Es ist ein großer Schritt für die IT in der öffentlichen Verwaltung: Niedersachsen hat mit Microsoft einen Vertrag über den Einsatz von Microsoft Teams abgeschlossen, der die Bedenken der deutschen Datenschutzaufsichtsbehörden ausräumt! Die erzielten Ergebnisse dienen als Blaupause für den Einsatz von Microsoft 365 durch öffentliche Stellen. Voraussetzung für die Datenschutzkonformität bleibt die Durchführung einer Datenschutz-Folgenabschätzung (DSFA).
Die Verbesserungen des Data Protection Addendum (DPA) von Microsoft wurden in enger Abstimmung mit dem Landesbeauftragten für den Datenschutz in Niedersachsen verhandelt. Dabei wurden alle wesentlichen Forderungen des Landes Niedersachsen berücksichtigt und die datenschutzrechtlich kritischen „Big Points“ geklärt. Entscheidend für die DSGVO-Konformität war die Entscheidung von Microsoft, die Daten in Europa („EU-Boundary“) zu speichern und zu verarbeiten.
Mit der Entscheidung für Microsoft Teams setzt das Land Niedersachsen seine Cloud-Strategie fort. Der Rollout von Microsoft Teams soll im zweiten Quartal 2024 beginnen. Nach erfolgreichem Abschluss des Rollout wird die Anwendung im Laufe des Jahres für ca. 13.500 Arbeitsplätze zur Verfügung stehen. Die nächsten Schritte in die Cloud werden bereits geprüft.
Microsoft hat erklärt, die mit dem Land Niedersachsen vereinbarten datenschutzrechtlichen Regelungen auch bei anderen Kunden der öffentlichen Verwaltung in Deutschland zu berücksichtigen. Unklar ist allerdings, ob alle Landesdatenschutzbeauftragten die Einschätzung Niedersachsens teilen. Aus Hamburg und dem Saarland kamen zuletzt andere Signale. Es bleibt daher abzuwarten, wie die einzelnen Landesbehörden die jüngsten Anpassungen des DPA bewerten werden.
Es ist sehr zu begrüßen, dass erstmals Verträge mit Microsoft ausgehandelt wurden, die den strengen Anforderungen der Datenschutzkonferenz entsprechen. Die Anpassung des DPA ist allerdings kein Freibrief. Voraussetzung für einen datenschutzkonformen Einsatz von Microsoft Teams in Niedersachsen war die Durchführung einer Datenschutz-Folgenabschätzung mit einer Risikobewertung und verschiedenen umzusetzenden technischen und organisatorischen Maßnahmen. Unternehmen und öffentliche Stellen, die Microsoft 365 einsetzen, müssen also weiterhin selbst aktiv werden.