Hessens Datenschützer Ronellenfitsch warnt: In der Cloud ist Microsoft Office 365 datenschutzrechtlich unzulässig

Mittwoch, 10. Juli 2019


Lange mussten Experten und Anwender auf eine klare Aussage der Aufsichtsbehörden zur Cloud-Anwendung von Office 365 warten. Jetzt hat sich der Hessische Beauftragte für Datenschutz und Informationsfreiheit zum Einsatz der Microsoft-Software an Schulen geäußert.

In einer Stellungnahme der Aufsichtsbehörde vom 09.07.2019 heißt es:

"Der Einsatz von Microsoft Office 365 an Schulen ist datenschutzrechtlich unzulässig, soweit Schulen personenbezogene Daten in der europäischen Cloud speichern."

Einstellung der Deutschland-Cloud

Bisher galt, dass Office 365 an Schulen nicht generell unzulässig war. Soweit die Daten von Kindern und Lehrern in der Deutschland-Cloud gespeichert waren und die von Microsoft zur Verfügung gestellten Werkzeuge (z.B. Rollen- und Berechtigungskonzept, Protokollierung etc.) durch die Schulen sachgerecht Anwendung gefunden haben, stand der Cloud-Lösung nichts im Wege. Im August 2018 hat Microsoft die Deutschland-Cloud allerdings komplett eingestellt.

Mögliche Zugriffe durch US-Behörden

Mit der Einstellung der Deutschland-Cloud hat sich nun auch die datenschutzrechtliche Bewertung der Cloud-Lösung von Microsoft geändert. Nun könne nicht mehr ausgeschlossen werden, dass personenbezogene Daten selbst dann einem möglichen Zugriff durch US-amerikanischer Behörden ausgesetzt sind, wenn die zugehörigen Server in Europa stehen.

Öffentliche Einrichtungen haben eine besondere Verantwortung

Öffentliche Einrichtungen in Deutschland hätten eine besondere Verantwortung hinsichtlich der Zulässigkeit und Nachvollziehbarkeit der Verarbeitung personenbezogener Daten, schreibt der Hessische Beauftragte für Datenschutz und Informationsfreiheit Prof. Dr. Michael Ronellenfitsch. Auch müsse die digitale Souveränität staatlicher Datenverarbeitung gewährleistet sein.

Hinzu komme ein weiteres Problem, auf das im Herbst 2018 das Bundesamt für Sicherheit in der Informationstechnologie die Öffentlichkeit hingewiesen hat, so Ronellenfitsch. Mit der Verwendung des Betriebssystems Windows 10 würden eine Fülle von Telemetrie-Daten an Microsoft übermittelt, deren Inhalte trotz wiederholter Anfragen bei Microsoft nicht abschließend geklärt sind. Derartige Daten werden laut Ronellenfitsch auch bei der Nutzung von Office 365 übermittelt. Laut Microsoft handelt es sich bei den Telemetrie-Daten nur um Systeminformationen, um das Absturzverhalten zu analysieren.

Wie sehen die Perspektiven für die Nutzung von Office 365 aus?

Aus dem Alltag an Schulen, insbesondere an beruflichen Schulen, ist Office 365 nicht wegzudenken. Dementsprechend sind die Aufsichtsbehörden sehr daran interessiert, eine datenschutzkonforme Lösung hinzubekommen. Der Ball liegt bei Microsoft: Sobald insbesondere der mögliche Zugriff durch US-Behörden auf die in der Cloud liegenden Daten sowie das Thema der Telemetrie-Daten nachvollziehbar und datenschutzkonform gelöst sind, kann Office 365 als Cloud-Lösung von Schulen genutzt werden.

Auch andere Anbieter sieht Ronellenfitsch kritisch: Die Cloud-Lösungen von Google und Apple seien bislang ebenfalls nicht transparent und nachvollziehbar dargelegt worden. Deshalb gelte auch hier, dass für Schulen die datenschutzkonforme Nutzung derzeit nicht darstellbar ist.

Vorerst nur lokale Nutzung zulässig

Bis dahin können sich Schulen nur anderer Instrumente wie z.B. On-Premises-Lizenzen auf lokalen Systemen bedienen. Microsofts verspricht zwar Besserung bei der Datensammelei in Windows 10 und Office. Überzeugt haben die Änderungen die Datenschützer bislang aber noch nicht. (fl)

Quellen:

Pressemitteilung vom 09.07.2019: Stellungnahme des Hessischen Beauftragten für Datenschutz und Informationsfreiheit zum Einsatz von Microsoft Office 365 in hessischen Schulen

heise online vom 09.07.2019: Datenschützer: Einsatz von Microsoft Office 365 an Schulen ist unzulässig

golem.de vom 09.07.2019: Schulen dürfen Office 365 nicht mehr verwenden