Microsoft 365 an Schulen – alles gut mit dem neuem Angemessenheitsbeschluss?

Wie der BfDI berichtet, hat die Europäische Kommission am 10.07.2023 den Angemessenheitsbeschluss für das EU-U.S. Data Privacy Framework (Nachfolger des „Privacy Shields“) angenommen. Der Angemessenheitsbeschluss kann nunmehr als Grundlage für Datenübermittlungen an zertifizierte Organisationen in den USA dienen.

Dies wird die Diskussion rund um den Einsatz von Microsoft 365 an Bildungseinrichtungen wieder befeuern. Um etwas Orientierung zu verschaffen, nachfolgender Beitrag.

Es ist vorab wichtig zu wissen, dass für die materielle Rechtmäßigkeit der Verarbeitung personenbezogener, besser, personenbeziehbarer Daten mindestens folgende Punkte erfüllt sein müssen:

  • Grundsatz der Zweckbindung
  • Grundsatz einer Rechtsgrundlage für jede Verarbeitung
  • Angemessenes Schutzniveau im Empfängerland bei Verarbeitungen außerhalb des EWR.

(Danke an die FernUni Hagen für diese Erkenntnis aus der Kurseinheit 5 „Materielle Rechtmäßigkeit von Datenverarbeitung II“ bei Dr. Gero Ziegenhorn und allgemein tolle Zeit.)

Was bedeutet nun der Angemessenheitsbeschluss für den Einsatz von Microsoft 365?

Es bedeutet erst einmal, dass von den drei Mindestanforderungen, eine nun wieder erfüllt ist.

Punkt

… sorry, aber da kommt nichts mehr.

Ob das Trans-Atlantic Data Privacy Framework (TADPF) nun endgültig eine in die Zukunft gerichtete verlässliche Klarheit schafft? Wer weiß?
Dies ist durch den EuGH zu entscheiden und Noyb wird hoffentlich, dankenswerterweise für ein Ergebnis sorgen. Einen Überblick über das Framework und etwas Erklärbär ist zu finden bei einem Beitrag von Thomas Schwenke.

Die findige Leserschaft wird sich nun fragen, warum dennoch soviel Text kommt? Dies liegt an den zwei weiteren Punkten der Anforderungen an eine materielle Rechtmäßigkeit von Verarbeitungen, ergänzt um weitere Punkte zum Thema Datenschutz. Zum Glück muss hier wenig eigenes Hirnschmalz investiert werden, da viele andere Menschen Zeit, Energie und Arbeit in dieses Thema gesteckt haben.

Spätestens seit Mai 2021, als der LfDI BaWü sich kritisch zum Einsatz von 365 an Schulen geäußert hat und das Thema eine große mediale Aufmerksamkeit gewann, hat dies bei vielen Verantwortlichen für Verwirrung gesorgt und Verunsicherungen entstehen lassen, was, warum auf einmal geht bzw. nicht mehr gehen soll und wo den die Probleme liegen. Dies soll nachfolgend thematisiert werden, um aufzuzeigen, warum es beim Einsatz von Software/ IT-Komponenten nicht nur um Drittlandtransfers geht.

Anforderungen im schulischen Kontext, anhand der Hinweise des LfDI BaWü zum Einsatz von Microsoft 365 (MS 365)

Der LfDI BaWü hat am 23.04.2021 Hinweise zur Nutzung von MS 365 durch Schulen veröffentlicht. In den veröffentlichten Dokumenten werden die Anforderungen und Probleme im schulischen Kontext beschrieben und anhand des Beispiels vom Pilotprojekt „Einsatz von Microsoft 365 an Schulen“ wird hier nachfolgend darauf eingegangen.

Der Landesbeauftragte für Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI) hat beratend am Pilotprojekt des Ministeriums für Kultus, Jugend und Sport BaWü (KM) für eine speziell für den Schulbereich konfigurierten Version von MS 365 teilgenommen (also nicht von der Stange).
Der LfDI hat das Projekt mehrere Monate begleitet und das Kultusministerium und Microsoft beraten zu Maßnahmen und Verbesserungen der rechtlichen und technischen Bedingungen.
In der Auslegungssache 84 (Podcast von heise.de) beschreibt Herr Brink ab Minute 59:30 – 103 Minute nochmals sehr anschaulich die Zusammenarbeit mit den Microsoft-Technikern vor Ort im Prüflabor.
Die Aufgabe des LfDI war zusätzlich zu prüfen, wie die vom Ministerium eingesetzte „spezielle“ Version von MS 365 in der Realität funktioniert und ob die in der Datenschutz-Folgenabschätzung (DSFA) angekündigten Verbesserungen umgesetzt wurden.

Nachfolgend einige, wichtige Erkenntnisse aus dem Dokument. Wer lieber hören als lesen will, dem sei die Podcast-Folge Nr. 13: Ergebnis Praxistest MS Office 365 an Schulen vom 07.05.2021 des LfDI BaWü ans Herz gelegt:

  • Schon allein der Betrieb nur für die Lehrkräfte, ohne Einbindung der Schülerschaft, stellt ein hohes Risiko der Verletzung von Rechten und Freiheiten Betroffener dar.
    Das Ministerium sah in seiner DSFA nicht vor, dass SuS einen Account bekommen.
  • Microsoft stellte erweiterte rechtliche Garantien in Aussicht gegenüber Zugriffen von US-Sicherheitsbehörden (Spoiler: Verträge können kein Recht brechen oder „Ober sticht Unter“).
  • Der LfDI nahm technische Untersuchungen insbesondere zu Datenflüssen vor.
    Die speziell konfigurierte Variante sollte Übermittlungen von Telemetrie-, Diagnose- und andere genannte Daten an Microsoft deutlich reduzieren.
    Frage an die Verantwortlichen: Stehen Ihnen auch Techniker und ein Prüflabor zur Verfügung um der Rechenschafts- und Nachweispflicht der DSGVO zu entsprechen?
  • Gegenüber Schülerinnen und Schüler (SuS) besteht aufgrund der Schulpflicht und des Alters eine besondere Fürsorgepflicht.

Ergebnis daraus war:

  • Vor dem Hintergrund der Garantenstellung des Staates insbesondere für die der Schulpflicht unterliegenden, i.d.R. minderjährigen Kinder wurde keine Empfehlung für das konfigurierte System ausgesprochen.
  • Zwar wird ein möglicher rechtskonformer Einsatz mit anderen Varianten des Systems und durch wesentlich modifizierte Einsatzbedingungen nicht ausgeschlossen.
    Ob dieses „vielleicht“, mit von den Schulen nicht kontrollierbaren Risiken, für die besonders hohe Schutzpflicht gegenüber den Betroffenen ausreichend ist, darf zu Recht bezweifelt werden.
    Anmerkung: Es sollte nicht vergessen werden, dass hier von einem System für bestimmte Einsatzbedingungen, mit bestimmten Nutzern (ohne SuS) die Rede ist, das permanenten Veränderungen unterliegt.
    Ebenfalls zu bedenken, dass das Ministerium, in dem i.d.R. mehr Menschen an solchen Themen arbeiten als an einer Schule UND in Zusammenarbeit mit Microsoft UND der beratenden Unterstützung des LfDI, es das Ministerium nicht geschafft hat ein „funktionierendes“ System auf die Beine zu stellen.

Folgende Beispiele wurden aufgeführt:

  • Für einige Verarbeitungen für den Betrieb an Schulen lagen keine Rechtsgrundlagen vor, vor allem was die Übermittlung von Daten an Microsoft zu eigenen Geschäftstätigkeiten oder Geschäftsinteressen betrifft.
    Beispiele hierfür sind die vollständige und detaillierte Überwachung und Protokollierung des gesamten Nutzerverhaltens und die Analyse von E-Mails.
    Frage an Betroffene in Unternehmen: Hätten Sie nicht auch gerne einen solchen Schutz davor?
    Hinweis: Schulen unterliegen hier „strengeren“ rechtlichen Vorgaben als Unternehmen. Der LfD Bayern schließt bspw. aus, dass Daten an Unternehmen von öffentlichen Stellen zur eigenen Verwendung und sei es auch nur Produktverbesserung genutzt, werden dürfen.
  • Neben rechtlichen Problemen, u. a. Rechtsgrundlage für die Verarbeitung durch MS, sind viele erhobenen Daten nicht für die Diensterbringung nötig. Hierzu gehören Daten, die im Wege der Beobachtung, Aufzeichnung und Auswertung des Nutzer- und Geräteverhaltens verarbeitet werden.
    Anmerkung: Stichwort Zweckbindung. Hat mit einer erlaubten Verarbeitung außerhalb des EWR nichts zu tun.
  • Dem LfDI war es nicht möglich von Microsoft eine vollständige Übersicht über alle Verarbeitungen personenbezogener Daten zu erhalten und Telemetrie- und Diagnosedaten konnten nicht unterbunden werden.
    Anmerkung: Sie können hier nachsehen, was an „erforderlichen mobilen Diagnosedaten für Microsoft Teams“ benötigt wird. Bitte denken Sie daran, dass Sie als Verantwortlicher Ihre Verarbeitungen verstehen müssen.
    Die Uni Würzburg stellt einen schönen Überblick über die Dokumente von MS zu „Übersicht zu den Datenflüssen in den einzelnen Diensten“ bereit.
    Stand 13.06.2023 hat in einem Artikel Microsoft nun sehr viele Dokumente zu Diagnosedaten veröffentlicht. Es soll sich dabei um mehrere tausende Seiten handeln. Frage: Wann haben Sie Zeit dafür, dies alles durchzulesen?
  • Bei der technischen Prüfung wurde u. a. festgestellt, dass es umfangreiche, größtenteils in den Unterlagen der DSFA des Ministerium nicht dokumentierte Datenflüsse von MS 365 gibt.
    Oftmals war nicht nachvollziehbar, für welchen Zweck die Verarbeitungen pb-Daten dienen, welche Datenkategorien diese umfassen und weshalb diese Verarbeitungen für die Zwecke der Schule erforderlich ist. Von 500 Verbindungen zu MS-Servern, im Praxiszeitraum, waren nur 50 dokumentiert.
    Hinweis: Der Verantwortliche muss / sollte seine Datenflüsse, Zwecke und welche pb-Daten verarbeitet werden kennen.
    Auch hier wieder: das Problem hat nichts mit einem Drittlandtransfer zu tun, sondern es handelt sich um einen „normalen“ Grundsatz der DSGVO – u. a. Datenminimierung.
  • Pb-Daten werden mit verschiedenen Begriffen versehen und es wird nicht näher dargelegt, welche pb-Daten für die eigenen Zwecke verwendet werden.
    So wurde das Ministerium und Microsoft gebeten bei 26 beispielhaften Datenflüsse zu erklären, um welche pb-Daten es sich handelt, Datenflüsse und den Umfang der Verarbeitung (z. B. Abhängigkeit von Ereignissen), deren Zwecke und Erforderlichkeit, Verantwortlichkeiten und Rechtsgrundlagen zu erläutern.
    Frage: Welches Gewährleistungsziel ist betroffen? Richtig, die Transparenz.
  • Zwar versichert Microsoft inzwischen, dass der festgestellte Datentransfer der Authenticator-App zu Werbedienstleistern nun unterbunden ist. Dennoch stellt sich die Frage, ob nicht dennoch weitere Tracker und andere Datenflüsse stattfinden.
    Hinweis: Am 08.06.2023 erschien auf netzpolitik.org u. a. ein Artikel über Microsofts Datenmarktplatz Xandr. Ein gefundenes Dokument macht ersichtlich, dass Menschen in bis zu 650.000 Kategorien einsortiert werden. Kennen Ihre Liebsten Sie genauso gut?
    Einen interessanten Podcast mit Transkript zum Thema „Microsoft Teams und Datenschutz“ gibt es von Datenschutz Deluxe Folge 22 vom 04.04.2023, der sich u. a. auch mit dem Thema Tracking auseinandersetzt.
  • Weitere Intransparenz wurde festgestellt, was die Zustimmung zu „Allgemeinen Geschäftsbedingungen“, „Nutzungsbedingungen“ oder „Serviceverträgen“ oder allgemein „Einwilligungen der Nutzer in XY“ betrifft.
    Neben der grundsätzlichen Infragestellung, ob im Rahmen einer schulischen Veranstaltung eine Einwilligung freiwillig sein kann (Spoiler: nein), geht es u. a. auch um die Frage, ob Nutzer einer staatlichen Plattform in die Datenverarbeitung durch ein privates Unternehmen einwilligen können. Auch entstehen hieraus interessante Rechtsbeziehungen zwischen Nutzer, Schule und Microsoft.
  • Beim Thema Mail zeigten sich folgende Probleme:
    • Wird die App „Outlook“ verwendet, konnte nicht verhindert werden, dass auch andere Mail-Dienste eingebunden werden. Dies ist problematisch, da die Mails von Drittanbieter auf den MS-Servern verarbeitet werden und die Passwörter der Nutzer in Klartext verarbeitet werden.
    • Frage der Vertraulichkeit der Kommunikation und welche Kommunikationsdaten Microsoft für eigene Zwecke (wie Spam- oder Malwarebekämpfung) verarbeitet. Stand 2020/21 wurden die technische Richtlinie „Sicherer E-Mail-Transport“ vom BSI (TR-03108) nicht eingehalten.
Bewertung der rechtlichen Risiken Aus sicht des Lfdi bawü

Die Untersuchungen und Bewertungen des LfDI fanden mit dem Blick auf Schulen und öffentlichen Stellen statt. Was jedoch nicht bedeutet, dass der Blick nicht über den Tellerrand erweitert werden könnte.
Besonderes Augenmerk lag im Schulbereich auf den besonderen Schutzbedarf bei Minderjährigen und deren Berücksichtigung des Rechts auf Erziehung und Bildung.
So ist fraglich, auch hier erstmal wieder kein Bezug zum TADPF, ob unter Einhaltung des Artikels 5 der DSGVO:

  • pb-Daten auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbare Weise verarbeitet werden,
  • pb-Daten für festgelegte, eindeutige Zwecke und legitime Zwecke erhoben werden und nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden,
  • Verarbeitungen dem Zweck angemessen und auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sind und
  • pb-Daten in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist.
Schulrechtliche Aspekte und besonders geschützte Daten

Folgende Verarbeitungen pb-Daten im schulischen Kontext sind nach dem LfDI BaWü besonders schutzwürdig:

  • Bei den SuS handelt sich meist um Minderjährige, die unter besonderem Schutz des Staates stehen und deren besondere Schutzbedürftigkeit bei der Verarbeitung ihrer pb-Daten auch die DSGVO anerkennt (bspw. Erwägungsgründe 38, 58, 65, 71 und 75, die Artikel 6 I lit. f letzter Halbsatz, 8, 12 I Halbsatz 2, 57 I lit. b DSGVO und § 14 I Nr. 2 BDSG)
  • Zur Schule gehört, das Ausprobieren von Freiräumen, Ausleben von Kreativität, Austesten von Grenzen und die Möglichkeit des Irrtums. Diese Freiräume dürfen nicht durch einen unklaren Schutz der verarbeiteten Daten gefährdet werden.
  • Durch die hoheitliche Tätigkeit einer Schule ist die Übermittlung von Daten an Microsoft nicht durch ein berechtigtes Interesse gerechtfertigt werden.
  • SuS unterliegen überwiegend der Schulpflicht, für deren Erfüllung bei Minderjährigen auch die Erziehungsberechtigten Sorge tragen. Aufgrund des klaren Über- und Unterordnungsverhältnisses kommt eine Datenverarbeitung kraft Einwilligung i.d.R. nicht in Betracht (Erwägungsgründe 42 und 43 DSGVO)
  • SuS haben u. a. auch in Artikel 13 des Internationalen Pakts über wirtschaftliche, soziale und kulturelle Rechte („UN-Sozialpakt“), Artikel 28 der UN-Kinderrechtskonvention, der Landesverfassung und im Landesschulgesetz das garantierte Recht auf Bildung und Erziehung, welches durch unzureichenden Datenschutz nicht beeinträchtigt werden darf. Dieses Recht darf nicht von einer Einwilligung abhängig gemacht werden.
    Hinweis: Human Rights Watch hat hierzu am 25.05.2022 einen Bericht vorgelegt „Wie können sie es wagen, in mein Privatleben zu blicken?“ – Kinderrechtsverletzungen durch Regierungen, die Online-Lernen während der Covid-19-Pandemie befürworteten.
  • Schulen verarbeiten eine Vielzahl besonders sensibler Daten, durch Kenntnisse über die Personen (SuS, Eltern, etc. ) und ihre persönlichen Verhältnisse. Hierzu gehören u. a. Daten aus denen die ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, Gesundheitsdaten, Daten zum Sexualleben oder der sexuellen Orientierung (Art. 9 DSGVO) gehören.
    Auch andere besonders schutzwürdige Daten, für die ein hohes Risiko für die persönlichen Rechte und Freiheiten natürliche Personen angenommen werden, werden durch die Schule verarbeitet, bspw. Daten über soziale Verhältnisse im allgemeinen, Daten über die Bewertung oder Einstufung von Personen und ihren Leistungen (EWG: 75 DSGVO) oder auch Daten, die dem (verlängerten) Sozialdatenschutz nach § 78 SGB X unterliegen.

Folgende „Fun-Facts“ ergaben sich aus den Überlegungen des Kultusministeriums, welche der LfDI BaWü gerne aufnahm:

  • Das vom KM vorgeschlagene Verbot von Verarbeitungen „sensibler“ Daten, zeigt, dass dem konfigurierten Dienst so nicht „getraut“ wurde. Das ein solches Verbot meist von den Nutzern ignoriert wird, muss nicht extra erwähnt werden.
  • Das KM wollte weiterhin Verarbeitungen untersagen, die
    • „Daten, die Rückschlüsse auf die Persönlichkeitsmerkmale erlauben, die eng mit der Gewährleistung der Menschenwürdegarantie verknüpft sind“ und
    • „Daten, die im Zusammenhang mit anderen Daten eine Persönlichkeitsprofilbildung erlauben (insb. Leistungsdaten), letztere jedoch „nur dann, wenn der konkrete Kommunikationsvorgang mehrere solcher Daten enthält“.
Fazit

Es ist zu begrüßen, dass ein offener Punkt beim Einsatz von Microsoft 365 vorerst abgehackt werden kann UND ganz wichtig: dies betrifft auch andere Verarbeitungen, insbesondere der MAGAM (Meta, Apple, Google, Amazon, Microsoft) oder doch lieber GAMAM, MAMAG?

Was den Beschluss angelangt, würde ich den sehr geschätzten Peter Schaar zitieren: „Man kann den #Angemessenheitsbeschluss der #EU-Kommission zum #PrivacyFramework zum #Datentransfer in die #USA kritisieren, sollte dabei aber auf dem Teppich bleiben. Verglichen mit #SafeHarbor und #PrivacyShield gibt es substanzielle Verbesserungen. Der #EuGH wird letztlich zu bewerten haben, ob die Garantien ausreichen.“

Dennoch langt dieser Schritt nicht aus, um automatisch von einem datenschutzkonformen Einsatz sprechen zu können.

Bis dahin gilt weiter der Spruch von Lt. Frank Drebin: „ich möchte in einer Welt leben, in der ich aus einer Toilette trinken kann, ohne Ausschlag zu kriegen und ich möchte ds-konform nutzen können“.


Beitrag veröffentlicht

in

, , ,