Von Kanonen und Spatzen im Datenschutzrecht

Die sächsische Rechtsgeschichte ist reich an Besonderheiten. Die Reformation gab auch wichtige Impulse für die Rechtsentwicklung in der frühen Neuzeit. „Kastenordnungen“, „Schulordnungen“, „Armenordnungen“ und kommunale „Kirchenordnungen“ sind Zeugnisse für kommunale Rechtssetzung im 16. Jahrhundert. Herausragende Bedeutung nahm dabei vor nunmehr 500 Jahren die „Leisniger Kastenordnung“ ein. Sie ist ein Beispiel für Rezeption und Verbreitung von Rechtstexten in der Reformationszeit. Sie steht aber auch für den selbstbewussten Regelungsanspruch örtlicher Eliten, kommunale und kirchliche Angelegenheiten in Eigenverantwortung zu ordnen.

Helmut Goerlich ist unter seinen Mitarbeitern dafür bekannt, für seine Arbeit ausschließlich bewährte Software zu nutzen, wenngleich ihm das Bedürfnis weitestgehend fremd ist, dabei stets die neueste Version und die neueste Hardware zu verwenden. Außerdem gehören die Grundrechte und ihr sorgsames Tarieren in der Rechtsanwendung zu seinen bevorzugten Forschungsgebieten. Deshalb ist ihm dieser Aufsatz aus Anlass seines 80. Geburtstags gewidmet. Der datenschutzrechtliche Beitrag von Uwe Berlit zum 70. Geburtstag des Jubilars vor zehn Jahren enthielt bereits den Hinweis auf den Entwurf einer Datenschutz-Grundverordnung, damals war dieses Regelwerk allerdings nur Fachleuten bekannt.¹Berlit, Datenschutz im Grundgesetz: das Recht auf informationelle Selbstbestimmung, in: Jaeckel/Zabel/Zimmermann (Hrsg.), Grundrechtspolitik und Rechtswissenschaft – Beiträge aus Anlass des 70. Geburtstags von Helmut Goerlich, 2015, S. 175, 197.

Das änderte sich kaum dadurch, dass die DS-GVO am 04.05.2016 im Amtsblatt der Europäischen Union veröffentlicht wurde und am 24.05.2016 in Kraft trat. Als allerdings völlig überraschend die zweijährige Übergangsfrist zum 25.05.2018 abzulaufen drohte, begann eine öffentliche Auseinandersetzung mit den an sich gar nicht so neuen Datenschutzregeln, die in ihrer Breite und Durchdringung sämtlicher Lebensbereiche nur wenigen Regelwerken der Europäischen Union zuteilwird. Selbst Unternehmen, die auf den ersten Blick gar keine Daten verarbeiten, bestellten (meist externe) Datenschutzbeauftragte, erstellten Verarbeitungsverzeichnisse und hörten auf, im Pausenraum Urlaubs- und Geburtstagslisten aufzuhängen. Mit augenzwinkerndem Kopfschütteln wurde wahrgenommen, dass sogar das benutzte Wasserglas nach einem Vorstellungsgespräch ein Datenleak sein kann. Vereine schalteten aus Angst vor Bußgeldern ihre Webseiten ab, weil sie keinen Datenschutzhinweis enthielten, Schulklassen wurden unsicher, ob sie noch Adresslisten erstellen und versenden durften, und Gruppenfotos in Kindergärten gerieten auf den Prüfstand.

Seitdem wird Datenschutz in der EU großgeschrieben, und vieles spricht dafür, dass es sich dabei um eine ihrer wichtigsten Errungenschaften handelt, um die uns andere Rechts- und Wirtschaftsräume und sogar das Silicon Valley beneiden. Aber mitunter erscheint Datenschutz auch als Hemmschuh und Bremsklotz, dessen Berechtigung und Sinnhaftigkeit in Zweifel gezogen und hinterfragt wird. Sind die Konsequenzen, die wir im Namen des Datenschutzes in Kauf nehmen, den Zielen des Datenschutzes angemessen? Dieser Frage soll im Folgenden anhand der Nutzung von Office- und Videokonferenz-Anwendungen im Bildungswesen nachgegangen werden.

I. Problemaufriss

Mit den ersten Corona-Lockdowns an Schulen und anderen Bildungseinrichtungen im März 2020 stellte sich die Frage nach technischen Möglichkeiten, Unterricht auch über das Internet Lösungen. Die Software musste niedrigschwellig zugänglich sein, und zwar sowohl für Lernende als auch für Lehrende. Neben Speichermöglichkeiten für Dokumente und andere Dateien wurden auch Tools für Unterricht in Videokonferenzen benötigt, die nicht nur einseitig die Übertragung des Bild- und Tonsignals des Lehrenden an die Lernenden, sondern auch den umgekehrten Weg sowie die Nutzung von Präsentationen, Tafeln und Gruppenräumen ermöglichen sollten.

Eine solche funktionierende Lösung bot zum Beispiel Microsofts Office 365 mit Teams als Dateiordnungs- und Videokonferenz- System. Innerhalb von ein bis zwei Wochen konnten sämtliche Schüler und Lehrermit individuellen Logins versorgt, Klassen- und Unterrichtsräume angelegt und mit internetbasiertem Liveunterricht begonnen werden. Sicherlich mussten alle Beteiligten erst lernen, mit dem System und der neuen Situation umzugehen, manch einer verfügte auch anfangs noch nicht über die notwendige Hardware, aber das technische System als Basis dieses Mammut- Projektes funktionierte nahezu störungsfrei.

An den meisten öffentlichen Schulen jedoch schien dieser Weg in Sachsen versperrt.²Es gab auch Ausnahmen, wie das Beispiel der Kurfürst-Moritz-Schule in Boxdorf zeigt; vgl. dazu Görner, In Moritzburg geht Unterricht fast normal weiter, Sächsische Zeitung v. 18.03.2020 –, abrufbar unter https:// www.saechsische.de/plus/ wie-unterricht-fast-normal-weitergeht-corona-boxdorf-5184350.html. Es hieß, „der Datenschutzbeauftragte“ habe Microsoft 365 „verboten“. Als Alternative stand für öffentliche Schulen in Sachsen das System „LernSax“ zur Verfügung. Allerdings erfüllte es die genannten Voraussetzungen nur teilweise, funktionierte nie zuverlässig und brach vor allem anfangs unter dem plötzlichen Ansturm der Benutzer hoffnungslos zusammen. Selbst im zweiten Lockdown im Dezember 2020/Januar 2021 war der Betreiber nicht vorbereitet und musste erst über Wochen die technischen Voraussetzungen für einen halbwegs störungsfreien Betrieb schaffen.³Deicke/Wolf/Schawe, LernSax wohl erst Mitte Januar voll einsatzfähig, Sächsische Zeitung v. 17.12.2020 –, abrufbar unter https://www.saechsi sche.de/coronavirus/lernsax-down-hackerangriff-schule-sachsenunterricht- plattform-stoerung-5338413-plus.html; Schawe, Piwarz über LernSax: „Das war ein schlechter Start“, Sächsische Zeitung v. 18.12.2020 –, abrufbar unter https://www.saechsische.de/coronavirus/ lernsax-down-homeschooling-kultusminister-interview-corona-sachsen- 5342738-plus.html.

Entsprechend vernichtend war das Urteil der Lehrenden, der Schüler und der Eltern. In der Folge wurde zwar nachgebessert, im Wesentlichen blieb es aber dabei, dass an vielen öffentlichen Schulen während der gesamten Pandemie kein den normalen schulischen Abläufen vergleichbarer Online-Unterricht durchgeführt wurde. Ähnliche Phänomene gab es an der „Hochschule der Sächsischen Polizei (FH)“ und der „Hochschule Meißen (FH) und Fortbildungszentrum“, die beide als obere besondere Staatsbehörden dem Sächsischen Staatsministerium des Inneren nachgeordnet und im Unterschied zu allen anderen sächsischen Hochschulen und Fachhochschulen keine selbständigen Körperschaften sind, § 7 Abs. 1, § 8 Abs. 1 Nr. 8 und 10 SächsVwOrgG.

Während in Meißen das Lernmanagementsystem ILIAS bereits in Benutzung war und an der Hochschule der Sächsischen Polizei innerhalb weniger Wochen Moodle an den Start kam und insoweit relativ schnell Arbeitsfähigkeit hergestellt war, wurde die Benutzung von Zoom als Videokonferenzsystem untersagt und stattdessen auf Anwendungen gesetzt, die hinsichtlich Stabilität und Funktionalität starke Einschränkungen aufwiesen. Die gegenteiligen Wünsche des Lehrpersonals und der Studierenden wurden zwar von der Hochschulleitung ernstgenommen, vom weisungsbefugten Innenministerium aber übergangen.

II. Datenschutzbedenken

Es gibt theoretisch eine Vielzahl von Software-Programmen, mit denen sich nicht nur an Schulen und Hochschulen Texte schreiben, Kalkulationstabellen erstellen und Videokonferenzen durchführen lassen. Praktisch haben sich aber Marktführer etabliert, deren Programme für diese Zwecke zum Goldstandard geworden sind. So hatten die Office-Anwendungen von Microsoft unter Büromitarbeitern deutscher Unternehmen bei einer Umfrage im Jahr 2020 einen Marktanteil von 85 %.⁴Statista, https://de.statista.com/statistik/daten/studie/77226

Auf dem Markt für Videokonferenz-Anwendungen etablierte sich Zoom mit Beginn der Corona-Pandemie und wurde auch im höheren Bildungsbereich von einer Videokonferenz-Plattform zu der Videokonferenz-Plattform.⁵Grandinetti, „From the classroom to the cloud“: Zoom and the platformization of higher education, FM 2022; Gaye, The Rise of Zoom and Its Impact on Higher Education –, abrufbar unter https://www.wesleyan businessreview.com/recents/the-rise-of-zoom-and-its-impact-onhigher- education (Abruf v. 03.04.2023); zu Gründen für den Aufstieg von Zoom in der Pandemie siehe Alexander, Why has higher education decided on Zoom? –, abrufbar unter https://bryanalexander.org/educationand-technology/why-has-higher-education-decided-on-zoom/ (Abruf v. 13.04.2023). Im Schulbereich hatte sich zu Beginn der Pandemie Office 365 mit seinem Videokonferenz- und Zusammenarbeitstool Teams etabliert.⁶Im Juli 2021 gab der Lehrerverband gegenüber dem Handelsblatt an, dass ca. 6000 Schulen dieses System nutzen, vgl. Gillmann/Neuerer, Keine Chance auf digitalen Unterricht? Datenschützer drohen Schulen mit Verbot gängiger Videosysteme –, abrufbar unter https://www.handelsblatt. com/27406566.html (Abruf v. 13.04.2023). Unter dem Gesichtspunkt des Datenschutzes wurden und werden gegen diese Softwarelösungen zahlreiche Bedenken vorgebracht:

1. Datenübermittlungen an Software-Anbieter

Die Bedenken erwachsen zunächst daraus – und hierbei geht es um das Kernanliegen des Datenschutzes unabhängig vom Standort der Anbieter –, dass die Software überhaupt bestimmte Daten, die bei der Verwendung des Programmes anfallen, an den Anbieter der Software übermittelt und nicht in der Sphäre des Nutzers belässt. Solche Datenübermittlungen sind allerdings in manchen Fällen keine unerwünschte Nebenerscheinung, sondern der Kern dessen, was die Software können soll, z. B. bei Videokonferenz-Systemen, die ja zur Datenübermittlung zwischen den Teilnehmern der Konferenz gedacht sind, die nicht im selben Raum sitzen, oder bei cloudbasierten Office-Lösungen, bei denen die zentrale, sichere und versionierte Speicherung von Daten auf Servern des Anbieters Teil der Dienstleistung ist.

In anderen Fällen kann allerdings fraglich sein, warum die Software überhaupt über das Internet mit Servern des Software- Anbieters kommunizieren muss. Besonders fundiert sind hierzu die Untersuchungen des Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg zu Microsoft 365 an öffentlichen Schulen. In einem Pilotversuch mit einer datensparsam eingestellten Version der Software konnte auch in Zusammenarbeit mit Microsoft nicht aufgeklärt werden, warum das Programm bestimmte http-Requests unklaren Inhalts über das Internet an ca. 500 Microsoft-Server schickte, deren Standort sich teilweise in den USA befand.⁷LfDI Baden-Württemberg, Hinweise des LfDI zur Nutzung von Microsoft 365 durch Schulen –, abrufbar unter https://www.baden-wuerttemberg. datenschutz.de/ms-365-schulen-hinweise-weiteres-vorgehen/ (Abruf v. 13.04.2023) mit einer exemplarischen Auflistung solcher Requests in Anlage 10, verlinkt auf der Seite unten.

Damit sind neben der Datenübermittlung als solcher zwei weitere Problembereiche berührt, nämlich die fehlende Rechtfertigung der Übermittlung und die unzulässige Übermittlung in ein Drittland, also ein Land, das nicht Mitglied der Europäischen Union ist.

2. Verstöße gegen Grundsätze der Datenverarbeitung und fehlende Rechtsgrundlage für Übermittlungen

Die Verarbeitung von personenbezogenen Daten ist in der Europäischen Union als Verbot mit Erlaubnisvorbehalt ausgestaltet, was sich aus Art. 5 Abs. 1 lit. a Var. 1 DS-GVO ergibt.⁸Vgl. Wolff, in: Brink/Wolff, BeckOK Datenschutzrecht, Syst. A. Rn. 18 ff. Daher muss sich die Verarbeitungsbefugnis grundsätzlich aus einer Rechtsgrundlage ergeben. Bei der Verarbeitung selbst sind die in Art. 5 DS-GVO geregelten Grundsätze der Datenverarbeitung zu beachten, welche die Grundsätze Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit sowie Rechenschaftspflicht umfassen.

Von zentraler Bedeutung ist der Grundsatz der Zweckbindung, der voraussetzt, dass bereits vor Beginn der Verarbeitung der Zweck festgelegt und danach nur in besonders geregelten Ausnahmefällen überschritten wird. Bei der bereits genannten Untersuchung des Verhaltens von Microsoft 365 hat der LfDI Baden-Württemberg zahlreiche Verstöße gegen diese Grundsätze festgestellt. Neben den bereits genannten unklaren Datenflüssen an Server, die sich teilweise in den USA befanden, – wurden Nutzer zu einer Nutzung der Microsoft-Authenticator-App gedrängt, die Datentransfers zu Werbedienstleistern enthielt, – wurde von Nutzern teilweise die Einwilligung in „Datenschutzerklärungen“ verlangt, obwohl zwischen den Nutzern und Microsoft gar kein direktes Vertragsverhältnis bestand, – konnten iOS- und Android-Versionen u. a. von Outlook genutzt werden, wodurch unter Umständen auch E-Mails mit Passwörtern im Klartext auf Servern von Microsoft verarbeitet werden konnten, – waren auch Desktop-Versionen der Software nutzbar, obwohl deren spezifische Risiken gar nicht geprüft waren, – blieb unklar, ob Microsoft die Schulen in die Lage versetzen konnte, ihre Auskunftspflichten gegenüber den Nutzern nach Art. 15 DS-GVO zu erfüllen, und – blieb unklar, welche Kommunikation Microsoft für eigene Zwecke (z. B. Spam- und Malwarebekämpfung) verwendet und ob der Zugriff ausländischer Geheimdienste auf die Inhalte der Kommunikation möglich ist.⁹Vgl. zu dieser Aufzählung LfDI Baden-Württemberg (Fn. 7), dort die unten auf der Seite verlinkte „Bewertung Pilot LfDI“, Seiten 11 f.

3. Unzulässige Datenübermittlungen in ein Drittland

Zusätzliche Bedenken bestehen gegen solche Datenübermittlungen, deren Ziel Server in Drittländern, vor allem in den USA, sind. Die DS-GVO regelt die Voraussetzungen für die Übermittlung solcher Daten in Drittländer in Kapitel 5 (Art. 44 ff.). Ziel dieser Regelungen ist es sicherzustellen, dass das durch die DSGVO gewährleistete Schutzniveau für natürliche Personen nicht untergraben wird, Art. 44 Satz 2 DS-GVO.

Die Europäische Kommission hatte 2000 auf der Grundlage der Datenschutzrichtlinie 95/46/EG und 2016 auf der Grundlage von Art. 45 Abs. 3 DS-GVO Angemessenheitsbeschlüsse gefasst (Safe Harbor¹⁰Entscheidung der Kommission vom 26.07.2000, 2000/520/EG. bzw. EU-US Privacy Shield¹¹Durchführungsbeschluss (EU) 2016/1250 der Kommission vom 12.07.2016.) und damit eine Standard-Grundlage für Datenübermittlungen in die USA geschaffen. Der Europäische Gerichtshof hat diese Beschlüsse allerdings 2015 bzw. 2020 in den Urteilen Schrems I¹²EuGH, Urt. v. 06.10.2015 – C-362/14 – Schrems I. bzw. Schrems II¹³EuGH, Urt. v. 16.07.2020 – C-311/18 – Schrems II. für ungültig erklärt.

Dabei hat er in der jüngeren Entscheidung vor allem zwei Gründe genannt:

Erstens enthielten weder die Executive Order 12333 aus dem Jahre 1981¹⁴Abrufbar unter https://en.wikisource.org/wiki/Executive_Order_12333; am Ende des Dokuments finden sich auch Links zu den späteren Executive Orders, welche E.O. 12333 geändert haben, zuletzt E.O 13470 vom 30.07.2008; eine konsolidierte Fassung findet sich im IC Legal Reference Book (https://www.dni.gov/files/documents/OGC/IC Legal Reference Book 2020.pdf), Seite 693 ff. noch die 2008 eingeführte Section 702 des Foreign Intelligence Surveillance Act (FISA)¹⁵Section 702 FISA wurde durch Section 101(a)(2) des Public Law 110-261 („Popular Name“: FISA Amendments Act of 2008) als Teil eines neuen Title VII in den Foreign Intelligence Surveillance Act von 1978 aufgenommen. Das Änderungsgesetz ist unter https://www.govinfo.gov/app/details/PLAW-110publ261 im Internet abrufbar. Eine konsolidierte Fassung des Textes einschließlich späterer Änderungen ist als (non-positive law) Title 50 Section 1881 a im United States Code zu finden (50 USC 1881 a). als Grundlage einschlägiger Überwachungsprogramme amerikanischer Geheimdienste ausreichende Garantien für EU-Bürger, dass die Verarbeitung ihrer Daten auf das absolut Notwendige beschränkt und dadurch Missbrauch ausgeschlossen sei.¹⁶Vgl. EuGH, Urt. v. 6.10.2015 (Fn. 13), Rn. 176 ff.

Und zweitens gäbe es weder nach der EO 12333 noch nach Section 702 FISA gerichtlich durchsetzbare Rechte betroffener EU-Bürger; der nach dem EU-US Privacy Shield vorgesehen Ombudsmechanismus sei nicht gleichwertig, weil die Ombudsperson unmittelbar dem Außenminister unterstehe und damit nicht unabhängig sei¹⁷Vgl. EuGH, Urt. v. 6.10.2015 (Fn. 13), Rn. 195. und außerdem keine Weisungsbefugnisse gegenüber den betroffenen Geheimdiensten habe.¹⁸Vgl. EuGH, Urt v. 6.10.2015 (Fn. 13), Rn. 196. Dem ist mit Recht entgegnet worden, der Europäische Gerichtshof verlange hier von einem Drittland ein Schutzniveau, dass innerhalb der Union gar nicht vorausgesetzt werde, das Schutzniveau der Europäischen Union werde also nicht untergraben, denn Art. 23 Abs. 1 Buchst. a DS-GVO erlaube innerhalb der Union eine Beschränkung von Datenschutzrechten zugunsten der nationalen Sicherheit.¹⁹Vgl. Brauneck, EuZW 2020, 933, 936 f. Die Verortung der Ombudsperson in der Exekutive sei zwar nicht identisch, aber gleichwertig, zudem könne die Ombudsperson eine kausale Weisungskette in Gang setzen, die in einer bindenden Weisung an die Nachrichtendienste mündete.²⁰Vgl. Brauneck (Fn. 20), 937 f. Schließlich gäbe es in der Rechtsprechung des Supreme Court eine dogmatische Veränderung zugunsten des Datenschutzes,²¹Vgl. dazu die Analyse von Weinzierl, Der Fall Carpenter – Seismische Veränderungen im U.S. Datenschutzrecht? –, abrufbar unter https://www. juwiss.de/69-2018/ (Abruf v. 13.04.2023). in deren Folge auch für EU-Bürger auf den vierten Zusatzartikel der US-Verfassung gestützte Klagebefugnisse vor amerikanischen Gerichten zumindest möglich erscheinen.²²Dazu sehr detailliert Brauneck (Fn. 19), 938 ff.

Außer diesen rechtlichen Argumenten wird aus rechtspolitischer Perspektive vorgebracht, der Europäische Gerichtshof überlasse es einmal mehr Unternehmen und Aufsichtsbehörden, digitale Wirklichkeit und europäischen Datenschutzanspruch miteinander in Einklang zu bringen, dabei seien Pragmatismus und Augenmaß gefragt.²³Schulz, PharmR 2020, 600, 602. Die Konsequenz eines rein betroffenenfreundlichen Ansatzes sei, dass die Kommission bis heute gerade einmal 14 Angemessenheitsentscheidungen erlassen habe, deshalb die Durchführung von aufwändigen und teuren Transfer Impact Assessments für Unternehmen zur Regel werde und angesichts eines weltweit beobachteten Trends zur Autokratie viele Drittländer nicht mehr als rechtmäßige Empfänger von personenbezogenen Daten aus der Europäischen Union infrage kommen dürften, weil sie den hohen Anforderungen des europäischen Datenschutzrechts nicht gerecht würden. Die Forderung, dass jegliches Risiko eines nach europäischen Maßstäben unzulässigen Datenzugriffs durch Sicherheitsbehörden ausgeschlossen sein müsse, drohe den internationalen Datenverkehr daher langfristig zum Erliegen zu bringen.²⁴Eisenmenger, ZD 2023, 204, 209.

Ob der jüngste gemeinsame Vorstoß von US-Administration²⁵EO 14086 vom 07.10.2022. und EU-Kommission²⁶Entwurf eines Angemessenheitsbeschlusses vom 13.12.2022, siehe Pressemitteilung unter https://ec.europa.eu/commission/presscorner/detail/de/ ip_22_7631 mit einem Link zum Entwurf; der Entwurf wurde – wenn auch nicht ohne Kritik – vom European Data Protection Board mit Opinion 5/2023 vom 28.02.2023 begrüßt. für ein „EU-US Data Privacy Framework“ den Europäischen Gerichtshof zufrieden stellen wird, darf angesichts der rigorosen Maßstäbe der Schrems-II-Entscheidung bezweifelt werden.²⁷Vgl. die Analyse von Glocker, ZD 2023, 189. Sowohl das Committee on Civil Liberties, Justice and Home Affairs (LIBE) des Europäischen Parlaments²⁸Entwurf einer Resolution unter https://www.europarl.europa.eu/doceo/ document/LIBE-RD-740749_EN.pdf. als auch das European Data Protektion Board nach Art. 68 DS-GVO²⁹Download unter https://edpb.europa.eu/our-work-tools/our-documents/ opinion-art-70/opinion-52023-european-commission-draft-implementing_ en. begrüßen den Entwurf des Angemessenheitsbeschlusses nicht vorbehaltlos, sondern fordern weitere Verbesserungen ein.

Es gilt dennoch als wahrscheinlich, dass eine ausreichende Mehrheit der Mitgliedstaaten dem Entwurf zustimmen und die Kommission ihn im Sommer 2023 in Kraft setzen wird, um wenigstens bis zur nächsten Entscheidung des Europäischen Gerichtshofs eine rechtliche Grundlage für Datentransfers in die USA zu schaffen.³⁰Glocker (Fn. 27), S. 193 schätzt die Dauer bis zum nächsten Urteil auf vier bis fünf Jahre. Die unter anderem von Maximilian Schrems mitgegründete Bürgerrechtsorganisation noyb hat bereits angekündigt, voraussichtlich gegen den Angemessenheitsbeschluss klagen zu wollen.³¹Noyb, Statement zur Angemessenheitsentscheidung der EU-Kommission zu den USA, abrufbar unter: https://noyb.eu/de/statement-zurangemessenheitsentscheidung- der-eu-kommission-zur-usa. Unter diesen Umständen ist leider nicht abzusehen, wann der europäische Gesetzgeber, der Europäische Gerichtshof, die Kommission oder die USA diesen Kreislauf beenden werden.³²Glocker (Fn. 27), S. 194.

4. Zwischenfazit

Es lässt sich festhalten, dass unter dem Gesichtspunkt des Datenschutzes durchaus zahlreiche Bedenken gegen die Nutzung von Microsoft 365 bestehen, und zwar nicht nur wegen der Übermittlung von Daten in ein Drittland, sondern auch deshalb, weil die Software überhaupt Datenpakete unklaren Inhalts an den Hersteller der Software übermittelt, ohne dass Zwecke und rechtliche Grundlagen dieser Übermittlungen klar wären. Auf der anderen Seite ist aber auch nicht erkennbar, dass die festgestellten Verstöße gegen europäisches Datenschutzrecht besonders gravierend wären.

Vergleicht man die Kritikpunkte mit Fällen, in denen in den letzten Jahren von deutschen Landesdatenschutzbeauftragten Bußgelder verhängt worden sind,³³Für eine Übersicht über Entscheidungen der Jahre 2020 und 2021 siehe Ihwas, CCZ 2023, 23. fällt auf, dass es im hier diskutierten Fall nicht um drohende oder tatsächliche Leaks durch technisch schlecht oder gar nicht gesicherte Benutzerdaten, um sorglosen Umgang mit Benutzerdaten oder gar um Datensammlungen zum bewussten zweckentfremdeten Einsatz derselben geht. Vielmehr geht es darum, dass die widerstreitenden Interessen der Beteiligten im Verhandlungswege zu einem vernünftigen Ausgleich gebracht werden müssen.

(…)

Den vollständigen Beitrag lesen Sie in den Sächsischen Verwaltungsblättern 8/2023, S. 235.