Office 365 für Schulen?

Stellungnahme des Hessischen Beauftragten für Datenschutz und Informationsfreiheit zum Einsatz von Microsoft Office 365 in hessischen Schulen vom 09.07.2019.

 

1. Vorbemerkung

Seit Jahren wird in Deutschland darüber diskutiert, ob Schulen die Microsoft-Software Office 365 datenschutzkonform anwenden können. Im August 2017 hat sich der Hessische Beauftragte für Datenschutz und die Informationsfreiheit (HBDI) nach umfangreicher Prüfung zur Deutschland-Cloud von Microsoft als einzige bundesdeutsche Aufsichtsbehörde für den Datenschutz hierzu geäußert. In seiner damaligen Stellungnahme hat der HBDI festgestellt, dass Office 365 durch Schulen datenschutzkonform in der Deutschland-Cloud angewendet werden kann, soweit die von Microsoft zur Verfügung gestellten Werkzeuge (z.B. Rollen- und Berechtigungskonzept, Protokollierung etc.) durch die Schulen sachgerecht Anwendung finden. Im August 2018 hat Microsoft der Öffentlichkeit mitgeteilt, dass für die Deutschland-Cloud keine Verträge mehr angeboten werden und der Vertrieb dieses Produkts eingestellt wird. Seither haben beim HBDI eine Vielzahl von Lehrkräften und Schulleitungen, aber auch Schulträger hinsichtlich der Nutzung von Office 365 in der europäischen Cloud angefragt. Zudem ist in den vergangenen Monaten durch einzelne Schulträger Office 365 unabhängig von den ungeklärten datenschutzrechtlichen Fragestellungen massiv in die Schullandschaft hinein befördert worden.

2. Warum die Cloudanwendung von Office 365 derzeit unzulässig ist

Die Nutzung von Cloud-Anwendungen durch Schule ist generell kein datenschutzrechtliches Problem. Viele Schulen in Hessen wenden bereits Cloud-Lösungen an. Ob zum Beispiel die Lernplattform oder das elektronische Klassenbuch: Schulen können sich datenschutzkonform digitaler Anwendungen bedienen, soweit die Sicherheit der Datenverarbeitung und die Teilhabe der Schülerinnen und Schüler gewährleistet ist. Anders ist die Rechtslage bei Office 365 als Cloudlösung. Seit Jahren befinden sich die Aufsichtsbehörden mit Microsoft in der Diskussion. Dabei ist der entscheidende Aspekt, ob die Schule als öffentliche Einrichtung personenbezogene Daten (von Kindern) in einer (europäischen) Cloud speichern kann, die z.B. einem möglichen Zugriff US-amerikanischer Behörden ausgesetzt ist. Öffentliche Einrichtungen in Deutschland haben eine besondere Verantwortung hinsichtlich der Zulässigkeit und Nachvollziehbarkeit der Verarbeitung personenbezogener Daten. Auch muss die digitale Souveränität staatlicher Datenverarbeitung gewährleistet sein. Hinzu kommt ein weiteres Problem, auf das im Herbst 2018 das Bundesamt für Sicherheit in der Informationstechnologie die Öffentlichkeit hingewiesen hat. Mit der Verwendung des Betriebssystems Windows 10 werden eine Fülle von Telemetrie-Daten an Microsoft übermittelt, deren Inhalte trotz wiederholter Anfragen bei Microsoft nicht abschließend geklärt sind. Derartige Daten werden auch bei der Nutzung von Office 365 übermittelt.

3. Kann Schule mit Hilfe der Einwilligung das Problem lösen?

Schule ist bislang auf die Einwilligung der Betroffenen angewiesen, soweit eine digitale, personenbezogene Datenverarbeitung in bzw. durch Schule stattfindet. Ob die Einwilligung der Betroffenen in bestimmten Situationen die digitale, personenbezogene Datenverarbeitung rechtfertigt, kann dahin gestellt bleiben. Im Zusammenhang mit der Nutzung von Office 365 in der Cloud bietet die Einwilligung jedenfalls keine Lösung, weil die Sicherheit und Nachvollziehbarkeit der Datenverarbeitungsprozesse nicht gewährleistet sind. Deshalb ist die Datenverarbeitung unzulässig. Der Versuch eine Heilung durch eine Einverständniserklärung der Eltern zu erreichen, würde auch die besonderen Schutzrechte von Kindern z.B. nach Art. 8 Datenschutz-Grundverordnung (DS-GVO) nicht hinreichend berücksichtigen. Mit der Einwilligung der Eltern ist das Problem also nicht gelöst.

4. Wie sehen die Perspektiven für die Nutzung von Office 365 aus?

Der HBDI kennt die Bedarfe, die insbesondere berufliche Schulen für die Nutzung von Office-Paketen geltend machen. Deshalb besteht auch das Interesse, zusammen mit Microsoft zu einer datenschutzkonformen Lösung zu kommen. Dies liegt jedoch nicht am HBDI oder den anderen bundesdeutschen Aufsichtsbehörden, sondern vor allem an Microsoft selbst. Sobald insbesondere die möglichen Zugriffe Dritter auf die in der Cloud liegenden Daten sowie das Thema der Telemetrie-Daten nachvollziehbar und datenschutzkonform gelöst sind, kann Office 365 als Cloud-Lösung von Schulen genutzt werden. Bis zu diesem Zeitpunkt kann sich Schule aber anderer Instrumente wie z.B. On-Premises Lizenzen auf lokalen Systemen bedienen.

5. Andere Cloudlösungen von z.B. Google und Apple

Was für Microsoft gilt, ist auch für die Cloud-Lösungen von Google und Apple zutreffend. Die Cloud-Lösungen dieser Anbieter sind bislang ebenfalls nicht transparent und nachvollziehbar dargelegt worden. Deshalb gilt auch hier, dass für Schulen die datenschutzkonforme Nutzung derzeit nicht darstellbar ist.