In Niedersachsen wurde im Mai 2024 mit Zustimmung der Aufsichtsbehörde des Bundeslandes eine datenschutzrechtliche Zusatzvereinbarung mit Microsoft zur Nutzung von Teams in öffentlichen Verwaltungen abgeschlossen. Auch in Bayern hat man laut einem Bericht auf Heise von August 2024 vor, mit Microsoft Vertragszusätze zum Datenschutz abzuschließen, vergleichbar dem Vorbild Niedersachsen. Wie aus einer Heise vorliegenden Präsentation der Staatsregierung hervorgeht, geht es dabei nicht nur um Microsoft Teams und damit verbundene Dienste, sondern um Microsoft Cloud Dienste wie wie MS 365, Teams und Copilot, deren Nutzung für staatliche und kommunale Behörden ermöglicht werden soll. Um die unwirtschaftliche Situation zu vermeiden, dass Fragen zum Datenschutz und zur Sicherheit an vielen Stellen diskutiert werden, verhandelt das Bayrische Finanzministerium zentral mit Microsoft über einen „gemeinsamen Vertrag für Freistaat und Kommunen“. Ähnlich wie in Niedersachsen bindet man auch in Bayern die Datenschutzaufsicht in die Verhandlungen ein. Ob diese Einbindung vergleichbar der in Niedersachsen ist, wo das Ministerium dies wie folgt beschreibt „In enger Abstimmung mit dem Landesbeauftragten für den Datenschutz in Niedersachsen konnten kritische „Big points“ des Datenschutzes verhandelt und geklärt werden. Das Ergebnis der umfangreichen Verhandlungen mit Microsoft wurde für Niedersachsen in einer Anpassung der Datenschutzvereinbarungen (Data protection addendum, DPA) festgehalten.“1Quelle: https://www.mi.niedersachsen.de/startseite/aktuelles/presseinformationen/niedersachsen-wird-vorreiter-bei-der-nutzung-von-microsoft-teams-in-der-landesverwaltung-231665.html geht aus dem Bericht nicht hervor. In den Gesprächen zwischen dem Ministerium und dem Landesbeauftragten für Datenschutz hat dieser klare Anforderungen an die Einführung gestellt. Dazu gehören „Transparenz im Sinne von Verarbeitungszwecken, Anonymisierung von Nutzungsdaten und Löschfristen für personenbezogene Daten“.
Bewertung
Nach Niedersachsen ist man nun auch in Bayern man zu der Einsicht gekommen, dass es zentrale Verhandlungen mit Microsoft bezüglich datenschutzrechtlicher Zusatzvereinbarungen braucht, da es keinen Sinn macht, dass jede staatliche und kommunale Behörde versucht, diese Fragen für sich alleine zu klären. Ähnlich wie in den Niederlanden übernimmt ein Ministerium die Verhandlungen. Das ist lobenswert und setzt ein Zeichen. In Bayern wird man mit großer Wahrscheinlichkeit die in Niedersachsen ausgehandelte Zusatzvereinbarung als Grundlage nehmen und diese um die spezifischen Anforderungen des Bundeslandes und seiner Aufsichtsbehörde ergänzen. Dass es hier nicht zu einem erfolgreichen Vertragsabschluss kommen wird, ist wenig wahrscheinlich. Das Vorgehen in Niedersachsen und Bayern wird anderen Bundesländern als Vorbild dienen, um die DS-GVO konforme Nutzung der Microsoft Cloud Dienste für ihre Verwaltungen über zentral ausgehandelte datenschutzrechtliche Zusatzvereinbarungen zu ermöglichen. Es sollte dann nur noch eine Frage der Zeit sein, bis dieser Ansatz auch auf den Bildungsbereich übertragen wird. Ob es auch dort dann jeweils Bundesland-spezifisch ausgehandelte Edu-Zusatzvereinbarungen geben wird oder ob es möglich ist, eine bundeseinheitliche zentrale Zusatzvereinbarung mit Microsoft abzuschließen bleibt abzuwarten. Es wird von den Befindlichkeiten der Bundesländer und ihrer Aufsichtsbehörden abhängen.