Update vom 05.08.2019:

In einer aktuellen Stellungnahme vom 05.08.2019 erklärt der Hessische Beauftragte für Datenschutz und Informationsfreiheit, dass die datenschutzrechtliche Prüfung der Cloud-Anwendungen von Microsoft „außerordentlich komplex und aufwendig“ sei und deshalb noch nicht abgeschlossen ist. Die Zulässigkeit von Office 365 an Schulen ist demnach noch nicht abschließend geklärt. Bis auf Weiteres ist die Nutzung von Office 365 ab der Versionsnummer 1904 durch hessische Schulen, die die Cloud-Anwendung bereits erworben haben oder bei denen der Kauf bereits beschlossen und haushaltsrechtlich gesichert ist, geduldet. In allen anderen Fällen können sich Schulen ebenfalls auf die Duldung von Office 365 berufen, tragen jedoch das finanzielle Risiko, falls letztendlich doch die Unzulässigkeit des Office 365-Einsatzes beschlossen wird.

Ursprünglicher Beitrag:

Office 365 wird nicht nur in vielen Unternehmen, sondern auch an zahlreichen Schulen eingesetzt. Mehrfach gab es bereits Diskussionen darüber, ob eine solche Nutzung datenschutzrechtlich konform ist – besonders unter dem Aspekt, dass Daten von Schülern in europäischen Rechenzentren gesichert werden und möglicherweise Dritte Zugriff darauf haben. Nun hat der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) klar Stellung bezogen, dass Schulen auf die Verwendung von Office 365 verzichten sollten. 

Der Einsatz von Cloud-Anwendungen, beispielsweise Lernplattformen oder digitalen Klassenbüchern, in Schulen stellt grundsätzlich kein datenschutzrechtliches Problem dar, solange die Sicherheit der Datenverarbeitung gewährleistet ist. Denn: Öffentlichen Einrichtungen obliegt bei der Nutzung personenbezogener Daten eine besondere Verantwortung hinsichtlich der Zulässigkeit und Nachvollziehbarkeit. Bei einer Office 365-Nutzung ist dies laut HBDI allerdings nicht gegeben, da die Speicherung auf europäischen Rechenzentren erfolgt, auf die theoretisch auch US-Behörden Zugriff haben. 

Ein weiteres Problem: Im Herbst 2018 hat das Bundesamt für Sicherheit in der Informationstechnik darauf hingewiesen, dass bei der Verwendung von Windows 10 eine große Menge an Telemetrie-Daten an Microsoft übermittelt wird. Bis heute ist – trotz mehrerer behördlicher Anfragen bei dem Softwareunternehmen – nicht klar, warum das so ist und worum es sich genau bei diesen Daten handelt.

Nachvollziehbarkeit der Datenverarbeitung ist nicht gegeben 

Findet eine digitale Datenverarbeitung statt, sind Schulen generell auf die Einwilligung der betroffenen Personen angewiesen. Bei der Nutzung von Office 365 reicht eine solche Einverständniserklärung allerdings nicht aus, da die Sicherheit und Nachvollziehbarkeit der Datenverarbeitungsprozesse durch die oben genannten Gründe nicht gewährleistet ist. Selbst wenn Eltern dem Office 365-Einsatz zustimmen würden, wären die besonderen Schutzrechte der Kinder, beispielsweise nach Art. 8 Datenschutz-Grundverordnung, nicht hinreichend berücksichtigt.

Der HBDI rät daher von einer Office 365-Nutzung an Schulen ab. Stattdessen sollten Bildungseinrichtungen On-Premises-Lizenzen auf lokalen Systemen nutzen, um so die Datenhoheit garantieren zu können. Die vollständige Stellungnahme des Hessischen Beauftragten für Datenschutz und Informationsfreiheit finden Sie hier

Was Sie tun können: sichere Groupware-Alternative mit Rabatt für Bildungseinrichtungen 

Sie betreuen die IT-Infrastruktur einer Schuleinrichtung, bei der auch Office 365 eingesetzt wird? Mit dem MDaemon Email Server haben wir einen Groupware-Server in unserem Portfolio, der die Datensicherheit von Schülern in jedem Falle gewährleistet und zudem mit allen wichtigen Funktionen ausgestattet ist, die Schulen in ihrer täglichen Arbeit benötigen. Bildungseinrichtungen profitieren beim Einsatz der lokal gehosteten Lösung außerdem von attraktiven Lizenzbedingungen.

In nur 4 Minuten lernen Sie die Software in unserem Video kennen: jetzt ansehen! Weitere Informationen geben wir Ihnen in unserem Webinar weiter und stellen Ihnen gerne eine kostenlose Testversion zur Verfügung. Bei Fragen oder weiteren Anliegen kontaktieren Sie uns persönlich via Telefon unter +49 (0)6441 67118-843 oder per E-Mail.