Der Bayerische Landesbeauftragte für den Datenschutz (BayLfD) hat eine Kurzinformation (Nr. 39) zu Nutzung von Office-Anwendungen aus Drittstaaten bei bayerischen öffentlichen Stellen (Stand 01.12.2021) veröffentlicht. Dieses Dokument richtet sich auch an Schulen, denn im Zusammenhang mit Schule erreichten die bayrische Aufsichtsbehörde für öffentliche Stellen wohl viele Anfragen. Dabei wird es vor allem um die Nutzung von Office 365/ Microsoft 365 und Teams für Videokonferenzen gegangen sein. In der Kurzinformation wird die Problematik erläutert, welche sich für öffentliche Stellen ergibt, wenn dort Office-Anwendungen aus Drittstaaten wie den USA genutzt werden.
Die BayLfD geht davon aus, dass Verantwortliche – hier dann die Schule – zunächst ein Datenschutz-Sicherheitskonzept als vorbereitende Maßnahme erstellen müssen, bevor sie eine Office-Anwendung aus einem Drittland wie Microsoft 365 for Education oder Google Workspace for Education zur Verarbeitung von personenbezogenen Daten einsetzen können. Der Begriff „Office-Anwendung“, wie ihn das BayLfD verwendet, bezieht sich nicht auf Plattformen, die ausschließlich offline genutzt werden, sondern auf Plattformen, die entweder eine Online-Anbindung haben oder komplett online genutzt werden. Das Datenschutz-Sicherheitskonzept sollte berücksichtigen, welches Produkt in welcher IT-Umgebung eingesetzt werden und welche Kategorien von personenbezogenen Daten in der Office-Anwendung verarbeitet werden sollen. Ähnlich wie in einer Risikoabschätzung sollen dann mögliche Risiken (nachteilige Folgen), die sich für Betroffene aus der Verarbeitung ihrer Daten in der Plattform ergeben können und ihre Eintrittswahrscheinlichkeit betrachtet werden und mit welchen Maßnahmen, orientiert am BSI-Standard, diesen begegnet werden kann. Bei der Betrachtung möglicher nachteiliger Folgen für die Betroffenen ist es laut BayLfD nicht zulässig, diese „allein durch eine Wahrscheinlichkeitsbetrachtung („bisher ist ja nichts passiert“) auf Grundlage von Angaben des Vertragspartners“ zu relativieren. Damit nimmt die BayLfD Bezug auf entsprechende Aussagen von Anbietern wie Microsoft und Google, die dazu auch gerne auf ihre Transparenzberichte verweisen.
Im zweiten Teil werden die bestehenden rechtlichen Rahmenbedingungen für eine Übermittlung von personenbezogenen Daten in ein Drittland auf Basis von Art. 44 ff. DS-GVO erläutert. Auch wenn im Text immer von Drittstaaten gesprochen wird, ist klar, es geht um die USA und die aktuelle Rechtslage, die es US Ermittlungsbehörden erlaubt, auf die Daten von EU Bürgern zuzugreifen, egal ob diese in den USA selbst verarbeitet werden (Patriot-Act) oder auf Servern in der EU (CLOUD-Act). Verantwortliche sind gefordert, nachteilige Folgen zu bewerten, die sich aus dieser Rechtslage ergeben können. Verlassen personenbezogenen Daten den Geltungsbereich der DS-GVO, so darf dieses nicht zur einer Verarbeitung in einer Umgebung mit einem „(siginifikant) geringerem Datenschutzniveau“ führen. Eine Verarbeitung von personenbezogenen Daten in einer Office-Anwendung aus einem Drittland wie den USA, für die es keinen Angemessenheitsbeschluss gibt, der ein der DS-GVO vergleichbares Datenschutzniveau garantiert, ist deshalb nur möglich, wenn das Risiko für die Betroffenen durch geeignete Maßnahmen ausreichend minimiert werden kann. Verschiedene Maßnahmen müssen sich hier ergänzen. Zu den Maßnahmen, die angeführt werden, gehört der Abschluss der Standarddatenschutzklauseln in der neuen Fassung von 2021. Von der Wirksamkeit der Standardvertragsklauseln kann nur ausgegangen werden, wenn der Verantwortliche, hier die Schule, nachweisen kann, „dass die zu übermittelnden personenbezogenen Daten aus Rechtsgründen von vornherein nicht Gegenstand der betreffenden Zugriffsrechte US-amerikanischer Behörden werden können.“ Kann dieser Nachweis nicht erbracht werden, wovon aktuell auszugehen ist, werden weitere Maßnahmen wie eine Pseudonymisierung und/ oder Verschlüsselung erforderlich, um den fehlenden Nachweis auszugleichen. Wie diese Pseudonymisierung und Verschlüsselung gestaltet sein sollten, um wirksam zu sein, wird im Beitrag erläutert. Auch für diese Maßnahmen muss der Verantwortliche die Wirksamkeit nachweisen können. Das heißt im Falle von Microsoft 365, US Ermittlungsbehörden dürfen nicht in der Lage sein, die Pseudonymisierung aufzuheben, um die verarbeiteten Daten einer identifizierbaren Person zuzuweisen. Es darf ihnen auch nicht möglich sein, die Verschlüsselung aufzuheben, etwa weil der Anbieter die Schlüssel herausgeben muss. Kann der Verantwortliche die Wirksamkeit dieser Maßnahmen nicht nachweisen, ist eine Übermittlung von personenbezogenen Daten in den Drittstaat nicht zulässig. Verantwortliche unterliegen auch einer Rechtschaftspflicht gem. Art. 5 Abs. 2 DS-GVO. Um dieser nachkommen zu können, müssen Verantwortliche sowohl „ihre Überlegungen zu den rechtlichen Grundlagen einer Verarbeitung festhalten“ festhalten als auch die Datentransfers in Drittstaaten sowie die dafür erforderliche Prüfung der Zulässigkeit einer Übermittlung sowie der Wirksamkeit der Maßnahmen zur Minderung der Risiken für Betroffene dokumentieren. Ohne eine solche Dokumentation, das macht die BayLfD deutlich, wird sie die Zulässigkeit durchgeführter Drittstaatentransfers nicht „würdigen“ – heißt, kann der Verantwortliche keine Dokumentation zur Erfüllung der Rechenschaftspflicht vorlegen, wird sich die Aufsichtsbehörde nicht mit einer Prüfung der Zulässigkeit auf der Grundlage der vom Verantwortlichen getroffenen Überlegungen und Maßnahmen befassen, sondern eher davon ausgehen, dass es solche nicht gibt und die Verarbeitung vermutlich untersagen.
Zum Ende des Beitrags räumt die BayLfD den Verantwortlichen noch eine Ausnahme von ihren strengen Vorgaben ein. Man verzichtet in der vorgelegten Dokumentation zur Erfüllung der Rechenschaftspflicht bei Drittstaatentransfers im Zusammenhang mit Office-Anwendungen „bis auf weiteres grundsätzlich“ auf eine Prüfung der tatsächlichen Wirksamkeit von mit den Anbietern abgeschlossenen Standardvertragsklauseln. Dieses setzt jedoch voraus, dass der Verantwortliche „eine ausreichend sicher gestaltete Verschlüsselung und/oder Pseudonymisierung vorsieht und anwendet.“ Videokonferenz-Systeme sind von dieser Regelung ausgenommen.
Bewertung
Die von der bayrischen Aufsichtsbehörde beschriebenen Kriterien für eine DS-GVO konforme Nutzung von Plattformen wie Office 365/ Microsoft 365 und die Maßnahmen, welche getroffen werden können, um Abhilfe zu schaffen, wenn die Voraussetzungen für eine solche Nutzung nicht gegeben sind, lassen sich möglicherweise auch auf andere Bundesländer übertragen. Klar sollte aber auch sein, dass die Bayrische Aufsichtsbehörde für öffentliche Stellen hier auch ihre eigenen Grenzen des Möglichen beschreibt, die vielleicht von den Aufsichtsbehörden anderer Bundesländer so nicht vertreten werden.
Ob Schulen die Vorgaben des Bayerischen Landesbeauftragten für den Datenschutz erfüllen können, ist schwierig abzuschätzen. Für Videokonferenz-Systeme wird der Nachweis der Wirksamkeit der Standardvertragsklauseln für Schulen nicht zu erbringen sein. Dass hier keine Ausnahme gemacht wird, dürfte mit der Bereitstellung einer alternativen Plattform durch das Schulministerium zusammenhängen. Da es eine vergleichbare Alternative für die eigentlichen Office-Anwendungen von Plattformen wie Microsoft/ Office 365 oder Google Workspace for Education bisher nicht von Landesseite für die Schulen gibt, „drückt die Aufsichtsbehörde hier noch einmal ein Auge zu.“ Um im Rahmen einer Prüfung durch die Aufsichtsbehörde ob anlasslos oder in Folge einer Beschwerde überhaupt eine Chance zu haben, sollten Schulen in Bayern also unbedingt auf eine ausreichend sicher gestaltete Verschlüsselung und/oder Pseudonymisierung setzen und die Dokumentation, wie im Beitrag beschrieben, erstellen.