Nutzung der Microsoft Office 365 Cloud durch Bildungseinrichtungen

Grundsätzlich dürfen Bildungseinrichtungen die Unternehmens-Plattform Microsoft Office 365 einsetzen, wenn sie dabei die Datenschutzgrundverordnung einhalten. Es ist wichtig zu verstehen, dass die Datenschutzverantwortung bei jedem IT-Dienst, den die Bildungseinrichtung einsetzt, zur Gänze bei der Bildungseinrichtung liegt, nicht bei Microsoft. Bildlich gesprochen bietet Microsoft ein Fahrzeug an, das nach StVO alle Vorschriften erfüllt und zugelassen ist, aber der Fahrer ist die Bildungseinrichtung. Sie muss festlegen, warum welche personenbezogene Daten verarbeitet und gespeichert werden, wie lange sie gespeichert bleiben und wer Zugriff auf die Daten hat.

Die Bildungseinrichtung (oder der Schulträger) schließt einen Vertrag zur Auftragsverarbeitung mit Microsoft Irland gemäß DSGVO ab, der die EU Standardvertragsklauseln enthält. Diese werden von auch allen Subunternehmen auferlegt. Damit ist Microsoft Irland gleichgestellt mit EU Anbietern. Die Speicherung der Nutzdaten erfolgt nur innerhalb der EU und die Daten verlassen die EU nicht. Microsoft Rechenzentren werden laufend nach strengsten internationalen Standards zertifiziert, sowohl nach ISO 27001, 27002, als auch nach dem Datenschutzstandard ISO 27018. Alle Nutzdaten sind server- und verbindungsseitig verschlüsselt. Die gespeicherten Daten können zusätzlich mit einem eigenen Zertifikat verschlüsselt werden (Azure Information Protection). Für die Inhalte ist der Auftraggeber selbst verantwortlich. Eine ausführliche Darlegung der datenschutzrechtlichen Grundlagen bzgl. des Einsatzes von Office 365 finden Sie hier und hier.

Verwechseln Sie bitte niemals die Firmen- und Organisations-Cloud Office 365 mit den Privatkundenangeboten von Microsoft. Letztere sind nicht geeignet für den Einsatz in einer Bildungseinrichtung.

  • Microsoft gibt für die Unternehmenscloud Office 365 weder Daten weiter noch werden sie inhaltlich in irgendeiner Art und Weise ausgewertet
  • Microsoft ermöglicht dem Nutzer von Office 365 eine Ende-zu-Ende Verschlüsselung (Azure Information Protection)
  • Die Daten in den EU Rechenzentren sind in mehreren Ebenen verschlüsselt
  • Die Nutzdaten bleiben immer in der EU gespeichert und verlassen die EU nicht
  • Der Datentransfer zu Office 365 ist verbindungstechnisch verschlüsselt und zusätzlich innerhalb und zwischen den Rechenzentren verschlüsselt
  • Sie können über diesen Link klare Informationen erhalten, wo sich Ihre Daten befinden, wer Zugang zu diesen Daten hat, wie Microsoft diese Daten schützt und welche Zertifizierungen Microsoft erfüllt.

Nicht immer kennen Datenschutzbehörden den Unterschied zwischen den Privatkundenangeboten von Microsoft und der Unternehmens-Plattform Office 365. Office 365 ist zweifellos eine sehr komplexe technische Plattform, die laufend weiterentwickelt wird. Da sich Microsoft weltweit der DSGVO unterworfen hat, sind viele neuere Eigenschaften von Office 365 datenschutzrechtlich hoch relevant, aber Datenschutzbehörden nicht immer bekannt.

Behauptung: man darf keine Daten in der "Cloud" speichern
Fakt: Daten in Office 365 können durchgängig Ende-zu-Ende verschlüsselt gespeichert werden (Azure Information Protection) und der Zugriff kann auf einfache Art und Weise nur berechtigten Personen der Bildungeinrichtung ermöglicht werden. Damit sind die Daten in Office 365 wesentlich besser geschützt als auf lokalen Servern. In der DSGVO kommt es nicht auf den Speicherort an, sondern nur darauf, dass personenbezogene Daten nachweislich nach Stand der Technik geschützt werden. Es ist daher nicht verwunderlich, dass auch die Bundesregierung Office 365 für die Datenspeicherung einsetzt.

Behauptung: Microsoft (Support-)Mitarbeiter außerhalb der EU haben Zugriff auf personenbezogene Daten
Fakt: der Zugriff auf personenbezogene Daten durch Supportmitarbeiter außerhalb der EU kann grundsätzlich unterbunden werden (sog. Lockbox).

Behauptung: es ist unklar, wo die Daten liegen
Fakt: der aktuelle Speicherort wird für alle Services in Office 365 in der administrativen Konsole explizit angezeigt.

Behauptung: Microsoft gibt Nutzerdaten an die US-Regierung weiter
Fakt: Dies entbehrt jeder sachlichen Grundlage. Es gab vor Jahren den sog. Patriot-Act, der US Regierungsbehörden in gewissen Fällen Zugriff auf Daten ermöglicht hätte, aber dieses Gesetz ist aufgrund der Veröffentlichungen durch Snowden abgeschafft worden. Microsoft publiziert im Gegenteil im Trustcenter in großer Ausführlichkeit, welche Daten von welchen Behörden weltweit - auch aus Deutschland! - verlangt werden und wie Microsoft rechtskonform damit umgeht.

Behauptung: Microsoft transferiert Daten außerhalb der EU im Rahmen des Privacy Shields, was möglicherweise vom EUGH gekippt werden wird
Fakt: Microsoft transferiert keine Nutzdaten außerhalb der EU, aber Anmeldedaten, damit Sie Ihre E-Mail z. B. auch in Japan lesen können. Dies ist aufgrund der Zertifizierungen von Microsoft und der Tatsache, dass sich Microsoft weltweit der DSGVO bzw. analoger Rechtsnormen unterworfen hat, gemäß Abs. 46 (1) DSGVO rechtskonform. Zusätzlich ist der Transfer von Daten in Drittländer im Rahmen des Privacy-Shields geregelt, gegen den Klage beim EU Gerichtshof eingereicht wurde. Welche Entscheidung getroffen wird, ist offen, aber erstens werden Verträge aufgrund bestehener Gesetze geschlossen und nicht aufgrund von Vermutungen und zweitens ist dies letztlich für Office 365 irrelevant.

Behauptung: der Cloud-Act ermöglicht US-Behörden einseitig Zugriff auf Daten von EU-Bürgern
Fakt: USA hat den sog. Cloud-Act beschlossen. Das ist ein Gesetz, welches das Recht eines Gerichts regelt, Daten im Rahmen eines Strafverfahrens z. B. von Microsoft oder einer anderen Firma in der Welt direkt zu erbitten statt über ein Rechtshilfeverfahren, das Jahre dauert und nicht mehr zeitgemäß ist. Es ist ausgelegt als bilaterales Abkommen und schon von einigen Ländern wie Großbritannien unterzeichnet worden. Es geht dabei um normale Gerichtsverfahren. In dem extrem unwahrscheinlichen Fall, dass ein Europäer in USA in ein Strafverfahren verwickelt ist und dieses Gericht von Microsoft Daten dieses Straftäters haben will, die noch dazu in der EU liegen, würde Microsoft (wie im Trustcenter ausführlich beschrieben) erstens den Angeklagten informieren und für ihn ggf. in seinem Auftrag Widerspruch einlegen. Aufgrund des Widerspruchs zu den EU Gesetzen würde das Gericht auf diesem Wege kaum schneller an Daten kommen als über den alten Rechtshilfeweg. Mehr dazu finden Sie hier.

Behauptung: Die von Microsoft beauftragten Unterauftragsverarbeiter bleiben im Dunkel
Fakt: Microsoft veröffentlicht die Namen neuer Unterauftragsverarbeiter für zentrale Onlinedienste mindestens sechs Monate vor ihrer Autorisierung zur Ausführung von Diensten, die ggf. Zugriff auf Kundendaten erfordern. Microsoft veröffentlicht die Namen neuer Unterauftragsverarbeiter für personenbezogene Daten mindestens 14 Tage vor ihrer Autorisierung zur Ausführung von Diensten, die ggf. Zugriff auf solche Daten erfordern. Die vollständigen Listen aller Unterauftragsverarbeiter sind unter diesem Link verfügbar.

Behauptung: Microsoft sammelt Telemetriedaten, ohne den Nutzer zu informieren und verletzt damit die DSGVO
Fakt: Alle großen Software-Anbieter übertragen bei der Nutzung ihrer Software anonymisierte Daten an den Hersteller. Dies hat zwei Gründe. Grund Nr. 1 ist Funktionskontrolle und mögliche Verbesserung: funktionieren die Dienste wie beabsichtigt? Sind sie gut nutzbar? Wo treten Probleme auf? Grund Nr. 2 ist die Analyse der Hardware, Treiber, Software-Versionen usw., um Sicherheitsschwächen beheben und Aktualisierungen vorzunehmen zu können. Microsoft dokumentiert auf seinen öffentlichen Webseiten im Detail, welche Daten aus Windows, Office, dem Edge-Browser und weiteren Diensten zu Microsoft übertragen werden: Browserdaten, Office Daten, Office Einstellungen, Windows 10 Daten, Windows 10 Einstellungen.
Viele Telemetriedaten sind notwendig, damit Microsoft den entsprechenden Softwareliefervertrag erfüllen kann. Dafür ist nach DSGVO keine Einwilligung erforderlich, sondern nur eine Information darüber, wie in den obigen Links angeführt. Trotzdem gibt es immer wieder Diskussionen über die Legitimität der Telemetriedaten. So hat der Heise-Verlag vor einigen Monaten eine entsprechende Beschwerde der niederländischen Datenschutzbehörde zum Datenschutz-GAU hochstilisiert, obwohl die niederländische Behörde kurze Zeit später aufgrund der Anpassungen von Microsoft eine sehr positive Bilanz und Empfehlung für Office 365 ProPlus und Windows 10 ausgesprochen hat. Diese Prozesse erfordern immer einen Kompromiss zwischen Transparenz und Wahlmöglichkeiten einerseits und praktischer Benutzbarkeit und Sicherheit der Software andererseits und werden daher auch immer Anpassungen erfordern.

Jede Schule verfügt bereits über eine IT Infrastruktur mit Kommunikations- und Lernelementen, die schulgesetzlich vorgeschriebene und/oder von der Schule ausgewählte Plattformen enthält. In dieser Anleitung geht es um die zusätzliche Einführung der Lern- und Kommunikationsplattform Office 365, mit dem Ziel, die bestehende Infrastruktur zu ergänzen, zu erweitern und auszubauen.

Als ersten Schritt zur Einführung von Office 365 in der Schule sollten die Vertreter der Bildungseinrichtung (Schüler, Lehrer, Eltern, Schulleitung) gemeinsam einen dementsprechenden Beschluss fassen. Ein Muster ohne Gewähr für eine Beschlussvorlage finden Sie hier.

Die rechtliche Grundlage zur Verarbeitung personenbezogener Daten in Office 365 ergibt sich dann aus dem angestrebten Einsatzszenario:

  1. Office 365 soll (zunächst) nur für Lehrkräfte eingeführt werden.
    Als rechtliche Grundlage kann in diesem Fall Art. 6 Abs.1 lit c DSGVO sein. Ein Muster ohne Gewähr für den erforderlichen Eintrag in das Verzeichnis der Verarbeitungstätigkeiten finden Sie hier. Da es sich bei Office 365 um eine technische Einrichtung handelt, die zur Leistungs- und Verhaltenskontrolle geeignet ist, unterliegt die Einführung der Mitbestimmung durch den Personalrat, insofern dieser vorhanden ist. Eine Muster-Dienstvereinbarung ohne Gewähr zur Einführung von Office 365 findet sich hier.
  2. Office 365 soll für Lehrkräfte und Schüler eingeführt werden, und das Schulgesetz ihres Bundeslandes verlangt die Vermittlung von Medienkompetenz oder den Einsatz einer Lernplattform.
    In diesem Fall wäre als rechtliche Grundlage der Art. 6 Abs.1 lit e DSGVO in Verbindung mit dem entsprechenden Paragraphen aus dem Schulgesetz anzuführen. Die Beteiligungsrechte des Personalrates werden hierdurch nicht berührt. Die obige Muster-Dienstvereinbarung kann auch hier als Vorlage dienen.
  3. Office 365 soll für Lehrkräfte und Schüler eingeführt werden, im Schulgesetz ihres Bundeslandes ist der Einsatz einer Lernplattform o.ä. nicht verankert.
    Demzufolge können Sie wie unter Punkt 1 beschrieben verfahren.
  4. Soll Office 365 zuerst in einem Testbetrieb erprobt werden, so ist dies am sinnvollsten mit der Einwilligung der Beteiligten.
    Eine Muster-Einwilligung ohne Gewähr finden Sie hier. Wenn Schüler an diesem Pilotbetrieb beteiligt sind, so ist deren Einwilligung nur möglich, wenn sie 16 Jahre oder älter sind. Ansonsten ist eine Einwilligung der Erziehungsberechtigten notwendig.

Schließlich haben Sie für die Schüler vermutlich bereits eine Nutzungsordnung für Internet-Nutzung, die Sie um die Office 365 Dienste ergänzen sollten. Ein Muster ohne Gewähr finden Sie hier.

Laut Hochschulrahmengesetz HRG und den entsprechenden Landesgesetzen ist es vorrangige Aufgabe der Hochschulen, Studierende und Mitarbeiter weiterzubilden und Sie somit auch mit modernen Basis-Technologien wie IT-gestützten Kommunikations- und Lernplattformen vertraut zu machen.

Um diese Aufgaben erfüllen zu können, muss die Hochschule personenbezogene Daten der Beschäftigten und Studierenden verarbeiten. Dies geschieht heute grundsätzlich mit Hilfe von IT-Systemen, die eine effiziente wissenschaftliche Zusammenarbeit und adäquate Unterstützung der Verwaltungsvorgänge ermöglichen. IT-Systeme beinhalten aber auch Risiken, die potentiell einen unzulässigen Eingriff in die Grundrechte der Beschäftigten und Studierenden darstellen können.

In dieser Anleitung geht es um die Schaffung der rechtlichen Voraussetzungen zur Einführung der Lern- und Kommunikationsplattform Office 365, mit dem Ziel, die bestehende Infrastruktur der Hochschule zu ergänzen, zu erweitern und Dozenten neue Werkzeuge für die Lehre zur Verfügung zu stellen.

Die rechtliche Grundlage zur Verarbeitung personenbezogener Daten in Office 365 ergibt sich dann aus dem angestrebten Einsatzszenario:

  1. Office 365 soll (zunächst) nur für Mitarbeiter eingeführt werden.
    Als rechtliche Grundlage kann in diesem Fall Art. 6 Abs.1 lit c und e DSGVO sein. Ein Muster ohne Gewähr für den erforderlichen Eintrag in das Verzeichnis der Verarbeitungstätigkeiten finden Sie hier. Da es sich bei Office 365 um eine technische Einrichtung handelt, die zur Leistungs- und Verhaltenskontrolle geeignet ist, unterliegt die Einführung der Mitbestimmung durch den Personalrat, insofern dieser vorhanden ist. Eine Muster-Dienstvereinbarung zur Einführung von Office 365 ohne Gewähr finden Sie hier. Diese Dienstvereinbarung gilt für die Betroffenen auch als Erlaubnisvorschrift. Wir empfehlen der Hochschule zusätzlich, die Professoren über die Einführung von Office 365 in Kenntnis zu setzen.
  2. Office 365 soll für Dozenten, Mitarbeiter und Studierende eingeführt werden.
    In diesem Fall ist die rechtliche Grundlage Art. 6 Abs. 1 lit e DSGVO. Die Beteiligungsrechte des Personalrates werden hierdurch nicht berührt. Der obige Link kann auch hier als Muster für eine Dienstvereinbarung dienen. Die Hochschule belegt neben dem Verzeichnis der Verarbeitungstätigkeiten die Rechtmäßigkeit der Verarbeitung personenbezogener Daten der Studierenden aufgrund Ihrer gesetzlich zugewiesenen Aufgaben im Zusammenhang mit den an der Hochschule eingesetzten Lern-Plattformen. Ein Muster ohne Gewähr dafür finden Sie hier. Diese Anlage zum Nachweis der Rechtmäßigkeit der Verarbeitung und das Verfahrensverzeichnis zusammen verbleiben beim Datenschutzbeauftragten.
    Wir empfehlen der Hochschule, die Dozenten darüber in Kenntnis zu setzen, dass Sie in ihren Lehrveranstaltungen Office 365 als Kommunikations- und Lernplattform einsetzen können.
  3. Soll Office 365 zuerst in einem Testbetrieb erprobt werden, so ist dies am sinnvollsten mit der Einwilligung der Beteiligten.
    Eine Muster-Einwilligung ohne Gewähr finden Sie hier.

Anmerkung: Zwecks besserer Lesbarkeit ist auch in allen Anlagen die grammatikalisch männliche Form gewählt. Der Inhalt gilt jedoch für alle Betroffenen unabhängig vom biologischen Geschlecht.

Grundlegendes zum Datenschutz​

Das für Bildungseinrichtungen relevante Gesetz ist die EU Datenschutzgrundverordnung (DSGVO). ​

Dieses Gesetz regelt ausschließlich die automatisierte Verarbeitung von personenbezogenen Daten, also Daten, mit denen sich ein eindeutiger Bezug zu einer Person herstellen lässt. Es geht also nicht um den Schutz geistigen Eigentums. Die Kernidee ist, dass es für die Verarbeitung personenbezogener Daten einen vernünftigen, schlüssigen Grund geben muss und die Betroffenen das Recht haben, zu erfahren, wer, wozu, wo und wie lange diese Daten gespeichert werden.

Es sind im Zusammenhang mit dem Einsatz von IT in Bildungseinrichtungen insbesondere die folgenden drei Aussagen, die vollkommen neu und relevant sind:

Artikel 1 (3) der DSGVO lautet: „Der freie Verkehr personenbezogener Daten in der Union darf aus Gründen des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten weder eingeschränkt noch verboten werden“. Daher ist eine Beschränkung auf Deutschland oder eine Beschränkung auf die eigenen Räumlichkeiten nicht zulässig. Damit spielt erstmals das "wo" keine Rolle, sondern nur das "wie".

Sie müssen als Bildungseinrichtung nach Artikel 32 DSGVO belegbar Auskunft geben können, welche Maßnahmen in technischer und organisatorischer Hinsicht getroffen wurden, um die Datenschutzbestimmungen einzuhalten. Die technischen Schutzmaßnahmen müssen „dem aktuellen Stand der Technik“ entsprechen, was für lokal betriebene Server in kaum einer Bildungseinrichtung gewährleistet werden kann. Diese Forderung bedeutet eine vollkommene Abkehr vom bisherigen Prinzip „my home is my castle“, das in dem 30 Jahre alten Bundesdatenschutzgesetz vertreten wurde, weil es vor dem Internetzeitalter verfasst wurde.

Das Gesetz setzt sich erstmals mit den dramatisch wachsenden Gefahren durch technische Sicherheitslücken auseinander und verlangt den technisch bestmöglichen Schutz personenbezogener Daten in Abhängigkeit von den Nachteilen, die einer Person durch unbeabsichtigte Veröffentlichung entstehen können. Im Kern anerkennt die DSGVO damit, dass angesichts der Entwicklung des Internets ein adäquater Datenschutz durch eine lokale Serverinfrastruktur in aller Regel nicht mehr erbracht werden kann. Nur sehr große, professionell betriebene und entsprechend ausgestattete Rechenzentren verfügen über die Mittel, den wachsenden Bedrohungen wirksame Schutzmaßnahmen entgegensetzen zu können. Dies wiederholt in gewissen Sinne die Jahrzehnte alte Entwicklung in einem anderen Bereich: weg vom Kohle- oder Ölofen in jeder Wohnung hin zur heutigen Fernwärme. Niemand wird heute den dadurch erreichten Sicherheitsgewinn mehr bestreiten.

Für die Auswahl von IT Dienstleistern („Auftragsverarbeiter“) gelten in der DSGVO wesentlich strengere Maßstäbe und eine Bildungseinrichtung muss konkret nachweisen können, dass die Auswahl nach objektiven datenschutzrechtlichen Kriterien erfolgt ist, z. B. durch eine Zertifizierung des Anbieters. So sind z. B. die Microsoft EU Rechenzentren nach dem Datenschutz-Standard ISO 27018 zertifiziert. Artikel 28 (1) lautet: „Erfolgt eine Verarbeitung im Auftrag eines Verantwortlichen, so arbeitet dieser nur mit Auftragsverarbeitern, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt …“.

Im Gegensatz zu früher gilt die DSGVO für öffentliche und nicht öffentliche Organisationen gleichermaßen und sie ist das relevante Gesetz, das stets Vorrang gegenüber anderen Gesetzen zum Datenschutz hat. Die DSGVO sieht allerdings Öffnungsklauseln für den öffentlichen Dienst vor und das neue Bundesdatenschutzgesetz (BDSG-neu) und einige neuen Landesdatenschutzgesetze nutzen diese zur Regelung von Gefahrenabwehr (z. B. mittels Videoüberwachung), Strafverfolgung und -vollzug und für Datenverarbeitung im Beschäftigungskontext. Relevant sind diese Öffnungsklauseln für öffentliche Bildungseinrichtungen noch in einem weiteren kleinen Teilaspekt, weil sie danach von der Verhängung von Geldbußen befreit sind.

Für eine Bildungseinrichtung gibt es außerdem Schul- bzw. Hochschulgesetze, die datenschutzrechtliche Aspekte enthalten können. So sieht zum Beispiel das Bayerische Erziehungs- und Unterrichtsgesetz ein Verbot der Erfassung von Schülerdaten zwecks Werbung in der Schule vor.

Ja, allerdings nur, wenn die Betroffenen nachweislich über alle Umstände und Risiken aufgeklärt wurden und die Zustimmung wirklich freiwillig erfolgt. Die DSGVO versteht freiwillig im Sinne von "unerheblich", also Dinge, auf die man auch verzichten kann, ohne dadurch einem gewissen sozialen Druck ausgesetzt zu sein. Für Kinder unter 16 Jahren ist eine Zustimmung aller Erziehungsberechtigten empfehlenswert, aber für Unterrichtszwecke nicht zwingend vorgeschrieben. Ein Muster ohne Gewähr finden Sie hier.

Sie möchten mehr zum Thema erfahren?​

Wir beraten Sie gerne. Kontaktieren Sie uns einfach unter

+49 89 307 48480