Schon einen Tag nach Bekanntwerden erster Informationen zur neuesten Bewertung von Microsoft 365 durch die Datenschutzkonferenz (DSK) hinsichtlich einer Nutzung in Schulen, veröffentlichte die DSK zwei Dokumente zu ihrer Entscheidung. Das ist einmal eine einseitige Festlegung zur Arbeitsgruppe DSK „Microsoft-Onlinedienste.pdf und es ist dann eine Zusammenfassung des Berichts der DSK zu Microsoft 365.pdf auf 8 Seiten. Gegenüber den Informationen im Heise Beitrag vom 25.11.2022 ( Datenschutzkonferenz: Microsoft 365 ist und bleibt datenschutzwidrig) finden sich in der Festlegung keine wesentlichen neuen Informationen. Dort heißt es dann wortwörtlich:
„Die DSK stellt unter Bezugnahme auf die Zusammenfassung des Berichts fest, dass der Nachweis von Verantwortlichen, Microsoft 365 datenschutzrechtskonform zu betreiben, auf der Grundlage des von Microsoft bereitgestellten „Datenschutznachtrags vom 15. September 2022“ nicht geführt werden kann.
Solange insbesondere die notwendige Transparenz über die Verarbeitung personenbezogener Daten aus der Auftragsverarbeitung für Microsofts eigene Zwecke nicht hergestellt und deren Rechtmäßigkeit nicht belegt wird, kann dieser Nachweis nicht erbracht werden.“
Im Dokument wird zunächst etwas zum Untersuchungsauftrag, zum Verfahren und zum Untersuchungsgegenstand gesagt und die Genese erläutert. Nach der sehr umstritten Abstimmung zu Microsoft 365 im September 2020 wurde eine Arbeitgruppe beauftragt, mit dem Auftrag, „zeitnah datenschutzgerechte Nachbesserungen sowie Anpassungen an die durch die Schrems II-Entscheidung des EuGH aufgezeigten Maßstäbe an Drittstaatentransfers für die Anwendungspraxis öffentlicher und nicht öffentlicher Stellen zu erreichen,“ Gespräche mit Microsoft aufzunehmen. Es erfolgten ab Ende 2020 14 mehrstündige Videokonferenzen zwischen Vertretern der Arbeitsgruppe und Microsoft. In Folge dieser Gespräche veröffentlichte Microsoft im September 2020 ein neues Data Processing Addendum,1siehe hierzu den Beitrag Neues Data Processing Addendum von Microsoft um der Forderung nach Nachbesserungen nachzukommen. Auf dieses Dokument stützt sich die Bewertung des Arbeitskreises, über welche dann in der DSK abgestimmt wurde. Bevor der Bericht bzw. seine Zusammenfassung die wesentlichen Ergebnisse sowie die Nachbesserungen an den Kritikpunkten von 2020 im neuen Data Processing Addendum (DPA) vorstellt, wird noch erklärt, was Gegenstand des Berichts ist und welche Prüfungen und Untersuchungen der Bericht nicht berücksichtigt. Die Bewertung beschränkt sich auf ausgewählte rechtliche Anforderungen der DS-GVO, was im Wesentlichen die sechs schon 2020 festgestellten vertraglichen Mängel meint. Sie berücksichtigt also weder das restliche Vertragswerk von Microsoft, noch die tatsächlich stattfindenden Datenflüsse und Verarbeitungen, die Einzelkomponenten des Cloud-Dienstes und deren Funktionalitäten bezüglich ihrer DS-GVO Konformität oder die Umsetzung der vertraglich festgelegten Verarbeitungen durch Microsoft. Auch inwieweit die Anforderungen des noch recht neuen TTDSG durch Microsoft erfüllt werden, wurde nicht berücksichtigt.
Der Bericht kommt zu dem Schluss, dass Microsoft mit dem neuen DPA nur einen Teil der Kritikpunkte adressiert und so insgesamt nur geringfügige Verbesserungen erzielt. So konnte auch nicht abschließend geklärt werden, bei welchen Verarbeitungen Microsoft Auftragsverarbeiter ist und wo Verantwortlicher. Nach Einschätzung der Arbeitsgruppe legt Microsoft auch nicht vollumfänglich offen, „welche Verarbeitungen im Einzelnen stattfinden.“ Somit erwartet die Arbeitsgruppe Schwierigkeiten für Verantwortliche, ihrer Rechenschaftspflicht nach Art. 5 Abs. 2 DS-GVO nachzukommen. Weiterhin fehlt eine ausreichende Transparenz bezüglich der Verarbeitung von Daten zu eigenen Zwecken durch Microsoft. Und gerade diese Verarbeitung zu eigenen Zwecken hat Konsequenzen.
„Eine Verwendung personenbezogener Daten der Nutzenden (z.B. Mitarbeitenden oder Schüler:innen) zu eigenen Zwecken des Anbieters schließt den Einsatz eines Auftragsverarbeiters im öffentlichen Bereich (insbesondere an Schulen) aus. Die Rechtsgrundlage des berechtigten Interesses nach Art. 6 Abs. 1 lit. f DS-GVO ist für Behörden nicht einschlägig (vgl. Art. 6 Abs. 1 Satz 2 DS-GVO). Aufgrund der Schwierigkeit für Verantwortliche des öffentlichen Bereichs, ihrer Rechenschaftspflicht nachzukommen, ist auch Art. 6 Abs. 1 lit. e DS-GVO i.V.m. jeweiligem Spezialrecht als Rechtsgrundlage schwer begründbar.“
Das bedeutet, Schulen können nach Auffassung der Aufsichtsbehörden Microsoft 365 nicht nutzen, da Microsoft Nutzerdaten für eigene Zwecke verarbeitet. Öffentliche Stellen wie Schulen dürfen Dritte wie Microsoft nur mit der Verarbeitung von personenbezogenen Daten beauftragen, wenn dieses im Rahmen eines Vertrag zur Auftragsverarbeitung erfolgt. Eine Verarbeitung von personenbezogenen Daten zu eigenen Zwecken durch den Auftragnehmer ist hierbei nicht vorgesehen und lässt sich auch nicht durch Art. 6 Abs. 1 lit. f DS-GVO legitimieren, da „berechtigtes Interesse“ für eine öffentliche Stelle durch die DS-GVO ausgeschlossen ist. Auch Art. 6 Abs. 1 lit. e DS-GVO (Wahrnehmung einer Aufgabe im öffentlichen Interesse) bzw. die Regelungen im Schulgesetz NRW, hier § 120 Abs. 1 und Abs. 5 bzw. die entsprechenden Regelungen in § 121 entfallen als mögliche Rechtsgrundlage für eine Nutzung von Microsoft 365, da Schulen, bedingt durch die mangelnde Transparenz auf Seiten Microsofts, nicht ihrer Rechenschaftspflicht gemäß Art. 5 Abs. 2 DS-GVO nachkommen können.
Die Zusammenfassung der Nachbesserungen in Form des Data Processing Addendum in sieben Unterpunkten findet, wie aus den wesentlichen Ergebnissen nicht anders zu erwarten, nahezu überall Unzulänglichkeiten, die hier jedoch nicht näher beschrieben werden sollen.
Bewertung
Die datenschutzrechtlichen Probleme um Microsoft 365 und die unterrichtliche Nutzung sind mittlerweile vermutlich an jeder Schule angekommen. Auch dass es eine neue Entscheidung der Datenschutzkonferenz geben sollte, dürfte vielen bekannt gewesen sein. Die Entscheidung wurde mit Spannung erwartet, denn es hängt doch einiges davon ab an Schulen. Nach der Veröffentlichung des Data Processing Addendums durch Microsoft im September, welches mit dem Hinweis veröffentlicht wurde, es sei eine Reaktion auf die Kritiken der Aufsichtsbehörden, kam stellenweise etwas Hoffnung auf. Doch leider wurden alle enttäuscht. Microsoft konnte wieder einmal nicht liefern, was die Aufsichtsbehörden erwarten. Die datenschutzrechtliche Bewertung betrifft nur einen Teil des Vertragswerks zu Microsoft 365. Mancher mag sich fragen, warum man den Rest nicht berücksichtigt hat, nicht die Technik, nicht die tatsächlichen Datenflüsse und Verarbeitungen, …? Darauf gab es auf Twitter eine gute Antwort von Alvar C.H. Freude, einem Mitarbeiter des LfDI Baden Württemberg: „Es gab laut Zusammenfassung den Auftrag, Nachbesserungen in den sechs 2020 bemängelten Punkten zu erreichen. Und wenn die Grundlagen nicht geklärt sind, braucht man nicht weiter untersuchen.“ Trotzdem gab es natürlich bereits verschiedene Untersuchungen auch zu anderen Aspekten der Datenverarbeitung mit Microsoft 365, etwa im Rahmen der Pilotierung in Baden Württemberg oder in Form mehrerer Datenschutz Folgenabschätzungen in den Niederlanden, die beide im Ergebnis Unzulänglichkeiten aufzeigten.
Das Thema ist noch nicht am Ende. Wie es weitergeht, ist offen. Microsoft wird wie schon seit Jahren weiterhin bemüht sein, die Anforderungen der Aufsichtsbehörden zu erfüllen. Das wird nicht nur die Vertragsgestaltung und Dokumentation der Verarbeitungen betreffen, sondern auch die Technologie selbst und die Möglichkeiten von Administratoren und Nutzern, auf Datenflüsse Einfluss zu nehmen. Wann und ob sich irgendwann einmal ein Erfolg einstellen wird, kann niemand sagen. Bis dahin heißt es abwarten. Doch die Zeit zum Abwarten werden die Aufsichtsbehörden Schulen nicht zugestehen.
Im Gegensatz zur Abstimmung der DSK von 2020, erfolgte die Entscheidung der Aufsichtsbehörden dieses Mal einstimmig. Das ist ein entscheidender Unterschied zu 2020, wo die Entscheidung, dass Microsoft 365 nicht DS-GVO konform genutzt werden kann, mit nur einer Stimme Unterschied getroffen wurde. Die Einstimmigkeit der Entscheidung stärkt Aufsichtsbehörden, wenn sie Schulen eine Nutzung untersagen wollen, denn diese Schule kann sich dann nicht mehr darauf berufen, dass Aufsichtsbehörden anderer Bundesländer die Einschätzung der eigenen Aufsichtsbehörde so nicht teilen.
Nicht öffentliche Stellen sind rechtlich etwas anders aufgestellt und von daher können Betriebe und Unternehmen die Verarbeitung der Daten von Mitarbeitern und Kunden anders legitimieren. Oftmals stehen ihnen auch für das Datenschutzmanagement andere Ressourcen zur Verfügung, so dass sie schon über entsprechende technische und organisatorische Maßnahmen ein großes Maß an Compliance erreichen können.
Was bedeutet das in der Praxis für die Schulen in NRW?
Das Ergebnis der Beratungen der Arbeitsgruppe und die anschließende einstimmige Beurteilung von Microsoft 365 durch die DSK bestätigen die Haltung der LDI NRW. An der in der Schrift Digitaler Unterricht in Schulen – Der Grundstein ist gelegt2siehe hierzu den Beitrag LDI NRW veröffentlicht Dokument zum digitalen Unterricht in Schulen vom 07.10.2022 geäußerten Absicht, mit Überzeugungsarbeit bei den Verantwortlichen zu arbeiten anstatt mit Untersagungen und Verboten, wird sich mit größter Wahrscheinlichkeit jedoch nichts ändern.
Doch wie sähe es aus, wenn die LDI NRW ihre Strategie ändert? Welche Möglichkeiten hätte sie? Was würde das für die Schulen bedeuten?
Im Folgenden wird beschrieben, welche Möglichkeiten der Aufsichtsbehörde zur Verfügung stehen und welche Konsequenzen dieses für Schulen hätte, wenn die LDI NRW davon Gebrauch machen würde. Dass es so kommen wird, ist aktuell nicht zu erwarten. Die beschriebenen Konsequenzen würden jedoch auf jeden Fall für Schulen zutreffen, die von einem aufsichtsrechtlichen Verfahren in Folge einer Beschwerde betroffen wären.
Da Aufsichtsbehörden keine Befugnis haben, die Nutzung einer Plattform generell zu untersagen, bleiben nur zwei Möglichkeiten, Schulen zur Aufgabe der Microsoft Plattformen zu bewegen. Entweder sie treten mit jeder Schule individuell in Kontakt oder sie treten an das Ministerium für Schule und Bildung heran, welches hier die Ressortverantwortung inne hat.3Prinzipiell wäre es auch möglich, ein Verbot auf Ebene der Bezirksregierungen auszusprechen, doch dieses würde ein einheitliches Handeln von allen fünf Bezirksregierungen erfordern. In der Vergangenheit gab es keine derartigen Verbote von Seiten des MSB. Von daher ist damit aktuell eher nicht zu rechnen. Den Schwarzen Peter wird man lieber bei der Aufsichtsbehörde lassen. In anderen Bundesländern, etwa Baden Württemberg, ist gleiches zu beobachten.
Das bedeutet, die Aufsichtsbehörde müsste sich, wenn sie eine harte Linie fahren will, jede einzelne Schule vornehmen. Welche Schulen Microsoft 365 nutzen, ist der Aufsichtsbehörde nur lückenhaft aus Beschwerden von Betroffenen bekannt. In Baden Württemberg handelte es sich beispielsweise um rund 40 Schulen, die dann Post von der Aufsichtsbehörde erhielten. In NRW dürfte die Zahl vermutlich etwas höher sein. Mit einer Verbreitung der Entscheidung der DSK zu Microsoft 365 dürfte es auch weitere Beschwerden von Betroffenen geben, die sich nun ermutigt fühlen, zu ihrem Recht zu kommen. Sind alle Schulen, zu denen Beschwerden vorlagen oder neu eingehen, versorgt, müsste die Aufsichtsbehörde zunächst eine Abfrage an alle Schulen senden, um zu ermitteln, an welchen Schulen sie aufsichtsrechtlich tätig werden muss. Im Schuljahr 2021/22 gab es in NRW 364 Berufskollegs, 174 Hauptschulen, 623 Gymnasien, 379 Realschulen, 358 Gesamtschulen und 114 Sekundarschulen.4Quelle: IT.NRW – https://www.it.nrw/schulen-nordrhein-westfalen Das sind insgesamt 1648 weiterführende Schulen, die Berufskollegs nicht mit eingerechnet. Während die Berufskollegs nahezu komplett Microsoft 365 nutzen, auch weil die Wirtschaft dieses einfordert, kann man davon ausgehen, dass dieses bei den anderen weiterführenden Schulen nicht der Fall ist. Hier dürften nach meiner Erfahrung etwa die Hälfte bis zwei Drittel Microsoft 365 und oder Microsoft Teams im Zusammenhang mit dem Unterricht nutzen. Das wären zwischen 824 und 1098 Schulen. Konservativ geschätzt dürfte es so um mindestens 1.200 Schulen gehen. Grundschulen spielen hier kaum eine Rolle, auch wenn es durchaus einzelne gibt, welche Microsoft Plattformen für den Unterricht nutzen. Hinzu kämen noch Schulen, welche die Plattformen ausschließlich für organisatorische Aufgaben und Teamarbeit im Kollegium nutzen. Geht man von mindestens 1.200 Schulen aus, welche nach dem Rücklauf der Antworten einer Abfrage an den Schulen von der Aufsichtsbehörde abgearbeitet werden müssten, so wird dieses vermutlich Monate dauern, da die personelle Kapazität der Aufsichtsbehörde begrenzt ist. Das einzelne Verfahren braucht seinerseits wiederum einige Zeit. In einem ersten Schritt wird die Schule bzw. der Verantwortliche aufgefordert, nachzuweisen, dass die Verarbeitung von personenbezogenen Daten mittels Microsoft 365 DS-GVO konform erfolgt. Dabei wird man vor allem einen Nachweis der Rechenschaftspflicht nach Art. 5 Abs. 2 DS-GVO einfordern, den die Schule nach einstimmiger Einschätzung der Aufsichtsbehörden nicht erbringen kann. Den Schulen wird dazu eine Frist von etwa 5 Wochen gesetzt.
Ist die Schule gut vorbereitet, wird sie umfangreich Auskunft geben und dieses mit den entsprechenden Dokumenten belegen. Diese wird die Aufsichtsbehörde prüfen und sich dann wieder bei der Schule melden. Sofern es in der Zwischenzeit nicht von Seiten von Microsoft deutliche Nachbesserungen gibt und Schulen haben alles getan, um entsprechende technische und organisatorische Maßnahmen und Informationspflichten umzusetzen, dürfte das Ende des Verfahrens in der Mehrheit der Fälle darin liegen, dass die Aufsichtsbehörde der Schule nahelegt, von sich aus die Nutzung von Microsoft 365 einzustellen und auf eine andere Plattform zu wechseln. Lässt sich die Schule darauf ein, wird man dafür eine Frist vereinbaren, innerhalb derer dieser Wechsel erfolgt. Diese Frist dürfte zwischen einem halben Jahr und etwas mehr liegen, etwa dem Ende eines Halbjahres oder Schuljahres.
Schulen, welche die Nutzung von Microsoft 365 nicht aufgeben wollen, ignorieren die Schreiben der Aufsichtsbehörde eventuell einfach. In solchen Fällen wird sich die Aufsichtsbehörde an das MSB oder die zuständige Bezirksregierung wenden, und dann kann die Schule nicht ausweichen. Im Fall von Schulen, die sich nach erfolglosem Nachweis einer DS-GVO konformen Nutzung nicht überzeugen lassen, wird die Aufsichtsbehörde von ihren Abhilfebefugnissen gemäß Art. 58 Abs. 2 DS-GVO Gebrauch machen und ein Verbot der Verarbeitung von personenbezogenen Daten mittels Microsoft 365 aussprechen. Ignoriert die Schule dieses einfach, kann die Aufsichtsbehörde vor ein Verwaltungsgericht gehen oder sich an das MSB oder eine Bezirksregierung wenden, um das Verbot durchzusetzen. In beiden Fällen, Gerichtsverfahren wie auch Einschaltung der obersten Schulaufsicht, dürften für die Verantwortlichen dienstrechtliche Konsequenzen drohen.
Bei den Berufskollegs würde man von Seiten des MSB vermutlich eine Sonderlösung suchen, etwa den Wechsel in die neue von Microsoft unabhängige Delos-Cloud5Siehe hierzu unten im Beitrag Von der Datenschutzkonferenz keine Entwarnung für MS365. Problem hierbei wird jedoch die Finanzierung sein. Die Kosten werden über denen von den aktuellen Microsoft Lizenzen liegen und müssen von den Schulträgern aufgebracht werden, die eventuell nicht in jedem Fall in der Lage dazu sein werden.
Viele Schulen werden sich, falls die Aufsichtsbehörde auf sie zu kommt, nicht von Microsoft 365 trennen wollen, denn es läuft gut und man hat sich in den vergangenen zwei Jahren eingearbeitet. Hinzu kommt, dass die Landeslösungen, Logineo NRW und Logineo NRW Messenger, im Umfang von Funktionen und Leistung nicht einmal ansatzweise an das herankommen, was Schulen mit der Microsoft Lösung im schulischen Alltag umsetzen. Und die Landeslösungen stehen aktuell auf dem Prüfstein. Wie es weitergeht, weiß niemand. Werden die bestehenden Lösungen verbessert oder werden sie ersetzt und wenn ja, wodurch? Das sind entscheidende Fragen, wenn eine Schule eine Wahl treffen muss, wie und womit sie Microsoft 365 ersetzt. Schulen werden also hoffen, möglichst lange verschont zu bleiben von der Post aus der Aufsichtsbehörde, und auf Zeit spielen, bis sie eine Entscheidungsgrundlage haben oder ein Microsoft Wunder geschieht. Letzteres scheint, angesichts der langen Liste der von den Aufsichtsbehörden bei ihrer Entscheidung nicht berücksichtigten Kriterien wenig realistisch oder zumindest in sehr weiter Ferne.
Und außerdem
Im Rahmen von Microsoft 365 Lizenzen nutzen viele Schulen auch lokale Installationen von Word, Excel und Powerpoint. Mit administrativen und technischen Anpassungen sollten sich diese kontrolliert lokal weiter nutzen lassen,6Kontrolliert lokal meint hier, dass es zwar den erforderlichen Abgleich der Lizenzen mit Microsoft Servern gibt, dabei jedoch keine personenbezogenen oder -beziehbaren Daten an Microsoft fließen. UCS@School hat ein solches Modell bereits vor einigen Jahren vorgestellt. Die Aufsichtsbehörde Rheinland Pfalz beschreibt Möglichkeiten für eine sichere Nutzung unter https://www.datenschutz.rlp.de/de/themenfelder-themen/microsoft-office-365/ in den FAQs sollte es an einer Schule zu einer Untersagung kommen. Mit mobilen Apps auf iPads oder Android Tablets ist das eventuell nicht oder nur eingeschränkt möglich. Nicht betroffen sein sollten die Microsoft 365 Lizenzen, welche Schulträger kostenfrei oder gegen ein geringes Entgelt für eine private Nutzung und Installation anbieten, da hier die Verarbeitung nicht durch die Schule bzw. im Rahmen eines Vertrags zur Auftragsverarbeitung zwischen Schule und Microsoft erfolgt. Handelt es sich jedoch um einen schulischen Tenant, gelten hier vermutlich die gleichen Regelungen wie für eine schulische Nutzung. Nutzen Schülerinnen und Schüler private Microsoft 365 Lizenzen auf ihren privaten Geräten und bringen diese mit in die Schule, um darauf in OneNote ihre Hefte zu führen, ist das ihre Privatangelegenheit. Dieses zum regulären Bestandteil des Unterrichts für alle Schülerinnen und Schüler zu erklären, um die Probleme mit einem schulischen Tenant zu umgehen, dürfte nicht funktionieren. Bei den oben genannten Rechtsgrundlagen, die für öffentliche Stellen ausscheiden, wurde die Einwilligung nicht genannt. Viele Schulen nutzen Microsoft 365 aktuell auf der Rechtsgrundlage einer Einwilligung. Dass die Aufsichtsbehörden diesen Weg nicht mitgehen, hat zwei Gründe. Zum Einen muss die Schule als verantwortliche Stelle zum Einholen einer Einwilligung gem. Art. 5 Abs. 1 lit. a Transparenz in Form der Information über die Datenverarbeitung (Art. 13. DS-GVO) nachkommen, wo die Aufsichtsbehörden Probleme sehen dürften, und zum Anderen und deutlich gewichtiger, wird die Einwilligung im Kontext Unterricht von den Aufsichtsbehörden als in den meisten Fällen nicht rechtswirksam eingeschätzt. Bei Microsoft 365 dürfte das, solange es nicht um eine kontrollierte lokale Nutzung geht, der Fall sein.
Aktuell deutet nichts darauf hin, dass die LDI NRW von ihrer bisherigen Linie abweichen wird. Von daher ist nicht zu erwarten, dass die Aufsichtsbehörde sich jede einzelne Schule vornehmen wird. Beschwerden kann sie jedoch nicht ignorieren. Hier wird sie tätig werden und entsprechende Verfahren einleiten, sofern dieses noch nicht geschehen ist.
Ausführlichere Informationen dazu, was die Entscheidung der DSK aktuell und auf die absehbare Zukunft tatsächlich für Schulen in NRW bedeutet und wie diese sich verhalten sollten, wenn sie an der Nutzung der Plattform festhalten wollen, finden sich im Beitrag Microsoft 365 – Stand Ende 2022.
Natürlich hat sich Microsoft bereits mit einer Stellungnahme zu dem Abstimmungsergebnis der DSK geäußert. Schulen hilft das leider nicht weiter.
5 thoughts on “Warum die Datenschutzkonferenz MS365 in Schulen nicht für nutzbar hält”