Manchmal kann Datenschutz auch frustrieren – auch uns.
Aus unserer Sicht sollten die Handlungen der Aufsichtsbehörden aufeinander abgestimmt und vor allem nachvollziehbar sein. Nur so können wir Ihnen die möglichen Folgen vernünftig aufzeigen und mit Ihnen die Risiken Ihrer Verarbeitungen ermitteln und besprechen, welche Maßnahmen für Sie hier zielführend sind.
Leider gab es in kurze Folge zwei fast gegenläufige Entscheidungen der Aufsichtsbehörden, die eigentlich nicht nachvollziehbar sind.
Beginnen wir mit dem aus unserer Sicht zwar rechtlich korrekten und trotzdem wenig realitätsnahen und nicht pragmatischen Forderung des Landesdatenschutzbeauftragten aus Baden-Württemberg vom 25.04.2022:
Schulen in Baden-Württemberg zukünftig ohne M365?
Schulen in BaWü sollen ab dem kommenden Schuljahr datenschutzkonforme Alternativen zu Microsoft 365 nutzen. Auf Grund einiger unklarer Datenübermittlungen im Rahmen der Telemetriedaten und einem potenziellen Zugriffsrisiko durch US-Behörden kann Microsoft 365 nicht datenschutzkonform betrieben werden. Dies ist nicht neu, wir haben bereits zuvor auf die aktuelle Duldung der Nutzung von Microsoft 365 für Unternehmen hingewiesen. Die Duldung ist zum Teil auch darin begründet, dass die Datenverarbeitung im Rahmen von Microsoft 365 möglicherweise auch über das berechtigte Interesse des Verantwortlichen oder eines Dritten gestützt werden kann.
Für Schulen stellt sich das Problem der hoheitlichen Aufgabenerfüllung. Leider steht den Schulen im Rahmen ihrer Aufgaben kein berechtigtes Interesse zur Verfügung (siehe Art. 6 Abs. 1 S. 2 DSGVO).
Rechtlich korrekt, jedoch mehr Nachteile als Vorteile…
Nun mag diese rechtliche Betrachtung durchaus richtig sein und führt zu Problemen an Schulen, nicht nur in Baden-Württemberg. Aber die Alternative eines im Markt anerkannten, bei Lehrern und Eltern bekannten und beliebten Lösung, welches so hoch integriert ist, gibt es nicht. Die Nutzung der Tools hilft den Kindern auch als Vorbereitung auf die Arbeitswelt, wo teilweise die gleichen Programme genutzt werden. Anstelle dessen wird es nun also wieder zu Insellösungen kommen, die nur für die Schule genutzt und gelernt werden.
Was uns hier fehlt ist eine tatsächliche risikobasierte Betrachtung der Situation. Denn welches Risiko besteht für die Betroffenen bei der Nutzung beispielsweise von Microsoft Teams bei der Bewältigung des Distanzunterrichts? Welches Interesse hätten Microsoft, die US-Behörden oder sonstige Dritte daran, die Daten aus einem Distanzunterricht oder des dazugehörigen Unterrichtsmaterials zur Kenntnis zu bekommen? Nun diese Frage stellt sich für den Datenschutz leider nicht. Im Datenschutz geht man davon aus, dass ungeschützt verfügbare Daten auch genutzt werden – es liegt in der Verantwortlichkeit des Unternehmens – oder eben hier: der Schulen – nachzuweisen, dass die Daten nicht missbraucht werden.
Vielleicht sogar mit höherem Risiko?
Aus Sicht der Informationssicherheit sehen wir sogar höhere Risiken in der geplanten Umsetzung, denn nun werden mehrere kleinere Anbieter verschiedene Tools bereitstellen. Vermutlich hat Microsoft ein größeres Team für die Informationssicherheit, als die kleineren Dienstleister als gesamte Personalstärke vorweisen können.
Kurz: Die Forderung des LfDI BW ist nachvollziehbar und juristisch korrekt. Trotzdem ist es aus unserer Sicht nicht die richtige Lösung, denn die Nachteile überwiegen. Trotz alternativer Lösungen kann man den Datenschutz hier tatsächlich als Hemmschuh betrachten.
Was man dazu noch wissen sollte:
Anmerkung 1: Wir möchten jedoch zusätzlich am Rande anmerken, dass auch die von Hr. Dr. Stefan Brink empfohlene Lösung „itslearning“ mit den Amazon Webservices einen Unterauftragnehmer einsetzt, der ähnlich zu Microsoft 365 eine Datenübermittlung ins Drittland an einen US-Dienstleister inkl. der Problematiken aus CloudAct und FISA702 mit sich bringt. Dazu ein Zitat aus dem Tätigkeitsbericht 2021 des LfDI Baden-Württemberg: „Nach Prüfung der Unterlagen sahen wir zwar noch datenschutzrechtliche Probleme, vor allem in Bezug zur zwar vertraglich ausgeschlossenen, aber dennoch stattfindenden Verarbeitung personenbezogener Daten in Drittsaaten, der Verarbeitung zu Zwecken von Auftragsverarbeitern und Prüfungen der technisch-organisatorischen Maßnahmen, hielten diese jedoch für überwindbar.“
Anmerkung 2: Nach Aufzeichnung unseres PodCasts hat uns zusätzlich eine Information erreicht, dass einige Schulen von Kultusministerium in Baden-Württemberg informiert worden seien, dass es anders als es alle verstanden haben, kein gänzliches Verbot von M365 an Schulen geben soll, sondern lediglich Schulen kontaktiert würden, zu denen eine Beschwerde in Bezug auf die Nutzung von M365 vorliegen würde… Allerdings ist so eine Beschwerde schnell eingereicht, so dass sich diese aus unserer Sicht durchaus häufen könnten.
Verstoß gegen den Datenschutz ohne Folgen?
Gleichzeitig mit der Forderung des LfDI BW hat der heise-Verlag ein Update zum Fall „Buchbinder“ veröffentlicht. Die Berichterstattung basiert dabei auf einer Rückmeldung der bayerischen Datenschutzaufsicht aus April 2022.
Zur Erinnerung, was war passiert: Bei der Autovermietung Buchbinder wurden 2020 insgesamt etwa zehn Terabyte an Daten von etwa 3 Millionen Kunden durch eine unvorsichtige Administration frei zugänglich ins Internet gestellt. Die Daten waren dabei weder technisch noch organisatorisch vor dem Zugriff geschützt. Durch einen Konfigurationsfehler waren also Adressen, Telefonnummern, Bankverbindungen und Unfallberichte für Jeden im Internet einsehbar.
Betrachtet man nun die Vorgaben der DSGVO, ist erkennbar, dass die Maßnahmen nach Art. 32 DSGVO nicht korrekt umgesetzt waren. Art. 32 DSGVO fordert eine angemessene Umsetzung von technischen und organisatorischen Maßnahmen zum Schutz der verarbeiteten personenbezogenen Daten. Diese Maßnahmen müssen dem Stand der Technik entsprechen. Dass die Absicherung der Daten vor unbefugten Zugriffen zu diesen Maßnahmen gehört, dürfte unstrittig sein und kann zudem auch aus §64 Abs. 2 BDSG abgeleitet werden.
Deutlich kleinere Verstöße wurden bereits sanktioniert!
Dass der Verstoß gegen Art. 32 DSGVO durchaus mit einem Bußgeld belegt werden kann, zeigen diverse Bußgelder, beispielsweise gegen die AOK Baden-Württemberg oder die 1&1 Telecom GmbH, jeweils aus 2020. Beide Bußgelder lagen bei ca. 1 Million Euro.
Umso erstaunlicher ist es, dass die bayerische Datenschutzaufsicht gem. der Information an den heise-Verlag den Fall Buchbinder bereits im Dezember 2021 geschlossen hat und von der Verhängung eines Bußgeldes absieht.
Mal wieder Corona als Ausrede?
Einerseits läge dies an der pandemiebedingten Sanktionsempfindlichkeit des Unternehmens und andererseits durch eine von Buchbinder versicherte „geringe Eintrittswahrscheinlichkeit eines Abrufs mit dem Zweck eines Datenmissbrauchs“. Der heise-Verlag weist jedoch darauf hin, dass alleine die Redakteure der Magazine c’t und Zeit mehrfach auf die Daten zugegriffen haben, weshalb eine eindeutige Analyse der Logfiles durch Buchbinder recht unwahrscheinlich erscheint.
Betrachtet man nun auch hier den Grundsatz, dass die ungeschützte Verfügbarmachung von Daten ohne Betrachtung der Brisanz der Daten auch einen Zugriff vermutet lässt, also dass diese Daten auch abgerufen wurden, macht es umso unverständlicher, dass der Vorgang für die Firma Buchbinder folgenlos bleibt.
Kurz: Der Verstoß gegen die Umsetzung wirksamer Schutzmaßnahmen zum Schutz personenbezogener Daten gem. Art. 32 DSGVO ist ziemlich eindeutig. Die Daten wurden aus Unachtsamkeit offen und unverschlüsselt – also ungeschützt – im Internet verfügbar gemacht. Mit ca. 3 Millionen betroffenen Personen ist das Leck zudem nicht wirklich klein gewesen. Andere Unternehmen mussten bei viel geringfügigeren Vergehen mit einem Bußgeld leben. Die Straffreiheit in diesem Fall bleibt für uns einfach unverständlich.
Gesamtfazit
Wir sehen, wie zur gleichen Zeit zwei gegenläufige Entscheidungen der Aufsichtsbehörden getroffen wurden. In einem Fall mit an Sicherheit grenzender Wahrscheinlichkeit keinem tatsächlichen Risiko für die Betroffenen wird die Nutzung eines im Markt etablierten und anerkannten Systems verboten, während in einem anderen Fall mit deutlich höheren Risiken für die Betroffenen überhaupt keine Folgen für den Verursacher bestehen.
Natürlich ist dies in gewisser Weise ein Äpfel-/Birnen-Vergleich, denn der eine Vorgang dauert an, während der andere Vorfall abgeschlossen ist und im einen Fall wird die Lösung aktiv und gewollt genutzt, während man im anderen Fall hoffentlich ein Versehen unterstellen darf. Trotzdem zeigen diese 2 Fälle für uns ziemlich eindrucksvoll, warum der Föderalismus bei der Datenschutzaufsicht in Deutschland eher nachteilig für die Umsetzung des Datenschutzes ist. Denn so eindeutig die Fälle zu sein scheinen, umso gegenläufiger sind die Entscheidungen.
Aus unserer Sicht ist die Situation sehr unschön, denn auch wenn die Risikoanalyse zu den Aufgaben der Unternehmen gehört, werden wir am Ende nach unserer Meinung gefragt. Nach welcher Entscheidung sollen wir uns bei der Meinungsfindung richten? Und wie sollen solche Entscheidungen die Akzeptanz des Datenschutzes in den Unternehmen fördern, wenn niemand die Entscheidungen nachvollziehen kann?
Was wir uns wünschen würden…
Wir wünschen uns zukünftig von den Aufsichtsbehörden, dass solche „tiefgreifenden“ Entscheidungen von der DSK mehrheitlich getroffen werden müssen, damit wir möglichst deutschlandweit eine homogene Auslegung des Datenschutzes sicherstellen können!
- Quellen:
- Presseveröffentlichung des LfDI Baden-Württemberg zu M365 an Schulen
- heise-Verlag: Kein Bußgeld für die Datenpanne bei Buchbinder
- DSGVO: Art. 32 – technische und organisatorische Maßnahmen
- BDSG: §64 – Anforderungen an die Sicherheit der Datenverarbeitung
- Presseveröffentlichung des LfDI Baden-Württemberg zum Bußgeld gegen die AOK BW
- Presseveröffentlichung des BfDI zum Bußgeld gegen die 1&1 Telecom GmbH
- Portal Microsoft 365 für Lehrer: Baden-Württemberg: Schulen ohne Microsoft 365?