Microsoft Teams in der öffentlichen Verwaltung: Ein Überblick

Das Land Niedersachsen hat kürzlich eine datenschutzrechtliche Vereinbarung mit Microsoft zur Nutzung von Microsoft Teams abgeschlossen. Diese Entwicklung ist von großer Bedeutung für die öffentliche Verwaltung und setzt neue Maßstäbe in der Anwendung von Cloud-Diensten unter Einhaltung der Datenschutz-Grundverordnung (DSGVO). Dieser Artikel erläutert die bisher bekannten Aspekte der Vereinbarung und deren mögliche Auswirkungen für unsere Mandanten.

Datenschutzrechtliche Vereinbarungen

Data Protection Addendum (DPA)

Die Verbesserungen am Data Protection Addendum (DPA) von Microsoft wurden in enger Abstimmung mit dem Landesbeauftragten für den Datenschutz in Niedersachsen verhandelt. Dabei wurden alle wesentlichen Forderungen des Landes Niedersachsen berücksichtigt und die datenschutzrechtlich kritischen „Big Points“ geklärt. Das DPA regelt spezifische Datenschutzanforderungen zwischen Microsoft und dem Land Niedersachsen. Es enthält Bestimmungen über die Datenverarbeitung, die Speicherung und andere schutzrelevante Aspekte. Die Entscheidung, die Datenverarbeitung innerhalb der EU zu gewährleisten, ist ein wichtiger Schritt zur Sicherstellung der DSGVO-Konformität. Details zum Inhalt des DPA sind noch nicht veröffentlicht, daher bleibt die genaue Auslegung und Anwendbarkeit dieser Vereinbarung unklar.

Datenschutz-Folgenabschätzung (DSFA)

Die Durchführung einer DSFA ist eine zentrale Anforderung der DSGVO, wenn eine Form der Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. In Niedersachsen wurde eine solche Abschätzung spezifisch für die Einführung von Microsoft Teams durchgeführt. Die Ergebnisse dieser Abschätzung sind derzeit nicht öffentlich zugänglich, was die Beurteilung ihrer Angemessenheit und Vollständigkeit erschwert.

Rollout und Implementierung

Die geplante Einführung von Microsoft Teams soll im zweiten Quartal 2024 beginnen, wobei die Anwendung nach einer Pilotphase von zwei Wochen schrittweise implementiert wird. Diese schrittweise Einführung bietet die Möglichkeit, etwaige Datenschutzprobleme frühzeitig zu identifizieren und zu adressieren.

Bewertung und mögliche Auswirkungen

Für öffentliche Stellen

Microsoft hat erklärt, die mit dem Land Niedersachsen vereinbarten datenschutzrechtlichen Regelungen auch bei anderen Kunden der öffentlichen Verwaltung in Deutschland zu berücksichtigen. Unklar ist allerdings, ob alle Landesdatenschutzbeauftragten die Einschätzung Niedersachsens teilen. Aus Hamburg und dem Saarland kamen zuletzt andere Signale. Es bleibt daher abzuwarten, wie die einzelnen Landesbehörden die jüngsten Anpassungen des DPA bewerten werden. Öffentliche Stellen sollten eigene Datenschutz-Folgenabschätzungen durchführen und nicht ausschließlich auf die Verhandlungsergebnisse Niedersachsens verlassen.

Für private Organisationen

Private Organisationen, insbesondere jene, die mit öffentlichen Stellen zusammenarbeiten oder ähnliche Technologielösungen implementieren, sollten die Entwicklungen in Niedersachsen genau beobachten. Es ist ratsam, die eigenen Datenschutzpraktiken zu überprüfen und gegebenenfalls anzupassen, um eine DSGVO-Konformität zu gewährleisten.

Fazit

Die Vereinbarung zwischen Niedersachsen und Microsoft ist ein bedeutender Schritt in der Digitalisierung öffentlicher Dienste. Sie zeigt die Möglichkeit auf, moderne IT-Lösungen unter Einhaltung der strengen europäischen Datenschutzstandards zu nutzen. Es bleibt jedoch abzuwarten, wie die Umsetzung in der Praxis erfolgen wird und welche langfristigen Auswirkungen diese auf den Datenschutz in der öffentlichen Verwaltung haben wird.