Den am 10.07.2023 von der EU-Kommission erlassenen Angemessenheitsbeschluss für den Datenverkehr zwischen der EU und den USA, das EU-U.S. Data Privacy Framework, nahm der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit (TLfDI) , Lutz Hasse, zum Anlass, sich im Rahmen einer Pressemitteilung mit dem Titel „Neuer EU- Data Privacy Framework – Beschluss: Kein Grund zur Euphorie“ auch mit Blick auf die schulische Nutzung von Microsoft 365 zu äußern. Zwar werde mit dem neuen Angemessenheitsbeschluss – wenn auch wohl nur vorübergehend – eine Rechtsgrundlage gem. Art. 54 DS-GVO für Datentransfers in die USA geschaffen, doch damit sei „lediglich einer der Kritikpunkte ausgeräumt, die den rechtskonformen Einsatz etwa von MS 365 z. B. in Thüringer Schulen derzeit
nicht ermöglichen,“ ausgeräumt. Die anderen Kritikpunkte aus dem Beschluss der Datenschutzkonferenz (DSK) von November 2022 gelten nach Ansicht des Thüringer Datenschutzbeauftragten weiterhin. Schulleitungen sind nach seiner Einschätzung weiterhin nicht in der Lage, ihrer Nachweispflicht gemäß Art. 5 Abs. 2 DS-GVO nachzukommen, denn Microsoft sei weiterhin nicht ausreichend transparent bezüglich der Verarbeitung von personenbezogenen Daten zu eigenen Zwecken. Fazit für den TLfDI ist „Trotz des neuen Angemessenheitsbeschlusses darf der Verantwortliche ohne den Nachweis eines datenschutzrechtskonformen Betriebs von Microsoft 365 nicht nutzen.“
Bewertung
Stefan Hessel, der Fachjurist, der sich intensiv mit der Thematik auseinandersetzt, sieht die Pressemitteilung des TLfDI recht kritisch. Er hinterfragt in seinem Beitrag „„𝗞𝗲𝗶𝗻 𝗚𝗿𝘂𝗻𝗱 𝘇𝘂𝗿 𝗘𝘂𝗽𝗵𝗼𝗿𝗶𝗲“ – 𝗜𝗿𝗿𝗶𝘁𝗶𝗲𝗿𝗲𝗻𝗱𝗲 𝗦𝘁𝗲𝗹𝗹𝘂𝗻𝗴𝗻𝗮𝗵𝗺𝗲 𝗱𝗲𝗿 𝗧𝗵ü𝗿𝗶𝗻𝗴𝗲𝗿 𝗗𝗮𝘁𝗲𝗻𝘀𝗰𝗵𝘂𝘁𝘇𝗮𝘂𝗳𝘀𝗶𝗰𝗵𝘁 𝘇𝘂𝗺 𝗘𝗨-𝗨.𝗦. 𝗗𝗮𝘁𝗮 𝗣𝗿𝗶𝘃𝗮𝗰𝘆 𝗙𝗿𝗮𝗺𝗲𝘄𝗼𝗿𝗸 𝘂𝗻𝗱 𝗠𝗶𝗰𝗿𝗼𝘀𝗼𝗳𝘁 𝟯𝟲𝟱,“ warum die Aufsichtsbehörde den neuen Angemessenheitsbeschluss zum Anlass nimmt, erneut vor der Nutzung von Microsoft 365 zu warnen.
Einige Schulen, die sich wegen ihrer Nutzung von Microsoft 365 durch Aufsichtsbehörden unter Druck gesetzt fühlen, mögen die Pressemeldung zum neuen Angemessenheitsbeschluss sicherlich als einen Befreiungsschlag sehen. Von daher hat Lutz Hasse sicherlich recht, wenn er auch mit Blick auf Schulen als Nutzer von Microsoft 365 vor verfrühter Euphorie warnt. Der Angemessenheitsbeschluss, der vermutlich das gleiche Schicksal haben wird wie die beiden vorangegangenen, adressiert die zentralen Probleme, welche die Aufsichtsbehörden für Verantwortliche bei einer Nutzung von Microsoft 365 sehen, nicht einmal im Ansatz. Es kommt hinzu, dass Datentransfers in die USA aus Tenants von EU Institutionen wie Schulen, seit der EU Data-Boundary nur noch ein marginales Problem darstellen.
Ob das Beharren auf den Kritikpunkten der DSK in ihrem Beschluss von November 2022 jedoch zielführend ist, sei dahin gestellt. Microsoft hat bereits auf diese Kritiken reagiert und nachgebessert. Der Beschluss dürfte mittlerweile also überholt sein. Warum sonst sollte die DSK-Arbeitsgruppe „Microsoft Online Services“ jetzt eine neue Bewertung von Microsoft 365 vornehmen (siehe dazu den Beitrag Datenschutzkonferenz bewertet Microsoft 365 neu)?