Schlagwort: Hessischer Datenschutzbeauftragter

Neue Stellungnahme des Hessischen Datenschutzbeauftragten über Microsoft Office

8. August 2019

Anfang Juli 2019 hatte die hessische Datenschutzbehörde Schulen die Nutzung von Microsoft Office 365 untersagt. In seiner Stellungnahme erklärte der Hessische Beauftragte für Datenschutz und Informationsfreiheit, dass es unzulässig sei, das Programm an hessischen Schulen einzusetzen, sofern dort personenbezogene Daten in der europäischen Cloud gespeichert werden.

Am 2. August 2019 folgte eine zweite Stellungnahme zum Einsatz von Microsoft Office 365 in hessischen Schulen. Der Landesdatenschutzbeauftragte erklärte darin: „Seither fanden intensive Gespräche mit Microsoft über die Datenschutzkonformität der schulischen Anwendung von Office 365 statt, die zu einer datenschutzrechtlich veränderten Einschätzung führten und die einen erheblichen Anteil der Bedenken entkräfteten.“ Im Rahmen dieser Einschätzung erweist sich diese Überprüfung als außerordentlich komplex und aufwendig, da eine Vielzahl rechtlicher und technischer Fragen zu klären war.

In seiner zweiten offiziellen Stellungnahme hat der Hessische Beauftragte für Datenschutz und Informationsfreiheit sich nach intensiven Gesprächen mit Microsoft dazu entschlossen, den Einsatz von Office 365 in hessischen Schulen unter bestimmten Voraussetzungen und dem Vorbehalt weiterer Prüfungen zum gegenwärtigen Zeitpunkt zu dulden. Die Einschätzung betrifft die Version ab 1904 (für die Produkte Office 365 ProPlus, Office 365 Online und Office 365 Apps) und der Landesdatenschutzbeauftragte betont, dass Schulen Office 365 einsetzen dürfen, wenn sie die Übermittlung jedweder Art von Diagnosedaten unterbinden.

Zu gegebener Zeit wird der Landesdatenschutzbeauftragte weitere Vorgaben hinsichtlich der Parameter machen, die als Grundlage für die Nutzung der Cloud umzusetzen sind. Dazu wird auch Microsoft Schulen Handlungsanleitungen zur Verfügung stellen.

Allerdings können sich die Schulen, die den Erwerb beabsichtigen, ebenfalls auf die Duldung berufen, aber tragen das finanzielle Risiko, falls die weitere Überprüfung zur Unzulässigkeit des Einsatzes von Office 365 in hessischen Schulen führen sollte.

Der Hessische Datenschutzbeauftragte verbietet Microsoft Office 365 an Schulen

17. Juli 2019

Die digitalen Anwendungen im Schulalltag verändert das Lernen wie kaum zuvor. Jedoch scheint Hessen auf ein Problem mit Cloudanwendung von Office 365 gestoßen zu sein, so dass die Nutzung von Office 365 an hessischen Schulen derzeit verboten werden soll. Was für Microsoft Office 365 gilt, ist auch für andere Cloud-Lösungen etwa von Google oder Apple zutreffend.

Michael Ronellenfitsch, der Hessische Beauftragte für Datenschutz und Informationsfreiheit, betonte, dass Dritte Zugriff auf die Microsoft Cloud erlangen könnten, weswegen Schulen die Cloudanwendung von Office 365 nicht mehr nutzen sollen. Laut Ronellenfitsch liegt das Problem, dass personenbezogene Schülerdaten aus Deutschland in die USA übermittelt werden. In seiner Stellungnahme erklärte der Landesdatenschutzbeauftragte, dass der entscheidende Aspekt ist, „ob die Schule als öffentliche Einrichtung personenbezogene Daten von Kindern in einer europäischen Cloud speichern kann, die z.B. einem möglichen Zugriff US-amerikanischer Behörden ausgesetzt ist.“ Ferner begründet er seine Auffassung, dass Office 365 nicht für Schulen geeignet ist, mit der besonderen Verantwortung der öffentlichen Einrichtungen in Deutschland beim Datenschutz hinsichtlich der Zulässigkeit und Nachvollziehbarkeit der Verarbeitung personenbezogener Daten. Zudem mahnt Ronellenfitsch, dass „die digitale Souveränität staatlicher Datenverarbeitung gewährleistet sein“ müsse. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat auch darauf hingewiesen, dass über Windows 10 und Microsoft Office 365 „eine Fülle von Telemetrie-Daten an Microsoft übermittelt“ würden, deren Inhalte trotz wiederholter Anfragen noch nicht hinreichend geklärt seien.

Der Landesdatenschutzbeauftragte argumentiert, dass man auch mit der Einwilligung der Betroffenen das Problem nicht lösen könnte, da die Sicherheit und Nachvollziehbarkeit der Datenverarbeitungsprozesse nicht gewährleistet sind. Der Versuch einer Heilung durch eine Einwilligung der Eltern bietet auch keine Lösung, weil es nicht nachvollziehbar ist, welche Daten tatsächlich übermittelt werden.

Diese Regelungen gelten zurzeit nur in Hessen. Es bleibt abzuwarten, wie die anderen Bundesländer hiermit umgehen werden.