Die schon im Mai diesen Jahres von der LDI NRW angekündigte Handreichung einer Arbeitsgruppe von sieben Aufsichtsbehörden zum Umgang mit der Standard-Auftragsverarbeitungsvereinbarung von Microsoft für den Einsatz von „Microsoft 365“ wurde am 22.09.2023 auf der Website der LfD Niedersachsen mit einer Pressemeldung veröffentlicht. Das mit 21 Seiten recht umfangreiche PDF, in welchem neben öffentlichen Stellen auch Schulen Erwähnung finden, besteht aus drei Teilen.
In der Vorbemerkung werden zunächst die Hintergründe für die Handreichung erläutert. Die Vorbemerkung bringt dann auf den Punkt, was die zentrale Botschaft der Handreichung ist. Der Verantwortliche muss mit Microsoft eine Zusatzvereinbarung zum Data Processing Addendum (DPA) zu MS365 abschließen, in welchem die von den Aufsichtsbehörden bemängelten Schwachstellen dieses Vertrags zur Auftragsverarbeitung behoben werden. Unabhängig davon müssen Verantwortliche eigene Maßnahmen umsetzen, um die in Microsoft 365 verarbeiteten personenbezogenen Daten zu minimieren, und technische Funktionen der Plattform und Details einzelner Anwendung des Office Pakets datenschutzrechtlich prüfen. Darüber hinaus muss der Verantwortliche auch die Umsetzung der im Zusatzvertrag vereinbarten Regelungen im Rahmen seiner Rechenschaftspflichten gem. Art. 5 DS-GVO nachweisen können. Wie in den Vorbemerkungen klargestellt wird, berücksichtigt die Handreichung die Übermittlung von personenbezogenen Daten in Drittländer wie die USA wegen der aktuellen Entwicklungen nicht.
Teil 2 stellt dann die wesentlichen Handlungshinweise für Verantwortliche als Kurzüberblick über die notwendigen vertraglichen Änderungen und Maßnahmen dar, immer mit Bezug zum DPA und Verweis auf die Randnummern des Dokuments. Die Hinweise bestehen aus sechs Themenbereichen und zusätzlichen Hinweisen. Inhaltlich sind sie sehr ähnlich zu den ToDo! im Teil 3.
In Teil 3 werden diese Bereiche ausführlicher begründet und erläutert und in jedem Unteraspekt durch ein ToDo! ergänzt.
Unter 1. Festlegung von Art und Zweck der Verarbeitung, Art der personenbezogenen Daten empfiehlt die Handreichung Maßnahmen, die für Verantwortliche leicht umzusetzen sein sollten. Es geht, wie aus der Überschrift ersichtlich um drei Festlegungen, die der Zwecke der Verarbeitung, der Art der Verarbeitung (gem. Art. 4 Abs. 2 DS-GVO), orientiert an der Funktion der Anwendung, und die Art der personenbezogenen Daten, die bei der Nutzung von Microsoft 365 durch den Verantwortlichen verarbeitet werden. Dieses kann z.B. in einer Tabelle erfolgen, in welcher jeweils auch die Kategorien der betroffenen Personen festgehalten werden. Die in der Tabelle oder Textform oder im Verfahrensverzeichnis vom Verantwortlichen vorgenommene abschließende Auflistung ersetzt dann den im DPA von Microsoft vorgegebenen Anhang B. Abschließend bedeutet hier, es darf keine anderen Verarbeitungen von personenbezogenen Daten durch Microsoft geben, auch nicht zu eigenen Zwecken von Microsoft.
Der Punkt 2. Eigene Verantwortlichkeit Microsofts im Rahmen der Verarbeitung für Geschäftstätigkeiten, die durch Bereitstellung der Produkte und Services an den Kunden veranlasst sind (nachstehend „für Microsofts Geschäftszwecke“) beschreibt, wie mit der Verarbeitung von personenbezogenen Daten des Verantwortlichen für Microsofts Geschäftszwecke umzugehen ist, wenn diese sich aus der Bereitstellung von Microsoft 365 ergeben. Kritikpunkt der Aufsichtsbehörden war hier, und wird so in der Handreichung wiedergegeben, dass diese Verarbeitungen zu eigenen Zwecken Microsofts zu ungenau beschrieben sind und insgesamt nicht klar ist, wie weitreichend die Verarbeitung ist, die ein Verantwortlicher Microsoft durch das DPA einräumen würde und auf welcher Rechtsgrundlage dieses erfolgen könnte. Für öffentliche Stellen, zu denen auch Schulen in öffentlicher Trägerschaft zählen, gibt es keine Rechtsgrundlage, die es ihnen erlauben würde, Microsoft Daten „zu diesen (unbestimmten) Zwecken zu übermitteln.“ Ähnliches gilt auch für die Verarbeitung von Telemetrie- und Diagnosedaten von Microsoft zu eigenen Geschäftszwecken. Dieses ist entsprechend in der mit Microsoft abzuschließenden Zusatzvereinbarung zu berücksichtigen. Schulen müssten so in der Zusatzvereinbarung festhalten, dass Microsoft keine personenbezogenen Daten des Verantwortlichen, Telemetrie- und Diagnosedaten eingeschlossen, zu eigenen Geschäftszwecken verarbeiten darf. Da sich die Verarbeitung von Telemetrie- und Diagnosedaten bei der Nutzung von Microsoft 365 nicht komplett unterbinden und unklar ist, ob diese auch „personenbeziehbare Identifier in unterschiedlicher Form“ enthalten können, braucht es eine Vertragsergänzung, in welcher Microsoft klarstellen müsste, dass die anfallenden Telemetrie- und Diagnosedaten keine personenbezogene Daten sind. Kann Microsoft dies nicht vertraglich zusichern, hätten Schulen ein Problem. Unter Speziell zu den Rechtsgrundlagen der Verarbeitung öffentlicher Stellen werden die fehlenden Rechtsgrundlagen in den jeweiligen Landesschulgesetzen für eine Verarbeitung von personenbezogenen Daten durch Microsoft zu eigenen Geschäftszwecken noch einmal ausführlicher thematisiert. Abgesehen von einer Verarbeitung personenbezogener Daten zu Abrechnungszwecken durch Microsoft, die Bestandteil der Auftragsdatenverarbeitung ist, gehen die Autoren der Handreichung davon aus, dass für die „anderen im DPA genannten Zwecke (Kontoverwaltung, Vergütung, Interne Berichterstattung, Geschäftsmodellierung und Finanzberichterstattung)“ der Verarbeitung von personenbezogenen Daten durch Microsoft keine Rechtsgrundlage vorliegt. Die Einwilligung kommt als Rechtsgrundlage bei öffentlichen Stellen selten in Betracht. Auf die Problematik der Einwilligung im Kontext Schule geht die Handreichung unter Punkt 7 noch einmal ausführlicher ein.
Unter 3. Weisungsbindung, Offenlegung verarbeiteter Daten, Erfüllung rechtlicher Verpflichtungen wird die Notwendigkeit beschrieben, Widersprüche im DPA bezüglich des Weisungsrechts aufzulösen, indem durch „eine vertragliche Klarstellung der vorrangigen Geltung von Anlage I“ das einseitige Weisungsrecht des Verantwortlichen gegenüber Microsoft im Sinne von Art. 28 Abs. 3 Satz 2 lit. a DS-GVO festgeschrieben wird. Im zugehörigen ToDo wird außerdem hingewiesen bei dieser vertraglichen Festschreibung den Begriff der Weisung restriktiv festzulegen, so dass „z.B. bei einer bloßen Nutzung eines Services nicht von einer dokumentierten Weisung ausgegangen werden“ kann. Richtet sich der Umfang der Weisungen aus der Produktdokumentation, muss diese dem Vertrag beigefügt werden. Auch wenn Auftragsverarbeiter wie Microsoft die im Auftrag verarbeiteten Daten nur nach Weisung des Verantwortlichen verarbeiten dürfen, können sie durch EU Recht oder das Recht eines Mitgliedsstaates verpflichtet sein, die verarbeiteten Daten gegenüber Dritten offenzulegen. Da das DPA auch eine Offenlegung gegenüber Dritten ermöglicht, wenn Verpflichtung dazu sich aus dem Recht eines unsicheren Drittstaates ergibt, das meint hier beispielsweise US Ermittlungsbehörden, müssen Verantwortliche diese Möglichkeit durch den Zusatzvertrag ausschließen und so sicherstellen, dass die Offenlegung von Nutzerdaten durch Microsoft nur dann zulässig ist, „wenn eine gesetzliche Pflicht nach Vorgabe der DSGVO oder des Rechts der EU-Mitgliedstaaten18 besteht.“ Von Microsoft im Anhang C beschriebene Schutzmaßnahmen gegen Offenlegungen aufgrund rechtlicher Verpflichtungen gegenüber unsicheren Drittstaaten beschreibt die Handreichung als unklar. Darüber hinaus ändern sie nichts an der Tatsache, dass diese mit der DS-GVO nicht vereinbare Offenlegungspflicht im DPA enthalten ist. Verantwortlichen wird darüber hinaus empfohlen, in ihre Basiskontaktinformationen nach Möglichkeit keine personenbezogenen Daten einzupflegen, sondern sich stattdessen auf „z. B. Unternehmensadresse und/oder Funktionspostfächer“ zu beschränken, da Microsoft sich vorbehält, diese Daten an Dritte weiterzugeben.
Im Abschnitt 4. Umsetzung technischer und organisatorischer Maßnahmen nach Art. 32 DSGVO geht es darum die Verarbeitung von personenbezogenen Daten zur Gewährleistung der Sicherheit, zur Fehlerbehebung und zur Förderung der Sicherheit auf die dafür erforderlichen einzugrenzen, und „alle unrechtmäßigen, nicht notwendigen oder unverhältnismäßigen Datenverarbeitungen“ vertraglich auszuschließen und technisch zu unterbinden. Dabei muss der Verantwortliche auch prüfen, ob die vertraglich vorgesehenen Schutzmaßnahmen bei der Verarbeitung von personenbezogenen Daten angemessen sind und zusätzliche Maßnahmen vertraglich vereinbaren, sofern diese nicht ausreichen.
Punkt 5. Löschen personenbezogener Daten betrifft die im DPA aufgeführte Löschfrist, von zusätzlichen 90 Tagen über die 90 Tage hinaus, während derer der Verantwortliche weiterhin Zugriff auf die Daten hat. Da es für diese zusätzlichen 90 Tage in der Regel keine Rechtsgrundlage gibt, muss die Löschfrist vertraglich reduziert werden. Da das DPA keine Regelungen für „speziellere Löschprozesse und -fristen, z. B. wenn Daten auf Verlangen (Art. 17 DSGVO) oder beim Auflösen eines einzelnen Nutzer-Kontos gelöscht werden müssen“ enthält, müssen über die Zusatzvereinbarung vertragliche Anpassungen vorgenommen werden, mit denen Microsoft als Auftragsverarbeiter in eigene Löschprozesse integriert wird. Außerdem sollen Verantwortliche im DPA bestehende Ausnahmen von der Löschungsverpflichtung vertraglich eingeschränken und konkretisieren. Verantwortliche müssen auch die verwendeten Anwendungen aus Microsoft 365 bezüglich der Löschung von personenbezogenen Daten prüfen und im Bedarfsfall ihre eigenen Löschprozesse um entsprechende Maßnahmen ergänzen.
Bei 6. Information über Unterauftragsverarbeiter geht es um fehlende Informationen zu Unterauftragsverarbeitern, die Einbindung von neuen Unterauftragsverarbeitern, Änderungen bei bestehenden Unterauftragsverhältnissen und die Information des Verantwortlichen durch Microsoft über neue Unterauftragsverarbeiter.
7. Weitere Hinweise betrifft zum einen zusätzliche eigene Maßnahmen, welche Verantwortliche über die Zusatzvereinbarungen zum Data Processing Addendum treffen müssen, und zum anderen die im Kontext Schule problematische Einwilligung.
Zu den beschriebenen eigenen Maßnahmen gehören solche, die in einigen Schule bereits umgesetzt werden, wie die Verwendung pseudonymer Mailadressen/Accounts und ein Verbot der Nutzung privater Microsoft Konten. Empfohlen wird auch ein Verbot der Nutzung von privaten Endgeräten. Deutlich komplexer und aufwändiger ist die Empfehlungen zum „Betrieb von Microsoft365 auf eigenen IT-Strukturen„, um dadurch „eine Übermittlung personenbezogener Daten zu Microsofts eigenen Zwecken unterbinden.“ Alternativ werden Maßnahmen vorgeschlagen, mit denen verhindert wird, dass sich abfließende Telemetrie-Daten individuellen Nutzern bei der Arbeit mit Microsoft 365 zuordnen lassen und Nutzer über ihre IP-Adressen identifizierbar werden.
Beim Thema Einwilligung geht es neben der im Zusammenhang mit Unterricht in der Regel nicht gegebenen Freiwilligkeit auch um eine mögliche vertragliche Verpflichtung der Schule durch Microsoft, „die u. U. zur Verarbeitung erforderliche Einwilligung der Schülerinnen und Schüler bzw. deren Eltern einzuholen.“ Ein Vertrag zur Auftragsverarbeitung mit Microsoft sollte von daher keine solche Verpflichtung enthalten. Die Einwilligung kann „im Zusammenhang mit dem Unterricht in der Regel nicht“ genutzt werden, das betont die Handreichung, die zuvor beschriebenen fehlenden Rechtsgrundlagen für eine Übermittlung von personenbezogenen Daten an Microsoft, etwa zur dieser Daten Verarbeitung für eigene Zwecke, zu ersetzen. Mit der Formulierung „in der Regel“ wird nicht ausgeschlossen, dass eine Einwilligung in die Übermittlung von personenbezogenen Daten an Microsoft in anderen Zusammenhängen auch in Schule möglich ist.
Bewertung
Die Arbeitsgruppe der sieben an der Handreichung beteiligten Aufsichtsbehörden, sind mit diesem Dokument der Ankündigung der LDI NRW nachgekommen, eine Hilfestellung zu erarbeiten, die Verantwortliche und insbesondere Schulen dabei unterstützen soll, mit Microsoft einen den Anforderungen der DS-GVO entsprechenden Vertrag zur Auftragsverarbeitung abzuschließen.1Siehe dazu auch den Beitrag „Arbeitsgruppe von Datenschutzbehörden erarbeitet Handreichung für datenschutzgerechten AVV mit Microsoft“ vom 17. Mai 2023. Man hat sich dazu das DPA vorgenommen und die darin zuvor festgestellten datenschutzrechtlichen Mängel in sechs Inhaltsabschnitten beschrieben und in Form von ToDos Abhilfemaßnahmen beschrieben, welche Verantwortliche in Form einer Zusatzvereinbarung zum DPA umsetzen sollen, um damit eine datenschutzgerechte Nutzung von Microsoft 365 in ihrer Institution zu ermöglichen. Ergänzt werden diese Empfehlungen durch Hinweise zu ergänzenden eigenen Maßnahmen, welche kritische Aspekte der Datenverarbeitung bei der Nutzung von Microsoft 365 weiter entschärfen sollen.
Soweit so gut. Es gibt bei dieser auf jeden Fall sehr hilfreichen Handreichung nur ein Problem. Das ist die Umsetzung, welche kaum eine Schule alleine wird bewerkstelligen können. Was die Erstellung einer Zusatzvereinbarung zum Data Processing Addendum angeht, so kann es nicht angehen, dass jede Schule sich hier selbst Gedanken machen soll. Die datenschutzrechtlichen Probleme des DPA sind für alle Schulen weitestgehend die gleichen. Es ist von daher mehr als sinnvoll, wenn die Zusatzvereinbarung zentral erstellt wird. Genauso sollte zentral eine Vorgabe erstellt werden, wie ein schulischer Tenant zu konfigurieren ist, welche Maßnahmen vor Ort und durch Nutzer getroffen werden müssen sowie welche Nutzung zulässig ist und welche nicht.
Schaut man in andere Länder, sieht man, dass solches durchaus möglich ist. Zentral wird durch das Land/ Bundesland/ den Kanton ein Rahmenvertrag mit dem Anbieter abgeschlossen, der auch datenschutzrechtliche Belange regelt, wozu im Fall von Deutschland und Microsoft gehören würde, dass die Zusatzvereinbarung zum Data Processing Addendum für alle Schulen gilt, die sich dem Rahmenvertrag anschließen. In Deutschland könnte solch ein Rahmenvertrag vermutlich auch durch FWU ausgehandelt werden, wenn dieses durch die Bundesländer dazu beauftragt würde. Der neue Rahmenvertrag wäre dann nicht nur einer, welcher Schulen besondere finanzielle Konditionen einräumt. Außerdem würde wie z.B. in der Schweiz eine Nutzungsvorgabe erarbeitet und für Schulen zur Verfügung gestellt. Und wie in den Niederlanden würde man zentral auch eine für Schulen ausgearbeitete Konfigurationsanleitung für den Tenant sowie lokale Anwendungen und Endgeräte bereitstellen. Schulen, die von ihrem Schulträger Microsoft 365 bereitgestellt bekommen treten dann dem Rahmenvertrag bei und die Schulleitungen schließen mit Microsoft die datenschutzrechtlichen Verträge einschließlich der Zusatzvereinbarung ab. Der Schulträger oder ein beauftragter Dienstleister konfiguriert den Tenant entsprechend der zentral bereitgestellten Anleitung und die Schulleitung sorgt für die Umsetzung der bereitgestellten Nutzungsvorgaben und wäre für deren Einhaltung verantwortlich.
Nicht alle von den Aufsichtsbehörden empfohlenen Maßnahmen werden sich in (allen) Schulen perfekt umsetzen lassen. Offen ist zum Zeitpunkt der Veröffentlichung der Handreichung auch, ob Microsoft bereit ist, die Zusatzvereinbarung mit allen dort festgeschriebenen Maßnahmen entsprechend umzusetzen. Mit der Zusatzvereinbarung gehen letztlich „Zugeständnisse“ einher, welche Microsoft bislang nicht bereit war, den deutschen Aufsichtsbehörden zu gewähren.
Man muss abwarten, wie die Dinge sich entwickeln. Einzelne Schulen, die entweder einen Schulträger mit einer kundigen Rechtsabteilung oder einen anderen juristischen Beistand haben, könnten versuchen, selbst eine Zusatzvereinbarung aufzusetzen und diese Microsoft vorzulegen. Sicherlich werden auch verschiedene größere Kommunen für ihre kommunale Verwaltung tätig werden, da sie vor dem selben Problem stehen wie ihre Schulen. Schulen, die auf welchem Weg auch immer zu einer Zusatzvereinbarung kommen, würden dann erfahren, wie Microsoft darauf reagiert. Verhandelbar ist eine auf der Grundlage der Handreichung erstellte Zusatzvereinbarung allenfalls in Teilbereichen, sofern der Verantwortliche bestimmte Vorgaben, welche Microsoft nicht bereit ist, vertraglich zuzusichern, durch eigene Maßnahmen ausgleichen kann.
Eigentlich sollten die Schulministerien ihre Schulen und Schulträger hier unterstützen. Für NRW kann man mit Blick auf Erfahrungen der Vergangenheit wohl davon ausgehen, dass es – abgesehen von einer Ergänzung der FAQ zum Datenschutz in Schulen um einen Hinweis auf die Handreichung – keinerlei praktische Unterstützung geben wird. Das könnte in anderen Bundesländern durchaus anders sein, etwa in Baden Württemberg, wo man von Seiten des Schulministeriums keine Mühen gescheut hat, den Schulen eine datenschutzgerechte Nutzung von Microsoft 365 zu ermöglichen, wenn auch bisher leider ohne Erfolg.
5 thoughts on “Die Handreichung der Aufsichtsbehörden zum Umgang mit dem DPA zu MS365”