Am 22.07.2021 veröffentlichte die niedersächsische Aufsichtsbehörde auf ihrem Internetauftritt einen Beitrag mit dem Titel “
Thiel: Einsatz von Office 365 weiter kritisch – Verantwortliche müssen datenschutzkonforme Kommunikationsstrukturen etablieren„. Hierin stellt die Landesbeauftragte für den Datenschutz (LfD) Niedersachsen, Barbara Thiel, zunächst klar, dass es bisher keine Anordnung oder Untersagung gebe, mit der eine Nutzung von Office 365 untersagt wurde. Allerdings sehe man den Einsatz von Office 365 weiterhin kritisch und man könne von einer Nutzung nur dringend abraten.
Die Aufsichtsbehörde hatte die Nutzung von Office 365 pandemiebedingt mangels ausreichender Alternativen zunächst geduldet, auch wenn diese „nicht im vollen Umfang sämtliche datenschutzrechtlichen Anforderungen“ erfüllen und diese Duldung dann im Herbst 2020 aufgehoben, da man davon ausging, dass die Verantwortlichen bis dahin genug Zeit hatten, „ für den fortdauernden Einsatz digitaler Kommunikationsmittel datenschutzkonforme Produkte auszuwählen und einzurichten.“
Aktuell begleitet die niedersächsische Aufsichtbehörde das Kultusministerium beratend zum Einsatz von Office 365 in berufsbildenden Schulen. Das Kultusministerium erhebt an berufsbildenden Schulen verschiedene konkrete Nutzungsszenarien von Office 365, um diese zu bewerten. Der Aufsichtsbehörde wurden dabei Unterlagen zu den erhobenen Nutzungsszenarien zur Verfügung gestellt, welche diese aus datenschutzrechtlicher Sicht bewerten soll.
Kritik
Auf der Seite ReuschLaw setzten sich die Fachjuristen Stefan Hessel und Karin Potel in einem Beitrag mit dem Titel „Datenschutzaufsicht Niedersachsen bewertet Office 365 als „sehr kritisch“! Ist das richtig? Wir meinen nein.“ kritisch mit dem Statement der Aufsichtsbehörde auseinander. Ein Grund den man dafür nennt, ist das sehr knappe Votum (9:8) der Datenschutzkonferenz, mit dem man zu dem Schluss kam, dass kein datenschutzgerechter Einsatz von Microsoft 365 möglich ist. Außerdem ist man der Ansicht, dass die DS-GVO Aufsichtsbehörden nicht das Recht zugesteht, Produktbewertungen vorzunehmen. Firmen, die Office 365 einsetzen, können das nicht einheitliche und von verschiedenen Aufsichtsbehörden kritisierte Votum der Datenschutzkonferenz durchaus als Argument in ihrem Sinne nutzen.
Bewertung
Für Schulen bleibt es weiterhin schwierig, soweit es um die Nutzung von Office 365/ Microsoft 365 geht. Die Risiken, von welchen Aufsichtsbehörden sprechen, sind vielfach abstrakt und Probleme der DS-GVO Konformität ergeben sich vor allem durch die Dokumentation der Datenverarbeitung durch Microsoft. Alles ist in Bewegung. Microsoft wird alle Datenverarbeitung, auch die der Telemetriedaten, zukünftig komplett in die EU verlagern. Schrems II ist damit im Prinzip erledigt. Was bleibt, ist der CLOUD-Act. In der Kritik steht auch, dass es sich bei Microsoft 365 um ein proprietäres Format handelt und öffentliche Stellen sich vom Anbieter auf Dauer abhängig machen. Andererseits laufen die System zuverlässig und Schulen haben sich eingearbeitet. Es zeichnet sich jedoch ab, dass in verschiedenen Bundesländern, in denen eine Nutzung von Microsoft 365 bisher nicht verboten ist, Schulen zumindest in Teilbereichen zum Wechsel auf alternative Systeme gedrängt werden. Das ist vor allem beim Thema Videokonferenzen der Fall.