Schulen dürfen Office 365 nicht mehr verwenden

Der Landesdatenschutzbeauftragte aus Hessen, Michael Ronellenfitsch, warnt vor der Nutzung von der Microsoft Cloud und der Cloudanwendung Office 365 in der Schule. Nach der Einstellung der sogenannten Deutschland-Cloud von Microsoft, könne der Zugriff von Dritten nicht ausgeschlossen werden. Aufgrund dessen kommt der Landesdatenschutzbeauftragte Michael Ronellenfitsch zu dem schluss, dass die Microsoft Cloud sowie die Anwendungen aus Office 365 an Schulen nicht mehr verwendet werden dürften.

Zwar sei die Nutzung von Cloud-Anwendungen durch Schulen nicht generell ein datenschutzrechtliches Problem, es müsse aber sichergestellt werden, dass die Sicherheit der Datenverarbeitung gewährleistet sei. Die Schule als öffentliche Einrichtung dürfe die personenbezogenen Daten der Schüler jedoch nicht „in einer (europäischen) Cloud speichern, die z.B. einem möglichen Zugriff US-amerikanischer Behörden ausgesetzt ist“, schreibt die Datenschutzbehörde. „Öffentliche Einrichtungen in Deutschland haben eine besondere Verantwortung hinsichtlich der Zulässigkeit und Nachvollziehbarkeit der Verarbeitung personenbezogener Daten. Auch muss die digitale Souveränität staatlicher Datenverarbeitung gewährleistet sein.“

Derweil macht das Bundesamt für Sicherheit in der Informationstechnologie (BSI) darauf aufmerksam, dass Windows 10 sowie Office 365 sogenannte Telemetriedaten sammeln und an Microsoft senden. Aktuell sei nicht geklärt was mit den Daten geschehe und der Zugriff von anderer Seite ausgeschlossen. So lange hier keine datenschutzkonforme Lösung erarbeitet wurde, dürfe Office 365 nicht von Schulen eingesetzt werden. Das gelte auch für alternative Cloud-Lösungen von anderen Betreibern, bspw. Apple und Google.

Stellungnahme / Einschätzung der legitimis (RAin Bokeloh)

Zunächst einmal ist festzustellen, dass der hessische Landesdatenschutzbeauftragte Herr Ronellenfitsch vor der Nutzung der Microsoft Cloud und der Cloudanwendung Office 365 in der Schule in der Standardeinstellung warnt. Die Nutzung der Programme ist demnach unzulässig, soweit Schulen personenbezogene Daten in der europäischen Cloud speichern.

Hier geht es insbesondere darum, dass Microsoft das Modell der Microsoft Cloud Deutschland einstellt bzw. zurzeit keine Neukunden mehr in diesem Modell aufnimmt. Kern dieses Modells war es, dass die Rechenzentren für die betroffenen Dienste ausschließlich von der Deutschen Telekom als Datentreuhänder betrieben wurden und Microsoft-Mitarbeiter keinen Zugang hatten. Anstatt dessen sollen die Daten zukünftig in einer neuen, europäischen Cloud gespeichert werden, auf die dann insbesondere auch US-Geheimdienste im Rahmen amerikanischer Gesetze Zugriff hätten.

Der hessische Datenschutzbeauftragte fühlte sich dazu verpflichtet, sich zu äußern, nachdem er ein paar Jahre vorher die Anwendungen in der Microsoft Deutschland Cloud als unbedenklich eingestuft hatte, soweit die von Microsoft zur Verfügung gestellten Werkzeuge (z.B. Rollen- und Berechtigungskonzept, Protokollierung etc.) durch die Schulen sachgerechte Anwendung fanden. Die Stellungnahme hat er außerdem abgegeben vor dem Hintergrund, dass „Schulen als öffentliche Einrichtungen eine besondere Verantwortung hinsichtlich der Zulässigkeit und Nachvollziehbarkeit der Verarbeitung personenbezogener Daten“ habe. Außerdem ist erst seit einiger Zeit bekannt, dass mit Windows 10 viele Daten an Microsoft weitergeleitet werden.

Für Sie ergibt sich zunächst einmal keine zwingende Schlussfolgerung aus dieser Stellungnahme. Sicherlich weist einiges darauf hin, dass die Datensicherheit hinsichtlich der europäischen Cloud nicht vollständig gewährleistet ist, was den Zugriff von Dritten auf die Daten angeht. Aber es finden sich mindestens genauso viele Argumente dafür, warum Sie trotz allem die Datenverarbeitung mittels Office 365 – zumindest vorerst – fortsetzen können.

Optimal ist es zurzeit sicherlich, die Daten – egal für welche Cloudlösung Sie sich entscheiden – per Verschlüsselung zusätzlich abzusichern. Sicherlich ist hinsichtlich einer Lösung auch immer das Kriterium der „Angemessenheit“ zu berücksichtigen.