Drittens behalte sich MS im DPA im Ergebnis umfangreiche Befugnisse vor, Daten ohne Weisung des Auftraggebers zu verarbeiten und Daten – auch gegenüber Drittstaaten – offenzulegen. – MS hat sich im DPA verpflichtet, personenbezogene Daten nur auf dokumentierte Anweisung des Kunden zu verarbeiten und hinsichtlich Offenlegungen sich der DS-GVO zu unterwerfen. […] Siebtens übermittle MS für den Betrieb von M365 personenbezogene Daten unzulässiger Weise in die USA und in andere Staaten. – Inzwischen verarbeitet MS die Daten fast vollständig im Europäischen Wirtschaftsraum. Die verbleibenden Datenübermittlungen in die USA und andere Staaten sind durch Angemessenheitsbeschlüsse der Europäischen Kommission und Standardvertragsklauseln gedeckt.

Ich bin kein Jurist und kein Datenschutzexperte. Deshalb kann ich schwer beurteilen, ob die Verpflichtungserklärungen zwischen Hessen und Microsoft tatsächlich geeignet sind, die gesetzlichen Vorgaben des Cloud Act auszuhebeln. Am Ende wird sich das möglicherweise nur im Einzelfall zeigen.

Das Training von KI-Modellen mit personenbezogenen Daten soll als berechtigtes Interesse von Unternehmen anerkannt werden, heißt es in einem Positionspapier von Bitkom. Die Datenschutzgrundverordnung (DSGVO) erlaubt die Verarbeitung personenbezogener Daten nur unter definierten Voraussetzungen. Eine von ihnen ist die Wahrung sogenannter berechtigter Interessen. Bislang ist nicht geklärt, ob die Entwicklung und Verwendung von künstlicher Intelligenz dazu zählen. Mit der Stellungnahme des EDSA soll es diese Klarheit geben. Zwar sind diese nicht rechtlich bindend, aber der Europäische Gerichtshof und nationale Gerichte orientieren sich an ihnen.

Es stimmt mich bedenklich, wenn man verlangt, unseren hohen Standart des Datenschutzes, den wir in Deutschland und generell in Europa setzen, durch aufgrund eines Hypes abzuschwächen.

Das wird problematisch, da die Hersteller von KI-Modellen bislang nicht in der Lage sind, diese personenbezogenen Daten entsprechend der DSGVO Vorgaben zu löschen oder zu korrigieren.

Gleichzeitig könnte es ein außerordentliches Alleinstellungsmerkmal sein, ein Modell zu entwickeln, dass das Etikett „datenschutzfreundlich“ tragen dürfte.

Im Jahr 2019 zeigte die Firma selbst an, dass sie versehentlich Millionen Passwörter für Facebook- und Instagram-Nutzer im Klartext gespeichert hatte.

1. Unternehmen können sich ihrer Auskunftspflicht nach der DSGVO nicht dadurch entziehen, dass sie die betreffenden Daten einfach löschen.
2. Aufsichtsbehörden sind verpflichtet, bei Kenntnis von Verstößen tätig zu werden.

Das ist allerdings nicht das eizige Problem im Zusammenhang mit 365 Education. Obwohl die Beschwerdeführerin nie eingewilligt hat, getrackt zu werden, wurden mehrere Cookies installiert. Laut Microsofts eigener Dokumentation analysieren diese das Nutzungsverhalten, sammeln Browserdaten und werden für Werbung verwendet. Die Schule der Beschwerdeführerin wusste offenbar gar nicht darüber Bescheid. Bedenkt man die weite Verbreitung von Microsoft 365 Education, trackt das Unternehmen höchstwahrscheinlich alle minderjährigen Nutzer:innen seiner Softwareprodukte -und das ohne eine gültige Rechtsgrundlage.

Die Integration von Microsoft 365 in Bildungsinfrastrukturen halte ich für kritisch zu betrachten. Während Microsoft die Verantwortung für den Datenschutz auf die Schulen schiebt, argumentieren diese, die Software biete keine ausreichenden Administrations- oder Auskunftsmöglichkeiten.

Inmitten dieser Debatte stelle ich in Frage, ob Microsoft tatsächlich in der Lage ist, Datenschutzeinwilligungen ausschließlich mit den betreffenden Bildungseinrichtungen auszuhandeln, ohne jemals einem Schüler die Aufforderung zur Zustimmung zur Datenverarbeitung auf dem Bildschirm zu präsentieren.

Zudem ist es meiner Ansicht nach unwahrscheinlich, dass Microsoft noch zuverlässig unterscheiden kann, aus welcher Quelle die Daten stammen - ob von Bildungseinrichtungen, Endverbrauchern, Verwaltungen oder Unternehmen.

Es erscheint unwahrscheinlich, dass Microsoft für jede Zielgruppe mit individuellen Rechten separate Entwicklungspfade vorhält. Vielmehr scheint es, als ob sie einen Hauptentwicklungszweig nutzen und lediglich geringfügige Anpassungen vornehmen, um den jeweiligen Anforderungen gerecht zu werden. Ein minimaler Fehler in den genannten Anpassungen könnte ausreichen, um alle Daten wieder zu vermischen. Zum Nachteil der Nutzer kann niemand sicher kontrollieren, ob Daten nicht unbeabsichtigt doch verwendet werden.

Es ist unerlässlich, Schülerinnen und Schüler als besonderen Schutzbedürftigen zu betrachten, solange sie nicht in der Lage sind, selbstständig über die Verwaltung ihrer persönlichen Daten zu entscheiden. Daher ist mein Appell, an Schulen ausschließlich Software zu verwenden, die ihren Ursprung in Europa hat. Diese ist bereits in ihren Grundzügen an die Datenschutz-Grundverordnung (DSGVO) geknüpft. Zudem muss sie explizit unter Berücksichtigung der Bedürfnisse von Bildungseinrichtungen konzipiert worden sein. Dies stellt einen klaren Kontrast zur Praxis bei Microsoft 365 dar, wo die Anpassungen erst nach langwierigen Prozessen erfolgten, bis sie eventuell passten.

Laut der Initiative sollen Firmen nicht mehr nach dem Gesetz gegen den unlauteren Wettbewerb (UWG) gegen Konkurrenten vorgehen können, weil diese möglicherweise gegen datenschutzrechtliche Vorschriften wie die DSGVO verstoßen haben. Das bedeutet, dass Datenschutzverletzungen generell von einer Abmahnung und Verfolgung nach dem UWG ausgeschlossen wären.

Das hört sich für mich an wie der Wunsch, die Pflichten aus der Datenschutzgrundverordnung (DSGVO) lockerer zu handhaben. Meiner Überzeugung nach sollten diejenigen, die sich an die Vorgaben halten, keine Angst vor möglichen rechtlichen Schritten der Konkurrenz haben. Ich kann dem Vorschlag daher auch nicht befürworten.

Der Europäischen Datenschutzausschusses teilt in »Czech SA imposed fine of 13.9 million EUR for infringement of Art. 6 and Art. 13 of GDPR« mit:

The LSA concluded that internet browsing history, even if not complete, may constitute personal data, since re-identification of at least some of the data subjects could occur. The controller’s infringement is even graver considering that it is one of the foremost experts on cybersecurity that offers tools for data and privacy protection to the public.

Die ganze Story kann man in »Leaked Documents Expose the Secretive Market for Your Web Browsing Data« noch mal nachlesen.