Microsoft 365 nicht für hessische Schulen zulässig

Hessens Datenschutzbeauftragter bewertet: Das Cloud-basierte Anwendungspaket von Microsoft 365 – inklusive Word, Excel und PowerPoint – ist an öffentlichen Schulen nicht mehr erlaubt. Vorerst.

Probleme mit der Sicherheit und dem Datenschutz

Bereits im Frühjahr 2019 riefen deutsche Datenschützerinnen und Datenschützer zur Vorsicht auf: Das Programm Microsoft 365 installiert sich per Click-to-run. Das heißt, mit dem Anlegen eines Nutzerkontos bei Microsoft und der entsprechenden Lizenz übernimmt das Unternehmen die Installation aller Inhalte und Programme auf dem PC. So können Nutzerinnen und Nutzer mit nur einem Klick Microsoft 365 vollumfänglich nutzen.

Dabei installiert Microsoft 365 auch einige Kontrollinstanzen, z. B. Programme zur Telemetrie-Datenerfassung. Mit ihnen analysiert und dokumentiert Microsoft das Nutzungsverhalten, um etwaige Kompatibilitätsprobleme auszuschließen. So will der Softwarehersteller sicherstellen, dass Kundinnen und Kunden problemlos die neueste Version eines Programms nutzen können. Gleichzeitig erhält das Programm aber auch Einsichten ins individuelle Nutzungsverhalten.

Das zweite große Problem zeigt sich beim Abspeichern von Dokumenten in der eigens von Microsoft bereitgestellten Cloud, die Nutzerinnen und Nutzer per „Automatisches Speichern“ als Speicherort für Dokumente auswählen können. Und genau darauf wies jetzt Hessens Datenschutzbeauftragter, Michael Ronellenfitsch, hin.

Unklarheiten bei der Datenverarbeitung

Dies ist vor allem für Schulen relevant, da Microsoft mit Office 365 Education eine für Lehrkräfte und Lernende kostenlose Version ihres „Büropakets“ anbietet. Und es ist unklar, ob und wer Zugriff auf die Daten deutscher Schülerinnen und Schüler hat und wie diese weiterverarbeitet werden. Ronellenfitsch erklärt daher in einer Pressemitteilung vom Juli 2019, dass Microsoft 365 in der Standardkonfiguration nicht mehr an öffentlichen Schulen im mitteldeutschen Bundesland eingesetzt werden dürfe. Ein Teil des Problems sei eben, dass personenbezogene Daten von Lehrkräften sowie Schülerinnen und Schülern in der Cloud gespeichert würden.

Dies ist insofern problematisch, als dass die Server der Microsoft-Cloud zwar auf europäischem, aber nicht auf deutschem Boden stehen. Damit sei unklar, ob die auf der Cloud gespeicherten Daten vor dem Zugriff von US-Behörden geschützt wären, so der hessische Datenschutzbeauftragte. Dadurch sei die digitale Souveränität staatlicher Datenverarbeitung nicht mehr gewährleistet, heißt es weiter in der Erklärung. Diese Frage konnte das Bundesamt für Sicherheit in der Informationstechnik (BSI) bislang nicht abschließend mit dem Softwaregiganten klären.

Ohne „Deutschland-Cloud“ keine Empfehlung

In der Vergangenheit hatte sich der hessische Datenschutzbeauftragte teilweise für eine mögliche Verwendung von Microsoft 365 in deutschen Klassenzimmern ausgesprochen. Zwischen den Jahren 2017 und 2018 unterhielt Microsoft mit der Deutschen Telekom eine „Deutschland-Cloud“, um Daten lokal zu speichern. Diese Cloud wurde jedoch eingestellt.

Seit zum Ende des Jahres 2018 klar wurde, dass die „Deutschland-Cloud“ nicht weitergeführt werden würde, hatten einige Schulen versucht, die Anwendung von Office 365 anderweitig zu legitimieren. Dazu ließen sie sich von Eltern Einverständniserklärungen unterzeichnen, um PowerPoint, Word, Excel und Co. weiter einsetzen zu können. Dieses Vorgehen sei jedoch nicht zu empfehlen, so Ronellenfitsch in der Pressemitteilung, „weil die Sicherheit und Nachvollziehbarkeit der Datenverarbeitungsprozesse nicht gewährleistet sind“. Und damit handeln die Schulen dem besonderen Schutzbedürfnis von Kindern im Sinne der im Mai 2018 in Kraft getretenen DS-GVO zuwider.

Noch gibt es eine Chance für Microsoft an Schulen

Das Urteil ist jedoch nicht endgültig: Ronellenfitsch bestätigte, dass „sobald insbesondere die möglichen Zugriffe Dritter auf die in der Cloud liegenden Daten sowie das Thema der Telemetrie-Daten nachvollziehbar und datenschutzkonform gelöst sind, Office 365 als Cloud-Lösung von Schulen genutzt werden [kann].“ Google und Apple seien ebenfalls nicht Alternative ratsam, ergänzt der Datenschutzbeauftragte. Bis eine Lösung mit dem weltweit größten Softwarehersteller Microsoft gefunden wird, müssten sich die öffentlichen Schulen Hessens mit lokalen Lösungen, die ihre Server in Deutschland anbieten, zufriedengeben und tun dies nach Ronellenfitschs Aussage auch bereits teilweise.

Titelbild: © dennizn/shutterstock.com