Bevor wir zum aktuellen Stand kommen, hier noch einmal der Link zum Artikel „Die DSK und Microsoft 365, die Xte und hoffentlich letzte…“ vom 03.12.2022.
In einem „Datenschutzausblick“ Anfang des Jahres wurde auf den DSK Beschluss in einer Fragerunde eingegangen und folgende Punkte wurden hervorgehoben.
WICHTIG: Die Punkte lassen sich auch auf andere Dienstleister übertragen.
- Das Recht von MS pb-Daten für eigene Zwecke zu verwenden.
Nicht mitgeteilt wurde, welche pb-Daten, zu welchen Zwecken und auf welcher Rechtsgrundlage verarbeitet werden.
Auch darf der Verantwortliche nur Daten zur Verfügung stellen, wenn eine Übermittlungsgrundlage gegeben ist. - Einschränkung des Weisungsrechts
Diensteanbieter mit Sitz außerhalb des EWR nehmen sich das Recht heraus, pb-Daten ggf. weiterzugeben, wenn behördliche oder gesetzliche Grundlagen gegeben sind.
Dies entspricht jedoch keinmr weisungsgebundenen Vorgang. - Garantien über Sicherheitsmaßnahmen (Art. 32 DSGVO) betreffend
Im November betraf dies nur Daten der Core- und Professional Dienste. - Rückgabe und Löschpflichten nach Art. 28 II DSGVO sind nicht erfüllt.
- Unterauftragsnehmer
Nach Art. 28 DSGVO müssen folgende Informationen gegeben sein: Name, Anschrift, Aufgabe, welche Daten, welche Tätigkeiten werden durchgeführt. - Datenübermittlung in die USA ohne entsprechende Schutzvorkehrungen
Nicht jedes Datum ist gesichert oder verschlüsselt und ermöglicht so einen potentiellen Zugriff. Minderung ist durch die EU-Datengrenze (außer Active Directory und Daten zur Gewährleistung der Security) und den vermutlich neuen Angemessenheitsbeschluss zu erwarten.
Auch wenn sich die Aufsichtsbehörden weiterhin eher zurückhaltend zeigen werden, sind folgende Punkte zu beachten:
- Die Betroffenen haben die Möglichkeit Schadensersatz nach Art. 82 DSGVO vom Verantwortlichen zu fordern.
Ob dies erfolgreich sein wird ist unbekannt und eigentlich als bedauerlich einzuordnen, dass die Verantwortung beim Einzelnen liegt. - Die Aufsichtsbehörden gehen Beschwerden nach.
- Die Aufsichtsbehörden stellen klar, dass es sich um keine Produktwarnung handelt.
- Bei öffentlichen Stellen fehlt eine Rechtsgrundlage, damit ein Dienstleister / Auftragsverarbeiter pb-Daten für eigene Zwecke verarbeiten darf.
Somit scheidet der Einsatz grundsätzlich für staatliche Schulen aus.
Was beim letzten Punkt auffällt, dass je nach Konstellation eine Verarbeitung möglich, bzw. nicht möglich ist, wobei sich hierbei die Frage nach dem Schutzgut des Datenschutzes stellt. Immerhin soll Datenschutz Menschen vor Organisationen schützen.
Warum ein Beschäftigter eine Verarbeitung hinnehmen muss und ein SuS in Schulen nicht, ist vielleicht noch eher erklär- aber nicht komplett nachvollziehbar.
Wo der Autor dann geistig aussteigt, wenn bei Kindern in staatlichen Schulen eine Verarbeitung nicht möglich ist, bei Schulen in privater Trägerschaft jedoch schon, da Art. 6 I lit. f DSGVO greift. Ganz zu Schweigen von der potentiellen Möglichkeit für private Kitas, soziale Einrichtungen, etc.
Dies macht irgendwie die ganzen, seit Jahren vorgetragenen Bedenken durch die Verarbeitung von großen Dienstleistern außerhalb des EWR obsolet. Was nicht alles vorgetragen wurde, von der großen Sensibilität bei derartigen Grundrechtseingriffen, Auswirkungen auf das spätere Leben durch bspw. Auswertung staatlicher Stellen, Profiling durch Unternehmen, usw. usf.
Hier stellt sich dann schon die Frage, ob das jetzt eigentlich alles so schlimm ist, wenn „nur ein Wörter auf Papier“ fehlen, da dies dann doch keine großen tatsächlichen Auswirkungen auf die persönliche Entwicklung, Grundrechte und Freiheiten einer Person oder gesellschaftspolitische Auswirkungen hat?
Irgendwie lässt das einem etwas ratlos zurück und es fällt schwer, ein Urteil darüber zu fällen. Und dabei wurden Themen wie, „Public Money – Public Code“, „digitale Souveränität“, „freie Software“ hier noch nicht einmal angesprochen.
Aus technischer Sicht und aus Sicherheitsaspekten wird dem Produkten von Microsoft aus Behördensicht oftmals viel wohlwollen entgegengebracht.
Dennoch, wenn nach den ganzen Jahren der Auseinandersetzung, Diskussion und Dialog immer noch kein klares Bild vorherrscht, was sagt dass dann über die anderen Player, wie Meta, Google, Apple, Zoom, etc. aus, die nicht so intensiv thematisiert wurden? Ist dann Microsoft der „Einäugige unter den Blinden“?
Abschließend noch eine interessante Einschätzung aus dem Podcast „Auslegungssache Nr. 76“, ab ca. Minute 10:
„Die neue Hoffnung aus einem Mix von Angemessenheitsbeschluss, der auf einer Executive Order fußt und weniger belastbar sein soll, als der alte Beschluss wird vermutlich materiell-rechtlich nicht bestehen können. Praktisch hat man jedoch für ca. 3 Jahre Ruhe, da sich auf den neuen Angemessenheitsbeschluss berufen werden kann.“
Quellen finden sich im Cryptopad zum „Stand von MS 365 und Datenschutz“