Viel Beratung und Dialog, kaum Maßnahmen – das ist das Ergebnis einer Umfrage unter den Datenschutzaufsichten der Länder und des Bundes, die ich in den vergangenen zwei Wochen zur Nutzung von Microsoft-Produkten in der Cloud durchgeführt habe. Nur eine einzige Behörde antwortete auf die Frage, ob sie aufgrund eines Einsatzes von Microsoft-Produkten von Abhilfebefugnissen gegenüber Verantwortlichen gemäß Art. 58 Abs. 2 DSGVO Gebrauch gemacht habe, mit einem klaren Ja – die Berliner Beauftragte für Datenschutz und Informationsfreiheit.

Das Handeln staatlicher Aufsichten ist auch für den kirchlichen Datenschutzaufsichten unterworfene Verantwortliche interessant: Die kirchlichen Aufsichten bemühen sich um einen großen Einklang mit den staatlichen, in kirchlichen Stellen dominiert Microsoft den Bürosoftware-Markt genauso wie in weltlichen. Wo die staatlichen nicht hart durchgreifen, ist auch kein kirchlicher Durchmarsch zu erwarten.

(Die gesammelten und systematisierten Rückmeldungen in Rohform gibt es auch zum Download.)

Der Berliner Fall war zuvor schon aus den Medien bekannt, der Fall einer Grundschule in Lichtenberg: »Im Jahr 2020 wurde aufgrund eines Datenschutzverstoßes beim Einsatz mehrerer digitaler Lernmittel, darunter auch Microsoft Teams, eine Verwarnung gegen eine Berliner Schule erlassen«, teilte der Sprecher der Behörde auf Anfrage mit. Instruktiv ist auch die Rückmeldung aus Schleswig-Holstein. Die Landesdatenschutzbeauftragte Marit Hansen teilt mit: »Zumindest im Bereich der Meldungen nach Art. 33 DSGVO dürften es doch einige Fälle sein, die mit dem Einsatz von Microsoft-Produkten (fehlende Updates, keine ausreichende Behandlung des Risikos) verbunden sind und die daher auch zu Warnungen, Verwarnungen und Anweisungen geführt haben oder führen werden. Unter den bisherigen Fällen der verhängten Geldbußen war noch kein derartiger Fall.« Insbesondere der Exchange-Server-Hack Hafnium hätte zu einigen Pannenmeldungen geführt.

Nach dem im vergangenen Juli mit knapper Mehrheit gefassten Beschluss der Datenschutzkonferenz, dass kein datenschutzgerechter Einsatz von Office 365 möglich sei, hätte man zumindest bei den Behörden, die zugestimmt hatten, eine härtere Gangart erwarten können. In der Praxis unterscheidet sich das Aufsichtshandeln zwischen den Behörden, die dem Beschluss zugestimmt hatten, und denen, denen er zu undifferenziert war, kaum. Insbesondere gibt es keine Prüfoffensive: mit großer Einmütigkeit lautet die Rückmeldung der Behörden, dass es keine systematischen und so gut wie keine anlasslosen Prüfungen mit der Schwerpunkt Microsoft-Produkte gibt; wenn, gehen die Prüfungen auf konkrete Beschwerden oder Datenpannenmeldungen zurück. Ein Sprecher des Hamburger Datenschutzbeauftragten erläutert: »Dabei handelt es sich insbesondere um Prüfungen im Rahmen von Beratungsanfragen in denen es um Auskunft zur datenschutzrechtlichen Zulässigkeit des Einsatzes von bestimmten Microsoft-Produkten geht.« Teils wird explizit darauf verwiesen, dass die Ressourcen für anlasslose Prüfungen fehlen. 

Wie viele Beschwerden zu Microsoft-Produkten eingehen, ist dabei schwer zu beziffern. Die Behörden melden durchweg zurück, dass die interne Statistik eine derartige Aufschlüsselung nicht gesichert zulässt. Die Rückmeldungen zu den Beschwerden bewegen sich zwischen einstelligen Zahlen über »geschätzt unter 20« in Sachsen und »immer wieder« beim BfDI bis hin zu »zahlreiche« (Baden-Württemberg) und »Vielzahl« (Rheinland-Pfalz).

Die genannten Strategien betonen durchweg dialogisches Vorgehen wie etwa bei der Beratung der Landesregierung und von Schulen in Baden-Württemberg. »Wir versuchen Beschwerden gemeinsam mit den datenschutzrechtlich verantwortlichen Schulen im Beratungswege zu lösen. Vor dem Hintergrund, dass das Kultusministerium angekündigt hat, so schnell wie möglich eine datenschutzkonforme Bildungsplattform für die Schulen in Baden-Württemberg zur Verfügung zu stellen, sehen wir derzeit davon ab, den Einsatz von Microsoft-Produkten an Schulen unabhängig von Beschwerden pauschal zu untersagen«, teilte ein Sprecher mit. Auch in Nordrhein-Westfalen ergreife man mit Rücksicht auf die laufenden Gespräche mit Microsoft »in der Regel noch keine Maßnahmen gegen einzelne Nutzer von Microsoft-Produkten«, wobei nicht ausgeschlossen werden könne, dass doch in Einzelfällen Verwarnungen ausgesprochen wurden.

Alle Behörden verweisen wörtlich oder indirekt auf das gemeinsame Wording der Datenschutzkonferenz: »Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder hat sich bei ihrer 3. Zwischenkonferenz am 22.09.2020 erneut mit der Thematik befasst. Sie hat dabei insbesondere eine Bewertung des AK Verwaltung zustimmend zur Kenntnis genommen. Der AK Verwaltung hat die dem Einsatz des Produktes Microsoft Office 365 zu Grunde liegenden Online Service Terms (OST) sowie die Datenschutzbestimmungen für Microsoft-Onlinedienste (Data Processing Addendum / DPA) (jeweils Stand: Januar 2020) hinsichtlich der Erfüllung der Anforderungen von Artikel 28 Absatz 3 Datenschutz-Grundverordnung (DS-GVO) bewertet. Die DSK hat außerdem eine Arbeitsgruppe unter Federführung der LDA Brandenburg und des LDA Bayern ins Leben gerufen mit dem Auftrag, u. a. auf Grundlage dieser Bewertungen Gespräche mit dem Hersteller aufzunehmen, um zeitnah datenschutzgerechte Nachbesserungen sowie Anpassungen an die durch die Schrems ll-Entscheidung des EuGH aufgezeigten Maßstäbe an Drittstaatentransfers für die Anwendungspraxis öffentlicher und nicht-öffentlicher Stellen zu erreichen. Diese Gespräche dauern noch an. Ihre Ergebnisse werden in der Datenschutzkonferenz beraten.«

Fazit

Der Einsatz von Microsoft-Cloud-Produkten bleibt schwierig, der Beschluss der Datenschutzkonferenz zu Office 365 ist bei allen Unwägbarkeiten deutlich. Das Handeln der Aufsichten ist durchweg von großer Skepsis geprägt – am besten wäre es, von vornherein auf Alternativen zu setzen. Die schleswig-holsteinischen Datenschutzbeauftragte Hansen etwa verweist zustimmend auf die Open-Source-Pläne des Landes.

Wer dennoch entsprechende Cloud-Produkte einsetzt, muss trotz der bislang ausbleibenden Ausnutzung des ganzen möglichen Maßnahmen- und Sanktionskatalogs seitens der Aufsichten mit kritischen Nachfragen und einer Beratung mit klarer Zielrichtung rechnen, wenn man durch Beschwerden oder Pannen in den Fokus der Aufsichten gerät. Diese einhellige Strategie der Aufsichten ist einerseits positiv zu bewerten: Service statt Sanktion. Der Verzicht auf Rechtsmittel, gegen die wiederum der Rechtsweg beschritten werden könnte, führt dazu, dass eine gerichtliche Klärung ausbleibt: Ein konziliantes Vorgehen der Aufsichten ohne Verwaltungsakte eröffnet kaum Wege, die rechtlich nicht bindenden Beschlüsse der Datenschutzkonferenz und Positionen der Aufsicht verbindlich zu überprüfen.

Im Bereich des kirchlichen Datenschutzes ist ein ähnliches Vorgehen zu erwarten: Keine aggressiven Prüfungen, kaum formelle Maßnahmen – aber klare Ansagen bei der Beratung. Die vor kurzem von der katholischen Datenschutzkonferenz veröffentlichten technischen Hinweise zur Konfiguration von Windows 10 und die Empfehlungen des EKD-Datenschutzbeauftragten aus dem vergangenen Jahr deuten darauf hin, dass hier realistisch eher auf Risikominimierung im kaum abwendbaren Einsatz als auf eine Sanktionierung gesetzt wird. (Ein Überblick zu Äußerungen der kirchlichen Aufsichten ist bei Amos IT gesammelt.) Klar ist aber auch: Wenn sich der Wind bei den staatlichen Aufsichten dreht, etwa wenn die Gespräche mit Microsoft scheitern, und wenn dort der Maßnahmenkatalog ausgeschöpft wird, wird auch im kirchlichen Bereich mit einer analogen Reaktion zu rechnen sein. Der Hinweis aus dem Kirchlichen Datenschutzzentrum Frankfurt aus 2019 bleibt also aktuell: Eine Exit-Strategie sollte im Blick sein.