Mit Datum vom 16.02.2023 informiert der Landesbeauftragte für den Datenschutz Sachsen-Anhalt über den Sachstand bezüglich der Nutzung des Cloud-Dienstes Microsoft 365. Auf der Seite Infopaket Microsoft 365 geht es zunächst um die Bewertung durch die DSK, die dort im November 2022 zu dem Schluss gekommen war, dass eine datenschutzkonforme Nutzung aktuell nicht möglich ist, da Microsoft nach eigenen Aussagen personenbezogene Daten für eigene Zwecke verwendet und über diese Verwendung keine weiteren Angaben macht, die es Verantwortlichen ermöglichen, ihrer Rechenschaftspflicht nach Art. 5 Abs. 2 DS-GVO vollständig nachzukommen. Direkt im Anschluss erklärt der Landesbeauftragte, wie sich dieses für Schulen auswirkt:
„So kann z. B. eine Schule, die Microsoft 365 einsetzen möchte, ihre Informationspflichten nach Art. 13 DS-GVO nicht erfüllen, wenn nicht bekannt ist, welche personenbezogenen Daten der Schüler oder Lehrer für welche Zwecke durch Microsoft verarbeitet werden. Dadurch ist auch keine informierte Einwilligung der Eltern bzw. Lehrer hinsichtlich der Nutzung von Microsoft 365 möglich (Art. 4 Nr. 11 DS-GVO). Dennoch erteilte Einwilligungen wären unwirksam, wodurch auch die Rechtsgrundlage zur Verarbeitung dieser Daten nach Art. 6 Abs. 1 lit. a DS-GVO entfallen würde. Außerdem liegt ein Verstoß gegen Art. 28 DS-GVO vor, wenn der Auftragsverarbeiter (Microsoft) die Daten nicht nur auf Weisung des Verantwortlichen (Schule) verarbeitet, sondern sich vorbehält, diese auch für eigene Zwecke zu verarbeiten. Es würde sich dann um eine Datenübermittlung an Microsoft handeln, die aufgrund der fehlenden Rechtsgrundlage unzulässig wäre. Hinzu kommen die Fragen zur Datenübermittlung in die USA.“
Auch wenn das zunächst wie das Aus für die Cloud Version von Microsoft 365 für Schulen klingt, gibt es noch einen wichtigen Nachsatz, der sich so auch in der Information zum Sachstand für öffentliche Stellen findet.
„Er [der Landesbeauftragte] wird die Vorgaben der DS-GVO unter Berücksichtigung der Interessen der Verantwortlichen in Sachsen-Anhalt und dem Gebot der Verhältnismäßigkeit umsetzen.“
Der Landesbeauftragte möchte nicht ausschließen, dass eine DS-GVO konforme Nutzung durch zukünftige Anpassungen von Microsoft 365 und der zugehörigen Dokumentation möglich ist.
„Inwieweit zukünftige Anpassungen durch Microsoft eine datenschutzkonforme Nutzung ermöglichen, bedarf einer individuellen Prüfung des jeweiligen Verantwortlichen.“
Abschließend ordnet der Landesbeauftragte die Feststellung der DSK von November 2022 noch einmal ein.
„Die Feststellung der DSK kann daher weder Produktempfehlung noch Produktwarnung sein.“ Damit möchte man der Kritik von Fachjuristen begegnen, die Aufsichtsbehörden und auch der DSK genau dieses in der Vergangenheit wiederholt vorgeworfen hatten.
Bewertung
In Sachsen Anhalt hat die Aufsichtsbehörde deutlich gemacht, was aus der Festlegung der DSK für öffentliche Stellen folgt. Sie können die Cloud Version von Microsoft 365 nicht DS-GVO konform nutzen, da sie nicht in der Lage sind ihrer Rechenschaftspflicht in vollem Umfang nachzukommen. Wo die Probleme praktisch liegen, macht der Landesbeauftragte am Beispiel Schule deutlich. Aber er verkündet auch, dass er die Vorgaben der DS-GVO nicht dogmatisch umsetzen wird, sondern dabei sowohl die Interessen der Verantwortlichen als auch das Gebot der Verhältnismäßigkeit berücksichtigen will. Für Schulen bedeutet dieses: sie müssen darlegen können, warum sie auf die Plattform nicht verzichten können und welche Folgen der Verzicht darauf perspektivisch haben würde für die Umsetzung des Bildungs- und Erziehungsauftrags. Sie müssten auch darlegen können, warum sich dieses zumindest aktuell nicht mit anderen Mitteln erreichen lässt. Außerdem sollten die Schulen alle möglichen technischen und organisatorischen Maßnahmen umsetzen, um ihren Tenant ohne voraussichtliche hohe Risiken für die Betroffenen, sprich Schüler und Lehrkräfte, zu betreiben.