Schadenersatz droht: Datenschützer mahnt Aus für Microsoft 365 an Schulen an
Baden-Württembergs Datenschutzbeauftragter untermauert seinen Appell an Schulen, Microsofts Cloud-Office zu verbannen, mit Verweis auf Schadenersatzforderungen.
Es wird eng für Bildungseinrichtungen in Baden-Württemberg, die trotz wiederholter Warnungen weiter mit Microsofts Cloud-basiertem Office-Paket 365 arbeiten. Die Datenschutzaufsichtsbehörde im Ländle schreibt in ihrem am Freitag veröffentlichten Tätigkeitsbericht für das Jahr 2022: "Wir empfehlen dringend allen Schulen rasch umzustellen. Sollten weitere Beschwerden bei uns eingehen, werden wir auch diesen nachgehen." Aufgrund der nun seit Längerem bekannten Problematik bestehe spätestens in solchen Fällen nur noch eine kurze Handlungsfrist, "um die Rechte und Freiheiten der betroffenen Personen schneller zu gewährleisten".
Potenzielle Schadenersatzforderungen
Mit einem Hinweis auf potenzielle Schadenersatzforderungen nach Artikel 82 Datenschutz-Grundverordnung (DSGVO) untermauert Jan Wacke, der die Kontrollinstanz nach dem Ausscheiden des Datenschutzbeauftragten Stefan Brink derzeit leitet, den Appell. Inwieweit entsprechende Zahlungen an Betroffene auf Schulen zukämen und wie sich die Gerichte dazu verhielten, "muss sich noch zeigen". Dem Kultusministerium, der obersten Dienstaufsicht der Schulen, rät die Behörde, die Bildungsstätten "mit Nachdruck auf diese Problematik hinzuweisen, um sie vor Schaden zu bewahren". Im Rahmen der digitalen Bildungsplattform stünden "nun gute Alternativen zur Verfügung". Brink hatte zuvor jahrelang dafür gekämpft, dass Microsoft bei diesem Angebot des Landes außenvorbleibt und überwiegend Open-Source-Software genutzt wird.
"Einzelne Schulen" verwendeten trotz wiederholter Warnungen vor datenschutzrechtlichen Risiken immer noch Microsoft 365 oder Teile davon wie die Videokonferenzlösung Teams, ist dem Bericht zu entnehmen. Dagegen habe es "zahlreiche Beschwerden von Eltern und Schülern" gegeben. Im Rahmen eines Pilotversuchs mit einer speziell konfigurierten Version habe das Office-Paket nicht datenschutzkonform betrieben werden können: "Für zahlreiche Datenflüsse und Übermittlungen personenbezogener Daten" hätten die Prüfer "keine Rechtsgrundlage" gefunden. Zudem konnte Wacke zufolge "bisher keine der von uns angeschriebenen Schulen" hinreichende Nachweise erbringen, "welche unsere Befunde und Messungen für die bei ihnen angewandte Konfiguration widerlegen". Auf Leistungsversprechen von Herstellern könnten öffentliche Stellen hier nicht einfach vertrauen.
Microsoft widerspricht
Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hob im November hervor, dass Microsoft 365 derzeit allenfalls mit zusätzlichen Schutzvorkehrungen rechtskonform betrieben werden kann. Die Bundesregierung teilt diese Ansicht prinzipiell. Microsoft wies die Bewertung der DSK dagegen brüsk als "grundlegend falsch" zurück.
Der US-Konzern wiederholt immer wieder: "Wir sind weiterhin fest davon überzeugt, dass Microsoft 365 auch an Schulen DSGVO-konform eingesetzt werden kann". Das Unternehmen passte seinen Auftragsverarbeitungsvertrag und den damit verknüpften Datenschutznachtrag jüngst erneut an, um europäische Kunden besserzustellen. Kritiker halten von diesem Schachzug mit einer "EU-Datengrenze" angesichts umfassender Zugriffsrechte von US-Sicherheitsbehörden nichts.
(bme)