Im am 28. März 2023 veröffentlichten 31. Tätigkeitsbericht Datenschutz des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI) finden sich auch Aussagen zum Thema Microsoft 365 und der Nutzung an Schulen, hier an den beruflichen Schulen der Hansestadt. Das Hamburger Institut für berufliche Bildung (HIBB), ein eigenständiger Landesbetrieb der Behörde für Schule und Berufsbildung mit insgesamt 30 staatlichen berufsbildenden Schulen, plante bereits 2021 eine flächendeckende Einführung von Microsoft 365. Wie der Tätigkeitsbericht anmerkt, hatte man die Aufsichtsbehörde zunächst nicht förmlich am Projekt beteiligt. Das wurde dann 2022 nachgeholt. Im Beiteiligungsprozess legte man der Aufsichtsbehörde verschiedene Dokumente vor, die dann Gegenstand der durch die Behörde vorgenommenen Prüfung waren. Das waren u.a.:
- die mit Microsoft zu schließenden Lizenzvereinbarungen,
- der Auftragsverarbeitungsvertrag in Form des von Microsoft zur Verfügung gestellten Data Protection Addendum (DPA) 09/21,
- eine Übersicht der durch das HIBB vorgenommen Konfigurationen und
- eine Schwellenwertanalyse.
Nach einer Prüfung der Unterlagen kam der HmbBfDI zu dem Ergebnis, „dass ein datenschutzrechtlich zulässiger Einsatz von Microsoft 365 in der vom HIBB vorgesehen Version und Konfiguration nicht ohne Weiteres möglich ist.“ Das HIBB war in seiner Schwellenwertanalyse zu dem Schluss gekommen, dass eine Datenschutz Folgenabschätzung (DSFA) nicht erforderlich ist. Diese Einschätzung teilte der HmbBfDI nicht, da bei einer Einführung von Microsoft 365 auch minderjährige Schüler:innen von der Verarbeitung betroffen sein würden. Außerdem seien die Datenflüsse in den unterschiedlichen Einzelanwendungen von Microsoft 365 zu unübersichtlich. Die Aufsichtsbehörde erkannte die Bemühungen des HIBB an, „Verarbeitungsrisiken zu minimieren, indem beispielsweise bestimmte Verwaltungsprozesse aus dem Anwendungsbereich von Microsoft 365 herausgenommen (z.B. die Verwaltung von Krankmeldungen) wurden.“ Allerdings blieben Kritikpunkte, welche das HIBB nicht bis zum Abschluss des Beteiligungsprozesses ausräumen konnte. Dazu gehörten die nach Einschätzung des HmbBfDI mangelhaften DPAs von Microsoft, die Zweifel daran aufkommen lasse, dass Microsoft in der Lage ist die Vorgaben aus Art. 28 DS-GVO zu erfüllen.
Auch die tatbestandlichen Voraussetzung für die vom HIBB für die Verarbeitung von personenbezogenen Daten mittels Microsoft 365 angeführten Rechtsgrundlagen, § 98b HmbSG – Pädagogische Netzwerke und Lernportale und § 98c HmbSG – Fern-, Wechsel- oder Hybridunterricht, Videoübertragung, Verarbeitung von Ton-, Bild- und Videodaten, sah der HmbBfDI als nicht erfüllt an. § 98b HmbSG geht davon aus, dass Lernportale und pädagogischen Netzwerke durch die zuständige Behörde oder in ihrem Auftrag durch andere Stellen betrieben werden, wobei „andere Stellen“ Stellen innerhalb des öffentlichen Bereichs meint. Die Nutzung von Stellen außerhalb des öffentlichen Bereichs ist nur möglich, wenn dieses „aus technischen oder pädagogischen Gründen erforderlich“ ist, und datenschutzrechtliche Bestimmungen eingehalten werden. Die notwendige Erforderlichkeit sieht der HmbBfDI im Falle von Microsoft 365 als nicht gegeben an, da allen beruflichen Schulen die vom Bildungsträger Lernplattform „Lernen Hamburg“, welche eine Textverarbeitung, einen Messenger und ein Videokonferenztool beinhaltet, zur Nutzung zur Verfügung gestellt wurde. Das HIBB konnte die Aufsichtsbehörde auch argumentativ nicht überzeugen, welche pädagogischen Zielsetzungen mit dem LMS „Lernen Hamburg“ nicht erreicht werden können, die man mit Microsoft 365 erreichen kann. Es kommt hinzu, dass § 98b Absatz 2 HmbSG vorsieht, dass „die Daten der Schülerinnen und Schüler Stellen außerhalb des öffentlichen Bereichs nur anonymisiert, aggregiert oder pseudonymisiert zugänglich“ gemacht werden dürfen und eine pseudonymisierte Übermittlung an sehr hohe Anforderungen geknüpft ist. Dazu gehört unter anderem, dass „die Stelle, der die Daten übermittelt werden sollen, vertraglich verpflichtet wird, die Daten nicht zu wirtschaftlichen Zwecken zu nutzen.“ Einen solchen Verzicht konnte der HmbBfDI dem vorgelegten DPA 09/21 nicht entnehmen. Dort steht sogar ausdrücklich, dass Microsoft bestimmte Daten für geschäftliche Zwecke verarbeitet. Das HIBB ist, so der HmbBfDI, nicht in der Lage „transparent belegen, welche Daten der betroffenen Hamburger Schüler:innen und Lehrer:innen vom Auftragsverarbeiter Microsoft zu welchen Zwecken verarbeitet werden.“ Ergänzt durch den Beschluss der DSK im November 2022 und die dort festgestellten Kritikpunkte waren dann letztlich auch für die abschließende, kritische Stellungnahme des HmbBfDI gegenüber dem HIBB entscheidend. Diese kommt zu dem Schluss: „Im Ergebnis ist ein datenschutzkonformer Einsatz auf der Grundlage der eingereichten Unterlagen zurzeit nicht möglich.“ Zum Zeitpunkt der Veröffentlichung des Tätigkeitsberichtes war der Aufsichtsbehörde nicht bekannt, wie das HIBB „mit der Empfehlung des HmbBfDI, von einer flächendeckenden Einführung von Microsoft 365 an den beruflichen Schulen in Hamburg vorerst Abstand zu nehmen,“ umgehen wird.
Bewertung
Der Tätigkeitsbericht zeigt, die Hamburger Aufsichtsbehörde ist schon länger der Ansicht, dass eine Nutzung von Microsoft 365 für öffentliche Stellen nicht möglich ist, da die vertraglichen Bestimmungen nicht den Vorgaben der DS-GVO genügen. Der Beschluss der DSK hat den HmbBfDI dann letztlich in dieser Einschätzung bestätigt. Wie der Bericht deutlich zeigt, konnte das HIBB die Aufsichtsbehörde in mehrfacher Hinsicht nicht überzeugen. Dass Microsoft 365 weit verbreitet ist, reichte nicht als Argument. Hier erwartete die Aufsichtsbehörde eine pädagogische Begründung. Dass es diese erwartete, darf nicht verwundern, denn das Hamburger Schulgesetz sieht eine solche ausdrücklich vor, wenn anderer Stellen außerhalb des öffentlichen Bereichs für den Betrieb eines pädagogischen Netzwerkes oder Lernportals genutzt werden sollen. Für die Aufsichtsbehörde scheiterte das Vorhaben des HIBB schon an dieser Stelle. Aber als ob das nicht ausreichte, gab es weitere Kritikpunkte. Das sind dann die, welche man auch aus anderen Bundesländern kennt und welche sich dann zuletzt auch im Beschluss der DSK wiederfinden. Ob eine DSFA erforderlich ist, wenn eine Plattform wie Microsoft 365 an einer Schule eingesetzt werden soll, ist von Bundesland zu Bundesland unterschiedlich. In NRW ist sie nach aktueller Einschätzung des MSB nicht erforderlich. Es ist davon auszugehen, dass aktuell wohl jede Aufsichtsbehörde in einem vergleichbaren Beteiligungsverfahren zum gleichen Ergebnis käme wie der HmbBfDI, auch wenn sich die Begründungen dafür in Nuancen unterscheiden werden.
Weiterlesen
Wer eine andere Darstellung zum Beitrag aus dem Datenschutzbericht lesen möchte, findet diesen auf LinkedIn von Stefan Hessel unter dem Titel Datenschutz beim Einsatz von Microsoft 365 an beruflichen Schulen: So laufen die Verfahren bei der Datenschutzaufsicht Hamburg (05.04.2023).