Datenschutzrechtliche Bewertung zu Microsoft 365 des LfDI RLP

Über das Portal Frag den Staat wurde am 31.08.2022 der aktuelle Stand einer Anfrage im Rahmen des Landes Transparenz Gesetzes (LTranspG) unter dem Titel „Datenschutzrechtliche Bewertung zu Microsoft 365“ veröffentlicht. Die ursprüngliche Anfrage erging am 28.06.2022. Dem Autoren der Anfrage ging es um zwei Themenschwerpunkte. Einmal wurden Informationen angefragt „zur datenschutzrechtlichen Bewertung von Microsoft 365 in Verbindung mit der Beendigung der Duldung zur Nutzung von MS Teams an Schulen in Rheinland-Pfalz“ und dann ging es um Dokumente aus der Arbeit der Arbeitsgruppe der Datenschutzkonferenz, die sich mit einer datenschutzrechtlichen Bewertung der Auftragsverarbeitung bei Office 365 befasst, soweit diese „über den Stand zur 3. Zwischenkonferenz der DSK am 30.10.2020 und das dort verabschiedete Positionspapier zur datenschutzrechtliche Bewertung der Auftragsverarbeitung bei Microsoft Office 365 hinausgehen.“ Über Frag den Staat veröffentlichte die Aufsichtsbehörde Rheinland Pfalz neben dem Bescheid zur Anfrage drei weitere Dokumente. Mit Bezug auf die angefragte datenschutzrechtliche Bewertung von MS 365 durch die Aufsichtsbehörde wurde auf die Homepage des LfDI verwiesen: FAQ zu Microsoft 365, Nach dem Auslaufen der Duldung: Wie geht es jetzt weiter? und Datenschutz in der Schule – Fragen und Antworten für Lehrkräfte verwiesen. Bezüglich neuer Dokumente aus der Arbeitsgruppe der Datenschutzkonferenz (DSK) wurde auf die noch ausstehende Veröffentlichung des Protokolls der 2. Zwischenkonferenz der DSK vom 22.06.2022 verwiesen, und dass MS 365 auf der 3. Zwischenkonferenz erneut auf der Tagesordnung stehen wird. Zum Stand der Gespräche mit Microsoft gibt es bislang nur den mündlichen Bericht aus der 2. Zwischenkonferenz. Die Informationen in den anderen drei Dokumenten geben wieder, wie die Aufsichtsbehörde Microsoft 365 aktuell beurteilt.

  • Das Schreiben „Anfrage MS 365 ohne Teams an Schulen“ ist ein Antwortschreiben von Juli 2022.
    • Im Schreiben wird zunächst klargestellt, dass die bestehenden Probleme nicht nur MS Teams, sondern alle Komponenten von Office 365 betreffen. Und da es nicht nur um personenbezogene Daten geht, wie sie in Office Dokumenten verarbeitet werden, gemeint sein dürften hier die Nutzungsdaten, welche nebenbei anfallen, sollte nach Einschätzung der Aufsichtsbehörde eine Nutzung nicht über private Endgeräte erfolgen. Diese können nicht von der Schule konfiguriert und mit den gleichen Schutzeinstellungen versehen werden wie schuleigene Geräte. Im Schreiben wird nicht ausgeschlossen, dass eine datenschutzkonforme Nutzung von MS 365 in Schulen möglich ist: „Die nicht nur seitens des Landesbeauftragten Rheinland-Pfalz, sondern von allen Datenschutzaufsichtsbehörden problematisierte Nutzung von MS Office-Cloud-Lösungen schließt nicht aus, dass seitens der Schulen durch geeigenet Maßnahmen Rahmenbedingungen für einen datenschutzkonformen Einsatz geschaffen werden können, indem die Übermittlung personenbezogener Daten in die USA verlässlich ausgeschlossen wird.“ Bezüglich möglicher Maßnahmen wird auf den eigenen Internetauftritt verwiesen. Unter den gegebenen Bedingungen hält die Aufsichtsbehörde eine DS-GVO konforme Nutzung von MS 365 für schwierig. Ob daran die von Microsoft angekündigte „EU Data Boundary“, mit der Daten europäischer Kunden vollständig und
      ausschließlich in der EU gespeichert und verarbeitet werden können, etwas ändern wird, bleibt abzuwarten, wie auch die zeitliche Umsetzung dieser Maßnahme durch Microsoft. Erwähnt wird auch noch einmal die Verarbeitung von personenbezogenen Daten zu (eigenen) Geschäftszwecken durch Microsoft, was ein Gegenstand der Gespräche des Arbeitskreises der DSK gewesen sein dürfte.
  • Das Schreiben „Rahmenbedingungen für eine datenschutzkonforme Nutzung von Office 365 an Schulen“ ist vom Mai 2022.
    • Es knüpft an eine vorherige Besprechung an. An dieser dürften, so kann man aus Formulierungen im Schreiben vermuten, Vertreter:innen des Kultusministeriums RLP beteiligt gewesen sein, die mit diesem Schreiben noch einmal weitere Informationen erhalten. Das Schreiben greift Gesprächspunkte der Besprechung auf, etwa die Probleme, welche die Aufsichtsbehörde in der Nutzung der Cloud Version von Office 365 sieht. Interessant ist hier, dass man die Probleme vor allem bei der Standard Education Version sieht: „Die genannten Probleme betreffen dabei in erster Linie die Standard-Cloud-Lösung bzw. die für den Bildungsbereich angebotene Office 365 Education-Variante.“ Das Microsoft hier eine kurzfristige Lösung anbieten wird, ist für die Aufsichtsbehörde nicht erkennbar. Anforderungen, die sich für Schulen bezüglich einer Übermittlung von personenbezogenen Daten in die USA ergeben, seien nach Einschätzung der Aufsichtsbehörde aktuell kaum zu erfüllen. Es wird dann auf die Alternative von lokalen Installationen von Office 365 verwiesen und Hinweise, die man für Schulen zusammengestellt hat, wie diese die Datenflüsse kontrollieren können. Zum Abschluss geht man auf die bereits im vorherigen Schreiben beschriebenen aktuellen Entwicklungen ein, die „EU Data Boundary“, die auch Schulen bis Ende 2022 zur Verfügung stehen soll. Die Auswirkung dieser EU Data Boundary auf die bestehenden Probleme, schätzt die Aufsichtsbehörde positiv ein, wenngleich man deutlich macht, dass es noch offene Fragen gibt, etwa bezüglich des CLOUD-Acts. Diese könnten jedoch möglicherweise durch technische Maßnahmen gelöst werden. „Wenn die von Microsoft vorgesehene EU Data Boundary die angekündigte Funktionalität gewährleistet, würde sich die gegenwärtige Sachlage, was den Zugriff durch amerikanische Stellen bzw. die Übermittlung von Daten in die USA angeht, verändern. Zwar gibt es auch hier noch Folgefragen hinsichtlich des sogenannten CLOUD-Acts, hier könnten jedoch technische Lösungsansätze bestehen. Daher bleibt die weitere Entwicklung abzuwarten.“ Interessant ist am Ende noch die Bitte, die Aufsichtsbehörde auf dem Laufenden zu halten, wenn sich über die „Geprächskanäle der Kultusminister:innenkonferenz belastbare Informationen ergeben“ sollten. Das dürfte Informationen meinen, die sich aus den seit Anfang des Jahres laufenden Gesprächen zwischen der KMK und Microsoft ergeben (siehe dazu auch den Beitrag „Neuer Player in Gesprächen mit Microsoft?„).
  • Das letzte Schreiben „Nutzung von Microsoft Teams an Schulen in Rheinland-Pfalz“ ist mit Datum vom 25.07.2022 noch recht neu.
    • Es dürfte die Antwort auf eine Anfrage einer Betroffenen darstellen, die der Aufsichtsbehörde gegenüber mit Blick auf die „verschärfte IT-Sicherheitslage in Deutschland und Europa“ ihre Sorge um die Sicherheit der Daten von Schülerinnen und Schülern ausgedrückt hat, und dieses auch auf die vom Bundesland bereitgestellten Plattformen bezieht. Die anfragende Person hat wohl den Eindruck, bei den vom Land für Schulen bereitgestellten Plattformen (MediaCampus, BigBlueButton) seien die Anstrengungen zum Schutz der personenbezogenen Daten nicht vergleichbar denen der großen Player am Markt. Die Aufsichtsbehörde räumt hier Zweifel aus und weist darauf hin, dass die Nichtveröffentlichung getroffener Maßnahmen nicht auch bedeutet, es gebe solche Maßnahmen nicht. Gleichwohl gibt die Aufsichtsbehörde zu, große Anbieter (gemeint sein dürften hier Microsoft, Apple, Amazon, Google, …) erhebliche Aufwände unternehmen, um Schutz und Sicherheit der Verarbeitung der Kundendaten sicherzustellen, und sich „die dort getroffenen Maßnahmen auf einem anerkennenswerten Niveau bewegen.“ Im Folgenden geht das Schreiben dann auf die Nutzung von MS Teams ein und die zum Schuljahresende ausgelaufene Duldung durch die Aufsichtsbehörde. Es wird auf die aktuell laufenden Gespräche der KMK wie auch der Arbeitsgruppe der Datenschutzkonferenz mit Microsoft verwiesen, auf deren Ausgang. Aktuell steht u.a. noch immer die von den Aufsichtsbehörden als nicht DS-GVO konform eingeschätzte „Verarbeitung der Nutzungsdaten für eigene Geschäftszwecke von Microsoft“ im Raum, bei der mit Microsoft noch keine Einigung erzielt werden konnte. Gemeinsam mit dem Bildungsministerium sei die Aufsichtsbehörde von daher der Meinung, dass unter den gegebenen Umständen ein ein rechtmäßiger Einsatz der Cloud-Lösungen an Schulen nicht möglich sei. Ob es mittelfristig eine Lösung für eine datenschutzkonforme Nutzung von Microsoft Cloud Produkten geben werde, bleibe abzuwarten. Bevor das Schreiben mit dem Hinweis auf Open-Source Lösungen als Alternative für den Unterricht schließt, wird noch die auch in den anderen Schreiben erwähnte „Eu Data Boundary“ erklärt und mögliche Veränderung der Sachlage sowie die dann weiterhin ungelösten Fragen zum CLOUD-Act.

Bewertung

Die über Frag den Staat veröffentlichten Dokumente geben den aktuellen Stand zur schulischen Nutzung von Microsoft Teams und Microsoft 365 recht gut wieder. Unter den gegenwärtigen Bedingungen sind Schulen nicht in der Lage, die Bedingungen für eine datenschutzkonforme Nutzung zu erfüllen. Die Aufsichtsbehörde, das wird deutlich, schließt zum einen nicht aus, dass die EU Data Boundary zu einer Veränderung der Sachlage führen wird, da ohne die Übermittlung von personenbezogenen Daten in die USA, US Ermittlungsbehörden keinen unmittelbaren Zugriff mehr auf die personenbezogenen Daten von Nutzern haben. Noch offen bleibt jedoch weiterhin die Problematik um den CLOUD-Act, da dieser auch Daten betrifft, die zukünftig auf Servern in der EU Data Boundary verarbeitet werden. Hier hält man es jedoch für möglich, dass durch geeignete technische Maßnahmen Lösungswege gefunden werden könnten, um auch dieses Problem auszuräumen. Eine solche Lösung wird nach Einschätzung der Aufsichtsbehörde jedoch nicht kurzfristig zu erzielen sein. Auch ob sich zumindest mittelfristig Lösungen ergeben, scheint der Aufsichtsbehörde nicht gegeben, aber sie hält es für möglich.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.