Datenschutz: Kein Office 365 an deutschen Schulen einsetzbar
Der Einsatz von Microsoft Office 365 an Schulen ist datenschutzrechtlich unzulässig, soweit Schulen personenbezogene Daten in der europäischen Cloud speichern. Zu diesem Schluss kommt der Hessische Beauftragte für Datenschutz und Informationsfreiheit in einer nun veröffentlichten Stellungnahme.
Datenschutzkonformer Einsatz war möglich
Seit Jahren wird in Deutschland darüber diskutiert, ob Schulen Microsoft Office 365 datenschutzkonform anwenden können. Im August 2017 hat sich der Hessische Beauftragte für Datenschutz und die Informationsfreiheit (HBDI) nach umfangreicher Prüfung zur Deutschland-Cloud von Microsoft als einzige bundesdeutsche Aufsichtsbehörde für den Datenschutz hierzu geäußert. In seiner damaligen Stellungnahme hat der HBDI festgestellt, dass Office 365 durch Schulen datenschutzkonform in der Deutschland-Cloud angewendet werden kann, soweit die von Microsoft zur Verfügung gestellten Werkzeuge (zum Beispiel Rollen- und Berechtigungskonzept, Protokollierung etc.) durch die Schulen sachgerecht Anwendung finden.
Ohne Deutschland-Cloud kein Office 365 mehr an Schulen
Im August 2018 hat Microsoft der Öffentlichkeit mitgeteilt, dass für die Deutschland-Cloud keine Verträge mehr angeboten werden und der Vertrieb dieses Produkts eingestellt wird. Seither haben beim HBDI eine Vielzahl von Lehrkräften und Schulleitungen, aber auch Schulträger hinsichtlich der Nutzung von Office 365 in der europäischen Cloud angefragt, so der Datenschutzbeauftragte. Zudem ist in den vergangenen Monaten durch einzelne Schulträger Office 365 unabhängig von den ungeklärten datenschutzrechtlichen Fragestellungen massiv in die Schullandschaft hinein befördert worden.
Deshalb ist Office 365 unzulässig
Die Nutzung von Cloud-Anwendungen durch Schulen ist generell kein datenschutzrechtliches Problem. Schulen können sich datenschutzkonform digitaler Anwendungen bedienen, soweit die Sicherheit der Datenverarbeitung und die Teilhabe der Schülerinnen und Schüler gewährleistet ist. Anders stellt sich die Rechtslage bei Office 365 als Cloudlösung dar. Dabei ist der entscheidende Aspekt, ob die Schule als öffentliche Einrichtung personenbezogene Daten (von Kindern) in einer (europäischen) Cloud speichern kann, die beispielsweise einem möglichen Zugriff US-amerikanischer Behörden ausgesetzt ist. Öffentliche Einrichtungen in Deutschland haben eine besondere Verantwortung hinsichtlich der Zulässigkeit und Nachvollziehbarkeit der Verarbeitung personenbezogener Daten. Auch muss die digitale Souveränität staatlicher Datenverarbeitung gewährleistet sein.
Welche Daten Microsoft noch bekommt, ist unklar
Hinzu kommt ein weiteres Problem, auf das im Herbst 2018 das Bundesamt für Sicherheit in der Informationstechnologie die Öffentlichkeit hingewiesen hat. Mit der Verwendung des Betriebssystems Windows 10 werden eine Fülle von Telemetrie-Daten an Microsoft übermittelt, deren Inhalte trotz wiederholter Anfragen bei Microsoft nicht abschließend geklärt sind. Derartige Daten werden auch bei der Nutzung von Office 365 übermittelt.
Einwilligung keine Lösung
Schulen sind bislang auf die Einwilligung der Betroffenen angewiesen, soweit eine digitale, personenbezogene Datenverarbeitung in beziehungsweise durch sie stattfindet. Im Zusammenhang mit der Nutzung von Office 365 in der Cloud bietet die Einwilligung jedoch keine Lösung, weil die Sicherheit und Nachvollziehbarkeit der Datenverarbeitungsprozesse nicht gewährleistet sind. Deshalb ist die Datenverarbeitung unzulässig. Der Versuch dies durch eine Einverständniserklärung der Eltern zu erreichen, würde auch die besonderen Schutzrechte von Kindern zum Beispiel nach Art. 8 Datenschutz- Grundverordnung (DS-GVO) nicht hinreichend berücksichtigen, so der hessische Datenschutzbeauftragte.
Microsoft muss Lösung erarbeiten
Der HBDI wolle mit Microsoft eine Lösung dieses Problems erreichen, da man sich der Bedeutung von Office bewusst sei. Hier sei aber vor allem Microsoft gefordert. Sobald insbesondere die möglichen Zugriffe Dritter auf die in der Cloud liegenden Daten sowie das Thema der Telemetrie-Daten nachvollziehbar und datenschutzkonform gelöst sind, könne Office 365 als Cloud-Lösung von Schulen genutzt werden. Bis dahin seien nur Office-Pakete ohne Cloud möglich.
Auch Clouds von Apple und Google betroffen
Was für Microsoft gilt, ist auch für die Cloud-Lösungen von Apple und Google zutreffend. Die Cloud-Lösungen dieser Anbieter sind bislang ebenfalls nicht transparent und nachvollziehbar dargelegt worden, sagt der hessische Datenschutzbeauftragte, weshalb er auch von einem Einsatz dieser Lösungen an Schulen abrät.