An österreichischen wie an deutschen Schulen kommen mehrere Microsoft-Produkte zum Einsatz. Unter anderem auch Office 365. Das Cloud-basierte Programmpaket darf nach Einschätzung des hessischen Datenschutzbeauftragten Michael Ronellenfitsch in Standardkonfiguration derzeit jedoch nicht eingesetzt werden, denn die in der Cloud gespeicherten Daten könnten von US-Behörden abgegriffen werden.

"Besondere Verantwortung"

Zwar ist der Einsatz von Cloud-Lösungen grundsätzlich kein Problem, im Fall von Microsoft ist die Sache jedoch anders gelagert – denn dabei könnten personenbezogene Daten von Lehrpersonal und Schülern online gespeichert werden, auf die auch US-amerikanische Behörden Zugriff haben. "Öffentliche Einrichtungen in Deutschland haben eine besondere Verantwortung hinsichtlich der Zulässigkeit und Nachvollziehbarkeit der Verarbeitung personenbezogener Daten", erklärt Ronellenfitsch in einer Mitteilung. Ein weiteres Problem: "Mit der Verwendung des Betriebssystems Windows 10 wird eine Fülle von Telemetriedaten an Microsoft übermittelt, deren Inhalte trotz wiederholter Anfragen bei Microsoft nicht abschließend geklärt sind. Derartige Daten werden auch bei der Nutzung von Office 365 übermittelt."

2017 hatte der Datenschutzbeauftragte noch anders entschieden und nach einer Prüfung festgestellt, dass Office 365 an deutschen Schulen datenschutzkonform eingesetzt werden kann. Damals bot Microsoft gemeinsam mit der Deutschen Telekom eine Cloud-Lösung für die Speicherung der Daten in Deutschland an. 2018 sei dieses Angebot jedoch eingestellt worden, weshalb Ronellenfitsch seine Empfehlung nun zurückgezogen hat.

Die Datenschutzbehörde habe seither Anfragen von zahlreichen Schulen zum Einsatz von Office 365 erhalten. "Zudem ist in den vergangenen Monaten durch einzelne Schulträger Office 365 unabhängig von den ungeklärten datenschutzrechtlichen Fragestellungen massiv in die Schullandschaft hineinbefördert worden", schreibt Ronellenfitsch.

Einverständniserklärung keine Lösung

Die Einwilligung der Eltern und Lehrer zu holen sei keine Lösung. Denn "die Sicherheit und Nachvollziehbarkeit der Datenverarbeitungsprozesse" sei nicht gewährleistet. Durch eine Einverständniserklärung der Eltern würden auch die besonderen Schutzrechte von Kindern gemäß Datenschutzgrundverordnung (DSGVO) nicht berücksichtigt. Der Umstieg auf Cloud-Lösungen von Google oder Apple sei ebenfalls keine Option, da auch hier die Datennutzung nicht "transparent und nachvollziehbar dargelegt worden" ist.

Laut Ronellenfitsch sei es Sache von Microsoft, eine datenschutzkonforme Nutzung von Office 365 an Schulen zu ermöglichen. "Sobald insbesondere die möglichen Zugriffe Dritter auf die in der Cloud liegenden Daten sowie das Thema der Telemetriedaten nachvollziehbar und datenschutzkonform gelöst sind, kann Office 365 als Cloud-Lösung von Schulen genutzt werden."

Seitens Microsoft heißt es dazu in einer Stellungnahme, dass Administratoren eine Reihe von Optionen hätten um bestimmte Features in Office 365 zu deaktivieren. Man arbeite laufend an der Klärung von Richtlinien und Datenschutzpraktiken und wolle auch mit dem hessischen Datenschutzbeauftragten zusammenarbeiten. Erst kürzlich habe man neue Maßnahmen angekündigt, um Unternehmen mehr Kontrolle über die Datenübermittlung zu geben. Ein Microsoft-Sprecher verweist dabei auf einen diesbezüglichen Blog-Eintrag von Mai.

Situation in Österreich

Auch in Österreich kommt Office 365 an Schulen zur Anwendung. Bezüglich des Datenschutzes heißt es auf der Website des Bildungsministeriums: "So die Schule keinen eigenen E-Mail-Server betreibt, können für schulzugehörige Personen E-Mail-Adressen in MS-Office 365 eingerichtet werden. Paragraf 10 DSG sieht diesbezüglich den Abschluss einer Dienstleistervereinbarung für die Betreiber solcher Mailserver vor." Und weiter: "Da Microsoft seit kurzem eine diesbezügliche Dienstleistervereinbarung mit der öffentlichen Verwaltung im EU-Raum abgeschlossen hat, sind Mail-Adressen in MS-Office 365 aus Sicht des Datenschutzes bei Verwendung geeigneter, verschlüsselter Mail-Übertragungsprotokolle (zum Beispiel TLS) zulässig. Grundsätzlich sind personenbezogene Daten aber immer nur in der dafür vorgesehen Fachanwendung (Sokrates im Bund, Lernplattformen, Web-Untis, ISO/Ideal Web, Portal Austria, PH-Online et cetera) zu speichern." Von den Schülern benötige man dafür eine Einverständniserklärung. (br, 10.7.2019)