Datenschützer: Einsatz von Microsoft Office 365 an Schulen ist unzulässig

Microsoft Office 365 darf in der Standardkonfiguration an Schulen wegen Problemen für die Privatsphäre der Nutzer derzeit nicht verwendet werden. Zu diesem Schluss ist der hessische Datenschutzbeauftragte Michael Ronellenfitsch gekommen, weil personenbezogene Daten von Kindern und Lehrern in der Cloud gespeichert würden. Auch wenn die zugehörigen Server in Europa stünden, seien die Informationen "einem möglichen Zugriff US-amerikanischer Behörden ausgesetzt".

Öffentliche Institutionen in Deutschland "haben eine besondere Verantwortung hinsichtlich der Zulässigkeit und Nachvollziehbarkeit der Verarbeitung personenbezogener Daten", mahnt Ronellenfitsch. Zudem müsse "die digitale Souveränität staatlicher Datenverarbeitung gewährleistet sein". Nicht zuletzt habe das Bundesamt für Sicherheit in der Informationstechnik (BSI) darauf hingewiesen, dass über Windows 10 und Office 365 "eine Fülle von Telemetrie-Daten an Microsoft übermittelt" würden. Deren Inhalte seien "trotz wiederholter Anfragen bei Microsoft nicht abschließend geklärt".

Lehrende und Schulleitungen mit Fragezeichen

Ronellenfitsch revidiert damit seine Meinung vom August 2017, Office 365 könne durch Schulen unter gewissen Voraussetzungen datenschutzkonform in der damals von Microsoft noch gemeinsam mit der Deutschen Telekom betriebenen "Deutschland-Cloud" angewendet werden. Ein Jahr später habe Microsoft dieses Angebot aber eingestellt, sodass die vormalige Analyse keinen Bestand mehr habe.

Zu der aktuellen Rechtslage habe die Aufsichtsbehörde Anfragen einer "Vielzahl von Lehrkräften und Schulleitungen" erhalten, konstatiert Ronellenfitsch. Die datenschutzrechtliche Klarstellung sei auch geboten, da "einzelne Schulträger" Office 365 trotz der offenen Fragestellungen in den vergangenen Monaten "massiv in die Schullandschaft hinein befördert" hätten.

Auch sei es keine Lösung, dass Betroffene spezifisch in die Nutzung von Office 365 in der Cloud einwilligen, meint Ronellenfitsch, "weil die Sicherheit und Nachvollziehbarkeit der Datenverarbeitungsprozesse nicht gewährleistet sind". Der Versuch, dieses Manko durch eine Einverständniserklärung der Eltern abzustellen, würde auch die besonderen Schutzrechte von Kindern nach der Datenschutz-Grundverordnung (DSGVO) nicht hinreichend berücksichtigen.

Microsoft am Zug

Ronellenfitsch sieht unter diesen Umständen Microsoft am Zug: "Sobald insbesondere die möglichen Zugriffe Dritter auf die in der Cloud liegenden Daten sowie das Thema der Telemetrie-Daten nachvollziehbar und datenschutzkonform gelöst sind, kann Office 365 als Cloud-Lösung von Schulen genutzt werden", schreibt er. Bis dahin könnten sich die Verantwortlichen anderer Instrumente wie "On-Premises-Lizenzen" auf lokalen Systemen bedienen. Viele Bildungseinrichtungen in Hessen wendeten auch bereits andere Cloud-Lösungen an, bei denen der Datenschutz gewahrt bleibe.

Ähnlichen Diensten von Google und Apple erteilt Ronellenfitsch aber auch keine Absolution. Diese seien "bislang ebenfalls nicht transparent und nachvollziehbar dargelegt worden". Deshalb gelte hier genauso, "dass für Schulen die datenschutzkonforme Nutzung derzeit nicht darstellbar ist".

Microsoft hat im Mai Korrekturen an der Datensammelei über Windows und Office angekündigt, was Ronellenfitsch aber noch nicht zufriedenstellen konnte. Der Konzern betont immer wieder, Rechenzentren hierzulande zu betreiben beziehungsweise zu planen und die DSGVO weltweit einzuhalten. Bei der Telemetrie gehe es nur um Systeminformationen, um das Absturzverhalten zu analysieren.

Siehe dazu auf heise+:

• Office 365: Große Schwachstellen bei Sicherheit und Datenschutz

(anw)