Damian Duchamps' Blog

Office 365, seit kurzem Microsoft 365, die umfangreiche Office Suite von Microsoft ist und bleibt das wohl bekannteste und von Schulen am stärksten nachgefragte Softwarepaket. Gleichzeit ist die Arbeits- und Kommunikationsplattform vor allem mit Blick auf Datenschutz nicht unumstritten. Viele Schulen möchten die Plattform einführen, da sie die darin enthaltenen Programme kennen, die ausgereiften Features zum kollaborativen Arbeiten schätzen. Auch Schulträger zeigen sich oft nicht abgeneigt, da sie bzw. der von ihnen für Supportaufgaben beauftragte Dienstleister hier ein Produkt haben, welches sie aus der kommunalen Verwaltung kennen und für dessen Betreuung die entsprechenden Kompetenzen vorhanden sind.

Bei Datenschützern steht Microsoft in verschiedener Hinsicht in der Kritik, seit Jahren schon. Vielen Schulen ist dieser Umstand durchaus bewusst und sie suchen oft verzweifelt nach verlässlichen Aussagen, ob und wie sie Office 365 mit Lehrkräften und Schülern nutzen können. Leider aber bleiben sie dabei oft erfolglos. Wo die Nutzung durch Kultusministerien eindeutig verboten ist, stellt sich die Frage einer Nutzung erst gar nicht. In allen anderen Bundesländern bleiben die Antwoten auf Anfragen bei Schulministerien oder Aufsichtsbehörden meist unbefriedigend. Festlegen will sich bei Aufsichtsbehören niemand. Es wird immer wieder floskelhaft davon gesprochen, dass man eine Nutzung nicht empfehlen könne, dass Microsoft noch Fragen beantworten müsse und man außerdem keine Zertifizierungsstelle sei. In Schulministerien orientiert man sich an Aussagen der Aufsichtsbehörden und so wird der schwarze Peter hin und her geschoben.

Nachdem ich zuletzt im Mai 2019 den Stand der Dinge dargestellt habe, möchte ich diesen nun, wieder mit Blick auf NRW, auffrischen. Damit niemand die drei alten Beiträge zum Thema lesen muss, fasse ich Entwicklung bis zum aktuellen Stand zusammen.

Die Formalien

Rein formalrechtlich bietet Office 365 die Voraussetzungen zu einer DS-GVO konformen Nutzung. Es ist mit dem Abschluss der Online Service Terms (OST) und des anhängigen Data Processing Addendum möglich, den Vorgaben von Artikel 28 Abs. 3  und Abs. 6 DS-GVO nachzukommen. Das zu den OST gehörende Data Processing Addendum enthält die Standardvertragsklauseln. Diese entsprechen “einem Vertrag oder einem anderen Rechtsinstrument nach dem Unionsrecht oder dem Recht der Mitgliedstaaten.”

Microsoft hat sich EU-US Privacy Shield zertifiziert. Damit sind Datentransfers in die USA rein rechtlich abgesichert. Der EU-US Privacy Shield ist vergleichbar einem Angemessenheitsbeschluss. Durch einen Angemessenheitsbeschluss bestätigt die EU einem Drittland ein der EU vergleichbares Datenschutzniveau.

Microsoft selbst sichert bei Nutzung der Education Versionen zu, die Daten der schulischer Nutzer nicht für eigene Zwecke zu verwenden:

Für Microsoft-Produkte, die von Ihrer K-12-Schule bereitgestellt werden, einschließlich Microsoft 365 Education, wird Microsoft:

• • • neben den für autorisierte Bildungs- oder Schulzwecke erforderlichen Daten keine personenbezogenen Daten von Schülern/Studenten erfassen oder verwenden,
    • personenbezogene Daten von Schülern/Studenten weder verkaufen noch verleihen,
    • personenbezogene Daten von Schülern/Studenten weder zu Werbezwecken noch zu ähnlichen kommerziellen Zwecken wie Behavioral Targeting von Werbung für Schüler/Studenten verwenden oder freigegeben,
    • kein persönliches Profil eines Schülers/Studenten erstellen, es sei denn, dies dient der Unterstützung autorisierter Bildungs- oder Schulzwecke oder ist von den Eltern, Erziehungsberechtigten oder Schülern/Studenten im angemessenen Alter genehmigt, und
    • seine Anbieter, an die personenbezogene Daten von Schülern/Studenten ggf. zur Erbringung der Bildungsdienstleistung weitergegeben werden, dazu verpflichten, dieselben Verpflichtungen für personenbezogene Daten der Schüler/Studenten zu erfüllen.

Vor dem Hintergrund, dass man auch in den USA mittlerweile sehr sensibel ist, wenn es um die personenbezogenen Daten von Kindern geht und es auch entsprechende gesetzliche Vorgaben gibt, z.B. Child Online Privacy Act (COPPA), kann man wohl davon ausgehen, dass es Microsoft ernst ist mit diesen Zusagen.

Der für Kinder und Jugendliche zugesagte Schutz der personenbezogenen Daten wird auch den Lehrkräften zu gesichert, findet sich jedoch an einer anderen Stelle der Dokumentation zum Datenschutz in Office 365, dem sogenannten Data Processing Addendum. Dort heißt es dann:

„Bei der Verarbeitung für legitime Geschäftstätigkeiten von Microsoft wird Microsoft Kundendaten oder personenbezogene Daten nicht für folgende Zwecke verwenden oder anderweitig verarbeiten: (a) Benutzerprofilierung oder (b) Werbung oder ähnliche kommerzielle Zwecke. Wenn Microsoft diese Daten für legitime Geschäftstätigkeiten verarbeitet, erfolgt diese Verarbeitung ausschließlich zu den in diesem Abschnitt genannten Zwecken.“

Die Sicherheit der Daten

Auch wenn formal den Vorgaben der DS-GVO mit den OST und anhängigem Data Processing Addendum Genüge getan wird, sind Fragen, inwieweit Office 365 in Schulen datenschutzkonform genutzt werden kann, zum aktuellen Datum noch immer nicht abschließend geklärt.

Die Selbstzertifizierung Microsofts nach dem EU-US Privacy Shield hat in der aktuellen Situation nur noch geringe Relevanz, da die Datenhaltung für Office 365 Nutzer aus der EU komplett in der EU möglich ist. Für Nutzer in Deutschland ist auch eine ausschließliche Datenhaltung in deutschen Serverzentren möglich. Das bedeutet allerdings nicht, dass es keine Datenabflüsse in die USA mehr gibt. Daten, die in die USA fließen und dort verarbeitet werden, sind sogenannte Telemetriedaten. Diese können auch personenbezogene oder -beziehbare Daten enthalten.

Problem CLOUD-Act

Die ausschließliche Datenhaltung in Deutschland, welche allen Kunden von Microsoft Office 365 Education zur Verfügung steht, hat aus der Sicht des Datenschutzrechts einen entscheidenden Vorteil. Während Nutzerdaten, die auf US Servern liegen oder auf Servern außerhalb der Europäischen Union oder des EWR, auch dem Einfluss anderer US Gesetzgebung unterliegt, etwa dem Patriot Act, wenn es um Server innerhalb der USA geht, unterliegen Nutzerdaten, die auf Servern innerhalb der EU liegen, “nur noch” dem  CLOUD-Act. Dieses Gesetz stellt tatsächlich ein Problem dar, weil es sich hier, anders als bei einem Abkommen zur Ermittlungshilfe, um keinen internationalen Vertrag zwischen den USA und der Europäischen Union handelt. Eine Übermittlung von personenbezogenen Daten an Dritte setzt jedoch immer eine im Raum der Europäischen Union geltende Rechtsgrundlage voraus. Da der CLOUD-Act als einseitig national verabschiedetes Rechtsinstrument diese Rechtsgrundlage nicht bietet, besteht bei Übermittlungen, die sich auf den CLOUD-Act stützen, tatsächlich das Risiko eines Verstoßes gegen die DS-GVO.

Was allerdings vielfach nicht bekannt ist, ist die Tatsache, dass der CLOUD-Act Microsoft und anderen US Anbietern in einer vergleichbaren Situation die Möglichkeit bietet, gegen ein Ermittlungsersuchen einer US Ermittlungsbehörde via CLOUD-Act vor Gericht zu gehen, wenn dieses gegen nationales Recht verstößt. Aus den zuvor genannten Gründen verstößt jedes derartige Ermittlungsersuchen gegen nationales Recht wie auch die DS-GVO. Nach eigenen Aussagen von Microsoft geht man aus diesem Grund regelmäßig gerichtlich gegen Ermittlungsersuchen im Rahmen des CLOUD-Act vor. Außerdem informiert man nach Möglichkeit Kunden im Rahmen der Informationspflicht nach Art. 12 DS-GVO. Ausnahmen sind hier nur Ermittlungsersuchen, welche mit einer sogenannten Gag-Order versehen sind. Hier ist eine Information der Betroffenen aus rechtlichen Gründen nicht möglich. Auch kaum bekannt ist die Tatsache, dass die Anzahl der Ermittlungsersuchen aus den USA bezüglich von Nutzern aus Deutschland sehr gering ausfällt. Die aktuell verfügbaren Daten sind von der ersten Jahreshälfte des Vorjahres.

Darüber hinaus gibt Microsoft auch Auskunft über zusätzlich im Rahmen des CLOUD-Act offengelegte Daten:

No. The CLOUD Act amends U.S. law to make clear that law enforcement may compel U.S.-based service providers to disclose data that is in their “possession, custody, or control” regardless of where the data is located. This law, however, does not change any of the legal and privacy protections that previously applied to law enforcement requests for data – and those protections continue to apply. Microsoft adheres to the same principles and customer commitments related to government demands for user data.

In the first half of 2019, Microsoft received 4,860 legal demands for consumer data from law enforcement in the United States. Of those, 126 warrants sought content data which was stored outside of the United States. 

In the same time frame, Microsoft received 43 legal demands from law enforcement in the United States for commercial enterprise customers who purchased more than 50 seats. Of those demands, 1 warrant resulted in disclosure of content data related to a non-US enterprise customer whose data was stored outside of the United States.

Wie diesen Angaben zu entnehmen, gab es von US Ermittlungsbehörden in der ersten Hälfte von 2019 gerade einmal 126 Ermittlungsersuchen bezüglich von Daten, welche außerhalb der USA gespeichert sind. Außerhalb der USA meint hier nicht nur Deutschland, sondern sämtliche Staaten außerhalb der USA, in welchen Nutzerdaten auf Servern von Microsoft verarbeitet werden. Die überwiegende Zahl von Ermittlungsersuchen, welche in der Grafik oben abgebildet sind, stammen von deutschen Ermittlungsbehörden.

Die Duldung, welche der hessische Beauftragte für Datenschutz und Informationsfreiheit ausgesprochen hat bezüglich der Nutzung von Office 365 durch Schulen ist letztlich wohl auch nur durch diesen Sachverhalt zu erklären. Microsoft konnte ihm, so ist zu vermuten, zusichern, dass die Zahl der Ermittlungsersuchen im Rahmen des CLOUD-Act, welche Nutzer in Deutschland betreffen, äußerst gering ist und die Wahrscheinlichkeit, dass Bildungskunden davon betroffen sind, noch einmal sehr viel geringer.

Problem Telemetriedaten

Die Telemetriedaten rückten erstmals deutlich in den Fokus der Datenschützer als man im November 2018 bei einer Untersuchung in den Niederlanden acht Problemfelder im Zusammenhang mit der Erhebung von Telemetriedaten durch Microsoft ermittelte. Diese betrafen die Office 365 – Web Version, das Office 365 ProPlus Lizenzmodell und das Office 2016 ProPlus Lizenzmodell. Mit den Telemetriedaten (Nutzungsdaten zur Softwareentwicklung und um Probleme ermitteln zu können) werden nach Erkenntnissen der Niederländer scheinbar auch (personenbezogene bzw. personenbeziehbare ) Daten übermittelt, zumindest in Fragmenten. Bei den in den Niederlanden ermittelten Problemen geht es damit nicht nur um formale Verstöße gegen die DS-GVO, also nicht in den Datenschutzerklärungen ausgewiesene Verarbeitungsprozesse, sondern auch um tatsächliche, möglicherweise riskante Datenabflüsse. Microsoft sagte zu, bis April 2019 eine Lösung vorzulegen und, ähnlich wie bei Windows 10, Möglichkeiten zu schaffen, die Übermittlung von Telemetriedaten zu deaktivieren. In der Tat wurden wohl in einigen Office Varianten zusätzliche Transparenzmaßnahmen implementiert.

Wie versprochen besserte Microsoft nach und so ist es heute möglich, die Telemetriedaten in der Client Version von Office 365 Education ProPlus komplett zu deaktivieren. In drei nachfolgenden Datenschutz Folgenabschätzungen, ebenfalls von Privacy Company durchgeführt, überprüfte man die Wirksamkeit der Maßnahmen von Microsoft. Für Client Versionen von Office 365 Education ProPlus konnte man bestätigen, dass die Telemetriedaten komplett deaktivierbar sind. Es taten sich jedoch neue Problemfelder auf, Office-Online und die mobilen iOS und Android Office Apps. Bei den iOS Office Apps wurden Datenabflüsse an eine von Microsoft beauftragte Firma bemängelt und bei Office-Online (Office-Online meint die Komponente von Office 365, die komplett online im Browser läuft. Das kostenlose Office 365 A1 ist ein reines Office-Online, während Office 365 ProPlus eine erweiterte Office-Online Version ist mit weiteren Online-Apps und mit der zusätzlichen Option einer Nutzung der Download Version auf bis 5 Endgeräten.) bemängelte man, dass die in Office 365 implementierten technischen Verbesserungen dort noch nicht verfügbar wären. Das war im Juli 2019.

Microsoft hat auch hier mittlerweile deutlich nachgebessert. Auch für Office Online und einige mobile Office Apps können mittlerweile Telemetriedaten bis auf die Erforderlichen deaktiviert werden. (Siehe dazu Datenschutz für Office 365 ProPlus – Overview Privacy Controls und Für Office erforderliche Diagnosedaten)

Berücksichtigt werden sollte, dass mit Stand von Mai 2020 die “neuen und verbesserten Datenschutzsteuerelemente” noch nicht verfügbar sind für Teams und einen Teil der mobilen Office Apps. Eine Ausweitung auf diese Bereiche ist jedoch in Arbeit.

Im Juli 2020 hat das niederländische Justizministerium die Ergebnisse einer wiederholten Datenschutz Folgenabschätzung zu Microsoft Office 365 for the Web (bisher Office Online) und den mobilen Office 365 Apps veröffentlicht, die wieder von Privacy Company erstellt worden ist. Es wurden 6 hohe Risiken festgestellt. Das Justizministerium der Niederlande trat daraufhin erneut mit Microsoft in Verhandlungen und man kam zu dem Ergebnis, dass Microsoft sich verpflichtet, Maßnahmen zu implementieren, mit welchen sich die sechs von Privacy Company identifizierte Datenschutzrisiken in Bezug auf die mobilen Office-Apps und Office for the Web minimieren lassen. Maßnahmen für drei der sechs hohen Risiken sollen bis Ende des Sommers umgesetzt sein und der Rest bis zum Jahresende.

Sobald die verabredeten Maßnahmen durch Microsoft umgesetzt sind, sollte es nach Einschätzung von Pricay Company den Administratoren der Regierungsbehörde durch Umsetzung der in der DSFA empfohlenen Maßnamen möglich sein, die Risiken für die Betroffenen zu entschärfen.

Folgende Empfehlungen gibt Privacy Company:

1. Schalten Sie die Controller Connected Experiences aus.
2. Stellen Sie die Telemetriedaten der mobilen Office-Anwendungen auf die niedrigste Level ein.
3. Administratoren müssen regelmäßig das Data Viewer Tool nutzen, um die Telemetriedaten, die von den mobilen Office-Anwendungen übermittelt werden, zu kontrollieren.
4. Offenlegung und Durchsetzung von Aufbewahrungsrichtlinien / Bereinigung veralteter Daten aufgrund der Risiken von Transfer in die USA.
5. Neue Versionen der mobilen Office-Anwendungen müssen erneut getestet werden / Anwendern muss die Installation der neuesten Versionen der mobilen Office Apps empfohlen werden, sobald die Datenschutzrisiken entschärft worden sind.
6. Legen Sie bei der Verwendung der Connected Cloud Services (OneDrive, SharePoint, Exchange Online) Richtlinien fest, um zu verhindern, dass Dateinamen und Dateipfade personenbezogene Daten enthalten.
7. Informieren Sie die Mitarbeiter über die Zugriffsmöglichkeiten via DSR und Audit-Protokolle.

Fazit für Privacy Company ist:

Sobald die Umsetzung erfolgreich abgeschlossen ist und vorausgesetzt, die Regierungsorganisationen befolgen die in diesem Bericht beschriebenen Empfehlungen, werden alle in dieser DSFA identifizierten hohen Risiken eingedämmt.

Im einem Beitrag aus den Niederlanden (tweakers.net), der auf diese neueste DSFA Bezug nimmt, wird darauf hingewiesen, dass die Maßnahmen „nur für Office-Dienste und Apps, die von Regierungsorganisationen verwendet werden“ gelten und von Privacy Company deshalb empfehlen würde, dass „Unternehmen und Organisationen, die nicht Teil der Zentralregierung sind, vergleichbare Datenschutzgarantien“ für sich mit Microsoft aushandeln.

Nach der ersten DSFA durch Privacy Company und den nachfolgenden Verhandlungen des Justizministeriums der Niederlande Microsoft nahm Microsoft, wie weiter oben beschrieben, bereits erste umfangreiche Anpassungen an Office 365 vor, so dass zumindest bei der Client Version die Telemetriedaten komplett deaktiviert werden können. Diese Anpassungen blieben nicht auf in niederländischen Regierungsbehörden verwendete Tenants von Office 365 beschränkt, sondern wurden weltweit in die Enterprise und Education Versionen ausgerollt. Von daher ist zu etwarten, dass die neuen verbesserten Möglichkeiten, die Telemetriedaten in Office for Web und den mobilen Office Apps anzupassen, ebenfalls weltweit für Enterprise und Education Versionen ausgerollt werden sollten.

OST

Microsoft hat Anfang 2020 auch bei den OST nachgebessert, im Zuge dessen die Standardvertragsklauseln und weitere Datenschutzbestimmungen in ein Data Processing Addendum (DPA) aus gelagert wurden. Die Anpassungen der OST tragen den Verhandlungsergebnissen mit dem Niederländischen Justizministerium Rechnung, indem Microsoft darin mehr Transparenz zeigt und mehr Verantwortung für die Datenverarbeitung übernimmt. Die neuen OST und das DPA erhalten alle Neukunden automatisch. Bestandskunden stehen sie ebenfalls zur Verfügung. Diese müssen dazu nach meinem aktuellen Kenntnisstand mit Microsoft Kontakt aufnehmen.

Was sagen die offiziellen Stellen?

LDI NRW

In NRW heißt es bei der LDI NRW mit Stand von Juli 2019, dass man keine Empfehlung aussprechen könne.

Äußerst interessant ist an dieser Stelle aber eine Anfrage des Anwalts Stefan Hessel im Rahmen des IFG NRW, der wissen wollte, wie die LDI NRW Microsoft Produkte und insbesondere Office 365 aus datenschutzrechtlicher Sicht bewertet und darüber entsprechende Unterlagen aus der Behörde anforderte. Sechs Dokumente, einschließlich des Begleitschreibens, wurden ihm zur Verfügung gestellt, die damit nun öffentlich und für jedermann einsehbar sind. Es finden sich darin gesammelt beispielhafte Antworten auf Beratungsanfragen, die bis 2014 zurückreichen. Einige der exemplarischen älteren Antworten haben sich aufgrund der Entwicklungen, wie sie hier im Beitrag an verschiedenen Stellen beschrieben sind, mittlerweile überholt, etwa zur Microsoft Cloud Deutschland, die es nicht mehr gibt. Andere sind jedoch sehr aktuell. Manches spiegelt das wieder, was hier schon beschrieben wurde. Zu den Informationen, die man für die Auskunft für Herrn Hessel zusammengestellt hat, gehören unter anderem die aktuellen Grundinformationen, die man im Bereich Schule auf Anfragen erteilt, eine Antwort auf eine Anfrage bezüglich der vermehrten Nutzung von Office 365 an Schulen in NRW in der Corona Zeit wie auch ein Leitfaden zu Office 365 im Bildungsbereich. Gemeint ist damit der Leitfaden des Datenschutzbeauftragten Kanton Zürich – „Microsoft 365 im Bildungsbereich (falls der Link nicht geht, in der Suche auf der Seite https://www.zh.ch/de/suche.html nach „Leitfaden Office 365“ und das PDF erscheint in der Trefferliste). Dass man den Leitfaden anführt, ist von daher von Interesse, dass die LDI NRW sich die Aussagen dort zumindest zum Teil zu eigen macht. Es gibt allerdings einen Unterschied zwischen dem Kanton Zürich und NRW. Im Kanton Zürich hat man einen Rahmenvertrag mit Microsoft ausgehandelt und Nebenabreden für die Nutzung in Schulen getroffen, ähnlich wie das niederländische Justizministerium für die Nutzung in Regierungsbehörden.

Aussage des Hessischen Beauftragten für Datenschutz und Informationsfreiheit

Mit letztem Stand von August 2019 hatte der HBfDI eine Duldung für die Nutzung von Office 365 in Schulen ausgesprochen.

Aussage der Medienberatung NRW/ MSB bezüglich des schulischen Einsatzes von Office 365

Die Aussage stammt von August 2019 und gilt auch aktuell im Juni 2020 unverändert.

“Von der LDI NRW ist mitgeteilt worden, dass ein bundesländerübergreifendes Verfahren zur datenschutzrechtlichen Beurteilung von Microsoft Office 365 stattfindet, das noch nicht abgeschlossen ist. Vor diesem Hintergrund konnte die LDI eine Verwendung von MS Office 365 bislang nicht empfehlen. Zudem hat der hessische Landesbeauftragte eine geänderte Stellungnahme vom 09.07.2019 für den Einsatz des Produkts in den Schulen veröffentlicht, in welcher er die Datenverarbeitung von Microsoft Office 365 im schulischen Kontext nun nicht mehr empfiehlt. Dies entspricht der Einschätzung der LDI NRW.

https://datenschutz.hessen.de/pressemitteilungen/stellungnahme-des-hessischen-beauftragten-f%C3%BCr-datenschutz-und 

Unter den geänderten Voraussetzungen ist daher die Verarbeitung von jeglichen personenbezogenen oder personenbeziehbaren Daten innerhalb von Microsoft Office 365 datenschutzrechtlich bedenklich.

Eine Verwendung von Microsoft Office 365 hinsichtlich der Verarbeitung personenbezogener Daten kann daher nicht empfohlen werden.

An dieser Bewertung ändert auch die erneute Stellungnahme des hessischen Landesbeauftragten vom 02.08.2019 nichts, weil mit ihr lediglich eine weitere übergangsweise Bewertung für hessische Schulen getroffen wird unter gleichzeitiger Feststellung, dass die Zulässigkeit des Einsatzes von Office 365 noch nicht abschließend geklärt ist.”

Datenschutzkonferenz Stand April 2020 laut Aufsichtsbehörde Berlin

An den OST kritisiert die Datenschutzkonferenz (DSK), wie kürzlich im Jahresbericht Datenschutzbehörde Berlin 2019 (S. 92f) veröffentlicht:

“Microsoft verlangt von den Auftraggeberinnen und -gebern, dass diese die Weiterverarbeitung ihrer ggf. personenbezogenen Daten durch Microsoft auch Zwecke der Produktverbesserung zulassen.”

Dafür sieht man von Seiten der Datenschutzkonferenz jedoch, wenn es um öffentliche Stellen wie Schulen geht, keine Rechtsgrundlage.

Weiterhin heißt es dann, dass die deutschen Datenschutzaufsichtsbehörden sich gegenwärtig in einem engen Abstimmungsprozess darüber befinden, wie gegenüber Microsoft erreicht werden könne, dass eine derartige Datenverwendung unterbleibt. Man kommt dann zu dem Schluss:

“Bis dahin bleibt es den Verantwortlichen überlassen, Office 365 so einzusetzen, dass die personenbezogenen Daten lediglich ohne Verwendung der Cloud in der eigenen Informationstechnik abgespeichert werden.”

Diese Aussage bedeutet, dass aus Sicht der DSK eine Nutzung von Office 365 möglich ist, wenn personenbezogene Daten lokal gespeichert werden, ohne dazu den Weg durch die Microsoft Cloud zu gehen. Die lokalen Installationen müssten dazu von der Cloud entkoppelt werden.

Bei der Berliner Aufsichtsbehörde ist sich der Dringlichkeit einer Klärung jedoch bewusst und so heißt es zum Abschluss:

Wir gehen davon aus, dass die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) zeitnah die Voraussetzungen für einen zulässigen Einsatz von Office 365 aufzeigen wird. Es wird an Microsoft liegen, seinen Teil zur Erfüllung dieser Voraussetzungen beizutragen.

LDI BaWü

Von Seiten des Philologenverband BW hatte man die Aufsichtsbehörde des Bundeslandes wohl direkt angefragt bezüglich der Datenschutzkonformität von Office 365 vor allem mit Blick auf Teams, welches in der Ausnahmesituation durch Covid19 an vielen Schulen zum Einsatz kommt. Die Antwort an den Philologenverband beginnt mit eine Aussage, die mittlerweile kaum noch überrascht:

Bevor ich auf unsere Bewertung von MS Office 365 komme, sei gesagt, dass wir Ihnen hierzu weder eine eindeutige Empfehlung noch eine klare Absage an die Hand geben können.

Man erklärt dann, dass es nur bei wenigen Varianten von Office 365 für versierte IT-Fachleute möglich sei, diese so einzustellen, dass weniger Diagnose Daten an Microsoft übermittelt werden. Sehr interessant ist dann die Aussage, dass solche Einstellungen bei den Education Versionen nicht möglich seien. Dass diese Aussage inhaltlich korrekt ist, bezweifle ich ernsthaft, denn die Education Versionen unterscheiden sich technisch von  den ihnen im Funktionsumfang entsprechenden Enterprise Versionen nicht.

Weiter wird ausgeführt, dass man auch bei durch entsprechende Einstellungen stark reduzierten Diagnosedaten nie sicher sein könne, ob durch Updates diese Einstellungen nicht zum Teil wieder wirkungslos würden und keine einfach zu übernehmende Konfiguration bekannt sei, die die es ermöglicht, alle Datenflüsse abzuschalten.

Das Schreiben geht dann noch einmal auf den eigentlichen Kernpunkt der Anfrage, MS Teams, ein und kommt dort zu dem doch etwas überraaschenden Schluss:

Folglich konnen wir Ihre Bedenken leider nicht zerstreuen, wobei in gewissen Konfigurationen MS Teams durchaus datenschutzfreundlich nutzbar scheint.

Antwort der Berliner Beauftragten für Datenschutz und Informationsfreiheit an Microsoft

Im Mai 2020 nahm die Berliner Aufsichtsbehörde gegenüber Microsoft Stellung bezüglich ihrer voherigen Aussagen zur Nutzbarkeit von MS Team. Anders als der überwiegende Teil der bisherigen Aussagen von Aufsichtsbehörden, wird man hier sehr konkret und äußert benennt genau, warum man der Meinung ist, dass eine Nutzung von Office 365 bzw. Microsoft 365 nicht DS-GVO konform möglich ist.

1. Verarbeitung von Auftragsdaten durch Microsoft auch zu eigenen Zwecken, feh- lende Rechtsgrundlage für Offenlegung durch Verantwortliche, Verstoß gegen Art. 26 DS-GVO
2. Unklarer Auftragsverarbeitungsvertrag verhindert Erfüllung der Rechenschafts- pflicht durch Verantwortliche
3. Auftragsverarbeitungsvertrag erfüllt in keiner Auslegung die gesetzlichen Min- destanforderungen
4. Rechtswidriger Datenexport wegen unzulässig abgeänderter Standardvertrags- klauseln

Die Kritikpunkte werden im Schreiben näher erklärt. Nummer 1 spiegelt wieder was auch die Datenschutzkonferenz mit Stand von April 2020 bereits bemänglet hatte. Ohne Rechtsgrundlage verstößt die Nutzung von Daten des Verantwortlichen zu eigenen Zwecken gegen Art. 26 DS-GVO. Der zweite Kritikpunkt hängt sich mehr an Formulierungen und Bezügen im Data Processing Addendum und seinen Anlagen auf. Man kritisiert, dass es dort Regelungen gebe,

„die den gesetzlichen Mindestanforderungen widersprechen„.

Ansonsten geht es um die schlechte Verständlichkeit, die Verantwortlichen die Erfüllung ihrer Rechenschaftspflicht erschweren. Schlechte Lesbarkeit ist sicher kein Ausschlusskriterium für die Nutzung einer Plattform, Regelungen, welche den gesetzlichen Mindestanforderungen widersprechen, könnten das jedoch sein. In Nummer 3 wird noch einmal aufgegriffen, dass der „Auftragsverarbeitungsvertrag nicht den Mindestanforderungen des Art. 28 DS-GVO entspricht„, da man hinter den gesetzlichen Mindestanforderungen zurückbleibe. Konkret sei dieses in Bezug auf Art. 28 Abs. 3 lit. g DS-GVO der Fall, in welchem es um die Löschung der Daten des Verantwortlichen geht. Bemängelt wird hier, dass:

„eine Löschung oder Rückgabe der Auftragsdaten nach Auftragsende nur auf Wunsch der Verantwortlichen vorgesehen ist und nicht in jedem Fall“

Beim vierten Punkt geht es um die Standardvertragsklauseln. Auch wenn die kritisierte Passage nicht Bestandteil der Standardvertragsklauseln ist und von Microsoft als „Zusatz“ bezeichnet wird, sieht die Aufsichtsbehörde hier im Effekt eineunzulässige Abänderung der Standardvertragsklauseln.

Fazit für die Berliner Aufsichtsbehörde ist:

Mithin ist in jedem Fall keine rechtskonforme Nutzung der in Rede stehenden Dienste durch unserer Aufsicht unterliegende Verantwortliche möglich, weil mehrere Rechtmäßigkeitsanforderungen nicht erfüllt werden.

Das ist eine klare Ansage.

Im Juli legt man noch einmal nach mit dem Dokument Hinweise für Berliner Verantwortliche zu Anbietern von Videokonferenz-Diensten. Ab Seite 10 wird auf mehr als zwei Seiten erklärt, wo man Defizite sieht.

Wichtig ist, das sollte man bei den Einschätzungen der Berliner Aufsichtsbehörde wie auch denen aus anderen Aufsichtsbehörden beachten, sie gelten zu allererst einmal für den eigenen Zuständigkeitsbereich der jeweiligen Aufsichtsbehörde. Sie stellen darüber hinaus nur eine Einschätzung dar, die nicht unbedingt zutreffend sein muss und vielleicht auch nicht von anderen Aufsichtsbehörden und Fachjuristen geteilt wird. (Siehe dazu auch den Beitrag „Aufsichtsbehörde: Microsoft Teams ist rechtswidrig! – Wirklich?“ auf dr-datenschutz.de)

Die Berliner Aufsichtsbehörde stellt in einem Schreiben an Microsoft vom 10. Juli 2020 ihre Position noch einmal klar und benennt dort konkret Mängel am Vertragswerk, die sie behoben sehen möchte, bevor sie auch für MS Teams in ihrer Liste einen grünen Haken setzen kann. Das Schreiben an Microsoft wurde über eine Anfrage an Frag den Staat veröffentlich und ist unter Anhang „682.52.5_geschwaerzt.pdf“ veröffentlicht. Inhaltlich überschneidet es sich mit den veröffentlichten „Hinweisen für Berliner Verantwortliche …“, vertieft einige Punkte mehr, während man andere kürzer fasst, da man sich mit dem Schreiben an Microsoft richtet.

Die Arbeit des UAK Office 365

Wie aus zahlreichen Äußerungen bekannt, sind die Aufsichtsbehörden im Dialog mit Microsoft. Dazu gehört auch ein Unterarbeitskreis der Datenschutzkonferenz, der sich speziell mit Office 365 befasst. Wie aus Tagesordnung und Protokoll der 98. Konferenz
der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder – von Ende 2019 – zu erfahren ist, befasst man sich dort mit der datenschutzkonformen Auftragsverarbeitung von Office 365.

„(TOP 34) Microsoft Office 365
Die Konferenz kommt überein, den von Brandenburg eingebrachten Beschlussvorschlag zunächst an den UAK Office 365 zu verweisen. Dieser wird um die Erarbeitung einer abgestimmten und begründeten Bewertung einer datenschutzkonformen Auftragsverarbeitung von Office 365 gebeten.
Die Arbeitskreise Verwaltung, Technik, Schulen und Bildungseinrichtungen sollen hierbei einbezogen werden.“

Wann hier mit einem Ergbnis des Unterarbeitskreises (UAK) zu rechnen ist, bleibt abzuwarten und kann erfahrungsgemäß dauern.

Im Begleitschreiben der weiter oben beschriebenen Anfrage des Anwalts Stefan Hessel (@stefan_hessel) bezüglich „Unterlagen zur datenschutzrechtlichen Bewertung von Mircosoft Produkten, insb. Office 365.“ im Rahmen des IFG an die LDI NRW von Anfang Juni 2020 Anhang „BegleitschreibenLDINRW2-7-2020_geschwaerzt.pdf“  erfährt man, dass eine abschließende Bewertung durch die Datenschutzkonferenz noch Zeit benötigt. Das Ergebnis soll es anschließend auf der Website der Datenschutzkonferenz geben.

„Die deutschen Datenschutz-Aufsichtsbehörden befassen sich seit geraumer Zeit mit dieser Microsoft-Anwendung und bereiten eine Befassung der Datenschutzkonferenz vor. Wegen der Komplexität der Anwendung wird das Ergebnis noch einige Zeit benötigen. Unterlagen zu diesem zwischenbehördlichen Meinungsbildungsprozess können wir nicht herausgeben, da von Seiten der beteiligten Behörden anderer Länder die nach § 6 Satz 1 lit. c IFG NRW erforderliche Zustimmung zur Herausgabe von Dokumenten zum laufenden Meinungsbildungsprozess versagt worden ist. Sobald die Datenschutzkonferenz abschließend beraten hat, dürfte das Ergebnis über die Homepage www.datenschutz-konferenz-online.de abrufbar sein.“

Office 365 – in Zeiten von Corona

Mit der Schließung von Schulen landesweit in Folge von Corona waren erstaunliche Entwicklungen bezüglich der offiziellen Positionen zur Nutzung von Office 365 in Schulen zu beobachten.

In Bayern räumte man Schulen von Seiten des Kultusministeriums die Möglichkeit ein, neben Mebis der Landesplattform auch alternative digitale Werkzeuge zu nutzen, um den Unterricht auf Distanz zu ermöglichen. Man dachte dabei auch daran, den Schulen

„eine von zuhause aus nutzbare Lernumgebung zur Verfügung stellen, wie beispielsweise cloud- gestützte Office-Produkte, ggf. mit Videokonferenzsystem (zu denken wäre hier zum Beispiel an Microsoft Office 365)“

betonte dabei jedoch auch, dass man damit „ längerfristige vertragliche Bindungen [eingehe] oder grundlegende technische Weichenstellungen“ vornehme.

Das Kultusminsterium geht dann sogar soweit, den Schulen direkt MS Teams als Bestandteil von Office 365 (online) über einen Vertriebspartner von Microsoft zur Verfügung zustellen, zumindest für die Zeit, in welcher Unterricht durch Covid19 nur eingeschränkt möglich ist.

In Hessen hatte die Aufsichtsbehörde nach einer vorläufigen positiven Beurteilung keine Bedenken, wenn Schulen in der außergewöhnlichen Zeit gängige Videokonferenz Plattformen nutzen, wozu dann auch eindeutig MS Teams zählt, als Bestandteil von Office 365.

„Der HBDI geht daher davon aus, dass für die Dauer der Krisenbewältigungsmaßnahmen die gegenwärtig erhältlichen Videokonferenzsysteme aufgrund einer vorläufigen positiven Beurteilung gemäß Art. 6 Abs. 1 Buchs. d) und e) DS-GVO als erlaubt gelten.“

In Baden Württemberg gibt das Kultusministerium den Schulen die Entscheidung an die Hand, welche digitalen Hilfsmittel sie heranziehen, um ortsunabhängig kommunizieren und arbeiten zu können.

„Bitte prüfen Sie, welche digitalen Möglichkeiten für lhre Schule geeignet sind. Es ist sinnvoll, wenn Schulen in der aktuellen Situation zusätzliche digitale Angebote nutzen, die nun aufgrund der Schulschließung eine von zuhause aus nutzbare Lernumgebung zur Verfügung stellen (2.8. cloudgestützte Office-Produkte, auch Microsoft Office 365, oder datenschutzfreundliche Messenger-Dienste). Über den jeweiligen Einsatz können die Schulen selbst entscheiden.“

Wie sind die Corona „Ausnahmen“ zu bewerten?

Alle Corona Ausnahmen sind genau dieses, Ausnahmen auf Zeit. Man weist darauf hin, dass die Möglichkeiten nur für einen begrenzten Zeitraum zur Verfügung stehen oder man sich nicht durch längerfristige Verträge binden solle. Die Tatsache, dass man Schulen in mehreren Bundesländern die Möglichkeit überhaupt einräumt, Office 365 zu nutzen und sogar ausdrücklich die Online Version (Office Online bzw. Office for Web), sagt jedoch schon eine Menge aus. Bei den Stellen, die dieses verantworten schätzt man demnach die Risiken, welche sich für die Betroffenen ergeben – man bedenke, es geht hier vor allem um Kinder und Jugendliche – als vertretbar ein. Dieses Abschätzen erfolgt in Abwägung mit den besonderen Umständen, die sich durch die Schließung der Schulen und das Fehlen von Präsenzunterricht ergeben. Und so kommt man zu dem Schluss, dass angesichts der besonderen Umstände die Risiken vertretbar sind, die sich für Betroffene aus einer Nutzung von Office 365 ergeben.

In Bayern gibt man darüber hinaus Schulen umfangreiche Unterstützungsmaterialien an die Hand, die helfen sollen, einen datenschutzfreundlichen Einsatz von Teams zu gewährleisten. Die dazu gehördenden Informationen zur Datenverarbeitung, Nutzungsbedingungen und Einwilligungsvorlage (für Schüler und Lehrkräfte) sowie Beschreibung der Verarbeitungstätigkeit sind die bisher einzigen mir bekannten, die von einem Kultusministerium für Office 365 bzw. MS Teams und Office 365 Komponenten veröffentlicht worden sind.

Ausblick

Es bewegt sich etwas in Sachen Office 365, in den letzten 20 Monaten mehr als in den 5 Jahren davor. Die DS-GVO wirkt hier tatsächlich, auch wenn das Regelwerk im schulischen Alltag oft mehr Hindernis als Hilfe erscheint. Microsoft ist wie ein Elefant und die Aufsichtsbehörden und anderen europäischen Player sind bemüht, ihm das Kunststück DS-GVO Konformität beizubringen. Der Elefant bewegt sich, wenn zuweilen auch schwerfällig. Er sollte zum Ziel kommen, denn Willens scheint er. Zu verlieren hätte er viel, wenn er den Auftritt im Datenschutz Zirkus Europa vermasselt. Es geht nicht nur um Schulen, sondern vor auch um Unternehmen und öffentliche Verwaltungen, denn dort ist viel Geld zu verdienen.

Microsoft kann an seinen Produkten arbeiten und die Möglichkeiten, Datenflüsse zu kontrollieren sowie die Transparenz zu verbesser. Auch die Datenschutzrichtlinien kann man anpassen, selbst wenn es mitunter nur um Formulierungen und korrekte Übersetzungen in Deutsche geht. Leider gibt es jedoch auch Dinge, die Microsoft nicht in der Hand hat. Dazu zählen die Standardvertragsklauseln, die ein wesentlicher Bestandteil des Data Processing Addendum sind und der EU-US Privacy Shield. Beide stehen auf der Kippe. Über die EU-Standardvertragsklauseln entscheidet der Europäische Gerichtshof voraussichtlich am 16.07.2020 in einem von Max Schrems angestrengten Verfahren (mehr siehe EU-Standardvertragsklauseln vor Gericht). Auch zum EU-US Privacy Shield steht eine Entscheidung an. Wenn letzteres fallen sollte, wie seinerzeit das Safe-Harbour Abkommen zwischen der EU und den USA, geht die Welt nicht unter, denn Office 365 läuft mittlerweile fast ausschließlich in Rechenzentren in der EU. Datentransfers in die USA finden damit, wenn überhaupt, nur noch in geringem Umfang statt. Auch wenn die EU-Standardvertragsklauseln für unrechtmäßig erklärt werden sollten, ist das nicht das Ende der Welt. Doch beides wird, wenn es zum Schlimmsten kommt, für Probleme und Verunsicherung sorgen.

Niemand wird erwarten, dass Schulen, Behörden und Unternehmen dann mit einem Mal die Nutzung der Online Komponenten von Office 365 (Office for the Web) und Office Apps von heute auf morgen einstellen. Es wird aber sicher, auch mit Übergangsfrist, Folgen haben, bis es ein neues Vertragswerk gibt, welches die EU-Standardvertragsklauseln ersetzt. Gleiches gilt falls der EU-US Privacy Shield fallen sollte.

Auch das Thema CLOUD-Act ist noch nicht ausgestanden. In der oben angeführten neuesten DSFA von Privacy Company wird die aktuelle Situation bezüglich der Datenanforderungen im Rahmen von Ermittlungsangragen aus den USA ausführlich beleuchtet. Seit fast einem Jahr verhandelt eine Kommission der EU mit den US Gegenstellen über einen internationalen Vertrag, der allen Seiten CLOUD-Act Rechte einräumen soll. Sobald es diesen Vertrag gibt, ist das Problem CLOUD-Act Geschichte.

Gespannt sein darf man auf das Ergebnis des Unterarbeitskreis der Datenschutzkonferenz zu einer abgestimmten und begründeten Bewertung einer datenschutzkonformen Auftragsverarbeitung von Office 365 und den Folgen davon. Da hier alle Bundesländer an einem Strang ziehen, sollte man hier dann wohl erwarten dürfen, dass das Ergebnis für alle Bundesländer gleich sein wird. Damit sollten der Vergangenheit angehören, dass es im einen Bundesland ein Verbot gibt, im nächsten eine Duldung und im Dritten Narrenfreiheit.