Die mit der Nutzung außereuropäischer Softwareprodukte wie Microsoft 365 verbundene Problematik gründet auf technischen und rechtlichen Gegebenheiten. So lässt sich bei der Nutzung eine Übermittlung bestimmter Nutzungsdaten, wie z.B. der IP-Adresse, in der Regel nicht vermeiden (Näheres hierzu s.u.). Auch kann nicht ausgeschlossen werden, dass der Anbieter bestimmte Nutzungsdaten für eigene Zwecke verwendet oder an Werbepartner weitergibt.

Für die Übermittlung personenbezogener Daten ist eine rechtliche Grundlage erforderlich. Diese kann sich entweder aus gesetzlichen Übermittlungsbestimmungen oder über die Möglichkeit, die derartige Inanspruchnahme eines Dienstleisters als Auftragsverarbeitung gem. Art. 28 Abs. 3 Datenschutz-Grundverordnung (DS-GVO) vertraglich auszugestalten.

Ein grundsätzliches Problem liegt allerdings darin, dass in die USA übermittelte personenbezogene Daten unter rechtlichen Bedingungen verarbeitet werden, die nicht dem europäischen Datenschutzniveau entsprechen.

Nachdem der Europäische Gerichtshof (EuGH) mit Urteil vom 16. Juli 2020 (Rechtssache 311/18; „Schrems II“) das sog. Privacy Shield für ungültig erklärt hat, können Datenübermittlungen in die USA jedoch nicht mehr auf dieses Instrument gestützt werden. Der EuGH hat seine Entscheidung u.a. damit begründet, dass Sicherheitsbehörden in den USA die Möglichkeit haben, massenhaft auf Daten, welche bei US-amerikanischen Unternehmen gespeichert sind, zuzugreifen und europäische Nutzerinnen und Nutzer diese Überwachungsmaßnahmen nicht gerichtlich überprüfen lassen können.

Die in Art. 44 ff. DS-GVO genannten rechtlichen Voraussetzungen für eine Datenverarbeitung in den USA sind mit dem Wegfall des Privacy Shields derzeit kaum zu erfüllen.

Soweit die Datenverarbeitung durch einen außereuropäischen Anbieter auf sog. EU-Standard-Datenschutzklauseln, also Musterverträge, gestützt wird, liegen entsprechende Muster vor; diese sind vielfach Bestandteil entsprechender Verträge auch mit US-amerikanischen Dienstleistern. Nach der Schrems II-Entscheidung des EuGH sind bei Übermittlungen personenbezogener Daten in die USA jedoch zusätzliche Maßnahmen zu ergreifen, die sicherstellen, dass ein im Wesentlichen gleichwertiges Schutzniveau wie in der EU gewährleistet wird. Hier bedarf es allerdings noch der Klärung, welche konkreten Maßnahmen im Licht dieser vom EuGH klargestellten Anforderung und mit Blick auf die unterschiedlichen Nutzungsszenarien in Betracht kommen.

Hinsichtlich Microsoft 365 gibt es weiterhin Regelungen in den Nutzungsbedingungen (Online Service Terms OST) bzw. den Datenschutzbestimmungen (Date Processing Agreement DPA), die den datenschutzrechtlichen Anforderungen aus der DSGVO an die Transparenz der Datenverarbeitung, die Einwirkungsmöglichkeiten des Auftraggebers, die Zwecke der Datenverarbeitung oder die Löschung von Daten nicht entsprechen.

Die Entscheidung des OLG Karlsruhe (Beschluss vom 7.9.2022, Az.: 15 Verg 8/22) betrifft inhaltlich das Vergaberecht und nicht die datenschutzrechtlichen Regelungen der Datenschutz-Grundverordnung (DS-GVO). Entscheidungsmaßstab waren daher die Bestimmungen des Gesetzes gegen Wettbewerbsbeschränkungen sowie der Verordnung über die Vergabe öffentlicher Aufträge. Die Regelungen bezüglich der Verantwortlichkeiten nach der Datenschutz-Grundverordnung (DS-GVO) sowie die restriktiven Vorgaben des Europäische Gerichtshofs (Urteil vom 16.7.2020 „Schrems-II)“ hinsichtlich Datenübermittlungen in die USA wurden vom OLG Karlsruhe in dem vorliegenden Kontext insoweit nicht näher erörtert.

Das OLG Karlsruhe hat entschieden, dass im Fall einer Vergabe öffentlicher Aufträge die Zusicherung eines Bieters, er könne ein rechtmäßiges und damit auch datenschutzkonformes Produkt bzw. eine entsprechende Leistung anbieten, nicht von vornherein in Zweifel gezogen werden darf. Das gilt auch für Bieter, die digitale Anwendungen anbieten. Auf dieser Grundlage ist das Vergabeverfahren durchzuführen. Der Bieter trägt dann dafür die Verantwortung. Damit wird nichts über konkrete Anwendungen, Produkte oder Leistungen gesagt, sondern lediglich die Rolle des Bieters im Verfahren geschärft.

Im Fall einer Auftragsverarbeitung - wie dies bei der Verwendung von Softwareprodukten der Fall ist - bleibt ohnehin der Auftraggeber nach den Bestimmungen der DS-GVO für die ordnungsgemäße Datenverarbeitung verantwortlich (Art. 4 Nrn. 7 und 8, Art. 24 ff. DS-GVO). Art. 24 Abs. 1 DS-GVO sieht in diesem Zusammenhang vor, dass der Verantwortliche nicht nur sicherzustellen, sondern auch den Nachweis dafür zu erbringen hat, dass die Auftragsverarbeitung gemäß der Datenschutz-Grundverordnung erfolgt.

Das alleinige Vertrauen auf vertragliche Zusicherungen eines Auftragnehmers hinsichtlich der Datenschutzkonformität eines Produkts wäre mit diesen hohen Anforderungen nicht in Einklang zu bringen. Die Entscheidung des OLG Karlsruhe wird daher aller Voraussicht nach nicht dazu führen, dass die Datenschutzaufsichtsbehörden ihre bisherigen Stellungnahmen zur Nutzung außereuropäischer Softwareprodukte im schulischen Kontext ändern.

Die Datenschutzaufsichtsbehörden stehen - genauso wie die KMK - mit Microsoft in einem ständigen Austausch. Unlängst wurde bekannt, dass Microsoft neue Vertragsregelungen mit datenschutzrechtlichen Verbesserungen veröffentlicht hat, die derzeit von den Aufsichtsbehörden geprüft werden. Sie sind wohl u.a. eine Reaktion auf die Anregungen und Empfehlungen der Datenschutzaufsichtsbehörden und damit ein Schritt in die richtige Richtung, der aber noch nicht ausreicht.

In diesem Zusammenhang ist zu erwähnen, dass das Land Hessen eine Ausschreibung im Hinblick auf die an Schulen einzusetzenden Softwareanwendungen und insbesondere Videokonferenzsysteme vorgenommen hat. Dort hat ein in Hessen ansässiger Anbieter, der auf der Basis von BigBlueButton arbeitet, die Ausschreibung gewonnen. Damit ist auch in Hessen geplant, dass die Schulen künftig flächendeckend diese Anwendung einsetzen und andere Anwendungen nicht mehr nutzen (s. Pressemitteilung unter: https://kultusministerium.hessen.de/digitalisierung/landesweites-videokonferenzsystem-fuer-schulen).

Aktuellen Presseverlautbarungen ist zu entnehmen, dass US-Präsident Biden eine Executive Order für ein neues EU-US Data Privacy Framework unterzeichnet hat. Dem Vernehmen nach führt diese Order eine Reihe neuer Rechte für EU-Bürger:innen bei Überwachungsmaßnahmen von US-Sicherheitsbehörden ein. Allerdings liegt noch kein Text vor. Auf Grundlage dieser Executive Order wird die Europäische Kommission erneut einen Angemessenheitsbeschluss für die USA fassen, um die Übermittlung personenbezogener Daten in die USA zu ermöglichen. Dieser wird wohl frühestens Anfang 2023 erfolgen und unmittelbar gerichtlich angegriffen werden. Mittelfristig ist daher nicht mit einer rechtssicheren Situation zu rechnen.

Die datenschutzrechtlichen Probleme betreffen in erster Linie die Cloud-basierten Produkte, wie sie insbesondere häufig an Schulen eingesetzt werden. Exemplarisch für den Schulbereich finden sich hier Hinweise, unter welchen Voraussetzungen ein Einsatz von Microsoft 365 datenschutzrechtlich zulässig sein kann. Hierzu zählen

1. Der Betrieb von Microsoft 365 auf eigenen IT-Strukturen des Verantwortlichen („on-Premises-Lösung“) oder bei Stellen innerhalb der EU/des EWR, die keiner Herausgabepflicht nach dem US-CLOUD-Act unterliegen. (Hinweis: Die aktuellen Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) sehen ebenfalls einen Verzicht auf die Cloud-Speicherung vor; IT-Grundschutzkompendium Baustein APP.1.1.A12 Verzicht auf Cloud-Speicherung).
2. Die Unterbindung der Übertragung von Telemetrie-Daten beim Einsatz von Microsoft 365 bzw. dem darunterliegenden Windows-Betriebssystem. Bei Windows 10 Enterprise kann eine Datenübermittlung an Microsoft durch Einstellungen im Betriebssystem weitgehend unterbunden werden.
3. Hierzu hat die Konferenz der Datenschutzaufsichtsbehörden des Bundes und der Länder Empfehlungen ausgesprochen
   - www.datenschutz.rlp.de/de/themenfelder-themen/windows-10/
   - www.datenschutzkonferenz-online.de/media/dskb/TOP_30_Beschluss_Windows_10_mit_Anlagen.pdf
   - www.datenschutzkonferenz-online.de/media/ah/20191106_win10_pruefschema_dsk.pdf
   sind daher zu berücksichtigen.
4. Eine Filterung bei der Übermittlung personenbezogener Telemetriedaten über eine entsprechende Infrastruktur (Firewall) soweit diese nicht durch Konfigurationsvorgaben unterbunden werden kann. Hier haben die Verantwortlichen durch vertragliche, technische oder organisatorische Maßnahmen sicherzustellen, dass nachweislich keine Übermittlung von Telemetriedaten an Microsoft stattfindet (Anmerkung: Im Rahmen eines Pilotprojektes in Baden-Württemberg, bei der eine schulbezogene Microsoft 365-Version eingesetzt wurde, war dies nach Auskunft des LfDI Baden-Württemberg allerdings nicht möglich. Eine entsprechende Filterung kann daher mit notwendigen funktionalen Einschränkungen verbunden sein.
5. Eine auf die sog. EU-Standard-Datenschutzklauseln gestützte Datenverarbeitung (Musterverträge). Nach der Schrems II-Entscheidung des EuGH sind bei Übermittlungen personenbezogener Daten in die USA jedoch zusätzliche Maßnahmen zu ergreifen, die sicherstellen, dass ein im Wesentlichen gleichwertiges Schutzniveau wie in der EU gewährleistet wird. Hier bedarf es allerdings noch der Klärung, welche konkreten Maßnahmen im Licht dieser vom EuGH klargestellten Anforderung und mit Blick auf die unterschiedlichen Nutzungsszenarien in Betracht kommen (Anmerkung: Rechtliche Mängel der Muster-Verträge zur Auftragsverarbeitung hinsichtlich MS Teams, insb. unzulässige Abweichungen von den Vorgaben des Art. 28 DS-GVO -  zusammengefasst von der Berliner Datenschutzbeauftragten mit Stand 2020, S. 20).
6. Die Verwendung dienstlicher pseudonymer Mailadressen/Accounts (idealerweise temporär aus einem Pool) und das Verbot der Nutzung privater Microsoft Accounts
7. Die Nutzung über einen vorkonfigurierten und abgesicherten Browser mit integrierten Schutzmaßnahmen zur weitest gehenden Anonymisierung/Gleichschaltung der Metadaten.
8. Die Zwischenschaltung entsprechend vorkonfigurierter Terminal-Clients zur weitest gehenden Anonymisierung/Gleichschaltung der Metadaten.
9. Die Verwendung schulseitig bereitgestellter und datensparsam konfigurierter Endgeräte.
10. Die Umleitung des Internetverkehrs über eine eigene Infrastruktur mit geeigneten technischen Maßnahmen zur Verschleierung der heimischen IP-Adressen.

Bei der Nutzung von Softwarepaketen wie z.B. Microsoft 365 oder entsprechender Cloud-Lösungen, können personenbezogene oder personenbeziehbare Daten auf verschiedenen Ebenen entstehen.

Microsoft differenziert in diesem Zusammenhang zwischen „Kundendaten“ als alle Daten, einschließlich sämtlicher Text-, Ton-, Video- oder Bilddateien und Software, die Microsoft vom oder im Namen des Kunden durch die Nutzung bereitgestellt werden, „Diagnosedaten“ die Microsoft aus Software erhebt oder erhält, die vom Kunden im Zusammenhang mit dem Onlinedienst lokal installiert wurde (diese werden teilweise auch als Telemetriedaten bezeichnet) und „Dienstgenerierte Daten“, die Microsoft im Zuge des Betriebs eines Onlinediensts generiert oder ableitet.

In großem Umfang werden dabei Daten über die individuelle Nutzung von Word, Excel, PowerPoint und Outlook, Teams und anderer Anwendungen und Dienste gesammelt. Dies geht weit über den Aufruf eines Programms oder die Dauer der Nutzung hinaus. Microsoft sammelt beispielsweise Informationen über Ereignisse in Word, z.B. wenn die Rücktaste mehrmals hintereinander betätigt wird, aber auch der Satz vor und nach einem Wort, das in der Online-Rechtschreibprüfung nachgeschlagen wird. Über die eingebaute Telemetrie-Komponente werden nicht nur Nutzungsdaten der primär genutzten Anwendungen erfasst, sondern auch die individuelle Nutzung verbundener Dienste wie den Übersetzungsdienst oder die Microsoft Suchmaschine Bing sowie Daten über das genutzte Endgerät, die Adresse des Internet-Zugangs (IP-Adresse), Standortdaten u.a. mehr.
 

Im Rahmen einer im Auftrag des niederländischen Justizministeriums 2018 durchgeführten Untersuchung hat Microsoft erklärt, dass 23.000 bis 25.000 Arten von Ereignissen an die Server von Microsoft gesendet werden und dass bis zu 30 Teams mit diesen Daten arbeiten (DPIA Office 365 ProPlus version 1905, Seite 70). Eine Übersicht zu den im Rahmen von Microsoft 365 erhobenen Diagnosedaten stellt Microsoft zwar zur Verfügung (Microsoft gibt für dieses Dokument eine Lesezeit von ca. 7,5 Stunden an)). Allerdings bleibt dennoch vielfach unklar, welche Daten konkret gesendet werden, da die Übertragung häufig verschlüsselt erfolgt und die Daten somit im Rahmen einer Prüfung nicht eingesehen werden können. Insgesamt fehlt es hinsichtlich der von Microsoft verarbeiteten Daten bislang an einer der Datenschutz-Grundverordnung genügenden Transparenz. Gerade auch die Verwendung von Daten aus dem schulischen Kontext bleibt unklar. Daher können Missbräuche nicht ausgeschlossen werden.

Bei den Diagnose- oder dienstgenerierten Daten handelt es sich in den meisten Fällen um technische Informationen, die für sich genommen keinen direkten Personenbezug haben. Allerdings können diese einer eindeutigen, zur Nutzerin bzw. dem Nutzer gehörenden UserID zugeordnet werden bzw. stellen eindeutige Identifikatoren dar. Untersuchungen haben gezeigt, dass aufgrund der Vielzahl der Informationen auch bei der Nutzung pseudonymer Benutzerkonten eine Re-Identifizierung möglich ist.

Die für die Verarbeitung Verantwortlichen sind verpflichtet, technische und organisatorische Maßnahmen zu ergreifen, die Schutz bieten vor unbefugter oder unrechtmäßiger Verarbeitung (Art. 5 DSGVO). Hinsichtlich der Übertragung von Telemetriedaten sind dabei insbesondere folgende Maßnahmen von Bedeutung:

• Prüfung der Datenübertragungen an Microsoft. Dies sollte exemplarisch den Datenverkehr, der Benutzercomputer verlässt, und seine Ziele abdecken, um den Datenfluss von Microsoft-Software zu Microsoft-Servern oder anderen Zielen herauszufinden. Dabei sollten insbesondere die normalen Nutzungsmuster der eingesetzten Microsoft-Produkte und -Dienste abgedeckt werden.
  
  Für die Analyse von Diagnosedaten unter Windows 10 und bei Office Produkten stellt Microsoft den Diagnosedaten-Viewer (DDV) zur Verfügung: https://support.microsoft.com/de-de/office/verwenden-des-diagnosedaten-viewers-mit-office-cf761ce9-d805-4c60-a339-4e07f3182855

• Nutzung produktseitig vorhandener Konfigurationsmöglichkeiten, um die Übertragung von Diagnose-/Telemetriedaten zu unterbinden (siehe z.B. https://www.datenschutz.rlp.de/de/themenfelder-themen/windows-10/ ). 
  
  Innerhalb der Office-Produkte bietet Microsoft eine Reihe sogenannter "Steuerelemente" an, mit denen die Erfassung/Übertragung von Diagnosedaten konfiguriert werden kann:
  
  https://docs.microsoft.com/de-de/deployoffice/privacy/products-versions-privacy-controls 
  https://docs.microsoft.com/de-de/deployoffice/privacy/overview-privacy-controls 

• Soweit entsprechende Konfigurationsmöglichkeiten nicht zur Verfügung stehen, sind , um die Übermittlung personenbezogener Telemetriedaten zu unterbinden, mittels vertraglicher, technischer oder organisatorischer Maßnahmen (z. B. durch eine Filterung der Internetzugriffe über eine entsprechende eigene Infrastruktur des Verantwortlichen) sicherzustellen, dass nachweislich keine Übermittlung von Telemetriedaten an Microsoft stattfindet.

• Überwachung von Microsoft-Produktupdates und Prüfung Konfiguration etwaiger damit verbundener Konfigurationsänderungen.

• Wenn Microsoft-Produkte und -Dienste eingesetzt werden sollen, die zuvor noch nicht verwendet wurden, sind vor der Bereitstellung Bewertungen der Datenschutzrisiken dieser Produkte und Dienste durchführen.

Weitere Informationen:

Veröffentlichung des Europäischen Datenschutzbeauftragten "Outcome of own-initiative investigation into EU institutions’ use of Microsoft products and services" (2 July 2020)

https://edps.europa.eu/sites/edp/files/publication/20-07-02_edps_euis_microsoft_contract_investigation_en.html#technical-measures

Die aktuelle Microsoft 365 Version für Android oder iOS setzt auf Cloud-Funktionalitäten auf. Um das Paket nutzen zu können ist ein Microsoft-Account erforderlich. Zwar lässt sich nach der Installation auswählen, ob Dokumente in der Cloud oder lokal gespeichert werden, hinsichtlich der Verarbeitung von Telemetrie oder Nutzungsdaten ist dies allerdings nicht von Bedeutung.

Solche Daten entstehen, wie aus Informationen von Microsoft herausgelesen werden kann. Hierfür wird vom Hersteller ein dedizierter Diagnosedaten-Viewer (DDV) angeboten. Der Umfang dieser Daten kann ggf. reduziert werden, abhängig davon, welche optionalen Dienste konfiguriert sind.

Microsoft bietet sogenannte "Steuerelemente an, mit den die Erfassung/Übertragung von Diagnosedaten konfiguriert werden kann (Android / iOS).

Bei einer dienstlichen oder geschäftlichen Nutzung und einer Übermittlung von Diagnosedaten in die USA sind damit die sich aus dem EuGH-Urteil 311/18 (Schrems II) ergebenden Anforderungen zu erfüllen. Wenn ein Arbeitgeber dies anordnen oder verlangen würde, benötigte er eine Rechtsgrundlage für die Übermittlung.

Durch pseudonyme Microsoft-Accounts kann ein direkter Personenbezug zwar reduziert werden, aufgrund der Menge der Daten (s.o.) und der individuellen gerätebezogenen Daten ist jedoch davon auszugehen, dass eine Re-Identifizierungsmöglichkeit besteht.