Anfang April 2023 hat Microsoft eine an Schulen, Administratoren und für die Beschaffung von Lösungen für den Bildungsbereich Verantwortliche gerichtete 20 Seiten umfassende Broschüre mit dem Titel Deploying Office 365 in the EU – A Guide to GDPR Compliance for the Education Sector (Bereitstellung von Office 365 in der EU – Ein Leitfaden zur Einhaltung der DS-GVO für den Bildungssektor) veröffentlicht, wie auf Linkedin von Stefan Hessel berichtet.1Das Dokument ist auf der Website von Microsoft aktuell noch nicht auffindbar, kann aber über LinkedIn heruntergeladen werden. Der englischsprachige Leitfaden bringt keine neuen Erkenntnisse, stellt aber einige nützliche Informationen zum Thema Microsoft 365 und DS-GVO zusammen. Zunächst geht es um das Thema Verantwortlichkeiten. Microsoft agiert als Auftragsverarbeiter und die Schule als Verantwortlicher. Die Zuständigkeiten werden in einem Vertrag geregelt. Interessant mit Blick auf die Kritik der Datenschutzkonferenz (DSK) ist ein Abschnitt, in welchem Microsoft angibt, Bildungsinstitutionen dabei zu unterstützen, ihren Rechenschaftspflichten nachzukommen, etwa indem man umfangreiche Dokumentation bereitstellt. Es werden diverse Maßnahmen vorgestellt, die Microsoft zum Schutz der verarbeiteten Daten vornimmt. Auf Seite 8 geht die Schrift auf die Verarbeitung von personenbezogenen Daten zu vier verschiedenen geschäftlichen Zwecken ein. Auch das ist ein Punkt, den die DSK in Teilen als problematisch und nicht DS-GVO konform ansieht. Microsoft selbst geht davon aus, dass diese Verarbeitungsvorgänge ((1) Rechnungsstellung und Kontoverwaltung, (2) Vergütung von Microsoft-Mitarbeitern, (3) interne Berichterstattung und Geschäftsmodellierung (z. B. Prognosen, Umsatz, Kapazitätsplanung und Produktstrategie) und (4) Finanzberichterstattung), bei denen es selbst Verantwortlicher ist, im Einklang mit der DS-GVO stattfinden und stellt klar, diese Daten nicht für die Erstellung von Nutzerprofilen, Werbung oder ähnliche kommerzielle Zwecke zu nutzen. Die Schrift geht auf die Rechtsgrundlage der Verarbeitung in Schulen in EU Ländern ein, die in vielen Fällen auf Art. 6 Abs. 1 lit. e2„die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde“ basiert und ist laut einer eigenen zwei-Schritt-Analyse auch hier datenschutzkonform. Auch das Thema des Ortes der Datenverarbeitung wird angesprochen. Auch wenn die Standardvertragsklauseln (Standard Contractual Clauses, SCC) eine Übermittlung in die USA zulassen, so Microsoft, nehme man die Bedenken der Kunden ernst. Es geht dann um die EU Data-Boundary und rechtliche Änderungen, die sich durch das kommende EU-US Data Privacy Framework ergeben werden. Der nächste größere inhaltliche Abschnitt befasst sich mit zusätzlichen Sicherheitslösungen, welche Microsoft bereitstellt. In der Schlusszusammenfassung betont Microsoft noch einmal seine Bereitschaft, beim Datenschutz alles richtig zu machen:
„Darüber hinaus haben wir bewusst darauf geachtet, unseren Kunden und wichtigen Interessenvertretern unsere Bereitschaft und Verpflichtung zu signalisieren, unsere Datenschutzeinstellungen richtig zu gestalten.„
Dieses Ziel möchte man durch die Verträge, umfangreiche technische Dokumentation und die Umsetzung von technischen und organisatorischen Maßnahmen, um das verbleibende Datenschutz- und Sicherheitsrisiko zu mindern, umsetzen.
Recht interessant und hilfreich für Schulen dürfte der Anhang sein, in welchem in Teil 1 eine Reihe von Dokumenten zu den Themen Datenschutz und Sicherheit zusammengestellt ist. In Teil zwei sind in einer Tabelle die von der DS-GVO auferlegten Pflichten den Vertragsdokumenten zugeordnet.
Bewertung
Der Leitfaden ist in allererster Linie ein Statement Microsofts, dass man in der Lage ist, Schulen seine Cloud Lösung Microsoft 365 DS-GVO konform bereitzustellen. Das ist für sich gesehen nichts Neues, denn Microsoft hat diesen Standpunkt schon immer vertreten. Man berücksichtigt in dieser Schrift jedoch die aktuellen Kritiken der Aufsichtsbehörden, vor allem aus Deutschland und versucht, zu erklären, in warum die Nutzung von Microsoft 365 DS-GVO konform möglich ist, und was Microsoft von seiner Seit aus dafür tut. Lohnt es sich, sich mit dem Leitfaden auseinanderzusetzen? Ja und nein. Wer sich mit dem Vertragswerk von Microsoft beschäftigt, um die Nutzung von Microsoft 365 in Schule zu rechtfertigen, der findet hier noch einmal eine andere und auf wesentliche Punkte zusammengefasste Darstellung wichtiger Inhalte zu Datenschutz- und sicherheit, Verantwortlichkeiten und Rechtsgrundlagen. Es ist ein Leitfaden, keine Rechtsberatung und auch kein Dokument, auf dessen Grundlage man die DS-GVO Konformität von Microsoft 365 nachweisen kann. Administratoren können in den Links am Ende einige Dokumente für ihre Arbeit finden. Lehrkräfte und Nutzer von Microsoft 365 können dieses Dokument ignorieren. In den Aufsichtsbehörden, an die sich das Dokument nicht richtet, dürfte man über den Leitfaden müde lächeln. Nice try, Microsoft, aber um uns zu überzeugen, braucht es mehr.