Zusammen mit dem Landesrechnungshof fordert der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern die Landesregierung dazu auf, den Schutz der von ihr verarbeiteten personenbezogenen Daten sicherzustellen. „Eine Vielzahl der in diesem Land genutzten Betriebssysteme, Büro-Anwendungen oder auch Videokonferenzlösungen lässt sich nicht betreiben, ohne dass personenbezogene Daten an Dritte abfließen“, sagt Behördenchef Heinz Müller. „Für diese Datenabflüsse gibt es keine hinreichende Rechtsgrundlage.“ Anstatt weiterhin auf eine Bund-Länder-Lösung zu warten, sei nun unverzügliches Handeln gefragt.
Bereits im Juli 2020 habe der Europäische Gerichtshof (EuGH) in seinem Urteil zum so genannten Privacy Shield eine wesentliche Rechtsgrundlage für die Übermittlung personenbezogener Daten in die USA für unwirksam erklärt. „Betroffen sind davon unter anderem Produkte der Firma Microsoft“, sagt Müller. Eine rechtskonforme Nutzung dieser Produkte allein auf der Basis von Standarddatenschutzklauseln sei aber aufgrund der vom EuGH aufgestellten Grundsätze nicht möglich. Ohne weitere Sicherungsmaßnahmen würden personenbezogene Daten an Server mit Standort in den USA übermittelt. Dort sähen diverse Vorschriften die Herausgabe der Daten an Behörden und Geheimdienste vor, ohne dass den Betroffenen hinreichende Rechtsschutzmöglichkeiten zur Verfügung stünden.
Landesrechnungshof und Landesdatenschutzbeauftragter sind sich einig: Kann die Übermittlung personenbezogener Daten nicht unterbunden werden oder ist sie für die Nutzung einer Anwendung oder eines Dienstes funktionsnotwendig, hat die Landesregierung durch geeignete Maßnahmen sicherzustellen, dass entweder der Personenbezug aufgelöst (z.B. durch Anonymisierung) oder die Daten nach dem Stand der Technik verschlüsselt werden. Wenn das nicht geht, ist die Verarbeitung einzustellen oder ein alternatives Produkt einzusetzen, welches die Anforderungen der Datenschutz-Grundverordnung erfüllt. Müller: „Das mag für viele nun überraschend kommen, aber die Probleme, vor denen wir stehen, sind seit langem bekannt. Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder hat schon im Jahr 2015 auf die Gefahren hingewiesen [1], die sich aus dem zunehmenden Angebot cloud-gestützter Betriebssysteme und Anwendungen ergeben. Da sich die großen Anbieter in dieser Hinsicht nicht zu bewegen scheinen, bleibt letztlich nur der Rückgriff auf Open-Source-Produkte, um den Datenschutz und auch die digitale Souveränität [2] der Landesregierung zu wahren.“

Quellen

[1] https://www.datenschutz-mv.de/static/DS/Dateien/Entschliessungen/Datenschutz/Ent_CloudOSRisiken.pdf
[2] https://www.datenschutz-mv.de/static/DS/Dateien/Entschliessungen/Datenschutz/20200922_Ent_digitale_Souveraenitaet.pdf