Logo Tobias Lange Unternehmensberatung

Tobias Lange

Unternehmensberater
Externer Datenschutzbeauftragter
Hamburg, den 05. Juli 2021

DATENSCHUTZ NEWSLETTER

Liebe Kund*innen und Abonnent*innen des Newsletters,

ich freue mich Ihnen eine neue Ausgabe des Newsletters übersenden zu können und habe folgende Themen für Sie ausgesucht:
  1. Datenschutz in der Justiz
  2. Aktuelles aus dem Datenschutz
  3. Mitarbeiter*innenüberwachung in Unternehmen
  4. Transparenz und Einwilligung
  5. Microsoft 365

1. Datenschutz in der Justiz

Aus aktuellem Anlass möchte ich mich einmal mit dem Datenschutz in der Justiz befassen. Auch die Justiz, wie alle Behörden und staatlichen Organisationen, unterliegt dem Datenschutz und der DS-GVO. Es müssen sowohl die gesetzlichen Bestimmungen zum Datenschutz eingehalten als auch eine angemessene IT-Sicherheit gewährleistet werden. Wenn wir auf letzteres gucken, die IT-Sicherheit, dann kann man das Thema in einem einzigen Satz abarbeiten: In der Regel ist die IT-Sicherheit auf einem Niveau, dass einen angemessenen Schutz nicht gewährleistet! Und es sieht auch nicht danach aus, dass sich in den staatlichen Institutionen bei der IT-Sicherheit flächendeckend in den nächsten Jahren etwas ändern wird. Es würde hierfür sehr großer Investitionen bedürfen.

Was hingegen keine Frage des Geldes ist, ist die einfache Handhabung von Datenschutz in den Gerichtsverfahren. Hier sind es die Sachbearbeiter und Richter, die den Datenschutz einfach nur umsetzen müssen. Man müsste denken, dass, da hier alle Rechtspfleger, Richter und Juristen aller Art sind, die Umsetzung dadurch wie von selbst läuft und man natürlich den Datenschutz einhält. Leider ist das so nur Theorie. In der Praxis sieht es nicht so aus. Die Gerichte agieren beim Datenschutz, wie alle anderen Behörden und staatlichen Institutionen auch, ohne großes Interesse für eine korrekte Umsetzung. Das ist vor allem auch einer deutlichen Unterbesetzung im Verhältnis zum Arbeitsaufwand geschuldet. Aber in der Justiz hat es darüber hinaus auch noch mit den veralteten Prozessordnungen zu tun, in denen der Datenschutz de facto nicht vorkommt. Diese, aber auch das durch das Grundgesetz geschützte faire Verfahren als hohes Rechtsgut, müssen eingehalten werden. Daher tut man sich schwer Daten zu Schwärzen oder nicht allen Parteien eines Verfahrens offenzulegen, auch wenn die Schutzbedürftigkeit Betroffener deutlich höher zu werten ist als ein Vorteil für eine Partei im Verfahren. Hier überwiegt die Angst, dass Verfahren wegen Formfehlern für nichtig erklärt werden.

Es gibt sehr deutlichen Reformationsbedarf bei den Straf- und Zivilprozessordnungen. Diese müssten auf einen modernen Datenschutz angepasst werden. Ein solches Vorhaben könnte man auch mit einer Verbesserungen für den Opferschutz im Strafrecht verbinden, der teilweise auch überarbeitet werden sollte. Denn niemand, der eine Straftat anzeigt, möchte, dass der Täter aus der Akte an die Adresse kommt und jederzeit vorbeischauen kann.



2. Aktuelles aus dem Datenschutz

Am 10 Juni 1976, daran möchte ich einmal erinnern und glaube, dass die Tatsache vielen gar nicht so bekannt ist, wurde das erste Bundesdatenschutzgesetz verabschiedet. Es feiert damit seinen 45ten Geburtstag und es ist gar nicht so, wie oftmals wahrgenommen, dass der Datenschutz erst mit der DS-GVO begonnen hat.

Ich möchte ferner auf Art. 9 DS-GVO kurz eingehen. Hier werden die besonderen Kategorien personenbezogener Daten mit hohem Schutzbedarf behandelt. Das sind rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, die Gewerkschaftszugehörigkeit, genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten und Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person. Die Verarbeitung solcher Daten ist grundsätzlich untersagt und nur unter sehr bestimmten sicheren Voraussetzungen legal. Im Umkehrschluss heißt dieses jedoch nicht, dass alle personenbezogenen Daten, die nicht unter vorgenannte Kategorien fallen, grundsätzlich keinem hohen Schutzbedarf unterliegen. Ob personenbezogene Daten einen hohen Schutzbedarf haben oder nicht, ist immer im Einzelfall, anhand des potentiellen Risikos für eine betroffene Person, zu bewerten. Im konkreten Fall, der mir hier vor Augen ist, hat ein Unternehmen der Sicherheitstechnik Schlüssel-Codes für seine Kunden gespeichert, anhand derer Schlüssel für Schließzylinder nachbestellt hätten werden können. Im Rahmen einer Datenpanne in Bezug auf diese Codes argumentierte das Unternehmen angemessene technische und organisatorische Maßnahmen eingehalten zu haben und zu mehr nicht verpflichtet gewesen zu sein, weil diese Codes nicht unter den Art. 9 der DS-GVO fallen und daher auch nicht besonders schutzbedürftig sind. Man kommt nicht umhin darüber nachzudenken, ob die "Vereinigung der Berufskriminellen" sich diese Argumentation ausgedacht hat, anstatt ein Unternehmen der Sicherheitstechnik. Wenn solche Codes mit Adressdaten abhanden kommen, dann kann jeder sich die Tür öffnen und ein Haus ausräumen. Folglich haben solche Codes einen sehr hohen Schutzbedarf und müssen entsprechend gesichert sein.

Dann etwas aus dem persönlichem Bereich: Es kommt immer wieder vor, dass mich x-beliebige Dritte im Internet finden und anrufen, um ihre Anliegen mal zu besprechen. So hatte ich neulich jemanden am Telefon, der mich bat ihm seine Windows-XP Rechner upzudaten, damit er wieder datenschutzkonform ist. Ich habe freundlich erklärt, dass das niemand kann, weil Microsoft schon seit 2014 keine Updates mehr dafür zur Verfügung stellt. Daraufhin hat er mich als inkompetent bezeichnet, mit zahlreichen Flüchen belegt und aufgelegt. Besonders kreativ war folgender Anruf: Ein Herr meldete sich und sagte, dass er (richtiger Weise) gehört hat, dass für Südkorea ein Angemessenheitsbeschluss kommt und das Land damit als datenschutzkonform im Sinne der DS-GVO gilt. Er wollte daher Rat dazu haben, ob er jetzt sein I-Phone verkaufen und stattdessen ein Samsung Smartphone (Firmensitz Südkorea) kaufen sollte. Und ob nicht jetzt alle aus Datenschutzgründen nur noch Samsung Smartphones benutzen dürften? Besonders problematisch sah er die Anschaffung von I-Pads in der Schule seines Kindes. Ich habe dann mal seinen Wohnsitz nachgefragt. Der war in Schleswig-Holstein. Daher habe ich ihm die Nummer des Datenschutzzentrums Kiel als zuständige Aufsicht gegeben. Das mit der Bemerkung, dass ich glaube, dass er hier etwas "wirklich Großen" auf der Spur ist und das unbedingt an der richtigen Stelle vortragen muss. Dem pflichtete er mir bei und bedankte sich für den guten Rat. Guten Rat gebe ich immer gerne!

In Deutschland ist ein Quantencomputer in Betrieb genommen worden. Genaugenommen irgendwo bei Stuttgart. Die Metapher, dass der Quantencomputer auch einen Quantensprung in der Fortentwicklung darstellt, trifft es sehr gut. Aus Sicht des Datenschutzes ist es aber eine durchaus auch besorgniserregende Entwicklung. Derzeit schützen wir Daten und Systeme durch Verschlüsselung. Das funktioniert, weil niemand genügend Rechenleistung besitzt, um diese Schlüssel zu errechnen und so zu knacken. Mit Quantencomputern ändert sich das. Herkömmliche Schlüssel können binnen weniger Minuten durchprobiert und gefunden werden. Somit wird in Zukunft auch in anderer Methodik verschlüsselt werden müssen. Dabei wird aber die Übergangsphase, in der herkömmliche Systeme und Quantencomputer parallel laufen, zum Problem werden, wenn die Quantentechnik in der Lage ist alle herkömmliche Technik angreifen zu können. In Hinblick auf die Sicherheit von Daten und Systemen stellen sich mir für das neue Zeitalter der Datenverarbeitung sehr viele Fragen, auf die es noch keine Antworten gibt.

In Schweden haben in den vergangenen Tagen 800 Supermärkte der Kette "coop" die Türen geschlossen. Grund ist ein Hackerangriff mit Ransomware auf den amerikanischen Dienstleister "Kaseya". Es sind alle Kassenterminals betroffen und der Verkauf von Ware ist dadurch nicht mehr möglich. Es handelt sich um einen der schwerwiegendsten Angriffe weltweit bisher. Auch in Deutschland sind Firmen Betroffen. Der Angriff zählt zu den sogenannten Suplly-Chain- Attacks, wo ein Software-Zulieferer gehackt wird, um so dessen Endkunden zu erreichen. Medienberichten nach soll der Angriff sehr einfach gewesen sein, weil es in der Software von Kaseya eine sehr simple Sicherheitslücke gab. Die Hacker fordern 70 Millionen Dollar Lösegeld für die Freigabe aller Systeme weltweit. Das Kaseya ein Update zur Verfügung stellt hilft den betroffenen Unternehmen nicht mehr. Helfen tut hier, wie immer, wenn man aktuelle Backups besitzt und auch regelmäßig geprobt hat, wie man diese schnell und sicher einspielt. Leider fehlt es bei vielen Unternehmen immer noch an einem Bewusstsein hierfür. Ein Versäumnis, das teuer zu stehen kommt.

Die Angemessenheitsbeschlüsse für Großbritannien wurden, wie es nicht anders zu erwarten war, im Eilverfahren durchgewunken. In Sachen Datenschutz ist Großbritannien damit kein unsicheres Drittland und alles kann hier, wie zu Zeiten der EU-Mitgliedschaft, weiterlaufen. Bemerkenswert ist aber, dass die Kommission den Beschluss entgegen des Votums des Europäischen Parlaments ausgestellt hat.

Die Europäische Kommission hat im Juni auch aktualisierte Standardvertragsklauseln herausgegeben, die das Schrems-II Urteil umsetzen. Unternehmen, die Datenaustausch mit unsicheren Drittländern betreiben, haben 18 Monate Zeit darauf umzusteigen. Gleichzeitig haben die deutschen Aufsichtsbehörden begonnen ihre angekündigten Fragebögen zu solchen Transfers herauszuschicken.

Laut einer Studie der Universität Göttingen, die in mehreren Medien zitiert wird, arbeiten nur ca. 70% der Lehrer*innen an Schulen, an denen es WLAN für Lehrkräfte gibt. Die Hälfte aller Schulen hat kein WLAN für Schüler*innen. Leider gibt es keine Studie dazu, wie viele Lehrer*innen an Schulen mit WLAN über digitale Endgeräte des Arbeitgebers verfügen und den Datenschutz umsetzen.

Im Rahmen der Ermittlungen zu rechtsextremen Netzwerken in der Polizei hat man in Berlin herausgefunden, dass in verschiedenen Behörden um die eintausend Personen freien Zugriff auf gesperrte Daten des Einwohnermelderegisters haben. Sprich: Sie können die Adressen abfragen, die wegen Bedrohung oder zu Schutzzwecken der Betroffenen nicht ohne weiteres zugänglich sind. Muss man nicht kommentieren!

Abschließend könnte ich jetzt noch etwas zu Datenschutz bei Corona-Schnelltests schreiben. Ich mache das aber kurz: Stellen Sie sich alles vor, was ihre Phantasie hergibt. Die Kreativität und Naivität kennt hier keine Grenzen.



2. Mitarbeiter*innenüberwachung in Unternehmen

Auf diesem Gebiet gibt es neues aus einem Gerichtsverfahren in Lüneburg, was mir etwas Kopfschmerzen macht, da mir die Umsetzungsmöglichkeit in der Praxis nicht wirklich klar wird. Es geht dabei um Überwachung von Mitarbeiter*innen im Außendienst mit Methoden des Geotrackings. Grundsätzlich ist das verboten. Dennoch zeichnen zahlreiche digitale Anwendungen Geotracking-Daten auf, die auf die Art der Leistungserbringung der Mitarbeiter*innen im Außendienst Rückschlüsse geben können.

Ich mache das mal anhand eines Paketzustellers deutlich: Die Pakete werden bei Übergabe an den Empfänger gescannt und die Zustelldaten festgehalten. Dadurch kann die Geschäftsleitung eines Zustelldienstes genau sehen, wie viele Pakete der Zusteller in welchen Zeitraum zugestellt hat, wo er wann war, wie schnell er war, was er geschafft hat, wann er Pause gemacht hat und eine sehr genau Überwachung führen. Wir wissen alle aus der Erfahrung mit Paketzustellungen heraus, dass viele Zusteller die Pakete schon vorab scannen oder als nicht angetroffen melden, ohne dass sie vor Ort waren, weil sie sonst ein Problem mit ihrer Geschäftsleitung bekommen und fürchten ihren Arbeitsplatz zu verlieren. Es steht für mich persönlich außer Frage, dass diese Praktiken widerrechtlich wie unmoralisch sind, und die Zusteller oftmals zu bemitleiden sind. So weiß ich aus meinem privaten Umfeld von einem Zusteller, der "Durchfall" hatte, sich aber nicht traute mehrfach zu McDonalds zum Toilettenstop zu fahren, weil er um seinen Job fürchtete. Das ist menschenunwürdig.

Geotracking von Außendienstmitarbeiter*innen können wir aber technisch nicht gänzlich ausschließen, weil viele digitale Anwendungen die grundsätzliche Möglichkeit dazu schaffen. Und dazu gibt es auch keine Alternativen. Wir kommen ohne diese Logfiles nicht aus. Auf der anderen Seite fordert der Datenschutz in den technischen und organisatorischen Maßnahmen auch Logfiles, um so Datenpannen und Missbrauchsfälle aufklären zu können. Der Ansatz kann daher meines Erachtens nicht sein, dass die Erhebung von Geotracking-Daten im Außendienst technisch generell unterbunden werden muss. Das ist weder sinnvoll noch realisierbar. Der Ansatz sollte vielmehr der sein, dass es klare betriebliche Richtlinien gibt, dass solche Daten nicht zur Überwachung und zur Beurteilung der Leistung von Außendienstler*innen herangezogen werden bzw. solche Daten nicht wider dem Arbeitsrecht verwendet werden.

Festhalten müssen wir hier, dass Mitarbeiter*innenüberwachungen ein deutliches Thema im Datenschutz- wie im Arbeitsrecht geworden sind und hier sehr strikt gegen die Unternehmen, die diese Normen verletzen, vorgegangen wird. Das schließt auch Strafen der Datenschutzaufsichtsbehörden ein. Daher ist jedes Unternehmen sehr gut beraten hier sehr penibel auf die Einhaltung der Arbeitnehmer*innenrechte zu achten.



4. Transparenz und Einwilligung

Dieses Thema ist nicht erst mit dem Urteil des obersten italienischen Gerichtshofs aus dem Mai 2021 auf den Tisch gekommen. Es wird schon sehr lange diskutiert und ist ein sehr schwieriges Thema für die Praxis. Grundsätzlich kann nur freiwillig einwilligen, wer vorab transparent über die Umstände, unter denen eingewilligt wird, aufgeklärt wurde. Das bedeutet, wie jetzt auch höchstgerichtlich festgestellt, dass eine vollständige Aufklärung über alle Informationen zur möglichen Verarbeitung personenbezogener Daten erfolgen muss bevor die Einwilligung erteilt wird. Das ist in sofern schwierig, wenn es um umfangreiche Dienste geht. Allein meine Datenschutzinformationen für Unternehmen umfassen regelmäßig 5 bis 6 kleingeschriebene Seiten. Das ist der Standard, wenn es nicht außergewöhnliche Branchen mit außergewöhnlichen Verarbeitungen von personenbezogenen Daten betrifft. Hier habe ich auch schon 15 Seiten verfassen müssen. Die Datenschutzinformationen sind also eine kleine Kurzgeschichte oder schon eine Novelle. Wenn die jetzt jeder erst lesen muss, damit er wirklich rechtswirksam eine Einwilligung erteilt, dann ist das in der Praxis nicht darstellbar.

Ich gehe persönlich daher einen anderen Weg und sehe es so, dass vor einer Einwilligung den betroffenen Personen die Möglichkeit gegeben werden muss, auf einfach Art und Weise sich vollumfänglich über alle möglichen Speicherungen und Verarbeitungen personen-bezogener Daten, den Zweck der Verarbeitung, den Rechtsgrundlagen und den eigenen Rechten sowie technischen und organisatorischen Schutzmaßnahmen zu informieren. Ob die betroffenen Personen das auch tun, sprich die Inforationen vollumfänglich lesen oder nicht, obliegt nicht mehr der Verantwortung der verantwortlichen Stelle. Sie muss nur die grundsätzliche Möglichkeit dafür schaffen. Etwas anderes ist meiner Meinung nach nicht praktikabel. Wir können Menschen nicht zwingen seitenlange Erklärungen zu lesen, wenn sie es nicht möchten. Wir können diesen, nachdem sie ihre Einwilligung dann gegeben haben, auch nicht erklären, dass eine Einwilligung so nicht rechtswirksam ist und wir sie daher als Kunden nicht aufnehmen, bedienen oder was auch immer können. Das ist nicht der Sinn des Datenschutzes und führt auch zu nichts Konstruktiven. Konstruktiv ist meines Erachtens, dass es im Unternehmen solche vollumfänglichen Informationen gibt, das die Möglichkeit besteht diese auf einfache Art und Weise vollständig lesen zu können, wenn es jemand will, und es sichergestellt ist, dass das, was in diesen Informationen steht, auch grundsätzlich in der verantwortlichen Stelle so gelebt wird. Damit ist der Datenschutz ausreichend umgesetzt.

Dabei ist eine einfache Art und Weise für mich die Möglichkeit einer Einsichtnahme auf einer Webseite, der Aushang in einer Geschäftsstelle und die Option jederzeit eine vollständige Papierform ausgehändigt/zugesandt zu bekommen, wenn es gewünscht wird.


5. Microsoft 365

Wer jetzt noch Lust auf mehr Datenschutz hat, für den dann Neues von der MS365 Front. Es ist eine "Neverending Story" zwischen Microsoft 365 und dem Datenschutz. Ich möchte das Thema anlässlich einer Prüfung durch die Datenschutzbehörde des Bundelandes BW nochmalig aufgreifen und vertiefen.

Microsoft 365 ist eine komplexe Anwendung, die aus einer Vielzahl einzelner Anwendungen, sogenannter Apps, besteht. Die Software ist historisch über die letzten 25 Jahre gewachsen und ein vergleichbares Paket dieser Art findet sich nicht auf dem Markt. Insbesondere nicht zum Preis-Leistungsverhältnis, welches Microsoft bietet. MS365 erfüllt eine Vielzahl an ISO und DIN Normen sowie internationaler Standards, insbesondere auch im medizinischen Bereich und der Cloud-Sicherheit. Laut eigenen Angaben ist die Anwendung datenschutz-konform im Sinne der DS-GVO. MS365 wird weltweit von ca. 300 Millionen Endkunden genutzt. Hiervon sind knapp 90% Unternehmen. Da ein zahlender Endkunde oftmals mit manchen Anwendungen zahlreiche weitere Kunden bedient, die selbst nicht bei Microsoft Kunde sind, dürften weltweit vermutlich eine Milliarde Menschen regelmäßig Anwendungen aus MS365 in irgendeiner Form nutzen. Wir reden also über eine für die Teilnahme an der digitalen Welt und den digitalen Geschäftsverkehr sehr relevante Anwendung, auf die in manchen Branchen und für viele Unternehmen gar nicht verzichtet werden kann. Unter den Kunden von MS365 finden wir zahlreiche namenhafte Großkonzerne mit einem sehr hohen Schutzbedarf an IT-Sicherheit, zum Beispiel Honeywell, Maersk, Volvo und ABN Amro. Zahlreiche Krankenhäuser nutzen die Anwendung für Fernoperationen und auch Universitäten finden sich unter den Anwendern. All diesen Kunden ist der Datenschutz sehr ernst und wichtig. Niemand dieser Gruppe nutzt die Anwendung mit der Philosophie, dass Datenschutz unwichtig ist und der Nutzen von MS365 im Vordergrund steht.

Das Erlangen von Kenntnissen in der Nutzung dieser Anwendung wäre für unserer Schüler*innen folglich zukunftsrelevant, um sich später in vielen Bereichen der Geschäftswelt als digital qualifiziert betrachten zu können. Dennoch schließen wir MS365 kategorisch an unseren Schulen aus, weil die Anwendung aus Sicht der Aufsichtsbehörden gegen den Datenschutz verstößt und für die Nutzung durch Schüler*innen an staatlichen Schulen nicht zumutbar ist. Hierzu gibt es neue Ausführungen, die dieses Mal aus der Datenschutzaufsicht Baden-Württemberg kommen. Die dortige Kultusministern wollte MS365 an Schulen einsetzen. Hierfür bekam die Datenschutzaufsicht einen Prüfauftrag und die finanziellen Mittel Laborbedingungen zur Untersuchung des Datentransfers innerhalb von MS365 zu errichten. Es handelt sich also um eine sogenannte "technische Prüfung" auf die tatsächlichen Datentransfers. Auf das Ergebnis dieser Untersuchung, soweit es öffentlich bekannt ist, möchte ich näher eingehen.

Als erstes ein Zitat aus der Pressemitteilung: "... die Schulen hätten keine vollständige Kontrolle über das Gesamtsystem und den Auftragsverarbeiter (also MS) in den USA." Ich wüsste nicht, wie es praktisch aussehen sollte, dass ein Anwender einer derart komplexen Anwendung, ganz egal ob der Anbieter innerhalb oder außerhalb der EU sitzt, die vollständige Kontrolle über das Gesamtsystem haben könnte. Mir persönlich ist das Ziel dieses Ansatzes nicht klar. Wir haben als Anwender auch regelmäßig keine komplette Kontrolle über Windows10, Android und Apple IOS. Dennoch nutzen wir diese Anwendungen und niemand stellt das in Frage. Dann wird wieder das übliche Argument angeführt: "Für einige Übermittlungen persönlicher Daten an Microsoft, die teilweise auch in Regionen außerhalb der EU gingen, sei keine Rechtsgrundlage erkennbar; diese sei aber nach der Datenschutzgrundverordnung erforderlich." Hier sind wir inzwischen weiter, denn das ist nur die Auffassung der Aufsichtsbehörden. Inzwischen hat das EUGH durchblicken lassen, dass man zu einer anderen Auslegung des Art. 49 DS-GVO in Verbindung mit Erwägungsgrund 111 tendiert und sehr wohl solche gelegentlichen Datentransfers unter bestimmten Bedingungen als zulässig ansieht.

Im weiteren wird eine mangelnde Transparenz im Sinne einer vollständigen Information über sämtliche Verarbeitungen von personenbezogenen Daten innerhalb der Anwendung bemängelt. Auch hier wüsste ich nicht, wie das in der Praxis aussehen sollte. Eine solche Erklärung hätte vermutlich die Länge des "Neuen Testaments". Nur anders als das "Neue Testament" wäre es nicht 2.000 Jahre gültig, sondern nach dem nächsten Update nach 14 Tagen teilweise überholt. Finge jemand an zu schreiben, würde er während des Schreibens mehrfach von der Weiterentwicklung überholt werden und könnte niemals ein korrektes Ergebnis erzielen. Einmal fertig wäre das Werk weitgehend "Schnee von Gestern". Diese Anforderung ist so nicht erfüllbar. Wir müssen zur Prüfung in anderen Wegen und Kategorien denken, wenn wir uns nicht grundsätzlich von der Nutzung komplexer Anwendungen verabschieden wollen.

Zu der eigentlich spannenden Frage, ob Datenabflüsse stattfinden und zwecklose personenbezogene Daten gesammelt werden, die unverschlüsselt sind und weitergeleitet werden könnten etc., verliert der Datenschutzbeauftragte kein Wort. Zitat: "Wenngleich die Prüfungen aufgrund des Umfangs und Weiterentwicklung der Dienste nicht abschließend sein konnten, so waren deren Ergebnisse doch hinreichend klar, um eine Empfehlung an das Kultusministerium zu richten." Welche Ergebnisse hinreichend klar waren, dazu findet man leider nichts. Dagegen findet man zum Schluss noch die Aussage: "Nicht komplett ausgeschlossen werden könne, dass Microsoft 365 in anderer Modifikation in Schulen rechtskonform einsatzbar sei, ..." Was soll diese Aussage bedeuten? Vorsichtshalber ein Hintertürchen offenhalten, falls der Wind sich dreht? Damit man am Ende nicht politisch schlecht dasteht und sich noch rausreden kann? Auch mit dieser Studie sind wir in der Sache nicht viel weiter gekommen. Teilen tue ich einzig die Darlegung, dass unsere Schüler*innen besonders schutzbedürftig sind und wir Gefahren von Ihnen abwenden müssen. Das will ich aber nicht nur in Bezug auf Schüler*innen, sondern auch von meinen Klient*innen, deren Klient*innen und deren Mitarbeiter*innen. Aber wo genau sind jetzt diese Gefahren?

Auf der Suche nach den Gefahren verbleibt alles wage und ohne neue Erkenntnisse. Abschließend heißt es dann, man sollte Plattformen auf der Basis von Moodle oder Iserv verwenden. Das diese nicht zeitgemäß sind und viele Leistungen nicht anbieten, wird nicht erwähnt. Dafür sollen diese Anwendungen datenschutzkonform sein. Allerdings kann man alle Grunddaten der Kurse einsehen und sogar mit Web-Crawlern auswerten. Ich habe einmal wahllos für Hamburg eine ID Nummer genommen. Es findet sich dort eine gebundene Ganztagsschule in einem Hamburger Stadtteil mit "N" beginnend, wo ich alle 11 Trainer der Pinguingruppe mit vollständigen Vor- und Nachnamen finde. An einer anderen Schule die Lehrkräfte eines ganzen schulischen Gremiums. Und an wieder einer anderen einen Kurs für eine 9e, deren Trainer/Lehrer und der Titel lässt auf den Inhalt rückschließen. Das ist also datenschutzkonform gegenüber MS365. Und genau hier weiß ich nicht mehr weiter, denn das ist technisch und in Hinblick auf die Sicherheit "Meilen hinter MS365" zurück. Außerdem werden Anwendungen wie "Padlet", die personenbezogene Daten in erschreckender Weise sammeln können und es sogar laut deren Datenschutzerklärung auch tun, Weiterkauf an Dritte eingeschlossen, und über die man deutlich weniger Kontrolle als über MS365 hat, nicht an Schulen verboten. Man misst hier irgendwie mit zweierlei Maß. Ein anderes Fazit kann ich nicht ziehen.

Warum ist das so und was sollen wir daraus lernen? Ich bin hier inzwischen ziemlich ratlos. Es rückt immer nur in den Fokus, was medial aus irgendwelchen Gründen gerade breitgetreten wird. Das untersuchen wir dann ewig, finden keine Lösung und verbieten es deswegen mit vielen Konjunktivs versehen, um sich immer noch eine Hintertür offenzuhalten. Führen tut das zu nichts. Was wir aber in jedem Fall lernen ist, dass die Anwendungen zu komplex werden, um dass wir sie noch komplett beherrschen und die Datenflüsse verstehen können. Es bleibt dann nur die Option den Anbietern zu vertrauen, ganz egal wie gut und vollständig deren Datenschutzerklärungen sind, denn überprüfen können wir es eh nicht mehr. Diese Option ist unbefriedigend. Noch unbefriedigender ist die Tatsache, dass die meisten Anbieter von Software ihre Haftung schlichtweg ausschließen oder über Drittländermodelle rechtlich gar nicht erreichbar sind. Lösen können wir das Problem nur über effektive Regulierung der Anbieter. Politisch und bei international übergreifenden Lösungen sind wir hierbei aber weit hinter der Entwicklung zurück.

Was heißt das jetzt für MS365? Vermutlich bleibt auf Jahre alles wie gehabt: Die Aufsichtsbehörden wettern dagegen, halten sich aber für Unternehmen zurück, und wir Datenschutzbeauftragten nicken es mit einer Erforderlichkeitsprüfung ab. Und unsere Kinder lernen an den Schulen aus Vorsichtsgründen, die wir nicht genau spezifizieren können, besser keinen Umgang mit der Anwendung zu haben. Frust darf man an dieser Stelle bekommen!
Ich bedanke mich für Ihre Aufmerksamkeit und hoffe, dass die Themen interessant waren. Für den nächsten Newsletter habe ich noch keine bestimmten Themen im Auge. Sicher wird sich aber bis dahin noch viel spannendes finden.

Herzliche Grüße

Tobias Lange
Unternehmensberater
Externer Datenschutzbeauftragter
IMPRESSUM:
Tobias Lange - Unternehmensberater
Externer Datenschutzbeauftragter
Zustellungsfähige Anschrift:
Berner Heerweg 246,,22159 Hamburg
Steuernr.: 50/139/02404
Finanzamt Hamburg Oberalster
Email: info@tl-datenschutz,de
Web:www.tl-datenschutz.de