Kommentar: Die Bundesagentur für Arbeit liebt O365 und wir sind alle drin

Mit Erschrecken habe ich neulich im Fediverse diesen Link zu LinkedIn und einem Statement des CIO der Bundesagentur für Arbeit gefunden.

Stolz wird verkündet, dass ab Januar 2024 die Bundesagentur für Arbeit Microsoft Office 365 ausrollen wird und das keine 21 Wochen nach Bekanntgabe des Angemessenheitsbeschlusses zwischen den USA und der EU.

Dabei werden zusätzich noch namentlich alle Kollegen verlinkt, die das Thema vorangetrieben haben inkl. der Deutsche Rentenversicherung Bund.

Ein Nutzer hat daraufhin bei Frag den Staat eine Anfrage gestellt, in dem er einen Bericht über die im Rahmen dieses Einführungsprojekts durch die BA durchgeführte Datenschutzfolgenabschätzung nach Art. 35 DSGVO fordert. Die Bundesagentur für Arbeit hat Stand heute noch keine Stellungnahme dazu bezogen, jedoch kann dieser Anfrage per RSS-Feed gefolgt werden.

Die DSK hat mehrfach Microsoft Office 365 als bedenklich eingestuft und auch der Datenschützer Max Schrems hat schon mehrfach durchblicken lassen, dass es vermutlich eine dritte Runde geben wird, um auch diesen Beschluss wieder zu stoppen.

Das Problem dabei: Nutzer können sich dem nicht entziehen - außer sie wandern aus, aber selbst dann werden Daten in der Microsoft Cloud landen.

Die Bundesagentur für Arbeit speichert die Daten nahezu aller Bürger in Deutschland, unabhängig davon, ob sie erwerbstätig sind (Zahlung der gesetzlichen Arbeitslosenversicherung über die Lohnabrechnung) oder nicht und entsprechend gemeldet sind. Auch hier gibt es keine Alternative, an die sich Bürger/unfreiwillige Kunden wenden könnten.

Gerade wenn man für so viele Daten verantwortlich ist, wissend, dass es keine Alternative gibt und die Leute dafür mehr oder weniger auch noch Steuern zahlen, sollte man nicht unbedingt eine Software wählen, vor der mehrfach gewarnt wurde, die auf rechtlich wackeligen Beinen steht und die Daten in ein Drittland außerhalb der EU weiterleitet - zumal die Daten bei der Bundesagentur für Arbeit sehr sensibel sein können (Passnummer, Sozialversicherungsnummer, Bewerbungsunterlagen etc.).

10 „Gefällt mir“

Manchmal frag ich mich warum ich mir wegen Datenschutz überhaupt noch Gedanken mache.

Und ich sehe auch MS365 und das neue Outlook auch immer öfter leider. Keinen scheints zu interessieren.

5 „Gefällt mir“

Welche praktikable alternative gibt es denn, die dem Bürger weniger kostet und einfacher umgesetzt werden?

So ziemlich jede. Ich bin als externer Consultant bei der BA unterwegs. Die Summen, die an MS und Oracle fließen gehen IMHO auf keine Kuhhaut. Siehe auch https://www.zdf.de/nachrichten/politik/deutschland/it-open-source-bundesregierung-kleine-anfrage-100.html

Geben Sie einer OpenSource-Consulting-Firma einfach mal 20 Millionen + Matrix Foundation. In weniger als einem Jahr steht in der BA was besseres als die jetzigen Strukturen, die auch nur teilweise um Teams ergänzt werden.

Wenn(!) man das Budget in Matrix/Element/WebRTC gesteckt hätte (und das schon lange, intern nutzen wir bei der Ba Skype4Business, der Leidensdruck ist extrem hoch!). Zudem gibt es da Initiativen, siehe auch https://media.ccc.de/v/fsck2023-56096-deutschland-in-der-matrix (insbesondere ab 12:20).

Das ist aber immer das Problem: Für Lizenzen ist Geld da. Aber wenn Integrationen + Betrieb einer Alternative in Summe weniger Kosten wird das dennoch nicht wahrgenommen und man bekommt halt genau gar kein Geld. Man merkt immer, dass eigentlich schon vorab Entscheidungen getroffen wurden, bevor Designs und Budgets verhandelt werden. Das Ankering ist extrem und Auswahl oder Evaluierung in Behörde oft so Ergebnisoffen wie ein Inquisitionsprozess.

Daher einmal Gegenfragen:

  1. Inwiefern ist es sinnvoll, die bereits bestehenden Messenger-Bemühungen anderer Ressorts zu untergraben?

  2. Inwiefern war es sinnvoll, wegen MS-Zentriertheit die internen und externen MA mehrer Jahre in der Skype-Steinzeit zu lassen und zahlreiche parallel-Welten (notgedrungen) zu schaffen, insbesondere zig RocketChats etc. pp. in der BA?

  3. Microsoft kratzt an der 50%-Marke bezüglich Eigenkapitalrendite. Inwiefern sollten Steuermittel dazu benutzt werden, die Abhängigkeit (anders kann man solche Quoten nicht erklären) weiter zu fördern?

  4. Bei der BA handelt es sich um KRITIS und die größte Sozialbehörde der EU (wenn nicht der Welt). Finden Sie es sinnvoll, dass die gesamte interne Kommunikation von Dritten in Drittstaaten ggf. sogar ohne Insider sabotiert werden könnte im Krisenfall?

  5. Inwiefern passt die Teams-Einführung zur im Koalitaionsvertrag der Bundesregierung festgeschriebenen Förderung und Bevorzugung von OpenSource? (Anmerkung: Die Evaluierung an der BA hinsichtlich Alternativen kann ich mir richtig gut vorstellen. Wahrscheinlich direkte Vergleichs-Slides von den etablierten Anbietern xD)

11 „Gefällt mir“

Danke für deinen wertvollen Beitrag.

Ich war des öfteren schon auf der anderen Seite, also ein Unternehmen für das ich tätig war (Open Source Lösungen) hat „versucht“ im Ausschreibungsprozess teilzunehmen. Leider scheint es nicht einmal so einfach zu sein, selbst wenn beide Seiten wollen würden (z. B. Umstellung auf Matrix etc.).

Wir können uns auch gerne einmal Vernetzten. Ich habe ähnliche Erfahrungen aber auch vllt. auch manchmal Workarounds.

Disclaimer: Ebenfalls Firmeninhaber und OSS-Platzierer in Ausschreibungen oder auch mal als Architekt :smiley:.

Wäre ja schön wenn es so einfach ginge.
Das Thema gab es hier im Forum schon mal.

Der Gedanke war, die EU bezahlt Opensource Projekte damit ein Betriebssystem für Desktop und Smartphone, eine Office Suit wie MS 365 sowie eine digitale europäische Bezahlmethode ohne US Unternehmen entstehen können.

Focus auf Sicherheit und Datenschutz.

Wurde sehr schnell im Forum als nicht mach bar / nicht gewünscht abgestempelt.

Vllt kannst du ja passende Vorschläge bringen.

Ein Gegenargument war, wer garantiert das der Staat oder die EU nicht Daten abgreifen.

Oder wie soll die Umstellung mit der freien Wirtschaft klappen?

Möchte das ganze nicht noch mal durch kauen.

Ich glaube, da spielt weniger der Beschluss eine Rolle als eine mögliche Zusicherung seitens MS, die gesamte für den Betrieb notwendige Infrastruktur im EU-Rechtsraum zu betreiben. IMO können amerikanische Behörden auch bei einem Auslandssitz eines US-Unternehmens auf die Daten zugreifen (CLOUD Act), aber nach bestimmten Auslegungen der DSGVO scheint akzeptiert zu werden, dass ein „hosted in Europe“ als geeignete „technisch-organisatorische Maßnahme“ gilt, zumal dann, wenn das vertraglich zugesichert wurde. Aber auch ich stochere hier zugegebenermaßen ziemlich im Dunkeln :unamused:

Ja, dieses Festhalten an Closed-Source ist schon lange keine Posse mehr, nicht einmal ein Trauerspiel. Es ist ein Horror-Schocker.
Siehe auch https://www.pc-fluesterer.info/wordpress/2023/02/11/wollt-ihr-die-totale-pkz-so-nicht/
Über die Gründe kann man trefflich spekulieren. Einen Ansatz dafür bietet diese Dokumentation: https://yt.artemislena.eu/watch?v=_7583HNrZJs

https://cryptpad.fr/code/#/2/code/view/e0pN27EWIFaq-N+gtZf-GUtCSaF8cVQXwrp2dXZ5CKE/embed/present/

eine sehr lange liste mit Artikeln und News bezüglich MS365…

Das Problem an der Geschichte ist nicht das es OpenSource ist, sondern vielmehr um den Weiterbetrieb hinterher. Negativbeispiel…München mit ihrem gescheiterten LiMux (https://www.heise.de/news/Endgueltiges-Aus-fuer-LiMux-Muenchener-Stadtrat-setzt-den-Pinguin-vor-die-Tuer-3900439.html)
Daher sträuben sich die meisten davor auf OpenSource zu setzen, da viele eben nur diese eine Welt von MS kennen.

1 „Gefällt mir“

Das Thema ist komplexer.

Erstens: Menschen sträuben sich gegen jede Veränderung.

Zweitens: Bei jeder Veränderung gehen anfangs Sachen schief. Wie die Betroffenen mit den auftretenden Probleme umgehen, hängt sehr davon ab, ob und wie sie in den Veränderungsprozess einbezogen werden. Da gab es wohl in M, wie in den meisten solcher Change-Prozesse in der IT, erhebliche Defizite. Die folge ist, dass die Mitarbeiter aufmucken und die Schuld bei irgendetwas Äußerem suchen, das sie identifizieren können. In diesem Fall war es eben Linux.

Drittens: Der neue OB wollte unbedingt zu M$ zurück, weil die Firma ihn damit geködert hat, ihre (Steuern versprechende) Deutschland-Zentrale vom Umland in die Stadt M zu verlegen.

Viertens: Der OB hat dann gerne den üblichen Unmut der Mitarbeiter genutzt, um LiMux weg zu argumentieren.

2 „Gefällt mir“

Klar spielen auch die Faktoren eine Rolle ohne Frage. Wer kennt es nicht, dass sich so mancher nicht eingebezogen gefühlt hat und nur denn Krümeln gesucht hat. Das kommt vor und ist auch menschlich.

Das hätte man besser aufsetzen können, vielleicht auch sogar müssen. Letztendlich ist das Projekt gescheitert. Welche Gründe das jetzt eine Rolle gespielt hat oder nicht kann ich nicht sagen. Es werden mehrere Faktoren gewesen sein, aber mir sind sie unbekannt.

Danke aber für deine Ergänzung an der Stelle. Du hast mit dem was du geschrieben hast natürlich auch recht.

Also neu war LiMux in München nicht mehr… nur leider ist das Projekt auch inhaltlich gescheitert am Projektmanagement und nicht nur an der Politik (übrigens nur damit sich da keiner vertut: In München regiert traditionell immer die SPD und 2014 hat selbst die grüne(!) OB-Kandidatin das Projekt kritisiert vgl. https://www.heise.de/news/Linux-in-Muenchen-Gruene-OB-Kandidatin-rudert-zurueck-ein-bisschen-2115310.html).

Dazu gab es einen (leider nur noch über Archive.org abrufbaren) Artikel mit diesem Highlight:

However, neither LiMux nor LibreOffice were pinpointed as the source of these problems, with the consultants instead laying the blame on the fragmented nature of how IT is managed at Munich, with responsibility split between more than 20 separate organizations throughout the city. Indeed, the minority of Windows machines used by the council also suffered from software being outdated and buggy, with the blame again placed on inconsistent management procedures across these multiple sub-departments.

https://web.archive.org/web/20171208143208/https://www.techrepublic.com/article/linux-to-windows-10-why-did-munich-switch-and-why-does-it-matter/

ich habe auch noch kein umfassendes Bild von der Limux-Geschichte, aber gerade zufällig (noch mal) diese ARD-Doku von 2017 gesehen: Das Microsoft-Dilemma - Europa als Softwarekolonie (siehe dazu insb. Minute 18-24)
Da kommen u.a. die beiden OBs, jemand aus der IT in München + weitere aus dem Stadtrat zu Wort. Hinterlässt den Eindruck, dass sowohl die Microsoft-Lobbyarbeit, als auch die persönlichen Vorlieben und Gewohnheiten der politischen Akteure eine Rolle gespielt haben.

1 „Gefällt mir“