Ebertlang Ebertlang

Datenschutz: O365-Einsatz an Schulen unzulässig – Update

16. Juli 2019 In: Messaging

Update vom 05.08.2019:

In einer aktuellen Stellungnahme vom 05.08.2019 erklärt der Hessische Beauftragte für Datenschutz und Informationsfreiheit, dass die datenschutzrechtliche Prüfung der Cloud-Anwendungen von Microsoft „außerordentlich komplex und aufwendig“ sei und deshalb noch nicht abgeschlossen ist. Die Zulässigkeit von Office 365 an Schulen ist demnach noch nicht abschließend geklärt. Bis auf Weiteres ist die Nutzung von Office 365 ab der Versionsnummer 1904 durch hessische Schulen, die die Cloud-Anwendung bereits erworben haben oder bei denen der Kauf bereits beschlossen und haushaltsrechtlich gesichert ist, geduldet. In allen anderen Fällen können sich Schulen ebenfalls auf die Duldung von Office 365 berufen, tragen jedoch das finanzielle Risiko, falls letztendlich doch die Unzulässigkeit des Office 365-Einsatzes beschlossen wird.

Ursprünglicher Beitrag:

Office 365 wird nicht nur in vielen Unternehmen, sondern auch an zahlreichen Schulen eingesetzt. Mehrfach gab es bereits Diskussionen darüber, ob eine solche Nutzung datenschutzrechtlich konform ist – besonders unter dem Aspekt, dass Daten von Schülern in europäischen Rechenzentren gesichert werden und möglicherweise Dritte Zugriff darauf haben. Nun hat der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) klar Stellung bezogen, dass Schulen auf die Verwendung von Office 365 verzichten sollten. 

Der Einsatz von Cloud-Anwendungen, beispielsweise Lernplattformen oder digitalen Klassenbüchern, in Schulen stellt grundsätzlich kein datenschutzrechtliches Problem dar, solange die Sicherheit der Datenverarbeitung gewährleistet ist. Denn: Öffentlichen Einrichtungen obliegt bei der Nutzung personenbezogener Daten eine besondere Verantwortung hinsichtlich der Zulässigkeit und Nachvollziehbarkeit. Bei einer Office 365-Nutzung ist dies laut HBDI allerdings nicht gegeben, da die Speicherung auf europäischen Rechenzentren erfolgt, auf die theoretisch auch US-Behörden Zugriff haben. 

Ein weiteres Problem: Im Herbst 2018 hat das Bundesamt für Sicherheit in der Informationstechnik darauf hingewiesen, dass bei der Verwendung von Windows 10 eine große Menge an Telemetrie-Daten an Microsoft übermittelt wird. Bis heute ist – trotz mehrerer behördlicher Anfragen bei dem Softwareunternehmen – nicht klar, warum das so ist und worum es sich genau bei diesen Daten handelt.

Weiterlesen