Microsoft Teams – Einwilligung

Lesezeit: < 1 Minute

Auf Nachfrage gibt es jetzt auch eine Vorlage für Informationen zur Datenverarbeitung gem. Art. 13 DS-GVO und eine Einwilligung in die Datenverarbeitung zur Nutzung von Microsoft Teams. Die Vorlage ist ausgerichtet auf Schulen, die kein Office 365/ Microsoft 365 nutzen, und berücksichtigt deshalb auch die Erstellung eines Nutzerkontos. Für Schulen, die bereits Office 365/ Microsoft 365 nutzen, kann die Vorlage auch auf die Nutzung der Kommunikationstools, Sprachnachricht, Audi- Videokonferenz und Chat reduziert werden.

Schulen, die Teams mit ihren Schülern ohne ein eigenes Nutzerkonto nutzen möchten, brauchen eine andere Einwilligung, da hierbei deutlich weniger personenbezogene und -beziehbare Daten verarbeitet werden.

 

Bitte denken Sie daran, auch eine Nutzungsvereinbarung zu Teams zu erstellen, denn nur wenn Regeln vereinbart werden, kann man erwarten, dass Nutzer sich daran halten. Eine Vorlage speziell für Teams findet sich bei der Stadt Nürnberg. Die Nutzungsvereinbarung ist ein essentieller Bestandteil der organisatorischen Maßnahmen zum Schutz und zur Sicherheit der personenbezogenen Daten der Nutzer und ergänzt die technischen Maßnahmen. Zu diesen gehören neben einem Rechte- und Rollenkonzept auch sichere Voreinstellungen in MS Teams.

Bitte beachten Sie, dass durch das EU-GH Urteil vom 16.07.2020, der EU-US Privacy Shield für ungültig erklärt wurde. Transfers von personenbezogenen Daten in die USA, wie sie auch bei einer Nutzung von MS Teams möglich sind, können damit nicht mehr auf der Grundlage des EU-US Privacy Shield erfolgen.1Microsoft stützt diese Transfers jetzt auf die Standard Vertragsklauseln. Ob die Aufsichtsbehörden das als datenschutzkonform einschätzen, wird man sehen. Die Informationen zur Datenverarbeitung, die zur Einwilligung gehören, berücksichtigen dieses in der aktualisierten Version. Bitte lesen Sie sich die Informationen in den Vorlagen genau durch.
Ob die Aufsichtsbehörden dieses Vorgehen so als einen gangbaren Weg akzeptieren, bleibt vorerst abzuwarten.

Stand 09/2020

Wenn Windows 10 – dann unbedingt die Education Version

Lesezeit: 2 Minuten

Im Januar 2020 stellte Microsoft, wie lange vorher angekündigt, endgültig den Support von Windows 7 ein1Microsoft bietet Kunden allerdings noch bis zu  3 Jahre die Möglichkeit, Updates gegen Gebühr zu erhalten. Problematisch ist jedoch, dass mit der Zeit immer mehr Software nicht mehr sicher auf Windows 7 laufen wird, da die Hersteller den Support ihrer Software für das veraltete System einstellen werden. Dazu gehören auch Virenscanner – siehe auch Windows-7-Support-Ende: Rund 500 Millionen PCs unsicher; abgerufen am 01.02.2020. Schulen, welche dieses mittlerweile über 10 Jahre alte Betriebssystem in Verwaltung und pädagogischem Netz nutzten, sind in der Regel direkt auf Windows 10 umgestiegen, um weiterhin sicher arbeiten zu können. Als dann im letzten Jahr Meldungen aufkamen, dass Windows 10 aufgrund der an Microsoft übermittelten Telemetriedaten nicht datenschutzkonform betrieben werden könne, war die Unsicherheit groß. Im nun vorliegenden 9. Tätigkeitsbericht des Bayerischen Landesamts für Datenschutzaufsicht für das Jahr 2019 wird jetzt Entwarnung gegeben. Eine von der Datenschutzkonferenz beauftragte Arbeitsgruppe unter Leitung des Bayerischen Landesbeauftragten für den Datenschutz führte im Dezember 2019 unter Beteiligung von Microsoft Mitarbeitern eine Laboranalyse von Windows 10 durch. Getestet wurde die Windows 10 Enterprise Edition (Version 1909). Mit Hilfe der von Microsoft offiziell zur Verfügung gestellten Informationen und Tools wurde das System auf das Telemetrielevel “Security” eingestellt.

Im Ergebnis konnte so der Nachweis erbracht werden, dass die Übermittlung von Telemetriedaten an Microsoft erfolgreich unterbunden werden kann.2Wie im Bericht erwähnt, wurden in der Konfigurationeinstellung aus Sicherheitsgründen nicht sämtliche Datenabflüsse unterbunden, auch wenn dieses technisch möglich ist. Siehe Seite 22 im Bericht. Im Bericht lautet das Fazit deshalb:

Vom Ergebnis konnte bei diesem Treffen in unserem technischen Labor festgestellt werden, dass die datenschutzrechtlich kontrovers diskutierten Telemetriedaten bei Einsatz der Enterprise Version (und damit auch bei der Education-Version) im überprüften Szenario deaktivierbar sind.

Der Labortest von Windows 10 Enterprise fand unter kontrollierten Bedingungen statt. Im schulischen Alltag findet die Nutzung jedoch in der Regel in einer verwalteten Umgebung statt, da die Windows PCs Teil eines Netzwerks sind. Deshalb ist die Aussage des Bayerischen Landesbeauftragten für den Datenschutz mit einer kleinen Einschränkung versehen.3Es gibt genau genommen noch eine weitere Einschränkung. Die Aussagen im Bericht beziehen sich nur auf das Thema Telemetriedaten. Etwaige andere Datenschutzprobleme, die bei einer Nutzung von Windows 10 auftreten können, sind dabei nicht berücksichtigt. Damit sichert sich der Bayerische Landesbeauftragte für den Datenschutz rechtlich ab.

Sollte sich dieses Ergebnis beim realen Einsatz von Windows 10 bei Unternehmen bestätigen, dann stellt zumindest der Umgang mit Telemetriedaten bei Windows 10 Enterprise (auch in verwalteten Umgebungen) keinen datenschutzrechtlichen Hinderungsgrund eines Einsatzes dieses Betriebssystems dar.

Man dürfte aber wohl davon ausgehen können, dass bei fachmännisch administrierten Windows 10 Education PCs das Laborergebnis replizierbar ist.

Was bedeutet das für Schulen?

Schulen, die Windows 10 einsetzen oder auf diese Version wechseln wollen, müssen eine Education Version nutzen und zwar in der Version 19094Man sollte davon ausgehen können, dass auch künftige Versionen die gleichen Möglichkeiten bieten werden, die Übermittlung von Telemetriedaten an Microsoft zu unterbinden. und müssen diese mittels der von Microsoft bereitgestellten Informationen und Tools auf das Telemetrielevel “Security” einstellen. Nur dann ist es möglich, die Übermittlung von Telemetriedaten an Microsoft datenschutzkonform zu unterbinden.

Lizenzrechtlich ist es zulässig, Windows 10 Education sowohl im pädagogischen Bereich wie auch der schulischen Verwaltung zu nutzen5Siehe dazu das PDF Microsoft-Berechtigungskriterien für Qualifizierte Nutzer für Forschung & Lehre (EMEA).pdf; abgerufen am 01.02.2020. Dort werden auch “Verwaltungsbüros einer Ausbildungseinrichtung” als berechtigt aufgeführt. .

Auch beim Einsatz von Microsoft 365 (ehemals Office 365), für welches es bisher leider noch keine vergleichbaren Aussagen der Aufsichtsbehörden gibt, ist für Schulen dringend die Nutzung von Education Versionen zu empfehlen. Genau wie bei Windows 10 bieten nur diese Versionen – neben Enterprise Versionen – die umfangreichsten Möglichkeiten, Einfluss auf die Datenabflüsse an Microsoft zu nehmen. Hinzu kommt noch, dass Microsoft bei den Education Versionen zusätzliche Versicherungen abgibt, Nutzungsdaten nicht zur Profilbildung zu Werbezwecken zu verwenden.

Update 1

Vom Dezember 2020 gibt es bei Heise einen Bericht zum aktuellen Stand der Arbeit der DSK – Datenschützer: Windows-10-Nutzer bei Telemetrie nicht aus dem Schneider. Demnach sind die beiden Versionen Home und Pro weiterhin nicht ohne Übermittlung von Telemtriedaten nutzbar. Die Win 10 Pro Version wird auch in schulischen Verwaltungen eingesetzt. Zu empfehlen ist das nicht. Schulen haben es oftmals nicht in der Hand, da der Schulträger oder der von diesem beauftragte IT Dienstleister die Windows Version bestimmt. Hier sollten Schulleiter deutlich Einspruch erheben.

Update 2

Das BSI stellt seine Sicherheitseinstellungen für Windows 10 jetzt öffentlich zur Verfügung.

Die empfohlenen Konfigurationseinstellungen gibt es als direkt in Windows importierbare Gruppenrichtlinienobjekte (GPO) zum Download.

Stand 05/2021

EU-US Privacy Shield auf der Kippe und für Schulen wird nichts besser

Lesezeit: 2 Minuten

Der EU-US Privacy Shield, der Nachfolger des Safe Harbour Agreements, bietet US amerikanischen Anbietern wie Microsoft, Google, Apple und Amazon die Möglichkeit, europäischen Nutzern Garantien für die Sicherheit von personenbezogenen Daten anzubieten, welche auf US Servern verarbeitet werden. Bei großen weltweit agierenden Anbietern ist es normal, dass man ein über die Welt verstreutes Netzwerk (CDN) an Servern hat. Wichtige Server stehen dort, wo die Firmen ihre Zentralen haben, in den USA.

Die Übermittlung von Daten in Länder außerhalb der EU ist aus datenschutzrechtlicher Sicht ein komplexes Thema, denn es geht um Schutzniveaus und Garantien, dass die personenbezogenen Daten europäischer Bürger in diesen Drittstaaten sicher sind und auf einem der EU vergleichbaren Datenschutzniveau verarbeitet werden. Es geht um Sicherheit vor Missbrauch der Daten und unberechtigten Zugriffen. Dank des EU-US Privacy Shields ist es aktuell recht einfach, die Dienste der genannten Anbieter in Anspruch zu nehmen, wenn man den Anbietern selbst vertraut. In der Regel sind große Anbieter zusätzlich von unabhängigen Instanzen zertifiziert und man unterzeichnet darüber hinaus noch Standardvertragsklauseln.

Für Schulen ist der unterrichtliche Einsatz von Angeboten, welche die Nutzung US amerikanischer Server mit einschließen, Angeboten wie Office 365 mit der Cloud von Microsoft, G-Suite for Education von Google und iCloud von Apple auch trotz EU-US Privacy Shield nicht ohne Probleme. Bis auf Ausnahmen1z.B. LDI Hessen für Office 365 mit  der (Deutschland) Cloud und LDI RLP für G-Suite for Education (ohne personenbezogenen Daten). sprechen die Aufsichtsbehörden der Bundesländer keine Empfehlungen für Schulen aus, dass sie eines der genannten Produkte ohne Bedenken mit Nutzerkonten mit Klarnamen und weiteren personenbezogenen Daten der Schüler im Unterricht nutzen können. Für sie gibt es, trotz EU-US Privacy Shield und zusätzlichen Selbstverpflichtungen zu viele ungeklärte Fragen.

Am 11. Juni 2018 hat man in Brüssel festgestellt, dass das EU-US Privacy Shield keinen ausreichenden Schutz für die personenbezogenen Daten von EU Bürgern garantiert. Nun soll die europäische Kommission das Abkommen auf Eis legen, sollten die USA nicht bis zum 1. September Garantien bieten, welche den Vorgaben der DS-GVO entsprechen. Darüber hinaus steht wohl auch noch eine Entscheidung des europäischen Gerichtshofs (EuGH) zu den Standardvertragsklauseln an. Experten sind sich aktuell unsicher, wie das alles enden wird.

Fakt ist jedoch: sollten das EU-US Privacy Shield und/oder die Standardvertragsklauseln kippen und es gibt keine neuen vertraglichen Regelungen zwischen den USA und der EU, dann wird es für Schulen noch schwieriger, eventuell sogar unmöglich, manche Produkte der großen Anbieter zu nutzen. Und nicht nur das. Selbst nicht US Anbieter unterhalten oft in den USA Datenzentren und Niederlassungen, da dort einer ihrer größten Märkte ist. Andere Anbieter nutzen die Serverdienste von Amazon (AWS) und Google, da sie selbst keine eigenen Server haben.2Die Problematik geht eigentlich sogar noch weiter, denn auch die großen Betriebssystem, von Linux einmal abgesehen, kommen ohne Datenfluss zu und von US Servern nicht aus, wenn es um Updates geht, um anonymisierte Nutzungsdaten, die Zugriffe von Apps usw.

Fazit: Was ohnehin schon problematisch ist, wir womöglich noch problematischer werden.

Alles könnte einfacher:  Es gäbe einfache Auswege. Schulen könnten problemlos Angebote wie Collabora Office, Nextcloud und ähnlich nutzen, um vergleichbare Funktionalitäten für den Einsatz im Unterricht zu erhalten. In vielen Kommunen sieht man jedoch eine Dominanz von Microsoft Produkten, denn diese sind in den kommunalen Verwaltungen im Einsatz, werden von den kommunalen Dienstleistern unterstützt und von Wirtschaftsbetrieben vor Ort an den Schulen favorisiert. Vielleicht ist es an der Zeit, den Schalter umzulegen und auf andere Lösungen zu setzen. Die Vergangenheit zeigt, dass es für Schulen aus datenschutzrechtlicher Sicht problematisch ist, auf die großen Anbieter zu setzen.

Die Zukunft des EU-US Privacy Shields und der Standardvertragsklauseln sind zur Zeit ungewiss. Es bleibt abzuwarten, was passiert.