Microsoft oder Open Source? Diese Frage beschäftigt die öffentliche Verwaltung schon seit Jahren. Aufgrund der föderalen Strukturen der Bundesrepublik Deutschland hat es aber bisher keine eindeutige Antwort gegeben. Dass im Koalitionsvertrag einerseits die Verpflichtung verankert ist, mit Open Source die digitale Souveränität zu stärken, die aber bislang nicht im geplanten Umfang eingehalten wurde, ist beredter Ausdruck des Zweispalts.

Nachdem in der Pandemie das Thema mit der Notwendigkeit für Homeschooling und der Frage, welche Tools dafür geeignet wären und mehreren konträren Stellungnahmen von Landesdatenschutzbeauftragten richtig hochkochte, kühlte es anschließend etwas ab. Zwar wurden trotz einiger Maßnahmen von Microsoft die Bedenken nicht geringer, aber andere Themen bestimmten die Diskussion.

Jetzt wurde die nächste Runde eingeläutet. Nur wenige Wochen, nachdem Schleswig-Holstein angekündigt hat, sich von Microsoft abzuwenden und auf Open Source zu setzen, geht Niedersachsen nahezu den entgegengesetzten Weg: Das Land will nicht nur selbst in der Landesverwaltung auf Microsoft Teams setzen, sondern sieht sich dabei auch als Vorbild und Vorreiter für andere Bundesländer.

Was Niedersachsen plant

Horst Baier, CIO des Landes Niedersachsen, hat die Ressorts der Niedersächsischen Landesregierung über eine datenschutzrechtliche Vereinbarung mit Microsoft zur Nutzung von Microsoft Teams informiert. In Abstimmung mit dem Landesbeauftragten für den Datenschutz in Niedersachsen seinen kritische "Big Points" des Datenschutzes verhandelt und geklärt worden.

"Das Ergebnis der umfangreichen Verhandlungen mit Microsoft wurde für Niedersachsen in einer Anpassung der Datenschutzvereinbarungen (Data protection addendum, DPA) festgehalten", teilt das Niedersächsische Ministerium für Inneres und Sport mit. "Eine Voraussetzung für die datenschutzkonforme Umsetzung war die Entwicklung einer auf das Land bezogenen Datenschutzfolgeabschätzung mit einer Risikoabschätzung und diversen umzusetzenden technischen und organisatorischen Maßnahmen. Maßgeblich für die DSGVO-Konformität von Teams war die Entscheidung von Microsoft, die Daten in Europa zu speichern und zu verarbeiten ('EU-Boundary'). Alle wesentlichen geforderten Punkte des Landes Niedersachsen wurden berücksichtigt."

Entscheidung ist Startschuss für weitere Cloud-Pläne

Innenstaatssekretär Stephan Manke verspricht sich durch die Nutzung von Microsoft Teams einen "echten Innovationsschub". Insbesondere die Integration in vorhandene Anwendungen zur Bürokommunikation, die Nutzerfreundlichkeit, die Sicherheitsfunktionen und die ausgestaltete Barrierefreiheit seien wesentliche Argumente für die Entscheidung gewesen. Die nächsten Schritte in die Cloud würden in Niedersachsen jetzt geprüft. Nordrhein-Westfalen hat den Prozess schon hinter sich. Dort ist die Entscheidung für den deutschen Cloud-Anbieter Ionos gefallen. Der konnte sich kürzlich auch bei einem Großauftrag des Bndes durchsetzen.

"Alle Erfahrungen und auch Sicherheitsaspekte sprechen für den Cloud-Einsatz - je nach Einsatzzweck durch eigen betriebene Cloud-Angebote oder durch Nutzung von Anwendungen großer kommerzieller Anbieter", betont Niedersachsens Landes-CIO Horst Baier. "Langfristig sind auch positive Effekte auf die Betriebskosten von Rechenzentren zu erwarten. Der Fachkräftemangel fordert darüber hinaus, dass wir uns mit unseren Mitarbeiterinnen und Mitarbeitern auf die fachlichen Aufgaben konzentrieren. IT aus der Steckdose soll so weit wie möglich eingekauft werden."

Der Rollout beginnt mit einer zweiwöchigen Pilotphase. Die Bereitstellung von Microsoft Teams soll im Laufe des zweiten Quartals 2024 erfolgen. Am Ende soll die Anwendung für rund 13.500 vom Landesbetrieb IT.Niedersachsen betreute Arbeitsplätze zur Verfügung gestellt werden.

Das niedersächsische Innenministerium verspricht sich von der Vereinbarung mit Microsoft "eine Signalwirkung auf den gesamten öffentlichen Sektor in Deutschland". Denn Microsoft habe erklärt, die mit dem Land Niedersachsen vereinbarten datenschutzrechtlichen Regelungen auch beim Austausch mit allen anderen Kunden der öffentlichen Verwaltung in Deutschland zu berücksichtigen.

Was Security-Experten und Juristen kritisieren

Die Entscheidung des Landes Niedersachsen wird derzeit von Juristen und Security-Experten aus mehreren Gründen kritisch gesehen. Im März hatte der Europäische Datenschutzbeauftragte Wojciech Wiewiórowski die Frage, ob die EU-Kommission durch die Nutzung von Cloud-Services von Microsoft gegen europäisches Datenschutzrecht verstoßen habe, nach einer mehrjährigen Untersuchung (PDF) mit "Ja" beantwortet.

Ebenfalls im März hatte in den USA das Cyber Safety Review Board das - für Microsoft nicht sehr schmeichelhafte - Ergebnis seiner Untersuchung der Exchange Online Intrusion im Sommer 2023 (PDF) veröffentlicht. Außerdem kämpft Microsoft nach wie vor mit erfolgreichen Angriffen auf seine eigenen Mail- und Kommunikationssysteme.

Die Reaktionen fallen dementsprechend harsch aus. Cybersecurity-Experte und Jurist Prof. Dr. Dennis-Kenji Kipker etwa schreibt bei LinkedIn: "Selten sowas #Beknacktes und #Undifferenziertes gelesen - sorry, Land Niedersachsen".

Kurty Kurtbay, Berater für Informationssicherheit, merkt an: "Die Risikoanalyse hätte ich ja gerne mal gesehen." Pierre Gronau, ebenfalls Cybersecurity-Berater, wundert sich, wieso eine gekaufte und implementierte Lösung weggeworfen und für Microsoft Teams nochmal nochmal gezahlt wird und hätte gerne den Business Case gesehen - "ungeachtet der anderen Bedenken". Seiner Meinung nach sollten die Verwaltungen "ihre Energie in die digitale Transformation stecken und nicht in das Gleiche nochmals anders zu tun."

Immer wieder wird zwar eingeräumt, dass es Risiken gibt und Bedenken ihre Berechtigung haben - es aber eben keine wirklich vernünftigen, vergleichbaren Alternativen gebe. Das aber wollen Open-Source-Befürworter keineswegs so stehen lassen. Sie verweisen zum Beispiel auf das extra für den Public Sector zugeschnittene Angebot von OpenXchange und als Messenger-Ergänzungen unter anderem auf Rocketchat oder Hipchat vom Anbieter Atlassian. Die könnten auch selbst gehostet und via API in den eigenen Workflow integriert werden.

Manche Diskusionsteilnehmer stellen sich die Frage, ob das Land Niedersachsen einen Auftragsverarbeitungsvertrag (AVV) mit Microsoft hat oder nicht. Für Datenschutz-Auditor Fernando Fernandez ist diese Frage aber unerheblich: "Ist bloß Papier, da das was drinsteht Unsinn ist ...", so sein Verdikt.

Peter Hense, Gründer und Partner der Leipziger Kanzlei Spirit Legal, der sich zu Datenschutzfragen immer wieder engagiert und kritisch öffentlich äußert, sieht die Rolle des Landesdatenschutzbeauftragten bei der Entscheidung kritisch. Seiner Ansicht nach habe der die Augen zudrücken müssen.

Auch Barbara Thiel, die bis von 2015 bis Juni 2023 Landesdatenschutzbeauftragte von Niedersachsen war, beteiligt sich - allerdings etwas kryptisch - an der Diskussion. Sie meint: "Vielleicht mal beim LfD Niedersachsen anfragen, der dem Vernehmen nach konstruktiv mitgewirkt hat…". Sie fände es gut, wenn dessen Position in dieser Frage offen kommuniziert würde. "Eine Pressemitteilung würde da im ersten Schritt schon helfen", schreibt Thiel.

Ähnlich äußert sich auch Sicherheitsberater Gronau: "Solange die DFA [Datenschutzfolgeabschätzung], DPA [Data Processing Agreement - auf Deutsch Auftragsverarbeitungsvertrag ] und das Sicherheitskonzept nicht veröffentlicht werden, ist das eine Verschwendung von Steuergeldern."

