Microsoft Office 365 für Schulen nicht datenschutzkonform nutzbar?

News

Die Frage nach der datenschutzkonformen Nutzbarkeit von Office 365 stellt sich nicht erst seit gestern. Nun hat der hessische Datenschutzbeauftragte Michael Ronellenfitsch die Nutzung der Software in der „Standardkonfiguration“ für datenschutzrechtlich unzulässig erklärt – zumindest an Schulen.

Aktuelle Stellungnahme des HBDI

In einer Stellungnahme vom 09. Juli 2019 erklärte Ronellenfitsch,

„der entscheidende Aspekt [sei], ob die Schule als öffentliche Einrichtung personenbezogene Daten (von Kindern) in einer (europäischen) Cloud speichern kann, die z.B. einem möglichen Zugriff US-amerikanischer Behörden ausgesetzt ist.“

Die digitale Souveränität staatlicher Datenverarbeitung müsse gewährleistet sein.

Der HBDI betonte die besondere Verantwortung öffentlicher Einrichtungen, was die „Zulässigkeit und Nachvollziehbarkeit“ von Datenverarbeitungsprozessen angeht und verwies auf das BSI, welches im Herbst 2018 darauf hingewiesen hatte, dass Windows 10 massiv und nicht nachvollziehbar Telemetriedaten an Microsoft sende. Auch mit der Einwilligung könne man das Problem nicht umschiffen, da es für eine informierte Einwilligung nach Art. 7 DSGVO an der Nachvollziehbarkeit der Datenverarbeitungsprozesse durch Microsoft mangele. Auch eine Einverständniserklärung der Eltern löse das Problem nicht – aus demselben Grund. Nonchalant beendet wird die Stellungnahme mit dem Satz, dass sich diese Einschätzung zu Office 365 ebenso auf die Apple- und Google-Cloud beziehe.

Stellungnahme von April 2017

Noch im April 2017 hatte der HBDI festgestellt, dass Office 365 durch Schulen datenschutzkonform eingesetzt werden kann, wenn die Nutzung sich auf den pädagogischen Bereich beschränke und keine Verwaltungsdaten betroffen seien. Außerdem – so der HBDI damals – sei

„die Implementierung einer datenschutzkonformen Systemarchitektur [erforderlich], welche Microsoft zwar teilweise zur Verfügung stellt, deren Umsetzung jedoch in der Verantwortung der Schule in Zusammenarbeit mit dem Schulträger liegt und zusätzliche technische und organisatorische Maßnahmen erfordert.“

Die Aussagen bezog der HBDI konkret auf die Deutschland-Cloud von Microsoft, welche mittlerweile eingestellt wurde.

Woher der Meinungsumschwung?

Die aktuelle Stellungnahme des HBDI ist knapp gehalten. Mit dem Ende der Deutschland-Cloud ist auch das Treuhänder-Modell mit T-Systems Geschichte, was augenscheinlich ein Grund für die Neubetrachtung ist. Deutlich ist auch der Hinweis des Datenschutzbeauftragten auf die Bedenken des BSI bezüglich Windows 10. In einer Stellungnahme vom 20. November 2018 schrieb das BSI:

„Das Betriebssystem Windows 10 sendet umfangreiche System- und Nutzungsinformationen an Microsoft. Eine Unterbindung der Erfassung und Übertragung von Telemetriedaten durch Windows ist technisch zwar möglich, für Anwender aber nur schwer umzusetzen. Das ist das Ergebnis einer Untersuchung der zentralen Telemetriekomponente von Windows 10, die das Bundesamt für Sicherheit in der Informationstechnik (BSI)durchgeführt hat.“

Ähnlich fiel die Einschätzung der Firma Privacy Company ebenfalls im November 2018 aus, die im Auftrag des niederländischen Justizministeriums eine Datenschutzfolgenabschätzung für Microsoft Office ProPlus Enterprise durchführte (abrufbar hier). Hauptkritikpunkte: Umfangreiche Sendung von Telemetriedaten an Microsoft zu der keinerlei Dokumentation vorliegt und kein Tool, das dem Anwender eine Übersicht über die tatsächlich gesendeten Daten verschaffen könnte. Dadurch sei eine Einschätzung der spezifischen Risiken für den Anwender nicht möglich. Zudem habe der Anwender keinen Einfluss darauf, ob er die Diagnosedaten überhaupt an Microsoft senden wolle, da es für diesen keine (einfache) Möglichkeit gibt, hierzu Einstellungen vorzunehmen.

Nicht zuletzt wurde die rechtswidrige Speicherung sensibler, klassifizierter oder spezieller Datenkategorien sowohl in Metadaten als auch in Inhalten wie z.B. Betreffzeilen von E-Mails moniert. Fazit zu diesem Zeitpunkt: Wer als Verantwortlicher Office 365 oder Office 2016 einsetzt, verstößt gegen die DSGVO. Microsoft, welches Telemetriedaten zuvor nicht als personenbezogene Daten einschätzte (Überraschung), gelobte in Teilen Besserung und nahm einzelne Anpassungen vor.

Das niederländische Ministerium für Justiz und Sicherheit und der SLM Rijk haben inzwischen weitere Tests durchgeführt und im Juni 2019 eine Datenschutzfolgenabschätzung „DPIA Windows 10 Enterprise v.1809 and preview v. 1903“ veröffentlicht. Darin werden konkrete Risiken beim Einsatz von Windows 10 Enterprise benannt, das Risiko für die Betroffenen was die Übersendung von Telemetriedaten durch die Software angeht, insgesamt aber als nicht hoch eingestuft. Scharf kritisiert wird weiterhin die mangelnde Zweckbindung der Datenverarbeitung durch Microsoft.

Letztlich sieht der HBDI Anfragen hinsichtlich der Art und der Nutzung von Telemetriedaten auch bei Office 365 als von Microsoft weiterhin unzureichend beantwortet an.

Perspektiven für Cloud-Lösungen?

Was nun, fragen sich nicht zuletzt die betroffenen Schulen. Richtig ist: Es liegt an Microsoft, Datenschutz- und Sicherheitsanforderungen umzusetzen. Kaum hilfreich ist es jedoch, die „Bedarfe“ der Schulen einerseits „anzuerkennen“, gleichzeitig aber zu verneinen. Das Argument der Gewährleistung „digitaler Souveränität staatlicher Datenverarbeitung“ verfängt m.E. hier nicht, wenn den Handlungsempfehlungen des HBDI von April 2017 gefolgt wird und die Nutzung sich auf den pädagogischen Bereich beschränkt. Auch auf die Nutzung der E-Mail-Konten über Office 365 sollte im Schulkontext verzichtet werden.

Allein ein Verweis auf On-Premise-Lösungen greift jedenfalls zu kurz. On-Premise-Lösungen bieten ein hohes Maß an Kontrolle, fordern aber auch ein anderes Maß an Aufwand vor Ort – während man bei Cloud-Lösungen üblicherweise Software-as-a-Service bezieht. Die Wartungs- und Betriebsverantwortung liegt dann beim Anbieter der Software.

Schließlich wird an der einfachen Übertragung der datenschutzrechtlichen Einschätzung zu Office 365 auch auf die Cloud-Produkte von Google und Apple durch den HBDI und des möglichen Zugriffs von US-Behörden deutlich, dass hier weiterhin ein Problem vorliegt, das eigentlich über ein zu träges Verhalten von Microsoft gegenüber deutschen Aufsichtsbehörden hinausgeht. Insofern lässt die Stellungnahme die Frage nach einer Perspektive für US-amerikanische Cloud-Lösungen offen.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

5 Kommentare zu diesem Beitrag

  1. Fassen wir zusammen: Windows 10 ist nicht zulässig, Office-Programme nicht und Office 365 schon gar nicht, ebenso Produkte von Apple- oder Google. Welche Konsequenzen ergeben sich daraus für die öffentliche Verwaltung in Deutschland? Abschalten?
    Ein Auftragsverarbeiter ist für mich als schulischer Beauftragter geeignet, wenn er einen Vertrag mit EU-Standardklauseln vorlegt und eine regelmäßige Überprüfung nachweist. Das ist bei Office 365 der Fall. Wenn ein Datenschützer im Einzelfall feststellt, dass MS sich nicht an diesen Vertrag hält, soll er sie verklagen. Als Vertragspartner kann ich mich nur auf die Angaben im Vertrag verlassen. Es steht mir weder zu die Firma Microsoft zu kontrollieren noch die Kompetenz des Datenschützers anzuzweifeln. Mit welchem System hat Herr Ronellenfitsch seine Stellungnahme verfasst?

  2. Solche Statements einer Aufsichtsbehörde sind wert- und nutzlos und bringen keine Sicherheit für die Zukunft oder Digitalisierungsprojekte. Erklärt es für unzulässig oder legt die Auflagen fest. Aber nicht so ein Herumgeeier.

  3. Ich wünsche mir bei solchen Stellungnahmen seitens des DSB nicht nur die Erklärung der Unzulässigkeit von bestimmten Diensten, sondern einfach auch mal eine pragmatische Empfehlung, welche zeitgemäßen Dienste/Produkte denn „passen“. Die Realität der eingesetzten HW/SW in den Schulen sieht in Bezug auf den Datenschutz oftmals sehr viel schlechter aus als O365. Da werden Daten auf privaten Rechnern von Lehrern verarbeitet, mit WhatsApp kommuniziert, die Präsentation auf Dropbox gespeichert und noch vieles mehr.

  4. Genau vor einem Tag wurden sämtliche Verwaltungsrechner durch neue Rechner, welche mit Windows 10 betrieben werden, ausgetauscht. Die älteren Rechner mit Windows 7 werden ab Januar 2020 keine Sicherheits-Updates mehr erhalten und werden damit auch untauglich. Als schulischer DSB müsste ich folglich die alten Rechner zurückfordern und ab Januar die IT der Verwaltung stilllegen. Außerdem muss ich unseren Dienstleister auf seine Datenschutzerklärung hinweisen und eine Meldung bei der zuständigen Aufsichtsbehörde machen, weil die Rechner ja schon im Einsatz sind.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.