Die Kirchenleitung der Evangelisch-Lutherischen Kirche in Norddeutschland hat in ihrer Sitzung am 15. März 2024 die Datenschutzkonformität zum geplanten Einsatz von Microsoft 365 festgestellt. Eine Begründung, wieso Microsoft 365 als datenschutzkonform gelten soll, wurde nicht veröffentlicht.
Das Kirchengesetz über den Einsatz von Informationstechnologie sowie zur Änderung weiterer Vorschriften ist somit zum 01.04.2024 in Kraft getreten.
Das bedeutet, dass die von der Nordkirche bereitgestellten Cloud-Dienste von Microsoft zukünftig (spätestens bis 2028) von allen Kirchengemeinden und Einrichtungen der Nordkirche eingesetzt werden müssen.
Das Ziel, die IT-Infrastruktur in allen Einrichtungen und Gemeinden zu vereinheitlichen, ist nachvollziehbar und richtig. Fragwürdig ist jedoch die Entscheidung, Microsoft 365 einzusetzen. Auch wenn seit dem letzten Jahr die Datenübermittlung in die USA (wieder) legitim ist, ist erneut eine Klage gegen die rechtliche Grundlage der Datenübermittlung beim EuGH anhängig.
Sollte der EuGH seine Rechtsprechung, wie schon in den Urteilen Schrems I und Schrems II, wiederholen – was durchaus wahrscheinlich ist –, müsste die Nordkirche das Vorhaben rückabwickeln. Das wäre sowohl aus finanzieller als auch aus datenschutzrechtlicher Sicht „ein Desaster“.
Bislang war man der Ansicht, Microsoft würde mit seiner Cloud-Infrastruktur ein hohes und sicheres Schutzniveau realisieren. Das Schutzniveau ist auch sicherlich hoch – entsprechende Zertifikate stellt Microsoft „in Hülle und Fülle“ bereit (LINK).
Der seit längerem andauernde Angriff auf die Cloud-Infrastruktur von Microsoft wirft in diesem Zusammenhang aber ein schlechtes Licht auf die IT-Sicherheit und die Art des Umgangs mit dieser Problematik. Die Angreifer sind nach wie vor in der Infrastruktur von Microsoft aktiv und haben Zugriff auf die Daten der Kunden. Microsoft hat Informationen hierzu erst nach Beschwerden einzelner Kunden herausgegeben. Sogar die US-Regierung hat angekündigt, das Serverhosting bei Microsoft zu reduzieren und stattdessen andere Dienstleister einzusetzen.
Nach § 30 Abs. 3 Satz 1 DSG-EKD hat der Auftraggeber (hier die Nordkirche) den Dienstleister unter Berücksichtigung der Eignung der von ihm getroffenen Schutzmaßnahmen sorgfältig auszuwählen. Beauftragt die Nordkirche in Kenntnis der obigen Mängel im Bereich der Schutzmaßnahmen dennoch Microsoft, verstößt sie an dieser Stelle gegen das Datenschutzgesetz der EKD.
Es ist sehr wahrscheinlich, dass die kirchliche Datenschutzaufsicht gegen das Vorhaben der Nordkirche vorgehen wird.
Aus meiner Sicht, wie schon in 2023 empfohlen, sollten europäische oder deutsche Alternativen in Betracht gezogen werden. Zur digitalen Souverinität gehört auch, dass man sich nicht von einem einzelnen Anbieter abhängig macht. Die Landesregierung Schleswig-Holsteins macht es vor und setzt zukünftig auf quelloffene Systeme wie z. B. Nextcloud.