Wie bekannt, kam die Arbeitsgruppe der Aufsichtsbehörden, welche sich mit dem datenschutzrechtlichen Vertragswerk, hier vor allem dem Data Processing Addendum zu Microsoft 365 mit Stand von September 2022 befasst hatte, zu dem Ergebnis, dass eine datenschutzkonforme Nutzung der Plattform derzeit nicht möglich ist, es an ausreichender Transparenz über die Verarbeitung von personenbezogenen Daten durch Microsoft zu eigenen Zwecken mangelt. Entsprechend fasste die Datenschutzkonferenz (DSK) einen Beschluss, der anders als zwei Jahre zuvor einstimmig war. Seither vertreten die Aufsichtsbehörden Verantwortlichen gegenüber die Ansicht, dass diese ihrer Rechenschaftspflicht wie auch der Informationspflicht gegenüber Betroffenen nicht vollumfänglich nachkommen können, eben da ihnen die dafür erforderlichen Informationen von Microsoft nicht zur Verfügung gestellt werden.
Aus mehreren Äußerungen der LDI NRW war jetzt zu entnehmen, dass eine Arbeitsgruppe verschiedener Aufsichtsbehörden, zu der auch die LDI NRW selbst gehört, an einer Handreichung arbeiten, die Verantwortliche und insbesondere Schulen dabei unterstützen soll, mit Microsoft einen den Anforderungen der DS-GVO entsprechenden Vertrag zur Auftragsverarbeitung abzuschließen.
Aktuelle Aussagen der LDI NRW zu Microsoft 365 gegenüber Schulen – Mail 2023
Die LDI NRW empfiehlt Schulen weiterhin, datenschutzfreundlichere Alternativen zu Microsoft 365 zu nutzen und verweist dabei auf die Landeslösungen der Logineo NRW Familie1Hinweis: auf einzelne Lösungen von kommerziellen Anbietern darf die Aufsichtsbehörde nicht verweisen. Viele Schulen nutzen Microsoft 365 und legitimieren die Verarbeitung der dazu erforderlichen personenbezogenen Daten mit Einwilligungen der Betroffenen. Auch dieses sieht die LDI NRW kritisch, da nach ihrer Einschätzung Einwilligungen im Kontext von Schule und Unterricht wegen der fehlenden Freiwilligkeit nicht rechtswirksam sein können.2Hinweis: In der Fachliteratur ist die Ansicht, dass in Schule keine Freiwilligkeit gegeben sein kann, weit verbreitet. Die Alternative zu Einwilligungen wäre eine Einführung der Plattform zur verpflichtenden Nutzung auf der Grundlage von § 120 Abs. 5 Satz 2 (bezogen auf die Daten der Schüler*innen) und § 121 Abs. 1 Satz 2 SchulG NRW (bezogen auf die Daten der Lehrer*innen). Dem steht nach Einschätzung der LDI NRW jedoch entgegen, dass Microsoft 365 den datenschutzrechtlichen Anforderungen insbesondere aus Art. 5, 24, 25 und 32 DS-GVO nicht in vollem Umfang genügt. Microsoft agiert für Schulen als Auftragsverarbeiter, doch Schulen könnten nicht nachweisen, dass Microsoft die schulischen Daten nur für Zwecke verarbeitet, welche die für Schulen geltenden Rechtsgrundlagen diesen vorgeben. Auch eine unzulässige Übermittlung von Inhaltsdaten sowie Diagnose- und Telemetriedaten in Drittstaaten, welche kein der DS-GVO vergleichbares Datenschutzniveau garantieren können, können nicht sicher ausschließen. Gleiches gilt für Zugriffe aus unsicheren Drittstaaten auf diese Daten. Und zu guter letzt sind da noch die Informationspflichten, wie von Art. 13 DS-GVO vorgeben, und die in Art. 5 Abs. 2 DS-GVO beschriebenen Rechenschaftspflichten, denen Schulen aufgrund fehlender Transparenz seitens Microsoft nicht nachkommen können.
Ein Stück weit können Schulen das Problem der fehlenden Freiwilligkeit beheben, indem sie datenschutzgerechte alternative Lösungen bereitstellen, welche von Schülerinnen und Schülern genutzt werden können, die eine Nutzung von Microsoft 365 wegen datenschutzrechtlicher Bedenken ablehnen. Diese Lösungen müssen Betroffenen, welche Microsoft 365 ablehnen, eine adäquate Teilnahme am Unterrichtsgeschehen ermöglichen, und das geht nur, wenn die gesamte Klasse oder Lerngruppe mit dieser Alternativlösung arbeitet.
Unter der Voraussetzung, dass es diese datenschutzgerechte alternative Lösung gibt, sieht die LDI NRW sogar die Möglichkeit, im Falle einer Beschwerde vorerst von weiterem aufsichtsrechtlichen Handeln, etwa einer Nutzungsuntersagung, abzusehen, um der Schule mehr Zeit zu geben, zu einer datenschutzgerechte Lösung für alle zu kommen.
Noch, so betont auch die LDI NRW, können die Aufsichtsbehörden nicht sicher ausschließen, dass Schulen in der Lage sein könnten, Microsoft 365 DS-GVO konform einzusetzen. Deshalb fehlt ihnen eine rechtliche Grundlage für ein generelles Verbot der Nutzung der Plattform in Schulen. Die LDI NRW lässt jedoch auch keinen Zweifel daran, dass sie weitergehende Aufsichtsmaßnahmen ergreifen muss, wenn es mit Microsoft 365 nicht möglich ist, eine Lösung zu finden, die den datenschutzrechtlichen Vorgaben gerecht wird.
Bewertung
Die Lage bleibt für Schulen, die Microsoft 365 einsetzen, weiterhin schwierig. Sie können letztlich nur auf Zeit spielen und hoffen, dass die Dinge sich in die richtige Richtung entwickeln. Durch die EU US Data-Boundary werden auf absehbare Zeit die meisten Übermittlungen von personenbezogenen Daten aus den Tenants der Schulen in die USA entfallen. Das soll neben den Inhaltsdaten sogar für Diagnose- und Telemetriedaten kommen. Damit wäre das Problem der Übermittlung von personenbezogenen Daten in das unsichere Drittland USA ein großes Stück weit reduziert und Schulen wären hier nicht abhängig von einem EU-US Privacy Shield II, der drei Jahre später durch Schrems III wieder invalidiert würde. Nicht behoben ist das Problem des US Cloud-Acts, denn diese Zugriffe sind weiterhin möglich. Da die Mehrheit der schulischen Tenants ihre Daten in der Microsoft Cloud nicht mit eigenen Schlüsseln auf eigenen Servern schützen kann, kann Microsoft sie im Fall einer nicht abzuwehrenden Ermittlungsanfrage mit den bei ihnen liegenden Schlüsseln entschlüsseln. Auch die letzte Änderung des Data Processing Addendums durch Microsoft, nach der Festlegung der DSK konnte Aufsichtsbehörden bisher nicht überzeugen. Es gibt durchaus Fachjuristen, die der Ansicht sind, Microsoft genüge mittlerweile den Anforderungen. Entscheidend sind hier jedoch an erster Stelle die Aufsichtsbehörden. Fordert eine Aufsichtsbehörde eine Schule zu einer Stellungnahme bezüglich einer Beschwerde auf und die Schule kann mit ihrer Stellungnahme den Anforderungen nicht genügen, etwa weil sie ihrer Rechenschaftspflichten nicht erfüllen kann, wird die Aufsichtsbehörde von ihren aufsichtsrechtlichen Befugnissen gegenüber der Schule Gebrauch machen. Sofern sie sich nicht doch überzeugen lässt, dass die Schule auf einem guten Weg zu einer datenschutzgerechten Lösung für alle ist, droht der Schule eine Untersagung der Nutzung. Ob die Handreichung der Aufsichtsbehörden Schulen dabei helfen kann, diese Lösung zu finden, wird man sehen. Microsoft muss sich bewegen, auf die eine oder andere Art und Weise. Dazu gibt es mehrere Möglichkeiten. Sie könnten den Anforderungen der Aufsichtsbehörden entsprechen, indem sie u.a. mehr Transparenz bezüglich der Verarbeitung von personenbezogenen Daten herstellen und indem sie die Verarbeitung von personenbezogenen Daten zu eigenen Zwecken entweder einstellen oder auf eine Rechtsgrundlage abstellen, welche die Aufsichtsbehörden akzeptieren. Alternativ könnten sie mit Verantwortlichen, hier Schulen, datenschutzrechtliche Zusatzverträge abschließen, in welchen die strittigen Punkte rechtssicher durch geeignete Zusagen von Microsoft geklärt werden.
2 thoughts on “Arbeitsgruppe von Datenschutzbehörden erarbeitet Handreichung für datenschutzgerechten AVV mit Microsoft”