Wie auch in den Tätigkeitsberichten der Bremer Aufsichtsbehörde für die Jahre 2019 und 2020 so beschäftigte das Thema Microsoft 365 die LfDI auch 2022 wieder, wie aus dem 5. Tätigkeitsbericht hervorgeht. 2020 ging die Aufsichtsbehörde nach eigenen Informationen wie auch denen aus der bremischen Verwaltung davon aus, dass in öffentlichen Schulen in der Freien Hansestadt Bremen „auch aufgrund datenschutzrechtlicher Bedenken auf die Nutzung von Microsoft Office 365 weiterhin verzichtet“ wurde. Die Aufsichtsbehörde ging 2020 davon aus, dass eine datenschutzkonformene Verwendung von Microsoft 365 konnte bislang nicht dargelegt werden konnte. An bremischen Privatschulen wurde die Plattform aber allem Anschein nach doch genutzt, denn die Aufsichtsbehörde äußerte in dem Bericht, dass auch diese Schulen andere Angebote nutzen sollten. Ein Jahr später im Tätigkeitsbericht für 2020 blieb die LfDI bei ihrer Einschätzung, dass ein datenschutzkonformer Einsatz nur schwer möglich sei. Kritik übte sie seinerzeit an der fehlenden Transparenz und dass bei der Nutzung in Firmen „Module[n] wie Microsoft Delve, MyAnalytics und Office Graph, die zumindest bei Beibehaltung der Ausgangskonfiguration diverse Nutzungsdaten erfassen und zumindest teilweise auch in die Vereinigten Staaten von Amerika übermitteln.“
2022 gab es dann eine Anfrage bei der Aufsichtsbehörde bezüglich der Nutzung von Microsoft 365 an Schulen. Die LfDI hat weiterhin Bedenken und sieht die in der Vergangenheit angesprochenen Probleme noch nicht als behoben an: „Wir haben erhebliche datenschutzrechtliche Bedenken in Bezug auf die Nutzung von Microsoft 365, da die Möglichkeit einer datenschutzkonformen Verwendung bislang noch nicht dargelegt werden konnte. Insbesondere die fehlende Transparenz sowie die Vielzahl von verschiedenen Modulen, die diverse Nutzungsdaten erfassen und zumindest teilweise auch in die Vereinigten Staaten von Amerika übermitteln, sind datenschutzrechtlich problematisch.“
Bewertung
Abgesehen von den Privatschulen, von denen zumindest einige Microsoft 365 nutzen, scheint die Plattform aktuell an Schulen in Bremen kein Thema. Ob die Anfrage die Nutzung von Microsoft 365 an einer dieser Schulen betraf oder die Nutzung an einer Schule in öffentlicher Trägerschaft geht aus dem Tätigkeitsbericht nicht eindeutig hervor. Da es jedoch nur um eine Anfrage und nicht um eine Beschwerde ging, lässt sich vermuten, dass eine Schule anfragte, ob die Nutzung aus Datenschutzsicht möglich ist. Welche Antwort die Schule erhielt, ist eindeutig. Der Verweis auf die Übermittlung von personenbezogenen Daten in die USA bei der Nutzung von bestimmten Modulen sollte auf Schulen eigentlich nicht oder nur sehr eingeschränkt zutreffen. Microsoft bietet mittlerweile die EU Data-Boundary an und sollte schulische Tenants sogar automatisch darauf umstellen. Beschränken Schulen die Tenants auf die Core Services und deaktivieren die sogenannten Optionalen Erweiterten Erfahrungen, sollten nahezu alle Verarbeitungen in der EU erfolgen und soweit dieses noch nicht der Fall ist, dann in absehbarer Zukunft.