Was kaum möglich scheint, verkündet das Land Niedersachsen am 26.04.2024 per Pressemitteilung unter dem Titel: Niedersachsen wird Vorreiter bei der Nutzung von Microsoft Teams in der Landesverwaltung. Der Pressemeldung nach hat das Land „enger Abstimmung mit dem Landesbeauftragten für den Datenschutz in Niedersachsen “ mit Microsoft kritische „Big Points“ verhandelt und geklärt. Man kam so zu einer Anpassung des Data Processing Addendum (DPA), die alle wesentlichen von Niedersachsen geforderten Punkte berücksichtigte. Die Anpassung dürfte durch eine Zusatzvereinbarung zum DPA erfolgt sein, entsprechend der Handreichung, welche von 7 Aufsichtsbehörden zum Abschluss eines DS-GVO AVV mit Microsoft im September 2023 veröffentlicht worden war. Außerdem entwickelte man eine auf das Land bezogene Datenschutz-Folgenabschätzung mit einer Risikoabschätzung sowie verschiedenen umzusetzenden technischen und organisatorischen Maßnahmen. Sehr entscheidend war für das Vorhaben, die EU-Data-Boundary, welche Microsoft eingerichtet hat, um sämtliche Daten bei einer Nutzung von Teams in der EU zu speichern und zu verarbeiten. Die Bemühungen des Bundeslandes, der öffentlichen Verwaltung Microsoft Teams zur Verfügung zu stellen, steht im Zusammenhang mit der absehbaren Verlagerung von Anwendungen in die Cloud. Schon im Laufe des zweiten Quartals soll zunächst eine zweiwöchige Pilotphase gestartet werden, auf die dann nach erfolgreichem Abschluss der Pilotierung der Roll-out für die zunächst 13.500 Arbeitsplätze von Mitarbeitern des Landesbetriebs IT.Niedersachsen erfolgen soll. In Niedersachsen geht man davon aus, dass die erarbeitete Lösung Auswirkungen auf den öffentlichen Sektor über das Bundesland hinaus haben. Wie der Pressemitteilung auch zu entnehmen ist, hat Microsoft sich bereit erklärt, „die mit dem Land Niedersachsen vereinbarten datenschutzrechtlichen Regelungen auch beim Austausch mit allen anderen Kunden der öffentlichen Verwaltung in Deutschland zu berücksichtigen.“
Bewertung
Wer das Ringen um eine DS-GVO konforme Nutzung von Microsoft Produkten in Deutschland schon länger verfolgt, dürfte sehr überrascht sein, dass man in Niedersachsen unter Beteiligung der Aufsichtsbehörde zu dieser Lösung gekommen ist. In großen Unternehmen ist es üblich, mit Anbietern wie Microsoft Zusatzvereinbarungen abzuschließen. Anders als etwa in den Niederlanden sah sich bisher in Deutschland kein Land oder Ministerium in der Verantwortung, entsprechend aktiv zu werden. Stattdessen überließ man die öffentlichen Stellen, darunter auch die Schulen, sich mit ihren Problemen alleine. Von den Aufsichtsbehörden waren und sind die öffentlichen Stellen mit Forderungen für eine DS-GVO konforme Nutzung konfrontiert, die sie alleine nicht lösen können. Ein Anbieter wie Microsoft handelt mit einer einzelnen öffentlichen Stelle bzw. Schule keine Zusatzvereinbarung aus. Dafür braucht es entweder sehr große Schulträger, die Lizenzen im Bereich der Tausender benötigen, Bundesländer, die wie in Niedersachsen, wo es um mehr als Zehntausend Lizenzen geht, oder beauftragte Dienstleister wie etwa FWU. Idealerweise wird eine Zusatzvereinbarung wie die in Niedersachsen innerhalb eines Rahmenvertrages abgeschlossen, dem sich dann öffentliche Stellen wie Schulen anschließen können. Doch so einfach ist es hier nicht.
Man sollte zunächst einmal festhalten, dass es hier ausschließlich um Microsoft Teams geht, nicht um Microsoft 365. Darüber hinaus geht es um eine Kategorie von öffentlichen Stellen bzw. Verwaltung und zwar um Behörden der Landesverwaltung. Darunter können auch Schulverwaltungen auf Landesebene zählen. Schulen gehören hierzu jedoch nicht.
Aus der Pressemitteilung geht nicht hervor, welche öffentlichen Stellen in Niedersachsen unter die mit Microsoft die ausgehandelte Zusatzvereinbarung fallen. Mit der Erklärung Microsofts, diese Zusatzvereinbarung auch bei Verhandlungen mit öffentlichen Stellen in anderen Bundesländern zu berücksichtigen, dürfte bedeuten, dass Microsoft bereit ist, die Zusatzvereinbarung auch mit diesen öffentlichen Stellen abzuschließen. Das macht Sinn, denn warum sollte Microsoft die Niedersachsen gewährten Zugeständnisse nicht auch anderen zu gewähren?
Stefan Hessel fragt sich in seinem Beitrag zur Pressemeldung – 𝗗𝘂𝗿𝗰𝗵𝗯𝗿𝘂𝗰𝗵 𝗯𝗲𝗶𝗺 𝗱𝗮𝘁𝗲𝗻𝘀𝗰𝗵𝘂𝘁𝘇𝗸𝗼𝗻𝗳𝗼𝗿𝗺𝗲𝗻 𝗘𝗶𝗻𝘀𝗮𝘁𝘇 𝘃𝗼𝗻 𝗠𝗶𝗰𝗿𝗼𝘀𝗼𝗳𝘁 𝟯𝟲𝟱! – „ob alle Landesdatenschutzbeauftragten die Einschätzung Niedersachsens teilen.“ und verweist auf gegenteilige Signale aus Hamburg und dem Saarland. Die Frage ist berechtigt. Man sollte jedoch auch berücksichtigen, dass man sich in Niedersachsen bei den Verhandlungen mit Microsoft unter Beteiligung der Aufsichtsbehörde des Bundeslandes sehr sicher an der Handreichung zum Abschluss eines DS-GVO konformen Vertrag zur Auftragsverarbeitung mit Microsoft orientiert haben wird und dessen Inhalte in den „wesentlichen … Punkten“ (Big Points) umsetzen konnte. Von daher sollte man davon ausgehen können, dass auch die restlichen sechs beteiligten Aufsichtsbehörden die in Niedersachsen erarbeitete Lösung unterstützen werden. Damit sollte die Lösung aus Niedersachsen mit Billigung der jeweiligen Aufsichtsbehörde auch auf diese Bundesländer übertragbar sein für dortige öffentliche Verwaltungen. Letztlich werden aber auch andere Bundesländer wenig einwenden können, ohne sich unglaubwürdig zu machen, wenn man in ihren Bundesländern diese Lösung für dortige öffentliche Verwaltungen umsetzt.
Voraussetzung für die Nutzung von Microsoft Teams in öffentlichen Verwaltungen in Niedersachsen ist, wie oben hervorgehoben, jeweils eine Datenschutz-Folgenabschätzung mit einer Risikoabschätzung sowie die Umsetzung verschiedner technischer und organisatorischer Maßnahmen. Sind diese Punkte erfüllt, können öffentliche Stellen der Verwaltung in Niedersachsen Microsoft Teams nutzen. Die abgeschlossene Zusatzvereinbarung sollte automatisch für sie gelten, muss aber eventuell noch einmal separat bestätigt werden von der jeweiligen öffentlichen Verwaltung. Es ist davon auszugehen, dass man von Landesseite den Verwaltungen Hilfen für die Datenschutz-Folgenabschätzung und Risikoabschätzung zur Verfügung stellen wird, welche auf die eigene Verwaltung angepasst werden können. Auch ein Konzept für die umzusetzenden technischen und organisatorischen Maßnahmen wird man sicher zur Verfügung stellen. Die Zusatzvereinbarung wird vermutlich nicht öffentlich sein.1Es bleibt zu hoffen, dass ein Teil der Unterlagen öffentlich zugänglich gemacht wird.
Was bedeutet das nun für Schulen? In Niedersachsen wird man sicherlich nach Mitteln und Wegen suchen, diese neue Möglichkeit auch für Schulen nutzen zu können, zumindest Schulen werden nach diesen Möglichkeiten suchen. Man kann aber davon ausgehen, dass die „Entwicklung einer auf das Land bezogenen Datenschutzfolgeabschätzung mit einer Risikoabschätzung und diversen umzusetzenden technischen und organisatorischen Maßnahmen“ auf öffentliche Verwaltungen ausgerichtet ist und nicht auf Schulen. Die von der Verarbeitung betroffenen Kategorien von Personen sind bei Schulen ziemlich sicher andere als in einer öffentlichen Verwaltung, zumindest was die Daten der Nutzer angeht.
Auch wenn die Lösung des Landes Niedersachsen für Schulen in Niedersachsen mit Blick auf eine unterrichtliche Nutzung nicht direkt übertragen werden kann, so zeigt die Lösung jedoch, dass ein Anfang gemacht ist. Perspektivisch sollten sich daraus auch für Schulen Möglichkeiten ergeben, idealerweise in Form eines Rahmenvertrags wie in anderen EU Ländern.
2 thoughts on “Microsoft Teams in Niedersachsen für öffentliche Stellen jetzt möglich”