Office 365 – HBDI – die Dritte

Posted in Datenschutz by damianduchamps on August 3, 2019

Es bleibt weiterhin spannend, was die Zulässigkeit einer Nutzung von Office 365 durch Schulen angeht. Nachdem der Hessische Beauftragte für Datenschutz und Informationsfreiheit am 09.07.2019 zunächst bekannt gab, dass eine Nutzung von Office 365 durch Schulen datenschutzrechtlich nicht zulässig sei, äußerte er sich am 02.08.2019 erneut zum Thema. Das Statement vom Juli hatte ein ziemliche Welle losgetreten und an vielen Stellen zerbrach man sich den Kopf, was das für die eigene Schule nun bedeute. Noch einen Tag vor der neuen Pressemittteilung des HBDI erklärte eine Fachanwältin in einem Interview mit dem Titel Cloud-Nutzer und US-Cloud-Anbieter befinden sich in einer Zwickmühle, wodurch sich die datenschutzrechtliche Problematik ergibt, welche zu der Aussage führte, dass die Cloudanwendung von Office 365 derzeit unzulässig sei.

Dem HBDI war sicherlich klar, dass ein Verbot der Nutzung von Office 365 durchaus nicht unproblematisch ist für Schulen. Passend kamen in dieser Situation, die zahlreichen Verbesserungen, welche Microsoft mittlerweile umgesetzt hat, um den Vorgaben der DS-GVO besser zu entsprechen. Viele dieser Änderungen waren auch eine Folge der Forderungen aus den Niederlanden, nachdem man dort in einer Datenschutz Folgenabschätzung (DSFA) gravierende Mängel festgestellt hatte. Anfang Juli hatte das niederländische Justizministerium dann grünes Licht für die Nutzung von Office 365 durch Regierungsbehörden gegeben. Dieses hatte die Einschätzung des HBDI bezüglich einer Zulässigkeit der Nutzung von Office 365 durch Schulen zunächst scheinbar nicht beeinflussen können. Entsprechend erklärte er wenige Tage später eine Nutzung für unzulässig. Ob die Entwicklungen in den Niederlanden das Handeln des HBDI später doch noch beeinflusst hat, ist durchaus möglich. Nach eigenen Aussagen des HBDI in einer Presseerklärung vom 02.08.2019 fanden seither „intensive Gespräche mit Microsoft über die Datenschutzkonformität der schulischen Anwendung von Office 365 statt, die zu einer datenschutzrechtlich veränderten Einschätzung führten und die einen erheblichen Anteil der Bedenken entkräfteten.“ In Folge gibt es nun nach einer neuen Abwägung durch den HBDI „unter Beachtung des Grundsatzes der Verhältnismäßigkeit“ erst einmal oranges Licht für Schulen. Die Nutzung der „Cloud-Anwendung Office 365 in der Version ab 1904 (Office365 ProPlus, Office365 Online und Office365 Apps)“ ist für Schulen zunächst weiterhin möglich. Um dieses zu ermöglichen, hat der HBDI eine Duldung erklärt, die auf Vertrauenserwägungen in die Zusicherungen von Microsoft gründet. Mit der Duldung setzt der HBDI seine Erklärung einer Unzulässigkeit der Nutzung damit vorrübergehend aus. Dabei unterscheidet der HBDI drei Fälle. Im Rahmen der Duldung auf einer Vertrauenserwägung können:

1. Schulen, welche bereits eine entsprechende Office 365 Lizenz besitzen diese weiterhin nutzen, und
2. Schulen, für welche die Beschaffung von Office 365 Lizenzen bereits im Haushalt rechtlich verbindlich verabschiedet wurde, können die Lizenzen erwerben und nutzen.

Auch Schulen, die nicht unter 1 oder 2 fallen, können sich auf die Duldung berufen. Es gibt hier jedoch einen wichtigen Unterschied. Sie tragen „das finanzielle Risiko, falls die weitere Überprüfung zur Unzulässigkeit des Einsatzes von Office 365 in hessischen Schulen“ führt. Das heißt, während die Schulen in Fall 1 und 2 mit einer Erstattung der Lizenzkosten rechnen können, falls die Nutzung von Office 365 letztlich doch für unzulässig erkärt wird, bleiben die anderen Schulen auf ihren Kosten sitzen.

Vielleicht sollte man sich an dieser Stelle einmal eines deutlich machen. Es geht hier nicht mehr um Office 365 in der Microsoft Cloud Deutschland, deren Nutzung der HBDI seinerzeit für unterrichtliche Zwecke für zulässig erklärt hatte, sondern um die ganz normale Office 365 Version.

Die Nutzung von Office 365 im Rahmen der Duldung ist an mehrere Bedingungen geknüpft:

• Es muss in die Cloud Anwendung von 365 in der Version ab 1904 genutzt werden.
• Schulen müssen „vorläufig die Übermittlung jedweder Art von Diagnosedaten unterbinden.“

Wie letzteres umzusetzen ist, dafür stellt der HBDI in Aussicht, weitere „Vorgaben hinsichtlich der Parameter machen, die als Grundlage für die Nutzung der Cloud umzusetzen sind.“ Das dürften unter anderem Angaben sein, welche personenbezogenen Daten bei einer Nutzung von Office 365 zulässig sind bzw. welche Maßnahmen umzusetzen sind etwa bei der Erstellung von Benutzerkonten.

Bezüglich einer Unterbindung der Übermittlung von Diagnosedaten und der dazu erforderlichen Einstellungen kann man sich gut an den Angaben im letzten Abschnitt „Selbst Maßnahmen zur Verbesserung des Datenschutzes ergreifen“ im Beitrag Neue DSFAs zu Microsoft Office- und Windows-Software: weiterhin Datenschutzrisiken orientieren. Dieses ist ein Bericht der Privacy Company, welche die oben erwähnte erste Datenschutz Folgenabschätzung (DSFA) 2018 im Auftrag des niederländischen Justizministeriums durchgeführt hatte. Nachdem man in den Niederlanden mit Microsoft neue Datenschutzbestimmungen für die 300.000 digitalen Arbeitsplätze der Zentralregierung vertraglich vereinbart und den Behörden grünes Licht für eine Nutzung der Enterprise-Versionen von Office 365 und von Windows 10 gegeben hatte, führte die Privacy Company drei neue DSFA durch. Dabei konnte man die Behebung „der acht zuvor identifizierten Datenschutzrisiken für Office 365 ProPlus durch eine Kombination aus technischen, organisatorischen und vertraglichen Maßnahmen“ durch Microsoft nachweisen.

Das war jedoch nicht das einzige Ergebnis. Es wurde auch ermittelt, dass die Nutzung von zumindest drei der iOS Office Apps Datenschutzrisiken in sich birgt, da hierbei Daten an eine US-Firma übermittelt werden, welche auf predictive Profiling spezialisiert ist. Darüber hinaus stellt man fest, dass „bestimmte technische Verbesserungen, die Microsoft in Office 365 ProPlus implementiert hat, in Office Online (noch) nicht verfügbar“ sind.

Infolge rät man in den Niederlanden nun den staatlichen Behörden, vorerst weder Office Online noch die Office-Apps zu nutzen. Das ist vor allem vor dem Hintergrund interessant, dass der HBDI nur wenige Tage nach der Veröffentlichung durch die Privacy Company und der Empfehlung des Justizministeriums bzw. SLM Rijk seine Einschätzung, die er im Juli abgegeben hatte, vorerst „auf Eis legt“. Möglicherweise haben sich die Gespräche, welche er mit Microsoft führte, und die Veröffentlichung von Privacy Company zeitlich überschnitten. Es wäre aber auch denkbar, dass Microsoft dem HBDI zugesichert hat, dass für EDU Nutzer von Office365 ProPlus, Office365 Online und den Office Apps andere Bedingungen gelten und dass so bei den Apps keine personenbezogenen Daten von Schülern und Lehrkräften an die US Firma übermittelt werden.

Es bleibt weiterhin spannend, denn die Prüfungen des HBDI sind noch nicht abgeschlossen. Mit den aktuellen DSFA aus den Niederlanden sollte es dem HBDI im Rahmen seiner beabsichtigten Prüfungen recht einfach möglich sein, auf Schule angepasste DSFA zu erstellen. Deutlich ist im aktuellen Statement des HBDI auch geworden, dieser hat sich parallel zu den gemeinsamen Bemühungen der Aufsichtsbehörden bezüglich der Datenschutzproblematik von Office 365 mit der Thematik auseinandergesetzt. Das finde ich sehr gut. Hier ist jemand, der versucht, für Schulen eine Klärung herbeizuführen. Was in den Bundeländern oder eventuell auch auf Bundesebene geschehen sollte, beschreibt der Beitrag der Privacy Company recht gut, wenn auch für niederländische Unternehmen und Organisationen, die nicht zur Zentralregierung gehören.

Unternehmen und Organisationen außerhalb der niederländischen Zentralregierung können selbst eine Reihe von Maßnahmen ergreifen (siehe die Liste unten in diesem Blog), aber nur Microsoft ist in der Lage, die hohen Datenschutzrisiken zu beseitigen. Aus diesem Grund sollten diese Organisationen über Datenschutzgarantien verhandeln, die denen der niederländischen Regierung ähnlich sind, vorzugsweise über einen Dachverband oder eine Gewerkschaft. Es würde nicht schaden, auf die laufende Untersuchung des Europäischen Datenschutzbeauftragten über die Vertragsbedingungen, die Microsoft den europäischen Institutionen anbietet, hinzuweisen. Darüber hinaus können Unternehmen auch ihre eigene DSFA auf der Grundlage der Berichte der niederländischen Regierung durchführen und die Restrisiken der Datenschutz Aufsichtsbehörde gemäß Artikel 36 DSGVO melden.

Es muss mit Microsoft verhandelt werden über Datenschutzgarantien. Es braucht Verträge zwischen den Ministerien und Microsoft. Ohne die wird es nicht gehen. Gespräche, wie der HBDI sie geführt hat, können nur ein Anfang sein. Nicht ohne Grund hat auch in unseren Nachbarländern Österreich und der Schweiz entsprechende Verträge ausgehandelt. Microsoft ist willens, sich an den Bedürfnissen europäischer Kunden zu orientieren, und zeigt dieses durch sein Handeln auch sehr deutlich.

Alles wird gut. Es braucht nur Zeit und den Willen aller Beteiligten. Selbst das Thema CLOUD-Act wird sich auf absehbare Zeit regeln durch ein internationales Abkommen oder weil man die USA in das europäische Pendant zum CLOUD-Act, die e-Evidence-Verordnung, aufnimmt. Alles, was wir brauchen, sind Geduld, guten Willen, (Ver)Handeln und pragmaische Lösungen.

Ich erwarte, dass man sich in einigen Bundesländern, wo man sich bereits an der ursprünglichen Empfehlung des HBDI zu Office 365 mit der MS Cloud Deutschland orientiert hatte, den aktuellen Aussagen anschließen wird. Das würde dann auch für NRW gelten.

Tagged with: Datenschutz, Office 365, Schule

2 comments