Office 365 Cloud für Schule – wo stehen wir?
Office 365 ist mittlerweile in vielen Schulen zu finden und Logineo NRW, dessen Start sich wieder und wieder verzögert, bietet auch keine wirkliche Alternative zu diesem umfangreichen System. Leider ist Office 365 wie auch andere Produkte aus dem Hause Microsoft in Bezug auf das Thema Datenschutz nicht komplett unbedenklich.
Grundlegende Informationen
DS-GVO konform – ja oder nein?
Auch wenn Microsoft die personenbezogenen Daten von europäischen Benutzern überwiegend in europäischen Rechenzentren verarbeitet, ist eine Übermittlung von personenbezogenen Daten in Staaten außerhalb der Europäischen Union und des Europäischen Wirtschaftsraumes (EWR) nicht ausgeschlossen. Dieses hat verschiedene Hintergründe. Als US-amerikanischer Konzern mit internationalen Kunden mit Niederlassungen auf der ganzen Welt bestehen schon von daher Verbindungen zwischen den verschiedenen weltweit verteilten Serverstandorten. Für Wartung und Support gibt es außerdem Zugriffe von außerhalb des Geltungsraumes der europäischen Datenschutz Grundverordnung. Außerdem gibt es einige Anwendungen, wie zum Beispiel Sway, die nicht auf Servern in Europa, sondern in den USA laufen. Gerade in dieser Übermittlung von personenbezogenen Daten in Drittstaaten wurde in der Vergangenheit immer wieder ein datenschutzrechtliches Problem gesehen. Mit dem EU US Privacy Shield wurden schon vor Beginn der Umsetzung der DS-GVO die rechtlichen Rahmenbedingungen geschaffen, um personenbezogene Daten von EU Bürgern auch auf Servern in den USA verarbeiten zu können. Zusätzlich gab es die EU Standardvertragsklauseln. Beide bestehen fort. Trotz Cloud Act wurde der EU US Privacy Shield für ein weiteres Jahr verlängert. Rein formell erfüllt Microsoft mit Office 365 also auch aktuell die Vorgaben der europäischen Datenschutz Grundverordnung, soweit es um die Übermittlung von personenbezogenen Daten in Drittstaaten geht.
Office 365 wird von den Aufsichtsbehörden trotzdem recht kritisch gesehen. Auch wenn formal alles im grünen Bereich erscheint, so hinterfragen die Aufsichtsbehörden viele Praktiken von Microsoft bezüglich der Konformität mit datenschutzrechtlichen Vorgaben. Aus diesem Grund sind die Aufsichtsbehörden der verschiedenen Bundesländer schon seit Jahren im Dialog mit Microsoft, um Antworten auf ihre Fragen zu erhalten. Leider hat Microsoft bisher nicht alle diese Fragen beantwortet bzw. zufriedenstellend beantwortet. Hinzu kommen verschiedene Erkenntnisse aus Untersuchungen, welche Zweifel aufkommen lassen, ob sich Office 365 wie auch andere Produkte von Microsoft (Windows 10 und andere Office Varianten) tatsächlich datenschutzkonform nutzen lassen (Siehe auch Textende – Anhang). Erst im November 2018 hatte man bei einer Untersuchung in Holland acht Problemfelder im Zusammenhang mit der Erhebung von Telemetriedaten durch Microsoft ermittelt. Diese betreffen die Office 365 – Web Version, das Office 365 ProPlus Lizenzmodell und das Office 2016 ProPlus Lizenzmodell. Mit den Telemetriedaten (Nutzungsdaten zur Softwareentwicklung und um Probleme ermitteln zu können) werden nach Erkenntnissen der Holländer scheinbar auch (personenbezogene bzw. personenbeziehbare ) Daten übermittelt, zumindest in Fragmenten. Bei den in Holland ermittelten Problemen geht es also nicht nur um formale Verstöße gegen die DS-GVO, also nicht in den Datenschutzerklärungen ausgewiesene Verarbeitungsprozesse, sondern auch um tatsächliche, möglicherweise riskante Datenabflüsse. Microsoft sagte zu, bis April 2019 eine Lösung vorzulegen und, ähnlich wie bei Windows 10, Möglichkeiten zu schaffen, die Übermittlung von Telemetriedaten zu deaktivieren. In der Tat wurden wohl in einigen Office Varianten zusätzliche Transparenzmaßnahmen implementiert. Von Seiten der Aufsichtsbehörden aus Holland oder auch aus der Schweiz, wo diese Probleme angemahnt worden waren, gibt es bisher allerdings keine Neuigkeiten.
Die rechtliche Situation in NRW
Rein rechtlich gesehen gibt es aktuell in NRW kein ausdrückliches Verbot von Seiten des Schulministeriums bezüglich einer Nutzung von Office 365. Mit Stand von Mai 2019 findet sich auf Seiten der Medienberatung eine einzige Aussage bezüglich Office 365.
****
Wie sieht die datenschutzrechtliche Bewertung von Microsoft Office 365 für den schulischen Einsatz in NRW aus?
Von der LDI ist mitgeteilt worden, dass ein bundesländerübergreifendes Verfahren zur datenschutzrechtlichen Beurteilung von Microsoft Office 365 stattfindet, das noch nicht abgeschlossen ist. Vor diesem Hintergrund konnte die LDI eine Verwendung von MS Office 365 bislang nicht empfehlen. Andererseits hat der hessische Landesbeauftragte bereits seine Stellungnahme für den Einsatz des Produkts in den Schulen veröffentlicht.
Grundsätzlich kann für die jetzige praktische Handhabung festgestellt werden: Schulleitungen, die sich mangels einer offiziellen Einschätzung in NRW auf die Bewertung des DSB Hessen verlassen und die dortigen einschränkenden Bedingungen zur Nutzung von Office 365 einhalten, u.a. keine Nutzung der Cloud für Verwaltungszwecke, kann kein fahrlässiges oder vorwerfbares Handeln vorgehalten werden.
Es ist jedoch zu empfehlen, in die Überlegungen einer Beschaffung und Nutzung von cloudbasierten Anwendungen wie Office 365 den Umstand einzubeziehen, dass landesseitig mit LOGINEO NRW ein eigenes Angebot für die Datenspeicherung und den E-Mail-Verkehr beabsichtigt ist. Alternativ zu cloudbasierten Anwendungen wie Office 365 können auch Desktop-Anwendungen wie MS Office 2016 oder Libre Office genutzt werden.
****
Hier wird auf eine Stellungnahme des hessischen Landesbeauftragten für Datenschutz verwiesen. Was dabei jedoch unterschlagen wird, ist die Tatsache, dass es die MS Cloud Deutschland in Treuhand der Telekom in dieser Form seit März 2019 nicht mehr gibt. Das Angebot wurde eingestellt, da es rein formell mit Umsetzung der europäischen Datenschutz Grundverordnung für Firmenkunden keine Erfordernisse mehr gibt, auf eine derartige Lösung zurückzugreifen und diese Lösung außerdem für international operierende Firmen mit Niederlassungen außerhalb Europas unbrauchbar war.
D. h. also, in NRW verweist man auf eine Lösung, wie und unter welchen Voraussetzungen Schulen Office 365 nutzen können, die es nicht (mehr) gibt.
Auch von Seiten der LDI NRW gibt es wenig Neues zu berichten. Die Situation hat sich nicht wesentlich verändert. Es kann weiterhin keine Empfehlung ausgesprochen werden, da es keine neuen Erkenntnisse von Seiten der Aufsichtsbehörden gibt. In einem Schreiben äußert allerdings eine Mitarbeiterin der Aufsichtsbehörde NRW, dass sie aktuell eher von einer Nutzung abraten würde.
Das bedeutet zusammengefasst, es gibt weder ein Verbot von Seiten des Ministeriums für die Nutzung von Office 365 noch eine entsprechende Anordnung von Seiten der Aufsichtsbehörde des Landes. Es bleibt damit letztlich der Entscheidung der Schulleitung als als Verantwortlicher bezüglich der Verarbeitung von personenbezogenen Daten in einer Schule, ob und wie Office 365 genutzt wird.
Es ergeben sich jedoch einige recht klare Grenzen, wofür bzw. wie Office 365 in der Schule definitiv nicht genutzt werden kann.
- Ganz klar scheidet eine Nutzung für die Verarbeitung von personenbezogenen Daten in der Schulverwaltung aus.
- Nicht ausgeschlossen ist für die Schulverwaltung eine Nutzung für allgemeine Verarbeitungstätigkeiten. Das meint etwa die Bereitstellung von Dokumentvorlagen oder die Übermittlung allgemeiner Informationen.
- Im pädagogischen Bereich setzt die Nutzung von Office 365 ein sensibles Vorgehen voraus. Das meint einen Verzicht auf alle personenbezogenen Daten, welche zu einer Nutzung nicht unbedingt erforderlich sind.
- Eine Nutzung mit personenbezogenen Daten setzt immer eine informierte und freiwillige Einwilligung der Betroffenen voraus.
Kann man Office 365 mit Cloud in Schule nutzen?
Was bedeutet das jetzt für eine Nutzung in der Schule? Man kann Office 365 mit Cloud trotz allem durchaus in Schule nutzen. Dabei sind jedoch mehrere Dinge zu beachten.
- Eine Nutzung innerhalb des Kollegiums zur Entwicklung und zum Austausch von Unterrichtsmaterialien ist problemlos möglich.
- Eine Nutzung für Verwaltungsaufgaben, welche personenbezogene Daten aus der Schule beinhalten, ob das Klassenlisten sind oder Eltern Anschreiben bezüglich Ordnungsmaßnahmen, ist nicht möglich. (Das soll heißen, es ist nicht möglich mit einer Anbindung an die Cloud. Wenn man in der Verwaltung lediglich eine offline Version nutzt und diese nicht mit einem Cloud Account koppelt, dann hat man kein Problem.)
- Eine Nutzung im Unterricht ist möglich, wenn man dabei den Grundsatz der Datenminimierung verfolgt. Das bedeutet, personenbezogene Daten bleiben, soweit möglich, außerhalb Office 365 mit der Cloud. Beim Anlegen von Benutzerkonten sollte man sich an den Vorgaben der Orientierungshilfe online-Lernplattformen der Aufsichtsbehörden orientieren und den Anmeldenamen nicht aus dem Klarnamen erstellen, sondern stattdessen z.B. besser eine Kombination aus Initialen und einer Nummer nutzen. Um Nutzer innerhalb der Plattform erkennen zu können, kann der Benutzername durchaus Teile des Klarnamens enthalten.
- Leistungsbewertungen haben nichts in Office 365 mit Cloud zu suchen.
Die Formalien
Rein formal braucht man für die Nutzung von Office 365 (egal ob mit oder ohne Cloud) eine Einwilligung der Betroffenen in die Verarbeitung von personenbezogenen Daten. Das betrifft die Schüler wie auch die Lehrkräfte. Außerdem braucht man für Office 365, wenn die Cloud Funktionen genutzt werden sollen, einen Vertrag zur Auftragsdatenverarbeitung mit Microsoft, oder eventuell mit einem Dienstleister, wenn dieser die Cloud Funktion zur Verfügung stellt. Außerdem sollte man eine Nutzungsvereinbarung mit Lehrkräften wie Schülern treffen. In dieser wird beispielsweise festgelegt, dass private Daten außer eventuell dem eigenen Namen nichts in Office 365 zu suchen haben. Diese Nutzungsvereinbarung kombiniert man dann direkt mit der Einwilligung bezüglich der erforderlichen Verarbeitung von personenbezogenen Daten.
Hinweis: Personenbezogene Daten betreffen nicht nur den Klarnamen, den man vielleicht für die Erstellung eines Benutzernamens verwendet, sondern auch alle mit dem Nutzer verbundenen Daten. Diese gehen vom Passwort bis zu den technischen Nutzungsdaten und den erzeugten Dateien und deren Inhalten. Da sie mit einem eindeutigen Nutzer verbunden sind, handelt es sich dabei auch um personenbezogene bzw. personenbeziehbare Daten. Auch pseudonymisierte Benutzernamen stellen personenbezogene Daten dar, da sie mittels anderer Informationen den Betroffenen zugeordnet werden können.
Den Vertrag zur Auftragsverarbeitung findet man nicht so ohne Weiteres. Er verbirgt sich hinter den OST oder Online Service Terms, zu Deutsch Online Service-Nutzungsbedingungen. Anders als man es vielleicht erwartet oder erhofft, gibt es keinen Vertrag, der von Microsoft vorunterzeichnet ist und als PDF heruntergeladen von der Schule unterzeichnet und an Microsoft zurückgeschickt wird.
Deshalb ist es wichtig, bei der Anmeldung der Schule für Office 365 das Setzen der Häkchen auf einer Seite, ähnlich wie der unten, zu dokumentieren, am besten durch einen Ausdruck der Seite.
In Bezug auf die DS-GVO ist das ausreichend. Auch den OST sollte man sich sichern. Man findet die OST hier https://www.microsoft.com/en-us/licensing/product-licensing/products Wenn man die richtige Sprache auswählt, lädt das Dokument als docx. Die OST ändern sich monatlich etwas. Es gelten die OST zum Zeitpunkt des Vertragsabschlusses mit Microsoft.
Hintergrundinformation
Anders als mit Anbietern aus der EU oder dem EWR kann man mit Microsoft keinen Vertrag zur Auftragsverarbeitung im eigentlichen Sinne abschließen. Art. 28 DS-GVO sieht hier jedoch geeignete Rechtsinstrumente nach Unionsrecht vor. Die OST fallen, da sie die Standardvertragsklauseln enthalten unter die Regelungen von Art. 28 Abs. 6 DS-GVO. Nahezu gleichwertig mit einem Angemessenheitsbeschluss, der einem Drittland ein der EU vergleichbares Datenschutzniveau bescheinigt, ist der EU US Privacy Shield, welcher von Microsoft gezeichnet wurde.
Thema Rahmenvertrag bzw. wer schließt Verträge mit wem?
Ein etwas komplexes Thema, auch für Schulträger, ist die Frage, wer mit wem den Vertrag zur Auftragsverarbeitung bzw. die OST mit Microsoft abschließt. Rein rechtlich ist die Schule verantwortliche Stelle und nur sie kann einen Vertrag zur Auftragsverarbeitung bezüglich der Verarbeitung von personenbezogenen Daten aus der Schule abschließen. Wer der Partner auf der anderen Seite ist, hängt von der jeweiligen Konstellation ab.
Viele Schulträger schließen Rahmenverträge mit Microsoft ab. Schulen können innerhalb dieser Rahmenverträge Lizenzen für die Nutzung an ihrer Schule erwerben, die dann über den Schulträger innerhalb des Rahmenvertrages abgerechnet werden. Das bedeutet, Schulen können nicht Lizenzen aus dem Pool des Schulträgers nutzen.
Eine E-Mail-Adresse in Office 365 für eine Person aus der Schule kann also nicht lauten fritz.musterschueler@stadtverwaltung-musterstadt.de. Die Schule erhält damit, dass sie sich selbst ein Konto erstellt, eine eigene Instanz, welche sie mit ihrer eigenen Internet Domäne koppeln kann. In dieser Instanz verwaltet sich die Schule selbst. D. h. nicht, dass nicht Teile davon oder auch die gesamte Verwaltung durch den Schulträger oder einen beauftragten IT-Dienstleister übernommen werden kann. Dazu ist jedoch wie bei ähnlichen Maßnahmen ein Vertrag zur Auftragsverarbeitung mit dem Schulträger abzuschließen (in welchem dann gegebenenfalls ein vom Schulträger beauftragte IT-Dienstleister ein Unter-Auftragsverarbeiter ist).
Thema E-Mail Konten
Office 365 schließt auch die Möglichkeit ein, E-Mail Konten für jeden Benutzer zu erstellen. Diese Konten sind jedoch nicht dafür geeignet, personenbezogene Daten aus der Schule zu übermitteln. Das gilt sowohl für eine Übermittlung aus der Schule heraus, wie auch innerhalb der Schule selbst. Alle personenbezogenen Daten, welche man auch nicht in OneDrive speichern sollte, gehören auch nicht in E-Mail Konten, welche über Office 365 und Server von Microsoft laufen. Eine Nutzung müsste sich wenn, auf die Übermittlung allgemeiner Informationen beschränken.
Spezialfall – private Nutzung von Office 365
Office 365 kann auch außerhalb der Schule genutzt werden. Das macht Sinn, wenn Nutzer von zu Hause aus arbeiten möchten. Die Pro Plus beinhalten dazu noch die Möglichkeit, Office Anwendungen auf bis zu fünf privaten Endgeräten zu installieren. Anders als bei einer Nutzung über schulische Endgeräte innerhalb der Schule fallen bei einer Nutzung von privaten Endgeräten, in der Regel vom heimischen Standort aus, weitere Daten an. Diese erleichtern es Dritten, den durch die Sicherheitsvorkehrungen der Schule wenig konkreten Benutzer einer natürlichen Person zuzuordnen. Auch wenn Microsoft zusagt, personenbezogene Daten von Benutzern der Edu Version von Office 365 nicht zur Bildung von Profilen zur Werbeanzeige zu nutzen, so ergeben sich durch diese zusätzlichen Datenpunkte auch zusätzliche Risiken. Gleiches gilt auch bei der Nutzung von BYOD in einer Schule. Private Geräte sind, sofern die Benutzer keine besonderen Sicherheitsvorkehrungen treffen, fast immer einer identifizierbaren Person zuzuordnen.
Office 365 – Risiken minimieren
Es gibt durchaus Möglichkeiten, Office 365 in Kombination mit anderen Produkten so zu nutzen, dass die Risiken für Betroffene deutlich reduziert werden können. Dazu gehört beispielsweise die Schaffung alternativer Möglichkeiten zur Speicherung und zum Austausch von Dokumenten und anderen Inhalten. Ein weiterer Punkt ist das ID und Access Management. Anstelle von Azure Active Directory könnte man hier beispielsweise auf das sehr bewährte ucs@school zurückgreifen. Dieses bietet sich ohnehin ideal als ein zentrales beim Schulträger angesiedeltes ID und Access Management an. Da Schulen in der Regel auf mehr als eine Online Plattform zugreifen, kann hier mittels einer einheitlichen Lösung nicht nur Verwaltung vereinfacht, sondern auch ein mehr an Datenschutz erreicht werden. Eine Alternative für eine sichere online Plattform zum Austausch von Inhalten bietet beispielsweise NextCloud, die so sicher ist, dass sie sogar von der Bundesverwaltung für 300.000 Anwender genutzt wird. Die NextCloud lässt sich über Browser, WebDAV und Apps erreichen und modular erweitern. Das integrierte LibreOffice (Collabora Office) erlaubt sogar eine Online-Bearbeitung, auch kollaborativ, von Dokumenten. Der Anbieter EduDocs hat ein fertiges Paket, welches vor allem für kleinere Schulen sehr interessant ist, auch als stand alone Lösung, alternativ zu Logineo NRW. Eine NextCloud Lösung ließe es auch zu, wenn korrekt implementiert, dort personenbezogene Daten aus der Schulverwaltung zu verarbeiten, da die Sicherheitsfeatures denen von Logineo NRW gleichwertig und in Teilen sogar überlegen sind. Das wäre also auch eine Möglichkeit, das Arbeiten von Lehrkräften von zu Hause im Sinne von Home Office zu ermöglichen.
Hinweis: (Die Verarbeitung von personenbezogenen Daten aus der Schule setzt aber auch hier eine Genehmigung der Schulleitung für die Nutzung von privaten Endgeräten voraus und die personenbezogenen Daten, welche Lehrkräfte von Zuhause aus bearbeiten dürfen, beschränkt sich auf die laut VO-DV I Anlage 3.)
Mit Office 365 wäre das in dieser Form aus datenschutz- und schulrechtlicher Sicht definitiv nicht möglich. Mit NextCloud wäre es möglich, wie in Logineo NRW eine Struktur abzubilden, welche eine saubere Trennung von Verwaltung und Unterricht ermöglicht. Der Anbieter EduDocs hat hierzu bereits ein Konzept mit Beratung von Medien- und Datenschutzexperten aus NRW ausgearbeitet. Alternativ zur Nutzung von NextCloud über einen Dienstleister können Schulen ihre Schulträger bitten, eine eigene NextCloud Instanz aufzusetzen.
Eine weitere Möglichkeit, Office 365 datenschutzfreundlicher zu nutzen, bestünde darin, es an eine andere Plattform wie zum Beispiel itslearning über Single Sign-on und zu koppeln. Hier müsste allerdings bei einer geplanten Doppelnutzung für Verwaltungsaufgaben und Unterricht darauf geachtet werden, dass es eine logische Trennung zwischen beiden Bereichen gibt. Diese würde auch beinhalten, dass Lehrkräfte sich mit zwei verschiedenen Benutzerkonten anmelden müssen.
Handlungsempfehlungen
Eine Nutzung von Office 365 ist in Schulen durchaus möglich zu Zwecken der Unterrichtsgestaltung, der Teamarbeit und der Übermittlung bzw. Bereitstellung allgemeiner Informationen durch die Schulverwaltung. Voraussetzung dafür ist jedoch eine sehr genaue Planung, wie man diese Nutzung datenschutzkonform gestalten kann. Da aufgrund fehlender Transparenz in einigen Teilbereichen nicht zu 100 % klar ist, welche personenbezogenen oder personenbeziehbaren Daten möglicherweise über die in der Datenschutzerklärung von Microsoft deklarierten hinaus verarbeitet werden, muss eine Nutzung darauf abzielen, keine unnötigen Risiken für die Betroffenen entstehen zu lassen. Das bedeutet, es müssen ganz klare Regeln geschaffen und in Nutzungsvereinbarungen festgehalten werden. Aufklärung der Betroffenen und Schulung für einen datenschutzsensiblen Umgang mit Office 365 sind unverzichtbar und regelmäßig zu wiederholen. Außerdem empfiehlt es sich, technischen Möglichkeiten zu nutzen, um die Verarbeitung von personenbezogenen Daten der Betroffenen innerhalb von Office 365 weiter zu reduzieren. Welche Möglichkeiten es dazu gibt, wurde beschrieben.
Anhang
Zum aktuellen Stand der Bewertung des Cloud Angebotes von Microsoft findet sich im 14. Tätigkeitsbericht zum Datenschutz des Landesbeauftragten für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern (Berichtszeitraum: 1. Januar 2018 bis 31. Dezember 2018) folgende Information.
“Seit dem 1. September 2018 bietet Microsoft keine Neuverträge für die Deutschland-Cloud mehr an. Microsoft hat angekündigt, stattdessen eigene Rechenzentren in Deutschland zu bauen, aus denen Cloud-Dienste für deutsche Kundinnen und Kunden angeboten werden sollen. Damit stehen die Aufsichtsbehörden vor grundlegend geänderten Voraussetzungen zur datenschutzrechtlichen Bewertung von Cloud-Angeboten der Firma Microsoft. Das betrifft sowohl rechtliche als auch technische Fragestellungen. Um technische Aspekte bewerten zu können, müssen jedoch zunächst die rechtlichen Rahmenbedingungen geklärt und ausgewertet werden. Diese Aufgabe hat der Arbeitskreis Verwaltungsmodernisierung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz) übernommen. Dort wurde die strategische Entscheidung getroffen, zunächst die juristischen Aspekte der Auftragsverarbeitung zu bewerten. Zu diesem Zweck untersucht der Arbeitskreis zunächst alle von Microsoft zur Verfügung gestellten Verträge und befragt Microsoft bei Unklarheiten. Erste Antworten von Microsoft sind bereits eingegangen und werden durch den Arbeitskreis Verwaltungsmodernisierung ausgewertet.
Angesichts der rechtlichen und technischen Komplexität der Cloud-Angebote der Firma Microsoft ist nicht damit zu rechnen, dass eine abschließende datenschutzrechtliche Bewertung kurzfristig vorliegen wird.”
Damian Duchamps' Blog 
leave a comment