Nutzung der Microsoft 365 (früher Office 365) Cloud durch Bildungseinrichtungen

Grundsätzlich dürfen Bildungseinrichtungen die Unternehmens-Plattform Microsoft 365 einsetzen, wenn sie dabei die Datenschutzgrundverordnung einhalten. Es ist wichtig zu verstehen, dass die Datenschutzverantwortung bei jedem IT-Dienst, den die Bildungseinrichtung einsetzt, zur Gänze bei der Bildungseinrichtung liegt, nicht bei Microsoft. Bildlich gesprochen bietet Microsoft ein Fahrzeug an, das nach StVO alle Vorschriften erfüllt und zugelassen ist, aber der Fahrer ist die Bildungseinrichtung. Sie muss festlegen, warum welche personenbezogene Daten verarbeitet und gespeichert werden, wie lange sie gespeichert bleiben und wer Zugriff auf die Daten hat.

Die Bildungseinrichtung (oder der Schulträger) schließt einen Auftragsverarbeitungsvertrag mit Microsoft Irland gemäß DSGVO ab. Dieser Vertrag besteht einmal aus den „Product Terms“, ergänzt durch den „Datenschutznachtrag zu den Produkten und Services von Microsoft“. Das DPA beinhaltet im Abschnitt „Datenschutzbestimmungen“ genaue Angaben über die Verarbeitung von Daten, die Pflichten von Microsoft sowie Details über getroffene Sicherheitsmaßnahmen. Zudem schließt Microsoft die sog. Standardvertragsklauseln ab, die sicherstellen, dass sowohl Microsoft Irland als auch Microsoft USA die europäischen Datenschutzrichtlinien vollinhaltlich erfüllt. Die Standardvertragsklauseln sind im Jahre 2010 erstmals von der EU-Kommission verabschiedet und sind aufgrund von Bedenken des EUGH am 04. Juni 2021 erneuert worden.

Microsoft hat mittlerweile nicht nur die neuen, verschärften Standardvertragsklauseln implementiert, sondern ist deutlich darüber hinausgegangen und hat seine Vertragsklauseln noch einmal erweitert, um etwaige Vertragsverletzungen durch Behörden außerhalb der EU auszuschließen. Dies wurde auch von mehreren Landesdatenschutzbehörden (z. B. hier und hier) positiv bewertet.

Am 25. März 2022 hat die EU Kommission mit der US Regierung ein neues Datenschutzabkommen geschlossen, nach dem US Behörden grundsätzlich nur in sehr engem Rahmen Zugriff auf Daten von EU-Bürgern beantragen können, wobei die Betroffenen informiert werden und Rechtsmittel dagegen ergreifen können. Abgesehen davon, dass diese Fälle schon bisher extrem seltene Einzelfälle waren, würde Microsoft selbst diese Rechtsmittel auf eigene Kosten ergreifen.

Die Speicherung der Nutzdaten erfolgt nur innerhalb der EU. Microsoft Rechenzentren werden laufend nach strengsten internationalen Standards zertifiziert, sowohl nach ISO 27001, 27002, als auch nach dem Datenschutzstandard ISO 27018 und dem höchsten deutschen Sicherheits-Standard BSI C5. Alle Nutzdaten sind server- und verbindungsseitig verschlüsselt. Die gespeicherten Daten können zusätzlich sehr einfach Ende-zu-Ende verschlüsselt werden (PurView Information Protection). Für die Inhalte ist der Auftraggeber selbst verantwortlich.

Eine ausführliche und aktuelle Darlegung der datenschutzrechtlichen Grundlagen zum legitimen Einsatz von Microsoft 365, in der auch immer wieder geäußerte Fragen und Bedenken angesprochen werden, finden Sie in diesem Compendium, das von der Rechtsabteilung von Microsoft Deutschland erstellt wurde. Zusätzliche Darlegungen zu den datenschutzrechtlichen Grundlagen bzgl. des Einsatzes von Microsoft 365 finden Sie hier.

Verwechseln Sie bitte niemals die Firmen- und Organisations-Cloud Microsoft 365 mit den Privatkundenangeboten von Microsoft. Letztere sind nicht geeignet für den Einsatz in einer Bildungseinrichtung.

  • Das Microsoft Geschäftsmodell basiert nicht auf der Kommerzialisierung von Kundendaten. Microsoft wird Kundendaten niemals für Werbezwecke oder ähnliche kommerzielle Zwecke nutzen.
  • Grundlage des Vertragverhältnisses zwischen der Bildungseinrichtung und Microsoft ist der Auftragsverarbeitungsvertrag Microsoft Online Services Terms, ergänzt durch den Anhang zu den Datenschutzbestimmungen für Onlinedienste, der auch die Standardvertragsklauseln als Vertragsbestandteil enthält.
    Diese Verträge wurden erst kürzlich deutlich erweitert, um alle Vorschläge des Niederländischen Ministeriums für Recht und Sicherheit (Dutch MoJ) zu berücksichtigen. Dieses Ministerium hat sich als ein einzige Datenschutzbehörde in Europa mit den AV-Verträgen von Microsoft genauestens auseinandergesetzt und die nun vollzogenen Änderungen erwirkt, um eine vollständige Konformität mit der DS-GVO sicherzustellen.
  • Microsoft ermöglicht dem Nutzer von Microsoft 365 eine sehr komfortable Ende-zu-Ende Verschlüsselung (PurView Information Protection), die deutlich über ältere Methoden wie S/MIME oder PGP hinausgeht.
  • Die Daten in den EU Rechenzentren sind in mehreren Ebenen verschlüsselt.
  • Die Nutzerdaten werden ausschließlich in der EU gespeichert.
  • Bestimmte vom Benutzer initiierte Funktionen wie automatische Übersetzungen oder Diktieren in Microsoft 365 können dazu führen, dass Daten übergangsweise kurzzeitig verschlüsselt nach USA übertragen, dort bearbeitet und danach wieder gelöscht werden. Obwohl dies konform mit der DSGVO ist, hat Microsoft angekündigt, bis Ende 2022 alle Dienste für Microsoft 365, inklusive aller Diagnosedaten, ausschließlich in der EU auszuführen. Schon heute werden solche temporären Bearbeitungen nur bei Überlastung in USA ausgeführt.
  • Der Datentransfer zu Microsoft 365 ist verbindungstechnisch verschlüsselt und zusätzlich innerhalb und zwischen den Rechenzentren verschlüsselt.
  • Sie können über diesen Link klare Informationen erhalten, wo sich Ihre Daten befinden, wer Zugang zu diesen Daten hat, wie Microsoft diese Daten schützt und welche Zertifizierungen Microsoft erfüllt.
  • Diagnosedaten werden nicht für Werbung, Profilbildung oder Nutzer-Tracking eingesetzt. Mit dem kostenlosen Diagnosedatenanzeiger steht eine App zur Verfügung, mit der die gesammelten und übermittelten Diagnosedaten von Windows 10 und Microsoft 365 analysiert und kontrolliert werden können, so dass die Konfiguration durch den Administrator der Bildungseinrichtung, den zuständigen Datenschutzbeauftragten oder die Aufsichtsbehörde auch verifiziert werden kann. Dies ist vor kurzem für Windows 10 Education (Seite 22 dieses Links) von der bayerischen Datenschutzbehörde bestätigt worden.

Nicht immer kennen Datenschutzbehörden den Unterschied zwischen den Privatkundenangeboten von Microsoft und der Unternehmens-Plattform Microsoft 365. Microsoft 365 ist zweifellos eine sehr komplexe technische Plattform, die laufend weiterentwickelt wird. Da sich Microsoft weltweit der DSGVO unterworfen hat, sind viele neuere Eigenschaften von Microsoft 365 datenschutzrechtlich hoch relevant, aber Datenschutzbehörden nicht immer bekannt.

Behauptung: man darf keine Daten in der "Cloud" speichern
Fakt: Daten in Microsoft 365 können durchgängig Ende-zu-Ende verschlüsselt gespeichert werden (PurView Information Protection) und der Zugriff kann auf einfache Art und Weise nur berechtigten Personen der Bildungeinrichtung ermöglicht werden. Damit sind die Daten in Microsoft 365 wesentlich besser geschützt als auf lokalen Servern. In der DSGVO kommt es nicht auf den Speicherort an, sondern nur darauf, dass personenbezogene Daten nachweislich nach Stand der Technik geschützt werden. Es ist daher nicht verwunderlich, dass auch die Bundesregierung Microsoft 365 für die Datenspeicherung einsetzt.

Behauptung: Microsoft (Support-)Mitarbeiter außerhalb der EU haben Zugriff auf personenbezogene Daten
Fakt: der Zugriff auf personenbezogene Daten durch Supportmitarbeiter außerhalb der EU kann grundsätzlich unterbunden werden (sog. Lockbox).

Behauptung: es ist unklar, wo die Daten liegen
Fakt: der aktuelle Speicherort wird für alle Services in Microsoft 365 in der administrativen Konsole explizit angezeigt.

Behauptung: Microsoft gibt Nutzerdaten an die US-Regierung weiter.
Fakt: Dies entbehrt jeder sachlichen Grundlage. Es gab vor Jahren den sog. Patriot-Act, der US Regierungsbehörden in gewissen Fällen Zugriff auf Daten ermöglicht hätte, aber dieses Gesetz ist aufgrund der Veröffentlichungen durch Snowden abgeschafft worden. Microsoft publiziert im Gegenteil im Trustcenter in großer Ausführlichkeit, welche Daten von welchen Behörden weltweit - auch aus Deutschland! - verlangt werden und wie Microsoft rechtskonform damit umgeht.

Behauptung: US Behörden können Microsoft zwingen, ohne Benachrichtigung des Betroffenen personenbezogene Daten herauszugeben.
Fakt: Diese Behauptung geht auf das Schrems II Urteil des EUGH zurück, in dem der Abschnitt 702 des US FISA Ergänzungsgesetzes als nicht äquivalent zur DSGVO eingeschätzt wurde. Microsoft USA hat daher Ende 2021 mit einem Konsortium aus namhaften Juristen sorgfältig evaluiert, ob eine US Behörde Microsoft mit Berufung auf diesen Abschnitt zwingen könnte, die Standardvertragsklauseln zu verletzen. Das Ergebnis ist, dass dieser Abschnitt 702 auf legitime zivile Organisationen nicht anwendbar ist und daher Microsoft die Standardvertragsklauseln vollinhaltlich erfüllen kann. Zusätzlich unterstützt Microsoft 365 auf mehrfache Art und Weise eine Ende-zu-Ende Verschlüsselung, deren Einsatz auch als Schutz gegen Hacker sehr empfehlenswert ist.

Behauptung: Microsoft transferiert Daten außerhalb der EU im Rahmen des Privacy Shields, was vom EUGH gekippt wurde.
Fakt: Microsoft speichert Nutzdaten ausschließlich innerhalb der EU und transferiert keine Daten im Rahmen des Privacy Shields. Es gibt mehrere Möglichkeiten, Datentransfers in die USA zu legitimieren, insbesondere EU-Standardvertragsklauseln, die nach dem Urteil des EUGH gültig bleiben. Die Standardvertragsklauseln sind fester Bestandteil des Auftragsverarbeitungs-Vertrags, den Microsoft anbietet und der sich über alle Microsoft 365-Dienste erstreckt. Hier finden Sie eine ausführliche Stellungnahme von Microsoft zum grenzüberschreitenden Datentransfer, die auf das EUGH Urteil eingeht. Um einen noch höheren Schutz der Benutzerdaten zu garantieren und auf Einwände des EUGH einzugehen, hat Microsoft kürzlich seine Vertragsklauseln noch einmal erweitert, was von einigen Landesdatenschutzbehörden auch sehr positiv beurteilt wurde.

Behauptung: der Cloud-Act ermöglicht US-Behörden einseitig Zugriff auf Daten von EU-Bürgern.
Fakt: USA hat den sog. Cloud-Act beschlossen. Das ist ein Gesetz, welches das Recht eines Gerichts regelt, Daten im Rahmen eines Strafverfahrens z. B. von Microsoft oder einer anderen Firma in der Welt direkt zu erbitten statt über ein Rechtshilfeverfahren, das Jahre dauert und nicht mehr zeitgemäß ist. Es ist ausgelegt als bilaterales Abkommen und schon von einigen Ländern wie Großbritannien unterzeichnet worden. Es geht dabei um normale Gerichtsverfahren. In dem extrem unwahrscheinlichen Fall, dass ein Europäer in USA in ein Strafverfahren verwickelt ist und dieses Gericht von Microsoft Daten dieses Straftäters haben will, die noch dazu in der EU liegen, würde Microsoft erstens den Angeklagten informieren und für ihn kostenlos in seinem Auftrag Widerspruch einlegen. Dies hat Microsoft im aktuellen Auftragsverarbeitungs-Vertrags festgeschrieben. Mehr dazu finden Sie hier.

Behauptung: Die von Microsoft beauftragten Unterauftragsverarbeiter bleiben im Dunkel
Fakt: Microsoft veröffentlicht die Namen neuer Unterauftragsverarbeiter für zentrale Onlinedienste mindestens sechs Monate vor ihrer Autorisierung zur Ausführung von Diensten, die ggf. Zugriff auf Kundendaten erfordern. Microsoft veröffentlicht die Namen neuer Unterauftragsverarbeiter für personenbezogene Daten mindestens 14 Tage vor ihrer Autorisierung zur Ausführung von Diensten, die ggf. Zugriff auf solche Daten erfordern. Die vollständigen Listen aller Unterauftragsverarbeiter sind unter diesem Link verfügbar.

Behauptung: Microsoft sammelt Telemetriedaten, ohne den Nutzer zu informieren und verletzt damit die DSGVO
Fakt: Alle großen Software-Anbieter übertragen bei der Nutzung ihrer Software anonymisierte Daten an den Hersteller. Dies hat zwei Gründe. Grund Nr. 1 ist Funktionskontrolle und mögliche Verbesserung: funktionieren die Dienste wie beabsichtigt? Sind sie gut nutzbar? Wo treten Probleme auf? Grund Nr. 2 ist die Analyse der Hardware, Treiber, Software-Versionen usw., um Sicherheitsschwächen beheben und Aktualisierungen vorzunehmen zu können. Diagnosedaten werden von Microsoft nicht für Werbung, Profilbildung oder Nutzer-Tracking eingesetzt. Microsoft dokumentiert auf seinen öffentlichen Webseiten im Detail, welche Daten aus Windows, Office, dem Edge-Browser und weiteren Diensten zu Microsoft übertragen werden: Browserdaten, Office Daten, Office Einstellungen, Windows 10 Daten, Windows 10 Einstellungen.
Darüberhinaus gibt es den kostenlosen Diagnosedatenanzeiger, mit der Sie als Anwender alle Diagnosedaten, die in Windows 10 und Microsoft 365 gesammelt werden, analysieren und kontrollieren können. Dies ist vor kurzem für Windows 10 Education (Seite 22 dieses Links ) von der bayerischen Datenschutzbehörde bestätigt worden. Viele Telemetriedaten sind notwendig, damit Microsoft den entsprechenden Softwareliefervertrag erfüllen kann. Dafür ist nach DSGVO keine Einwilligung erforderlich, sondern nur eine Information darüber, wie in den obigen Links angeführt. Trotzdem gibt es immer wieder Diskussionen über die Legitimität der Telemetriedaten. So hat der Heise-Verlag vor einigen Monaten eine entsprechende Beschwerde der niederländischen Datenschutzbehörde zum Datenschutz-GAU hochstilisiert, obwohl die niederländische Behörde kurze Zeit später aufgrund der Anpassungen von Microsoft eine sehr positive Bilanz und Empfehlung für Microsoft 365 Apps und Windows 10 ausgesprochen hat. Diese Prozesse erfordern immer einen Kompromiss zwischen Transparenz und Wahlmöglichkeiten einerseits und praktischer Benutzbarkeit und Sicherheit der Software andererseits und werden daher auch immer Anpassungen erfordern.
Man findet in diesem Zusammenhang immer wieder Vorschläge, beispielsweise das "Customer Experience Improvement Program in den Microsoft 365 Apps" zu deaktivieren. Die anerkannte Qualität von Microsoft Office beruht aber ganz zentral auf den vielen Rückmeldungen und Vorschlägen der weltweiten Benutzer. Wir raten ausdrücklich davon ab, solchen Empfehlungen zu folgen. Es wäre sehr bedauerlich, wenn sich der europäische Konsument dadurch zum stimmlosen und unmündigen Nutzer degradieren ließe oder, weit schlimmer, unwissentlich sicherheitsrelevante Eigenschaften abschaltet.

Behauptung: Microsoft 365 ist für hessische Schulen verboten
Fakt: Der Hessische Beauftragte für Datenschutz und Informationsfreiheit hat in einer Stellungnahme Juli 2019 die Nutzung von Microsoft 365 für hessische Schulen verboten, ohne sachgerechte Gründe anzuführen. Nachdem diese Stellungnahme sehr viel Aufmerksamkeit erregt hat, musste er eingestehen, weder mit den technischen und sachlichen Details von Microsoft 365 noch mit Windows 10 vertraut zu sein. In einer korrigierten Stellungnahme im August 2019 duldet er nun die Nutzung von Microsoft 365, nachdem Gespräche mit Microsoft "einen erheblichen Anteil der Bedenken entkräfteten".

Behauptung: Mängel bei Videokonferenzdienst Teams und im Auftragsverarbeitungsvertrag
Fakt: Die Berliner Datenschutzbehörde kritisiert in einer Publikation vom Juni 2020, dass die Identität der Teilnehmenden an einer Teams-Konferenz nicht gesichert sei und es viele Mängel im Auftragsverarbeitungsvertrag (AVV) gäbe. Tatsache ist, dass der Teams-Administrator in Microsoft 365 anonyme Konferenzteilnahme, Gästezugriff und externen Zugriff ein- oder ausschalten kann und die Identität durch Mehrfaktor-Anmeldung gesichert ist. Die behaupteten Mängel im AVV hat Microsoft Deutschland in einer Stellungnahme ausführlich entkräftet.

Behauptung: Konferenz der unabhängigen Datenschutzaufsichtsbehörden behauptet "mehrheitlich", dass kein datenschutzgerechter Einsatz von Microsoft 365 möglich sei.
Fakt: Diese Behauptung enthält weder konkrete, noch aktuelle Bewertungen der in Microsoft 365 enthaltenen Dienste, noch wurde Microsoft Deutschland eingebunden oder um Klärung gebeten. Bedauerlicherweise muss man feststellen, dass einige Datenschutzaufsichtsbehörden in Deutschland offensichtlich gar kein Interesse an Fakten haben, wie aus der Pressemitteilung deutlich wird. Die Glaubwürdigkeit einiger Datenschutzaufsichtsbehörden wurde durch diesen Artikel beschädigt. Eine Rechtsanwältin für Datenschutz aus Hamburg hat dazu einen sachgerechten Artikel verfasst.

Behauptung: Digitale Lernplattformen erfordern die Einwilligung der Eltern
Fakt: Die Berliner Datenschutzbehörde verwarnte eine Schule wegen des Unterrichts per Lernplattform. In der Corona-Pandemie ist Online-Unterricht auf Distanz unter Einsatz dafür benötigter digitaler Hilfsmittel jedoch erforderlich, um den Schulbetrieb aufrechtzuerhalten. Diese Rechtspflicht berechtigt und verpflichtet die Schule grundsätzlich selbst dann zum Einsatz der erforderlichen Software, wenn alle betroffenen Eltern und Schüler sie ausdrücklich ablehnen. In Bayern ist dies sogar in der Bayerischen Schulordnung (Art. 19(4)) explizit festgehalten. Die allgemeine Stellungnahme eines Datenschutzanwalts finden Sie hier.

Behauptung: In einer Pressemitteilung droht die Landesdatenschutzbehörde Schulen in Baden-Württemberg mit dem Verbot von Microsoft 365.
Fakt: Das Kultusministerium von Baden-Württemberg hat kurz danach in einer eigenen Pressemitteilung dieser Drohung deutlich widersprochen und festgestellt, dass es keine pauschale Untersagung von MS 365 geben wird, sondern der LfDI nur auf Schulen zugehen wird, bei denen ihm Beschwerden zugehen. Das Kultusministerium empfindet den ganzen Vorgang als sehr ärgerlich, weil er zu großer Verunsicherung an den Schulen geführt hat. Microsoft Deutschland sagt dazu: " Wir haben die Pressemitteilung des LfDI zur Kenntnis genommen, die sich auf eine Bewertung aus dem April 2021 bezieht. Wir sind weiterhin fest davon überzeugt, dass Microsoft 365 auch an Schulen DSGVO-konform eingesetzt werden kann. Hierzu setzen wir die Gespräche mit Dr. Stefan Brink, Landesbeauftragter für Datenschutz und Informationsfreiheit Baden-Württemberg, fort um zu erläutern, wie die bisherigen Kritikpunkte aus dem Abschlussbericht behoben wurden und wie Schulen Microsoft 365 datenschutzkonform einsetzen können."

Behauptung: Das LfDI Baden-Württemberg bemängelt, dass schon beim Start der sog. Microsoft Authentikator App, die für Mehrfaktor-Anmeldung genutzt werden kann, Diagnosedaten versendet werden, die sich erst nachher deaktivieren lassen.
Fakt: Selbst das LfDI bestätigt, dass beim Start keine "personenbezogenen Daten", sondern lediglich "personenbeziehbare Daten" versendet werden und dieses wird beim Start der App deutlich beschrieben. Tatsächlich werden schon beim Download jeder beliebigen App aus den Hersteller App-Stores Diagnose- und Analyse-Daten an die App-Store Betreiber übertragen und in deren Datenschutzhinweisen auch angegeben. Ohne solche Diagnosedaten ist heute durch die Wechselwirkung oft hunderter Apps auf einem Handy eine zeitnahe Fehlererkennung und -behebung nicht möglich.

Jede Schule verfügt bereits über eine IT Infrastruktur mit Kommunikations- und Lernelementen, die schulgesetzlich vorgeschriebene und/oder von der Schule ausgewählte Plattformen enthält. In dieser Anleitung geht es um die zusätzliche Einführung der Lern- und Kommunikationsplattform Microsoft 365, mit dem Ziel, die bestehende Infrastruktur zu ergänzen, zu erweitern und auszubauen. Sie finden eine Zusammenfassung der folgenden Hinweise auch als Handreichung.

Als ersten Schritt zur Einführung von Microsoft 365 in der Schule sollten die Vertreter der Bildungseinrichtung (Schüler, Lehrer, Eltern, Schulleitung) gemeinsam einen dementsprechenden Beschluss fassen. Hier finden Sie ein Muster ohne Gewähr für eine Beschlussvorlage .

Die rechtliche Grundlage zur Verarbeitung personenbezogener Daten in Microsoft 365 ergibt sich dann aus dem angestrebten Einsatzszenario:

  1. Microsoft 365 soll (zunächst) nur für Lehrkräfte eingeführt werden.
    Als rechtliche Grundlage kann in diesem Fall Art. 6 Abs.1 lit c und e DSGVO in Verbindung mit dem Paragraphen über die Verarbeitung personenbezogener Daten aus dem Schulgesetz des Bundeslandes sein. Dies gilt sowohl für öffentliche als auch für private Schulen. Hier finden Sie ein Muster ohne Gewähr für den erforderlichen Eintrag in das Sie Verzeichnis der Verarbeitungstätigkeiten. Da es sich bei Microsoft 365 um eine technische Einrichtung handelt, die zur Leistungs- und Verhaltenskontrolle geeignet ist, unterliegt die Einführung der Mitbestimmung durch den Personalrat, insofern dieser vorhanden ist. Hier finden Sie eine Muster-Dienstvereinbarung ohne Gewähr zur Einführung von Microsoft 365.
  2. Microsoft 365 soll für Lehrkräfte und Schüler eingeführt werden, und das Schulgesetz ihres Bundeslandes verlangt die Vermittlung von Medienkompetenz oder den Einsatz einer Lernplattform.
    In diesem Fall wäre als rechtliche Grundlage der Art. 6 Abs.1 lit e DSGVO in Verbindung mit dem entsprechenden Paragraphen aus dem Schulgesetz anzuführen. Die Beteiligungsrechte des Personalrates werden hierdurch nicht berührt. Die obige Muster-Dienstvereinbarung kann auch hier als Vorlage dienen.
  3. Microsoft 365 soll für Lehrkräfte und Schüler eingeführt werden, im Schulgesetz ihres Bundeslandes ist der Einsatz einer Lernplattform o.ä. nicht verankert.
    Demzufolge können Sie wie unter Punkt 1 beschrieben verfahren.
  4. Soll Microsoft 365 zuerst in einem Testbetrieb erprobt werden, so ist dies am sinnvollsten mit der Einwilligung der Beteiligten.
    Hier finden Sie zwei Muster-Einwilligungen Muster-a und Muster-b ohne Gewähr. Wenn Schüler an diesem Pilotbetrieb beteiligt sind, so ist deren Einwilligung nur möglich, wenn sie 16 Jahre oder älter sind. Ansonsten ist eine Einwilligung der Erziehungsberechtigten notwendig.

Schließlich haben Sie für die Schüler vermutlich bereits eine Nutzungsordnung für Internet-Nutzung, die Sie um die Microsoft 365 Dienste ergänzen sollten. Ein Muster ohne Gewähr finden Sie hier.

Laut Hochschulrahmengesetz HRG und den entsprechenden Landesgesetzen ist es vorrangige Aufgabe der Hochschulen, Studierende und Mitarbeiter weiterzubilden und Sie somit auch mit modernen Basis-Technologien wie IT-gestützten Kommunikations- und Lernplattformen vertraut zu machen.

Um diese Aufgaben erfüllen zu können, muss die Hochschule personenbezogene Daten der Beschäftigten und Studierenden verarbeiten. Dies geschieht heute grundsätzlich mit Hilfe von IT-Systemen, die eine effiziente wissenschaftliche Zusammenarbeit und adäquate Unterstützung der Verwaltungsvorgänge ermöglichen. IT-Systeme beinhalten aber auch Risiken, die potentiell einen unzulässigen Eingriff in die Grundrechte der Beschäftigten und Studierenden darstellen können.

In dieser Anleitung geht es um die Schaffung der rechtlichen Voraussetzungen zur Einführung der Lern- und Kommunikationsplattform Microsoft 365, mit dem Ziel, die bestehende Infrastruktur der Hochschule zu ergänzen, zu erweitern und Dozenten neue Werkzeuge für die Lehre zur Verfügung zu stellen.

Die rechtliche Grundlage zur Verarbeitung personenbezogener Daten in Microsoft 365 ergibt sich dann aus dem angestrebten Einsatzszenario:

  1. Microsoft 365 soll (zunächst) nur für Mitarbeiter eingeführt werden.
    Als rechtliche Grundlage kann in diesem Fall Art. 6 Abs.1 lit c und e DSGVO sein. Ein Muster ohne Gewähr für den erforderlichen Eintrag in das Verzeichnis der Verarbeitungstätigkeiten finden Sie hier. Da es sich bei Microsoft 365 um eine technische Einrichtung handelt, die zur Leistungs- und Verhaltenskontrolle geeignet ist, unterliegt die Einführung der Mitbestimmung durch den Personalrat, insofern dieser vorhanden ist. Eine Muster-Dienstvereinbarung zur Einführung von Microsoft 365 ohne Gewähr finden Sie hier. Diese Dienstvereinbarung gilt für die Betroffenen auch als Erlaubnisvorschrift. Wir empfehlen der Hochschule zusätzlich, die Professoren über die Einführung von Microsoft 365 in Kenntnis zu setzen.
  2. Microsoft 365 soll für Dozenten, Mitarbeiter und Studierende eingeführt werden.
    In diesem Fall ist die rechtliche Grundlage Art. 6 Abs. 1 lit e DSGVO. Die Beteiligungsrechte des Personalrates werden hierdurch nicht berührt. Der obige Link kann auch hier als Muster für eine Dienstvereinbarung dienen. Die Hochschule belegt neben dem Verzeichnis der Verarbeitungstätigkeiten die Rechtmäßigkeit der Verarbeitung personenbezogener Daten der Studierenden aufgrund Ihrer gesetzlich zugewiesenen Aufgaben im Zusammenhang mit den an der Hochschule eingesetzten Lern-Plattformen. Ein Muster ohne Gewähr dafür finden Sie hier. Diese Anlage zum Nachweis der Rechtmäßigkeit der Verarbeitung und das Verfahrensverzeichnis zusammen verbleiben beim Datenschutzbeauftragten.
    Wir empfehlen der Hochschule, die Dozenten darüber in Kenntnis zu setzen, dass Sie in ihren Lehrveranstaltungen Microsoft 365 als Kommunikations- und Lernplattform einsetzen können.
  3. Soll Microsoft 365 zuerst in einem Testbetrieb erprobt werden, so ist dies am sinnvollsten mit der Einwilligung der Beteiligten.
    Eine Muster-Einwilligung ohne Gewähr finden Sie hier.

Anmerkung: Zwecks besserer Lesbarkeit ist auch in allen Anlagen die grammatikalisch männliche Form gewählt. Der Inhalt gilt jedoch für alle Betroffenen unabhängig vom biologischen Geschlecht.

Grundlegendes zum Datenschutz​

Das für Bildungseinrichtungen relevante Gesetz ist die EU Datenschutzgrundverordnung (DSGVO). ​

Dieses Gesetz regelt ausschließlich die automatisierte Verarbeitung von personenbezogenen Daten, also Daten, mit denen sich ein eindeutiger Bezug zu einer Person herstellen lässt. Es geht also nicht um den Schutz geistigen Eigentums. Die Kernidee ist, dass es für die Verarbeitung personenbezogener Daten einen vernünftigen, schlüssigen Grund geben muss und die Betroffenen das Recht haben, zu erfahren, wer, wozu, wo und wie lange diese Daten gespeichert werden.

Es sind im Zusammenhang mit dem Einsatz von IT in Bildungseinrichtungen insbesondere die folgenden drei Aussagen, die vollkommen neu und relevant sind:

Artikel 1 (3) der DSGVO lautet: „Der freie Verkehr personenbezogener Daten in der Union darf aus Gründen des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten weder eingeschränkt noch verboten werden“. Daher ist eine Beschränkung auf Deutschland oder eine Beschränkung auf die eigenen Räumlichkeiten nicht zulässig. Damit spielt erstmals das "wo" keine Rolle, sondern nur das "wie".

Sie müssen als Bildungseinrichtung nach Artikel 32 DSGVO belegbar Auskunft geben können, welche Maßnahmen in technischer und organisatorischer Hinsicht getroffen wurden, um die Datenschutzbestimmungen einzuhalten. Die technischen Schutzmaßnahmen müssen „dem aktuellen Stand der Technik“ entsprechen, was für lokal betriebene Server in kaum einer Bildungseinrichtung gewährleistet werden kann. Diese Forderung bedeutet eine vollkommene Abkehr vom bisherigen Prinzip „my home is my castle“, das in dem 30 Jahre alten Bundesdatenschutzgesetz vertreten wurde, weil es vor dem Internetzeitalter verfasst wurde.

Das Gesetz setzt sich erstmals mit den dramatisch wachsenden Gefahren durch technische Sicherheitslücken auseinander und verlangt den technisch bestmöglichen Schutz personenbezogener Daten in Abhängigkeit von den Nachteilen, die einer Person durch unbeabsichtigte Veröffentlichung entstehen können. Im Kern anerkennt die DSGVO damit, dass angesichts der Entwicklung des Internets ein adäquater Datenschutz durch eine lokale Serverinfrastruktur in aller Regel nicht mehr erbracht werden kann. Nur sehr große, professionell betriebene und entsprechend ausgestattete Rechenzentren verfügen über die Mittel, den wachsenden Bedrohungen wirksame Schutzmaßnahmen entgegensetzen zu können. Dies wiederholt in gewissen Sinne die Jahrzehnte alte Entwicklung in einem anderen Bereich: weg vom Kohle- oder Ölofen in jeder Wohnung hin zur heutigen Fernwärme. Niemand wird heute den dadurch erreichten Sicherheitsgewinn mehr bestreiten.

Für die Auswahl von IT Dienstleistern („Auftragsverarbeiter“) gelten in der DSGVO wesentlich strengere Maßstäbe und eine Bildungseinrichtung muss konkret nachweisen können, dass die Auswahl nach objektiven datenschutzrechtlichen Kriterien erfolgt ist, z. B. durch eine Zertifizierung des Anbieters. So sind z. B. die Microsoft EU Rechenzentren nach dem Datenschutz-Standard ISO 27018 zertifiziert. Artikel 28 (1) lautet: „Erfolgt eine Verarbeitung im Auftrag eines Verantwortlichen, so arbeitet dieser nur mit Auftragsverarbeitern, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt …“.

Im Gegensatz zu früher gilt die DSGVO für öffentliche und nicht öffentliche Organisationen gleichermaßen und sie ist das relevante Gesetz, das stets Vorrang gegenüber anderen Gesetzen zum Datenschutz hat. Die DSGVO sieht allerdings Öffnungsklauseln für den öffentlichen Dienst vor und das neue Bundesdatenschutzgesetz (BDSG-neu) und einige neuen Landesdatenschutzgesetze nutzen diese zur Regelung von Gefahrenabwehr (z. B. mittels Videoüberwachung), Strafverfolgung und -vollzug und für Datenverarbeitung im Beschäftigungskontext. Relevant sind diese Öffnungsklauseln für öffentliche Bildungseinrichtungen noch in einem weiteren kleinen Teilaspekt, weil sie danach von der Verhängung von Geldbußen befreit sind.

Für eine Bildungseinrichtung gibt es außerdem Schul- bzw. Hochschulgesetze, die datenschutzrechtliche Aspekte enthalten können. So sieht zum Beispiel das Bayerische Erziehungs- und Unterrichtsgesetz ein Verbot der Erfassung von Schülerdaten zwecks Werbung in der Schule vor.

Ja, allerdings nur, wenn die Betroffenen nachweislich über alle Umstände und Risiken aufgeklärt wurden und die Zustimmung wirklich freiwillig erfolgt. Die DSGVO versteht freiwillig im Sinne von "unerheblich", also Dinge, auf die man auch verzichten kann, ohne dadurch einem gewissen sozialen Druck ausgesetzt zu sein. Für Kinder unter 16 Jahren ist eine Zustimmung aller Erziehungsberechtigten empfehlenswert, aber für Unterrichtszwecke nicht zwingend vorgeschrieben. Ein Muster ohne Gewähr finden Sie hier.

Sie möchten mehr zum Thema erfahren?​

Wir beraten Sie gerne. Kontaktieren Sie uns einfach unter

+7749 89 307 2348480