GoogleWatchBlog

Datenschutzbedenken: Hessen verbietet Google Docs, Office 365 und weitere Cloud-Lösungen an Schulen

» Web-Version «

In deutschen Schulen kam (und kommt) viele Jahre lang das Paket aus Microsoft Windows und Microsoft Office zum Einsatz, mit dem den Schülern die wichtigsten Grundlagen nähergebracht werden konnten bzw. das auch im Unterricht zum Einsatz kam. Doch sowohl diese Apps als auch alternative Lösungen von Google sind längst in die Cloud gewandert und sorgen damit aus Sicht der Datenschützer für Probleme. Als einziges Bundesland hat nun Hessen Google Docs und andere Lösungen in den Schulen verboten.


Microsoft Office 365 hat eine starke Cloudanbindung, Google Docs findet vollständig in der Cloud statt und auch alle anderen größeren modernen Büropakete kommen nicht mehr ohne Cloudanbindung aus. Das sorgt nicht nur in Unternehmen für Datenschutzbedenken, sondern ist offenbar vor allem für Schulen ein großes Problem. Die Hessischen Beauftragten für Datenschutz und Informationsfreiheit (HBDI) haben nun ganz offiziell diese Office-Lösungen in den Schulen verboten.

Seit Jahren wird in Deutschland darüber diskutiert, ob Schulen die Microsoft-Software Office 365 datenschutzkonform anwenden können. Im August 2017 hat sich der Hessische Beauftragte für Datenschutz und die Informationsfreiheit (HBDI) nach umfangreicher Prüfung zur Deutschland-Cloud von Microsoft als einzige bundesdeutsche Aufsichtsbehörde für den Datenschutz hierzu geäußert. In seiner damaligen Stellungnahme hat der HBDI festgestellt, dass Office 365 durch Schulen datenschutzkonform in der Deutschland-Cloud angewendet werden kann, soweit die von Microsoft zur Verfügung gestellten Werkzeuge (z.B. Rollen- und Berechtigungskonzept, Protokollierung etc.) durch die Schulen sachgerecht Anwendung finden. Im August 2018 hat Microsoft der Öffentlichkeit mitgeteilt, dass für die Deutschland-Cloud keine Verträge mehr angeboten werden und der Vertrieb dieses Produkts eingestellt wird. Seither haben beim HBDI eine Vielzahl von Lehrkräften und Schulleitungen, aber auch Schulträger hinsichtlich der Nutzung von Office 365 in der europäischen Cloud angefragt. Zudem ist in den vergangenen Monaten durch einzelne Schulträger Office 365 unabhängig von den ungeklärten datenschutzrechtlichen Fragestellungen massiv in die Schullandschaft hinein befördert worden.

Als Hauptgrund für das Verbot wird, neben den allgemeinen Datenschutzbedenken, angeführt, dass in den Schulen viele Minderjährige mit den Diensten arbeiten, die aber aufgrund ihres Alters keine Einwilligung in die Datenverarbeitung geben können. Eine stellvertrentende Einwilligung durch Eltern oder gar Lehrer ist nicht zulässig.



2. Warum die Cloudanwendung von Office 365 derzeit unzulässig ist

Die Nutzung von Cloud-Anwendungen durch Schule ist generell kein datenschutzrechtliches Problem. Viele Schulen in Hessen wenden bereits Cloud-Lösungen an. Ob zum Beispiel die Lernplattform oder das elektronische Klassenbuch: Schulen können sich datenschutzkonform digitaler Anwendungen bedienen, soweit die Sicherheit der Datenverarbeitung und die Teilhabe der Schülerinnen und Schüler gewährleistet ist. Anders ist die Rechtslage bei Office 365 als Cloudlösung. Seit Jahren befinden sich die Aufsichtsbehörden mit Microsoft in der Diskussion. Dabei ist der entscheidende Aspekt, ob die Schule als öffentliche Einrichtung personenbezogene Daten (von Kindern) in einer (europäischen) Cloud speichern kann, die z.B. einem möglichen Zugriff US-amerikanischer Behörden ausgesetzt ist. Öffentliche Einrichtungen in Deutschland haben eine besondere Verantwortung hinsichtlich der Zulässigkeit und Nachvollziehbarkeit der Verarbeitung personenbezogener Daten. Auch muss die digitale Souveränität staatlicher Datenverarbeitung gewährleistet sein. Hinzu kommt ein weiteres Problem, auf das im Herbst 2018 das Bundesamt für Sicherheit in der Informationstechnologie die Öffentlichkeit hingewiesen hat. Mit der Verwendung des Betriebssystems Windows 10 werden eine Fülle von Telemetrie-Daten an Microsoft übermittelt, deren Inhalte trotz wiederholter Anfragen bei Microsoft nicht abschließend geklärt sind. Derartige Daten werden auch bei der Nutzung von Office 365 übermittelt.

Problematisch ist es, dass die Daten auch in den USA gespeichert und verarbeitet werden könnten und somit dem Zugriff von US-Behörden ausgesetzt sein könnten. Trotz mehrjähriger Gespräche mit Microsoft konnte man das nicht ausschließen und das Unternehmen konnte bis heute nicht abschließend erklären, welche Daten sowohl mit Office als auch mit Windows 10 erfasst und an die Server gesendet werden.

Der folgende Absatz liest sich, als wenn er maschinell übersetzt wäre, wurde aber in der Form von der HBDI veröffentlicht:

3. Kann Schule mit Hilfe der Einwilligung das Problem lösen?

Schule ist bislang auf die Einwilligung der Betroffenen angewiesen, soweit eine digitale, personenbezogene Datenverarbeitung in bzw. durch Schule stattfindet. Ob die Einwilligung der Betroffenen in bestimmten Situationen die digitale, personenbezogene Datenverarbeitung rechtfertigt, kann dahin gestellt bleiben. Im Zusammenhang mit der Nutzung von Office 365 in der Cloud bietet die Einwilligung jedenfalls keine Lösung, weil die Sicherheit und Nachvollziehbarkeit der Datenverarbeitungsprozesse nicht gewährleistet sind. Deshalb ist die Datenverarbeitung unzulässig. Der Versuch eine Heilung durch eine Einverständniserklärung der Eltern zu erreichen, würde auch die besonderen Schutzrechte von Kindern z.B. nach Art. 8 Datenschutz-Grundverordnung (DS-GVO) nicht hinreichend berücksichtigen. Mit der Einwilligung der Eltern ist das Problem also nicht gelöst.



4. Wie sehen die Perspektiven für die Nutzung von Office 365 aus?

Der HBDI kennt die Bedarfe, die insbesondere berufliche Schulen für die Nutzung von Office-Paketen geltend machen. Deshalb besteht auch das Interesse, zusammen mit Microsoft zu einer datenschutzkonformen Lösung zu kommen. Dies liegt jedoch nicht am HBDI oder den anderen bundesdeutschen Aufsichtsbehörden, sondern vor allem an Microsoft selbst. Sobald insbesondere die möglichen Zugriffe Dritter auf die in der Cloud liegenden Daten sowie das Thema der Telemetrie-Daten nachvollziehbar und datenschutzkonform gelöst sind, kann Office 365 als Cloud-Lösung von Schulen genutzt werden. Bis zu diesem Zeitpunkt kann sich Schule aber anderer Instrumente wie z.B. On-Premises Lizenzen auf lokalen Systemen bedienen.

5. Andere Cloudlösungen von z.B. Google und Apple

Was für Microsoft gilt, ist auch für die Cloud-Lösungen von Google und Apple zutreffend. Die Cloud-Lösungen dieser Anbieter sind bislang ebenfalls nicht transparent und nachvollziehbar dargelegt worden. Deshalb gilt auch hier, dass für Schulen die datenschutzkonforme Nutzung derzeit nicht darstellbar ist.

Obwohl sich der Sachverhalt speziell auf Microsoft bezieht, trifft er genauso auch auf Google bzw. Google Docs und andere Produkte zu. Derzeit gilt dieses Verbot und auch die gesamte Untersuchung nur für Hessen, aber es ist natürlich nicht auszuschließen, dass sich auch andere Bundesländer bzw. deren Datenschutzbehörden dieser Meinung anschließen.

Auch in Zeiten der DSGVO sind solche Dinge also wohl nicht leicht zu klären und können sich über Jahre hinziehen. Das ist natürlich besonders für die Schüler problematisch, die Google Docs als Messenger verwenden 😉

Siehe auch
» DSGVO: Datenschutzbehörde untersucht Googles Werbegeschäft- nächste Milliardenstrafe droht

[Datenschutz Hessen]


Keine Google-News mehr verpassen:
GoogleWatchBlog bei Google News abonnieren | Jetzt den GoogleWatchBlog-Newsletter abonnieren