Hessens Datenschützer Ronellenfitsch warnt: In der Cloud ist Microsoft Office 365 datenschutzrechtlich unzulässig (aktualisiert)

Lange mussten Experten und Anwender auf eine klare Aussage der Aufsichtsbehörden zur Cloud-Anwendung von Office 365 warten. Jetzt hat sich der Hessische Beauftragte für Datenschutz und Informationsfreiheit zum Einsatz der Microsoft-Software an Schulen geäußert.

In einer Stellungnahme der Aufsichtsbehörde vom 09.07.2019 heißt es:

„Der Einsatz von Microsoft Office 365 an Schulen ist datenschutzrechtlich unzulässig, soweit Schulen personenbezogene Daten in der europäischen Cloud speichern.“

Einstellung der Deutschland-Cloud

Bisher galt, dass Office 365 an Schulen nicht generell unzulässig war. Soweit die Daten von Kindern und Lehrern in der Deutschland-Cloud gespeichert waren und die von Microsoft zur Verfügung gestellten Werkzeuge (z.B. Rollen- und Berechtigungskonzept, Protokollierung etc.) durch die Schulen sachgerecht Anwendung gefunden haben, stand der Cloud-Lösung nichts im Wege. Im August 2018 hat Microsoft die Deutschland-Cloud allerdings komplett eingestellt.

Mögliche Zugriffe durch US-Behörden

Mit der Einstellung der Deutschland-Cloud hat sich nun auch die datenschutzrechtliche Bewertung der Cloud-Lösung von Microsoft geändert. Nun könne nicht mehr ausgeschlossen werden, dass personenbezogene Daten selbst dann einem möglichen Zugriff durch US-amerikanischer Behörden ausgesetzt sind, wenn die zugehörigen Server in Europa stehen.

Öffentliche Einrichtungen haben eine besondere Verantwortung

Öffentliche Einrichtungen in Deutschland hätten eine besondere Verantwortung hinsichtlich der Zulässigkeit und Nachvollziehbarkeit der Verarbeitung personenbezogener Daten, schreibt der Hessische Beauftragte für Datenschutz und Informationsfreiheit Prof. Dr. Michael Ronellenfitsch. Auch müsse die digitale Souveränität staatlicher Datenverarbeitung gewährleistet sein.

Hinzu komme ein weiteres Problem, auf das im Herbst 2018 das Bundesamt für Sicherheit in der Informationstechnologie die Öffentlichkeit hingewiesen hat, so Ronellenfitsch. Mit der Verwendung des Betriebssystems Windows 10 würden eine Fülle von Telemetrie-Daten an Microsoft übermittelt, deren Inhalte trotz wiederholter Anfragen bei Microsoft nicht abschließend geklärt sind. Derartige Daten werden laut Ronellenfitsch auch bei der Nutzung von Office 365 übermittelt. Laut Microsoft handelt es sich bei den Telemetrie-Daten nur um Systeminformationen, um das Absturzverhalten zu analysieren.

Wie sehen die Perspektiven für die Nutzung von Office 365 aus?

Aus dem Alltag an Schulen, insbesondere an beruflichen Schulen, ist Office 365 nicht wegzudenken. Dementsprechend sind die Aufsichtsbehörden sehr daran interessiert, eine datenschutzkonforme Lösung hinzubekommen. Der Ball liegt bei Microsoft: Sobald insbesondere der mögliche Zugriff durch US-Behörden auf die in der Cloud liegenden Daten sowie das Thema der Telemetrie-Daten nachvollziehbar und datenschutzkonform gelöst sind, kann Office 365 als Cloud-Lösung von Schulen genutzt werden.

Auch andere Anbieter sieht Ronellenfitsch kritisch: Die Cloud-Lösungen von Google und Apple seien bislang ebenfalls nicht transparent und nachvollziehbar dargelegt worden. Deshalb gelte auch hier, dass für Schulen die datenschutzkonforme Nutzung derzeit nicht darstellbar ist.

Vorerst nur lokale Nutzung zulässig

Bis dahin können sich Schulen nur anderer Instrumente wie z.B. On-Premises-Lizenzen auf lokalen Systemen bedienen. Microsofts verspricht zwar Besserung bei der Datensammelei in Windows 10 und Office. Überzeugt haben die Änderungen die Datenschützer bislang aber noch nicht.

Update – Einsatz von Office 365 an Schulen wird „geduldet“

Hessens oberster Datenschützer Michael Ronellenfitsch hat in einer zweiten Stellungnahme zu erkennen gegeben, dass wegen der Komplexität von Office 365 die Zulässigkeit des Einsatzes der Cloud-Anwendungen zum gegenwärtigen Zeitpunkt noch nicht abschließend geklärt sei. Es hätten intensive Gespräche mit Microsoft stattgefunden, in denen ein „erheblicher Anteil der Bedenken“ entkräftet werden konnten, was zu einer datenschutzrechtlich veränderten Einschätzung führe.

Die Nutzung von Office 365 ab der Versionsnummer 1904 durch hessische Schulen, die Office 365 bereits erworben haben, werde deshalb „bis auf weiteres geduldet“, so Ronellenfitsch. Dasselbe gilt für Schulen, bei denen der Kauf bereits beschlossen und haushaltsrechtlich gesichert ist. Alle anderen Schulen könnten sich ebenfalls auf die Duldung berufen – trügen dann aber das finanzielle Risiko, falls man schließlich doch die Unzulässigkeit des Office-365-Einsatzes feststelle.

Schulen müssen aber die „Übermittlung jedweder Art von Diagnosedaten unterbinden“. Eine Anleitung dazu soll erarbeitet und den Schulen zur Verfügung gestellt werden. (fl)

Quellen:

heise online vom 09.07.2019: Datenschützer: Einsatz von Microsoft Office 365 an Schulen ist unzulässig

golem.de vom 09.07.2019: Schulen dürfen Office 365 nicht mehr verwenden