Der Beauftragte für Datenschutz und Informationsfreiheit in Hessen (HBDI), hat sich gegen den Einsatz von Microsoft Office 365 an Schulen ausgesprochen, da die Speicherung personenbezogener Daten in der europäischen Cloud nicht datenschutzkonform ist.

Die Ausgangslage

Technisch einwandfrei, datenschutzrechtlich bedenklich: Seit Jahren steht Microsoft mit der Cloud-Lösung Microsoft Office 365 im Blickpunkt der Datenschutzbehörden.

Zwar bekannte sich der hessische Datenschutzbeauftragte im Jahr 2017 dazu, dass Office 365 an Schulen datenschutzkonform genutzt werden kann, sofern die Nutzung in der Deutschland-Cloud stattfindet und Office Werkzeuge, wie zum Beispiel Rollen- und Berechtigungskonzept, Protokollierung etc., von den Schulen sachgerecht genutzt werden.

Jedoch entfachte die Debatte um den Einsatz der Cloud-Lösung wieder, als Microsoft im folgenden Jahr die Einstellung ihres Produktes “Deutschland-Cloud” ankündigte.

Warum kann Microsoft Office 365 derzeit nicht datenschutzkonform an Schulen eingesetzt werden?

In Deutschland haben öffentliche Einrichtungen eine besondere Verantwortung bezüglich der Zulässigkeit und Nachvollziehbarkeit der Verarbeitungen personenbezogener Daten. Da bei der Nutzung von Microsoft Office 365 personenbezogene Daten (von Kindern) durch die Schule als öffentliche Einrichtung in Zukunft in der europäischen Cloud gespeichert werden müssen, auf die möglicherweise auch US-amerikanische Behörden Zugriff haben könnten, ist der Einsatz der Software an deutschen Schulen nicht datenschutzkonform.

Zudem kommt, dass bei der Nutzung des Betriebssystems Windows 10 sogenannte “Telemetriedaten” (Metadaten, als auch Anwenderdaten) sehr umfangreich von Microsoft erfasst und datenschutzwidrig außerhalb Europas abgespeichert werden, wie das Bundesamt für Sicherheit in der Informationstechnologie im Herbst 2018 öffentlich machte. Auch bei der Nutzung von Microsoft Office 365 werden derartige Daten erfasst und übermittelt.

Kann das Problem durch die Einwilligung der Eltern gelöst werden?

Die Antwort lautet nein. Zwar ist die Schule auf die Einwilligung der Betroffenen angewiesen, wenn eine digitale, personenbezogene Datenverarbeitung durch die Schule vorgenommen wird, jedoch ist die Sicherheit und Nachvollziehbarkeit der Datenverarbeitungsprozesse im Falle von Microsoft 365 in der Cloud nicht gewährleistet und die Datenverarbeitung somit unzulässig. Zudem sind die besonderen Schutzrechte von Kindern nicht hinreichend berücksichtigt, würde man versuchen das Problem durch die Einverständniserklärung der Eltern zu lösen.

Hat Office 365 an deutschen Schule noch eine Zukunft?

Im Allgemeinen besteht ein sehr großes Interesse zukünftig datenschutzkonforme Lösungen in Zusammenarbeit mit Microsoft auszuarbeiten, da ein großer Bedarf an Office-Paketen, vor allem an beruflichen Schulen, besteht.

Wann dies jedoch geschehen soll, liegt weniger an der HBDI, sondern vielmehr an Microsoft selbst. Wenn die bestehenden Probleme bezüglich des Zugriffes Dritter auf die in der Cloud gespeicherten Daten und die transparente und datenschutzkonforme Verarbeitung von Telemetrie-Daten gelöst werden würden, stünde dem Einsatz von Microsoft Office 365 als Cloud-Lösung an deutschen Schulen nichts mehr im Wege.

Wie sieht es mit anderen Cloudlösungen aus?

Auch Cloud Lösungen von Apple und Google weisen ähnliche Probleme auf: Aufgrund des intransparenten und schwer nachvollziehbaren Datenverarbeitungsprozesses seitens der Unternehmen können diese auch vorerst nicht datenschutzkonform an deutschen Schulen eingesetzt werden.

Unser Fazit:
Microsoft bietet zwar fantastische technische Lösungen, jedoch ist die Unternehmenspolitik in Bezug auf Datensammlung und -verarbeitung aus Augen eines Datenschutzbeauftragten sehr bedenklich, wie auch dieser aktuelle Fall zeigt.

Dass Unternehmen Daten sammeln, um ihre Produkte zu verbessern ist verständlich und auch notwendig, jedoch ist die Art und Weise, wie die Daten von Microsoft erfasst, gespeichert und verarbeitet werden sehr intransparent.

Mit der regelrechten Sammelwut von Office Telemetriedaten verstößt Microsoft massiv gegen EU-Datenschutz, wodurch der Einsatz ihrer Cloud-Lösungen sowohl für andere öffentliche Einrichtungen, als auch für Privat-Unternehmen bedenklich werden kann. Eine gute Alternative bieten unserer Meinung nach Open-Source Produkte, die sich auch hervorragend kommerziell nutzen lassen.

Sie möchten den datenschutzkonformen Einsatz von Cloud-Lösungen in Ihrem Unternehmen gewährleisten oder wünschen sich eine persönliche Beratung zu diesem Thema?

Durch unsere jahrelange Erfahrung als externe Datenschutzbeauftragte kennen wir ausgezeichnete Alternativen. Gerne beraten wir Sie hierzu ausführlich, kontaktieren Sie uns noch heute.