Zwei Gerichtsentscheidungen haben in jüngster Zeit für mehr Rechtssicherheit bei der Nutzung von Microsoft (auch) für Schulen gesorgt. Das Verwaltungsgericht Neustadt an der Weinstraße wies die Beschwerde von zwei Bürgern zurück, die gegen die Datenerhebung im Rahmen des Zensus 2022 durch einen US-Konzern geklagt hatten. Das Oberlandesgericht Karlsruhe beschied zuvor einem klagenden Konkurrenzunternehmen, dass die Beauftragung eines US-amerikanischen Cloud-Dienste-Anbieter rechtens sei. In beiden Fällen lautet die Begründung – die auch Schulen und ihre Träger betrifft: Öffentliche Auftraggeber dürfen darauf vertrauen, wenn beauftragte IT-Unternehmen erklären, den Datenschutz einzuhalten.
Stein des Anstoßes ist die vermeintliche Übermittlung von Daten in die USA. Dort herrsche kein vergleichbares Datenschutzniveau wie in der EU, heißt es. Im Fall, den das Verwaltungsgericht Neustadt an der Weinstraße verhandelte, war es ein Bundesland selbst (genauer: das Statistische Landesamt von Rheinland-Pfalz), das einen US-amerikanischen IT-Dienstleister in den Betrieb der Internetpräsenz „www.zensus2022.de“ eingebunden hatte. Die Kläger argumentierten nun, das Unternehmen könne auf technische Daten der Nutzerinnen und Nutzer zugreifen – und wollten das unterbunden wissen.
Das Verwaltungsgericht wies das Ansinnen in einem Beschluss vom 27. Oktober 2022 (Az: 3 L 763/22.NW) zurück. Die Begründung: Das Recht auf informationelle Selbstbestimmung sei nicht verletzt worden.
In der Pressemitteilung zum Beschluss heißt es wörtlich: „Die Heranziehung zur Auskunftserteilung verstoße auch nicht gegen datenschutzrechtliche Bestimmungen und sei insbesondere mit den Regelungen der Datenschutzgrundverordnung vereinbar. Das Hosting des öffentlichen Bereichs der Zensus 2022-Homepage durch einen US-amerikanischen Dienstleister stehe der Rechtmäßigkeit der Durchführung des Zensus 2022 nicht entgegen. Die Verarbeitung von Hosting-Daten durch den Dienstleister erfolge nur in europäischen Rechenzentren und unter ausschließlicher Nutzung europäisch registrierter IP-Adressen. Befragungsdaten der Auskunftspflichtigen zum Zensus seien von der Verarbeitung nicht umfasst, sondern lediglich allgemein zugängliche Metadaten, wie IP-Adresse des Abrufs, Internetbrowser, Betriebssystem oder Uhrzeit des Seitenaufrufs.“
Wir sehen aktuell keine datenschutzrechtlichen Bedenken bezüglich der Nutzung der Microsoftprodukte an Ihren Schulen
Das Gericht betont zudem: Der Antragsgegner (also das Land) dürfe auf die vertraglichen Zusagen des Dienstleisters, den Datenschutz einzuhalten, vertrauen. Gegen den Beschluss ist eine Beschwerde zulässig.
Ein anderer Fall – eine ähnliche Argumentation: Öffentliche Auftraggeber, im verhandelten Fall zwei Krankenhausgesellschaften in kommunaler Hand, dürfen sich auf die bindenden Zusagen des Anbieters verlassen, dass die Daten ausschließlich in Deutschland verarbeitet und in kein Drittland übermittelt werden (in dem dann die strengen europäischen Datenschutzregeln nicht gelten), befand das Oberlandesgericht Karlsruhe in letzter Instanz.
Grundsätzlich sei davon auszugehen, dass ein Bieter seine vertraglichen Zusagen erfüllen werde. Erst wenn sich aufgrund konkreter Anhaltspunkte Zweifel daran ergäben, müsse der öffentliche Auftraggeber ergänzende Informationen einholen und die Erfüllbarkeit des Leistungsversprechens prüfen, entschieden die Richter (Az.: 15 Verg 8/22).
Wörtlich führt der Senat aus: „Anders als die Antragstellerin meint, musste nicht allein die Tatsache, dass die A. ein Tochterunternehmen eines US-amerikanischen Konzerns ist, die Antragsgegnerinnen (die beklagten Krankenhausgesellschaften, d. Red.) an der Erfüllbarkeit des Leistungsversprechens zweifeln lassen. Die Antragsgegnerinnen mussten nicht davon ausgehen, dass es aufgrund der Konzernbindung zu rechts- und vertragswidrigen Weisungen an das Tochterunternehmen kommen wird bzw. das europäische Tochterunternehmen durch seine Geschäftsführer gesetzeswidrigen Anweisungen der US-amerikanischen Muttergesellschaft Folge leisten wird.“
Die „Frankfurter Allgemeine Zeitung“ sieht die grundsätzliche Bedeutung des Urteils: Das OLG Karlsruhe habe „überzogene datenschutzrechtliche Bedenken“ kassiert, so heißt es. Die Konsequenz: „Amazon, Microsoft oder Google dürfen weiter auf Aufträge deutscher Behörden hoffen.“ Also auch von Schulen und Schulträgern.
Der Verband Deutscher Privatschulverbände (VDP) hat bereits reagiert und seine Mitglieder informiert: „Wir sehen aktuell keine datenschutzrechtlichen Bedenken bezüglich der Nutzung der Microsoftprodukte an Ihren Schulen“ – er beruft sich dabei auf Gespräche mit Microsoft sowie auf das Urteil des Oberverwaltungsgerichts Karlsruhe. „Wir können davon ausgehen, dass dieses Urteil und die von Microsoft verfasste Stellungnahme zu einer höheren Rechtssicherheit für Schulen in freier Trägerschaft führt. Wenn – wie Microsoft in seiner Stellungnahme erläutert – Cloud-Lösungen fortlaufend die aktuellen Sicherheitsanforderungen (z.B. Art. 32 DS-GVO) abbilden, können Sie darauf Bezug nehmen bzw. sich darauf verlassen“, so teilt der Verband mit. Hintergrund: Microsoft hat unlängst ein Papier herausgegeben, in dem der Konzern ausführlich Stellung zum Datenschutz nimmt.
