Die Open Source Business Alliance (OSBA) hat in einem offenen Brief an die Mitglieder des IT-Planungsrates Bedenken gegen Cloud-Verträge mit Delos, einer in Deutschland betriebenen Variante der Microsoft Azure Cloud geäußert.  Nach Erkenntnissen der OSBA übt das Bundeskanzleramt derzeit massiven Druck auf die Länder aus, damit diese unverzüglich solche Verträge abschließen.

Die OSBA schreibt im offenen Brief an den IT-Planungsrat: Während weiterhin starke datenschutzrechtliche, vergaberechtliche, sicherheitstechnische, und strategische Bedenken gegen den Einsatz der Delos-Cloud bestehen und die Föderale IT-Kooperation (FITKO) im Hintergrund an einem Umsetzungsprojekt für die Deutsche Verwaltungscloud arbeitet, sollen hier offenbar schnell Fakten geschaffen werden, nach denen es dann kein Zurück mehr gibt. Das ist hoch problematisch und steht im krassen Gegensatz zu dem, wofür die Bundesregierung angetreten ist.

Seit Jahren bestünden datenschutzrechtliche Bedenken gegen die Nutzung von Microsoft Cloud-Services durch die öffentliche Verwaltung, schreibt die OSBA. Denn das US-amerikanische Recht könne US-amerikanische Unternehmen zur Herausgabe von persönlichen Daten zwingen. Daran ändere bisher weder das “EU-US Data Privacy Framework” etwas – auch als “Angemessenheitsbeschluss” bekannt, noch der Versuch, über die Gründung von deutschen Tochterunternehmen wie Delos die Bedenken zu zerstreuen. Denn Delos verwende letztlich Microsoft-Software. Die eingesetzte Software und die Schnittstellen seien weder offen noch unabhängig überprüfbar, warnt die OSBA. Daher bleib immer die Gefahr bestehen, dass etwa über Wartungsschnittstellen, Telemetrieerfassung oder ähnliches persönliche Daten abfließen könnten oder Zugriff auf diese Daten von außen möglich sei.

Diese datenschutzrechtlichen Bedenken spiegeln sich laut der OSBA unter anderem in dem Beschluss der Datenschutzkonferenz der Länder wieder, “demzufolge Microsoft bisher keinen Nachweis darüber erbringen konnte, dass Microsoft 365 datenschutzrechtskonform betrieben werden kann. Auch eine Untersuchung der wissenschaftlichen Dienste des Bundestages habe im Januar 2024 diese datenschutzrechtlichen Probleme noch einmal dargelegt. Und der EU-Datenschutzbeauftragte habe im März 2024 sein Urteil verkündet, dass die EU-Kommission Microsoft 365 rechtswidrig genutzt und die Daten der EU-Bürger nicht ausreichend geschützt hab. Er habe der EU-Kommission auferlegt, alle Datentransfers bis Dezember 2024 auszusetzen”.

Neben den datenschutzrechtlichen Bedenken äußert die OSBA im Brief auch Sicherheitsbedenken wegen der vielen Vorfälle mit Microsoft-Software und weist darauf hin, dass wirklich souveräne Alternativen bereits verfügbar seien. “Das ITZ Bund beispielsweise hat gerade eine Vergabe zum Aufbau einer echten Private Cloud erfolgreich mit IONOS abgeschlossen. Das Unternehmen Schwarz IT, das digital souveräne Cloud-Infrastrukturen für den deutschen Einzelhandel entwickelt, baut sein Angebot immer weiter aus. Auch Unternehmen wie die Deutsche Telekom, Plusserver oder Secunet mit Syseleven (um nur einige Beispiele zu nennen) entwickeln hochsichere und wettbewerbsfähige Lösungen. All diese Unternehmen werden durch die jetzige Initiative des Kanzleramts ohne guten Grund ausgebremst.”

Auf einer Sondersitzung des IT-Planungsrates am Donnerstag, den 27. Juni 2024, soll laut OSBA ein Beschluss zu den Verträgen gefasst werden. Mit dem Brief sollen den Ratsmitgliedern die Bedenken verdeutlicht werden. Der IT-Planungsrat ist ein Steuerungsgremium von Bund und Ländern, das die Zusammenarbeit im Bereich der Informationstechnik koordinieren soll.