Der Einsatz von Microsoft-365 für Bildungseinrichtungen ist datenschutzkonform möglich.

Ja, grundsätzlich dürfen Bildungseinrichtungen die Unternehmens-Plattform Microsoft-365 einsetzen, sofern sie dabei die Datenschutzgrundverordnung einhalten. Es ist wichtig zu verstehen, dass die Datenschutzverantwortung für jeden IT-Dienst, den die Bildungseinrichtung einsetzt, zur Gänze bei der Bildungseinrichtung liegt, nicht bei Microsoft. Bildlich gesprochen bietet Microsoft ein Fahrzeug an, das nach StVO alle Vorschriften erfüllt und zugelassen ist, aber der Fahrer ist die Bildungseinrichtung. Sie muss festlegen, warum welche personenbezogene Daten verarbeitet und gespeichert werden, wie lange sie gespeichert bleiben und wer Zugriff auf die Daten hat.

Außer den datenschutzrechtlichen Fragen, auf die wir in den folgenden Abschnitten noch detailiert eingehen, muss eine Bildungseinrichtung auch die Barrierefreiheit bei der Auswahl einer Lernplattform berücksichtigen (Behindertengleichstellungsgesetz, Barrierefreien-Informationstechnik-Verordnung § 3 Absatz 1 bis 4 und § 4 BITV 2.0). Dies bedeutet für eine Lern- und Kommunikationssoftware konkret, dass (1) dass sich die Benutzer geschriebenen Text und Bildmaterial vorlesen lassen können, (2) dass die Benutzer Texte durch Spracheingabe erstellen können, (3) Lernende mit Leseschwierigkeiten Texte vergrößert und zeilenweise darstellen können, (4) beim Unterricht mit digitalen Medien Live-Untertitel angezeigt werden können, (5) Live-Übersetzungen von Texten in den gängigen Sprachen zugänglich sind. Microsoft 365 erfüllt diese Anforderungen vollinhaltlich.

Wie stehen deutsche Landes-Schulbehörden zu Microsoft 365?
Nach einer langen Zeit der Ablehnung oder übergangsweisen Duldung während der Pandemie hat das Ministerium für Schule und Bildung von Nordrhein-Westfalen im Februar 2023 Microsoft 365 im öffentlichen Interesse als zulässig bewertet, siehe hier und hier. Die Datenschutz-Bestimmungen für Schulen in NRW beschränken die Nutzung von Microsoft 365 weder mittels Einwilligung noch wird generell eine Datenschutzfolgeabschätzung als erforderlich betrachtet.
Die Koordinierungsinstanz Digitale Unterstützungsprozesse ist eine Einrichtung der Hochschulen in Nordrhein-Westfalen. Sie hat bei einer renommierten IT-Anwaltskanzlei ein Rechtsgutachten zum Einsatz von Microsoft 365 in Auftrag gegeben, das am 31.05.2023 an die Hochschulen des Landes verteilt wurde. Das Rechtsgutachten kommt ebenfalls zu dem Ergebnis, dass eine datenschutzkonforme Nutzung von Microsoft 365 möglich ist.

Die Bildungseinrichtung (oder der Schulträger) schließt einen Auftragsverarbeitungsvertrag mit Microsoft Irland gemäß DSGVO ab. Dieser Vertrag besteht einmal aus den „Product Terms“, ergänzt durch den „Datenschutznachtrag zu den Produkten und Services von Microsoft“. Das DPA beinhaltet im Abschnitt „Datenschutzbestimmungen“ genaue Angaben über die Verarbeitung von Daten, die Pflichten von Microsoft sowie Details über getroffene Sicherheitsmaßnahmen. Zudem schließt Microsoft die sog. Standardvertragsklauseln ab, die sicherstellen, dass sowohl Microsoft Irland als auch Microsoft USA die europäischen Datenschutzrichtlinien vollinhaltlich erfüllt. Die Standardvertragsklauseln sind im Jahre 2010 erstmals von der EU-Kommission verabschiedet und sind aufgrund von Bedenken des EUGH am 04. Juni 2021 verschärft und von Microsoft in der neuen Form umgesetzt worden.

Microsoft hat mittlerweile nicht nur die neuen, verschärften Standardvertragsklauseln implementiert, sondern ist deutlich darüber hinausgegangen und hat seine Vertragsklauseln noch einmal erweitert, um etwaige Vertragsverletzungen durch Behörden außerhalb der EU auszuschließen. Dies wurde auch von mehreren Landesdatenschutzbehörden (z. B. hier und hier) positiv bewertet.

Am 25. März 2022 hat die EU Kommission mit der US Regierung ein neues Datenschutzabkommen geschlossen, nach dem US Behörden grundsätzlich nur in sehr engem Rahmen Zugriff auf Daten von EU-Bürgern beantragen können, wobei die Betroffenen informiert werden und Rechtsmittel dagegen ergreifen können. Abgesehen davon, dass diese Fälle schon bisher extrem seltene Einzelfälle waren, würde Microsoft selbst diese Rechtsmittel auf eigene Kosten ergreifen.

Die Speicherung der Nutzdaten erfolgt nur innerhalb der EU. Microsoft Rechenzentren werden laufend nach strengsten internationalen Standards zertifiziert, sowohl nach ISO 27001, 27002, als auch nach dem Datenschutzstandard ISO 27018, ISO 27701 und dem höchsten deutschen Sicherheits-Standard BSI C5. Alle Nutzdaten sind server- und verbindungsseitig verschlüsselt. Die gespeicherten Daten können zusätzlich sehr einfach Ende-zu-Ende verschlüsselt werden (PurView Information Protection). Für die Inhalte ist der Auftraggeber selbst verantwortlich.

Eine ausführliche und aktuelle Darlegung der datenschutzrechtlichen Grundlagen zum legitimen Einsatz von Microsoft 365, in der auch immer wieder geäußerte Fragen und Bedenken angesprochen werden, finden Sie in diesem Compendium, das von der Rechtsabteilung von Microsoft Deutschland erstellt wurde. Zusätzliche Darlegungen zu den datenschutzrechtlichen Grundlagen bzgl. des Einsatzes von Microsoft 365 finden Sie hier.

Verwechseln Sie bitte niemals die Firmen- und Organisations-Cloud Microsoft 365 mit den Privatkundenangeboten von Microsoft. Letztere sind nicht geeignet für den Einsatz in einer Bildungseinrichtung.

  • Das Microsoft Geschäftsmodell basiert nicht auf der Kommerzialisierung von Kundendaten. Microsoft wird Kundendaten niemals für Werbezwecke oder ähnliche kommerzielle Zwecke nutzen.
  • Grundlage des Vertragverhältnisses zwischen der Bildungseinrichtung und Microsoft ist der Auftragsverarbeitungsvertrag Microsoft Online Services Terms, ergänzt durch den Anhang zu den Datenschutzbestimmungen für Onlinedienste, der auch die neuen, wegen dem sog. Schrems II Urteil des EUGH verschärften Standardvertragsklauseln als Vertragsbestandteil enthält.
    Bildungseinrichtungen können nach einem kürzlichen Urteil des Oberlandesgerichts Karlsruhe darauf vertrauen, wenn ihnen ein IT-Anbieter Datenschutz-Kompatibilität zusichert, wie dies für Microsoft 365 der Fall ist. Das abstrakte Risiko eines Zugriffs von Stellen außerhalb der EU alleine ist nach dem Urteil kein Verbotsgrund mehr.
  • Art 35 der DSGVO gibt vor, dass eine Datenschutzfolgeabschätzung (DSFA) durchzuführen ist, wenn Daten von schutzbedürftigen Personen betroffen sind. Das Ergebnis einer DSFA lässt sich kurz in einer Risikomatrix zusammenfassen, in der die Eintrittswahrscheinlichkeit einer Verletzung der DSGVO gegen die Auswirkung aus Sicht der Betroffenen dargestellt wird.
    Wir haben sehr sorgfältig eine solche DSFA für die Plattform Microsoft 365 erstellt, mit dem Ergebnis, dass für keinen schulrelevanten Aspekt von Microsoft 365 ein erhöhtes Risiko besteht. Schulen können diese DSFA als Muster für die eigene Datenschutzfolgeabschätzung einsetzen. Kürzlich hat eine Anwaltskanzlei ebenfalls eine Muster-DSFA für Schulen kostenlos online gestellt.
  • Microsoft ermöglicht dem Nutzer von Microsoft 365 eine sehr komfortable Ende-zu-Ende Verschlüsselung (PurView Information Protection), die deutlich über ältere Methoden wie S/MIME oder PGP hinausgeht. Es ist insbesondere auch möglich, Teams-Besprechungen mit hochsensiblen Daten in besonderer Weise zu schützen , u. z. durch Ende-zu-Ende Verschlüsselung sowohl der Chats als auch aller Besprechungsdaten und zusätzlich durch sog. Vertraulichkeitsbeziehungen, die festlegen, welche Kommunikationsmittel ein- oder ausgeschaltet sind.
  • Die Daten in den EU Rechenzentren sind in mehreren Ebenen verschlüsselt.
  • Die Nutzerdaten werden ausschließlich in der EU gespeichert.
  • Der Datentransfer zu Microsoft 365 und zwischen den Microsoft Rechenzentren ist verbindungstechnisch verschlüsselt. Zusätzlich werden alle Daten innerhalb der Rechenzentren durchgängig verschlüsselt gespeichert.
  • Microsoft hat per 01.01.2023 das EU Datengrenzen-Programm ins Leben gerufen. Dieses Programm hat zum Ziel, dass sämtliche personenbezogene Daten nicht nur (wie schon bisher) in der EU gespeichert, sondern auch zur Gänze in der EU verarbeitet werden. Phase 1 ist bereits in Kraft und betrifft alle Kundendaten und Dokumentation, Phase 2 (bis Ende 23) betrifft pseudonymisierte Daten in systemerzeugten Logdateien, und in Phase 3 (bis Ende 24) umfasst es auch technische Supportdaten. Phase 2 betrifft nur Bildungseinrichtungen, die Teams-Festnetz-Telefonie einsetzen und Phase 3 lässt sich schon jetzt durch die sog. Kunden-Lockbox kontrollieren. Nur Maßnahmen zum Schutz vor komplexen modernen Sicherheitsbedrohungen werden nach wie vor weltweit verarbeitet, denn Hacker agieren weltweit und die DSGVO verlangt den Schutz personenbezogener Daten nach Stand der Technik. Dies betrifft z. B. das Erkennen eines kompromittierten Benutzers (durch gleichzeitige Anmeldung des Nutzers aus Deutschland und aus Übersee) oder Erkennen von Datenexfiltration. Diese Schutzmaßnahmen stehen mit den Produkten Microsoft 365 Defender und Microsoft Cloud Security zur Verfügung.
  • Wenn Microsoft neue Dienste in Microsoft 365 einführt, sind diese in manchen Fällen zunächst nicht durch das EU Datengrenzen-Programm abgedeckt. Ein jüngstes Beispiel sind einige KI-basierte Dienste. Nun hat aber die Europäische Kommission am 10.07.23 den Angemessenheitsbeschluss für das EU-U.S. Data Privacy Framework (Nachfolger des „Privacy Shields“) angenommen. Dieser Angemessenheitsbeschluss ist eine weitere Grundlage für Datenübermittlungen an Unternehmen in den USA, die sich dafür haben zertifizieren lassen und stellt diese mit innereuropäischen Unternehmen gleich. Wie man unter diesem Link prüfen kann, trifft dies für Microsoft zu. Dieses Programm wird noch weiter ausgebaut.
  • Seit Februar 2023 gibt es nun eine detaillierte Übersicht über die Diagnosedaten für Office (Microsoft 365 Apps for Enterprise). Es gibt drei Ebenen von Diagnosedaten für die Office-Clientsoftware, aus denen Sie wählen können: Erforderlich, Optional, oder Weder noch. In letzterem Falle werden keine Diagnosedaten an Microsoft gesendet. Auch wenn keine Diagnosedaten gesendet werden, müssen aber zumindest erforderliche Dienstdaten vom Gerät an Microsoft gesendet werden, wie z. B. die Lizenzierung der Produkte oder Ihre Wahl der Zustimmung. Da Datenschutzbehörden immer wieder behaupten, Microsoft würde nicht alle Details für die Kategorie "Wesentliche Dienste für Office" und "Erforderliche Diagnosedaten" offenlegen, hat Microsoft nunmehr auf fast 1000 Seiten eine bis ins letzte Detail gehende Aufstellung publiziert, die erstere Daten und letztere Daten auflistet.
  • Ebenfalls seit Februar 2023 beschreibt Microsoft auf über 4000 Seiten in dem von den Datenschutzbehörden verlangten Detailgrad die Teams-Technologie und sämtliche mit Teams zusammenhängende Diagnosedaten. Es gibt wie bei Office drei Ebenen von Diagnosedaten für die Teams-Software, aus denen Sie wählen können: Erforderlich, Optional, oder Weder noch. Keine dieser Diagnosedaten enthalten Namen von Benutzern, ihre E-Mail-Adressen oder andere Benutzerinhalte. Welche Daten bei der Wahl "Erforderlich" übermittelt werden, ist hier beschrieben.

Behauptung: Die ganze Microsoft Cloud wurde durch Hacker (Storm-0558) kompromittiert und ist daher nicht datenschutzkonform.
Fakt: Im Juni 23 haben Hacker Zugriff zu einem Zertifikat erhalten, mit dem sich für einen beschränkten Benutzerkreis E-Mails lesen lassen. Manche Medien haben daraus Sensationsnachrichten erzeugt, die für ein Laien den Eindruck erwecken, die Hacker könnten jetzt auf alle Daten in der gesamten Microsoft Cloud zugreifen. Was steckt dahinter? Microsoft sichert jede der tausenden Dienste in Microsoft 365 mit separaten Zertifikaten (sog. signing keys) ab, die einem Benutzer nach erfolgreicher Anmeldung an sein Benutzerkonto ermöglichen, genau diesen und sonst keinen Dienst zu nutzen. Die Hacker haben erst Privatkunden-Konten gehackt und haben dabei einen signing key für das Lesen von E-Mails erbeutet, den sie (aufgrund einer Sicherheitslücke) benutzen konnten, um E-Mails von ca. 25 Organisationen auslesen zu können. Microsoft hat nach dem erfolgreichen Angriff die Behörden und betroffenen Organisationen benachrichtigt und den Fall erst nach Ermittlungen und Schließung der Sicherheitslücke öffentlich gemacht. Es handelte sich also weder um einen „Masterkey“ noch um einen Azure Active Directory Schlüssel. Kein Anbieter ist vollkommen gegen erfolgreiche Angriffe gefeit, aber die für den Endkunden relevante Frage ist, wie schnell ein Anbieter Sicherheitslücken behebt, betroffene Benutzer informiert und welche Maßnahmen der Anbieter ergreift, um die Daten nach Stand der Technik zu schützen. Microsoft hat in dem Fall drei sehr ausführliche Stellungnahmen publiziert.

Behauptung: Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden behauptet, dass Microsoft 365 für Schulen vermutlich nicht datenschutzkonform eingesetzt werden kann, weil Microsoft die Verarbeitung von Diagnosedaten nicht in allen Details offenlegt und daher eine Schule nicht vollumfänglich seiner Rechenschaftspflicht nach DSGVO nachkommen kann. Zusätzlich wird wieder das abstrakte Risiko einer Datenübermittlung an US Behörden angeführt.
Fakt: Übertragen bedeutet dies, dass ein Autokäufer erst jede Schraube und jede Zeile der Software im Auto prüfen müsste, bevor er das Fahrzeug rechtskonform nutzen dürfte. Dies ist eine extreme Auslegung der DSGVO, die im Widerspruch zu einem kürzlichen Urteil in ähnlicher Sache steht. Der zweite Punkt, das Risiko einer unerlaubten Datenübermittlung an US Behörden, besteht für legitime Organisationen der EU nicht und würde in gleicher Weise für Apple, Telekom, 1und1, Strato usw. wegen Ihrer US-Töchter oder US-Miteigentümer zutreffen und damit faktisch das gesamte Internet verbieten.
Eine auf den Datenschutz spezialisierte Anwaltskanzlei hat sowohl die Aussagen der DSK als auch die Stellungnahme von Microsoft sorgfältig rechtlich analysiert und Stellung bezogen. Auch eine sehr ausgewogene Stellungnahme des bekannten Datenschutz-Juristen Prof. Dr. Schwartmann und Kollegen kommt zum Ergebnis, dass sich die DSK mit dem Schreiben vom beabsichtigten Rechtsrahmen der DSGVO weit entfernt hat.

Behauptung: In einer Pressemitteilung droht die Landesdatenschutzbehörde Schulen in Baden-Württemberg mit dem Verbot von Microsoft 365.
Fakt: Das Kultusministerium von Baden-Württemberg hat kurz danach in einer eigenen Pressemitteilung dieser Drohung widersprochen und festgestellt, dass es keine pauschale Untersagung von Microsoft 365 geben wird. Man muss leider feststellen, dass eine Landesdatenschutzbehörde, die einem Anbieter ohne jeglichen Nachweis oder Begründung implizit unterstellt, personenbezogene Daten missbräuchlich zu verwenden und von Schulen verlangt, jegliche Diagnose- und Telemetriedaten bei Nutzung einer komplexen Software zu verhindern, nicht im Sinne des Datenschutzesgesetzes agiert. Microsoft Deutschland hat in einer Pressemitteilung dazu Stellung bezogen.

Behauptung: Digitale Lernplattformen erfordern die Einwilligung der Eltern
Fakt: Die Berliner Datenschutzbehörde verwarnte eine Schule wegen des Unterrichts per Lernplattform. In der Corona-Pandemie ist Online-Unterricht auf Distanz unter Einsatz dafür benötigter digitaler Hilfsmittel jedoch erforderlich, um den Schulbetrieb aufrechtzuerhalten. Diese Rechtspflicht berechtigt und verpflichtet die Schule grundsätzlich selbst dann zum Einsatz der erforderlichen Software, wenn alle betroffenen Eltern und Schüler sie ausdrücklich ablehnen. In Bayern ist dies sogar in der Bayerischen Schulordnung (Art. 19(4)) explizit festgehalten. Die allgemeine Stellungnahme eines Datenschutzanwalts finden Sie hier.

Behauptung: Mängel bei Videokonferenzdienst Teams und im Auftragsverarbeitungsvertrag
Fakt: Die Berliner Datenschutzbehörde kritisiert in einer Publikation vom Juni 2020, dass die Identität der Teilnehmenden an einer Teams-Konferenz nicht gesichert sei und es viele Mängel im Auftragsverarbeitungsvertrag (AVV) gäbe. Tatsache ist, dass Teams mittlerweile eine Ende-zu-Ende Verschlüsselung sowohl der privaten Chats, als auch von Teams-Besprechungen inklusive Video, Audio und Text ermöglicht. Außerdem kann der Teams-Administrator eine anonyme Konferenzteilnahme, Gästezugriff und externen Zugriff ein- oder ausschalten und die Identität durch Mehrfaktor-Anmeldung sichern. Die behaupteten Mängel im AVV hat Microsoft Deutschland in einer Stellungnahme ausführlich entkräftet.

Behauptung: Microsoft 365 ist für hessische Schulen verboten
Fakt: Der Hessische Beauftragte für Datenschutz und Informationsfreiheit hat in einer Stellungnahme Juli 2019 die Nutzung von Microsoft 365 für hessische Schulen verboten, ohne sachgerechte Gründe anzuführen. Nachdem diese Stellungnahme sehr viel Aufmerksamkeit erregt hat, musste er eingestehen, weder mit den technischen und sachlichen Details von Microsoft 365 noch mit Windows 10 vertraut zu sein. In einer korrigierten Stellungnahme im August 2019 duldet er nun die Nutzung von Microsoft 365, nachdem Gespräche mit Microsoft "einen erheblichen Anteil der Bedenken entkräfteten".

Behauptung: Microsoft sammelt Telemetriedaten, ohne den Nutzer zu informieren und verletzt damit die DSGVO
Fakt: Alle großen Software-Anbieter übertragen bei der Nutzung ihrer Software anonymisierte Daten an den Hersteller. Dies hat zwei Gründe. Grund Nr. 1 ist Funktionskontrolle und mögliche Verbesserung: funktionieren die Dienste wie beabsichtigt? Sind sie gut nutzbar? Wo treten Probleme auf? Grund Nr. 2 ist die Analyse der Hardware, Treiber, Software-Versionen usw., um Sicherheitsschwächen beheben und Aktualisierungen vorzunehmen zu können. Diagnosedaten werden von Microsoft nicht für Werbung, Profilbildung oder Nutzer-Tracking eingesetzt. Microsoft dokumentiert auf seinen öffentlichen Webseiten im Detail, welche Daten aus Windows, Office, dem Edge-Browser und weiteren Diensten zu Microsoft übertragen werden: Browserdaten, Office Daten, Office Einstellungen, Windows 10 Daten, Windows 10 Einstellungen.
Darüberhinaus gibt es den kostenlosen Diagnosedatenanzeiger, mit der Sie als Anwender alle Diagnosedaten, die in Windows 10 und Microsoft 365 gesammelt werden, analysieren und kontrollieren können. Dies ist vor kurzem für Windows 10 Education (Seite 22 dieses Links ) von der bayerischen Datenschutzbehörde bestätigt worden. Viele Telemetriedaten sind notwendig, damit Microsoft den entsprechenden Softwareliefervertrag erfüllen kann. Dafür ist nach DSGVO keine Einwilligung erforderlich, sondern nur eine Information darüber, wie in den obigen Links angeführt. Trotzdem gibt es immer wieder Diskussionen über die Legitimität der Telemetriedaten. So hat der Heise-Verlag vor einigen Monaten eine entsprechende Beschwerde der niederländischen Datenschutzbehörde zum Datenschutz-GAU hochstilisiert, obwohl die niederländische Behörde kurze Zeit später aufgrund der Anpassungen von Microsoft eine sehr positive Bilanz und Empfehlung für Microsoft 365 Apps und Windows 10 ausgesprochen hat. Diese Prozesse erfordern immer einen Kompromiss zwischen Transparenz und Wahlmöglichkeiten einerseits und praktischer Benutzbarkeit und Sicherheit der Software andererseits und werden daher auch immer Anpassungen erfordern.
Man findet in diesem Zusammenhang immer wieder Vorschläge, beispielsweise das "Customer Experience Improvement Program in den Microsoft 365 Apps" zu deaktivieren. Die anerkannte Qualität von Microsoft Office beruht aber ganz zentral auf den vielen Rückmeldungen und Vorschlägen der weltweiten Benutzer. Wir raten ausdrücklich davon ab, solchen Empfehlungen zu folgen. Es wäre sehr bedauerlich, wenn sich der europäische Konsument dadurch zum stimmlosen und unmündigen Nutzer degradieren ließe oder, weit schlimmer, unwissentlich sicherheitsrelevante Eigenschaften abschaltet.

Behauptung: Die von Microsoft beauftragten Unterauftragsverarbeiter bleiben im Dunkel
Fakt: Microsoft veröffentlicht die Namen neuer Unterauftragsverarbeiter für zentrale Onlinedienste mindestens sechs Monate vor ihrer Autorisierung zur Ausführung von Diensten, die ggf. Zugriff auf Kundendaten erfordern. Microsoft veröffentlicht die Namen neuer Unterauftragsverarbeiter für personenbezogene Daten mindestens 14 Tage vor ihrer Autorisierung zur Ausführung von Diensten, die ggf. Zugriff auf solche Daten erfordern. Die vollständigen Listen aller Unterauftragsverarbeiter sind unter diesem Link verfügbar.

Behauptung: der Cloud-Act ermöglicht US-Behörden einseitig Zugriff auf Daten von EU-Bürgern.
Fakt: USA hat den sog. Cloud-Act beschlossen. Das ist ein Gesetz, welches das Recht eines Gerichts regelt, Daten im Rahmen eines Strafverfahrens z. B. von Microsoft oder einer anderen Firma in der Welt direkt zu erbitten statt über ein Rechtshilfeverfahren, das Jahre dauert und nicht mehr zeitgemäß ist. Es ist ausgelegt als bilaterales Abkommen und schon von einigen Ländern wie Großbritannien unterzeichnet worden. Es geht dabei um normale Gerichtsverfahren. In dem extrem unwahrscheinlichen Fall, dass ein Europäer in USA in ein Strafverfahren verwickelt ist und dieses Gericht von Microsoft Daten dieses Straftäters haben will, die noch dazu in der EU liegen, würde Microsoft erstens den Angeklagten informieren und für ihn kostenlos in seinem Auftrag Widerspruch einlegen. Dies hat Microsoft im aktuellen Auftragsverarbeitungs-Vertrags festgeschrieben. Mehr dazu finden Sie hier.

Behauptung: Microsoft transferiert Daten außerhalb der EU im Rahmen des Privacy Shields, was vom EUGH gekippt wurde.
Fakt: Microsoft speichert Nutzdaten ausschließlich innerhalb der EU und transferiert keine Daten im Rahmen des Privacy Shields. Es gibt mehrere Möglichkeiten, Datentransfers in die USA zu legitimieren, insbesondere EU-Standardvertragsklauseln, die nach dem Urteil des EUGH gültig bleiben. Die Standardvertragsklauseln sind fester Bestandteil des Auftragsverarbeitungs-Vertrags, den Microsoft anbietet und der sich über alle Microsoft 365-Dienste erstreckt. Hier finden Sie eine ausführliche Stellungnahme von Microsoft zum grenzüberschreitenden Datentransfer, die auf das EUGH Urteil eingeht. Um einen noch höheren Schutz der Benutzerdaten zu garantieren und auf Einwände des EUGH einzugehen, hat Microsoft kürzlich seine Vertragsklauseln noch einmal erweitert, was von einigen Landesdatenschutzbehörden auch sehr positiv beurteilt wurde.

Behauptung: US Behörden können Microsoft zwingen, ohne Benachrichtigung des Betroffenen personenbezogene Daten herauszugeben.
Fakt: Diese Behauptung geht auf das Schrems II Urteil des EUGH zurück, in dem der Abschnitt 702 des US FISA Ergänzungsgesetzes als nicht äquivalent zur DSGVO eingeschätzt wurde. Microsoft USA hat daher Ende 2021 mit einem Konsortium aus namhaften Juristen sorgfältig evaluiert , ob eine US Behörde Microsoft mit Berufung auf diesen Abschnitt zwingen könnte, die Standardvertragsklauseln zu verletzen. Das Ergebnis ist, dass dieser Abschnitt 702 auf legitime zivile Organisationen nicht anwendbar ist und daher Microsoft die Standardvertragsklauseln vollinhaltlich erfüllen kann. Zusätzlich unterstützt Microsoft 365 auf mehrfache Art und Weise eine Ende-zu-Ende Verschlüsselung, deren Einsatz auch als Schutz gegen Hacker sehr empfehlenswert ist.

Behauptung: Microsoft gibt Nutzerdaten an die US-Regierung weiter.
Fakt: Dies entbehrt jeder sachlichen Grundlage. Es gab vor Jahren den sog. Patriot-Act, der US Regierungsbehörden in gewissen Fällen Zugriff auf Daten ermöglicht hätte, aber dieses Gesetz ist aufgrund der Veröffentlichungen durch Snowden abgeschafft worden. Microsoft publiziert im Gegenteil im Trustcenter in großer Ausführlichkeit, welche Daten von welchen Behörden weltweit - auch aus Deutschland! - verlangt werden und wie Microsoft rechtskonform damit umgeht.

Behauptung: es ist unklar, wo die Daten liegen
Fakt: der aktuelle Speicherort wird für alle Services in Microsoft 365 in der administrativen Konsole explizit angezeigt.

Behauptung: Microsoft (Support-)Mitarbeiter außerhalb der EU haben Zugriff auf personenbezogene Daten
Fakt: der Zugriff auf personenbezogene Daten durch Supportmitarbeiter außerhalb der EU kann grundsätzlich unterbunden werden (sog. Lockbox).

Behauptung: man darf keine Daten in der "Cloud" speichern
Fakt: Daten in Microsoft 365 können durchgängig Ende-zu-Ende verschlüsselt gespeichert werden (PurView Information Protection) und der Zugriff kann auf einfache Art und Weise nur berechtigten Personen der Bildungeinrichtung ermöglicht werden. Damit sind die Daten in Microsoft 365 wesentlich besser geschützt als auf lokalen Servern. In der DSGVO kommt es nicht auf den Speicherort an, sondern nur darauf, dass personenbezogene Daten nachweislich nach Stand der Technik geschützt werden. Es ist daher nicht verwunderlich, dass auch die Bundesregierung Microsoft 365 für die Datenspeicherung einsetzt.

Nicht immer kennen Datenschutzbehörden den Unterschied zwischen den Privatkundenangeboten von Microsoft und der Unternehmens-Plattform Microsoft 365. Microsoft 365 ist zweifellos eine sehr komplexe technische Plattform, die laufend weiterentwickelt wird. Da sich Microsoft weltweit der DSGVO unterworfen hat, sind viele neuere Eigenschaften von Microsoft 365 datenschutzrechtlich hoch relevant, aber Datenschutzbehörden nicht immer bekannt.

Laut Hochschulrahmengesetz HRG und den entsprechenden Landesgesetzen ist es vorrangige Aufgabe der Hochschulen, Studierende und Mitarbeiter weiterzubilden und Sie somit auch mit modernen Basis-Technologien wie IT-gestützten Kommunikations- und Lernplattformen vertraut zu machen.

Um diese Aufgaben erfüllen zu können, muss die Hochschule personenbezogene Daten der Beschäftigten und Studierenden verarbeiten. Dies geschieht heute grundsätzlich mit Hilfe von IT-Systemen, die eine effiziente wissenschaftliche Zusammenarbeit und adäquate Unterstützung der Verwaltungsvorgänge ermöglichen. IT-Systeme beinhalten aber auch Risiken, die potentiell einen unzulässigen Eingriff in die Grundrechte der Beschäftigten und Studierenden darstellen können.

In dieser Anleitung geht es um die Schaffung der rechtlichen Voraussetzungen zur Einführung der Lern- und Kommunikationsplattform Microsoft 365, mit dem Ziel, die bestehende Infrastruktur der Hochschule zu ergänzen, zu erweitern und Dozenten neue Werkzeuge für die Lehre zur Verfügung zu stellen.

Die rechtliche Grundlage zur Verarbeitung personenbezogener Daten in Microsoft 365 ergibt sich dann aus dem angestrebten Einsatzszenario:

  1. Microsoft 365 soll (zunächst) nur für Mitarbeiter eingeführt werden.
    Als rechtliche Grundlage kann in diesem Fall Art. 6 Abs.1 lit c und e DSGVO sein. Ein Muster ohne Gewähr für den erforderlichen Eintrag in das Verzeichnis der Verarbeitungstätigkeiten finden Sie hier. Da es sich bei Microsoft 365 um eine technische Einrichtung handelt, die zur Leistungs- und Verhaltenskontrolle geeignet ist, unterliegt die Einführung der Mitbestimmung durch den Personalrat, insofern dieser vorhanden ist. Eine Muster-Dienstvereinbarung zur Einführung von Microsoft 365 ohne Gewähr finden Sie hier. Diese Dienstvereinbarung gilt für die Betroffenen auch als Erlaubnisvorschrift. Wir empfehlen der Hochschule zusätzlich, die Professoren über die Einführung von Microsoft 365 in Kenntnis zu setzen.
  2. Microsoft 365 soll für Dozenten, Mitarbeiter und Studierende eingeführt werden.
    In diesem Fall ist die rechtliche Grundlage Art. 6 Abs. 1 lit e DSGVO. Die Beteiligungsrechte des Personalrates werden hierdurch nicht berührt. Der obige Link kann auch hier als Muster für eine Dienstvereinbarung dienen. Die Hochschule belegt neben dem Verzeichnis der Verarbeitungstätigkeiten die Rechtmäßigkeit der Verarbeitung personenbezogener Daten der Studierenden aufgrund Ihrer gesetzlich zugewiesenen Aufgaben im Zusammenhang mit den an der Hochschule eingesetzten Lern-Plattformen. Ein Muster ohne Gewähr dafür finden Sie hier. Diese Anlage zum Nachweis der Rechtmäßigkeit der Verarbeitung und das Verfahrensverzeichnis zusammen verbleiben beim Datenschutzbeauftragten.
    Wir empfehlen der Hochschule, die Dozenten darüber in Kenntnis zu setzen, dass Sie in ihren Lehrveranstaltungen Microsoft 365 als Kommunikations- und Lernplattform einsetzen können.
  3. Soll Microsoft 365 zuerst in einem Testbetrieb erprobt werden, so ist dies am sinnvollsten mit der Einwilligung der Beteiligten.
    Eine Muster-Einwilligung ohne Gewähr finden Sie hier.

Anmerkung: Zwecks besserer Lesbarkeit ist auch in allen Anlagen die grammatikalisch männliche Form gewählt. Der Inhalt gilt jedoch für alle Betroffenen unabhängig vom biologischen Geschlecht.

Wie muss unsere Schule konkret vorgehen?

Jede Schule verfügt bereits über eine IT Infrastruktur mit Kommunikations- und Lernelementen, die schulgesetzlich vorgeschriebene und/oder von der Schule ausgewählte Plattformen enthält. Verantwortlicher für jegliche Verarbeitung personenbezogener Daten an einer Schule ist die Schulleitung. In dieser Anleitung geht es um die zusätzliche Einführung der Lern- und Kommunikationsplattform Microsoft 365, mit dem Ziel, die bestehende Infrastruktur zu ergänzen, zu erweitern und auszubauen.

  1. Als ersten Schritt zur Einführung von Microsoft 365 in der Schule sollten die Vertreter der Bildungseinrichtung (Schüler, Lehrer, Eltern, Schulleitung) gemeinsam einen dementsprechenden Beschluss fassen. Hier finden Sie ein Muster für eine Beschlussvorlage. Nach erfolgtem Beschluss kann eine kondensierte Form als Datenschutzerklärung genutzt werden.*

Die rechtliche Grundlage zur Verarbeitung personenbezogener Daten in Microsoft 365 ergibt sich dann aus dem angestrebten Einsatzszenario:

  1. Microsoft 365 soll (zunächst) nur für Lehrkräfte eingeführt werden.
    Als rechtliche Grundlage kann in diesem Fall Art. 6 Abs.1 lit c und e DSGVO in Verbindung mit dem Paragraphen über die Verarbeitung personenbezogener Daten aus dem Schulgesetz des Bundeslandes sein. Dies gilt sowohl für öffentliche als auch für private Schulen. Hier finden Sie ein Muster für den erforderlichen Eintrag in das Verzeichnis der Verarbeitungstätigkeiten.*
    Da es sich bei Microsoft 365 um eine technische Einrichtung handelt, die zur Leistungs- und Verhaltenskontrolle geeignet ist, unterliegt die Einführung der Mitbestimmung durch den Personalrat, insofern dieser vorhanden ist. Hier finden Sie eine Muster-Dienstvereinbarung zur Einführung von Microsoft 365.*
  2. Microsoft 365 soll für Lehrkräfte und Schüler eingeführt werden, und das Schulgesetz ihres Bundeslandes verlangt die Vermittlung von Medienkompetenz und/oder den Einsatz von Lernplattformen. In diesem Fall wäre als rechtliche Grundlage der Art. 6 Abs.1 lit e DSGVO in Verbindung mit dem entsprechenden Paragraphen aus dem Schulgesetz anzuführen und Sie müssen das Verzeichnis der Verarbeitungstätigkeiten entsprechend anpassen. Beachten Sie bitte, dass keine Einwilligungen erforderlich sind, diese würden dem zitierten Art. 6 DSGVO widersprechen.*

    Die Beteiligungsrechte des Personalrates werden hierdurch nicht berührt. Die obige Muster-Dienstvereinbarung kann auch hier als Vorlage dienen.*

    Microsoft 365 soll für Lehrkräfte und Schüler eingeführt werden, im Schulgesetz ihres Bundeslandes ist der Einsatz einer Lernplattform o.ä. nicht verankert. Auch dann können Sie wie unter Punkt 1 ff beschrieben verfahren, als rechtliche Grundlage dient Art. 6 Abs.1 lit c und e DSGVO.

    Nach Meinung aller deutschen Landesdatenschutzbehörden muss eine Schule für jede IT-gestützte Lernplattform mit Beteiligung der Schüler zwingend auch eine Datenschutzfolgeabschätzung nach Art. 35 Abs. 3 anfertigen. Hier finden Sie eine Muster-Datenschutzfolgeabschätzung für den Einsatz von Microsoft 365.*

  3. Soll Microsoft 365 zuerst in einem Testbetrieb erprobt werden, so ist dies am sinnvollsten mit der Einwilligung der Beteiligten.
    Hier finden Sie zwei Muster-Einwilligungen Muster-a und Muster-b. Wenn Schüler an diesem Pilotbetrieb beteiligt sind, so ist deren Einwilligung nur möglich, wenn sie 16 Jahre oder älter sind. Ansonsten ist eine Einwilligung der Erziehungsberechtigten notwendig.*
  4. Schließlich haben Sie für die Schüler vermutlich bereits eine Nutzungsordnung für Internet-Nutzung, die Sie um die Microsoft 365 Dienste ergänzen sollten. Ein Muster finden Sie hier.*

*)Die dargestellten Vorgehensweisen und Beispieldokumente dienen lediglich dem unverbindlichen Informationszweck und stellen keine Rechtsberatung dar. Der Inhalt dieses Angebots kann und soll eine individuelle und verbindliche Rechtsberatung, die auf Ihre spezifische Situation eingeht, nicht ersetzen. Die Informationen wurden von Konverion UG und DrVis Software GmbH nach bestem Wissen und mit der gebotenen Sorgfalt zusammengestellt. Trotzdem kann keine Gewähr auf Richtigkeit oder Vollständigkeit gegeben werden.

Grundlegendes zum Datenschutz​

Das für Bildungseinrichtungen relevante Gesetz ist die EU Datenschutzgrundverordnung (DSGVO). ​

Dieses Gesetz regelt ausschließlich die automatisierte Verarbeitung von personenbezogenen Daten, also Daten, mit denen sich ein eindeutiger Bezug zu einer Person herstellen lässt. Es geht also nicht um den Schutz geistigen Eigentums. Die Kernidee ist, dass es für die Verarbeitung personenbezogener Daten einen vernünftigen, schlüssigen Grund geben muss und die Betroffenen das Recht haben, zu erfahren, wer, wozu, wo und wie lange diese Daten gespeichert werden.

Zunächst mal bedeutet "IT-Plattform" eine Sammlung von digitalen Diensten mit unterschiedlichen Funktionen und Anwendungsfällen. Es ist so gut wie ausgeschlossen, dass irgendeine Sammlung von vornherein allen Vorgaben der DSGVO entspricht. Relevant ist daher die Frage, ob eine IT-Plattform so konfigurierbar ist, dass die Risiken, die bei jeder automatisierten Datenverarbeitung bestehen, minimiert werden können. Die Frage lautet daher für jede IT-Plattform nicht, ob sie datenschutzkonform ist, sondern ob sie DSGVO-konform konfigurierbar ist.

Um dies feststellen zu können, muss man erst mal die Risiken einer elektronischen Verarbeitung von personenbezogenen Daten bestimmen. Die DSGVO verlangt in Art. 25 Datenschutz durch Technikgestaltung, d.h. Daten sollen nach Stand der Technik geschützt werden. Das kann man leicht so sagen und verlangen, aber was bedeutet dies in der Praxis und kann man dafür allgemein anerkannte Kriterien finden? Um diese Frage zu beantworten, hat die Konferenz der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder ("DSK") zusammen mit dem Bundesamt für Sicherheit in der Informationtechnik ("BSI") ein „Standard-Datenschutzmodell“ entworfen, das Organisationen bei Analyse der DSGVO-Konformität einer Plattform unterstützt. Sie finden diese Unterlagen als pdf-Dateien hier, hier und hier.

In der folgenden Tabelle sind die wichtigsten Kriterien, die nach der Entscheidung der DSK und BSI über die Datenschutzkonformität einer IT-Plattform entscheiden, aufgeführt:

  • Ist eine standardmäßige Zwei-Faktor-Authentifizierung für alle Benutzer möglich, die auf allen IT-Plattformen (Desktop und Mobil) einsetzbar ist?
  • Können alle gespeicherten Daten Ende-zu-Ende-verschlüsselt werden?
  • Werden alle Benutzer-Daten auf den Servern automatisch verschlüsselt gespeichert?
  • Ist die jederzeitige Wiederherstellbarkeit irrtümlich oder bösartig gelöschter Daten für den Benutzer selbst möglich und gesichert?
  • Werden Benutzer aktiv bei Angriffen vor Schadware gewarnt?
  • Können alle Links und Anhänge in Sofortnachrichten, E-Mails und Dokumenten automatisch auf Legitimität und Schadfreiheit überprüft werden?
  • Ermöglicht das System automatische Gegenmaßnahmen bei ungewöhnlichen Datenübertragungen (wie z. B. Löschen vieler Daten)?
  • Ermöglicht das System eine automatische Warnung bei unbefugter Weitergabe sensibler Daten durch Benutzer?
  • Bietet das System die Möglichkeit, alle gespeicherten personenbezogenen Daten eines Benutzers zu jedem Zeitpunkt zu extrahieren?
  • Bietet das System die Möglichkeit, die Aufbewahrungszeit von Daten, Diagnosedaten und Metadaten zu begrenzen?
  • Erfolgt die Speicherung und Verarbeitung personenbezogener Daten ausschließlich in der EU?
  • Kann der Anbieter, der die Server verwaltet, eine angemessene Zertifizierung (z. B. ISO 27001 und 27018) für den Rechenzentrumsbetrieb vorweisen?

Wenn eine IT-Plattform diese technischen Kriterien erfüllt, ermöglicht sie, das Risiko eines unbeabsichtigten Datenverlusts zu minimieren. Wenn sie diese Kriterien nicht oder nur teilweise erfüllt, ist eine datenschutzkonforme Nutzung der Plattform nicht möglich und nur nach einer etwaigen Ausnahmegenehmigung seitens der zuständigen Datenschutzaufsichtsbehörde statthaft.

Die DSGVO legt fest, dass an einer Schule der Schulleiter für die Verarbeitung personenbezogene Daten verantwortlich ist. Diese Verantwortung ist nicht delegierbar. Daher ist die Frage, ob eine IT-Plattform datenschutzkonform ist, weil sie von einem Kultusministerium oder einem Sachaufwandsträger empfohlen wird, ebenso zu verneinen, wie die Frage, ob eine Open-Source Plattform unabhängig von den oben angeführten Kritieren datenschutzkonform ist.

Wir empfehlen daher jeder Schule wie auch Hochschule zu prüfen, ob ihre aktuell im Einsatz befindlichen IT Plattform die obigen Kriterien erfüllt und geeignete Maßnahmen zu ergreifen, wenn dies nicht der Fall ist.

Es sind im Zusammenhang mit dem Einsatz von IT in Bildungseinrichtungen insbesondere die folgenden drei Aussagen, die vollkommen neu und relevant sind:

Artikel 1 (3) der DSGVO lautet: „Der freie Verkehr personenbezogener Daten in der Union darf aus Gründen des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten weder eingeschränkt noch verboten werden“. Daher ist eine Beschränkung auf Deutschland oder eine Beschränkung auf die eigenen Räumlichkeiten nicht zulässig. Damit spielt erstmals das "wo" keine Rolle, sondern nur das "wie".

Sie müssen als Bildungseinrichtung nach Artikel 32 DSGVO belegbar Auskunft geben können, welche Maßnahmen in technischer und organisatorischer Hinsicht getroffen wurden, um die Datenschutzbestimmungen einzuhalten. Die technischen Schutzmaßnahmen müssen „dem aktuellen Stand der Technik“ entsprechen, was für lokal betriebene Server in kaum einer Bildungseinrichtung gewährleistet werden kann. Diese Forderung bedeutet eine vollkommene Abkehr vom bisherigen Prinzip „my home is my castle“, das in dem 30 Jahre alten Bundesdatenschutzgesetz vertreten wurde, weil es vor dem Internetzeitalter verfasst wurde.

Das Gesetz setzt sich erstmals mit den dramatisch wachsenden Gefahren durch technische Sicherheitslücken auseinander und verlangt den technisch bestmöglichen Schutz personenbezogener Daten in Abhängigkeit von den Nachteilen, die einer Person durch unbeabsichtigte Veröffentlichung entstehen können.

Ein IT-System, das dem Stand der Technik entspricht, muss folgende Anforderungen erfüllen:

  • Schutz gegen Identitätsdiebstahl durch Anmeldung an das System mit einem zweiten Faktor
  • Schutz gegen Datenlecks durch Ende-zu-Ende-Verschlüsselung der gespeicherten Daten
  • Schutz gegen (vorher oder nachträglich) vergiftete Links in E-Mails und Dokumenten
  • Schutz gegen E-Mails mit vergifteten Anhängen
  • Schutz gegen und Warnung vor unbefugter Weitergabe sensibler Daten
  • Schutz gegen Applikationen, die auf technisch nicht erforderliche Daten zugreifen
  • Schutz gegen und Warnung bei ungewöhnlichen Datenflüssen
  • Lokaler Serverbetrieb nur bei vorhandener BSI-Grundschutz-Zertifizierung

Für die Auswahl von IT Dienstleistern („Auftragsverarbeiter“) gelten in der DSGVO wesentlich strengere Maßstäbe und eine Bildungseinrichtung muss konkret nachweisen können, dass die Auswahl nach objektiven datenschutzrechtlichen Kriterien erfolgt ist, z. B. durch eine Zertifizierung des Anbieters. So sind z. B. die Microsoft EU Rechenzentren nach dem Datenschutz-Standard ISO 27018 zertifiziert. Artikel 28 (1) lautet: „Erfolgt eine Verarbeitung im Auftrag eines Verantwortlichen, so arbeitet dieser nur mit Auftragsverarbeitern, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt …“.

Im Gegensatz zu früher gilt die DSGVO für öffentliche und nicht öffentliche Organisationen gleichermaßen und sie ist das relevante Gesetz, das stets Vorrang gegenüber anderen Gesetzen zum Datenschutz hat. Die DSGVO sieht allerdings Öffnungsklauseln für den öffentlichen Dienst vor und das neue Bundesdatenschutzgesetz (BDSG-neu) und einige neuen Landesdatenschutzgesetze nutzen diese zur Regelung von Gefahrenabwehr (z. B. mittels Videoüberwachung), Strafverfolgung und -vollzug und für Datenverarbeitung im Beschäftigungskontext. Relevant sind diese Öffnungsklauseln für öffentliche Bildungseinrichtungen noch in einem weiteren kleinen Teilaspekt, weil sie danach von der Verhängung von Geldbußen befreit sind.

Für eine Bildungseinrichtung gibt es außerdem Schul- bzw. Hochschulgesetze, die datenschutzrechtliche Aspekte enthalten können. So sieht zum Beispiel das Bayerische Erziehungs- und Unterrichtsgesetz ein Verbot der Erfassung von Schülerdaten zwecks Werbung in der Schule vor.

Sie möchten mehr zum Thema erfahren?​

Wir beraten Sie gerne. Kontaktieren Sie uns einfach unter

+49 89 307 48480