Office 365 – HBDI – die Dritte
Es bleibt weiterhin spannend, was die Zulässigkeit einer Nutzung von Office 365 durch Schulen angeht. Nachdem der Hessische Beauftragte für Datenschutz und Informationsfreiheit am 09.07.2019 zunächst bekannt gab, dass eine Nutzung von Office 365 durch Schulen datenschutzrechtlich nicht zulässig sei, äußerte er sich am 02.08.2019 erneut zum Thema. Das Statement vom Juli hatte ein ziemliche Welle losgetreten und an vielen Stellen zerbrach man sich den Kopf, was das für die eigene Schule nun bedeute. Noch einen Tag vor der neuen Pressemittteilung des HBDI erklärte eine Fachanwältin in einem Interview mit dem Titel Cloud-Nutzer und US-Cloud-Anbieter befinden sich in einer Zwickmühle, wodurch sich die datenschutzrechtliche Problematik ergibt, welche zu der Aussage führte, dass die Cloudanwendung von Office 365 derzeit unzulässig sei.
Dem HBDI war sicherlich klar, dass ein Verbot der Nutzung von Office 365 durchaus nicht unproblematisch ist für Schulen. Passend kamen in dieser Situation, die zahlreichen Verbesserungen, welche Microsoft mittlerweile umgesetzt hat, um den Vorgaben der DS-GVO besser zu entsprechen. Viele dieser Änderungen waren auch eine Folge der Forderungen aus den Niederlanden, nachdem man dort in einer Datenschutz Folgenabschätzung (DSFA) gravierende Mängel festgestellt hatte. Anfang Juli hatte das niederländische Justizministerium dann grünes Licht für die Nutzung von Office 365 durch Regierungsbehörden gegeben. Dieses hatte die Einschätzung des HBDI bezüglich einer Zulässigkeit der Nutzung von Office 365 durch Schulen zunächst scheinbar nicht beeinflussen können. Entsprechend erklärte er wenige Tage später eine Nutzung für unzulässig. Ob die Entwicklungen in den Niederlanden das Handeln des HBDI später doch noch beeinflusst hat, ist durchaus möglich. Nach eigenen Aussagen des HBDI in einer Presseerklärung vom 02.08.2019 fanden seither „intensive Gespräche mit Microsoft über die Datenschutzkonformität der schulischen Anwendung von Office 365 statt, die zu einer datenschutzrechtlich veränderten Einschätzung führten und die einen erheblichen Anteil der Bedenken entkräfteten.“ In Folge gibt es nun nach einer neuen Abwägung durch den HBDI „unter Beachtung des Grundsatzes der Verhältnismäßigkeit“ erst einmal oranges Licht für Schulen. Die Nutzung der „Cloud-Anwendung Office 365 in der Version ab 1904 (Office365 ProPlus, Office365 Online und Office365 Apps)“ ist für Schulen zunächst weiterhin möglich. Um dieses zu ermöglichen, hat der HBDI eine Duldung erklärt, die auf Vertrauenserwägungen in die Zusicherungen von Microsoft gründet. Mit der Duldung setzt der HBDI seine Erklärung einer Unzulässigkeit der Nutzung damit vorrübergehend aus. Dabei unterscheidet der HBDI drei Fälle. Im Rahmen der Duldung auf einer Vertrauenserwägung können:
- Schulen, welche bereits eine entsprechende Office 365 Lizenz besitzen diese weiterhin nutzen, und
- Schulen, für welche die Beschaffung von Office 365 Lizenzen bereits im Haushalt rechtlich verbindlich verabschiedet wurde, können die Lizenzen erwerben und nutzen.
Auch Schulen, die nicht unter 1 oder 2 fallen, können sich auf die Duldung berufen. Es gibt hier jedoch einen wichtigen Unterschied. Sie tragen „das finanzielle Risiko, falls die weitere Überprüfung zur Unzulässigkeit des Einsatzes von Office 365 in hessischen Schulen“ führt. Das heißt, während die Schulen in Fall 1 und 2 mit einer Erstattung der Lizenzkosten rechnen können, falls die Nutzung von Office 365 letztlich doch für unzulässig erkärt wird, bleiben die anderen Schulen auf ihren Kosten sitzen.
Vielleicht sollte man sich an dieser Stelle einmal eines deutlich machen. Es geht hier nicht mehr um Office 365 in der Microsoft Cloud Deutschland, deren Nutzung der HBDI seinerzeit für unterrichtliche Zwecke für zulässig erklärt hatte, sondern um die ganz normale Office 365 Version.
Die Nutzung von Office 365 im Rahmen der Duldung ist an mehrere Bedingungen geknüpft:
- Es muss in die Cloud Anwendung von 365 in der Version ab 1904 genutzt werden.
- Schulen müssen „vorläufig die Übermittlung jedweder Art von Diagnosedaten unterbinden.“
Wie letzteres umzusetzen ist, dafür stellt der HBDI in Aussicht, weitere „Vorgaben hinsichtlich der Parameter machen, die als Grundlage für die Nutzung der Cloud umzusetzen sind.“ Das dürften unter anderem Angaben sein, welche personenbezogenen Daten bei einer Nutzung von Office 365 zulässig sind bzw. welche Maßnahmen umzusetzen sind etwa bei der Erstellung von Benutzerkonten.
Bezüglich einer Unterbindung der Übermittlung von Diagnosedaten und der dazu erforderlichen Einstellungen kann man sich gut an den Angaben im letzten Abschnitt „Selbst Maßnahmen zur Verbesserung des Datenschutzes ergreifen“ im Beitrag Neue DSFAs zu Microsoft Office- und Windows-Software: weiterhin Datenschutzrisiken orientieren. Dieses ist ein Bericht der Privacy Company, welche die oben erwähnte erste Datenschutz Folgenabschätzung (DSFA) 2018 im Auftrag des niederländischen Justizministeriums durchgeführt hatte. Nachdem man in den Niederlanden mit Microsoft neue Datenschutzbestimmungen für die 300.000 digitalen Arbeitsplätze der Zentralregierung vertraglich vereinbart und den Behörden grünes Licht für eine Nutzung der Enterprise-Versionen von Office 365 und von Windows 10 gegeben hatte, führte die Privacy Company drei neue DSFA durch. Dabei konnte man die Behebung „der acht zuvor identifizierten Datenschutzrisiken für Office 365 ProPlus durch eine Kombination aus technischen, organisatorischen und vertraglichen Maßnahmen“ durch Microsoft nachweisen.
Das war jedoch nicht das einzige Ergebnis. Es wurde auch ermittelt, dass die Nutzung von zumindest drei der iOS Office Apps Datenschutzrisiken in sich birgt, da hierbei Daten an eine US-Firma übermittelt werden, welche auf predictive Profiling spezialisiert ist. Darüber hinaus stellt man fest, dass „bestimmte technische Verbesserungen, die Microsoft in Office 365 ProPlus implementiert hat, in Office Online (noch) nicht verfügbar“ sind.
Infolge rät man in den Niederlanden nun den staatlichen Behörden, vorerst weder Office Online noch die Office-Apps zu nutzen. Das ist vor allem vor dem Hintergrund interessant, dass der HBDI nur wenige Tage nach der Veröffentlichung durch die Privacy Company und der Empfehlung des Justizministeriums bzw. SLM Rijk seine Einschätzung, die er im Juli abgegeben hatte, vorerst „auf Eis legt“. Möglicherweise haben sich die Gespräche, welche er mit Microsoft führte, und die Veröffentlichung von Privacy Company zeitlich überschnitten. Es wäre aber auch denkbar, dass Microsoft dem HBDI zugesichert hat, dass für EDU Nutzer von Office365 ProPlus, Office365 Online und den Office Apps andere Bedingungen gelten und dass so bei den Apps keine personenbezogenen Daten von Schülern und Lehrkräften an die US Firma übermittelt werden.
Es bleibt weiterhin spannend, denn die Prüfungen des HBDI sind noch nicht abgeschlossen. Mit den aktuellen DSFA aus den Niederlanden sollte es dem HBDI im Rahmen seiner beabsichtigten Prüfungen recht einfach möglich sein, auf Schule angepasste DSFA zu erstellen. Deutlich ist im aktuellen Statement des HBDI auch geworden, dieser hat sich parallel zu den gemeinsamen Bemühungen der Aufsichtsbehörden bezüglich der Datenschutzproblematik von Office 365 mit der Thematik auseinandergesetzt. Das finde ich sehr gut. Hier ist jemand, der versucht, für Schulen eine Klärung herbeizuführen. Was in den Bundeländern oder eventuell auch auf Bundesebene geschehen sollte, beschreibt der Beitrag der Privacy Company recht gut, wenn auch für niederländische Unternehmen und Organisationen, die nicht zur Zentralregierung gehören.
Unternehmen und Organisationen außerhalb der niederländischen Zentralregierung können selbst eine Reihe von Maßnahmen ergreifen (siehe die Liste unten in diesem Blog), aber nur Microsoft ist in der Lage, die hohen Datenschutzrisiken zu beseitigen. Aus diesem Grund sollten diese Organisationen über Datenschutzgarantien verhandeln, die denen der niederländischen Regierung ähnlich sind, vorzugsweise über einen Dachverband oder eine Gewerkschaft. Es würde nicht schaden, auf die laufende Untersuchung des Europäischen Datenschutzbeauftragten über die Vertragsbedingungen, die Microsoft den europäischen Institutionen anbietet, hinzuweisen. Darüber hinaus können Unternehmen auch ihre eigene DSFA auf der Grundlage der Berichte der niederländischen Regierung durchführen und die Restrisiken der Datenschutz Aufsichtsbehörde gemäß Artikel 36 DSGVO melden.
Es muss mit Microsoft verhandelt werden über Datenschutzgarantien. Es braucht Verträge zwischen den Ministerien und Microsoft. Ohne die wird es nicht gehen. Gespräche, wie der HBDI sie geführt hat, können nur ein Anfang sein. Nicht ohne Grund hat auch in unseren Nachbarländern Österreich und der Schweiz entsprechende Verträge ausgehandelt. Microsoft ist willens, sich an den Bedürfnissen europäischer Kunden zu orientieren, und zeigt dieses durch sein Handeln auch sehr deutlich.
Alles wird gut. Es braucht nur Zeit und den Willen aller Beteiligten. Selbst das Thema CLOUD-Act wird sich auf absehbare Zeit regeln durch ein internationales Abkommen oder weil man die USA in das europäische Pendant zum CLOUD-Act, die e-Evidence-Verordnung, aufnimmt. Alles, was wir brauchen, sind Geduld, guten Willen, (Ver)Handeln und pragmaische Lösungen.
Ich erwarte, dass man sich in einigen Bundesländern, wo man sich bereits an der ursprünglichen Empfehlung des HBDI zu Office 365 mit der MS Cloud Deutschland orientiert hatte, den aktuellen Aussagen anschließen wird. Das würde dann auch für NRW gelten.
Office 365 Cloud für Schule – wo stehen wir?
Office 365 ist mittlerweile in vielen Schulen zu finden und Logineo NRW, dessen Start sich wieder und wieder verzögert, bietet auch keine wirkliche Alternative zu diesem umfangreichen System. Leider ist Office 365 wie auch andere Produkte aus dem Hause Microsoft in Bezug auf das Thema Datenschutz nicht komplett unbedenklich.
Grundlegende Informationen
DS-GVO konform – ja oder nein?
Auch wenn Microsoft die personenbezogenen Daten von europäischen Benutzern überwiegend in europäischen Rechenzentren verarbeitet, ist eine Übermittlung von personenbezogenen Daten in Staaten außerhalb der Europäischen Union und des Europäischen Wirtschaftsraumes (EWR) nicht ausgeschlossen. Dieses hat verschiedene Hintergründe. Als US-amerikanischer Konzern mit internationalen Kunden mit Niederlassungen auf der ganzen Welt bestehen schon von daher Verbindungen zwischen den verschiedenen weltweit verteilten Serverstandorten. Für Wartung und Support gibt es außerdem Zugriffe von außerhalb des Geltungsraumes der europäischen Datenschutz Grundverordnung. Außerdem gibt es einige Anwendungen, wie zum Beispiel Sway, die nicht auf Servern in Europa, sondern in den USA laufen. Gerade in dieser Übermittlung von personenbezogenen Daten in Drittstaaten wurde in der Vergangenheit immer wieder ein datenschutzrechtliches Problem gesehen. Mit dem EU US Privacy Shield wurden schon vor Beginn der Umsetzung der DS-GVO die rechtlichen Rahmenbedingungen geschaffen, um personenbezogene Daten von EU Bürgern auch auf Servern in den USA verarbeiten zu können. Zusätzlich gab es die EU Standardvertragsklauseln. Beide bestehen fort. Trotz Cloud Act wurde der EU US Privacy Shield für ein weiteres Jahr verlängert. Rein formell erfüllt Microsoft mit Office 365 also auch aktuell die Vorgaben der europäischen Datenschutz Grundverordnung, soweit es um die Übermittlung von personenbezogenen Daten in Drittstaaten geht.
Office 365 wird von den Aufsichtsbehörden trotzdem recht kritisch gesehen. Auch wenn formal alles im grünen Bereich erscheint, so hinterfragen die Aufsichtsbehörden viele Praktiken von Microsoft bezüglich der Konformität mit datenschutzrechtlichen Vorgaben. Aus diesem Grund sind die Aufsichtsbehörden der verschiedenen Bundesländer schon seit Jahren im Dialog mit Microsoft, um Antworten auf ihre Fragen zu erhalten. Leider hat Microsoft bisher nicht alle diese Fragen beantwortet bzw. zufriedenstellend beantwortet. Hinzu kommen verschiedene Erkenntnisse aus Untersuchungen, welche Zweifel aufkommen lassen, ob sich Office 365 wie auch andere Produkte von Microsoft (Windows 10 und andere Office Varianten) tatsächlich datenschutzkonform nutzen lassen (Siehe auch Textende – Anhang). Erst im November 2018 hatte man bei einer Untersuchung in Holland acht Problemfelder im Zusammenhang mit der Erhebung von Telemetriedaten durch Microsoft ermittelt. Diese betreffen die Office 365 – Web Version, das Office 365 ProPlus Lizenzmodell und das Office 2016 ProPlus Lizenzmodell. Mit den Telemetriedaten (Nutzungsdaten zur Softwareentwicklung und um Probleme ermitteln zu können) werden nach Erkenntnissen der Holländer scheinbar auch (personenbezogene bzw. personenbeziehbare ) Daten übermittelt, zumindest in Fragmenten. Bei den in Holland ermittelten Problemen geht es also nicht nur um formale Verstöße gegen die DS-GVO, also nicht in den Datenschutzerklärungen ausgewiesene Verarbeitungsprozesse, sondern auch um tatsächliche, möglicherweise riskante Datenabflüsse. Microsoft sagte zu, bis April 2019 eine Lösung vorzulegen und, ähnlich wie bei Windows 10, Möglichkeiten zu schaffen, die Übermittlung von Telemetriedaten zu deaktivieren. In der Tat wurden wohl in einigen Office Varianten zusätzliche Transparenzmaßnahmen implementiert. Von Seiten der Aufsichtsbehörden aus Holland oder auch aus der Schweiz, wo diese Probleme angemahnt worden waren, gibt es bisher allerdings keine Neuigkeiten.
Die rechtliche Situation in NRW
Rein rechtlich gesehen gibt es aktuell in NRW kein ausdrückliches Verbot von Seiten des Schulministeriums bezüglich einer Nutzung von Office 365. Mit Stand von Mai 2019 findet sich auf Seiten der Medienberatung eine einzige Aussage bezüglich Office 365.
****
Wie sieht die datenschutzrechtliche Bewertung von Microsoft Office 365 für den schulischen Einsatz in NRW aus?
Von der LDI ist mitgeteilt worden, dass ein bundesländerübergreifendes Verfahren zur datenschutzrechtlichen Beurteilung von Microsoft Office 365 stattfindet, das noch nicht abgeschlossen ist. Vor diesem Hintergrund konnte die LDI eine Verwendung von MS Office 365 bislang nicht empfehlen. Andererseits hat der hessische Landesbeauftragte bereits seine Stellungnahme für den Einsatz des Produkts in den Schulen veröffentlicht.
Grundsätzlich kann für die jetzige praktische Handhabung festgestellt werden: Schulleitungen, die sich mangels einer offiziellen Einschätzung in NRW auf die Bewertung des DSB Hessen verlassen und die dortigen einschränkenden Bedingungen zur Nutzung von Office 365 einhalten, u.a. keine Nutzung der Cloud für Verwaltungszwecke, kann kein fahrlässiges oder vorwerfbares Handeln vorgehalten werden.
Es ist jedoch zu empfehlen, in die Überlegungen einer Beschaffung und Nutzung von cloudbasierten Anwendungen wie Office 365 den Umstand einzubeziehen, dass landesseitig mit LOGINEO NRW ein eigenes Angebot für die Datenspeicherung und den E-Mail-Verkehr beabsichtigt ist. Alternativ zu cloudbasierten Anwendungen wie Office 365 können auch Desktop-Anwendungen wie MS Office 2016 oder Libre Office genutzt werden.
****
Hier wird auf eine Stellungnahme des hessischen Landesbeauftragten für Datenschutz verwiesen. Was dabei jedoch unterschlagen wird, ist die Tatsache, dass es die MS Cloud Deutschland in Treuhand der Telekom in dieser Form seit März 2019 nicht mehr gibt. Das Angebot wurde eingestellt, da es rein formell mit Umsetzung der europäischen Datenschutz Grundverordnung für Firmenkunden keine Erfordernisse mehr gibt, auf eine derartige Lösung zurückzugreifen und diese Lösung außerdem für international operierende Firmen mit Niederlassungen außerhalb Europas unbrauchbar war.
D. h. also, in NRW verweist man auf eine Lösung, wie und unter welchen Voraussetzungen Schulen Office 365 nutzen können, die es nicht (mehr) gibt.
Auch von Seiten der LDI NRW gibt es wenig Neues zu berichten. Die Situation hat sich nicht wesentlich verändert. Es kann weiterhin keine Empfehlung ausgesprochen werden, da es keine neuen Erkenntnisse von Seiten der Aufsichtsbehörden gibt. In einem Schreiben äußert allerdings eine Mitarbeiterin der Aufsichtsbehörde NRW, dass sie aktuell eher von einer Nutzung abraten würde.
Das bedeutet zusammengefasst, es gibt weder ein Verbot von Seiten des Ministeriums für die Nutzung von Office 365 noch eine entsprechende Anordnung von Seiten der Aufsichtsbehörde des Landes. Es bleibt damit letztlich der Entscheidung der Schulleitung als als Verantwortlicher bezüglich der Verarbeitung von personenbezogenen Daten in einer Schule, ob und wie Office 365 genutzt wird.
Es ergeben sich jedoch einige recht klare Grenzen, wofür bzw. wie Office 365 in der Schule definitiv nicht genutzt werden kann.
- Ganz klar scheidet eine Nutzung für die Verarbeitung von personenbezogenen Daten in der Schulverwaltung aus.
- Nicht ausgeschlossen ist für die Schulverwaltung eine Nutzung für allgemeine Verarbeitungstätigkeiten. Das meint etwa die Bereitstellung von Dokumentvorlagen oder die Übermittlung allgemeiner Informationen.
- Im pädagogischen Bereich setzt die Nutzung von Office 365 ein sensibles Vorgehen voraus. Das meint einen Verzicht auf alle personenbezogenen Daten, welche zu einer Nutzung nicht unbedingt erforderlich sind.
- Eine Nutzung mit personenbezogenen Daten setzt immer eine informierte und freiwillige Einwilligung der Betroffenen voraus.
Kann man Office 365 mit Cloud in Schule nutzen?
Was bedeutet das jetzt für eine Nutzung in der Schule? Man kann Office 365 mit Cloud trotz allem durchaus in Schule nutzen. Dabei sind jedoch mehrere Dinge zu beachten.
- Eine Nutzung innerhalb des Kollegiums zur Entwicklung und zum Austausch von Unterrichtsmaterialien ist problemlos möglich.
- Eine Nutzung für Verwaltungsaufgaben, welche personenbezogene Daten aus der Schule beinhalten, ob das Klassenlisten sind oder Eltern Anschreiben bezüglich Ordnungsmaßnahmen, ist nicht möglich. (Das soll heißen, es ist nicht möglich mit einer Anbindung an die Cloud. Wenn man in der Verwaltung lediglich eine offline Version nutzt und diese nicht mit einem Cloud Account koppelt, dann hat man kein Problem.)
- Eine Nutzung im Unterricht ist möglich, wenn man dabei den Grundsatz der Datenminimierung verfolgt. Das bedeutet, personenbezogene Daten bleiben, soweit möglich, außerhalb Office 365 mit der Cloud. Beim Anlegen von Benutzerkonten sollte man sich an den Vorgaben der Orientierungshilfe online-Lernplattformen der Aufsichtsbehörden orientieren und den Anmeldenamen nicht aus dem Klarnamen erstellen, sondern stattdessen z.B. besser eine Kombination aus Initialen und einer Nummer nutzen. Um Nutzer innerhalb der Plattform erkennen zu können, kann der Benutzername durchaus Teile des Klarnamens enthalten.
- Leistungsbewertungen haben nichts in Office 365 mit Cloud zu suchen.
Die Formalien
Rein formal braucht man für die Nutzung von Office 365 (egal ob mit oder ohne Cloud) eine Einwilligung der Betroffenen in die Verarbeitung von personenbezogenen Daten. Das betrifft die Schüler wie auch die Lehrkräfte. Außerdem braucht man für Office 365, wenn die Cloud Funktionen genutzt werden sollen, einen Vertrag zur Auftragsdatenverarbeitung mit Microsoft, oder eventuell mit einem Dienstleister, wenn dieser die Cloud Funktion zur Verfügung stellt. Außerdem sollte man eine Nutzungsvereinbarung mit Lehrkräften wie Schülern treffen. In dieser wird beispielsweise festgelegt, dass private Daten außer eventuell dem eigenen Namen nichts in Office 365 zu suchen haben. Diese Nutzungsvereinbarung kombiniert man dann direkt mit der Einwilligung bezüglich der erforderlichen Verarbeitung von personenbezogenen Daten.
Hinweis: Personenbezogene Daten betreffen nicht nur den Klarnamen, den man vielleicht für die Erstellung eines Benutzernamens verwendet, sondern auch alle mit dem Nutzer verbundenen Daten. Diese gehen vom Passwort bis zu den technischen Nutzungsdaten und den erzeugten Dateien und deren Inhalten. Da sie mit einem eindeutigen Nutzer verbunden sind, handelt es sich dabei auch um personenbezogene bzw. personenbeziehbare Daten. Auch pseudonymisierte Benutzernamen stellen personenbezogene Daten dar, da sie mittels anderer Informationen den Betroffenen zugeordnet werden können.
Den Vertrag zur Auftragsverarbeitung findet man nicht so ohne Weiteres. Er verbirgt sich hinter den OST oder Online Service Terms, zu Deutsch Online Service-Nutzungsbedingungen. Anders als man es vielleicht erwartet oder erhofft, gibt es keinen Vertrag, der von Microsoft vorunterzeichnet ist und als PDF heruntergeladen von der Schule unterzeichnet und an Microsoft zurückgeschickt wird.
Deshalb ist es wichtig, bei der Anmeldung der Schule für Office 365 das Setzen der Häkchen auf einer Seite, ähnlich wie der unten, zu dokumentieren, am besten durch einen Ausdruck der Seite.
In Bezug auf die DS-GVO ist das ausreichend. Auch den OST sollte man sich sichern. Man findet die OST hier https://www.microsoft.com/en-us/licensing/product-licensing/products Wenn man die richtige Sprache auswählt, lädt das Dokument als docx. Die OST ändern sich monatlich etwas. Es gelten die OST zum Zeitpunkt des Vertragsabschlusses mit Microsoft.
Hintergrundinformation
Anders als mit Anbietern aus der EU oder dem EWR kann man mit Microsoft keinen Vertrag zur Auftragsverarbeitung im eigentlichen Sinne abschließen. Art. 28 DS-GVO sieht hier jedoch geeignete Rechtsinstrumente nach Unionsrecht vor. Die OST fallen, da sie die Standardvertragsklauseln enthalten unter die Regelungen von Art. 28 Abs. 6 DS-GVO. Nahezu gleichwertig mit einem Angemessenheitsbeschluss, der einem Drittland ein der EU vergleichbares Datenschutzniveau bescheinigt, ist der EU US Privacy Shield, welcher von Microsoft gezeichnet wurde.
Thema Rahmenvertrag bzw. wer schließt Verträge mit wem?
Ein etwas komplexes Thema, auch für Schulträger, ist die Frage, wer mit wem den Vertrag zur Auftragsverarbeitung bzw. die OST mit Microsoft abschließt. Rein rechtlich ist die Schule verantwortliche Stelle und nur sie kann einen Vertrag zur Auftragsverarbeitung bezüglich der Verarbeitung von personenbezogenen Daten aus der Schule abschließen. Wer der Partner auf der anderen Seite ist, hängt von der jeweiligen Konstellation ab.
Viele Schulträger schließen Rahmenverträge mit Microsoft ab. Schulen können innerhalb dieser Rahmenverträge Lizenzen für die Nutzung an ihrer Schule erwerben, die dann über den Schulträger innerhalb des Rahmenvertrages abgerechnet werden. Das bedeutet, Schulen können nicht Lizenzen aus dem Pool des Schulträgers nutzen.
Eine E-Mail-Adresse in Office 365 für eine Person aus der Schule kann also nicht lauten fritz.musterschueler@stadtverwaltung-musterstadt.de. Die Schule erhält damit, dass sie sich selbst ein Konto erstellt, eine eigene Instanz, welche sie mit ihrer eigenen Internet Domäne koppeln kann. In dieser Instanz verwaltet sich die Schule selbst. D. h. nicht, dass nicht Teile davon oder auch die gesamte Verwaltung durch den Schulträger oder einen beauftragten IT-Dienstleister übernommen werden kann. Dazu ist jedoch wie bei ähnlichen Maßnahmen ein Vertrag zur Auftragsverarbeitung mit dem Schulträger abzuschließen (in welchem dann gegebenenfalls ein vom Schulträger beauftragte IT-Dienstleister ein Unter-Auftragsverarbeiter ist).
Thema E-Mail Konten
Office 365 schließt auch die Möglichkeit ein, E-Mail Konten für jeden Benutzer zu erstellen. Diese Konten sind jedoch nicht dafür geeignet, personenbezogene Daten aus der Schule zu übermitteln. Das gilt sowohl für eine Übermittlung aus der Schule heraus, wie auch innerhalb der Schule selbst. Alle personenbezogenen Daten, welche man auch nicht in OneDrive speichern sollte, gehören auch nicht in E-Mail Konten, welche über Office 365 und Server von Microsoft laufen. Eine Nutzung müsste sich wenn, auf die Übermittlung allgemeiner Informationen beschränken.
Spezialfall – private Nutzung von Office 365
Office 365 kann auch außerhalb der Schule genutzt werden. Das macht Sinn, wenn Nutzer von zu Hause aus arbeiten möchten. Die Pro Plus beinhalten dazu noch die Möglichkeit, Office Anwendungen auf bis zu fünf privaten Endgeräten zu installieren. Anders als bei einer Nutzung über schulische Endgeräte innerhalb der Schule fallen bei einer Nutzung von privaten Endgeräten, in der Regel vom heimischen Standort aus, weitere Daten an. Diese erleichtern es Dritten, den durch die Sicherheitsvorkehrungen der Schule wenig konkreten Benutzer einer natürlichen Person zuzuordnen. Auch wenn Microsoft zusagt, personenbezogene Daten von Benutzern der Edu Version von Office 365 nicht zur Bildung von Profilen zur Werbeanzeige zu nutzen, so ergeben sich durch diese zusätzlichen Datenpunkte auch zusätzliche Risiken. Gleiches gilt auch bei der Nutzung von BYOD in einer Schule. Private Geräte sind, sofern die Benutzer keine besonderen Sicherheitsvorkehrungen treffen, fast immer einer identifizierbaren Person zuzuordnen.
Office 365 – Risiken minimieren
Es gibt durchaus Möglichkeiten, Office 365 in Kombination mit anderen Produkten so zu nutzen, dass die Risiken für Betroffene deutlich reduziert werden können. Dazu gehört beispielsweise die Schaffung alternativer Möglichkeiten zur Speicherung und zum Austausch von Dokumenten und anderen Inhalten. Ein weiterer Punkt ist das ID und Access Management. Anstelle von Azure Active Directory könnte man hier beispielsweise auf das sehr bewährte ucs@school zurückgreifen. Dieses bietet sich ohnehin ideal als ein zentrales beim Schulträger angesiedeltes ID und Access Management an. Da Schulen in der Regel auf mehr als eine Online Plattform zugreifen, kann hier mittels einer einheitlichen Lösung nicht nur Verwaltung vereinfacht, sondern auch ein mehr an Datenschutz erreicht werden. Eine Alternative für eine sichere online Plattform zum Austausch von Inhalten bietet beispielsweise NextCloud, die so sicher ist, dass sie sogar von der Bundesverwaltung für 300.000 Anwender genutzt wird. Die NextCloud lässt sich über Browser, WebDAV und Apps erreichen und modular erweitern. Das integrierte LibreOffice (Collabora Office) erlaubt sogar eine Online-Bearbeitung, auch kollaborativ, von Dokumenten. Der Anbieter EduDocs hat ein fertiges Paket, welches vor allem für kleinere Schulen sehr interessant ist, auch als stand alone Lösung, alternativ zu Logineo NRW. Eine NextCloud Lösung ließe es auch zu, wenn korrekt implementiert, dort personenbezogene Daten aus der Schulverwaltung zu verarbeiten, da die Sicherheitsfeatures denen von Logineo NRW gleichwertig und in Teilen sogar überlegen sind. Das wäre also auch eine Möglichkeit, das Arbeiten von Lehrkräften von zu Hause im Sinne von Home Office zu ermöglichen.
Hinweis: (Die Verarbeitung von personenbezogenen Daten aus der Schule setzt aber auch hier eine Genehmigung der Schulleitung für die Nutzung von privaten Endgeräten voraus und die personenbezogenen Daten, welche Lehrkräfte von Zuhause aus bearbeiten dürfen, beschränkt sich auf die laut VO-DV I Anlage 3.)
Mit Office 365 wäre das in dieser Form aus datenschutz- und schulrechtlicher Sicht definitiv nicht möglich. Mit NextCloud wäre es möglich, wie in Logineo NRW eine Struktur abzubilden, welche eine saubere Trennung von Verwaltung und Unterricht ermöglicht. Der Anbieter EduDocs hat hierzu bereits ein Konzept mit Beratung von Medien- und Datenschutzexperten aus NRW ausgearbeitet. Alternativ zur Nutzung von NextCloud über einen Dienstleister können Schulen ihre Schulträger bitten, eine eigene NextCloud Instanz aufzusetzen.
Eine weitere Möglichkeit, Office 365 datenschutzfreundlicher zu nutzen, bestünde darin, es an eine andere Plattform wie zum Beispiel itslearning über Single Sign-on und zu koppeln. Hier müsste allerdings bei einer geplanten Doppelnutzung für Verwaltungsaufgaben und Unterricht darauf geachtet werden, dass es eine logische Trennung zwischen beiden Bereichen gibt. Diese würde auch beinhalten, dass Lehrkräfte sich mit zwei verschiedenen Benutzerkonten anmelden müssen.
Handlungsempfehlungen
Eine Nutzung von Office 365 ist in Schulen durchaus möglich zu Zwecken der Unterrichtsgestaltung, der Teamarbeit und der Übermittlung bzw. Bereitstellung allgemeiner Informationen durch die Schulverwaltung. Voraussetzung dafür ist jedoch eine sehr genaue Planung, wie man diese Nutzung datenschutzkonform gestalten kann. Da aufgrund fehlender Transparenz in einigen Teilbereichen nicht zu 100 % klar ist, welche personenbezogenen oder personenbeziehbaren Daten möglicherweise über die in der Datenschutzerklärung von Microsoft deklarierten hinaus verarbeitet werden, muss eine Nutzung darauf abzielen, keine unnötigen Risiken für die Betroffenen entstehen zu lassen. Das bedeutet, es müssen ganz klare Regeln geschaffen und in Nutzungsvereinbarungen festgehalten werden. Aufklärung der Betroffenen und Schulung für einen datenschutzsensiblen Umgang mit Office 365 sind unverzichtbar und regelmäßig zu wiederholen. Außerdem empfiehlt es sich, technischen Möglichkeiten zu nutzen, um die Verarbeitung von personenbezogenen Daten der Betroffenen innerhalb von Office 365 weiter zu reduzieren. Welche Möglichkeiten es dazu gibt, wurde beschrieben.
Anhang
Zum aktuellen Stand der Bewertung des Cloud Angebotes von Microsoft findet sich im 14. Tätigkeitsbericht zum Datenschutz des Landesbeauftragten für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern (Berichtszeitraum: 1. Januar 2018 bis 31. Dezember 2018) folgende Information.
“Seit dem 1. September 2018 bietet Microsoft keine Neuverträge für die Deutschland-Cloud mehr an. Microsoft hat angekündigt, stattdessen eigene Rechenzentren in Deutschland zu bauen, aus denen Cloud-Dienste für deutsche Kundinnen und Kunden angeboten werden sollen. Damit stehen die Aufsichtsbehörden vor grundlegend geänderten Voraussetzungen zur datenschutzrechtlichen Bewertung von Cloud-Angeboten der Firma Microsoft. Das betrifft sowohl rechtliche als auch technische Fragestellungen. Um technische Aspekte bewerten zu können, müssen jedoch zunächst die rechtlichen Rahmenbedingungen geklärt und ausgewertet werden. Diese Aufgabe hat der Arbeitskreis Verwaltungsmodernisierung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz) übernommen. Dort wurde die strategische Entscheidung getroffen, zunächst die juristischen Aspekte der Auftragsverarbeitung zu bewerten. Zu diesem Zweck untersucht der Arbeitskreis zunächst alle von Microsoft zur Verfügung gestellten Verträge und befragt Microsoft bei Unklarheiten. Erste Antworten von Microsoft sind bereits eingegangen und werden durch den Arbeitskreis Verwaltungsmodernisierung ausgewertet.
Angesichts der rechtlichen und technischen Komplexität der Cloud-Angebote der Firma Microsoft ist nicht damit zu rechnen, dass eine abschließende datenschutzrechtliche Bewertung kurzfristig vorliegen wird.”
Datenschutz und Schule – wo ansetzen?
Meinen letzten Beitrag “Zu Hülfe, der Datenschutz …” hatte ich mit dem Fazit geschlossen “Es müssen nur alle wollen, endlich Stellung beziehen und Schulen und Lehrkräften unterstützend zur Seite stehen.” Bei Twitter stellte später Matthias Förtsch die Frage, wer denn “alle” seien und wo man hier ansetzen müsse.
Im Beitrag hatte ich die Verantwortlichen zwar genannt, möchte hier aber noch einmal konkreter werden.
Das grundlegende Problem für Schulen besteht aktuell darin, dass Lehrkräfte bestimmte Softwareprodukte und Plattformen im Unterricht nutzen möchten, es jedoch in den wenigsten Fällen rechtsverbindliche Aussagen von vorgesetzten Dienststellen gibt, ob und wie die Nutzung in Bezug auf datenschutzrechtliche Vorgaben möglich ist. Die daraus resultierende Unsicherheit bei Lehrern, Schulleitungen und Schulträgern führt dazu, dass viele Lösungen in Schule nie oder nur unbefriedigend realisiert werden können, was zu einer zusätzlichen Erschwernis bei der Entwicklung des Unterrichts mit digitalen Medien führt.
Ein Beispiel aus NRW – keine Hilfe ist wenig hilfreich
Symptomatisch hierfür ist für mich ein Beispiel aus NRW. Hier ging es um ein Berufskolleg, welches Office 365 im Unterricht einsetzen möchte. Man war sich nicht sicher, ob bzw. Wie dieses datenschutzrechtlich möglich ist. Eine Anfrage im Dezember 2016 bei der Landesdatenschutzbehörde erbrachte als Ergebnis lediglich, dass ein Bundesländer übergreifendes Verfahren zur datenschutzrechtlichen Beurteilung von Microsoft Office 365 noch nicht abgeschlossen sei, da Microsoft nicht alle Fragen verbindlich beantwortet habe, und außerdem sei es ohnehin das Ministerium für Schule und Bildung, welches die “datenschutzrechtliche Ressortverantwortung” trage. Eine Empfehlung könne man von Seiten der LDI für die Nutzung von Office 365 wegen der ungeklärten Fragen nicht aussprechen. In einer Antwort bestätigt das Ministerium für Schule und Bildung seine Verantwortung, “der Hinweis der LDI auf die Verantwortung des MSW für die Einhaltung des Datenschutzes im Schulbereich ist ohne jeden Zweifel zutreffend” und verweist dann auf den zuständigen schulischen Datenschutzbeauftragten und ergänzt, dass man “als oberste Landesbehörde die Bearbeitung aller Einzelfälle zu Fragen des schulischen Datenschutzes” nicht übernehmen könne. Dass es hierbei eigentlich nicht um einen Einzelfall, sondern um eine grundsätzliche Frage geht, scheint man nicht zu sehen, will man vielleicht auch nicht sehen. Das Ende vom Lied, es hat sich bis heute nichts getan. Die Schule kommt nicht weiter, wie so viele andere.
Beispiele aus anderen Bundesländern – wo etwas geht
Dass es auch völlig anders gehen kann, zeigt das Beispiel Hessen, wo der dortige Landesbeauftragte für Datenschutz und Informationsfreiheit (LDI) sich im August 2017 ganz klar positionierte in Bezug auf die Nutzung von Office 365 unter Einhaltung datenschutzrechtlicher Vorgaben. Er kommt zu dem Schluss, dass eine Nutzung im pädagogischen Bereich möglich ist und erklärt, was dabei zu beachten ist.
Vergleichbar ist eine offizielle Stellungnahme der LDI von Rheinland Pfalz zu den Anforderungen für den schulischen Einsatz von Google-Classroom und Cloud Angeboten wie Office 365 und Google generell.
Auch in Niedersachsen äußerte sich in einem Tätigkeitsbericht die Landesbeauftragte für Datenschutz zur Nutzung der Cloud Version von Office 365. Sie kam in ihrem Tätigkeitsbericht für 2013/14 zu dem Schluss, dass eine Nutzung nicht zulässig wäre (Anmerkung: das Cloud Angebot entsprach zu der Zeit noch nicht der aktuellen Variante).
In Baden-Württemberg nimmt das Kultusministerium ganz aktuell in der FAQ Datenschutz an Schulen EUDSGVO (03/2018) Stellung zum Thema Cloud Computing und sagt, unter welchen Bedingungen die Nutzung möglich ist und was getan werden muss. Genannt werden als Beispiele Beispiele für Cloud-Computing “Dropbox, Microsoft Cloud Services (z.B. Office365, Azure), Google Drive, iCloud sowie weitere Web 2.0 Anwendungen.” Abschließend gibt sie sogar eine Empfehlung ab. Das ginge sicher noch besser, etwa über einen Rahmenvertrag (siehe unten Beispiel Kanton Zürich) doch hiermit haben Schulen schon einmal eine klare Handlungsmöglichkeit.
Die Zuständigen: Schulministerien und Landesdatenschutzbehörden
Die Zuständigkeiten sind, was Schule und Datenschutz in grundsätzlichen Fragen angeht, eigentlich klar. Das jeweilige Schulministerium eines jeden Bundeslandes trägt die datenschutzrechtliche Ressortverantwortung. Damit liegt es auch an diesen Ministerien, die Schulen zu unterstützen und rechtlich abzusichern, vor allem wenn es um grundlegende Fragen geht. Office 365, G-Suite for Education und Apple und seine Bildungsangebote gehören heute zu den Produkten, welche Schulen vorrangig einsetzen möchten. Oft tun sie dieses auch schon, dann aber entweder mit Einschränkungen und Behelfslösungen oder ohne datenschutzrechtliche Absicherung in einer rechtlichen Grauzone. Und das ist kein haltbarer Zustand.
Neben den Schulministerien spielen jedoch auch die Landesdatenschutzbehörden eine Rolle, wie die Beispiele aus Hessen, Rheinland Pfalz und Niedersachsen deutlich zeigen.
Wie es gehen könnte
Das Beispiel der jetzt kurz vor Inkrafttreten stehenden Datenschutz Grundverordnung zeigt sehr gut, wie Organisationen mit dem Thema Datenschutz umgehen. Man beauftragt in der Regel Juristen damit, die Prozesse innerhalb der Organisation auf die Konformität mit den rechtlichen Vorgaben zu überprüfen und bei Bedarf entsprechende Anpassungen auszuarbeiten. Die Juristen stammen bei großen Organisationen aus der eigenen Rechtsabteilung, bei kleineren Organisationen bedient man sich externer Fachleute. Dieses Vorgehen findet man in der Wirtschaft bei Einzelunternehmen und Verbänden wie auch in Behörden.
Entsprechend dieser Strukturen gibt es auch Mechanismen, die in Gang gesetzt werden, wenn in laufenden Prozessen datenschutzrechtliche Fragestellungen oder Probleme auftreten.
Will eine Organisation die Dienste eines großen Anbieters wie Microsoft, Google, Apple, SAP oder ähnlich nutzen, dann werden hier Verträge abgeschlossen. Und auch hier greifen wieder die Strukturen der Organisation. Es wird geprüft, rechtlich geprüft, ob Dienste des Anbieters den eigenen Ansprüchen in Bezug auf Vertraulichkeit wie aber auch den Vorgaben in Bezug auf den Datenschutz, so zutreffend, entsprechen. Die großen Anbieter digitaler Dienstleistungen verfügen in der Regel über fertige Vertragswerke. Außerdem lassen sich die großen Anbieter von verschiedenen Organisationen zertifizieren. Über die Zertifizierung kann leicht nachgewiesen werden, ob bestimmte rechtliche Vorgaben und Standards eingehalten werden. Wenn dieses nicht ausreichend ist oder den Vorstellungen der Organisation entspricht, wird mit dem Anbieter verhandelt. In der Folge werden Vertragswerke angepasst und bei Bedarf auch Anpassungen an den Diensten des Anbieters entsprechend der Vorgaben der Organisation vorgenommen.
Geht es um die Nutzung von Software oder Cloud-Diensten in Behörden, Universitäten und Schulen werden in der Regel sogenannte Rahmenverträge abgeschlossen. Es kommt dabei jedoch auch darauf an, wer den Rahmenvertrag aushandelt und abschließt. Wie ein solcher Rahmenvertrag für Schulen aussehen könnte, zeigt das Beispiel des Kantons Zürich in der Schweiz. Hier wurde zur datenschutzkonformen Bearbeitung von Personendaten über das Schweizer Medieninstitut für Bildung und Kultur (educa.ch) mit Microsoft ein Rahmenvertrag für den Einsatz von Office 365 in den Primar- und Sekundarschulen geschlossen. Eine Übersicht auf den Seiten des Datenschutzbeauftragten des Kanton Zürich zeigt an, welche Office 365 Komponenten innerhalb des Rahmenvertrages datenschutzkonform genutzt werden können. Bevor dieser Rahmenvertrag möglich wurde, sorgte man in der Schweiz durch eine Vertragsanpassung mit Microsoft dafür, dass die Office 365 Cloud-Dienste von Schulen datenschutzrechtlich unbedenklich eingesetzt werden können.
Auch in Österreich hat man eine Lösung für Schulen geschaffen. Das Bundesministerium für Bildung, Wissenschaft und Forschung hat einen Rahmenvertrag mit Microsoft abgeschlossen. Schulen können die Cloud Lösung von MS Office 365 datenschutzrechtlich sicher nutzen. Welche Bedingungen erfüllt werden müssen, ist klar genannt, eine Einwilligung der Schüler und eine Weiterleitung der Schülerdaten an Microsoft durch die Schule selbst.
Einen Rahmenvertrag gibt es in Deutschland schon
Rahmenverträge mit Microsoft gibt es in Deutschland bereits, für Schulen den mit FWU. Dieser „FWU-Vertrag“ 3.0 wurde Ende 2016 abgeschlossen mit dem Ziel „viele Möglichkeiten der Nutzung von Cloud-Diensten, um für Schulen, Lehrende und Schüler/innen gemeinsam eine moderne und zukunftssichere Lehr- und Lernumgebung zu gestalten.“ Das Problem bei diesem Rahmenvertrag ist jedoch, wie das Beispiel aus NRW zeigt, dass er ohne verbindliche Aussagen des Schulministeriums oder der Landesdatenschutzbehörde für Schulen wertlos ist. Die Aussagen gibt es nicht, da die beiden Behörden mit größter Wahrscheinlichkeit nicht an den Verhandlungen beteiligt waren.
Wie man in Deutschland handeln sollte
Es muss also Klarheit geschaffen werden durch Schulministerien und Landesdatenschutzbehörden. Es reicht nicht, wenn ein Unternehmen wie FWU einen Vertrag mit Microsoft aushandelt, wenn dieses nicht die rechtliche Autorität hat, den Rahmen im Sinne des Datenschutzes für Schulen verbindlich auszuhandeln. Wenn die Datenschutzbehörden weiter auf Antworten von Microsoft waren wollen, wie oben beschrieben, werden sie ewig warten, vermute ich. Man muss verhandeln. Mit der Peitsche der DS-GVO drohen braucht man wohl nicht mehr. Vielleicht hilft es aber, mit der Möhre zu locken.
Ehrlich gesagt sehe ich wenig Sinn darin, wenn jedes Bundesland für sich in Verhandlungen mit den großen Anbietern wie Microsoft, Apple und Google tritt. Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder und ihre Arbeitskreise arbeiten ohnehin regelmäßig gemeinsame Positionen zu datenschutzrechtlichen Themen aus, wie Beispiele zu Lernplattformen und Cloud Computing zeigen. Wenn der Bund mit einer Grundgesetzänderung nun ohnehin mehr Verantwortung in der Bildung übernimmt, sollte doch nichts dagegen sprechen, wenn entsprechende Rahmenverträge durch den Bund ausgehandelt würden, einschließlich der dazu notwendigen Vertragsänderungen. Immerhin würde der Bund mehr als 30.000 allgemeinbildende Schulen vertreten mit ungefähr 8,37 Millionen Schülern (statista), eine große Möhre, auch für Microsoft, Apple und Google. Für die Konzerne ginge es um ein größeres Finanzvolumen bzw. im Falle von Google um mehr Nutzer, die sich mit der Marke anfreunden. Damit hätte der Bund wesentlich mehr Gewicht in den Verhandlungen und könnte leichter nationale Datenschutzvorgaben, soweit sie von der DS-GVO abweichen, und Vertragskonditionen durchsetzen. Dass solches Sinn macht und möglich ist, zeigen das Beispiel Österreich.
Die letzte Frage
Die Frage, welche nun am Schluss bleibt, nachdem benannt ist, wer alles wollen muss, ist letztlich, wo genau man nun die Hebel ansetzen muss, um die Schulministerien und Landesdatenschutzbehörden bzw. den Bund zum Handeln zu bewegen.
Meine Recherchen zum Thema lassen vermuten, dass es zwar bei den Schulministerien und Landesdatenschutzbehörden immer wieder vereinzelte Anfragen von Schulen gibt, die dann jedoch, wenn überhaupt, nur einzeln beantwortet werden, und oft mit einer Antwort, die nicht weiterhilft. Einzelne Bundesländer zeigen zumindest, dass sie in die richtige Richtung denken. Es bräuchte aber wohl eine konzertierte Aktion, um alle diese trägen Kolosse von übergeordneten Behörden der Länder (die Schulministerien und Landesdatenschutzbehörden) bzw. des Bundes (das Bundesministerium für Bildung und Forschung und die Bundesdatenschutzbeauftragte) zum Handeln zu bewegen. Vielleicht ist dort nicht einmal klar, dass hier Handeln dringend erforderlich ist, vor allem jetzt,wo Geld kein Problem sein soll, wo Schulen und Schulträger Weichen stellen müssen.
Damian Duchamps' Blog 
2 comments