Über das Portal Frag den Staat wurde am 06.09.2021 ein Dokument veröffentlicht, welches Teil der Anfrage „Bewertungen und Empfehlungen des LfDI zu Office 365 an Schulen“ ist. Es handelt sich dabei um das Dokument Pilot Nutzung MS an Schulen: Empfehlungen des LfDI.pdf. Hintergrund der Anfrage im Rahmen des Informationsfreiheitsgesetzes Baden Württemberg waren die Bemühungen des Kultusministeriums den Schulen des Bundeslandes Office 365 als Teil der Digitalen Bildungsplattform zur Verfügung zu stellen. Um die Umsetzbarkeit mit Bezug auf Datenschutz zu prüfen, gab es einen Piloten unter Beteiligung des Landesbeauftragten für Datenschutz und Informationsfreiheit Baden Württemberg. Eine speziell konfigurierte Softwareversion kam dabei zum Einsatz. Am mehrere Monate dauernden Piloten beteiligt waren freiwillige Lehrkräfte aus Berufsschulen.
Während des Piloten wurde die Office 365 Konfiguration einer technischen Prüfung bezüglich der kontaktierten Hosts und von Telemetriedaten unterzogen. Es wurden eine Reihe von technischen Mängeln festgestellt. Diese legte man Microsoft vor. Die kritisierten Befunde konnten bis kurz vor der Erstellung der Empfehlung der Aufsichtsbehörde im April mit Microsoft nicht geklärt werden.
Im Ergebnis kam heraus, dass die untersuchte Version von Office 365 für den Einsatz in Schulen zahlreichen ungeklärte datenschutzrechtliche Risiken birgt. Woraus sich diese Risiken ergeben, wird an verschiedenen Beispielen erläutert. Es geht dabei um die Verarbeitung von personenbezogenen Daten durch Microsoft zu eigenen Zwecken, die fehlende Rechtsgrundlage dieser Verarbeitung, die Übermittlung von Telemetriedaten in die USA, die Aufzeichnung und Auswertung von Nutzer- und Geräteverhalten ohne fehlende Rechtsgrundlage, das Fehlen einer vollständigen Übersicht über alle Verarbeitungen von personenbezogenen Daten (auch zu eigenen Zwecken von Microsoft), die nicht vollständige Umsetzung der Ende-zu-Ende Verschlüsselung, die Kontrolle Microsofts über die Schlüsselverwaltung (und damit die Möglichkeit, dass Microsoft und Mitarbeiter auf die Daten zugreifen können) und die mangelhafte Wirksamkeit von Nutzungsordnungen, um die Verarbeitung von besonderen Kategorien von personenbezogenen Daten zu verhindern.
Verantwortliche können, so stellt der LfDI abschließend fest, ihren Verpflichtungen nach Art. 5 Abs. 2 DS-GVO nicht nachkommen, da ihnen hierfür nicht alle erforderlichen Informationen zu stattfindenden Verarbeitungen von personenbezogenen Daten vorliegen. Was im Piloten dem Kultusministerium mit Unterstützung des LfDI nicht gelang, wird auch keiner einzelnen Schule möglich sein:
„Wenn es trotz großer Anstrengungen, hohem Personaleinsatz und Zugang zu versierten Microsoft-Technikern im Rahmen des Pilotbetriebs selbst dem Kultusministerium mit intensiver Unterstützung des LfDI nicht gelungen ist, eine hinreichende Klarheit über Datenflüsse, Rechtsgrundlagen und technische Maßnahmen des Anbieters zu erlangen, so ist es schwer vorstellbar, dass einzelnen Schulen dieses besser gelingt. Da die Schulen jedoch Verantwortliche für die Verarbeitungen von Schülerdaten sind und insoweit eine Garantenstellung einnehmen, liegt hier ein ungelöstes Datenschutzproblem im Sinne von Artikel 5 Absatz 2 DS-GVO vor.“
Da es im schulischen Einsatz von digitalen Plattformen um die personenbezogenen Daten von Kindern geht, deren Daten von der DS-GVO unter einen besonderen Schutz gestellt werden, kommt diesem Problem noch einmal eine größere Bedeutung zu.
Die „Risiken bei Nutzung der im Pilotprojekt eingesetzten Produkte erscheinen aus Sicht des LfDI inakzeptabel hoch.„
Aus diesem Grund empfiehlt der LfDI den „Einsatz von eingrenzbaren technischen Lösungen“ als Risikominimierung. Das meint kleinere Plattformen, bei denen die stattfindenden Verarbeitungsprozesse überschaubarer sind.
Bewertung
Das Dokument ist eine Lektüre für alle, die sich mit dem Einsatz von Office 365/ Microsoft 365 und vergleichbar mächtigen Plattformen in Schule beschäftigen. Was hier sehr deutlich wird, sind die Maßstäbe, welche die Aufsichtsbehörde anlegt, wenn es um den Schutz der personenbezogenen Daten von Schülerinnen und Schülern und die datenschutzrechlichen Verantwortlichkeiten der Schulen geht. Letztlich hat der Pilot keine wirklich neuen Erkenntnisse zu den datenschutzrechlichen Problemen von Office 365/ Microsoft 365 gebracht. Alle aufgezeigten Probleme, vor allem im Zusammenhang mit den abfließenden Telemetriedaten, deren mangelhafter Offenlegung durch Microsoft sowie der fehlenden Rechtsgrundlagen für die Verarbeitung dieser Daten für eigene Zwecke Microsofts waren bereits vom Arbeitskreis der Datenschutzkonferenz wie auch einzelnen Aufsichtsbehörden festgestellt worden.
Besonders interessant ist für den Betreiber dieser Seite die Bewertung der Wirksamkeit von Nutzungsordnungen als organisatorische Maßnahme zur Reduzierung von Risiken. Wie die Aufsichtsbehörde feststellt, reicht es schon bei Lehrkräften nicht aus, die Verarbeitung von besonderen Kategorien von Daten in Office 365 per Nutzungsverordnung zu untersagen, und kommt so zu dem Schluss:
„Wenn diese Maßnahme bereits bei Lehrkräften nicht ausreichend ist, so ist davon auszugehen, dass sie bei der Schülerschaft gänzlich ungeeignet ist.„
Diese Einschätzung teilt übrigens auch die LDI NRW in einem dem Betreiber dieser Seite vorliegenden Schreiben vom Juli 2021:
„Darüber hinaus haben wir große Bedenken, ob man gerade auch von jüngeren Schüler*innen, erwarten und verlangen kann, dass sie in der Lage sind, datensparsam mit dem Medium Microsoft 365 umzugehen.“
Dass nach diesen Befunden die Aufsichtsbehörde Baden Württemberg nun daran geht, Beschwerden von Betroffenen an Schulen, die Office 365/ Microsoft 365 nutzen, aktiv nachzugehen, ist letztlich nur konsequent. Es wird vermutlich damit enden, dass viele Schulen ihre Nutzung der Plattform aufgeben – entweder weil sie zu sehr unter Druck durch die Aufsichtsbehörde und Beschwerden stehen oder weil ihnen die Nutzung durch die Aufsichtsbehörde sogar untersagt wurde.
Sollte es einer Schule gelingen, die Aufsichtsbehörde mit ihren getroffenen Maßnahmen zur Reduzierung der Risiken auf ein vertretbares Maß bei Nutzung der Microsoft Plattform zu überzeugen, wird die Aufsichtsbehörde mit Sicherheit die Letzte sein, welche ihr die Nutzung untersagt. Das heißt auch, je länger eine Schule ohne Beschwerden und Prüfung durch die Aufsichtsbehörde durchkommt, umso größer sind die Chancen, dass Microsoft seine Datenverarbeitungsprozesse und das Vertragswerkt angepasst hat, so dass Schulen die datenschutzrechtlichen Vorgaben des Schulgesetzes und der DS-GVO problemlos einhalten können. Alle, die es vorher erwischt, werden in den sauren Apfel beißen und die Plattform wechseln müssen. Ob von denen dann, wenn Microsoft irgendwann einmal die Kurve kriegt, irgendeine wieder zurückwechseln wird, ist fraglich.
Das Thema Datenübermittlung in die USA (Schrems II Urteil) sollte sich bis Ende 2022 erledigt haben, denn bis dahin sollten auch alle Schulen mit MS 365 ihre Daten, einschließlich Telemetriedaten, komplett in der EU Datenzone verarbeiten.
Hallo Mrtee,
was bedeutet der letzte Abschnitt: „ Das Thema Datenübermittlung in die USA (Schrems II Urteil) sollte sich bis Ende 2022 erledigt haben, denn bis dahin sollten auch alle Schulen mit MS 365 ihre Daten, einschließlich Telemetriedaten, komplett in der EU Datenzone verarbeiten.“?
Möglichst bis Ende 2022 durchhalten und dann wird die Nutzung von MS365 auf rechtssichere Beine gestellt?
VG
Jan
Es würde genau dieses bedeuten. Aber man sollte nicht vergessen, dass auch eine ausschließliche Verarbeitung innerhalb der EU kein Allheilmittel darstellt, da die Daten weiterhin auf Servern von Microsoft verarbeitet werden und diese dem CLOUD-Act unterliegen. Wie wir aus Transparenzberichten wissen, werden die Anfragen von US Ermittlungsbehörden an Microsoft zur Herausgabe von personenbezogenen Daten von auf EU Servern gespeicherten Daten nicht weniger. Trotzdem stellt diese Maßnahme von Microsoft für mich einen riesigen Schritt in die richtige Richtung dar. Vieles ist in Bewegung. Man muss abwarten. Und leider dauert es eben auch noch bis Ende 2022 bis die Umstellung abgeschlossen ist. Bis dahin könnte die Luft sehr dünn werden für Schulen.
Danke dafür die Antwort!