In ihrem 28. Tätigkeitsbericht über das Jahr 2022 (veröffentlicht am 22.06.2023) beschäftigt sich die LDI NRW auf den Seiten 51 – 54 auch mit der Nutzung von Microsoft 365 an Schulen. Wer Aussagen der LDI NRW aus Schreiben an Schulen1Siehe dazu den Hauptteil des Textes im Beitrag Arbeitsgruppe von Datenschutzbehörden erarbeitet Handreichung für datenschutzgerechten AVV mit Microsoft, in dem hierzu ausführlich auf solche Schreiben eingegangen wird. kennt, für den bietet der Text wenig Neues. Die Aufsichtsbehörde legt ihre schon bekannte Position dar, welche dem Beschluss der Datenschutzkonferenz (DSK) vom 24. November 2022 entspricht. Diese war zu dem Schluss gekommen, dass Verantwortliche ihren Rechenschaftspflichten gem. Art. 5 Abs. 2 DS-GVO nicht nachkommen können. Ursache dafür sei vor allem die fehlende Transparenz Microsofts. Es geht dabei um im Auftrag verarbeitete personenbezogene Daten, die Microsoft zu eigenen Zwecken nutzt. Das aber, so die LDI NRW widerspricht den datenschutzrechtlichen Vorgaben, welchen Schulen unterliegen. Dass Schulen bei einer Überprüfung in der Lage sein werden, die Einhaltung dieser Vorgaben beim Einsatz von Microsoft 365 nachzuweisen, kann sich die LDI NRW „kaum vorstellen.“ Aktuell laufen laut LDI NRW zwei Initiativen im Zusammenhang mit Microsoft 365. Das ist einmal eine Gesprächsinitiative aus der KMK mit Microsoft, die von einigen Aufsichtsbehörden beratend begleitet wird, und es ist die Erarbeitung einer Handreichung durch eine Arbeitsgruppe von Aufsichtsbehörden, an welcher auch die LDI NRW beteiligt ist, welche Schulen beim Abschluss eines Vertrags zur Auftragsverarbeitung mit Microsoft unterstützen soll. Aktuell sieht die Aufsichtsbehörde von Aufsichtsmaßnahmen gegen Schulen ab, wenn es Beschwerden zur Nutzung von Microsoft 365 gibt. Das bedeutet jedoch nicht, dass Schulen einfach weitermachen können, wie zuvor. Stattdessen erwartet die Aufsichtsbehörde, dass die Schule „an einer datenschutzgerechten Lösung für alle Schüler*innen“ arbeitet und dass derweil „die Schüler*innen, die bzw. deren Eltern sich über den Einsatz von Microsoft 365 beschwert haben, nicht schutzlos gestellt sind und diskriminiert werden.“ Dieses lässt sich nach Einschätzung der Aufsichtsbehörde nur dann erreichen, wenn die Schule eine Alternativlösung bereitstellt, die dann von der gesamten Klasse bzw. dem gesamten Kurs dieser Schüler*innen genutzt wird. Das bedeutet, nicht nur die Schüler*innen, von denen die Beschwerde ausging, nutzen die Alternativlösung, sondern alle Schüler*innen der Klasse oder des Kurses, denn nur dann ist für alle eine gleichermaßen „adäquate Teilnahme am Unterrichtsgeschehen“ möglich. Perspektivisch erwartet die LDI NRW die Gewährleistung des Datenschutzes an allen Schulen, die Microsoft 365 einsetzen. Die LDI NRW weist abschließend auf die Landeslösung Logineo NRW als datenschutzgerechte Alternative hin und begrüßt die geplante Weiterentwicklung. Auch die Schulträger sieht sie in der Pflicht, wenn es um die Bereitstellung von datenschutzgerechten Lösungen geht. Andere Bundesländer zeigen, so die LDI NRW, was möglich ist.
Bewertung
Wie oben erwähnt, sind die Aussagen der LDI NRW im Tätigkeitsbericht für das Jahr 2022 nicht völlig neu. Schulen, die von der Aufsichtsbehörde NRW angeschrieben wurden wegen Microsoft 365 kennen sie bestens. Der Beitrag Arbeitsgruppe von Datenschutzbehörden erarbeitet Handreichung für datenschutzgerechten AVV mit Microsoft, dessen Titel anderes vermuten lässt, beschäftigt sich im Hauptteil mit Aussagen der LDI NRW zu Microsoft 365 in verschiedenen Schreiben aus der ersten Hälfte des Jahres.
Interessant an dem Text im Tätigkeitsbericht sind jedoch trotzdem mehrere Sachen.
Finger am Abzug?
Im Text findet sich nach der Beschreibung der Initiative der KMK und der Arbeit an der Handreichen der folgende Satz:
„Die Ergebnisse dieser Prozesse werden wir noch abwarten, bevor wir Aufsichtsmaßnahmen gegen Schulen ergreifen, die ihrer Rechenschaftspflicht nicht nachkommen können.“
Dieser Satz klingt so, als gehe die LDI NRW davon aus, dass die beiden Prozesse zu keiner Verbesserung der Lage führen werden2Vermutlich erwartet die LDI NRW einen Ausgang in etwa wie folgt: Die Kommunikation der KMK mit Microsoft wird zu keinen Verbesserungen seitens Microsoft führen und auch mit Hilfe der Handreichung werden Schulen nicht in der Lage sein, einen DS-GVO konformen Vertrag zur Auftragsverarbeitung mit Microsoft abzuschließen. und man deshalb auf jeden Fall Aufsichtsmaßnahmen gegen Schulen ergreifen wird, die ihrer Rechenschaftspflicht nicht nachkommen können. Dabei wird es dann um die Schulen gehen, zu denen bereits Beschwerden vorliegen und die eine Schonfrist erhalten, wenn sie wie beschrieben eine datenschutzgerechte Alternativlösung bereitstellen, die dann von der gesamten Klasse/ Kurs/ Lerngruppe der betroffenen Schüler*innen genutzt wird. Diese Schulen, welche die Aufsichtsbehörde in ihrem Schreiben zwar über die datenschutzrechtliche Problematik bezüglich Microsoft 365 informiert hat, aber sonst weder um Stellungnahme noch um Informationen bat, werden dann jedoch aufgefordert werden, ihrer Rechenschaftspflicht gem. Art. 5 Abs. 2 DS-GVO nachzukommen. Sind sie dann nicht in der Lage, den Nachweis zu führen, bedeutet dieses das Ende zumindest einer unterrichtlichen, wenn nicht sogar alle Bereiche betreffenden Nutzung von Microsoft 365 an der Schule. Und, der LDI NRW geht es nicht nur um Schulen, die bereits aufgefallen sind:
„Langfristig muss nicht nur in den Schulen, zu denen uns Beschwerdefälle vorliegen, sondern in allen Schulen, die derzeit Microsoft 365 einsetzen, der Datenschutz gewährleistet sein.“
Anders als einige andere Aufsichtsbehörden, welche keinen Handlungsbedarf sehen, solange sich an einer Schule niemand beschwert, plant die LDI NRW, sich allen Schulen zu beschäftigen, die Microsoft 365 einsetzen.
Warum die LDI NRW nicht auf die anstehende neue Bewertung von Microsoft 365 durch die DSK-Arbeitsgruppe „Microsoft Online Services“ (siehe dazu den Beitrag Datenschutzkonferenz bewertet Microsoft 365 neu) eingeht, ist nicht nachvollziehbar. Hier kann ohne weitere Informationen nur spekuliert werden.
Fakt ist, dass Microsoft in verschiedenen Hinsicht nachgebessert hat. Ob das die Bewertung durch die Arbeitsgruppe der DSK verändern wird, bleibt abzuwarten. Aus der 105. Datenschutzkonferenz im Mai diesen Jahres, auf der die Arbeitsgruppe über die Ergebnisse der erneuten Bewertung nach Möglichkeit berichten sollte, wurde hierzu bisher nichts öffentlich. Falls es bereits Ergebnisse gibt, sind diese der LDI NRW bekannt.
Empfehlung
Schulen, die Microsoft 365 nutzen, sollten auf jeden Fall ihre Hausaufgaben machen. Es gibt sehr viele Informationen zu den Möglichkeiten, Microsoft 365 durch technische Maßnahmen, vor allem in der Administration des Tenants, datenschutzfreundlich voreinzustellen.3Für Hinweise hierzu siehe Abschnitt Wie sollten Schulen sich verhalten? im Beitrag Microsoft 365 – Stand Februar 2023 Viele der mir bekannten Schulen nutzen die wenigsten davon. Gleiches gilt oftmals auch für mögliche organisatorische Maßnahmen. Stimmige technische wie auch organisatorische Maßnahmen sind wichtige Voraussetzungen, um Microsoft 365 DS-GVO konform einzusetzen zu können, und damit unabdingbar, wenn Schulen in der Lage sein wollen, der Aufsichtsbehörde gegenüber ihrer Rechenschaftspflicht nachzuweisen. Erst dann aktiv zu werden, wenn das Schreiben der LDI NRW kommt, könnte zu spät sein. Gibt es an einer Schule beispielsweise durch schlechte Administration beim Einsatz von Microsoft 365 Datenverarbeitungen, die außerhalb der von den Datenschutzvereinbarungen für Schulen geregelten Dienste liegen, dann wird es für eine Schule mit sehr großer Wahrscheinlichkeit unmöglich sein, den Nachweis eines datenschutzkonformen Einsatzes zu führen, selbst wenn die Arbeitsgruppe der DSK in der erneuten Bewertung zu einem positiven Ergebnis gekommen sein sollte.
2 thoughts on “LDI NRW im 28. Tätigkeitsbericht zu Microsoft 365”