein

Bei der DSK-Zwischentagung sei überdies beschlossen worden, zu dem wegweisenden Urteil des Europäischen Gerichtshofs (EuGH) zum Datentransfer in die USA (Schrems II) eine Taskforce zu gründen, welche eine bundesweite Abstimmung der Vorgehensweise sicherstellen und eine Strategie für die Durchsetzung erarbeiten solle.
Die DSK habe zudem ein überarbeitetes „Kurzpapier“ zum Beschäftigtendatenschutz verabschiedet: Es diene als erste Orientierung insbesondere für den nicht-öffentlichen Bereich und zeige, wie die Datenschutz-Grundverordnung im praktischen Vollzug angewendet werden sollte. Zudem fordere die DSK, die erstinstanzliche Zuständigkeit der Landgerichte für Geldbußen über 100.000 Euro zu belassen.

Weitere Informationen zum Thema:

DSK DATENSCHUTZKONFERENZ, 22.09.2020
Entschließung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder / Digitale Souveränität der öffentlichen Verwaltung herstellen –Personenbezogene Daten besser schützen

DSK DATENSCHUTZKONFERENZ, 24.09.2020
Kurzpapier Nummer14 / Beschäftigtendatenschutz

DSK DATENSCHUTZKONFERENZ, 22.09.2020
Entschließung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder / Datenschutz braucht Landgerichte auch erstinstanzlich

datensicherheit.de, 07.04.2020
Digitale Souveränität: IT-Experten sehen starke Abhängigkeiten von außereuropäischen Anbietern