Gratis
12. Juli 2019 - Microsoft

Office 365 an Schulen nicht zulässig

Drucken

Der Einsatz von Microsoft Office 365 an Schulen ist datenschutzrechtlich unzulässig, soweit Schulen personenbezogene Daten in der europäischen Cloud speichern. Dieser Meinung ist der hessische Beauftragte für Datenschutz und Informationsfreiheit.

Der hessische Beauftragte für Datenschutz und Informationsfreiheit stellt fest: Der Einsatz von Microsoft Office 365 an Schulen ist datenschutzrechtlich unzulässig. Weil die Treuhänder-Cloud von Microsoft und der Telekom eingestellt wurde, dürfen Schulen Microsoft Office 365 in Zukunft nicht mehr verwenden. Das System sei datenschutzrechtlich unzulässig, so der hessische Datenschutzbeauftragte. (Bild: Ridofranz / iStock / Getty Images Plus)

Zu dieser Einschätzung kommt der hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) in einer aktuellen Stellungnahme.

Damit revidiert er eine früher getroffene Würdigung des Office-Pakets von Microsoft.

Das Office-365-Angebot umfasst unter anderem

  • E-Mail-Hostig,
  • cloudbasierte Speichersysteme,
  • ein Rollen- und Berechtigungskonzept sowie
  • Anwendungen zum Teilen und Protokollieren.

2017 galt Office 365 als unbedenklich

Im August 2017 hatte der HBDI die Verwendung von Office 365 an deutschen Schulen noch für rechtens erklärt.

Das Amt hatte das Angebot als einzige bundesdeutsche Datenschutzbehörde eingehend geprüft.

Die Datenschützer meldeten, dass Schulen das Angebot von Microsoft datenschutzkonform betreiben könnten.

Die Voraussetzungen dafür sei die “Deutschland-Cloud“ – ein besonderes Angebot von Microsoft.

Vorzeigemodell Treuhand-Cloud

Die Cloud wurde von Microsoft selbst angeboten und von der Telekom als Treuhänder verwaltet. Daten sollten darin isoliert gespeichert werden.

Die Treuhand-Cloud war also von den Microsoft-Systemen abgekoppelt. Somit hat der Technologie-Gigant keinen Zugriff auf die Daten.

Soweit die Schulen die von Microsoft zur Verfügung gestellten Werkzeuge sachgerecht anwenden, gäbe es datenschutzrechtlich also kein Problem – so damals der HBDI.

Mangelnde Nachfrage am deutschen Markt

Microsoft stellte die abgekoppelte deutsche Cloud Lösung allerdings Ende letzten Jahres ein.

Offensichtlich bringt das System nicht den gewünschten Erfolg. Die Amerikaner teilten mit, dass sie entsprechende Verträge wegen mangelnder Nachfrage nicht mehr anbieten. Datenschutz PRAXIS berichtete.

Neue Einschätzung durch HBDI

Der Standort der Cloud und – davon abhängig – wer auf die Daten zugreifen kann, sind wichtige Rahmenbedingungen.

Mit der Änderung hat der hessische Beauftragte für Datenschutz und Informationsfreiheit das Angebot datenschutzrechtlich erneut bewertet.

Generell ist die Nutzung von Cloud-Anwendungen in den Schulen kein datenschutzrechtliches Problem, heißt es in der Stellungnahme.

An vielen Schulen Hessens kommen solche Lösungen bereits zum Einsatz. Allerdings stelle sich die Situation im Zusammenhang mit Office 365 anders da.

Starke Auflagen für öffentliche Einrichtungen

Im Kern bemängelt der Datenschutzbeauftragte zwei Aspekte.

Zum einen ist es fraglich, ob Schulen als öffentliche Einrichtung personenbezogene Daten in einer europäischen Cloud speichern dürfen.

Denn hier besteht das Risiko, dass US-amerikanische Behörden auf diese Informationen zugreifen könnten.

In diesem Zusammenhang weist die Stellungnahme darauf hin, dass Schulen eine besondere Verantwortung hinsichtlich des Datenschutzes trifft. Die Daten von Kindern unterliegen einem besonderen Schutz.

Außerdem müssen öffentliche Einrichtungen in Deutschland besonders auf die Zulässigkeit und Nachvollziehbarkeit der Verarbeitung personenbezogener Daten achten.

Bekannte Windows 10 Problematik

Dazu kommt noch ein weiteres Problem, auf das bereits das Bundesamt für Sicherheit in der Informationstechnik (BSI) hingewiesen hatte.

Die Cloud-Lösung von Microsoft basiert auf dem neuesten Betriebssystem des Technikriesen: Windows 10. Wer Windows 10 nutzt, übermittelt eine Fülle von Telemetrie-Daten an Microsoft, über die keine ausreichende Transparenz besteht, so das BSI.

Einwilligung der Eltern reicht nicht aus

Weil die Sicherheit und Nachvollziehbarkeit der Datenverarbeitungsprozesse nicht gewährleistet werden können, ist die Datenverarbeitung unzulässig.

Das könne auch nicht durch eine Einwilligung, etwa durch eine Einverständniserklärung der Eltern, geheilt werden.

Diese würde die besonderen Schutzrechte von Kindern z.B. nach Art. 8 Datenschutz-Grundverordnung (DSGVO) nicht hinreichend berücksichtigen.

Auch andere Cloud-Lösungen betroffen

Abschließend weist die Stellungnahme darauf hin, dass die Einschätzung zu Office 365 auch für Cloud-Lösungen von Google und Apple zutreffe.

Die Datenverarbeitungsprozesse dieser Lösungen seien bislang ebenfalls nicht transparent und nachvollziehbar dargelegt worden.

Deshalb gilt auch hier, dass für Schulen die datenschutzkonforme Nutzung derzeit nicht möglich ist.

Stephan Lamprecht