Mit Datum vom 12.09.2025 hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) insgesamt siebenPDF mit Empfehlungen für die Konfiguration von unter Windows installiertem Office (Versionen 2021 und 2024) und den Office Anwendungen Word, Excel, PowerPoint, Outlook, Access und Visio veröffentlicht. Die Empfehlungen richten sich an „mittelgroße bis große Organisationen, die ihre Endgeräte über Gruppenrichtlinien in einer Active Directory Umgebung verwalten“ und enthalten „konkrete Hinweise und Einstellungen“ für Administratoren, mit welchen sie das Sicherheitsniveau der Office-Anwendungen verbessern können. Für die Empfehlungen geht das BSI von den folgenden Grundannahmen aus:
- „Für Benutzende soll die Anzahl wichtiger Sicherheitsentscheidungen minimiert werden.
- Die benötigte Anwendungsfunktionalität soll nicht wesentlich beeinträchtigt werden.
- Nicht benötigte Funktionen sollen deaktiviert werden, um die Angriffsfläche zu verringern.
- Fokus auf Angriffsszenarien, die nach aktuellem Kenntnisstand auch ausgenutzt werden.
- Erhöhung des Datenschutzes, indem soweit wie möglich die Übertragungen von – für die Funktionalität nicht benötigte – Informationen an den Hersteller unterbunden wird (Telemetriedaten)
- Erhöhung des Datenschutzes, indem externe Cloud-Dienste vermieden werden.„
In der Empfehlung werden dann die jeweiligen Einstellungen für die sicherheitsrelevanten Gruppenrichtlinien angezeigt. Das BSI empfiehlt, Gruppenrichtlinien entweder auf „Aktiviert“ oder „Deaktiviert“ zu setzen, nicht jedoch auf „Nicht konfiguriert“, da es durch Updates immer möglich ist, dass sich die Bedeutung von „Nicht konfiguriert“ ändert.
Bewertung
Office wird in fast jeder schulinternen Verwaltung, im Sekretariat und in den Büros der Schulleitungen, wie auch Lehrerarbeitsplätzen unter Windows eingesetzt. Gerade dort ist IT-Sicherheit von essentieller Bedeutung, da dort auch sehr sensible Daten wie Gutachten im Rahmen von AO-SF Verfahren, Beurteilungen, Protokolle zu Ordnungsmaßnahmen, Informationen zum Förderstatus und ähnlich verarbeitet werden. In der Regel erfolgt die Administration durch Mitarbeiter der kommunalen IT oder beauftragte IT Dienstleister. Diese sollten die Empfehlungen des BSI kennen. Es kann aber nie ein Fehler sein, wenn Schulleitungen die Empfehlungen beim nächsten Runden Tisch mit diesen Personen ansprechen.
Meiner Meinung nach ist die Benutzung in der Schule von Teams und anderen Produkten von Microsoft schon lange nicht mehr DSGVO konform. Warum greifen die Datenschutzbeauftragten da nicht ein?
Die Datenschutzbeauftragten haben gegenüber den Schulen lediglich beratende Funktion. Selbst die Aufsichtsbehörden können letztlich nur tätig werden, wenn es Beschwerden gibt oder Datenschutzverstöße gemeldet werden. Sie haben dann jedoch nicht viele Handlungsoptionen. Sie können in letzter Konsequenz der einzelnen Schule, wo es Probleme gab, die angezeigt wurden, die Nutzung der Plattform untersagen. Generell die Nutzung untersagen können nur die Schulministerien der Bundesländer. In einzelnen Bundesländern ist die Nutzung der Plattformen von Microsoft nicht erlaubt.