Kommentar: Die Bundesagentur für Arbeit liebt O365 und wir sind alle drin

Gastbeiträge
,
1

Mit Erschrecken habe ich neulich im Fediverse diesen Link zu LinkedIn und einem Statement des CIO der Bundesagentur für Arbeit gefunden.

Stolz wird verkündet, dass ab Januar 2024 die Bundesagentur für Arbeit Microsoft Office 365 ausrollen wird und das keine 21 Wochen nach Bekanntgabe des Angemessenheitsbeschlusses zwischen den USA und der EU.

Dabei werden zusätzich noch namentlich alle Kollegen verlinkt, die das Thema vorangetrieben haben inkl. der Deutsche Rentenversicherung Bund.

Ein Nutzer hat daraufhin bei Frag den Staat eine Anfrage gestellt, in dem er einen Bericht über die im Rahmen dieses Einführungsprojekts durch die BA durchgeführte Datenschutzfolgenabschätzung nach Art. 35 DSGVO fordert. Die Bundesagentur für Arbeit hat Stand heute noch keine Stellungnahme dazu bezogen, jedoch kann dieser Anfrage per RSS-Feed gefolgt werden.

Die DSK hat mehrfach Microsoft Office 365 als bedenklich eingestuft und auch der Datenschützer Max Schrems hat schon mehrfach durchblicken lassen, dass es vermutlich eine dritte Runde geben wird, um auch diesen Beschluss wieder zu stoppen.

Das Problem dabei: Nutzer können sich dem nicht entziehen - außer sie wandern aus, aber selbst dann werden Daten in der Microsoft Cloud landen.

Die Bundesagentur für Arbeit speichert die Daten nahezu aller Bürger in Deutschland, unabhängig davon, ob sie erwerbstätig sind (Zahlung der gesetzlichen Arbeitslosenversicherung über die Lohnabrechnung) oder nicht und entsprechend gemeldet sind. Auch hier gibt es keine Alternative, an die sich Bürger/unfreiwillige Kunden wenden könnten.

Gerade wenn man für so viele Daten verantwortlich ist, wissend, dass es keine Alternative gibt und die Leute dafür mehr oder weniger auch noch Steuern zahlen, sollte man nicht unbedingt eine Software wählen, vor der mehrfach gewarnt wurde, die auf rechtlich wackeligen Beinen steht und die Daten in ein Drittland außerhalb der EU weiterleitet - zumal die Daten bei der Bundesagentur für Arbeit sehr sensibel sein können (Passnummer, Sozialversicherungsnummer, Bewerbungsunterlagen etc.).

13 „Gefällt mir“
2

Manchmal frag ich mich warum ich mir wegen Datenschutz überhaupt noch Gedanken mache.

Und ich sehe auch MS365 und das neue Outlook auch immer öfter leider. Keinen scheints zu interessieren.

5 „Gefällt mir“
3

Welche praktikable alternative gibt es denn, die dem Bürger weniger kostet und einfacher umgesetzt werden?

4

So ziemlich jede. Ich bin als externer Consultant bei der BA unterwegs. Die Summen, die an MS und Oracle fließen gehen IMHO auf keine Kuhhaut. Siehe auch https://www.zdf.de/nachrichten/politik/deutschland/it-open-source-bundesregierung-kleine-anfrage-100.html

Geben Sie einer OpenSource-Consulting-Firma einfach mal 20 Millionen + Matrix Foundation. In weniger als einem Jahr steht in der BA was besseres als die jetzigen Strukturen, die auch nur teilweise um Teams ergänzt werden.

Wenn(!) man das Budget in Matrix/Element/WebRTC gesteckt hätte (und das schon lange, intern nutzen wir bei der Ba Skype4Business, der Leidensdruck ist extrem hoch!). Zudem gibt es da Initiativen, siehe auch https://media.ccc.de/v/fsck2023-56096-deutschland-in-der-matrix (insbesondere ab 12:20).

Das ist aber immer das Problem: Für Lizenzen ist Geld da. Aber wenn Integrationen + Betrieb einer Alternative in Summe weniger Kosten wird das dennoch nicht wahrgenommen und man bekommt halt genau gar kein Geld. Man merkt immer, dass eigentlich schon vorab Entscheidungen getroffen wurden, bevor Designs und Budgets verhandelt werden. Das Ankering ist extrem und Auswahl oder Evaluierung in Behörde oft so Ergebnisoffen wie ein Inquisitionsprozess.

Daher einmal Gegenfragen:

  1. Inwiefern ist es sinnvoll, die bereits bestehenden Messenger-Bemühungen anderer Ressorts zu untergraben?

  2. Inwiefern war es sinnvoll, wegen MS-Zentriertheit die internen und externen MA mehrer Jahre in der Skype-Steinzeit zu lassen und zahlreiche parallel-Welten (notgedrungen) zu schaffen, insbesondere zig RocketChats etc. pp. in der BA?

  3. Microsoft kratzt an der 50%-Marke bezüglich Eigenkapitalrendite. Inwiefern sollten Steuermittel dazu benutzt werden, die Abhängigkeit (anders kann man solche Quoten nicht erklären) weiter zu fördern?

  4. Bei der BA handelt es sich um KRITIS und die größte Sozialbehörde der EU (wenn nicht der Welt). Finden Sie es sinnvoll, dass die gesamte interne Kommunikation von Dritten in Drittstaaten ggf. sogar ohne Insider sabotiert werden könnte im Krisenfall?

  5. Inwiefern passt die Teams-Einführung zur im Koalitaionsvertrag der Bundesregierung festgeschriebenen Förderung und Bevorzugung von OpenSource? (Anmerkung: Die Evaluierung an der BA hinsichtlich Alternativen kann ich mir richtig gut vorstellen. Wahrscheinlich direkte Vergleichs-Slides von den etablierten Anbietern xD)

14 „Gefällt mir“
5

Danke für deinen wertvollen Beitrag.

Ich war des öfteren schon auf der anderen Seite, also ein Unternehmen für das ich tätig war (Open Source Lösungen) hat „versucht“ im Ausschreibungsprozess teilzunehmen. Leider scheint es nicht einmal so einfach zu sein, selbst wenn beide Seiten wollen würden (z. B. Umstellung auf Matrix etc.).

6

Wir können uns auch gerne einmal Vernetzten. Ich habe ähnliche Erfahrungen aber auch vllt. auch manchmal Workarounds.

Disclaimer: Ebenfalls Firmeninhaber und OSS-Platzierer in Ausschreibungen oder auch mal als Architekt :smiley:.

7

Wäre ja schön wenn es so einfach ginge.
Das Thema gab es hier im Forum schon mal.

Der Gedanke war, die EU bezahlt Opensource Projekte damit ein Betriebssystem für Desktop und Smartphone, eine Office Suit wie MS 365 sowie eine digitale europäische Bezahlmethode ohne US Unternehmen entstehen können.

Focus auf Sicherheit und Datenschutz.

Wurde sehr schnell im Forum als nicht mach bar / nicht gewünscht abgestempelt.

Vllt kannst du ja passende Vorschläge bringen.

Ein Gegenargument war, wer garantiert das der Staat oder die EU nicht Daten abgreifen.

Oder wie soll die Umstellung mit der freien Wirtschaft klappen?

Möchte das ganze nicht noch mal durch kauen.

8

Ich glaube, da spielt weniger der Beschluss eine Rolle als eine mögliche Zusicherung seitens MS, die gesamte für den Betrieb notwendige Infrastruktur im EU-Rechtsraum zu betreiben. IMO können amerikanische Behörden auch bei einem Auslandssitz eines US-Unternehmens auf die Daten zugreifen (CLOUD Act), aber nach bestimmten Auslegungen der DSGVO scheint akzeptiert zu werden, dass ein „hosted in Europe“ als geeignete „technisch-organisatorische Maßnahme“ gilt, zumal dann, wenn das vertraglich zugesichert wurde. Aber auch ich stochere hier zugegebenermaßen ziemlich im Dunkeln :unamused:

9

Ja, dieses Festhalten an Closed-Source ist schon lange keine Posse mehr, nicht einmal ein Trauerspiel. Es ist ein Horror-Schocker.
Siehe auch https://www.pc-fluesterer.info/wordpress/2023/02/11/wollt-ihr-die-totale-pkz-so-nicht/
Über die Gründe kann man trefflich spekulieren. Einen Ansatz dafür bietet diese Dokumentation: https://yt.artemislena.eu/watch?v=_7583HNrZJs

10

https://cryptpad.fr/code/#/2/code/view/e0pN27EWIFaq-N+gtZf-GUtCSaF8cVQXwrp2dXZ5CKE/embed/present/

eine sehr lange liste mit Artikeln und News bezüglich MS365…

11

Das Problem an der Geschichte ist nicht das es OpenSource ist, sondern vielmehr um den Weiterbetrieb hinterher. Negativbeispiel…München mit ihrem gescheiterten LiMux (https://www.heise.de/news/Endgueltiges-Aus-fuer-LiMux-Muenchener-Stadtrat-setzt-den-Pinguin-vor-die-Tuer-3900439.html)
Daher sträuben sich die meisten davor auf OpenSource zu setzen, da viele eben nur diese eine Welt von MS kennen.

1 „Gefällt mir“
12

Das Thema ist komplexer.

Erstens: Menschen sträuben sich gegen jede Veränderung.

Zweitens: Bei jeder Veränderung gehen anfangs Sachen schief. Wie die Betroffenen mit den auftretenden Probleme umgehen, hängt sehr davon ab, ob und wie sie in den Veränderungsprozess einbezogen werden. Da gab es wohl in M, wie in den meisten solcher Change-Prozesse in der IT, erhebliche Defizite. Die folge ist, dass die Mitarbeiter aufmucken und die Schuld bei irgendetwas Äußerem suchen, das sie identifizieren können. In diesem Fall war es eben Linux.

Drittens: Der neue OB wollte unbedingt zu M$ zurück, weil die Firma ihn damit geködert hat, ihre (Steuern versprechende) Deutschland-Zentrale vom Umland in die Stadt M zu verlegen.

Viertens: Der OB hat dann gerne den üblichen Unmut der Mitarbeiter genutzt, um LiMux weg zu argumentieren.

2 „Gefällt mir“
13

Klar spielen auch die Faktoren eine Rolle ohne Frage. Wer kennt es nicht, dass sich so mancher nicht eingebezogen gefühlt hat und nur denn Krümeln gesucht hat. Das kommt vor und ist auch menschlich.

Das hätte man besser aufsetzen können, vielleicht auch sogar müssen. Letztendlich ist das Projekt gescheitert. Welche Gründe das jetzt eine Rolle gespielt hat oder nicht kann ich nicht sagen. Es werden mehrere Faktoren gewesen sein, aber mir sind sie unbekannt.

Danke aber für deine Ergänzung an der Stelle. Du hast mit dem was du geschrieben hast natürlich auch recht.

14

Also neu war LiMux in München nicht mehr… nur leider ist das Projekt auch inhaltlich gescheitert am Projektmanagement und nicht nur an der Politik (übrigens nur damit sich da keiner vertut: In München regiert traditionell immer die SPD und 2014 hat selbst die grüne(!) OB-Kandidatin das Projekt kritisiert vgl. https://www.heise.de/news/Linux-in-Muenchen-Gruene-OB-Kandidatin-rudert-zurueck-ein-bisschen-2115310.html).

Dazu gab es einen (leider nur noch über Archive.org abrufbaren) Artikel mit diesem Highlight:

However, neither LiMux nor LibreOffice were pinpointed as the source of these problems, with the consultants instead laying the blame on the fragmented nature of how IT is managed at Munich, with responsibility split between more than 20 separate organizations throughout the city. Indeed, the minority of Windows machines used by the council also suffered from software being outdated and buggy, with the blame again placed on inconsistent management procedures across these multiple sub-departments.

https://web.archive.org/web/20171208143208/https://www.techrepublic.com/article/linux-to-windows-10-why-did-munich-switch-and-why-does-it-matter/

1 „Gefällt mir“
15

ich habe auch noch kein umfassendes Bild von der Limux-Geschichte, aber gerade zufällig (noch mal) diese ARD-Doku von 2017 gesehen: Das Microsoft-Dilemma - Europa als Softwarekolonie (siehe dazu insb. Minute 18-24)
Da kommen u.a. die beiden OBs, jemand aus der IT in München + weitere aus dem Stadtrat zu Wort. Hinterlässt den Eindruck, dass sowohl die Microsoft-Lobbyarbeit, als auch die persönlichen Vorlieben und Gewohnheiten der politischen Akteure eine Rolle gespielt haben.

4 „Gefällt mir“
16

Hallo,

Jetzt könnte man wohl eine Sammelklage machen z.B das die Daten nicht mit Office 365 verarbeitet werden dürfen ,gibt ja ein neues Urteil :

https://stiftungdatenschutz.org/veroeffentlichungen/datenschutzwoche/detailansicht/datenschutzwoche-vom-11-maerz-2024-476

17

Kein Urteil, sondern eine Untersagung des Datenschutzbeauftragten der EU gegenüber einem EU-Organ. (Genau genommen nicht aufgrund der DSGVO, sondern deren Entsprechung für EU-Einheiten.)

Dort würde mich ebenfalls interessieren, wie die EU-Kommission zur Zulässigkeit von 365 argumentiert. Viellieicht haben DIE ja rausgefunden, wie man’s hinkriegt.

Wenn damit die BA nicht schneller ist.

D., der keine objektiven Nachweise erwartet. Geht nicht. Kann niemand. Aussichtsreicher wäre es, stattdessen am anderen Ende zu drehen und am Zufrieren der Hölle (wertfrei, nicht Microsoft gemeint) zu arbeiten: Wenn die beanstandeten Passagen in den Microsoft-Verträgen in Richtung Vorschriftsmäßigkeit /Unterschreibbarkeit geändert werden, wäre doch alles OK? (Und natürlich die Verarbeitungspraxis.)

18

Und was wurde festgestellt? Drei Punkte laut des Artikels:

  1. Zweckbindung
  2. Drittlandsübermittlungen
  3. Unklare Regelung zur Weitergabe von Daten

Wie wird das gelöst? Die Kommission zieht aus 365 aus? :rofl:
Natürlich nicht!

Hier die wahrscheinliche Lösung (Sarkasmus gratis inkludiert):

  1. Es gibt mehrere 100 Seiten jetzt zur Zweckbindung und blablabla – geschrieben in Word und Excel…
  2. Microsoft unterschreibt einen Zettel, dass auch nichts die EU/EWR verlässt
  3. Nächster Zettel mit ganz tollen Garantien und am Besten als Sondervereinbarung zwischen Kommission und Microsoft

Also am Ende gibt’s ganz viele tolle Zettelchen und Versprechen beiderseits bestimmte Dinge zu tun oder zu lassen. Was ändert sich jetzt wirklich? Nix. Die Kommission wird weiterhin Microsoft 365 nutzen, Microsoft den Referenzkunden halten und fertig. Zwischendurch werden nur ein paar Milliönchen verballert um Papier zu produzieren…

Das gleiche Prozedere wäre dann bei der Bundesagentur zu erwarten. Da wird dann ein halbherziger Bericht fertiggestellt (natürlich sind die Datenschützer alle ganz unabhängig – wobei wer ernennt die noch einmal bzw. sorgt für Vertragsverlängerungen…? :shushing_face: ) und am Ende werden auch tolle Zettel und Vereinbarungen ausgetauscht werden. Damit sich wirklich was ändert, müssen die Entscheidungsträger überzeugt werden…

1 „Gefällt mir“
19

Vielleicht eine Sammel (Klage) -Unterlassung verfassen das die Daten nicht in Office 365 verarbeitet werden dürfen.

20

Und mit welcher Begründung?

Oder dann gibt es wieder so tolle „Konstrukte“ (gesehen in einer anderen regulierten Branche): Auftragsdatenverarbeitung mit einem zwischengeschalteten Dienstleister und der schiebt es dann in das Zielsystem/Cloud. Mit geschickter Formulierung der Verträge ist die Behörde fein raus, bekommt einen passenden Nachweis/Zettel und endlich wird noch einmal mitverdient von jemandem…

Also das ist für mich nicht die Lösung. Es geht nur über Überzeugung von Oben. Also warum nehmen Personen Microsoft 365? Einfach Gründe dafür sind die hohe Integration der Module/Funktionen (Office-Programme, E-Mail, Dateiablage/OneDrive, Teams (mit Videokonferenz, Telefonie, Chat), Identity & Access Mgmt (über Entra ID, ehem. Azure AD)) oder auch die Möglichkeit übergreifend bspw. Sensibilität einer Information zu Kennzeichnen und zu verarbeiten. Bei letzterem wird beim Speichern eine Datei direkt mit einer Vertraulichkeitsstufe gekennzeichnet (und es kann sogar verhindert werden dass die außerhalb des eigenen Tenant geöffnet werden kann), das wird durchgezogen bis hin zum automatischen Klassifizieren einer E-Mail an der das hängt inkl. je nach Konfiguration Ausnahmen vorzunehmen und eine Begründung zu hinterlegen. Das ist schon richtig komplexes Zeug und eine echte Alternative mit der Integrationsleistung(!) habe ich noch nicht gesehen.