In seinem 5. Tätigkeitsbericht zum Datenschutz nach 2022 der DS-GVO beschäftigt sich der Thüringer Landesbeauftragte für Datenschutz und Informationsfreiheit (TLfDI) auch mit der Nutzung von Microsoft 365 in Schulen. Auf den Seiten 16 – 19 stellt er die datenschutzrechtliche Entwicklung der letzten Jahre dar und seine aktuelle Position. Der TLfDI, der zu den Landesdatenschutzbeauftragten gehört, die ihre Position auch in der Öffentlichkeit sehr deutlich gemacht haben, beschreibt, dass er bereits im Bericht für das Jahr 2021 die Nutzung von Microsoft 365 aus datenschutzrechtlicher Sicht sehr kritisch sah. In der vom TLfDI und der Kultusministerkonferenz (KMK) gegründeten Arbeitsgruppe stand das Thema Datenschutz deshalb weiter auf der Tagesordnung. Im Oktober 2022 fand ein Gespräch zwischen der KMK und Microsoft statt mit einem durch den TLfDI und Arbeitsgruppen, denen er angehört, vorbereiteten Fragenkatalog. Das Gespräch brachte „nach Einschätzung des TLfDI [leider] keine greifbaren Lösungen.“ Entsprechend zeigte sich der TLfDI „über den Auftritt von Microsoft enttäuscht und brachte die Gefahr zum Ausdruck, dass Microsoft wie bereits in der Vergangenheit auf Zeit spiele.“ Anschließend geht der TLfDI auf die Bemühungen der Datenschutzkonferenz (DSK) ein, die – wie bekannt – mit einer Bewertung auf der Grundlage des ‘Datenschutznachtrags vom 15. September 2022’ von Microsoft zu dem Schluss kam, dass Verantwortliche auf dieser Grundlage den Nachweis, Microsoft 365 datenschutzrechtskonform zu betreiben, nicht erbringen können. „Die Führung eines solchen Nachweises ist aber nicht möglich, solange Microsoft seinen eigenen Unterlagen zufolge personenbezogene Daten für eigene Zwecke verwendet und auch keine weiteren Angaben macht, welche personenbezogenen Daten von wem zu welchem Zweck verarbeitet werden.“ Da Schulleitungen so nicht ihren Informationspflichten gem. Art. 13 DS-GVO nachkommen könnten, ist für den TLfDI auch eine Nutzung auf der Grundlage einer Einwilligung nicht möglich. Durch die Verarbeitung von personenbezogenen Daten durch Microsoft zu eigenen Zwecken, könne die Schulleitung Microsoft als Auftragsverarbeiter auch nicht anweisen, „Daten in bestimmter Weise zu verarbeiten oder eben nicht zu verarbeiten.“ Das aber stelle einen Verstoß gegen Art. 28 DS-GVO dar. Ergänzend käme noch die Problematik von möglichen Zugriffen durch US-Sicherheitsbehörden hinzu. Der TLfDI verweist auf Schrems II, wo die beschriebenen Probleme mit anderen aufgegriffen wurden.
Mit Blick auf Schulen erklärt der TLfDI, bereits 2021 darauf hingewiesen zu haben, dass eine Nutzung von Microsoft 365 nicht empfohlen werden kann. „Inzwischen ist klar, dass die Nutzung dieses Clouddienstes sogar datenschutzrechtlich unzulässig ist.“ Entsprechend habe das Thüringer Ministerium für Bildung, Jugend und Sport (TMBJS) in seinen FAQ unter „Antworten auf häufig gestellte Fragen zum Datenschutz in Schulen“ darauf hingewiesen, „dass Cloud-Angebote nichteuropäischer Anbieter, zum Beispiel Microsoft-Office 365, in Thüringer Schulen nicht genutzt werden dürfen.„1Auf der Seite heißt es mit Stand vom 03.08.2023 „7.5 Dürfen Cloud-Angebote nichteuropäischer Anbietender (z. B. MS-Office 365 oder Google Classroom) für Unterrichtszwecke genutzt werden? Nein. Die Cloudkomponenten dieser Softwareprodukte dürfen nicht für personenbezogene Daten genutzt werden. Die Daten werden auf Servern verarbeitet, die in rechtlicher und technischer Hinsicht nicht den europäischen Datenschutz-Standards entsprechen. Ein Einsatz ist somit nur dann zulässig, wenn entweder über ein Treuhandmodell der Zugriff durch US-amerikanische Stellen ausgeschlossen ist oder wenn keine personenbezogenen Daten in der Cloud gespeichert werden. Solche Lösungen sind bislang noch nicht absehbar.“
Bewertung
Die Aussagen im Bericht des TLfDI zu Microsoft 365 überraschen nicht, denn Lutz Hasse hat seine Position auch in der Öffentlichkeit mit Überzeugung vertreten. Der Landesdatenschutzbeauftragte verfügt über viel Erfahrung in der Auseinandersetzung mit Microsoft und entsprechend äußert sich im Bericht auch seine Frustration über das Auftreten des US Anbieters in den Gesprächen. Anders als in vielen anderen Bundesländern hat man von Seiten des Schulministeriums Schulen in Thüringen die Nutzung von Microsoft 365 klar und deutlich untersagt. Der 5. Tätigkeitsbericht zum Datenschutz nach der DS-GVO 2022 wurde am 27. Juli 2023 veröffentlicht. Auch wenn es inhaltlich um das Jahr 2022 geht, spiegelt der Bericht den zum Zeitpunkt der Veröffentlichung aktuellen Standpunkt des TLfDI wieder. Dieser hat sich seit der Festlegung der DSK auf eine datenschutzrechtlichen Beurteilung von Microsoft 365 am 15. September 2022 nicht verändert. Leider sind die Ergebnisse der Gespräche der DSK-Arbeitsgruppe „Microsoft Online Services“ mit Microsoft zu den Änderungen, die sich aus der EU Data-Boundary bzw. zumindest dem damit verbundenen Data Processing Addendum (DPA) vom 1. Januar 2023 ergeben, noch nicht bekannt. Die Arbeit der DSK-Arbeitsgruppe, durch welche die Bewertung von November 2022 durchaus verändert werden könnte, wird im Bericht nicht angesprochen. Ob das die Erwartungen des TLfDI widerspiegelt, ein ihm bekanntes wenig verändertes Ergebnis der Gespräche der DSK-Arbeitsgruppe oder rein gar keine Bedeutung hat, wird man sehen.