Nutzung der Microsoft Office 365 Cloud durch Bildungseinrichtungen

Grundsätzlich dürfen Bildungseinrichtungen die Unternehmens-Plattform Microsoft Office 365 einsetzen, wenn sie dabei die Datenschutzgrundverordnung einhalten. Es ist wichtig zu verstehen, dass die Datenschutzverantwortung bei jedem IT-Dienst, den die Bildungseinrichtung einsetzt, zur Gänze bei der Bildungseinrichtung liegt, nicht bei Microsoft. Bildlich gesprochen bietet Microsoft ein Fahrzeug an, das nach StVO alle Vorschriften erfüllt und zugelassen ist, aber der Fahrer ist die Bildungseinrichtung. Sie muss festlegen, warum welche personenbezogene Daten verarbeitet und gespeichert werden, wie lange sie gespeichert bleiben und wer Zugriff auf die Daten hat.

Die Bildungseinrichtung (oder der Schulträger) schließt einen Vertrag zur Auftragsverarbeitung mit Microsoft Irland gemäß DS-GVO ab, der die EU Standardvertragsklauseln enthält. Diese werden von auch allen Subunternehmen auferlegt. Damit ist Microsoft Irland gleichgestellt mit EU Anbietern. Die Speicherung der Nutzdaten erfolgt nur innerhalb der EU und die Daten verlassen die EU nicht. Microsoft Rechenzentren werden laufend nach strengsten internationalen Standards zertifiziert, sowohl nach ISO 27001, 27002, als auch nach dem Datenschutzstandard ISO 27018. Alle Nutzdaten sind server- und verbindungsseitig verschlüsselt. Die gespeicherten Daten können zusätzlich mit einem eigenen Zertifikat verschlüsselt werden (Azure Information Protection). Für die Inhalte ist der Auftraggeber selbst verantwortlich. Eine ausführliche Darlegung der datenschutzrechtlichen Grundlagen bzgl. des Einsatzes von Office 365 finden Sie hier.

Verwechseln Sie bitte niemals die Firmen- und Organisations-Cloud Office 365 mit den Privatkundenangeboten von Microsoft. Letztere sind nicht geeignet für den Einsatz in einer Bildungseinrichtung.

  • Microsoft gibt für die Unternehmenscloud Office 365 weder Daten weiter noch werden sie inhaltlich in irgendeiner Art und Weise ausgewertet
  • Microsoft ermöglicht dem Nutzer von Office 365 eine Ende-zu-Ende Verschlüsselung (Azure Information Protection)
  • Die Daten in den EU Rechenzentren sind in mehreren Ebenen verschlüsselt
  • Die Nutzdaten bleiben immer in der EU gespeichert und verlassen die EU nicht
  • Der Datentransfer zu Office 365 ist verbindungstechnisch verschlüsselt und zusätzlich innerhalb und zwischen den Rechenzentren verschlüsselt
  • Sie können über diesen Link klare Informationen erhalten, wo sich Ihre Daten befinden, wer Zugang zu diesen Daten hat, wie Microsoft diese Daten schützt und welche Zertifizierungen Microsoft erfüllt.

Nicht immer kennen Datenschutzbehörden den Unterschied zwischen den Privatkundenangeboten von Microsoft und der Unternehmens-Plattform Office 365. Office 365 ist zweifellos eine sehr komplexe technische Plattform, die laufend weiterentwickelt wird. Da sich Microsoft weltweit der DS-GVO unterworfen hat, sind viele neuere Eigenschaften von Office 365 datenschutzrechtlich hoch relevant, aber Datenschutzbehörden nicht immer bekannt.

Behauptung: man darf keine Daten in der "Cloud" speichern
Fakt: Daten in Office 365 können durchgängig Ende-zu-Ende verschlüsselt gespeichert werden (Azure Information Protection) und der Zugriff kann auf einfache Art und Weise nur berechtigten Personen der Bildungeinrichtung ermöglicht werden. Damit sind die Daten in Office 365 wesentlich besser geschützt als auf lokalen Servern. In der DS-GVO kommt es nicht auf den Speicherort an, sondern nur, dass personenbezogene Daten nachweislich nach Stand der Technik geschützt werden.

Behauptung: Microsoft (Support-)Mitarbeiter außerhalb der EU haben Zugriff auf personenbezogene Daten
Fakt: der Zugriff auf personenbezogene Daten durch Supportmitarbeiter außerhalb der EU kann grundsätzlich unterbunden werden (sog. Lockbox).

Behauptung: es ist unklar, wo die Daten liegen
Fakt: der aktuelle Speicherort wird für alle Services in Office 365 in der administrativen Konsole explizit angezeigt.

Behauptung: Microsoft gibt Nutzerdaten an die US-Regierung weiter
Fakt: Dies entbehrt jeder sachlichen Grundlage. Es gab vor Jahren den sog. Patriot-Act, der US Regierungsbehörden in gewissen Fällen Zugriff auf Daten ermöglicht hätte, aber dieses Gesetz ist aufgrund der Veröffentlichungen durch Snowden abgeschafft worden. Microsoft publiziert im Gegenteil im Trustcenter in großer Ausführlichkeit, welche Daten von welchen Behörden weltweit - auch aus Deutschland! - verlangt werden und wie Microsoft rechtskonform damit umgeht.

Behauptung: Microsoft transferiert Daten außerhalb der EU im Rahmen des Privacy Shields, was möglicherweise vom EUGH gekippt werden wird
Fakt: Microsoft transferiert keine Nutzdaten außerhalb der EU, aber Anmeldedaten, damit Sie Ihre E-Mail z. B. auch in Japan lesen können. Dies ist im Rahmen des Privacy-Shields geregelt, gegen den Klage beim EU Gerichtshof eingereicht wurde. Welche Entscheidung getroffen wird, ist offen. Verträge werden aufgrund bestehender Gesetze geschlossen und nicht aufgrund von Vermutungen. Würde der Privacy-Shield als nicht ausreichend betrachtet werden, wird die EU kurzfristig ein Abkommen mit Außer-EU Ländern abschließen, denn die großen Telekommunikationsunternehmen in Deutschland und fast alle Krankenhäuser nutzen IT-Dienste in und aus den USA.

Behauptung: der Cloud-Act ermöglicht US-Behörden einseitig Zugriff auf Daten von EU-Bürgern
Fakt: USA hat den sog. Cloud-Act beschlossen. Das ist ein Gesetz, welches das Recht eines Gerichts regelt, Daten im Rahmen eines Strafverfahrens z. B. von Microsoft oder einer anderen Firma in der Welt direkt zu erbitten statt über ein Rechtshilfeverfahren, das Jahre dauert und nicht mehr zeitgemäß ist. Es ist ausgelegt als bilaterales Abkommen und schon von einigen Ländern wie Großbritannien unterzeichnet worden. Es geht dabei um normale Gerichtsverfahren. In dem extrem unwahrscheinlichen Fall, dass ein Europäer in USA in ein Strafverfahren verwickelt ist und dieses Gericht von Microsoft Daten dieses Straftäters haben will, die noch dazu in der EU liegen, würde Microsoft (wie im Trustcenter ausführlich beschrieben) erstens den Angeklagten informieren und für ihn ggf. in seinem Auftrag Widerspruch einlegen. Aufgrund des Widerspruchs zu den EU Gesetzen würde das Gericht auf diesem Wege kaum schneller an Daten kommen als über den alten Rechtshilfeweg. Mehr dazu finden Sie hier.

Behauptung: Die von Microsoft beauftragten Unterauftragsverarbeiter bleiben im Dunkel
Fakt: Microsoft veröffentlicht die Namen neuer Unterauftragsverarbeiter für zentrale Onlinedienste mindestens sechs Monate vor ihrer Autorisierung zur Ausführung von Diensten, die ggf. Zugriff auf Kundendaten erfordern. Microsoft veröffentlicht die Namen neuer Unterauftragsverarbeiter für personenbezogene Daten mindestens 14 Tage vor ihrer Autorisierung zur Ausführung von Diensten, die ggf. Zugriff auf solche Daten erfordern. Die vollständigen Listen aller Unterauftragsverarbeiter sind unter diesem Link verfügbar.

Behauptung: Microsoft sammelt Telemetriedaten, ohne den Nutzer zu informieren und verletzt damit die DSGVO
Fakt: Alle großen Software-Anbieter übertragen bei der Nutzung ihrer Software anonymisierte Daten an den Hersteller. Dies hat zwei Gründe. Grund Nr. 1 ist Funktionskontrolle und mögliche Verbesserung: funktionieren die Dienste wie beabsichtigt? Sind sie gut nutzbar? Wo treten Probleme auf? Grund Nr. 2 ist die Analyse der Hardware, Treiber, Software-Versionen usw., um Sicherheitsschwächen beheben und Aktualisierungen vorzunehmen zu können. Microsoft dokumentiert auf seinen öffentlichen Webseiten im Detail, welche Daten aus Windows, Office, dem Edge-Browser und weiteren Diensten zu Microsoft übertragen werden: Browserdaten, Office Daten, Office Einstellungen, Windows 10 Daten, Windows 10 Einstellungen.
Viele Telemetriedaten sind notwendig, damit Microsoft den entsprechenden Softwareliefervertrag erfüllen kann. Dafür ist nach DSGVO keine Einwilligung erforderlich, sondern nur eine Information darüber wie in den Links angeführt. Trotzdem gibt es immer wieder Diskussionen über die Legitimität der Telemetriedaten. Dies liegt vereinfacht gesagt daran, dass manche Datenschutzbehörden der Meinung sind, dass anonymisierte Daten auch dann als personenbezogen anzusehen sind, sofern sie auch nur in theoretischen Extremfällen einer Person zugeordnet werden könnten. In dem Fall müsste der Benutzer zumindest die Übertragung der Daten verhindern können, die nicht zwingend für das Funktionieren oder Aktualisieren der Software erforderlich sind. Microsoft arbeitet daher laufend daran, einen Kompromiss zwischen Transparenz und Wahlmöglichkeiten einerseits und praktischer Benutzbarkeit und Sicherheit der Software andererseits herzustellen. Diese Prozesse werden immer Anpassungen und auch Diskussionen erfordern. Es gibt zu dem Thema daher auch viele sachliche Artikel, aber leider auch sehr viele unsachliche. Unverantwortlich sind Artikel, in denen empfohlen wird, wichtige Sicherheitseigenschaften von Windows 10 wie z. B. Windows Hello auszuschalten.

Der Einsatz von irgendeiner IT Plattform für Zusammenarbeit und Lernen – gleichgültig, ob die Server in Ihrem Keller oder in Irland stehen – ist nur DS-GVO konform, wenn die Vertreter der Bildungseinrichtung (in einer Schule also Schüler, Lehrer, Eltern, Schulleitung) gemeinsam den Beschluss fassen, aufgrund der Verpflichtung zur Vermittlung von Medienkompetenz und wegen der Erfordernis damit verbundener dienstlicher Kommunikation Office 365 als eine der zentralen Lernplattformen der Bildungseinrichtung einzusetzen. Dieser Satz muss die Verarbeitung personenbezogener Daten schlüssig begründen. Dieser Beschluss kann auf ein Jahr befristet werden, und selbstverständlich bleibt es dabei den Dozenten/Lehrern überlassen, in welchen Fächern sie in welcher Form digitale Medien einsetzen. Dabei muss festgelegt werden, welche personenbezogenen Daten erfasst werden, wann die Daten gelöscht werden, wer darauf Zugriff hat, und wer darüber Auskunft erteilen kann und wer im Falle von Beschwerden oder Problemen Ansprechpartner ist. Nach diesem Beschluss muss ein Verarbeitungsverzeichnis des Verantwortlichen angelegt werden, das die Details der Auftragsverarbeitung schriftlich festlegt (ein Muster ohne Gewähr finden Sie hier).

Grundlegendes zum Datenschutz​

Das für Bildungseinrichtungen relevante Gesetz ist die EU Datenschutzgrundverordnung (DS-GVO). ​

Dieses Gesetz regelt ausschließlich die automatisierte Verarbeitung von personenbezogenen Daten, also Daten, mit denen sich ein eindeutiger Bezug zu einer Person herstellen lässt. Es geht also nicht um den Schutz geistigen Eigentums. Die Kernidee ist, dass es für die Verarbeitung personenbezogener Daten einen vernünftigen, schlüssigen Grund geben muss und die Betroffenen das Recht haben, zu erfahren, wer, wozu, wo und wie lange diese Daten gespeichert werden.

Es sind im Zusammenhang mit dem Einsatz von IT in Bildungseinrichtungen insbesondere die folgenden drei Aussagen, die vollkommen neu und relevant sind:

Artikel 1 (3) der DS-GVO lautet: „Der freie Verkehr personenbezogener Daten in der Union darf aus Gründen des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten weder eingeschränkt noch verboten werden“. Daher ist eine Beschränkung auf Deutschland oder eine Beschränkung auf die eigenen Räumlichkeiten nicht zulässig. Damit spielt erstmals das "wo" keine Rolle, sondern nur das "wie".

Sie müssen als Bildungseinrichtung nach Artikel 32 DS-GVO belegbar Auskunft geben können, welche Maßnahmen in technischer und organisatorischer Hinsicht getroffen wurden, um die Datenschutzbestimmungen einzuhalten. Die technischen Schutzmaßnahmen müssen „dem aktuellen Stand der Technik“ entsprechen, was für lokal betriebene Server in kaum einer Bildungseinrichtung gewährleistet werden kann. Diese Forderung bedeutet eine vollkommene Abkehr vom bisherigen Prinzip „my home is my castle“, das in dem 30 Jahre alten Bundesdatenschutzgesetz vertreten wurde, weil es vor dem Internetzeitalter verfasst wurde.

Das Gesetz setzt sich erstmals mit den dramatisch wachsenden Gefahren durch technische Sicherheitslücken auseinander und verlangt den technisch bestmöglichen Schutz personenbezogener Daten in Abhängigkeit von den Nachteilen, die einer Person durch unbeabsichtigte Veröffentlichung entstehen können. Im Kern anerkennt die DS-GVO damit, dass angesichts der Entwicklung des Internets ein adäquater Datenschutz durch eine lokale Serverinfrastruktur in aller Regel nicht mehr erbracht werden kann. Nur sehr große, professionell betriebene und entsprechend ausgestattete Rechenzentren verfügen über die Mittel, den wachsenden Bedrohungen wirksame Schutzmaßnahmen entgegensetzen zu können. Dies wiederholt in gewissen Sinne die Jahrzehnte alte Entwicklung in einem anderen Bereich: weg vom Kohle- oder Ölofen in jeder Wohnung hin zur heutigen Fernwärme. Niemand wird heute den dadurch erreichten Sicherheitsgewinn mehr bestreiten.

Für die Auswahl von IT Dienstleistern („Auftragsverarbeiter“) gelten in der DS-GVO wesentlich strengere Maßstäbe und eine Bildungseinrichtung muss konkret nachweisen können, dass die Auswahl nach objektiven datenschutzrechtlichen Kriterien erfolgt ist, z. B. durch eine Zertifizierung des Anbieters. So sind z. B. die Microsoft EU Rechenzentren nach dem Datenschutz-Standard ISO 27018 zertifiziert. Artikel 28 (1) lautet: „Erfolgt eine Verarbeitung im Auftrag eines Verantwortlichen, so arbeitet dieser nur mit Auftragsverarbeitern, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt …“.

Im Gegensatz zu früher gilt die DS-GVO für öffentliche und nicht öffentliche Organisationen gleichermaßen und sie ist das relevante Gesetz. Die DS-GVO sieht allerdings Öffnungsklauseln für den öffentlichen Dienst vor und das neue Bundesdatenschutzgesetz und die neuen Landesdatenschutzgesetze nutzen diese zur Regelung von Gefahrenabwehr (z. B. mittels Videoüberwachung), Strafverfolgung und -vollzug. Relevant sind diese Öffnungsklauseln für öffentliche Bildungseinrichtungen in einem kleinen Teilaspekt nur deswegen, weil sie danach von der Verhängung von Geldbußen befreit sind.

Für eine Bildungseinrichtung gibt es außerdem Schul- bzw. Hochschulgesetze, die datenschutzrechtliche Aspekte enthalten können. So sieht zum Beispiel das Bayerische Erziehungs- und Unterrichtsgesetz ein Verbot der Erfassung von Schülerdaten zwecks Werbung in der Schule vor.

Ja, allerdings nur, wenn die Betroffenen nachweislich über alle Umstände und Risiken aufgeklärt wurden und die Zustimmung wirklich freiwillig erfolgt. Die DS-GVO versteht freiwillig im Sinne von "unerheblich", also Dinge, auf die man auch verzichten kann, ohne dadurch einem gewissen sozialen Druck ausgesetzt zu sein. Für Kinder unter 16 Jahren ist eine Zustimmung aller Erziehungsberechtigten zwingend vorgeschrieben.

Sie möchten mehr zum Thema erfahren?​

Wir beraten Sie gerne. Kontaktieren Sie uns einfach unter

+49 89 307 48480