Microsoft 365 nicht für Verwendung an deutschen Schulen geeignet

Nach zweijährigen Verhandlungen mit Microsoft hat der gemeinsame Ausschuss der deutschen Bundesdatenschutzbehörde und der 17 Landesregulierungsbehörden (DSK) eine Stellungnahme veröffentlicht, die im Wesentlichen besagt, dass Schulen und Behörden Microsoft 365 (MS365) derzeit nicht auf rechtmäßige Weise im Rahmen der DSGVO nutzen können. Das geht aus einer News des Mail-Anbieters Tutanota hervor. Eine Zusammenfassung der Stellungnahme der DSK ist als PDF verfügbar.

Anpassungen gefordert

Die DSK hat in ihrer Sitzung am 22. September 2020 eine Arbeitsgruppe unter Federführung Brandenburgs und des Bayerischen Landesamts für Datenschutzaufsicht (BayLDA) gebeten, Gespräche mit Microsoft aufzunehmen, »um zeitnah datenschutzgerechte Nachbesserungen sowie Anpassungen an die durch die Schrems II-Entscheidung des EuGH aufgezeigten Maßstäbe an Drittstaatentransfers für die Anwendungspraxis öffentlicher und nicht öffentlicher Stellen zu erreichen«.

Zwei Jahre verhandelt

Bei den zweijährigen Verhandlungen, in deren Rahmen 14 mehrstündige Videokonferenzen stattfanden, ging es in der Hauptsache um die beanstandete Erfüllung der Anforderungen von Artikel 28 Absatz 3 Datenschutz-Grundverordnung (DS-GVO), die besagt, der Auftragsverarbeiter, in dem Fall Miocrosoft, muss explizit bei der Erfüllung der Verpflichtungen des Verantwortlichen hinsichtlich der Betroffenenrechte (z.B. Auskunftsrecht) unterstützen.

Viele Punkte nicht ausreichend geklärt

Als Ergebnis hat Microsoft im September 2022 einen aktualisierten Datenschutznachtrag zu den Produkten und Services von Microsoft vorgestellt. Laut Abschlussbericht des DSK adressiert Microsoft damit einen Teil der Kritikpunkte des AK Verwaltung. Insgesamt konnte die Arbeitsgruppe in den vom AK Verwaltung benannten Kritikpunkten nur geringfügige Verbesserungen erreichen. Diese Feststellung wurde getroffen, da »Microsoft nicht vollumfänglich offenlegt, welche Verarbeitungen im Einzelnen stattfinden. Zudem legt Microsoft weder vollständig dar, welche Verarbeitungen im Auftrag des Kunden noch welche zu eigenen Zwecken stattfinden«.

Ausschlusskriterium

Dabei ging es um so wichtige Fragen wie die Löschung und Rückgabe personenbezogener Daten, Informationen über Unterauftragsverarbeiter und Datenübermittlung in Drittstaaten, Microsoft steht auf dem Standpunkt, eine Nutzung von Microsoft 365 ohne Übermittlungen personenbezogener Daten in die USA sei nicht möglich. Für Übermittlungen personenbezogener Daten in andere Drittländer als die USA existiert nicht einmal eine Bewertungsgrundlage.

Für Verwendung in Schulen derzeit nicht geeignet

Insgesamt kommt die Bewertung zu dem Schluss, dass eine Verwendung personenbezogener Daten der Nutzenden, etwa Lehrer oder Schüler zu eigenen Zwecken des Anbieters den Einsatz eines Auftragsverarbeiters im öffentlichen Bereich, insbesondere an Schulen, ausschließt. Microsoft sieht das naturgemäß allerdings anders. Matthias Pfau, Gründer des verschlüsselten E-Mail-Dienstes Tutanota sagt dazu:

Es ist unglaublich, dass amerikanische Online-Dienste über vier Jahre nach Verabschiedung der europäischen DSGVO diese weiterhin mit den Füßen treten. Offensichtlich nehmen große amerikanische Konzerne etwaige Beschwerden und auch Strafzahlungen in Kauf, da das Geschäftsmodell – »nutze meinen Service und ich nutze deine Daten« – extrem lukrativ für sie ist. Statt auf freiwillige Kooperation zu setzen, müssen hier viel härtere Konsequenzen gezogen werden; bspw. ganz andere Systeme in den Schulen zum Einsatz kommen. Linux mit LibreOffice ist zum Beispiel eine sehr gute Alternative, auf das Schulen und Behörden umgehend umstellen sollten. So lange Schulen und Behörden weiterhin Microsoft nutzen – wenn auch lokal installiert – sieht Microsoft offensichtlich keinen Grund, die europäischen Datenschutzregeln zu beachten.

Matthias Pfau, Tutanota

Teilt den Beitrag, falls ihr mögt

Abonnieren
Benachrichtige mich bei
11 Kommentare
Most Voted
Newest Oldest
Inline Feedbacks
View all comments