Am Puls von Microsoft

Microsoft 365 an Baden-Württembergs Schulen: Datenschutzbeauftragter warnt vor Schadenersatzforderungen

Microsoft 365 an Baden-Württembergs Schulen: Datenschutzbeauftragter warnt vor Schadenersatzforderungen

Im letzten Jahr versuchte der Landesdatenschutzbeauftragte von Baden-Württemberg mit einem “Verbot”, dem Einsatz von Microsoft 365 an den Schulen im Ländle ein Ende zu bereiten. Sein Nachfolger hält an diesem Ziel fest und bringt ein neues Risiko für jene Schulen ins Spiel, welche die Software weiterhin einsetzen: Schadenersatz. Dabei dürfte es sich allerdings um sein theoretisches Szenario handeln.

Es war im April 2022, als Stefan Brink in einer Eigenschaft als Landesdatenschutzbeauftragter von Baden-Württemberg die Schulen aufforderte, den Einsatz von Microsoft 365 zum Schuljahreswechsel zu beenden – es sei denn, sie könnten den datenschutzkonformen Einsatz nachweisen. Bereits zuvor und auch danach hatte es immer wieder Untersuchungen gegeben, die im Grundsatz zum immer gleichen Ergebnis führten. Microsoft 365 kann nicht DSGVO-konform eingesetzt werden, weil es zu viele Unsicherheiten gibt, welche Daten wohin übertragen werden. Im November hat das die bundesweite Datenschutzkonferenz noch einmal untermauert.

Microsoft hält diesen Feststellungen in trotziges “Doch!” entgegen. Ich will das an dieser Stelle gar nicht weiter vertiefen, sondern mich mit dem aktuellen Argument “Schadenersatz” beschäftigen.

Zum Jahreswechsel gab es einen Wechsel an der Spitze der Behörde, Stefan Brink wurde von Jan Wacke abgelöst. Der vertritt immer noch die gleiche Auffassung und warnt Schulen davor, dass Schadenersatzforderungen auf sie zukommen könnten, wenn sie Microsoft 365 weiterhin einsetzen (via heise). Mit dem Hinweis auf dieses grundsätzliche Risiko macht der neue Landesdatenschutzbeauftragte einfach nur seinen Job, allerdings dürfte diese Gefahr eher theoretischer Natur sein.

Ich bin kein Jurist, verfüge aus eigener (teils leidvoller) Erfahrung aber über gefährliches Halbwissen. Grundsätzlich braucht es überhaupt erst einmal jemanden, der dagegen klagt und damit das Kostenrisiko von mehreren tausend Euro auf sich nimmt, auf denen man im Fall einer Niederlage sitzen bleibt. Dazu kommt, dass die Datenschützer immer wieder zu dem Urteil kamen, dass man den Nachweis der DSGVO-Konformität von Microsoft 365 nicht führen kann. Konkret ermittelte Verstöße wurden in diesem Zusammenhang bisher nicht aufgeführt.

Es gibt in Datenschutz-Verfahren zwar tatsächlich eine Beweislastumkehr, es kann also vorkommen, dass nicht die Schuld, sondern die Unschuld bewiesen werden muss, das galt aber zumindest in den Verfahren, mit denen ich mich beschäftigt habe, immer nur für den Verstoß an sich. Kam Schadenersatz ins Spiel, wollten die Gerichte einen Nachweis, dass dieser Schaden auch wirklich entstanden ist (sollte jemand andere Fälle kennen, gerne melden). Generell hängen die Trauben für Schadenersatz bei DSGVO-Verstößen vergleichsweise hoch.

Meine Beiträge zu diesem Thema enden irgendwie immer gleich, darum zitiere ich mich selbst aus einem Artikel vom November 2022:

Mir geht es in dieser Sache wie immer nicht darum, den „Anwalt“ für Microsoft zu spielen. Mich ärgert nur immer wieder, dass die Datenschützer ein Gefühl der latenten Unsicherheit schüren, ohne entsprechend konsequent zu handeln. Wenn Microsoft 365 nicht datenschutzkonform ist, dann muss der Einsatz verboten werden, und zwar nicht nur in Schulen, wie bereits geschehen, sondern auch in der freien Wirtschaft. Da traut sich aber anscheinend niemand ran, also sind sie sich ihrer Sache entweder nicht sicher oder sie vernachlässigen den Datenschutz aus wirtschaftlichen Interessen – in beiden Fällen machen sie ihren Job nicht richtig.

Das Argument, man könne nicht mit Sicherheit ausschließen, dass nicht doch unzulässige Datenverarbeitungen stattfinden, wird sich indes niemals aus der Welt schaffen lassen. Wie soll denn das gehen? Wer seine Daten einem Dienstleister überlässt, der muss darauf vertrauen, dass dieser sorgsam damit umgeht und sich an Recht und Gesetz hält.

Ich fürchte, aus der Nummer kommen wir so schnell nicht raus. Soviel sei zur Verteidigung unserer Datenschützer gesagt: Selbst wenn sie Microsoft 365 heute eine Unbedenklichkeitsbescheinigung ausstellen würden, wäre diese morgen schon wieder nichts mehr wert, denn ständig kommen neue Funktionen hinzu und es werden neue Richtlinien zur Administration eingeführt, daher wird eine abschließende Beurteilung wohl niemals möglich sein.

Und darum wird es wohl auch in Zukunft immer wieder heißen: Ist Microsoft 365 datenschutzkonform? Nein! Doch! Ooh!

 

 

Über den Autor

Martin Geuß

Martin Geuß

Ich bin Martin Geuß, und wie unschwer zu erkennen ist, fühle ich mich in der Windows-Welt zu Hause. Seit mehr als 16 Jahren lasse ich die Welt an dem teilhaben, was mir zu Windows und anderen Microsoft-Produkten durch den Kopf geht, und manchmal ist das sogar interessant. Das wichtigste Motto meiner Arbeit lautet: Von mir - für Euch!

Anzeige