Der 52. Tätigkeitsbericht zum Datenschutz (und 6. Tätigkeitsbericht zur Informationsfreiheit) des Hessischen Beauftragten für Datenschutz und Informationsfreiheit (HBDI) beinhaltet auch ein Kapitel zu einer Beratungsveranstaltung für Schulträger, in welchen es um ihre Rechten und Pflichten insbesondere im Zusammenhang mit der Bereitstellung von MS 365 für die Schulen in Hessen ging. Die Schulträger in Hessen sind wie landesweit üblich für die Ausstattung ihrer Schulen zuständig (§ 155 SchulG HE). Damit verbinden sich nach Ansicht der Hessischen Datenschutzaufsicht sowohl Rechte als auch Pflichten. Bei der Bereitstellung von Microsoft 365 käme das besonders zum Tragen. Die Beratung der Schulträger erfolgte, wie im Bericht erwähnt, noch vor Inkrafttreten des EU-US Data Privacy Framework, dem neuen Angemessenheitsbeschluss für die Übermittlung und Verarbeitung von personenbezogenen Daten aus der EU in den USA, im Juli 2023. Von daher haben sich die sieben Punkte, an welchen der HBDI erläuterte, warum Schulen Microsoft 365 nicht datenschutzkonform nutzen können, zwischenzeitlich zumindest in Teilen überholt. Der HBDI merkt dieses selbst an. Die Punkte, an denen der HBDI seine Argumentation festmacht, orientieren sich an der bekannten Festlegung der DSK vom 24. November 2022. Bei nahezu allen der sieben genannten Punkte, sieht der HBDI auch den Schulträger in der Pflicht und beschreibt seine Rolle als fast gleich zu der der Schulleitung, wenn es um Zusagen bzw. Zusicherungen durch Microsoft geht, etwa personenbezogene Daten auf der Grundlage der für Schulen geltenden Rechtsgrundlagen zu verarbeiten, keine solche Daten für eigene Zwecke zu verarbeiten, die Übermittlung von Daten mit Maßnahmen gem. Schrems II abzusichern und dass sämtliche Daten bei Beendigung des Vertragsverhältnisses gelöscht werden. Außerdem müssen nach Ansicht des HBDI dem Schulträger oder den Schulen gegenüber alle Unterauftragsverarbeiter in Einzelnen benannt werden und für den Fall, dass es im Vertragswerk mit Microsoft Klauseln gibt, welche Microsoft eine Offenlegung von Daten gegenüber US Ermittlungsbehörden gestatten, dass diese gestrichen werden.
Bewertung
Dieser Teil des Tätigkeitsberichtes ist in mehrerer Hinsicht interessant. Wer den Fall um die Nutzung von Google Workspace for Education in NRW verfolgt, wird hierin vielleicht die Auffassung des Senats des OVG NRW bestätigt sehen, soweit es um die datenschutzrechtliche Verantwortung des Schulträgers für bereitgestellte Plattformen geht. Ähnlich zu NRW nimmt das hessische Schulgesetz den Schulträger lediglich bezüglich der Sachausstattung in die Pflicht. Eine datenschutzrechtliche Rolle lässt sich hier allenfalls ableiten. Interessant an den Ausführungen des HBDI ist die Gleichsetzung des Schulträgers mit der Schulleitung soweit es um vertragliche Zusicherungen von Seiten Microsofts bezüglich der Einhaltung datenschutzrechtlicher Vorgaben geht. Die Frage ist nur, würde es in der Praxis tatsächlich reichen, wenn Microsoft dem Schulträger gegenüber zusichert, keine personenbezogenen Daten aus der Schule für eigene Zwecke zu verarbeiten? Tritt der Schulträger selbst als Verantwortlicher gegenüber Microsoft auf, macht das durchaus Sinn. Das wäre jedoch nur dann der Fall, wenn der Schulträger selbst als Diensteanbieter seinen Schulen Microsoft 365 Tenants bereitstellt und Microsoft im Vertrag zur Auftragsverarbeitung, welchen Schulen dann mit ihrem Schulträger bezüglich der Bereitstellung von Microsoft 365 abschließen, Unterauftragsverarbeiter ist. Ob das in Hessen so gehandhabt wird, ist dem Verfasser des Beitrags nicht bekannt. In NRW schließen die Schulträger die geschäftlichen Verträge mit Microsoft zur Bereitstellung von Tenants für die Schulen ab. Die Schulen als verantwortliche Stellen schließen dann die datenschutzrechtlichen Verträge mit Microsoft ab. Mit dem Schulträger oder einem von diesem beauftragten Dienstleister wird ein Vertrag zur Auftragsverarbeitung dann in der Regel lediglich bezüglich der Administration und des Supports abgeschlossen. Welche Auswirkung hätte es tatsächlich, wenn Microsoft dem Schulträger gegenüber eine Zusicherung abgegeben hat, die sich dann aber in den datenschutzrechtlichen Verträgen mit der Schule selbst nicht oder nur eingeschränkt wiederfindet? Könnte sich die Schule dann auf den Schulträger berufen? Vermutlich ist die Wahrscheinlichkeit für einen solchen Fall gering. Es ging dem HBDI um Rechte und Pflichten des Schulträgers bei der Bereitstellung von Plattformen. Eine Pflicht, die der HBDI sieht, scheint hier die zu sein, dass der Schulträger die kritischen Fragen vorab klärt. Würde Microsoft der Schule gegenüber etwa entsprechende datenschutzrechtliche Zusicherungen abgeben und die Unterauftragsverarbeiter einzeln offenlegen oder nicht?
Dass Schulträger eine gewisse Verantwortung haben, wenn es um die Bereitstellung von Plattformen geht, ist unbestritten. Die Frage ist jedoch, wie weit diese geht. Microsoft 365 ist ein komplexes Thema und auch in Hessen von Schulträgern alleine nicht zu lösen. Hier ist das Land gefragt, entsprechende Vereinbarungen mit Microsoft auszuhandeln. Bei anderen Plattformen liegt die Sache in der Regel einfacher. Schulträger können sich hier, sofern es keine berechtigten Einwände gibt, den Aussagen der Anbieter zu misstrauen, durchaus auf die Aussagen der Anbieter zur Einhaltung datenschutzrechtlicher Vorgaben verlassen.1Bezüglich dieser Aussagen eines Anbieters kann man dann auf das OLG Karlsruhe, Beschluss vom 07.09.2022 – 15 Verg 8/22 verweisen. Der Beschluss sagt, dass solange es keine konkreten Anhaltspunkte dafür gibt, dass die vertraglichen Zusagen des Anbieters zweifelhaft sind, ein öffentlicher Auftragsgeber auch nicht gehalten ist, durch Einholung ergänzende Informationen die Erfüllbarkeit des Leistungsversprechens beziehungsweise die hinreichende Leistungsfähigkeit des Bieters (meint hier einen Anbieter, der einen Auftrag zur Bereitstellung einer Plattform haben will) zu prüfen. Zu dem Leistungsversprechen gehört auch die Zusage, dass man DS-GVO konform sei. – https://openjur.de/u/2449559.html. Stehen diese Zusagen im Einklang mit den Vorgaben, welchen Schulen unterliegen, spricht eigentlich nichts dagegen, den Schulen eine Plattform zur Verfügung zu stellen.