BERLIN. Die Datenschützer von Bund und Ländern haben Bedenken zu einer verbreiteten Software des US-Konzerns Microsoft angemeldet – und einen windelweichen Beschluss gefasst. Nach Ansicht des Thüringer Landesdatenschutzbeauftragten hat der trotzdem weitreichende Folgen. Sachstand in einem ideologischen Streit, der auf dem Rücken der Schulen ausgetragen wird.
Der Berg kreißte – und gebar eine Maus. „Die DSK (die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder, d. Red.) stellt unter Bezugnahme auf die Zusammenfassung des Berichts fest, dass der Nachweis von Verantwortlichen, Microsoft 365 datenschutzrechtskonform zu betreiben, auf der Grundlage des von Microsoft bereitgestellten ‚Datenschutznachtrags vom 15. September 2022‘ nicht geführt werden kann. Solange insbesondere die notwendige Transparenz über die Verarbeitung personenbezogener Daten aus der Auftragsverarbeitung für Microsofts eigene Zwecke nicht hergestellt und deren Rechtmäßigkeit nicht belegt wird, kann dieser Nachweis nicht erbracht werden“, so heißt es in dem Beschluss.
Anders ausgedrückt: Microsoft kann nicht beweisen, dass es die Vorgaben des Datenschutzes einhält. Weil aber andersherum auch keine konkreten Verstöße festzustellen sind, gibt es keine Konsequenzen. Außer: „Die DSK nimmt den Bericht der Arbeitsgruppe DSK ‚Microsoft-Onlinedienste‘ und dessen Zusammenfassung zur Kenntnis.“
“Bitte noch ein klein wenig Geduld, dann wird die DSK sich dazu melden und die Aufsichtsbehörden werden sich bei entsprechendem Ergebnis dann auch endlich trauen”
Das hatte Anfang September noch ganz anders geklungen. Seinerzeit stellte Thüringens Landesdatenschutzbeauftragter Lutz Hasse ein bundesweites Verbot von Microsoft-Produkten zumindest für Schulen in Aussicht. „Die Datenschutzkonferenz steht noch in Verhandlungen mit MS. Diese Phase endet aber nun. Bitte noch ein klein wenig Geduld, dann wird die DSK sich dazu melden und die Aufsichtsbehörden werden sich bei entsprechendem Ergebnis dann auch endlich trauen. Braucht leider alles zu viel Zeit…“, so schrieb er im Leserforum von News4teachers.
Hasse, der als Hardliner unter den Datenschutzbeauftragten gilt, prescht nun gleichwohl vor. Er will jetzt mit Unternehmerverbänden und Behörden sprechen. „Dieser Beschluss richtet sich an alle Behörden und alle Unternehmen“, behauptet er. Die Konsequenz könnte laut Hasse sein, dass die Software nicht mehr verwendet werden dürfe. Allerdings wolle er nun zunächst herausfinden, wie stark sie in der Unternehmerschaft verbreitet ist und unter anderem mit der Industrie- und Handelskammer über die Auswirkungen sprechen. Eine merkwürdige Rechtsauffassung: Was hat die Verbreitung mit der Frage zu tun, ob Microsoft gegen den Datenschutz verstößt oder nicht?
Hintergrund ist, dass nach Ansicht einiger Datenschützer unklar ist, inwieweit die US-Firma personenbezogene Daten verarbeitet. Hasse sagt, dass nach Angaben von Microsoft personenbezogene Daten zu eigenen Zwecken verwendet würden. Von wem genau diese Daten erhoben werden und für welche eigenen Zwecke sie verarbeitet werden, sei aber bislang unklar.
Hasse erläutert die angeblichen Folgen des DSK-Beschlusses am Beispiel der Schulen: Verantwortlich sei dort nach Datenschutzregeln der Schulleiter. Selbst wenn dieser die Einwilligungen der Eltern für die Verwendung der Software einholen würde, wäre unwirksam. Denn die Eltern müssten informiert einwilligen. Der Schulleiter könne aber gar nicht ausreichend über die Datenschutzaspekte informieren, weil Microsoft nicht preisgebe, wie und für was die personenbezogenen Daten verarbeitet werden.
Microsoft dagegen beteuert, dass die Software datenschutzkonform einsetzbar ist. In einer ausführlichen Stellungnahme heißt es unter anderem: „Microsoft aggregiert lediglich pseudonymisierte, personenbezogene Daten und berechnet Statistiken bezogen auf Kundendaten. Dies resultiert in nicht-personenbezogenen Daten, welche Microsoft dann für folgende Geschäftstätigkeiten nutzt: (i) Abrechnungs- und Kontoverwaltung, (ii) Vergütung, (iii) interne Berichterstattung und Geschäftsmodellierung und (iv) Finanzberichterstattung. Die Rechtsgrundlagen, die bereits den Einsatz von Microsoft 365 durch den Verantwortlichen (Kunden) rechtfertigen, decken auch diese Vorgänge ab. Microsoft wird seine Kunden durch geeignete Unterlagen und Dokumentation zu dieser Auffassung unterstützen.“
„Bei vernünftiger Betrachtung handelt es sich um eine rein akademische, den Interessen der Betroffenen und Kunden in keiner Weise dienende Diskussion”
Außerdem warnt das Unternehmen davor, dass ein „ausufernder Aufsichtsansatz“ die Digitalisierung in Deutschland ausbremse und „Verantwortliche (z. B. Schulleiter bei der Erstellung einer Datenschutz-Folgenabschätzung)“ lähme und überfordere. Tatsächlich gilt die Kritik der Datenschützer grundsätzlich für alle kommerziellen IT-Angebote – von Apple bis hin zu Google. An Microsoft soll offensichtlich ein Exempel statuiert werden, vorzugsweise im Bildungsbereich – weil dort, anders als auf Unternehmen, politischer Druck ausgeübt werden kann. „Bei vernünftiger Betrachtung handelt es sich um eine rein akademische, den Interessen der Betroffenen und Kunden in keiner Weise dienende Diskussion um hoch standardisierte, industrietypische und datenschutzrechtlich neutrale Verarbeitungen“, so heißt es denn auch gereizt bei Microsoft.
Hasse denkt unterdessen laut darüber nach, wie er seine Rechtsauffassung trotzdem durchsetzen kann. „Das Ende des Prozesses steht aber fest, nämlich dass es ein Alternativprodukt geben muss – es sei denn, Microsoft bringt Licht ins Dunkel“, sagte er. Auch über Beratungsangebote zu Alternativen denke er nach. „Ich verstehe die Not, die jetzt auftritt und wir wollen versuchen, das in aller Ruhe über die Bühne zu ziehen.“
Aus der Politik und der Wirtschaft kommen bereits mahnende Stimmen. „Man muss die Kirche im Dorf lassen. Ein gesunder Pragmatismus ist auch in dieser Frage wichtig“, so erklärte Thomas Jarzombek, bildungspolitischer Sprecher der CDU/CSU-Fraktion im Deutschen Bundestag, gegenüber News4teachers im September (hier nachzulesen).
Jarzombek: „Was mich ärgert: Das plakative Vorgehen einiger Datenschutzbeauftragter gegen gängige Produkte, die sogar im Bundestag verwendet werden, aber vermeintlich zu unsicher sein sollen, um eine Unterrichtsstunde zu übertragen. Gerade bei Produkten, auf die viele Kinder und Jugendliche dann später im Berufsleben zurückgreifen müssen.“
Letzteres wird absehbar auch so bleiben. Die Hauptgeschäftsführerin der Industrie- und Handelskammer Erfurt, Cornelia Haase-Lerch, erklärte nach dem DSK-Beschluss schlicht: „Die Produkte von Microsoft 365 sind für die Unternehmen unverzichtbar.“
Tatsächlich darf bezweifelt werden, ob sich die Landesregierungen das Schauspiel noch lange weiter anschauen wollen: In Baden-Württemberg wurde der zum Jahresende auslaufende Vertrag des Datenschutzbeauftragten Stefan Brink, der die Arbeitsgruppe Microsoft geleitet und Druck auf Schulen ausgeübt hatte – sogar einen Schulleiter persönlich mit einem Verfahren überzog – nicht verlängert. News4teachers / mit Material der dpa