Sollte bzw. darf München noch Microsoft Produkte nutzen?

Sollte bzw. darf München noch Microsoft Produkte nutzen?
Anfrage Stadtrats-Mitglieder Marie Burneleit, Stefan Jagel, Thomas Lechner und Brigitte Wolf (Die Linke / Die PARTEI Stadtratsfraktion) vom 21.8.2025

Antwort IT-Referentin Dr. Laura Dornheim:

In Ihrer Anfrage haben Sie folgenden Sachverhalt vorausgeschickt:

„Im Juni 2025 befragte der französische Senat unteranderem den Head of Corporate, External & Legal Affairs bei Microsoft France, Anton Carniaux.¹ Dieser bestätigte unter Eid, dass Microsoft formell korrekte Informations- anfragen durch die Regierung der Vereinigten Staaten von Amerika nicht ablehnen kann. Zwar sei dieser Fall noch nie eingetroffen und Microsoft würde versuchen sofort die Betroffen darüber zu informieren, doch ist auch schon die Möglichkeit, dass gesicherte Daten an Dritte gelangen könnten, je nach Auslegung der DSGVO und des möglichen Umfangs als Daten- schutzverstoß zu werten. Die Stadt München setzt in unterschiedlichsten Bereichen Produkte von Microsoft ein und baut grundsätzlich auf eine Verarbeitung der Daten auf eigenen städtischen Servern. Weiterhin ist aus einer Anfrage der Bürgerversammlung Altstadt-Lehel zu entnehmen: „Die Nutzung von Microsoft Anwendungen gehört u.a. zum Portfolio der LHM. Zu Microsoft ist anzumerken, dass die vertraglichen Vereinbarungen mit der LHM eine strikte Datenspeicherung in EU-Ländern festlegen.“² Durch die neue Erkenntnis, dass die US-Regierung auf Microsofteigene Server auch in der EU zugreifen könnte, ergibt sich hier für die Daten der Stadt München und ihre Bürger*innen eine klare Gefahr.“

1 https://www.heise.de/news/Nicht-souveraen-Microsoft-kann-Sicherheit-von-EU-Daten-nicht-garantie-ren-10494684.html
2 https://risi.muenchen.de/risi/dokument/v/9129828

Zu den im Einzelnen gestellten Fragen kann ich Ihnen Folgendes mitteilen:

Frage 1:
Kann ein möglicher Zugriff durch die US-Regierung auf Daten der Stadt schon als Datenschutzverstoß nach DSGVO gewertet werden?

Antwort:
Eine allgemeingültige Aussage in Bezug auf die Rechtmäßigkeit des Einsatzes von Microsoft-Produkten kann nicht getroffen werden. Microsoft bietet eine umfassende Produktpalette an, deren Grundarchitekturen undKonfigurationen im Einzelfall und je nach konkreter Verwendung erheblich variieren. Dies erfordert stets eine individuelle datenschutzrechtliche Betrachtung. Derzeit existiert weder auf europäischer noch auf Bundes- oder Landesebene eine übertragbare, abschließende Stellungnahme der Aufsichtsbehörden zur datenschutzrechtlichen Zulässigkeit einzelner Microsoft-Produkte.

In der Landeshauptstadt München wird lediglich ein kleiner Teil der umfangreichen Produktpalette von Microsoft eingesetzt. Die Einführung wurde von den zuständigen Datenschutzbeauftragten begleitet. Dabei wurden alle zum Zeitpunkt der Implementierung relevanten Positionierungen der verschiedenen Aufsichtsbehörden beachtet und berücksichtigt.

Nach Auffassung der zuständigen Aufsichtsbehörde für die Landeshauptstadt München, dem Bayerischen Landesbeauftragten für den Datenschutz, muss für eine Schutzpflichtverletzung ein Verletzungserfolg vorliegen, der auf einem Verletzungsverhalten beruht (s. AKI 46 des Bayeri-schen Landesbeauftragten für den Datenschutz). Dies ist erst dann der Fall, wenn auch tatsächlich Informationen unberechtigterweise zugänglich gemacht wurden; eine rein theoretische Gefahr reicht hierfür nicht aus.

Frage 2:
Kann zu 100% zugesichert werden, dass Daten der Stadt München nur auf eigenen Servern getrennt von Servern von Microsoft verarbeitet werden?

Antwort:
Die Daten der Stadtverwaltung München werden zum Beispiel durch Fachverfahren, eingesetzte Open-Source-Anwendungen oder eben durch Microsoft-Produkte verarbeitet. Standardmäßig werden im Rahmen der Einführung neuer Produkte verschiedene Möglichkeiten evaluiert; dabei werden nicht nur proprietäre, sondern stets auch Open-Source-Lösungen oder Eigenentwicklungen betrachtet, um potentielle Alternativen zu Produkten gängiger Marktführer zu identifizieren.
Bei der Stadtverwaltung München sind – wie oben dargestellt – nur ausgewählte Produkte von Microsoft im Einsatz. Dazu gehören unter anderem Office-Anwendungen wie Word, Excel und PowerPoint sowie Betriebssysteme für Server oder Computer.

Zum überwiegenden Teil werden die bei der Stadt München verarbeiteten Daten auf Servern, die sich im alleinigen und direkten Zugriff der Landeshauptstadt München befinden, verwaltet (sogenannte „On-Premise“-Lösungen). Auch der weit überwiegende Teil der mittels Microsoft Office ver-arbeiteten Daten wird auf stadteigenen Servern gespeichert und verwaltet. Dazu sind die Microsoft Office-Produkte lokal auf den bei der Stadtverwaltung München eingesetzten Endgeräten installiert, so dass von Microsoft angebotene Cloud-Services nicht genutzt werden.
Strategisch nutzt die Landeshauptstadt München zusätzlich in einigen Bereichen Cloudfunktionalitäten, um das Serviceportfolio durch höherwertige Dienstleistungen zu erweitern.

Eine 100%ige Garantie, dass Daten der Stadt München nur auf eigenen Servern getrennt von Servern von Microsoft verarbeitet werden wäre – nicht nur im informationstechnischen Umfeld – nicht umsetzbar und unrealistisch. Wir versichern jedoch, dass alle umsetzbaren Maßnahmen getroffen werden, um den Schutz aller Daten der Landeshauptstadt München bestmöglich zu gewährleisten. Darüber hinaus stellen wir sicher, dass Anfragen von unseren Bürger*innen stets mit größter Sorgfalt bearbeitet werden und keinesfalls an Microsoft weitergeleitet werden.

Frage 3:
Falls eine solche Zusicherung nicht möglich ist, was unternimmt das IT-Re- ferat, um dies in Zukunft zu gewährleisten?

Antwort:
Wie bereits zuvor erläutert, finden die Cloud-Dienste von Microsoft nur in geringem Umfang Anwendung bei der Landeshauptstadt München. Wo immer es technisch umsetzbar ist, wird auf lokale „On-Premise“-Lösungen zurückgegriffen, wie beispielsweise bei der Nutzung von Office365.

Auf technischer Seite werden stets die datenschutzfreundlichsten Konfigurationen zentral gesetzt. Hier wird alles unternommen, um potenzielle Datenübermittlungen zu minimieren und Risiken effektiv zu reduzieren. Hierzu zählen unter anderem die Deaktivierung der Übermittlung von Telemetriedaten sowie die zentrale Verwaltung und grundsätzliche Deaktivierung sog. „verbundener Dienste“.

Darüber hinaus existieren auch auf vertraglicher Ebene zahlreiche, von den Standardbedingungen abweichende Regelungen mit Microsoft. Einerseits ist die strikte Datenspeicherung innerhalb der EU vertraglich festgelegt, andererseits wurden weitere individuelle, konkretisierende Klauseln vereinbart, so dass gewisse Unschärfen in den Verträgen, insbesondere dem Data Protection Addendum („DPA“), beseitigt wurden.