Microsoft 365 – Zukunft für Schulen ungewiss

Lesezeit: 4 Minuten

Office 365, jetzt Microsoft 365, ist an Schulen als ausgereifte, moderne, funktionsreiche und gut zu nutzende Kommunikations- und Arbeitsplattform beliebt. Kollaborative Arbeitsformen im Unterricht und im Kollegium erlauben es, Dokumente im Team zu erstellen, auch zeitgleich, ohne sie erst auf den eigenen Rechner herunterladen zu müssen. Während in der Vergangenheit vor allem Berufskollegs und Gymnasien auf die US Plattform setzten, kamen mit den Schulschließungen durch Covid19 und den Druck, Unterricht stärker unter Einbeziehung digitaler Medien zu gestalten, immer mehr Schulen hinzu. Teams und seine einfache Möglichkeit für Videokonferenzen erwiesen sich als schnell verfügbare und einfach zu nutzende Lösung in der Not, Unterricht online zu erteilen. In Bayern stellte man sogar von Landesseite für die Corona Zeit Microsoft Teams bereit.

Die Handhabe bezüglich Microsoft 365 war in den Bundesländern bislang höchst unterschiedlich. Einige dulden die Nutzung der Online Funktionen (Hessen), manche können sie nicht empfehlen (NRW) und andere verbieten sie komplett (Thüringen). In Baden Württemberg versucht man, mit Microsoft unter Beteiligung der Aufsichtsbehörde einen Weg zu finden, wie Schulen Microsoft 365 einschließlich der Online Funktionalitäten DS-GVO konform nutzen können. Seit längerer Zeit beschäftigt sich schon eine Unterarbeitsgruppe der Datenschutzkonferenz mit dem Thema Office 365 und Schule. Zu all den bestehenden Problemen, zu denen auch noch der CLOUD-Act zählt und die Einwilligung als Rechtsgrundlage der schulischen Nutzung, kommt jetzt noch das Urteil des EUGH hinzu, welches zum Ende des EU-US Privacy Shield führte.

Mit dem Wegfall dieses Rechtsinstrumentes bricht die wichtigste Rechtsgrundlage weg, mit welcher eine Übermittlung von personenbezogenen Daten in die USA zumindest formell legitimiert werden konnte. Dass in den USA ein der EU vergleichbares Datenschutzniveau herrscht, wurde vielfach angezweifelt, auch wenn der EU-US Privacy Shield US Unternehmen die Möglichkeit gab, durch Selbstzertifizierung für die Einhaltung europäischer Vorgaben einzustehen.

US Firmen weichen nun auf die Standardvertragsklauseln (SCC) aus, auch wenn der EUGH klar gemacht hat, dass dieses ohne zusätzliche Garantien und Schutzmaßnahmen nicht ausreichen kann.

Es sieht nicht gut aus, was die Zukunft von Microsoft 365 an den Schulen im Lande angeht. Das meint vor allem Teams und das OneNote Kursnotizbuch, wie auch die damit verbundenen Office-Online Komponenten und einen großen Teil der Funktionen, die einen Datenaustausch mit den Servern von Microsoft erfordern. Noch haben die Aufsichtsbehörden sich nicht gemeinsam positioniert, welche Folgen sich für sie aus dem Schrems II Urteil ableiten. Lediglich der LfDI Baden Württemberg gibt mit seiner Orientierungshilfe zum internationalen Datentransfer eine Ahnung, in welche Richtung es von Seiten der Aufsichtsbehörden wohl gehen wird. Klar ist, aus dem EUGH Urteil ergibt sich die Forderung nach einem konsequenten Vollzug, der sich die Aufsichtsbehörden nicht entziehen können.

Die Unterarbeitsgruppe der Datenschutzkonferenz soll, so liest man, zu dem Schluss gekommen sein, dass eine Nutzung von Microsoft 365 in Schulen nicht datenschutzkonform möglich ist. Noch hat man die Ergebnisse der Analyse aus den monatelangen Untersuchugen nicht veröffentlicht, da Bayern hier wohl anderer Meinung ist.

Lösungen, die aktuell für Unternehmen erarbeitet werden, um Datenübermittlungen in die USA abzusichern, werden sich so auf Schulen nicht übertragen lassen, abgesehen davon, dass bisher nicht einmal klar ist, ob sie tatsächlich eine DS-GVO konforme Datenübermittlung in die USA ermöglichen.

Sollte der Hammer fallen und die Unterarbeitsgruppe die Ergebnisse ihrer Analyse mit dem Fazit veröffentlichen, dass eine Nutzung von Microsoft 365 über die Client Version hinaus nicht datenschutzkonform möglich ist, so kann man davon ausgehen, dass in vielen Schulministerien nicht lange gezögert wird, ein Verbot auszusprechen. Und sollten dann auch die Aufsichtsbehörden nach ihrer Abstimmung noch zu dem Schluss kommen, dass eine Nutzung der Online Komponenten von Microsoft 365 nicht möglich ist wegen der Übermittlung von personenbezogenen Daten in die USA ohne ausreichende Rechtsgrundlagen, dann wäre das der letzte Sargnagel, den es braucht, um auch das letzte Schulministerium zu überzeugen.

Viele halten einen solchen Schritt der Schulministerien nicht für möglich, dass man den vielen Schulen, welche die Plattform nutzen, so etwas antun könnte. Darauf sollte man sich nicht verlassen. Auch die Öffentlichkeit kann Druck erzeugen. Es geht um Politik und besorgte Eltern sind Wählerstimmen.

Auch wenn es bei der Nutzung von Microsoft 365 mit seinen online Komponenten wohl weniger um essentielle Risiken für Betroffene geht und mehr um datenschutzrechtliche Probleme, wären Schulen dann gezwungen, auf „zumutbare Alternativen“ auszuweichen, wie es in der Orientierungshilfe aus Baden Württemberg heißt.

Gibt es Möglichkeiten, Microsoft 365 für Schulen zu retten, falls es zum Ärgsten kommt? Dass die DS-GVO entschärft wird, worauf viele hoffen, die sie als überzogen ansehen, ist auf absehbare Zeit wenig wahrscheinlich. Auch der Abschluss eines neuen EU-US Privacy Shield 2, auf den viele Unternehmen hoffen, wird in naher Zukunft nicht zu erwarten sein. Die DS-GVO selbst bietet durchaus rechtliche Möglichkeiten für Datentransfers in unsichere Drittländer. Für Schulen wird aber wohl keine davon in Frage kommen.

Eine neue Treuhand Cloud, betrieben durch einen großen IT Dienstleister, ist eine Frage der Kosten. Aus Bundesländern, wo man darüber bereits nachgedacht hat, hört man, dass die Kosten nicht zu stemmen wären.

Microsoft könnte definitiv das Blatt wenden, indem man die Übermittlung von Telemetriedaten, die personenbezogene oder -beziehbare Daten enthalten, in die USA komplett deaktiviert. Außerdem könnte Microsoft das Vertragswerk derart umgestalten, dass die komplette Verarbeitung von personenbezogenen Daten, nur innerhalb der EU stattfindet. Für ruhende Daten gibt es diese Zusage bereits und technisch ist es ohnehin schon jetzt überwiegend der Fall.1Es gibt dann immer noch das Problem CLOUD-Act, doch man kann davon ausgehen, dass hier auf absehbare Zeit eine Lösung kommen wird. Die EU verhandelt bereits seit einiger Zeit mit den USA. Es geht um einen Vertrag, bei dem die USA der EU gleiche Rechte einräumen.

Microsoft dorthin zu bewegen könnte am besten gelingen, wenn sich die Bundesregierung einschaltet und ähnlich dem Justizministerum der Niederlande (2018/19) mit Microsoft verhandelt und Druck macht. Wenn man in der Corona Notzeit eine Nutzung von Microsoft Teams vorübergehend zuließ, können die Risiken für die Betroffenen auch von daher nicht so groß sein, dass eine Nutzung sich komplett verbietet. Man könnte Microsoft also eine Frist setzen und Schulen eine Übergangszeit unter Auflagen bis dahin gewähren.

Datenschutzrechtliche Untersuchung der Nutzung von Office 365 an Schulen in der Schweiz

Lesezeit: 2 Minuten

Anders als in Deutschland ist in der Schweiz bisher die Nutzung von Office 365 an Schulen aus datenschutzrechtlicher Sicht recht problemlos möglich gewesen. Entsprechend weit verbreitet ist der Einsatz dort. Noch im September 2018 hatte der Datenschutzbeauftragte des Kanton Zürich einen Leitfaden zur Nutzung von Office 365 an Bildungseinrichtungen herausgegeben.1Schulen, die Office 365 nutzen, sollten diesen Leitfaden kennen, da er wertvolle Hinweise für eine datenschutzrechtlich verantwortungsvolle Nutzung von Office 365 gibt. Beachten sollte man dabei allerdings, dass einige Aussagen sich nicht auf NRW bzw. Deutschland übertragen lassen, etwa die Nutzung von Office 365 in der Schulverwaltung. Einige Wochen später enteckte man in den Niederlanden, dass Office 365 wohl weitaus mehr Telemetriedaten für Support und Softwareentwicklung an US Server übermittelt, als in der von Microsoft zur Verfügung gestellten Dokumentation ausgewiesen. Diese Daten, auch wenn überwiegend technischer Natur, sind mit Benutzerkonten verknüpft bzw. verknüpfbar und stellen nach der DS-GVO personenbezogene Daten dar. Die niederländischen Datenschützer kamen zu dem Schluss, dass Mircosoft hier gegen die DS-GVO verstößt.2siehe Dutch government report says Microsoft Office telemetry collection breaks GDPR Die holländischen Datenschützer haben 8 Probleme definiert und mögliche Lösungen aufgezeigt.

Die acht datenschutzrechtlichen Problembereiche von Office 365 im Zusammenhang mit Telemetriedaten
Es geht um:
* Mangelnde Transparenz
* Fehlende Möglichkeit, die Sammlung und Übermittlung von Telemetriedaten temporär und dauerhaft zu beeinflussen
* Unrechtmäßige Sammlung und Speicherung von sensiblen personenbezogenen Daten
* Unzutreffende Beschreibung von Microsoft als Verarbeiter
* Unzureichende Kontrolle über Sub Auftragsverarbeiter
* Mangelnde Beschränkung der Verarbeitungszwecke – Übertrag von Daten aus dem EU Raum hinaus
* Unbegrenzte Speicherung der diagnostischen Daten

Das hat nun auch den Datenschutzbeauftragten des Kanton Zürich aufgegriffen. Die Befunde der Niederländer bedeuten für ihn jedoch nicht automatisch, dass die Übermittlung der Telemetriedaten durch Microsoft rechtswidrig ist, denn seine Fachstelle hatte mit Microsoft speziell für den Bildungsbereich Rahmenbedingungen für die Nutzung von Office 365 ausgehandelt. Da für ihn nicht klar ist, inwieweit die in den Niederlanden ermittelten Probleme auch für den Schulbereich in der Schweiz relevant sind, hat er Microsoft zu einer Stellungnahme aufgefordert. Es geht dabei nun darum, ob die Verarbeitung dieser Telemetriedaten durch Microsoft datenschutzrechtskonform ist oder nicht.

Microsoft selbst verweist auf die für Kunden verfügbare Dokumentation Diagnostic Data in Office Applications, zeigt sich jedoch kooperativ und will mit den Datenschützern an Lösungen arbeiten. Erste Anworten und Maßnahmen sind für das erste Quartal 2019 angekündigt.

Auswirkungen auf die Nutzung von Office 365 an Schulen in NRW

Auch in NRW dürften einige Schulen schon im November hellhörig geworden sein, als die Meldungen aus den Niederlanden kamen. Wer als Schule bei der Nutzung von Office 365 einige Grundregeln beachtet, sollte vorerst damit weiterarbeiten können.3Siehe dazu auch die Informationen des MSB NRW von Dezember 2018 zu Office 365, wo es u.a. heißt: „Grundsätzlich kann für die jetzige praktische Handhabung festgestellt werden:
Schulleitungen, die sich mangels einer offiziellen Einschätzung in NRW auf die Bewertung des DSB Hessen verlassen und die dortigen einschränkenden Bedingungen zur Nutzung von Office 365 einhalten, u.a. keine Nutzung der Cloud für Verwaltungszwecke, kann kein fahrlässiges oder vorwerfbares Handeln vorgehalten werden.“

  • Office 365 kann nicht im Bereich der Schulverwaltung eingesetzt werden, wenn es um die Verarbeitung von personenbezogenen Daten von Schülern, Lehrkräften und Eltern geht. Die Verarbeitung von allgemeinen, nicht personenbezogenen Daten bzw. Informationen (z.B. die Erstellung und Bereitstellung von Formularen) ist jedoch durchaus möglich.
  • Im Unterricht sollte Office 365 so datensparsam wie möglich genutzt werden. Bewertungen und Leistungsdaten gehören nicht in Office 365. 4Bei einer ausschließlichen Nutzung über schulische Geräte fallen die wenigsten personenbezogenen Daten an, wenn die Benutzerkonten datenschutzfreundlich erstellt werden.

Dass Microsoft hier jetzt patzen wird, ist eher unwahrscheinlich. Es steht zu viel auf dem Spiel. Man kann wohl damit rechnen, dass Microsoft nachbessern wird und zumindest im Bildungsbereich die bemängelten Funktionalitäten einschränkt und besser dokumentiert, den Verantwortlichen und Nutzern mehr Kontrolle über die Erhebung und Verarbeitung der Telemetriedaten gibt sowie die Speicherdauer und Verwertung eingrenzt.

Quelle für die Informationen aus der Schweiz ist der Beitrag mit dem etwas reißerischen Titel Verstossen Lehrer und Schüler mit Microsoft Office gegen das Gesetz? (12/2018)

Endlich klare Aussagen vom MSB NRW zu datenschutzrechtlichen Fragen

Lesezeit: < 1 Minute

Es hat lange gedauert bis sich das Ministerium für Schule und Bildung NRW einmal umfänglich zu datenschutzrechtlichen Fragen im Zusammenhang mit der umstrittenen Genehmigung zur Verarbeitung von personenbezogenen Daten aus der Schule auf privaten Endgeräten von Lehrkräften äußert. Was geht und was geht nicht, wie sieht es mit Haftungsfragen aus? Antworten kommen auch zu vielen anderen Fragen: z.B. E-Mail Kommunikation mit Eltern über dienstliche und private E-Mail Adressen, Speicherung von Fotos von Schülern auf dem Smartphone, Nutzung von privaten Smartphones für Kommunikation mit Eltern, Fragen zu zulässigen Anwendungen, Zugriff auf Webanwendungen und die Genehmigung, und die Zulässigkeit von WhatsApp, Telegram und iMessage auf privaten Geräten, wenn sie dienstlich genutzt werden. Zu finden ist dieses unter

Da es an Schulen nicht nur viele Fragen zur Genehmigung gibt, sondern auch zu anderen Bereichen, wurden in einer zweiten Sammlung weitere Fragen zum Thema Datenschutz an der Schule aufgegriffen. Hier geht es um die Aufgaben von Datenschutzbeauftragten, Notelisten in Papierform am heimischen Arbeitsplatz, die Übermittlung von Elterndaten an die Schulpflegschaft, Office 365 im schulischen Einsatz, Videoüberwachung und elektronische Schließanlagen an der Schule.

Sicherlich werden verschiedene Akteure im Bereich Schule die Antworten unterschiedlich beurteilen. Es bleiben definitiv auch noch Fragen offen, doch es ist gut, dass das Ministerium zu den meisten Fragen sehr eindeutig Stellung bezogen hat. Mit diesen Antworten kann man planen und Entscheidungen fällen.

Auch zum Thema Schulhomepage gibt es einige (wenige) datenschutzrechtliche Aussagen vom Ministerium.

Office 365 und der Vertrag zur Auftragsverarbeitung

Lesezeit: 6 Minuten

Wollen Schulen einen Online Dienst nutzen und es werden dabei personenbezogene Daten aus der Schule verwendet, ist nach Art. 28 DS-GVO ein Vertrag erforderlich, welcher Rechte und Pflichten beider Seiten regelt. Vielfach bestehen diese Verträge aus Dokumenten, die ausgedruckt von beiden Seiten in Kopie unterschrieben werden, um rechtliche Gültigkeit zu erlangen. Bei Microsoft sucht man eine derartige Möglichkeit zum Abschluss eines Vertrags zur Auftragsverarbeitung oder auch Auftragsverarbeitungsvertrag (AVV) vergeblich. Heißt das nun, man kann mit Microsoft nicht den erforderlichen Vertrag abschließen, um Office 365 im Unterricht oder für die Teamarbeit der Lehrkräfte zu nutzen?

In Art. 28 heißt es unter Abs. 3

„Die Verarbeitung durch einen Auftragsverarbeiter erfolgt auf der Grundlage eines Vertrags oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht der Mitgliedstaaten, der bzw. das den Auftragsverarbeiter in Bezug auf den Verantwortlichen bindet und in dem Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen festgelegt sind. Dieser Vertrag bzw. dieses andere Rechtsinstrument sieht insbesondere vor …“

Schaut man sich diesen Absatz genauer an, sieht man, dass rechtliche Grundlage für die Verarbeitung von personenbezogenen Daten des Auftraggebers durch den Auftragnehmer nicht zwingend ein Vertrag sein muss, wie man ihn beispielsweise mit seinem Website Hoster abschließt und wie oben beschrieben. Das Wort ODER lässt auch andere Optionen als gleichwertig zu einem Vertrag zu. Möglich ist demnach auch ein anderes Rechtsinstrument nach Unionsrecht oder dem Recht der Mitgliedstaaten. Alle drei Optionen erfüllen die Vorgabe nach Art. 28.

Microsoft bietet anstelle eines Vertrages, wie er im deutschen Rechtsraum üblich ist, die sogenannten OST oder Online Service Terms, zu Deutsch Online Service-Nutzungsbedingungen, wozu auch das Data Processing Addendum (DPA) gehört. Alle Volumenlizenzverträge von Microsoft umfassen diese Online Services-Nutzungsbedingungen. Die Volumenlizenzverträge werden abgeschlossen, wenn eine Schule sich für ein Office 365 Paket anmeldet. Das geschieht in einem Dialog ähnlich dem folgenden.

Beispiel Dialog bei der Erstellung eines Office 365 Testabonnement Vertrags.

Wenn das entsprechende Häkchen gesetzt ist, hat der Nutzer den Vertrag abgeschlossen und damit auch die OST einschließlich des DPA angenommen.

Das Data Processing Addendum ist ein den OST anhängiges Dokument und berücksichtigt neben der DS-GVO auch verschiedene Datenschutzstandards/ -vorgaben aus den USA wie auch anderen Ländern. Die Standardvertragsklauseln1Microsoft hat lange Zeit die Standardvertragsklauseln (auch EU Model Clauses genannt) als Grundlage für die Übertragung von Daten für seine Onlinedienste für Unternehmen verwendet. Die EU-Standardvertragsklauseln sind von der Europäischen Kommission bereitgestellte Standardbedingungen, die für die richtlinienkonforme Übertragung von Daten außerhalb des Europäischen Wirtschaftsraums verwendet werden können. Microsoft hat die Standardvertragsklauseln mithilfe des den Online Services-Nutzungsbedingungen anhängigen DPA in alle Volumenlizenzverträge integriert. Die Artikel-29-Datenschutzgruppe hat dabei festgestellt, dass die Umsetzung der Standardvertragsklauseln durch Microsoft richtlinienkonform ist. Quelle: DSGVO – häufig gestellte Fragen sind ein Bestandteil dieses Dokuments, bilden den Anhang 2 und umfassen sechs Seiten. Es findet sich zum Download wie die OST unter Ressourcen zur Lizenzierung.

Die EU-Standardvertragsklauseln gehören zu den oben erwähnten anderen Rechtsinstrumenten nach dem Unionsrecht. Auch in Art. 28 sind die Standardvertragsklauseln aufgeführt und unter Abs. 6 heißt es

„Unbeschadet eines individuellen Vertrags zwischen dem Verantwortlichen und dem Auftragsverarbeiter kann der Vertrag oder das andere Rechtsinstrument im Sinne der Absätze 3 und 4 des vorliegenden Artikels ganz oder teilweise auf den in den Absätzen 7 und 8 des vorliegenden Artikels genannten Standardvertragsklauseln beruhen, …“

Die EU-Standardvertragsklauseln umfassen die in Abs. 3 und 4 aufgeführten Vorgaben, die vertraglich zwischen Auftraggeber und Auftragnehmer festzuschreiben sind. Als Standardvertragsklauseln können hierbei solche verwendet werden,

„die entweder unmittelbar von der Kommission erlassen oder aber nach dem Kohärenzverfahren von einer Aufsichtsbehörde angenommen und dann von der Kommission erlassen wurden.“2Erwägungsgrund 81

Bei den von Microsoft im DPA genutzten Standardvertragsklauseln handelt es sich um solche, die von der der Europäischen Kommission bereitgestellt wurden. Da dieser Vertrag nicht nur im Bildungsbereich, sondern auch im Businessbereich zum Einsatz kommt, kann Microsoft sich hier keine Fehler erlauben. Zu allen in Art. 28 geforderten Angaben werden umfassende Aussagen gemacht. Doch wie sieht es mit der Form aus?

Die DS-GVO ist bezüglich der Formvorgaben zum Abschluss eines Vertrages oder anderen Rechtsinstrumentes wesentlich offener als das Bundesdatenschutzgesetz oder das alte Bundesdatenschutzgesetz. In Art. 28 heißt es zur Form in Abs. 9

„Der Vertrag oder das andere Rechtsinstrument im Sinne der Absätze 3 und 4 ist schriftlich abzufassen, was auch in einem elektronischen Format erfolgen kann.“

Es besteht also eine Schrifterfordernis und elektronisches Format ist möglich. Die Fachautoren sind sich einig darin, dass es sich beim elektronischen Format um ein dauerhaftes Format handeln muss, welches auch nicht nachträglich verändert werden kann.3„Als Form für den Abschluss einer Vereinbarung zur Auftragsverarbeitung gibt Art. 28 Abs. 9 DSGVO die Schriftform oder ein elektronisches Format vor. Dies entspricht der in § 126 b BGB genannten Textform. Entscheidend ist hierbei, dass das ausgewählte Format sicherstellen muss, dass nachträgliche Änderungen technisch ausgeschlossen werden. Somit lässt sich eine Vereinbarung zur Auftragsverarbeitung z.B. über eine schreibgeschützte PDF-Datei, nicht aber über einfache E-Mails schließen.“ Quelle Die OST und das anhängige DPA entsprechen dieser Formvorgabe. Man lädt sie in der Regel als schreibgeschützte docx Datei herunter.

Eine Unterschrift ist nach der DS-GVO nicht länger erforderlich, um einen rechtswirksamen Vertrag abzuschließen.

„Die Auftragserteilung kann gemäß Art. 28 Abs. 9 DS-GVO in Zukunft auch in einem elektronischen Format erfolgen. Das strenge Schriftformerfordernis (handschriftliche Unterschrift) gilt damit nicht mehr. Ausreichend für das elektronische Format ist jedes elektronische Dokument, das dauerhaft wiedergegeben werden kann (vergleichbar mit der Textform in [§ 126b BGB]).“4sagt der Landesbeauftragte für Datenschutz und Informationsfreiheit RLP in einem Beitrag zur Auftragsverarbeitung.

Die Bestätigung von Seiten des Auftraggebers, hier der Schule, erfolgt bei den OST als Bestandteil der Abschlusses eines Volumenlizenzvertrags durch Setzen eines Häkchens. Im DPA gibt es eine eingescannte Unterschrift unter den Standardvertragsklauseln. Verschiedene Fachjuristen kommen zu dem Schluss, dass es nicht einmal dieser eingescannten Unterschrift bedarf. Die Erklärung sollte, da es sich bei der DS-GVO um eine europäische Rechtsnorm handelt, anders als im nationalen Recht unterschriftlos gültig sein.5„Mithin herrscht Einigkeit darüber, dass der europäische Gesetzgeber dem elektronischen Format nicht das Verständnis der deutschen Norm aus dem BGB zugrunde gelegt hat. Vielmehr scheint sich die Ansicht durchzusetzen, dass die Textform nach § 126b BGB den Anforderungen an das elektronische Format i.S.d. Art. 28 Abs. 9 DSGVO genügt. Bei der Textform handelt es sich um eine unterschriftlose Erklärung, die auf einem dauerhaften Datenträger (eine Download-Möglichkeit kann ausreichen) abgegeben wird und gegen nachträgliche Änderungen geschützt ist.“ Elektronischer Vertragsschluss der Auftragsverarbeitung (Art. 28 DSGVO) von Datenschutzkanzlei Es sind allerdings nicht alle Fachleute dieser Meinung. Einigkeit herrscht jedoch zumindest darin, dass es keiner „qualifizierten elektronischen Signatur“ bedarf6Auch aktuelle Aussagen der Europäischen Kommission von September 2018 untermauern die Ansicht, dass eine elektroniche Signatur nicht erforderlich ist: „Eine elektronische Signatur ist für die Rechtswirksamkeit von Verträgen gerade nicht erforderlich. Signaturen sind eines von mehreren Mitteln, um den Vertragsschluss beweisen zu können. Dies bedeutet, dass Autragsverarbeitungsverträge auch „einfach“ elektronisch, zB per PDF Dokument oder über eine Webseite, abgeschlossen werden können.“ Carlo Piltz in Europäische Kommission zum Formerfordernis für Auftragsverarbeitungsverträge nach der DSGVO.

In der aktuellen Situation sollte das von Microsoft angebotene Format den Vorgaben zum Abschluss eines Vertrags oder anderen Rechtsinstrumentes zur Auftragsverarbeitung nach Art. 28 DS-GVO genügen. Diesen Spielraum lassen die Vorgaben zu. Die OST und das anhängige DPA werden online angeboten, die Standardvertragsklauseln als zentrales Element dieser Vereinbarung sind unterzeichnet, und zeigen damit den Willen Microsofts, einen Vertrag mit dem Kunden einzugehen. Der nimmt das Angebot durch Setzen eines Häkchens an und speichert die OST sowie das DPA ab oder druckt beides aus.7„Weitergehend kann es bei einer online erfolgenden invitatio ad offerendum ausreichend sein, dass der bestellende Kunde eine Checkbox betätigt und so ein rechtswirksames Angebot auf einen bereitgestellten Vertrag abgeben kann, das der Vertragspartner sodann mit dem Hauptvertrag annimmt, wenn der Vertrag speicher- und druckbar ist.“Koreng/Lachenmann DatenschutzR-FormHdB | 1. Vergleich Auftragsverarbeitung nach dem BDSG und der DS-GVO Rn. 1. – 7. – beck-online

Fazit

Durch Annahme der OST mit dem anhängigen DPA als Bestandteil eines Volumenlizenvertrags zu Office 365 ist aktuell den Vorgaben der DS-GVO nach Art. 28 zum Abschluss eine Vertrages zur Auftragsverarbeitung zwischen Schule als Auftraggeber und Microsoft als Auftragnehmer Genüge getan. Rein vertraglich sind hier auch die erforderlichen Vorgaben bezüglich des Exports von Daten in Drittstaaten abgedeckt, da Microsoft auch das EU-US Privacy Shield Übereinkommen unterzeichnet und sich damit entsprechend zertifiziert hat.

Schulen, die einen Volumenlizenvertrag mit Microsoft abschließen, sollten dabei auf zwei Dinge achten, um im Sinne von Art. 28 den Abschluss eines Vertrags bzw. anderen Rechtsinstrumentes zur Regelung der Auftragsdatenverarbeitung dokumentieren zu können:

  • Die Seite, wo die Vertragsbedingungen zum Volumenlizenzvertrag angenommen werden, sollten mit gesetzen Häkchen ausgedruckt werden.
  • Über den Link zu den OST und DPA sollten die aktuellen Online Service-Nutzungsbedingungen des Monats sowie das Online Services Data Protection Addendum (DPA) heruntergeladen und abgespeichert werden.

Wo Fragen bleiben

Ein gänzlich anderes Thema und wesentlich bedeutsamer als der Vertrag ist die Frage, ob Microsoft tatsächlich den vertraglich zugesicherten Angaben gerecht wird bzw. werden kann. Die Aufsichtsbehörden sind sich hier trotz aller Zusicherungen durch und Zertifizierungen von Microsoft nicht sicher. Für sie bleiben Fragen ungeklärt. Aus diesem Grund sprechen sie bisher keine Empfehlung aus. Ein Verbot gibt es jedoch auch nicht von offizieller Stelle, zumindest in NRW. Hierzu an anderer Stelle mehr.

Wer ist verantwortlich?

Auch wenn Microsoft den Formalien eines AVV entspricht und Schulen so rechtswirksam ihrer Pflicht nach Art. 28 nachkommen können, so kann es für Schulen rein rechtlich zum Problem werden, wenn der Vertrag durch den Schulträger abgeschlossen wurde. Das könnte an einigen Stellen der Fall sein. Eine rechtswirksame Vereinbarung im Sinne von Art. 28 Abs. 3 muss immer zwischen dem Verantwortlichen als Auftraggeber und dem Dienstleister als Verarbeiter bzw. als Auftragnehmer abgeschlossen werden. Verantwortlicher ist bei Schulen immer die Schulleitung. Eine nachträgliche Änderung wird vermutlich nahezu unmöglich sein, vor allem, wenn der Schulträger den Vertrag für mehrere Schulen abgeschlossen hat. Schulträger haben oft Volumenlizenzverträge für die kommunalen Verwaltungen abgeschlossen und werden entsprechend EDU Volumenlizenzverträge an die bestehende Instanz anhängen. Auch das wird eine Änderung erschweren bis unmöglich machen.8Ich kenne bisher leider zu wenige aktuelle Beispiel, wie Schulträger dieses regeln, um dieses sicher beurteilen zu können. Gänzlich anders sollte die Sache aussehen, wenn der Schulträger einen Rahmenvertrag mit Microsoft abgeschlossen hat. Tritt eine Schule diesem bei, tut sie dieses in eigener Verantwortung und kann ganz regulär die OST mit dem anhängigen DPA mit Microsoft abschließen.

Für den Fall, dass der Schulträger die Lizenenzen beschafft, ist es durchaus möglich, dass die Schule einen Vertrag zur Auftragsverarbeitung mit dem Schulträger selbst abschließt, der wiederum seinerseits die OST mit dem anhängigen DPA mit Microsoft vereinbart. Microsoft taucht dann im Vertrag zur Auftragsverarbeitung zwischen Schule und Schulträger als Unterverarbeiter auf. Stellt der Schulträger Lizenzen für mehrere Schulen zur Verfügung, sollte für jeder Schule ein eigener Tenant angelegt werden, um die Instanzen auch rechtlich sauber von einander zutrennen.

Es spricht aus rechtlicher Sicht durchaus etwas dafür, dass der Schulträger den Vertrag mit Microsoft abschließt, da er so ein Stück weit mit in die Verantwortung genommen wird.

Links:

Stand 06/2020