Im 53. Tätigkeitsbericht des Hessischen Beauftragten für Datenschutz und Informationsfreiheit berichtet dieser auch zu den Entwicklungen beim Thema Microsoft im Berichtsjahr 2024. Nach Einschätzung des Landesbeauftragten entsprach auch das Data Processing Addendum Stand 01.01.2024 nicht den Anforderungen von Art. 28 DS-GVO. Das ist ein Problem für Unternehmen wie auch Behörden, welche Microsoft 365 nutzen wollen. Um die Verhältnismäßigkeit zu wahren forderte der Landesbeauftragte in einem ersten Schritt, „dass sie von Microsoft eine Zusatzvereinbarung einfordern, in der die Festlegungen enthalten sind, die bisher im DPA fehlen.“ Mittels der voon Datenschutzbehörden erarbeiteten Handreichung zum Abschluss einer solchen Zusatzvereinbarung konnte der Landesbeauftragte das Hessische Kultusministerium (für alle hessischen Schulen), einige Schulträger, zentrale IT-Dienstleister unterstützen und weitere Institutionen unterstützen. Nachdem diese alle an Microsoft mit der Forderung nach einer entsprechenden Zusatzvereinbarung herangetreten waren, wandte sich Microsoft mit dem Vorschlag, die vielen Forderungen zu bündeln, direkt an den Landesbeauftragten, um mit diesem „zu verhandeln, unter welchen Bedingungen ich die datenschutzrechtlichen Anforderungen als erfüllt ansehe.“ Eine Anfrage Hessischen Ministerin für Digitalisierung und Innovation an den Landesbeauftragten, „ob Microsoft 365, insbesondere das
Dienstangebot Teams, in der hessischen Landesverwaltung datenschutzgerecht genutzt werden“ könne mit der Bitte um die Aufnahme von Gesprächen mit Microsoft diesbezüglich brachte den Landesbeauftragten dazu seine Gespräche mit Microsoft zunächst auf Microsoft Teams zu konzentrieren. Im Verlaufe mehrerer Gespräche mit Microsoft und durch die Bewertung von Unterlagen zur Plattform prüfte der Landesbeauftragte dann, „unter welchen realisierbaren Bedingungen die sieben Kritikpunkte der DSK konstruktiv umgesetzt werden können.“
Das Ergebnis der Gespräche bewertet der Landesbeauftragte positiv. Er hält einen datenschutzkonformen Einsatz von MS Teams für möglich, wenn sowohl die hessische Landesverwaltung mit ihrem IT Dienstleister wie auch Microsoft dazu beitragen, „dass die datenschutzrechtlichen Anforderungen erfüllt und insbesondere die sieben Kritikpunkte
der DSK beseitigt werden können.“ Damit ist dieses Ergebnis ein sogenanntes normatives Konzept. Das bedeutet, es handelt sich nicht um das Ergebnis eines technischen Prüfberichts, sondern um ein Modell, wie unter bestimmten Voraussetzungen Datenschutzkonformität erreicht werden kann. Zu diesen Voraussetzungen gehört, dass die Landesverwaltung beim tatsächlichen Einsatz durch die Art und Weise der Nutzung bzw. Datenverarbeitung, Dokumentation und zusätzlichen Schutzmaßnahmen dazu beiträgt, die datenschutzrechtlichen Defizite Microsoft Teams auszugleichen. Wie dieses aussehen kann, verdeutlicht der Landesbeauftragte am Beispiel der Löschung: „Eine datenschutzgerechte frühzeitige Löschung personenbezogener Daten, die Microsoft nicht durchführt, kann auch dadurch erreicht werden, dass die HZD auf der Grundlage eines geeigneten Löschkonzepts die notwendigen Datenlöschungen vornimmt und Microsoft dies auf seinen IT-Systemen ermöglicht.“
Die bislang gewonnenen Erkenntnisse sollen zusammen mit dem beschriebenen methodischen Vorgehen als Grundlage für weitere Gespräche mit Microsoft dienen, die im ersten Halbjahr 2025 stattfinden sollen, und auf sämtliche Dienstangebote von MS 365 sowie auf weitere Anwendungsfelder im öffentlichen und nichtöffentlichen Bereich übertragen werden.
Bewertung
Auch in Hessen bewegt sich etwas in Sachen Microsoft. Ähnlich wie in Niedersachsen, ist auch in Hessen die Landesverwaltung an einer Nutzung von Teams interessiert. Vergleichbar ist zudem die Orientierung der Aufsichtsbehörde an der Handreichung, welche 2023 von mehreren Aufsichtsbehörden gemeinsam erarbeitet wurde. Der hessische Landesbeauftragte hält eine datenschutzkonforme Nutzung von MS Teams für möglich, wenn sowohl die Landesverwaltung und ihr IT Dienstleister wie auch Microsoft ihren Beitrag leisten, um die datenschutzrechtlichen Anforderungen zu erfüllen. Es handelt sich hier nach den Worten des Landesbeauftragten um ein normatives Konzept und ist damit ein konstruktiver Zwischenschritt, aber noch keine formale Genehmigung oder Bestätigung der Datenschutzkonformität. Es schafft jedoch eine Grundlage, auf der der Datenschutz bei der Nutzung von MS Teams durch alle Beteiligten proaktiv gestaltet und abgesichert werden kann.
Interessant ist in Hessen, dass der Landesbeauftragte gebeten wurde, Gespräche mit Microsoft im Auftrag des Ministeriums zu führen bezüglich der datenschutzwidrigen Vertragsbedingungen. Das heißt, der Landesbeauftragte hat mit Microsoft Bedingungen ausgelotet, wie die Kritikpunkte am DPA (durch eine Zusatzvereinbarung) gelöst werden können.
Dieses Vorgehen will der Landesbeauftragte nun nicht nur von MS Teams auf MS365 erweitern, sondern auch auf weitere Anwendungsfelder wie die hessischen Schulen. Das ist bemerkenswert, da sich die Aufsichtsbehörde dadurch auch mit einer Zusatzvereinbarung für Schulen, die möglicherweise etwas anders ist als die für eine Landesverwaltung, befassen wird. Auch wenn sich die Einschätzung des Landesbeauftragten nicht direkt auf Schulen übertragen lässt, sondern sich vorerst auf die Landesverwaltung beschränkt, ist so zumindest ein Anfang gemacht und es besteht eine Perspektive, dass auch Schulen die Microsoft Plattformen in Zukunft datenschutzkonform nutzen können.
So wie die Zusatzvereinbarung in Niedersachsen eine Signalwirkung für andere Bundesländer gehabt haben dürfte, so würde eine in Hessen erarbeitete Lösung für den Bildungssektor in anderen Bundesländern wirken.