Die mit der Nutzung außereuropäischer Softwareprodukte wie Microsoft 365 verbundene Problematik gründet auf technischen und rechtlichen Gegebenheiten. So lässt sich bei der Nutzung eine Übermittlung bestimmter Nutzungsdaten, wie z.B. der IP-Adresse, in der Regel nicht vermeiden (Näheres hierzu s.u.). Auch kann nicht ausgeschlossen werden, dass der Anbieter bestimmte Nutzungsdaten für eigene Zwecke verwendet oder an Werbepartner weitergibt.

Für die Übermittlung personenbezogener Daten ist eine rechtliche Grundlage erforderlich. Diese kann sich entweder aus gesetzlichen Übermittlungsbestimmungen oder über die Möglichkeit, die derartige Inanspruchnahme eines Dienstleisters als Auftragsverarbeitung gem. Art. 28 Abs. 3 Datenschutz-Grundverordnung (DS-GVO) vertraglich auszugestalten.

Ein grundsätzliches Problem liegt allerdings darin, dass in die USA übermittelte personenbezogene Daten unter rechtlichen Bedingungen verarbeitet werden, die nicht dem europäischen Datenschutzniveau entsprechen.

Nachdem der Europäische Gerichtshof (EuGH) mit Urteil vom 16. Juli 2020 (Rechtssache 311/18; „Schrems II") das sog. Privacy Shield für ungültig erklärt hat, können Datenübermittlungen in die USA jedoch nicht mehr auf dieses Instrument gestützt werden. Der EuGH hat seine Entscheidung u.a. damit begründet, dass Sicherheitsbehörden in den USA die Möglichkeit haben, massenhaft auf Daten, welche bei US-amerikanischen Unternehmen gespeichert sind, zuzugreifen und europäische Nutzerinnen und Nutzer diese Überwachungsmaßnahmen nicht gerichtlich überprüfen lassen können.

Die in Art. 44 ff. DS-GVO genannten rechtlichen Voraussetzungen für eine Datenverarbeitung in den USA sind mit dem Wegfall des Privacy Shields derzeit kaum zu erfüllen.

Soweit die Datenverarbeitung durch einen außereuropäischen Anbieter auf sog. EU-Standard-Datenschutzklauseln, also Musterverträge, gestützt wird, liegen entsprechende Muster vor; diese sind vielfach Bestandteil entsprechender Verträge auch mit US-amerikanischen Dienstleistern. Nach der Schrems II-Entscheidung des EuGH sind bei Übermittlungen personenbezogener Daten in die USA jedoch zusätzliche Maßnahmen zu ergreifen, die sicherstellen, dass ein im Wesentlichen gleichwertiges Schutzniveau wie in der EU gewährleistet wird. Hier bedarf es allerdings noch der Klärung, welche konkreten Maßnahmen im Licht dieser vom EuGH klargestellten Anforderung und mit Blick auf die unterschiedlichen Nutzungsszenarien in Betracht kommen.

Hinsichtlich Microsoft 365 gibt es weiterhin Regelungen in den Nutzungsbedingungen (Online Service Terms OST) bzw. den Datenschutzbestimmungen (Date Processing Agreement DPA), die den datenschutzrechtlichen Anforderungen aus der DSGVO an die Transparenz der Datenverarbeitung, die Einwirkungsmöglichkeiten des Auftraggebers, die Zwecke der Datenverarbeitung oder die Löschung von Daten nicht entsprechen.

Der US Clarifying Lawful Overseas Use of Data Act (CLOUD-Act) vom 23. März 2018) gibt amerikanische Behörden die Möglichkeit, von US-Unternehmen (bzw. deren Töchtern) die Herausgabe von Daten zu verlangen, auch, wenn diese außerhalb der USA gespeichert werden.

Eine solche Herausgabe von Daten an ein Drittland ist gemäß Art. 48 DS-GVO nur zulässig, wenn diese auf eine in Kraft befindliche internationale Übereinkunft wie z.B. ein Rechtshilfeabkommen gestützt werden kann. Ein solches Übereinkommen liegt bislang nicht vor.

Ein Lösungsansatz bestand zunächst darin, dass eine von Microsoft angebotene Treuhand-Lösung genutzt wurde, bei der kein direkter Zugriff von Microsoft auf die in Europa gespeicherten Daten bestand („Microsoft Deutschland Cloud"). Das Produkt „MS Deutschland Cloud" wurde von Microsoft jedoch zwischenzeitlich eingestellt und steht als Betriebsoption nicht mehr zur Verfügung.

Entsprechende Anordnungen von US-Stellen zur Offenlegung von Daten gehen weiterhin zumeist mit einer Verschwiegenheitsverpflichtung der zur Herausgabe der Daten aufgeforderten Stelle (vorliegend z.B. Microsoft als Auftragsverarbeiter) einher, so dass die Betroffenen von einer Offenlegung ihrer Daten keine Kenntnis erhalten (vgl. Art 15 Abs.1 lit. c DS-GVO).

Bei Datenzugriffen durch US-Behörden bzw. diesbezüglichen Herausgabeverlangen ergibt sich damit ein Verstoß gegen Art. 48 DS-GVO.

Die Entscheidung des OLG Karlsruhe (Beschluss vom 7.9.2022, Az.: 15 Verg 8/22) betrifft inhaltlich das Vergaberecht und nicht die datenschutzrechtlichen Regelungen der Datenschutz-Grundverordnung (DS-GVO). Entscheidungsmaßstab waren daher die Bestimmungen des Gesetzes gegen Wettbewerbsbeschränkungen sowie der Verordnung über die Vergabe öffentlicher Aufträge. Die Regelungen bezüglich der Verantwortlichkeiten nach der Datenschutz-Grundverordnung (DS-GVO) sowie die restriktiven Vorgaben des Europäische Gerichtshofs (Urteil vom 16.7.2020 „Schrems-II)" hinsichtlich Datenübermittlungen in die USA wurden vom OLG Karlsruhe in dem vorliegenden Kontext insoweit nicht näher erörtert.

Das OLG Karlsruhe hat entschieden, dass im Fall einer Vergabe öffentlicher Aufträge die Zusicherung eines Bieters, er könne ein rechtmäßiges und damit auch datenschutzkonformes Produkt bzw. eine entsprechende Leistung anbieten, nicht von vornherein in Zweifel gezogen werden darf. Das gilt auch für Bieter, die digitale Anwendungen anbieten. Auf dieser Grundlage ist das Vergabeverfahren durchzuführen. Der Bieter trägt dann dafür die Verantwortung. Damit wird nichts über konkrete Anwendungen, Produkte oder Leistungen gesagt, sondern lediglich die Rolle des Bieters im Verfahren geschärft.

Im Fall einer Auftragsverarbeitung - wie dies bei der Verwendung von Softwareprodukten der Fall ist - bleibt ohnehin der Auftraggeber nach den Bestimmungen der DS-GVO für die ordnungsgemäße Datenverarbeitung verantwortlich (Art. 4 Nrn. 7 und 8, Art. 24 ff. DS-GVO). Art. 24 Abs. 1 DS-GVO sieht in diesem Zusammenhang vor, dass der Verantwortliche nicht nur sicherzustellen, sondern auch den Nachweis dafür zu erbringen hat, dass die Auftragsverarbeitung gemäß der Datenschutz-Grundverordnung erfolgt.

Das alleinige Vertrauen auf vertragliche Zusicherungen eines Auftragnehmers hinsichtlich der Datenschutzkonformität eines Produkts wäre mit diesen hohen Anforderungen nicht in Einklang zu bringen. Die Entscheidung des OLG Karlsruhe wird daher aller Voraussicht nach nicht dazu führen, dass die Datenschutzaufsichtsbehörden ihre bisherigen Stellungnahmen zur Nutzung außereuropäischer Softwareprodukte im schulischen Kontext ändern.

Die Datenschutzaufsichtsbehörden stehen - genauso wie die KMK - mit Microsoft in einem ständigen Austausch. Unlängst wurde bekannt, dass Microsoft neue Vertragsregelungen mit datenschutzrechtlichen Verbesserungen veröffentlicht hat, die derzeit von den Aufsichtsbehörden geprüft werden. Sie sind wohl u.a. eine Reaktion auf die Anregungen und Empfehlungen der Datenschutzaufsichtsbehörden und damit ein Schritt in die richtige Richtung, der aber noch nicht ausreicht.

In diesem Zusammenhang ist zu erwähnen, dass das Land Hessen eine Ausschreibung im Hinblick auf die an Schulen einzusetzenden Softwareanwendungen und insbesondere Videokonferenzsysteme vorgenommen hat. Dort hat ein in Hessen ansässiger Anbieter, der auf der Basis von BigBlueButton arbeitet, die Ausschreibung gewonnen. Damit ist auch in Hessen geplant, dass die Schulen künftig flächendeckend diese Anwendung einsetzen und andere Anwendungen nicht mehr nutzen (s. Pressemitteilung unter: https://kultusministerium.hessen.de/digitalisierung/landesweites-videokonferenzsystem-fuer-schulen).

Aktuellen Presseverlautbarungen ist zu entnehmen, dass US-Präsident Biden eine Executive Order für ein neues EU-US Data Privacy Framework unterzeichnet hat. Dem Vernehmen nach führt diese Order eine Reihe neuer Rechte für EU-Bürger:innen bei Überwachungsmaßnahmen von US-Sicherheitsbehörden ein. Allerdings liegt noch kein Text vor. Auf Grundlage dieser Executive Order wird die Europäische Kommission erneut einen Angemessenheitsbeschluss für die USA fassen, um die Übermittlung personenbezogener Daten in die USA zu ermöglichen. Dieser wird wohl frühestens Anfang 2023 erfolgen und unmittelbar gerichtlich angegriffen werden. Mittelfristig ist daher nicht mit einer rechtssicheren Situation zu rechnen.

Die datenschutzrechtlichen Probleme betreffen in erster Linie die Cloud-basierten Produkte, wie sie insbesondere häufig an Schulen eingesetzt werden. Exemplarisch für den Schulbereich finden sich hier Hinweise, unter welchen Voraussetzungen ein Einsatz von Microsoft 365 datenschutzrechtlich zulässig sein kann. Hierzu zählen

1. Der Betrieb von Microsoft 365 auf eigenen IT-Strukturen des Verantwortlichen („on-Premises-Lösung") oder bei Stellen innerhalb der EU/des EWR, die keiner Herausgabepflicht nach dem US-CLOUD-Act unterliegen. (Hinweis: Die aktuellen Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) sehen ebenfalls einen Verzicht auf die Cloud-Speicherung vor; IT-Grundschutzkompendium Baustein APP.1.1.A12 Verzicht auf Cloud-Speicherung).
2. Die Unterbindung der Übertragung von Telemetrie-Daten beim Einsatz von Microsoft 365 bzw. dem darunterliegenden Windows-Betriebssystem. Bei Windows 10 Enterprise kann eine Datenübermittlung an Microsoft durch Einstellungen im Betriebssystem weitgehend unterbunden werden.
3. Hierzu hat die Konferenz der Datenschutzaufsichtsbehörden des Bundes und der Länder Empfehlungen ausgesprochen
   - www.datenschutz.rlp.de/de/themenfelder-themen/windows-10/
   - www.datenschutzkonferenz-online.de/media/dskb/TOP_30_Beschluss_Windows_10_mit_Anlagen.pdf
   - www.datenschutzkonferenz-online.de/media/ah/20191106_win10_pruefschema_dsk.pdf
   sind daher zu berücksichtigen.
4. Eine Filterung bei der Übermittlung personenbezogener Telemetriedaten über eine entsprechende Infrastruktur (Firewall) soweit diese nicht durch Konfigurationsvorgaben unterbunden werden kann. Hier haben die Verantwortlichen durch vertragliche, technische oder organisatorische Maßnahmen sicherzustellen, dass nachweislich keine Übermittlung von Telemetriedaten an Microsoft stattfindet (Anmerkung: Im Rahmen eines Pilotprojektes in Baden-Württemberg, bei der eine schulbezogene Microsoft 365-Version eingesetzt wurde, war dies nach Auskunft des LfDI Baden-Württemberg allerdings nicht möglich. Eine entsprechende Filterung kann daher mit notwendigen funktionalen Einschränkungen verbunden sein.
5. Eine auf die sog. EU-Standard-Datenschutzklauseln gestützte Datenverarbeitung (Musterverträge). Nach der Schrems II-Entscheidung des EuGH sind bei Übermittlungen personenbezogener Daten in die USA jedoch zusätzliche Maßnahmen zu ergreifen, die sicherstellen, dass ein im Wesentlichen gleichwertiges Schutzniveau wie in der EU gewährleistet wird. Hier bedarf es allerdings noch der Klärung, welche konkreten Maßnahmen im Licht dieser vom EuGH klargestellten Anforderung und mit Blick auf die unterschiedlichen Nutzungsszenarien in Betracht kommen (Anmerkung: Rechtliche Mängel der Muster-Verträge zur Auftragsverarbeitung hinsichtlich MS Teams, insb. unzulässige Abweichungen von den Vorgaben des Art. 28 DS-GVO -  zusammengefasst von der Berliner Datenschutzbeauftragten mit Stand 2020, S. 20).
6. Die Verwendung dienstlicher pseudonymer Mailadressen/Accounts (idealerweise temporär aus einem Pool) und das Verbot der Nutzung privater Microsoft Accounts
7. Die Nutzung über einen vorkonfigurierten und abgesicherten Browser mit integrierten Schutzmaßnahmen zur weitest gehenden Anonymisierung/Gleichschaltung der Metadaten.
8. Die Zwischenschaltung entsprechend vorkonfigurierter Terminal-Clients zur weitest gehenden Anonymisierung/Gleichschaltung der Metadaten.
9. Die Verwendung schulseitig bereitgestellter und datensparsam konfigurierter Endgeräte.
10. Die Umleitung des Internetverkehrs über eine eigene Infrastruktur mit geeigneten technischen Maßnahmen zur Verschleierung der heimischen IP-Adressen.