Cloud-Abhängigkeit des Landes Bayern: Ein Risiko für Datenschutz und Grundrechte

Die Pläne der Bayerischen Staatsregierung, in großem Umfang auf Cloud-Dienste von Microsoft zu setzen, werfen erhebliche datenschutzrechtliche und staatspolitische Fragen auf. Insbesondere aus Sicht der Datensouveränität ist dieser Schritt äußerst kritisch zu bewerten.

Microsoft ist ein US-amerikanischer Konzern und unterliegt damit unmittelbar der US-Gesetzgebung, insbesondere der FISA-Gesetzgebung (Foreign Intelligence Surveillance Act, Section 702) sowie dem CLOUD Act. Diese Regelwerke ermöglichen US-Behörden den Zugriff auf Daten von Nicht-US-Bürgern, selbst dann, wenn diese Daten auf Servern außerhalb der USA gespeichert sind. Europäische Datenschutzstandards, vertragliche Zusicherungen oder technische Maßnahmen können diesen Zugriff nicht zuverlässig ausschließen. Genau dies hat der Europäische Gerichtshof in mehreren Urteilen – zuletzt mit Schrems II – deutlich gemacht.

Besonders problematisch ist diese Situation, wenn nicht private Unternehmen, sondern staatliche Stellen betroffen sind. Während Bürger bei einem Unternehmen zumindest theoretisch die Möglichkeit haben, den Anbieter zu wechseln oder auf eine Dienstleistung zu verzichten, besteht diese Wahlfreiheit gegenüber dem Staat nicht. Die Menschen in Bayern können sich nicht aussuchen, ob und wie ihre personenbezogenen Daten durch die Landesverwaltung verarbeitet werden. Gerade daraus erwächst für den Staat eine besondere Verantwortung.

Hinzu kommt, dass Betroffenenrechte – etwa auf Auskunft, Löschung oder wirksamen Rechtsschutz – aufgrund der komplexen internationalen Rechtslage möglicherweise nicht vollumfänglich garantiert werden können. Wenn ausländische Sicherheitsbehörden Zugriff auf Daten erhalten, geschieht dies regelmäßig ohne Transparenz, ohne Benachrichtigung der Betroffenen und ohne effektive Rechtsmittel. Der Freistaat Bayern hat jedoch eindeutig die Pflicht, die Grundrechte seiner Bürger zu schützen und deren Durchsetzung sicherzustellen – nicht nur formal, sondern auch praktisch.

Betroffen und gefährdet könnten auch besonders sensible personenbezogene Daten sein, die Berufsgeheimnissen unterliegen oder von Berufsgeheimnisträgern erstellt wurden, z. B. ärztliche Gutachten, die behördlich verarbeitet werden. Werden diese bei ausländischen Cloud-Anbietern verarbeitet, ist die Durchsetzbarkeit deutscher Schutzgesetze – etwa der Vertraulichkeitspflichten und Strafvorgaben nach StGB § 203 – nicht gewährleistet und können in der Regel nicht umgesetzt werden.

Das Landgericht Bonn hat mit Urteil vom 3. Juni 2025 (Az. 13 O 156/24) klargestellt, dass im Fall einer unauflösbaren Pflichtenkollision zwischen der EU‑Datenschutzgrundverordnung (DSGVO) und US‑Gesetzen wie dem Foreign Intelligence Surveillance Act ein US‑Unternehmen berechtigt sein kann, einen Teil des Auskunftsanspruchs nach Art. 15 DSGVO nicht zu erfüllen – weil das US‑Recht die Offenlegung bestimmter Daten verbietet.

Der Einsatz von Cloud-Diensten eines US-Anbieters im Kernbereich staatlicher Datenverarbeitung gefährdet somit nicht nur den Datenschutz, sondern auch die digitale Souveränität des Staates selbst. Ein demokratischer Rechtsstaat und seine Länder sollten sich nicht in strukturelle Abhängigkeiten begeben, die rechtlich und technisch nicht kontrollierbar sind. Stattdessen sollten transparente, europäische und möglichst offene Alternativen priorisiert werden, die Datenschutz, Rechtsstaatlichkeit und Selbstbestimmung konsequent in den Mittelpunkt stellen.

 

Offener Brief:

Zusätzliche Aufmerksamkeit erhält ein offener Brief, in dem mehrere Organisationen – darunter auch die die Gesellschaft für Informatik e.V. – eine verlässliche Finanzierung zur Stärkung digitaler Souveränität in der Verwaltung fordern, da entsprechende Mittel im Bundeshaushalt 2023 fehlten.

Das sind die Unterzeichner:

  • Open Source Business Alliance – Bundesverband für digitale Souveränität e.V.
  • Vitako – Bundes-Arbeitsgemeinschaft der Kommunalen IT-Dienstleister e.V.
  • Free Software Foundation Europe e.V. (FSFE)
  • #cnetz – Verein für Netzpolitik e.V.
  • VOICE – Bundesverband der IT-Anwender e.V.
  • SPRIN-D – Bundesagentur für Sprunginnovationen
  • D64 – Zentrum für Digitalen Fortschritt e.V.
  • Gesellschaft für Informatik e.V. (GI)

 

Politik kontaktieren:

Das geplante Vorgehen betrifft uns alle. Deshalb sollten Bürger, die die Risiken erkennen, ihre Stimme erheben und sich direkt an die Politik wenden. Schreiben Sie die verantwortlichen Politiker aus Ihrem Wahlkreis und machen Sie deutlich, dass Sie das Vorhaben kritisch sehen. Weisen Sie dabei auf die Gefahren für Datenschutz, digitale Souveränität und die langfristige Abhängigkeit von einem US-Konzern hin. Nur durch aktives Engagement kann Druck erzeugt werden, um verantwortungsvolle Entscheidungen zu fördern und alternative Lösungen prüfen zu lassen.

 

Petition unterzeichnen:

Vor diesem Hintergrund weist eine aktuelle Petition auf die Risiken des geplanten Microsoft-365-Vertrags der Bayerischen Staatsregierung hin. Sie fordert einen Stopp der Planungen und die ernsthafte Prüfung von Open-Source-Alternativen, da sowohl erhebliche Kosten als auch Gefahren für Datenschutz, digitale Souveränität und eine langfristige Abhängigkeit von einem US-Konzern befürchtet werden. Link

 

Resümee

Die beschriebenen Risiken bestehen nicht nur für die Bayerische Staatsregierung, sondern auch für deutsche Unternehmen, die ebenfalls häufig US-Cloud-Anbieter nutzen. Es ist entscheidend, Datenschutz und IT-Sicherheit professionell zu gestalten und alle Risiken abzuwägen. Unsere Dienstleistungen helfen Ihnen, sensible Daten zuverlässig zu schützen und rechtssicher zu verarbeiten.

 

Unsere Angebote für Sie:

  • Durchführung interner Audits zur Vorbereitung auf Zertifizierungsaudits
  • Beratung und Umsetzung von  DSGVO und BDSG
  • Beratung und Umsetzung ISO 27001, TISAX und NIS-2
  • Beratung bei Risikomanagement, BIA, BCM und Lieferkettensicherheit
  • Schulungen für Mitarbeiter zur Audit- und Sicherheitskompetenz

 

 

Kontaktieren Sie uns noch heute!
Für ein unverbindliches Erstgespräch – wir beraten Sie zu
Audits, Datenschutz und IT-Sicherheit.

 

Matthias A. Walter, http://www.tec4net.com

EDV-Sachverständiger | Auditor für Datenschutz und IT-Sicherheit

Quellen und Links:

Petition gegen die Ausstattung bayerischer Behörden mit Microsoft 365
https://www.openpetition.de/petition/online/petition-gegen-die-ausstattung-bayerischer-behoerden-mit-microsoft-365

LG Bonn: Rechtmäßige Nichterfüllung eines Auskunftsanspruchs bei unauflösbarer Pflichtenkollision, Urteil v. 03.06.2025, Az. 13 O 156/24
https://nrwe.justiz.nrw.de/lgs/bonn/lg_bonn/j2025/13_O_156_24_Urteil_20250603.html

GI-Fachbereich: Stellungnahme zu Bayerns Plänen mit Microsoft
https://gi.de/meldung/gi-fachbereich-sicherheit-bezieht-stellung-zu-bayerns-plaenen-mit-microsoft

Offenen Brief für mehr digitale Souveränität
https://gi.de/meldung/gi-unterzeichnet-offenen-brief-fuer-mehr-digitale-souveraenitaet-durch-open-source

GI Beitrag: Investitionen für unsere Digitale Souveränität
https://gi.de/wahl2025/infrastruktur-investitionen-fuer-unsere-souveraenitaet

Wesentliche Befunde des Gutachtens von Stephen Vladeck vom 15.11.2021
https://www.datenschutzkonferenz-online.de/media/weitere_dokumente/20220125_dsk_vladek.pdf

NIS-2-Anforderungen sicher umsetzen – mit der tect4net GmbH
https://www.tec4net.com/web/it-security/

Auditdurchführung nach ISO 19011
https://www.tec4net.com/web/iso-19011/

tec4net – Datenschutz und IT-Sicherheit praktikabel umsetzen
Wir beraten und auditieren DSGVO und BDSG sowie die Normen ISO/IEC 27001, TISAX, NIS-2 und PCI-DSS.

 

www.tec4net.comwww.it-news-blog.comwww.it-sachverstand.infowww.datenschutz-muenchen.comwww.it-sicherheit-muenchen.com