![\"Paragraph\"](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2018\/11\/Para.jpg\" "\\"Recht\\"")
Der Einsatz von Microsoft 365 ist laut Deutscher Datenschutzkonferenz (DSK) kaum DSGVO-konform m\u00f6glich. Der Datenschutzbeauftrage von Baden-W\u00fcrttemberg hat seinen T\u00e4tigkeitsbericht 2022 vorgelegt, und adressiert dort auch den Microsoft 365-Einsatz an Schulen (betrifft im Grunde alle Bildungseinrichtungen und Universit\u00e4ten). Laut Bericht drohen bei fortgesetztem Microsoft 365-Einsatz Schadensersatz gem\u00e4\u00df Artikel 82 DS-GVO.<\/p>\n
<\/p>\n
Das Thema Microsoft 365 an Schulen ist ist schon etwas \u00e4lter – und seit 2022 ist bekannt, dass die Microsoft Cloud-Produkte aus DSGVO-Gr\u00fcnden nicht mehr im Schulbetrieb eingesetzt werden d\u00fcrfen. Der Beauftragte f\u00fcr Datenschutz des Landes Baden-W\u00fcrttemberg hat zum 10. Februar 2023 seinen T\u00e4tigkeitsbericht 2022 vorgelegt. Ganz versteckt in viel Text findet sich ein Hinweis mit Brisanz: Schulen, die Microsoft 365 weiterhin verwenden, setzen sich dem Risiko aus, schadensersatzpflichtig zu werden.<\/p>\n
Die Feststellung der deutschen Datenschutzkonferenz (DSK) zu Microsoft 365, die ich im Blog-Beitrag\u00a0 Datenschutzkonferenz 2022: Microsoft 365 weiterhin nicht datenschutzkonform<\/a> aufgegriffen hatte, ist glasklar. Die DSK kam am 25. November 2022 auf Basis einer Arbeitsgruppe zum eindeutigen Entschluss, dass Microsoft 365 (beinhaltet Office 365) auf der Grundlage des von Microsoft bereitgestellten \"Datenschutznachtrags vom 15. September 2022\" nicht datenschutzrechtskonform zu betreiben sei.<\/p>\n Verantwortliche f\u00fcr den Datenschutz k\u00f6nnten nicht den geforderten DSGVO-Nachweis erbringen, weil die notwendige Transparenz \u00fcber die Verarbeitung personenbezogener Daten aus der Auftragsverarbeitung f\u00fcr Microsofts eigene Zwecke nicht hergestellt und deren Rechtm\u00e4\u00dfigkeit nicht belegt werde. Microsoft sieht das zwar anders (siehe auch Nachbetrachtung zur DSK-Einstufung \"Microsoft 365 weiterhin nicht datenschutzkonform\"<\/a>). Aber die Datenschutzbeauftragten der Bundesl\u00e4nder, vor allem von Baden-W\u00fcrttemberg haben den weiteren Einsatz von Microsoft 365 im schulischen Bereich aus Datenschutzgr\u00fcnden untersagt.<\/p>\n Am 10. Februar 2023 hat Der Landesbeauftragte f\u00fcr den Datenschutz und Informationsfreiheit in Baden-W\u00fcrttemberg seinen T\u00e4tigkeitsbericht 2022<\/a> vorgelegt. Dr. Jan Wacke, der nach dem Ausscheiden von Stefan Brink zum Jahresende 2022 die Gesch\u00e4fte des LfDI f\u00fchrt, geht in diesem Bericht (126 Seiten PDF) auf zahlreiche spannende Themen vom Datenschutz in der Forschung \u00fcber die Cloud, K\u00fcnstliche Intelligenz, COVID-19-Impfungen etc. bis hin zu europ\u00e4ischen Leitlinien zum Datenschutz ein.<\/p>\n Spannend ist vor allem (im Kontext meines Artikels hier) der Abschnitt Digitale Bildungsplattform <\/em>mit Microsoft 365 an Schulen ab Seite 48 des Berichts (den Kollegen von heise ist das aufgefallen<\/a>). Es wird nochmals erw\u00e4hnt, dass bei Untersuchungen zu Microsoft 365 im Rahmen des Pilotversuchs des Kultusministeriums Baden-W\u00fcrttemberg datenschutzrechtliche Probleme bei der Verwendung durch Schulen festgestellt wurden. Und es wurde auf die oben erw\u00e4hnte Feststellung der Deutschen Datenschutzkonferenz (DSK) zum nicht DSGVO-konformen Einsatz von Microsoft 365 hingewiesen.<\/p>\n Die Feststellung im Bericht: Es zeigte sich jedoch, dass die genannten L\u00f6sungen mit Microsoft 365 im schulischen Umfeld nicht datenschutzkonform umsetzbar sind beziehungsweise die vorhandenen datenschutzrechtlichen Probleme sich nicht l\u00f6sen lassen. Leider setzen Schulen in Baden-W\u00fcrttemberg wohl immer noch Microsoft 365 ein und verwiesen gegen\u00fcber dem LfDI auf ein Urteil des OLG Karlsruhe vom 7. September 2022 zur Ausschreibung einer \u00f6ffentlichen Stelle (OLG Karlsruhe, Beschl. v. 7.9.2022 \u2013 15 Verg 8\/22). Ich hatte dieses Urteil, welches sich auf einen US-Cloud-Verbotsbeschluss einer Vergabekammer bezog, im Beitrag US-Cloud-Verbotsbeschluss der Vergabekammer Baden-W\u00fcrttemberg verworfen<\/a> thematisiert.<\/p>\n Der Tenor des Urteils: Ein \u00f6ffentlicher Auftraggeber darf bei einem Vergabeverfahren grunds\u00e4tzlich davon ausgehen, dass ein Bieter seine vertraglichen Zusagen erf\u00fcllen wird. Die Schulen, die auf das Urteil verwiesen, hatten da schon \"sch\u00e4bische Cleverle\" am Start, die aber leider eine Kleinigkeit \u00fcbersahen. Das obige Urteil thematisiert nur den Ausschluss eines Bieters im Vergabeverfahren, nur weil er auf die US-Cloud setzte.<\/p>\n Der Datenschutzbeauftragte (LfDI) weist in seinem Bericht darauf hin, dass der Auftraggeber, wenn sich konkrete Anhaltspunkte daf\u00fcr ergeben, dass dies [Einhaltung der DSGVO] zweifelhaft ist, durch Einholung erg\u00e4nzender Informationen die Erf\u00fcllbarkeit des Leistungsversprechens beziehungsweise die hinreichende Leistungsf\u00e4higkeit des Bieters pr\u00fcfen muss (RndNr 35 a.a.O.). Dieser zweite Teil des Urteils war den Schulen leider vielfach nicht bekannt, schreibt der LfDI. Die ver\u00f6ffentlichen Aussagen des LfDI legen aber genau diese Anhaltspunkte vor, die die Schule, auch nach diesem Urteil aus Karlsruhe, zur Einhaltung der Anforderungen pr\u00fcfen muss.<\/p>\n Und da hapert es, der LfDI schreibt: Hinreichende Nachweise, welche unsere Befunde und Messungen f\u00fcr die bei ihnen angewandte Konfiguration widerlegen, konnte uns bisher keine der von uns angeschriebenen Schulen vorlegen<\/em>. Der LfDI empfiehlt dringend allen Schulen rasch umzustellen. Sollten weitere Beschwerden beim LfDI eingehen, wird man diesen nachgehen. Aufgrund der den Schulen nun seit l\u00e4ngerem bekannten Problematik wird in diesen F\u00e4llen die Zeit zur Umstellung in Zukunft jedoch deutlich k\u00fcrzer bemessen sein, um die Rechte und Freiheiten der betroffenen Personen schneller zu gew\u00e4hrleisten, schreibt der Datenschutzbeauftragte. Und dann kommt die relevante Passage, die sich jeder Verantwortliche, der Microsoft 365 einsetzt, sehr genau durchlesen sollte.<\/p>\n Inwieweit Schadenersatzforderungen nach Artikel 82 DS-GVO auf die Schulen zukommen werden und wie diese die Gerichte bewerten, muss sich noch zeigen.<\/p><\/blockquote>\n Das ist ein deutlicher Wink mit dem Zaunpfahl. Dem Kultusministerium, als der obersten Dienstaufsicht der Schulen, empfehlen die Datensch\u00fctzer dringend die Schulen mit Nachdruck auf diese Problematik hinzuweisen, um sie vor Schaden zu bewahren, zumal nun gute Alternativen im Rahmen der Digitalen Bildungsplattform zur Verf\u00fcgung stehen. Der Datenschutzbeauftragte des Landes sieht sich auch im Einklang mit der Bundesregierung, die den Beschluss der Datenschutzkonferenz (DSK) mit tr\u00e4gt. Dazu hei\u00dft es:<\/p>\n Wir haben \u00f6ffentlich erkl\u00e4rt, dass aus unserer Sicht es ohne weitere Ma\u00dfnahmen der verantwortlichen Stellen beim Einsatz der Software sehr schwer wird, ihrer Rechenschaftspflicht nachzukommen. Am 9.\u00a0 Dezember 2022 hat die Bundesregierung auf eine Anfrage eines Bundestagsabgeordneten sich unserer rechtlichen Auffassung angeschlossen (siehe S. 44).<\/p><\/blockquote>\n Der Bericht bezieht sich hier explizit zwar auf Schulen, aber man kann da ein anderes Fass aufmachen. Der Einsatz von Microsoft 365 ist auch in Beh\u00f6rden und Firmen nicht DSGVO-konform einzurichten – der Nachweis wird nach bisherigem Stand nicht zu erbringen sein. Wenn ein Gericht einem Kl\u00e4ger Schadenersatz nach Artikel 82 DS-GVO und ggf. einen Unterlassungsanspruch zugesteht, wird das Wehklagen gro\u00df werden. Aber dann ist das Kind, trotz vielf\u00e4ltiger Warnungen, in den Brunnen gefallen.<\/p>\n Das Thema\u00a0 Schadenersatz nach Artikel 82 DS-GVO k\u00f6nnte zwar vom EuGH in 2023 entsch\u00e4rft werden, wenn es um immaterielle Sch\u00e4den geht (also der Fall \"ich f\u00fchle mich in meinen DSGVO-Rechten verletzt, habe aber keinen materiellen Schaden erlitten\"). Aber ein Unterlassungsanspruch bliebe davon unber\u00fchrt – und bei materiellen Sch\u00e4den w\u00fcrde dann ein erwartetes EuGH-Urteil nicht greifen.<\/p>\n Hier bleibt nur zweierlei: Microsoft springt endlich und macht die Telemetrie sowie die Cloud-Anbindung abschaltbar (halte ich f\u00fcr unwahrscheinlich). Oder das Ganze wird politisch und juristisch entsprechend \"einget\u00fctet\" (halte ich von der juristischen Seite f\u00fcr unwahrscheinlich). Es bleibt also sehr spannend – und die IT-Verantwortlichen, die Microsoft 365 als \"alternativlos\" fl\u00e4chendeckend einf\u00fchren, sitzen bildlich gesprochen, unter einem Fallbeil, welches jeder Zeit ausgel\u00f6st werden kann.<\/p>\n \u00c4hnliche Artikel: Safe Harbor: EuGH erkl\u00e4rt Abkommen f\u00fcr ung\u00fcltig<\/a> Vergabekammer Baden-W\u00fcrttemberg schlie\u00dft Anbieter eines US-Cloud-Diensts von Angebot aus<\/a> Zoom & Teams nicht DSGVO-konform einsetzbar<\/a> Der Einsatz von Microsoft 365 ist laut Deutscher Datenschutzkonferenz (DSK) kaum DSGVO-konform m\u00f6glich. Der Datenschutzbeauftrage von Baden-W\u00fcrttemberg hat seinen T\u00e4tigkeitsbericht 2022 vorgelegt, und adressiert dort auch den Microsoft 365-Einsatz an Schulen (betrifft im Grunde alle Bildungseinrichtungen und Universit\u00e4ten). Laut Bericht … Weiterlesen Risiko: Microsoft 365-Einsatz an Schulen<\/h2>\n
![\"T\u00e4tigkeitsbericht](\"https:\/\/i.imgur.com\/cmRwnbG.png\" "\\"T\u00e4tigkeitsbericht")
<\/p>\n
\n<\/strong>Datenschutzkonferenz 2022: Microsoft 365 weiterhin nicht datenschutzkonform<\/a>
\nNachbetrachtung zur DSK-Einstufung \"Microsoft 365 weiterhin nicht datenschutzkonform\"<\/a>
\nMS 365 DSGVO-Konformit\u00e4t: Merkw\u00fcrdiger \"Meinungsartikel\" bei heise<\/a><\/p>\n
\nEuGH kippt EU-US-Datenschutzvereinbarung \"Privacy Shield\"<\/a>
\nKeine Karenzfrist f\u00fcr Unternehmen nach Privacy Shield-EU-Urteil<\/a>
\nDatensch\u00fctzer plant durchgreifen bei Privacy Shield-Verst\u00f6\u00dfen<\/a>
\nVorl\u00e4ufige Einigung zwischen EU und USA im Trans-Atlantic Data Privacy Framework<\/a>
\nUS-Pr\u00e4sident Biden bringt Datenschutzabkommen \"Privacy Shield 2.0\" auf den Weg<\/a>
\nEU-Kommission f\u00e4llt vorl\u00e4ufige Angemessenheitsentscheidung zum Trans-Atlantic Data Privacy Framework<\/a><\/p>\n
\nUS-Cloud-Verbotsbeschluss der Vergabekammer Baden-W\u00fcrttemberg verworfen<\/a><\/p>\n
\n\u00c4rger um Berliner Datenschutzpr\u00fcfung von Videokonferenzsoftware<\/a>
\nHamburgs Senatskanzlei von Datenschutzbeauftragten wegen Zoom-Einsatz formal \"gewarnt\"<\/a>
\nRheinland-Pfalz: Aus f\u00fcr MS Teams an Schulen ab kommendem Schuljahr<\/a>
\nZoom an Hessischen Hochschulen f\u00fcr Lehrveranstaltungen zul\u00e4ssig<\/a>
\nNiederlande: Datenschutzbedenken gegen Chrome\/ChromeOS in Schulen<\/a>
\nDatenschutz: Microsoft 365 muss ab Sommer 2022 in Baden-W\u00fcrttembergs Schulen ersetzt worden sein<\/a>
\nMicrosoft 365 an Schulen, Baden-W\u00fcrttembergs Datensch\u00fctzer sagt Nein<\/a>
\nBayern: Versagen bei Digitalisierung an Schulen \u2013 der Datenschutz hat Schuld<\/a>
\nKostenloses Microsoft 365 und Google Workspace an Frankreichs Schulen verboten<\/a>
\nNiederlande: Datenschutzbedenken gegen Chrome\/ChromeOS in Schulen<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"