Rahmenvertrag: LibreOffice und Nextcloud für EU-Institutionen

Der EU-Datenschutzbeauftragte Wojciech Wiewiórowski will EU-Institutionen den Umstieg von Microsoft-Programmen auf freie Software erleichtern. Seine Behörde hat dazu einen Rahmenvertrag mit einem Dienstleister in einem Mitgliedsstaat ausgehandelt, der allen EU-Institutionen offensteht. Es geht dabei um die Nutzung der Kollaborationslösung Nextcloud und des Büropakets LibreOffice Online. Sie sollen Nutzern die Möglichkeit bieten, in einer gesicherten Cloud-Umgebung Dateien auszutauschen, Nachrichten zu versenden, Videoanrufe zu tätigen und gemeinsame Entwürfe zu erstellen.

"Datenschutzfreundliche Alternativen"

Wiewiórowski und sein Team haben in diesem Monat einen Test der beiden Lösungen begonnen, teilte der Behördenleiter am Donnerstag mit. Sie wollen dabei in den kommenden Monaten prüfen, "wie diese Instrumente die tägliche Arbeit der EU-Institutionen unterstützen können". Diese Pilotphase sei Teil eines größeren "Reflexionsprozesses" rund um Strukturen im IT-Bereich der Verwaltung, der seit vorigem Jahr läuft. Dabei gehe es darum, EU-Einrichtungen zu ermutigen, "Alternativen zu großen Dienstleistern in Betracht zu ziehen". Dies sei wichtig, um geltende Vorschriften wie die spezielle, an die DSGVO angelehnte Datenschutzverordnung für diese Institutionen besser einzuhalten.

Durch die Beschaffung der Open-Source-Software über eine einzige Stelle in der EU werde der Einsatz weiterer Auftragsverarbeiter vermieden, wirbt die Kontrollinstanz für den eingeschlagenen Weg. So würden Datenübertragungen in Drittstaaten wie die USA vermeiden, die nach dem Aus für den Privacy Shield problematisch sind. Zudem werde eine effektivere Kontrolle über die Verarbeitung personenbezogener Daten ermöglicht.

Freie Software bietet Wiewiórowski zufolge "datenschutzfreundliche Alternativen zu den üblicherweise genutzten großen Cloud-Service-Anbietern". Lösungen wie diese können daher "die Abhängigkeit von Monopolanbietern und die nachteiligen Lock-in-Effekte minimieren". Mit dem ausgehandelten Vertrag erfülle die Behörde ihre Verpflichtungen, andere EU-Institutionen dabei zu unterstützen, "um digitale Rechte zu schützen". Man gehe hier mit gutem Beispiel voran.

Microsofts Office im Visier

Wiewiórowski prüfte die Verträge der EU-Einrichtungen mit Microsoft bereits und kam 2020 zu dem Ergebnis, dass die Zwecke der Datenverarbeitung beim Nutzen von Windows oder Microsoft Office viel zu offen definiert sind. Unterauftragsverarbeiter würden nicht ausreichend geprüft, Daten könnten ohne Kontrolle der EU-Institutionen in Länder außerhalb der Gemeinschaft übertragen werden. Er forderte damals, dass Microsoft Nutzerinformationen nur noch in der EU aufbewahren sollte. Die Rollen aller Beteiligten mit sämtlichen Rechten und Pflichten müssten klar geregelt werden. Am besten sollten sich Nutzer nach Alternativen umschauen, die "höhere Datenschutzstandards erlauben".

Im Mai 2021 startete der Datenschutzbeauftragte weitere Untersuchungen aufgrund des Einsatzes von Microsoft- und Amazon Cloud-Diensten bei EU-Einrichtungen. Diese beziehen sich etwa auf die Nutzung von Microsoft Office 365 durch die EU-Kommission. Viele einschlägige Verträge sind Wiewiórowski vor dem "Schrems-II-Urteil" abgeschlossen worden und müssten im Lichte der Rechtsprechung des Europäischen Gerichtshofs überprüft werden. Hierzulande unterstrich die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder Ende November, dass Einrichtungen wie Ämter, Schulen und Unternehmen das Office-Paket von Microsoft mit Cloud-Anschluss ohne Weiteres "nicht rechtskonform einsetzen" könnten.

(mho)