KARLSRUHE. Das Oberlandesgericht Karlsruhe hat ein wegweisendes Urteil zum Datenschutz (auch) an Bildungseinrichtungen gefällt. Öffentliche Auftraggeber, also auch Schulen und Schulträger, können darauf vertrauen, wenn ihnen IT-Anbieter Datenschutz-Kompatibilität zusichern – und sie beauftragen. Das bedeutet im Umkehrschluss: Die Kampagne insbesondere gegen Microsoft in Schulen, die von Datenschutzbeauftragten einiger Bundesländer geführt wird, dürfte so nicht länger haltbar sein.
Wohlgemerkt: Es geht nicht um festgestellten Missbrauch von Schülerdaten. Den gibt es nämlich nicht. Es geht allein um die Möglichkeit, dass US-Konzerne deutsche Schülerdaten missbrauchen könnten. Schon dies genügt Datenschutzbeauftragten als Begründung dafür, um Schulen und Schulträger unter Druck zu setzen, die Nutzung von Microsoft-Produkten wie MS365 umgehend einzustellen – wie unlängst in Baden-Württemberg geschehen.
„Um den Schutz des Grundrechts der informationellen Selbstbestimmung auszulösen, bedarf es keiner festgestellten Verletzung dieses Grundrechts, sondern die Möglichkeit (!) einer solchen Verletzung reicht bereits aus (Bundesverfassungsgericht, Urteil v. 15.12.1983- 1 BvR 209/83 – Rn. 150 ff.)“, so schrieb der Thüringer Datenschutzbeauftragte Lutz Hasse im Leserforum von News4teachers – Ausrufezeichen im Zitat.
“Grundsätzlich ist davon auszugehen, dass ein Anbieter seine vertraglichen Zusagen erfüllen wird”
Die Konsequenz dieser forschen Rechtsauffassung: Schulleitungen, die Microsoft-Produkte nutzen wollen, wurden in Baden-Württemberg aufgefordert zu beweisen, dass Microsoft Schülerdaten grundsätzlich nicht missbräuchlich im Sinne der europäischen Datenschutzverordnung nutzen könnte – ein Ansinnen, das gar nicht realisierbar ist und für kein anderes digitales Produkt verlangt wird. Der Datenschutzbeauftragte drohte mit Folgen, sollten die Schulleitungen nicht auf andere (nämlich deutsche Open-Source-Lösungen) umsteigen: „Wir behalten uns vor, gegebenenfalls nach pflichtgemäßem Ermessen, ein Verfahren entsprechend §25 Absatz 4 des Landesdatenschutzgesetzes einzuleiten“, so heißt es in einem Brief vom 26. April 2022, der News4teachers vorliegt.
Schulen fühlten sich erpresst. Im Netz war von einer „Kommunikation wie bei der Mafia“ die Rede. News4teachers-Herausgeber Andrej Priboschek kommentierte seinerzeit mit Blick auf die Datenschutzbeauftragten: „Spinnen wir den Faden doch mal weiter: Unternehmen könnten möglicherweise auch Steuern hinterziehen oder ihre Kunden betrügen (soll es bei deutschen Autokonzernen ja mal gegeben haben), vielleicht könnten hinter Bürotüren sogar Mord und Totschlag geschehen, wer weiß – brauchen wir deshalb Aufsichtsbeamte in jedem Betrieb? Oder sind das nicht vielmehr Allmachtsfantasien von Staatsbediensteten, die zunehmend ihren eigentlichen Auftrag, den unbestreitbar notwendigen Datenschutz in einer Informationsgesellschaft zu sichern und (echte) Missbräuche zu ahnden, aus dem Blick verlieren?“
Das sieht das Oberlandesgericht (OLG) Karlsruhe nun offensichtlich genauso – und schiebt mit einem Urteil überzogenem Datenschutz einen Riegel vor. Öffentliche Auftraggeber, im verhandelten Fall zwei Krankenhausgesellschaften in kommunaler Hand, dürfen sich auf die bindenden Zusagen des Anbieters verlassen, dass die Daten ausschließlich in Deutschland verarbeitet und in kein Drittland übermittelt werden (in dem dann die strengen europäischen Datenschutzregeln nicht gelten), befanden die Richter.
Bemerkenswert ist auch die Begründung: Grundsätzlich sei davon auszugehen, dass ein Bieter seine vertraglichen Zusagen erfüllen werde. Erst wenn sich aufgrund konkreter Anhaltspunkte Zweifel daran ergäben, müsse der öffentliche Auftraggeber ergänzende Informationen einholen und die Erfüllbarkeit des Leistungsversprechens prüfen, entschieden die Richter (Az.: 15 Verg 8/22). Damit ist der Fall rechtskräftig entschieden.
Wörtlich führt der Senat aus: „Anders als die Antragstellerin (ein Konkurrenzunternehmen, d. Red.) meint, musste nicht allein die Tatsache, dass die A. ein Tochterunternehmen eines US-amerikanischen Konzerns ist, die Antragsgegnerinnen (die beklagten Krankenhausgesellschaften, d. Red.) an der Erfüllbarkeit des Leistungsversprechens zweifeln lassen. Die Antragsgegnerinnen mussten nicht davon ausgehen, dass es aufgrund der Konzernbindung zu rechts- und vertragswidrigen Weisungen an das Tochterunternehmen kommen wird bzw. das europäische Tochterunternehmen durch seine Geschäftsführer gesetzeswidrigen Anweisungen der US-amerikanischen Muttergesellschaft Folge leisten wird.“
„Amazon, Microsoft oder Google dürfen weiter auf Aufträge deutscher Behörden hoffen“
Die „Frankfurter Allgemeine Zeitung“ sieht die grundsätzliche Bedeutung des Urteils: Das OLG Karlsruhe habe „überzogene datenschutzrechtliche Bedenken“ kassiert, so heißt es. Die Konsequenz: „Amazon, Microsoft oder Google dürfen weiter auf Aufträge deutscher Behörden hoffen.“ Also auch von Schulen und Schulträgern.
Microsoft selbst beteuert, sämtliche der in Deutschland und Europa geltenden Datenschutzregeln einzuhalten. „Alle Microsoft Produkte und Dienste können in der Privatwirtschaft und im öffentlichen Sektor (z. B. an Schulen) datenschutzkonform eingesetzt werden und sind auch selbst datenschutzkonform. Microsoft hält die Anforderungen des geltenden Datenschutzrechts ein“, so erklärt Wolfgang Döring, Leiter der Rechtsabteilung bei Microsoft Deutschland. Er betont weiter: „Microsoft bietet Kunden vertragliche Zusagen und technische Mittel, um Microsoft Produkte und Dienste datenschutzkonform nutzen zu können, insbesondere vertragliche Zusagen: z. B. verwendet Microsoft Kundendaten nicht für sachfremde Zwecke wie Werbung und ergreift rechtliche Schutzmaßnahmen gegen unrechtmäßige Herausgabeverlangen von Behörden oder Dritten.“
Dass Datenschutzbeauftragte solche Erklärungen einfach mal pauschal in Zweifel ziehen – um Schulen unter Druck zu setzen, auf sogenannte Open-Source-Lösungen umzusteigen –, dürfte sich mit dem Urteil erledigt haben. News4teachers
Hier geht es zur Urteilsbegründung des OLG Karlsruhe.
