Im Rahmen des Informationsfreiheitsgesetz NRW hatte es bereits am 30.12.2021 über die Plattform FragDenStaat eine Anfrage bei der LDI NRW bezüglich der Offenlegung von „Einschätzungen hinsichtlich des Datenschutzes zu Trello, padlet, Microsoft 365 (inkl. Teams), Cryptpad, Nextcloud, Owncloud, Lerntools, Jitsi-Meet und BigBlueButton“ gegeben. Der Petend bat um die Zusendung des gesamten Schriftverkehrs. Am 01. Februar 2022 erhielt FragDenStaat dann eine Antwort, welcher vier Dokumente angefügt sind. Zwei davon betreffen Microsoft 365, eines Padlet und das vierte Beratungen hinsichtlich der Nutzung von Videokonferenzsystemen. Mit einem Schreiben wird ein aktueller Einblick in Beratungsschreiben gegeben, welche die Aufsichtsbehörde bei Anfragen verschickt. Ein weiteres gibt eine Antwort auf eine Beratungsanfrage betreffend den Einsatz von Microsoft 365 an Schulen wieder. Da die Aufsichtsbehörde bereits vergleichbare Anfragen erhielt sich dazu über FragDenStaat äußerte, wird auch auf diese Antworten verwiesen. Bezüglich der Einschätzungen zu den Diensten Trello, Cryptpad, Nextcloud, Owncloud und Lerntools gibt die Aufsichtsbehörde an, keine Einschätzungen vorliegen zu haben.
Wirklich Neues ergibt sich aus den Einschätzungen der LDI NRW nicht. Die Einschätzung zu Padlet stammt von Ende 2021 und die LDI NRW hält, wie zu erwarten, eine Nutzung aus verschiedenen Gründen für bedenklich. Die Aufsichtsbehörde scheint aber eine Nutzung auf der Grundlage einer informierten und freiwilligen Einwilligung nicht völlig auszuschließen, weist gleichzeitig aber auch auf die Problematik der Freiwilligkeit im schulischen Zusammenhang hin.
Die Antwort im Dokument zu Beratungen zu Videokonferenz Systemen fällt mit drei kurzen Abschnitten sehr knapp aus. Es wurden keine Sicherheitsaudits durchgeführt. Man führt an, dass in Betracht kommende Lösungen am besten in einem eigenen Rechenzentrum gehostet werden, da man so die völlige Kontrolle habe, auch wenn es mal ein Sicherheitsproblem geben wie etwa kurzfristig bei BigBlueButton. In Frage kamen dafür Open Source wie auch kommerzielle Produkte wie „Big Blue Button, Cisco Meeting Server oder Jitsi.“
Von den zwei Schreiben zu Microsoft 365 ist das eine eine Antwort der LDI NRW vom 18.01.2022 zur Beratungsanfrage einer Schulleitung betreffend den Einsatz von Microsoft 365 an Schulen. Auf eineinhalb Seiten erklärt die LDI NRW die Probleme, welche sich aus einer Nutzung von Microsoft 365 für Verantwortliche ergeben und weist auch auf die laufenden Gespräche der Datenschutzkonferenz mit Microsoft hin. Erwähnung finden auch die Beschwerden von Eltern, welche von der Ausichtsbehörde fordern, die Nutzung der Plattform zu verbieten. Das Schreiben endet mit „Da die Rechtslage nach dem Schrems-II-Urteil sehr eindeutig ist, sehe ich bei Programmen, mit deren Nutzung eine Datenübermittlung in die USA herstellerseitig verbunden ist, keine Möglichkeit, Ihnen als für die Datenverarbeitung Verantwortliche grünes Licht für den Einsatz solcher Programme zu signalisieren.“ und der Bitte um Verständnis.
Das letzte Schreiben gibt einen allgemeinen aktualisierten Stand zu Microsoft 365 vom 24.09.2021 wieder. Wie aus dem Schreiben zu entnehmen, ist dieses die Antwort auf eine Anfrage eines Datenschutzbeauftragten. Im Schreiben werden die bekannten Probleme beschrieben, welche durch die Übermittlung von personenbezogenen Daten, auch wenn es nur Telemetriedaten sind, entstehen. Zur Sprache kommen auch die Pflichten, welchen der Verantwortliche genügen muss, wenn Microsoft 365 an einer Schule eingesetzt werden soll. Die LDI NRW schließt nicht grundsätzlich aus, dass eine datenschutzkonforme Nutzung machbar ist, geht aber davon aus, dass ein Nachweis für Verantwortliche gegenwärtig kaum möglich sein wird.
Näher betrachtet
Sehr bemerkenswert finde ich die Aussage, welche die LDI NRW im Zusammenhang mit den Beschwerden von Eltern macht, welche von ihr erwarten, die Nutzung von Microsoft 365 an Schulen verbietet und sogar mit Klage drohen. Ein Verbot hält sie mit Blick auf die Schulen gerade in der Pandemie nicht für zielführend. Stattdessen verfolgt sie einen anderen Ansatz, dessen Erfolgsaussichten allerdings noch ungewiss sind:
„Ich halte den von der Datenschutz- und auch der Kultusministerkonferenz eingeschlagenen Weg, unmittelbar gegenüber den Programmanbietern tätig zu werden, derzeit für den besseren Weg. Auch dieser Weg zielt auf einen datenschutzkonformen Zustand.“
Warum ist diese Aussage so bemerkenswert? Ein Vergleich mit Baden Württemberg und Rheinland Pfalz zeigt, dass die LDI NRW einen vollkommen anderen Ansatz verfolgt. Während man in den beiden genannten Bundesländern die Absicht geäußert hat, Schulen die Nutzung von Microsoft 365 zu untersagen, da man der Ansicht ist, dass die Schulen nicht in der Lage sind, die Plattform DS-GVO konform einzusetzen, setzt man in NRW eine Lösung auf Seiten von Microsoft. Die Formulierungen im Rest des Schreibens lassen vermuten, dass man in der Aufsichtsbehörde NRW die Probleme mehr auf der Einhaltung von Vorgaben der DS-GVO und der Rechtssprechung des EUGH sieht als bei essentiellen Risiken, welche durch eine Nutzung entstehen können. Das kling in anderen Aufsichtsbehörden mitunter anders.
Wie lange die LDI NRW diese Strategie verfolgen kann, dürfte vor allem davon abhängen, ob Microsoft sich schnell genug bewegt und den Eingaben der Datenschutz- und wie auch der Kultusministerkonferenz nachkommt. Ein weiterer Faktor könnte der Verlauf der Pandemie sein. Kehren Schulen wieder zu „normalen“ Zuständen zurück, fällt dieses Argument weg, um die Abwartehaltung zu rechtfertigen.