OLG Karlsruhe Entscheidung sorgt für verfehlte Euphorie

Hatte die Entscheidung der Vergabekammer Baden Württemberg im Juli 2022, in welcher der Einsatz einer Cloud-Lösung eines EU-Tochterunternehmens eines US-Anbieters als nicht datenschutzkonform eingestuft wurde, auch wenn diese die Daten ihrer Kunden auf Servern in Deutschland speichern und die EU-Standardvertragsklauseln implementieren, noch für zusätzliche Sorgen bei Schulen gesorgt, die auf US Cloud Plattformen wie Microsoft 365 setzen, so sorgte die Entscheidung des OLG Karlsruhe, mit welcher die Entscheidung der Vergabekammer aufgehoben wurde, bei eine ganzen Reihe von Menschen für Hoffnung und sogar Euphorie. Dafür sorgte nicht zuletzt die Berichterstattung von new4teachers, wo diese Entscheidung des OLG als  datenschutzrechliche Absolution für in Schulen genutzte US Cloud Anbieter beschrieben wurde. In einem Beitrag mit dem Titel „Wegweisendes Urteil: Behörden (Schulen) dürfen darauf vertrauen, wenn IT-Anbieter ihnen Datenschutz-Kompatibilität zusichern“ vom 12.09.2022 wurde die Auswirkung des Beschlusses auf die aktuell bestehenden Unsicherheiten bei der Nutzung von US Cloud Plattformen für schulische Zwecke beschrieben. Man kam dort zu dem Schluss „Das Oberlandesgericht Karlsruhe hat ein wegweisendes Urteil zum Datenschutz (auch) an Bildungseinrichtungen gefällt. Öffentliche Auftraggeber, also auch Schulen und Schulträger, können darauf vertrauen, wenn ihnen IT-Anbieter Datenschutz-Kompatibilität zusichern – und sie beauftragen. Das bedeutet im Umkehrschluss: Die Kampagne insbesondere gegen Microsoft in Schulen, die von Datenschutzbeauftragten einiger Bundesländer geführt wird, dürfte so nicht länger haltbar sein.“ Oberflächlich betrachtet, liegt dieser Schluss nahe, denn eine Kritik der Aufsichtsbehörden an den US Cloud Plattformen ist die Möglichkeit von US-Ermittlungsbehörden, im Rahmen des CLOUD-Acts auch dann auf die Daten deutscher Schülerinnen und Schüler zuzugreifen, wenn diese ausschließlich in Rechenzentren in der EU verarbeitet und gespeichert werden. Heißt es nun also, alleine die latente Möglichkeit sei kein Ausschlussgrund, wenn der in der EU ansässige Anbieter zusichert, keine Daten auszuliefern, dann könnte man vermuten, dass dieses so auch auf Microsoft, Google, Apple und vergleichbare in Schulen angesetzte Anbieter anzuwenden ist.

Dem ist leider nicht so, denn weder lässt sich die Entscheidung zu diesem Fall nicht 1:1 auf die Nutzung eines Microsoft 365 oder Google Workspace for Education übertragen, noch wären damit dann alle datenschutzrechtlichen Probleme, welche Aufsichtsbehörden in einer Nutzung dieser Plattformen in Schule sehen, ausgeräumt. In dem Fall ging es um eine grundsätzliche Entscheidung bezüglich der von einem Bieter gemachten Zusagen, nicht jedoch um die datenschutzrechtliche Bewertung, ob ein latentes Risiko des Zugriffs von Ermittlungsbehörden bereits eine Übermittlung in die USA darstellt. Ein Positives hat die Entscheidung aber doch, wie Dr. Rebecca Schäffer und Dr. Lukas Ströbel in einem Kommentar zum Fall feststellen: „Wohl aber darf man von einer deutlichen Entspannung der Situation sprechen. Denn es gibt nun – jedenfalls derzeit – keine rechtskräftige Entscheidung, in der eine datenschutzrechtliche Bewertung vertreten wird, nach der, konsequent zu Ende gedacht, Cloud-Dienste unter Einbindung US-amerikanischer Tochterunternehmen in der EU überhaupt nicht mehr ohne Datenschutzrechtsverstoß zur Verarbeitung personenbezogener Daten hätten eingesetzt werden können.“

In den Kommentaren zum news4teachers Beitrag setzt sich auch Lutz Hasse, Thüringer Landesbeauftragter für Datenschutz und Informationsfreiheit, mit den Schlussfolgerungen auseinander, welche man dort aus der Entscheidung des OLG Karlsruhe zieht, und erklärt, warum dieses Urteil eben keine Absolution für die Nutzung von Microsoft 365 an Schulen darstellt. Er argumentiert u.a. damit, dass Vertrauen laut OLG Karlsruhe nur dann möglich ist, wenn „keine konkreten Anhaltspunkte für Zweifel an der Zusicherung bestehen.Das ist ein entscheidender Punkt, denn die Richter haben hier einen Vorbehalt eingebaut.
Diese konkreten Anhaltspunkte liegen hier jedoch vor.“ Und damit, so Lutz Hasse, verpuffe damit die Entscheidung des OLG im in den Kommentaren diskutierten Zusammenhang, der schulischen Nutzung von Microsoft 365.

Bewertung

Der Fall zeigt, dass es für Laien schwierig bis unmöglich ist, die Auswirkungen von vergleichbaren Entscheidungen von Gerichten auf andere Zusammenhänge einzuschätzen. Bei news4teachers wollte man wohl ohnehin einmal etwas anderes loswerden, dass man direkt von einer Kampagne von Datenschutzbeauftragten einiger Bundesländer insbesondere gegen Microsoft in Schulen sprach, der dann durch die Gerichtsentscheidung die Grundlage entzogen worden sei. Es wäre schön, wenn diese Entscheidung Klarheit gebracht hätte, doch das ist nicht der Fall. Wenn es tatsächlich einer gerichtlichen Klärung bedarf, ob die Nutzung von Microsoft 365 und ähnlich in Schulen aus datenschutzrechtlicher Sicht zulässig ist oder nicht, dann wird diese Klärung nur dann möglich sein, wenn eine Schule, welcher die Nutzung zur Verarbeitung von personenbezogenen Daten durch eine Aufsichtsbehörde untersagt wurde, dagegen vor Gericht klagt.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.