Am 26.11.2022 gab es unter dem Titel Richtungsweisende Bewertung der Datenschutzkonferenz zu Microsoft 365 eine Pressemitteilung des Thüringer Landesbeauftragten für den Datenschutz und die Informationsfreiheit (TLfDI), Dr. Lutz Hasse. In dieser erläutert er, wie die Bewertung der DSK zu verstehen ist. Sie richte sich demnach an Schulleitungen als Verantwortliche und erkläre ihnen, dass Microsoft 365 für sie nicht DS-GVO konform nutzbar sei. Der Grund dafür seien fehlende Informationen von Seiten Microsofts, die sie daran hinderten, ihren Rechenschaftspflichten gemäß Art. 5 Abs. 2 DS-GVO, zu denen sie verpflichtet sind als Verantwortliche, nachzukommen. Es folgen Beispiele, wo dieses in Schule von Belang ist. Eine Einwilligung durch Eltern und Lehrkräfte setze gem. Art. 4 Nr. 11 DS-GVO voraus, dass diese informiert sind. Die Schulleitung könne hier aber nicht alle erforderlichen Informationen bereitstellen, da Microsoft keine ausreichenden Angaben dazu mache, welche Daten von welchen Personen für eigene Zwecke verarbeitet würden. Dieses wirkt sich auch auf die Informationspflichten gem. Art. 13 DS-GVO aus, denen so nicht vollständig nachgekommen werden könne. Ohne ausreichende Information über die Datenverarbeitung erteilte Einwilligungen seien nicht rechtswirksam, wodurch die Verarbeitung der Daten der einwilligenden Personen ohne eine Rechtsgrundlage erfolge. Die Verarbeitung zu eigenen Zwecken durch den Auftragnehmer, hier Microsoft, verstoße zudem auch gegen die Vorgaben von Art. 28 DS-GVO. Außerdem, so der TLfDI kämen noch die Fragen bezüglich der Übermittlung von personenbezogenen Daten in die USA hinzu.
Besonders interessant ist eine Aussage am Ende der Pressemitteilung bezüglich der Umsetzung der Bewertung der DSK zu MS365: „Meine Aufsichtsbehörde wird nun – wie die anderen Datenschutzaufsichtsbehörden auch – mit den Verantwortlichen im öffentlichen und nicht-öffentlichen Bereich den Kontakt suchen, um eine verhältnismäßige Umsetzung dieser Rechtslage zu erörtern. Hierbei werden zeitliche Aspekte und alternative Pfade Gegenstand der Erörterung sein.“
Bewertung
Mit seiner Pressemeldung versucht der TLfDI verständlich zu machen, warum Schulen nach der neuen Bewertung der DSK zu Microsoft 365 diese Plattform nicht länger nutzen können. Interessant aus der Perspektive NRW ist hierbei, dass der TLfDI auch die Einwilligung als Rechtsgrundlage für eine Nutzung von MS365 beschreibt, die aber eben aufgrund der Probleme, den Informationspflichten nach Art. 13 DS-GVO nachzukommen, dann letztlich auch keinen Ausweg bietet. Ob er Schulen damit überzeugen kann, steht auf einem anderen Blatt. Doch letztlich ist es egal, ob Schulen die Bewertung der DSK nachvollziehen können oder nicht. Für den TLfDI ist der Weg vorgezeichnet. Er wird die Verantwortlichen zur Aufgabe von MS365 bringen. Dabei wird dann jedoch nicht darum gehen, einen Wechsel von heute auf morgen zu erzwingen, sondern Wege zu finden, wie dieses für die Schulen zeitlich wie auch mit alternativen Plattformen zu bewältigen ist. Zu erwarten ist, dass Schulen der Aufsichtsbehörde mitteilen müssen, in welcher Frist sie die Umstellung bewältigen wollen. Wie aus den Äußerungen von Lutz Hasse in der Pressemeldung zu entnehmen ist, kann man auch in anderen Bundesländern mit einem vergleichbaren Vorgehen rechnen.