In ihrem im September veröffentlichten Jahresbericht für das Jahr 2023 befasst sich die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BBDI) auch kurz mit dem Thema Microsoft 365 im Kontext Schule. Zunächst geht sie dabei auf die landeseigene auf Moodle basierende Schulplattform Lernraum Berlin ein und stellt deren Vorzüge mit Blick auf Datenschutz heraus, etwa Transparenz bezüglich der Verarbeitung von personenbezogenen Daten und Überprüfbarkeit, ob diese ausschließlich zu Zwecken der Schule verarbeitet werden. Schulen nutzen jedoch nicht nur die vom Land zur Verfügung gestellten Plattformen, sondern auch freie am Markt verfügbare Produkte. Dies ist möglich, da die datenschutzrechtliche Verantwortung bei den Schulen selbst liegt. Das bedeutet allerdings auch, dass es in ihrer Verantwortung liegt, „einen datenschutzkonformen Einsatz sicherzustellen und die notwendigen Prüfungen vorzunehmen“ und betrifft somit auch das von Schulen in eigener Verantwortung genutzte Microsoft 365 und Teams. Microsoft verarbeite dort Daten, die über den Rahmen des mit der Schule vereinbarten Auftragsverarbeitungsvertrag hinausgehen. Die BBDI verweist dann auf die Festlegung der Datenschutzkonferenz (DSK) von November 2022 und den Bericht der DSK-Arbeitsgruppe „Microsoft-Onlinedienste“, wonach „sich ein Einsatz von MS 365 ohne erhebliche
Anpassungen in den zugrunde liegenden Verträgen nicht datenschutzkonform abbilden lässt.“ Im Ergebnis heiße dieses, „um einen datenschutzkonformen Einsatz von MS 365 in Schulen zu erreichen, müssten die Vereinbarungen der Schulen mit Microsoft zunächst anhand der im Bericht der DSK-Arbeitsgruppe getroffenen Feststellungen überprüft und Vereinbarungen sowie Datenverarbeitungen entsprechend angepasst werden.“ Abschließend weist die BBDI auf eine Änderung der schuldatenschutzrechtlichen Vorgaben für Berliner Schulen in § 4 Abs. 2 DigLLV, nach welcher seit Inkrafttreten der Änderung im August 2023 gilt, „Andere als von der Schulaufsichtsbehörde zur Verfügung gestellte Audio- oder Videokonferenzdienste dürfen nur mit Genehmigung der Schulaufsichtsbehörde eingesetzt werden.“ Da dieses auch Microsoft 365 betreffe, werde sich die „Schulverwaltung mit der Verwendung von MS 365 in Berliner Schulen auseinandersetzen müssen.“
Bewertung
Die Ausführungen der BBDI zum Microsoft 365 sind in mehrerer Hinsicht interessant. Anders als in NRW sind in Berlin die Schulen tatsächlich eigenverantwortlich für das Thema Datenschutz und können entsprechend auch frei aus den Angeboten am Markt auswählen. In NRW, wo dieses über lange Jahre gängige Praxis war, erfolgte mit dem 16. Schulrechtsänderungsgesetz Ende 2022 eine deutliche Änderung, welche die Freiheiten der Schule bei der Auswahl von Plattformen für den Unterricht deutlich einschränkte. Mit dem Ergebnis eines Verfahrens vor dem OVG NRW kam es dann zu einer Zäsur, da man hier die Einschränkung von Plattformen auf solche, welche durch den Schulträger bereitgestellt werden, noch auf Plattformen, welche Schulen in der Vergangenheit, also vor dem 16. Schulrechtsänderungsgesetz beschafft hatten, ausweitete. Berlin zeigt jedoch, dass man auch dort Einschränkungen vornimmt, wenngleich diese nicht vergleichbar drastisch sind. Hier ist nun für ein Segment von Plattformen – Audio- oder Videokonferenzdienste – die Auswahl dadurch beschränkt, dass sie ein Genehmigungsverfahren der Schulaufsichtsbehörde durchlaufen müssen. Man überlässt hier die datenschutzrechtliche Verantwortung nicht mehr den Schulen.
Bezüglich Microsoft 365 ist interessant, dass die BBDI auf die mittlerweile schon recht alten Feststellungen der DSK und ihres Arbeitskreises von November 2022 verweist. Wie von anderen Aufsichtsbehörden gewohnt gibt es dann den Hinweis, dass Schulen ihre Vereinbarungen mit Microsoft gemäß „der im Bericht der DSK-Arbeitsgruppe getroffenen Feststellungen“ überprüfen müssen und diese Vereinbarungen sowie Datenverarbeitungen entsprechend anpassen müssen. Was fehlt, ist der Hinweis auf die von einer Arbeitsgruppe aus 7 Aufsichtsbehörden verfasste Handreichung zum Abschluss Zusatzvereinbarung mit Microsoft, welche einen datenschutzkonformen Einsatz von Microsoft 365 ermöglicht. Diese Handreichung ist deutlich hilfreicher als die Feststellungen der DSK-Arbeitsgruppe und war Grundlage der Zusatzvereinbarung zwischen Niedersachsen und Microsoft.