Wie Golem schon am 21.04.2026 in einem Beitrag mit dem Titel „Hannover kauft falsche Microsoft-Lizenzen für 324.000 Euro“ unter Bezug auf die Hannoversche Allgemeine Zeitung (HAZ) berichtet, wurden in der Hauptstadt des Landes Niedersachsen schon 2025 Microsoft 365 Lizenzen für rund 75.000 Schülerinnen und Schüler an über 100 Schulen der Stadt erworben. Nun stellte sich heraus, dass man einen falschen Lizenztyp ausgewählt hatte. Dieser ist mit einem Standard DPA1„Das Microsoft 365 Data Protection Addendum (DPA) ist ein verbindlicher Vertrag, der Microsofts Einhaltung der DSGVO-Anforderungen (Art. 28) bei der Verarbeitung personenbezogener Daten für Kunden des Unternehmens zusichert.“ verknüpft, welches nicht den strengen Datenschutzvorgaben für Schulen entspricht. Laut Bericht von WinFuture vom 23.04.2026 deaktivierte die Stadt daraufhin die Zugänge zu Microsoft 365, wodurch die Cloud-basierte Plattform für Schulen nicht mehr nutzbar ist. Diese müssen somit vorerst bei den bereits vorhandenen und langjährig genutzte Plattformen wie IServ und WebWeaver bleiben bzw. dorthin zurückwechseln, sofern sie MS365 bereits im Rahmen der Pilotphase nutzten. Golem berichtet unter Berufung auf die HAZ, es habe vor dem Kauf weder eine Datenschutzfolgenabschätzung (DSFA) noch eine Prüfung durch einen Datenschutzbeauftragten gegeben. Bei letzterer wäre die nicht passende Lizenz vermutlich aufgefallen.
Bewertung
Für die Verantwortlichen in Hannover ist das Debakel um die falsch beschafften Microsoft-Lizenzen eine Katastrophe in vieler Hinsicht. Schulen, welche sich bereits in die Plattform eingearbeitet haben, werden nicht begeistert sein, jetzt wieder den Betrieb einstellen zu müssen. Mit Blick auf Datenschutz ist der Fall durchaus interessant, denn er beleuchtet einen wichtigen Aspekt, den man bei der Nutzung von Microsoft 365 an Schulen nicht ignorieren darf. Abgesehen von der grundlegenden Problematik, welche sich für Schulen mit einer Nutzung von Microsoft 365 ergibt, sollte man, wenn man sich zur Nutzung dieser Plattform entscheidet, hierbei möglichst alles richtig machen. Dazu gehört auch der richtige Lizenztyp, denn nur mit dem richtigen Lizenztyp geht der für den Bildungsbereich entsprechend entscheidende Datenschutzvertrag (Data Processing Addendum (DPA)) einher. Nur mit dem richtigen Vertrag erhält man von Microsoft die Zusagen bezüglich der Verarbeitung von personenbezogenen Daten und ihrer Nicht-Nutzung durch Microsoft zu eigenen Zwecken, welche es braucht, um die Plattform datenschutzfreundlich einsetzen zu können.
Anders als in NRW sieht in Niedersachsen die Aufsichtsbehörde auch bei Schulen verpflichtende Datenschutzfolgenabschätzungen verpflichtend vor. Entsprechend gibt das Bildungsportal Niedersachsen in seinen FAQ (Nr. 19) Auskunft.2Siehe auch „Eckpunkte für den datenschutzkonformen Einsatz von digitalen Lernplattformen in den niedersächsischen Schulen (Stand: Juni 2022).pdf“ Eine DSFA ist demnach durchzuführen, wenn „wenn die Form der Verarbeitung, insbesondere bei der Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko zur Folge hat.“ Dass ein solches Risiko vorliegen könnte, davon werden bei einer Nutzung von MS365 im Unterricht viele ausgehen, da es um viele personenbezogene Daten geht, eine große Zahl von Menschen und die Verarbeitung durch ein US Unternehmen.