Embedded LfDI

Mir stellen sich Fragen:

1. Der LfDI „begleitet“ das „Pilotprojekt“ des Kultusministeriums zur Einführung von MSO. Er führt aus, er

wollen sehen, wie die vom Ministerium eingesetzte spezielle Version von MS Office 365 in der Praxis tatsächlich funktioniert.

Da MS an anderer Stelle aufführt, welche Daten erhoben werden, was will der LfDI da „in the wild“ prüfen, was er nicht an einem einzelnen Rechner unter Laborbedingungen mit Burp und Wireshark viel eher in Erfahrung bringen könnte – vor allem wenn mensch sich in Erinnerung ruft, welche Expertise und Ressourcen die bayerische Datenschutzbehörde bei der Einschätzung von W10 benötigte? Die Komplexität dieser Prüfung ist keineswegs geringer.

Wie soll das bei 30 Pilotschulen und somit rund 30000 Lehrkräften in deren Heim- und Schulnetzen von einer personell knapp ausgestatteten Behörde überhaupt bewältigbar sein, wenn er keinen direkten Zugriff auf den erzeugten Datenpool auf der Seite von MS erhält?

Da MS closed source Software produziert und dem LfDI keinen Einblick in den Quellcode erlaubt und der LfDI darüber hinaus keine Prüfkapazitäten hierfür hätte: Was genau würde der LfDI in diesem Pilotprojekt überhaupt prüfen wollen? Wie sollte auf Basis einer Prüfung einer Einzelversion zu einem bestimmten Zeitpunkt auf die durch dauernde Updates veränderte und veränderbare Situation reagiert werden?

Ich fürchte, das muss mit einer anderen Stellungnahme des LfDI in Kontext gesetzt werden:

2. Der LfDI hat hier in einer Pressemitteilung „einige Vorschläge für Garantien“ eines US Unternehmens als Erfolg der DSGVO bezeichnet.

Wenn bereits Vorschläge für ein in Zukunft vielleicht grundrechtskonformes Verhalten Anlass für Pressemitteilungen sind, welche Erwartungen darf die Öffentlichkeit dann noch an den LfDI haben?

Zwischenfazit:

Mein Eindruck ist, der LfDI lässt sich zum Teil der Öffentlichkeitsarbeit eines US Konzerns und der Landesregierung machen. Er ist embedded. An einer ernsthaften Prüfung besteht kein Interesse mehr – es geht maximal um Gesichtswahrung, um eine Exitstrategie und deswegen um eine Anscheinsprüfung.

Das Resultat wäre somit absehbar: Wieselwortreiche Stellungnahmen, die einer technischen Prüfung nicht standhalten – denn das wäre nicht ihre Funktion. Es ginge um die Produktion von Marketingpapier, auf das staatlichen Behörden zur Beruhigung der Öffentlichkeit und zur Abwehr berechtigter Anliegen verweisen könnten. Die Unterstützung der Apple- und MS-Abhängigen in Behörden, Parteien und Parlamenten wäre ihm sicher: Er produzierte das, was Politik und Öffentlichkeit gerne hören würden. So gestaltet er sein Portfolio – Grundrechte blieben für Sonntagsreden oder medial akzeptiertes Facebook- und Googlebashing.

Ich bin für den Moment bei: Der LfDI ist kein Partner der gesellschaftlichen Gruppen, die digitale Souveränität als Voraussetzung für Grundrechteschutz im Blick haben und das Grundrecht auf informationelle Selbstbestimmung ernst nehmen. Er und seine Behörde – sie werden zunehmend zum Teil des Problems, das diese NGOs zu lösen versuchen: die systematische Missachtung eines für ein menschenwürdiges Überleben zentralen Grundrechts.