Datenschutzbeauftragter

Office 365 an Schulen datenschutzrechtlich unzulässig

11.07.2019 von Peter Marwan
Der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) hat damit seine im August abgegebene Einschätzung geändert. Damals hielt er Office 365 in der Deutschland-Cloud für datenschutzkonform einsetzbar. Nun stehen die übertragenen Telemetrie-Daten von Windows 10 und Mängel bei der Nachvollziehbarkeit der Speicherung personenbezogener Daten dem entgegen.

Im August 2017 hatte sich der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) als einzige deutsche Aufsichtsbehörde zu einer Stellungnahme zum Einsatz von Office 365 in Schulen durchgerungen. Das damalige Konstrukt mit der Speicherung in der Deutschland-Cloud von Microsoft genügte demnach den Anforderungen - vorausgesetzt, die von Microsoft zur Verfügung gestellten Werkzeuge zur Regelung des Rollen-und Berechtigungskonzepts, der Protokollierung und weiterer Aspekte wurden sachgerecht eingesetzt. In einer neuerlichen Prüfung hat der Datenschutzbeauftragte seine Meinung jetzt revidiert.

Der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) sieht derzeit keine Möglichkeit, Office 365 oder entsprechende Dienste von Google und Apple an Schulen datenschutzkonform einzusetzen.
Foto: stockfour - shutterstock.com

Demnach ist aufgrund des veränderten Betriebsmodells der Einsatz von Microsoft Office 365 an Schulen datenschutzrechtlich unzulässig, soweit dabei personenbezogene Daten in der europäischen Cloud gespeichert werden. Das dürfte für viele Schulträger ein Problem werden, wurde der Dienst doch unabhängig von der ungeklärten datenschutzrechtlichen Fragestellung in den vergangenen Monaten in vielen Bildungseinrichtungen eingeführt. Die Angebote von Google und Apple sind übrigens keine Alternative. Auch auf sie treffen die vom HBDI geltend gemachten Bedenken hinsichtlich Transparenz und Nachvollziehbarkeit zu.

Lesetipp: Windows-Datenschutz auf BSI-Level - so geht's

Seine geänderte Einschätzung begründet der HBDI damit, dass trotz jahrelanger Diskussionen der Aufsichtsbehörden mit Microsoft wichtige Fragen noch ungeklärt seien und Schulen als öffentliche Einrichtungen eine besondere Verantwortung hinsichtlich Zulässigkeit und Nachvollziehbarkeit der Verarbeitung personenbezogener Daten hätten und darüber hinaus die "digitale Souveränität staatlicher Datenverarbeitung gewährleistet sein" müsse. Diese hohen Anforderungen sieht der HBDI nicht erfüllt. Ähnlich wie bei der im Herbst 2018 vom BSI kritisierten Übertragung von Telemetriedaten bei Windows 10 sei auch bei der Nutzung von Office 365 nicht abschließend geklärt, welche Daten wann, wie und warum erhoben und übertragen werden.

Das ist ein Microsoft-Problem. Generell hält der HBDI die Nutzung von Cloud-Anwendungen in Schulen durchaus für möglich, seien es nun Lernplattformen oder elektronische Klassenbücher. "Schulen können sich datenschutzkonform digitaler Anwendungen bedienen, soweit die Sicherheit der Datenverarbeitung und die Teilhabe der Schülerinnen und Schüler gewährleistet ist", teilt der Datenschutzbeauftragte mit. Bei Microsoft Office 365 sei aber genau das eben nicht der Fall.

Schulen könnten das Problem auch dadurch nicht lösen, dass sie eine Einwilligung der Schüler beziehungsweise der Erziehungsberechtigten einholen. Denn auch mit Einwilligung sei die Sicherheit und Nachvollziehbarkeit der Datenverarbeitung nicht gewährleistet und würden die besonderen Schutzrechte von Kindern nach Artikel 8 der Datenschutzgrundverordnung (DSGVO) "nicht hinreichend berücksichtigt".

Lesen Sie auch: Komplettpakete für Schulserver

Bis die offenen Fragen abschließend geklärt sind, könnten Schulen aber weiterhin Lizenzen auf lokalen Systemen nutzen. Die Verantwortung dafür, das bisher keine datenschutzkonforme Lösung vorliegt, sieht der Hessische Datenschutzbeauftragte übrigens nicht bei den deutschen Aufsichtsbehörden, sondern alleine bei Microsoft.