Welche Fragestellungen gibt es aus Datenschutzsicht?
Kein Gewähr! Dieser Artikel ist noch nicht datenschutzrechtlich geprüft
- Ist Microsoft 365 datenschutzrechtlich zulässig?
- Wie sieht das Verarbeitungsverzeichnis (Datenschutzdokument zum Einsatz der Software in der Schule) aus?
- Ist die Datenschutzerklärung angepasst?
- Gibt es ggf. eine Dienstvereinbarung?
- Wird die Datensicherheit gewährleistet?
- Gibt es einen Beschluss ggf. der Schulkonferenz/Gesamtkonferenz?
- Gibt es eine Nutzungsordnung für die Schüler?
- Sind die technischen und organisatorischen Maßnahmen beschrieben?
Während einige Punkte wie die Nutzungsordnung später geklärt werden können, ist die datenschutzrechtliche Zulässigkeit schon zu Beginn entscheidend.
Ist Microsoft 365 datenschutzrechtlich zulässig?
In der Schule werden genehmigt oder nicht genehmigt von Schülern und/oder Lehrern zahlreiche datenschutzrechtlich problematische Anwendungen eingesetzt, z.B. WhatsApp.
Hier ist es wichtig, dass Microsoft 365 nicht zusätzliche Datenschutzprobleme aufwirft, sondern die vorhandenen löst.
Aus Datenschutzsicht müssen mehrere Aspekte geprüft werden wie Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit. Dies bezieht sich u.a. auf die Datensicherheit der Rechenzentren (z.B. gegen Diebstahl und Viren), ob die Systeme auch bei hoher Auslastung funktionieren, ob die Daten beispielsweise für Werbezwecke und durch andere Regierungen verwendet werden und schlussendlich wie die Lehrkräfte und Schüler vor Ort damit umgehen.
Der Hessische Datenschutzbeauftragte hat Microsoft 365 seit August 2019 bis 31. Juli 2020 geduldet. Die Duldung hängt von der weiteren Kooperation von Microsoft ab. Entsprechende Mängel hat der niederländische Datenschutz gefunden. Microsoft hat sich verpflichtet, die wichtigsten Mängel im Sommer 2020 und die weniger dringenden Ende 2020 zu beheben (letzte Seite). Daher gibt es in diesem Bereich Hoffnung.
Außerhalb des direkten Einflussbereichs von Microsoft sind gesetzliche Regelungen. Dazu zählt beispielsweise das amerikanische Recht, die amerikanischen Zusicherungen für die Daten ausländischer Bürger und der Zugriff amerikanischer Regierungen darauf. Für EU-Bürger wurde dies im Privacy Shield-Abkommen zwischen EU und den USA geregelt, da Microsoft seinen Sitz in den USA hat. Der Europäische Gerichtshof hat dieses Abkommen gekippt. Damit ist aus Sicht des Datenschutzes eine andere rechtlich verbindliche Zusicherung notwendig, um einen Datentransfer in die USA zu erlauben.
Eine Alternative zu dem Privacy Shield-Abkommen sind die EU-Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer. Sie hat Microsoft im Rahmen der Auftragsdatenverarbeitung in seine Verträge eingebaut. Laut Microsoft ist es daher unverändert möglich, die Dienste zu nutzen. Dennoch hat auch der EuGH angedeutet, dass diese Standardvertragsklauseln ungültig werden können, da die mögliche Beeinträchtigung durch die Amerikanische Regierung genauso wie beim Privacy Shield-Abkommen besteht. Formal sind sie derzeit gültig.
Hilfreich ist zumindest, dass fast alle Daten auf deutschen und europäischen Servern gespeichert werden. Wo die einzelnen Programme von Microsoft 365 betrieben werden, steht auf der Seite docs.microsoft.com/de-de/office365/enterprise/o365-data-locations?geo=Europe#germany Am Anfang der Seite sind außerdem einige grundsätzliche Fragen zum Datenzugriff erklärt. Dort ist zu sehen, dass nur das Programm Workplace Analytics in den USA gespeichert wird. Dies wird normalerweise nicht genutzt.
Allerdings werden einige der Systemdienste in den USA betrieben, wie auf dieser Seite zu sehen ist: msit.powerbi.com/view?r=eyJrIjoiYzEyZTc5OTgtNTdlZS00ZTVkLWExN2ItOTM0OWU4NjljOGVjIiwidCI6IjcyZjk4OGJmLTg2ZjEtNDFhZi05MWFiLTJkN2NkMDExZGI0NyIsImMiOjV9 Zu diesen Diensten gehören die Multifaktorauthentifizierung (MFA). Sie findet Anwendung, wenn Sie zum Zurücksetzen von Kennwörtern die Handynummer oder eine andere E-Mail-Adresse hinterlegen. Diese Daten sind allerdings optional und es kann auch mit einer App-Authentifizierung oder zufälligen Sicherheitsfragen gearbeitet werden. Außerdem wird die Anwendung B2B in den USA betrieben. Sie findet Anwendung, wenn mit Gastbenutzern gearbeitet wird. Hier sollten die Benutzer in einer Einwilligungserklärung über die Risiken aufgeklärt werden. Diese Erklärung wird standardmäßig von Microsoft an Gäste versendet, lässt sich allerdings auch ändern: Nutzungsbedingungen für Gäste
In jedem Fall sollte in den Nutzungsbedingungen und Datenschutzerklärungen auf die Risiken bzgl. des amerikanischen Zugriffs hingewiesen werden, ggf. können auch Einwilligungserklärungen eingesetzt werden, die Schüler und Erziehungsberechtigte freiwillig unterschreiben.
Zusammenfassend ist festzuhalten, dass formal die Standardvertragsklauseln aktuell den Einsatz von Microsoft legitimieren. Gewisse Risiken wie MFA, B2B, Workplace Analytics und Telemetrie sollten behandelt werden. Über die generellen Risiken sollte informiert werden. Notfalls kann man sich mit freiwilligen Einverständniserklärungen weiter absichern (Grundsätzliche Einschätzung übernommen von dem Anwalt Dr. Schwenke). Auf der anderen Seite ermöglicht Microsoft durch die Cloud eine Datensicherheit gegen Hacker, Diebstahl, Viren etc. die bei einem Eigenbetrieb kaum realisierbar ist.
Achtung: Die Duldung in Hessen läuft am 31. Juli 2021 ab.
Der Hessische Beauftragte für Datenschutz und Informationsfreiheit möchte, dass eine Speicherung von sensiblen Daten auf Privatgeräten möglichst vermieden werden soll, auch wenn es im Rahmen von Corona von seiner Seite aus grundsätzlich zulässig ist. Weitere Hinweise des Hessischen Beauftragten für Datenschutz und Informationsfreiheit (dort ist ein Hinweis auf den Vorrang des Schulportals bei der Datenschutz-Ausnahme-Genehmigung enthalten. Da es auf Grund von Ressourcenengpässen nicht allen zur Verfügung steht und auch nicht alle benötigten Funktionen für den Unterricht umfasst, ist ein Einsatz von Microsoft Teams auch für die dort erwähnten Daten anzunehmen).
Weitere Links:
- Das Data Processing Appendum (Auftragsdatenverarbeitungsvertrag) mit EU-Standardvertragsklauseln von Microsoft
- Einschätzungen und generelle Fragen als PDF-Vortrag
- Trust Center von Microsoft zum Thema Datenschutz und Datensicherheit
- Statistik wie viele Staatliche Datenanfragen an Microsoft gestellt werden: In Deutschland werden keine Inhaltsdaten angefordert
- Leitfaden zur DSGVO für Schulen von Microsoft
Wir sind nicht zur Rechtsberatung befugt. Daher involvieren Sie immer Ihren Datenschutzbeauftragten und ggf. einen Anwalt.
Wie stelle ich Microsoft 365 so ein, dass es datensparsam ist?
Diese nötigen Einstellungen beschreibt der Artikel Microsoft 365 Installation.
Wo finde ich Vorlagen?
Wir arbeiten derzeit an einer Empfehlung.
Bis dahin finden Sie gute Vorlagen für Dienstvereinbarung, Verarbeitungsverzeichnis, Nutzungsvereinbarungen… hier:
- Handreichung mit sehr ansprechender, umfangreicher und sauberer Betrachtung, Argumentation von Anwälten im NGO-Bereich
- Handreichung mit konkreten frei verwendbaren Vorlagen für alle Situationen, Vorgehenshinweisen und Antworten auf Fragen zur Microsoft 365 und der DSGVO (empfehlenswert)
Sie empfehlen die individuelle Einwilligungserklärung durch Schulkonferenz-Beschluss und Dienstvereinbarung zu ersetzen - Einwilligungserklärung von datenschutz-schule.info, auch mit vielen grundsätzlichen Empfehlungen zum Thema Datenschutz und Schule und weiteren Vorlagen
- Einwilligungserklärung von Bayern
- Nutzungsordnung und Datenschutzhinweise der Stadt Nürnberg
Zurück zur Übersicht Microsoft 365 und Microsoft Teams mit weiteren Schritten