Schlagwort: Microsoft 365

Veröffentlicht am

Microsoft Copilot in MS365 Edu – Datenschutzfragen

Lesezeit: 7 Minuten

Aufsichtsbehörden sehen Microsoft 365 weiterhin kritisch und gehen davon aus, dass eine datenschutzgerechte Nutzung den Abschluss einer Zusatzvereinbarung in Anlehnung an die von sieben Aufsichtsbehörden erarbeitete Handreichung erfordert. An vielen Schulen wird Microsoft 365 seit Jahren genutzt und Schulen halten daran fest, auch wenn es im Bildungsbereich bisher noch keine Zusatzvereinbarung gibt. Copilot ist mittlerweile ein Bestandteil von Microsoft 365 und steht dort in Abhängigkeit von der Lizenz des Tenants mit unterschiedlichem Funktionsumfang zur Verfügung. An vielen Schulen fragt man sich, ob es möglich ist Copilot im Unterricht einzusetzen, um so Extrakosten für Lizenzen bei Anbietern wie fobizz, SchulKI, Paddy, FellowFish und ähnlich zu vermeiden?

Der Beitrag erklärt die Unterschiede zwischen Copilot-Versionen, ordnet rechtliche Vorgaben ein und zeigt anhand von Beispielen aus Deutschland und Nachbarländern, wie Behörden und andere Player reagieren. Am Ende wird aufgezeigt, wie der aktuelle Stand im Bildungsbereich einzuschätzen ist und welche Leitplanken Schulen derzeit beim Einsatz von Copilot berücksichtigen sollten.

Grundsätzliches

Es gibt diverse Copilot Funktionen von Microsoft und es gelten unterschiedliche Datenschutzbedingungen.

Copilot innerhalb von Microsoft 365 und Consumer Version

Zu unterscheiden ist innerhalb von Microsoft 365

  • Copilot Chathttps://m365.cloud.microsoft/chat/ – verfügbar für Schüler und Lehrkräfte
  • Copilot als Bestandteil von Word, Excel, PowerPoint, Outlook, Teams, OneNote – verfügbar als kostenpflichtiges Add-on, jedoch nur für Lehrkräfte in den entsprechenden A3 und A5 Lizenzen

Außerhalb von Microsoft 365 gibt es noch Copilot über Browser und Apps

  • Copilot Apps – mobile Apps für iOS und Android: „Microsoft Copilot“.

Microsoft beschreibt die Unterschiede in der Benennung der Copilot-Versionen wie folgt:

“Seit Januar 2025 haben die Erfahrungen für die Copilot Arbeit und den persönlichen Gebrauch nicht mehr den gleichen Namen:

  • Microsoft 365 Copilot Chat (im Web verankert) und Microsoft 365 Copilot (basiert auf Web- und Arbeitsdaten) sind für Arbeit und Bildung vorgesehen.
  • Microsoft Copilot ist für den persönlichen Gebrauch”

Altersfreigaben/ – beschränkungen

Microsoft hat im Mai 2025 offiziell bekanntgegeben, dass Copilot Chat in Microsoft 365 Education für Schülerinnen und Schüler ab 13 Jahren verfügbar ist.

Die Consumer-Version von Copilot für den privaten, nicht-schulischen Gebrauch ist dagegen erst ab 18 Jahren nutzbar und in einigen EU-Ländern bereits früher. Da Deutschland keine eigene Regelung zur Einwilligungsfähigkeit nach Art. 8 DS-GVO getroffen hat, gilt hier ein Mindestalter von 16 Jahren für die wirksame Einwilligung. Unterhalb dieser Grenze ist die Nutzung nur mit Einwilligung der Sorgeberechtigten rechtmäßig. Der Einsatz der Consumer-Version im schulischen Kontext ist datenschutzrechtlich ausgeschlossen.“

Webzugriff in Copilot

Microsoft  sagt:

Wenn Sie die Richtlinie Websuche in Copilot zulassen nicht konfigurieren, ist die Websuche für Benutzer sowohl in Microsoft 365 Copilot als auch im Chat standardmäßig verfügbar, es sei denn, Sie legen die Richtlinie Verwendung zusätzlicher optionaler verbundener Umgebungen in Office zulassen auf Deaktiviert fest. Das Deaktivieren optionaler verbundener Erfahrungen schränkt jedoch Microsoft 365 Copilot Chat, Microsoft 365 Copilot und mehrere Benutzeroberflächen in Microsoft 365 ein.

Das bedeutet: sobald CoPilot über die Web-Schnittstelle mit Bing kommuniziert, verlässt der Datenfluss diesen geschützten Raum. Microsoft selbst weist in seiner Dokumentation darauf hin, dass für Web-Suchanfragen andere Bedingungen gelten können und diese z.B. nicht von der EU Data Boundary abgedeckt sind. Da unklar ist, welche Daten Microsoft in diesem Zusammenhang verarbeitet, werden die Zusagen für den Edu-Bereich damit vermutlich unterlaufen. Schulen sollten, wenn Copilot für Schülerinnen und Schüler zur Verfügung gestellt wird, den Webzugriff mandantenweit deaktivieren.

Wie ist die Verbindung von Microsoft Copilot zu OpenAI ChatGPT?

Microsoft besitzt große Anteile von OpenAI und hat dadurch Zugriff auf die LLM von OpenAI, aber die OpenAI-Modelle laufen innerhalb von Microsofts Azure-Infrastruktur. Das bedeutet, es handelt sich um eigene Instanzen des KI-Systems. Nutzerdaten bzw. -eingaben werden nicht für Trainingszwecke genutzt. Es gibt zwischen den von Microsoft betriebenen OpenAI-Modellen und den von OpenAI selbst betriebenen ChatGPT Modellen keine technische Verbindung und auch keinen Austausch von Daten.

  • Copilot läuft über Azure OpenAI Service, abgesichert durch Microsofts Verträge und EU-Data-Boundary.
  • ChatGPT ist der direkte OpenAI-Dienst, ohne die Microsoft-Schutzschicht – deshalb für Schulen/Behörden datenschutzrechtlich nicht nutzbar (ohne zwischengeschaltete API durch Anbieter wie fobizz, SchulKI, Paddy, FellowFish, …).

Zugriff auf Daten

Copilot Chat arbeitet nur mit den Prompts, die der Nutzer direkt eingibt (z. B. Fragen, hochgeladene Dateien).

Das Copilot Add-on kann innerhalb der Microsoft 365 auf alle Dokumente zugreifen, die ein Nutzer erstellt hat oder auf die er Zugriff hat/ die für ihn freigegeben sind. Copilot Chat hat keinen Zugriff auf OneDrive/SharePoint/Graph-Daten. Nur das Add-on nutzt die Microsoft Graph-Integration. Copilot sieht nur das, was auch der Nutzer sehen darf (Berechtigungen werden nicht umgangen). 

Datenschutz

Für Copilot außerhalb von Microsoft 365 gelten die Datenschutzstandards für Privatnutzer. Diese sind mit den datenschutzrechtlichen Vorgaben für Schulen nicht vereinbar. Das bedeutet, Versionen außerhalb von Microsoft 365 können im Unterricht auf gar keinen Fall mit Schülerinnen und Schülern genutzt werden. Die Nutzung ist vergleichbar einer direkten Nutzung von ChatGPT, Gemini, Claude und DeepSeek.

CoPilot Chat ist zwar vergleichbar einer direkten Nutzung von KI-Plattformen wie den zuvor genannten, doch es gibt wichtige Unterschiede.

  • Copilot Chat in Microsoft 365 Edu unterliegt den gleichen Datenschutzstandards, wie sie für die anderen in der Plattform enthaltenen Dienste (Word, Excel, PowerPoint, Teams, OneNote, …) gilt, da CoPilot Chat ein Core-Service ist, ein eigenständiger Dienst und damit nicht zu den problematischen optionalen verbundenen Erfahrungen zählt.
  • Als Core-Service gilt für Copilot Chat der Enterprise-Datenschutz und es fällt unter die EU Data Boundary. Letzteres ist wichtig, da Microsoft  so zusichert, dass sämtliche Daten ausschließlich innerhalb der EU verarbeitet werden.

Innerhalb des Nutzerkontos können Nutzer ihren Copilot Aktivitätsverlauf löschen.1Die Einstellung findet sich unter:  https://myaccount.microsoft.com/settingsandprivacy/privacy Die Löschung betrifft Microsoft Copilot Chat und auch die Aktionen von über Add-on verfügbaren Copilot Funktionen in Word, Excel, … Mit Copilot erstellte und bearbeitete Inhalte werden nicht gelöscht.

Was man noch wissen sollte

Berlin

In Berlin stellte zum Schuljahr 2024/25 allen Lehrkräften Copilot zur Verfügung:

Als eines der ersten Bundesländer bietet Berlin seinen Lehrkräften jetzt ein datenschutzkonformes KI-Tool an. 💻📱Mit Copilot, dem KI-Assistenten von Microsoft, wird alles digitaler, einfacher und kreativer. Die Anwendung nutzt ausschließlich öffentliche Webdaten und schützt dabei die Privatsphäre. Es unterstützt Pädagoginnen und Pädagogen im Unterrichtsalltag bei einer Vielzahl von Aufgaben:

➡️ schnell im Netz recherchieren

➡️ Unterrichtsmaterialien mit Bildern erstellen

➡️ Routineaufgaben, wie Terminplanung und Dokumentenerstellung, automatisieren

„Mit Copilot ermöglichen wir an unseren Schulen Unterricht auf der Höhe der Zeit. Um alle Pädagoginnen und Pädagogen auf diesem Weg mitzunehmen, haben wir zum neuen Schuljahr eine Fortbildungsreihe zum Umgang mit KI an unseren Schulen gestartet.2Quelle: https://www.linkedin.com/posts/senbjf_copilot-ki-k%C3%BCnstlicheintelligenz-activity-7254427341001560065-7324/?originalSubdomain=de

Von der Berliner Aufsichtsbehörde wurde das kritisch gesehen, da sie nicht vorab beteiligt worden war.

Die Berliner Senatsverwaltung hatte Copilot Chat in Edge zur Verfügung gestellt und gibt dazu an:

    • …. dass “durch die Einführung von Microsoft Copilot in Edge im  Unternehmensdatenschutz keine weiteren personenbezogenen Daten verarbeitet werden als diejenigen durch die Einführung der MEG [mobilen Endgeräte], …”
    • “Von den Nutzenden dürfen keine personenbezogenen Daten in Microsoft Copilot eingegeben werden.
    • Die Kl darf auch nicht für Bewertungen oder die Kontrolle von Prüfungen eingesetzt werden.”
    • “Datenschutzfilter: Es kommen Filter zum Einsatz, die verhindern, dass sensible persönliche Informationen verarbeitet werden. Zum Beispiel ist es nicht möglich, persönliche Informationen anzugeben oder abzufragen.”3Quelle: https://fragdenstaat.de/anfrage/einfuehrung-von-microsoft-copilot-in-schulen/956810/anhang/319764-name-antwort_geschwaerzt.pdf

Niedersachsen

In Niedersachsen hatte man in enger Abstimmung mit der Aufsichtsbehörde eine Zusatzvereinbarung mit Microsoft getroffen, welche es öffentlichen Stellen (gemeint ist hier Verwaltungen) erlaubt Microsoft Teams zu nutzen. In diesem Kontext testet die Landesverwaltung seit März 2025 in mehreren Ressorts Copilot.4Quelle: https://www.it.niedersachsen.de/startseite/it_news/aktuelles/ki-assistent-fur-die-verwaltung-it-niedersachsen-testet-microsoft-365-copilot-chat-240173.html

Schweiz Kanton Zürich

Der Kanton Zürich hat darauf reagiert, dass Lehrkräften nun Copilot als Basisdienst zur Verfügung steht und nicht mehr zentral deaktivierbar ist. Nach einer internen datenschutzrechtlichen Prüfung entschied, dass Copilot von den Lehrpersonen genutzt werden darf. Die Schule trägt dabei jedoch die Verantwortung für die korrekte Nutzung von Copilot durch die Lehrpersonen. Schulen werden Hinweise gegeben, welche Regeln bei der Nutzung zu beachten sind, auch mit Blick auf Datenschutz.5Quelle: https://help.mba.zh.ch/images/Projekt_GenKI/Merkblatt_zu_Microsoft_Copilot.pdf

Niederlande

Die Niederlande sind bekannt für ihre Vorreiterrolle in Sachen Datenschutz. Sie konnten in der Vergangenheit erfolgreich durch Datenschutz-Folgenabschätzungen Mängel in großen Plattformen wie Microsoft 365 und Google Workspace for Education nachweisen und dann jedoch durch Verhandlungen mit den großen Anbietern Veränderungen erwirken, welche in Folge eine datenschutzfreundliche Nutzung der Plattformen durch Behörden und Schulen ermöglichte. Die zentralen Akteure im niederländischen Bildungssektor, SURF und SIVON, raten derzeit dringend von der Nutzung von Microsoft 365 CoPilot ab. Wie in vergangenen Fällen hatte SURF6Quelle: https://www.surf.nl/nieuws/advies-gebruik-microsoft-365-copilot-vooralsnog-niet-vanwege-privacyrisicos hier Privacy Company im Januar 2024 mit einer Datenschutz-Folgenabschätzung (DSFA/ DPIA)7Quelle: https://www.surf.nl/files/2024-12/20241218-dpia-microsoft-365-copilot.pdf beauftragt und dann im Dezember 2024 nach Veröffentlichung der Untersuchungsergebnisse dazu geraten, Microsoft 365 Copilot wegen Datenschutzrisiken vorerst nicht zu verwenden. In Bezug auf Datenschutz kritisierte man u.a. fehlende Transparenz und auch das Risiko falscher Daten.

Man sollte beachten, dass sich seit der DSFA in den Niederlanden Anfang 2024 eine Menge getan hat, was Microsoft Copilot angeht. Microsoft hat an vielen Stellen nachgebessert, technisch wie auch in Bezug auf die Dokumentation und vertragliche Anpassungen.8Siehe hierzu die von Raphael Koellner dokumentierten Updates: https://www.rakoellner.de/?s=copilot Ob die in der DSFA festgestellten Mängel weiterhin Bestand haben oder von Microsoft erfolgreich beseitigt wurden, dazu gibt es von Seiten von SURF bisher keine Informationen.

Wo stehen wir aktuell

Es ergibt sich aus dem, was öffentlich dokumentiert ist, kein einheitliches Bild.

  • Festzuhalten ist, dass die derzeit offiziell bekannten schulischen Einsatzbereiche von Copilot auf Lehrkräfte beschränkt sind und nur für Tätigkeiten gestattet sind, die keine personenbezogenen Daten enthalten. Eine Nutzung durch Schulministerien/ Bildungsverwaltungen oder Aufsichtsbehörden sanktionierte Nutzung durch Schülerinnen und Schüler ist nicht bekannt.
  • Werden KI-Anwendungen durch Bundesländer über Landeslizenzen bereitgestellt, dann geht es bisher immer um über API vermittelte Angebote wie fobizz, SchulKI, Paddy, FellowFish und Ähnliche, jedoch nicht um direkt genutzte Plattformen (auch wenn das bei einer EU KI wie Mixtral durchaus denkbar wäre mit Blick auf Datenschutz).
  • Microsoft selbst lässt eine Nutzung von Copilot in Microsoft 365 Education ab 13 Jahren zu verweist jedoch auf die rechtlichen Vorgaben im jeweiligen EU Land.
  • Wenn Schulen Copilot für ihre Schülerinnen und Schüler freigeben, sollte der Webzugriff von Copilot zentral deaktiviert werden, um mit der Nutzung innerhalb der Datenschutzbestimmungen/ -zusagen für den Bildungsbereich zu bleiben.
  • Die Nutzung von Copilot in Microsoft 365 ist immer auch im Kontext der insgesamt von den Aufsichtsbehörden als problematisch eingeschätzten Nutzung von Microsoft 365 zu sehen. Es bewegt sich hier in verschiedenen Bundesländern etwas, indem Zusatzvereinbarungen mit Microsoft abgeschlossen werden, die sich an der Handreichung der sieben Aufsichtsbehörden orientieren. In Hessen ist man von Seiten der Aufsichtsbehörde bemüht, hier auch zu einer entsprechenden Regelung für den Bildungsbereich zu kommen.
  • Man kann davon ausgehen, dass bei Zustandekommen einer Zusatzvereinbarung mit Microsoft für den Bildungsbereich in einem Bundesland, andere Bundesländer folgen werden. Copilot wäre dann ziemlich sicher mit der genannten Einschränkung auch für Schüler verfügbar.
  • Schulen, die aktuell Microsoft 365 nutzen, können davon ausgehen, dass sich die datenschutzrechtliche Lage für sie nicht ändert, wenn sie im Unterricht Copilot mit zentral deaktiviertem Webzugriff für Copilot einsetzen und sich an die Altersfreigabe halten.
  • Bezüglich dessen, was im Unterricht möglich ist, kann man mit Copilot alles machen, was ein LLM ohne den Webzugriff kann. Inhaltlich ist Copilot dabei jedoch immer nur auf dem Stand der letzten Trainingsdaten des aktuell bereitgestellten Modells. Es gelten die gleichen Regeln wie bei jeder KI-Plattform bezüglich der Verwendung von personenbezogenen oder -beziehbaren Daten in Prompts. Diese sollten vermieden werden, um mögliche Risiken auszuschließen. Es empfiehlt sich eine KI Nutzungsordnung zu erstellen und durch die schulischen Mitbestimmungsgremien verabschieden zu lassen sowie mögliche Risiken, welche aus der Nutzung einer KI-Plattform entstehen können, im Rahmen der Medienbildung zu thematisieren.

 Stand August 2025

Veröffentlicht am

Microsoft 365 – Stand Februar 2023

Lesezeit: 5 Minuten
Hinweis: Bitte beachten Sie auch die geänderten FAQ zu MS365 des MSB NRW. Weitere Infos dazu unter Änderungen in den FAQ Datenschutz beim MSB NRW

Die Nutzung von Microsoft 365 ist schon seit Jahren eine Hängepartie für Schulen. Permanent scheint das Ende nahe. Die Position der LDI NRW zur schulischen Nutzung von Microsoft 365 ist durch verschiedene Veröffentlichungen und Äußerungen bekannt. Die letzte Aussage in schriftlicher Form stammt von Oktober 2022 aus der Schrift  Digitaler Unterricht in Schulen – Der Grundstein ist gelegt.

Im November veröffentlichte dann die Datenschutzkonferenz (DSK) ihre Bewertung, die anders als 2020 einstimmig von allen Aufsichtsbehörden so beschlossen wurde. Ergebnis der Bewertung war, dass Schulen Microsoft 365 nicht datenschutzkonform nutzen können, da die Schulleitungen als Verantwortliche nach Einschätzung der DSK aufgrund fehlender Informationen durch Microsoft nicht in der Lage sind, ihrer Rechenschaftspflicht nach Art. 5 Abs. 2 DS-GVO nachzukommen. Man sieht darüber hinaus auch Mängel bezüglich des Vertrags zur Auftragsverarbeitung, den Schulen mit Microsoft abschließen.1Siehe dazu auch Warum die Datenschutzkonferenz MS365 in Schulen nicht für nutzbar hält

Was bedeutet diese Entwicklung nun für die Schulen in NRW?

Im Beitrag Warum die Datenschutzkonferenz MS365 in Schulen nicht für nutzbar hält im News Bereich dieser Website wird beschrieben, welche Möglichkeiten der Aufsichtsbehörde NRW zur Verfügung stehen, wenn sie Schulen gegenüber Konsequenzen aus der Bewertung der DSK folgen lassen will. Doch müssen Schulen jetzt damit rechnen, dass die Aufsichtsbehörde nachforscht, ob man Microsoft 365 nutzt und dass in Folge eine Nutzung möglicherweise untersagt wird, falls man nicht von sich aus auf eine andere Lösung wechselt?

Aktuell deutet nichts darauf hin, dass die Aufsichtsbehörde des Landes NRW von ihrer bisherigen Linie abweichen wird. Sie hat im letzten Jahresbericht wie auch in der oben erwähnten Schrift – ohne Namen zu nennen – öffentlich kundgetan, dass sie eine datenschutzkonforme Nutzung von Microsoft 365 und vergleichbaren Plattformen nicht für möglich hält, jedoch nicht den Weg der Verbote gehen, sondern mit Überzeugung arbeiten möchte. So weit wie etwa der LfDI Thüringen, der dieses auch medienwirksam in die breite Öffentlichkeit trägt und dort ankündigt, wie man nun weiter verfahren möchte, ist die LDI NRW bisher nicht gegangen. Äußerungen aus ihrem Haus lassen dergleichen auch nicht erwarten.

Die LDI NRW hat aktuell demnach nicht vor, Microsoft 365 aus allen Schulen des Bundeslandes zu verbannen. Sie wird jedoch auf jeden Fall Beschwerden von Betroffenen nachgehen und an diesen Schulen Verfahren in Gang setzen. Dazu verpflichtet sie die DS-GVO. Welche Aspekte dann letztlich im Fokus des aufsichtsbehördlichen Verfahrens stehen, kann von Fall zu Fall unterschiedlich sein. Es ist aber damit zu rechnen, dass die Aufsichtsbehörde betroffene Schule auch bezüglich der Erfüllung ihrer Rechenschaftspflichten gem. Art. 5 Abs. 2 DS-GVO um Auskunft bitten wird. Die Schule muss dann je nach Fall nachweisen, wie sie die Vorgaben der DS-GVO wie auch des Schulgesetzes durch geeignete technische und organisatorische Maßnahmen einhält und auch ihren Rechenschaftspflichten nachkommt. Ist die Schule dann nicht in der Lage, eine DS-GVO konforme Nutzung der Plattform nachzuweisen, bzw. ihren Rechenschaftspflichten nachzukommen, hätte die Schule nur zwei Optionen. Sie ließe sich überzeugen, die Nutzung von Microsoft 365 aufzugeben, oder riskierte eine Untersagung.

Wie sollten Schulen sich verhalten?

Was tun, wird man sich an vielen Schulen und auch bei vielen Schulträgern nun fragen? Macht es für Schulträger Sinn, bestehende Lizenzen zu verlängern? Ist es für Schulen sinnvoll, die Nutzung von Microsoft 365 fortzusetzen und gegebenenfalls sogar noch auszuweiten?

Die schulische Nutzung von Microsoft 365 ist aus Sicht der DSK problematisch und die LDI NRW teilt diese Haltung. Allerdings ist die Bewertung der DSK nicht unumstritten2Siehe z.B. Microsoft 365: Microsoft bewegt sich, die Datenschützer mauern unverhältnismäßig auf Heise. und Microsoft arbeitet weiter daran, den Anforderungen der Aufsichtsbehörden bezüglich der Transparenz und Gestaltung der datenschutzrechtlichen Verträge zu entsprechen. Ergänzend dazu stellt Microsoft zum Jahresende die EU Data-Boundary bereit, welche es Verantwortlichen ermöglicht, nahezu alle Daten in der EU zu verarbeiten.3Ob Schulen oder ihre Schulträger hier tätig werden müssen, um die Datenverarbeitung in ihren Tenants auf die EU Data-Boundary umzustellen, ist bei Microsoft angefragt Microsoft hat auf die neuen Standardvertragsklauseln (Standard Contractual Clauses, SCC) umgestellt und das Data Processing Addendum4siehe hierzu den Beitrag Neues Data Processing Addendum von Microsoft von September 2022 ist automatisch für alle Kunden gültig.5Im DPA heißt es hierzu: “Microsoft geht die in diesem DPA beschriebenen Verpflichtungen gegenüber allen Kunden mit Volumenlizenzverträgen ein. Diese Verpflichtungen sind für Microsoft in Bezug auf den Kunden bindend, unabhängig (1) von den Produktbestimmungen, die ansonsten für ein bestimmtes Produktabonnement oder eine Lizenz gelten, und (2) von anderen Verträgen, die auf die Produktbestimmungen verweisen.” Quelle unter https://wwlpdocumentsearch.blob.core.windows.net/prodv2/MicrosoftProductandServicesDPA(WW)(German)(Sept2022)(CR).docx Entlastung werden darüber hinaus, wenn auch vielleicht nur vorübergehend, die Executive Order des US Präsidenten und der geplante Angemessenheitsbeschluss durch die EU Kommission bringen. Man kann aktuell davon ausgehen, dass die LDI NRW sich nicht ohne einen konkreten Anlass bezüglich einer schulischen Nutzung von Microsoft 365 melden wird.

Solange man nicht davon ausgeht, dass die Aufsichtsbehörden nicht anders können, als bei Microsoft 365 jeden Missstand und sei er auch noch so gering, zu suchen, zu bemängeln und daraus eine Nichtnutzbarkeit für Schulen abzuleiten, sollte sich die Lage tendenziell weiter entspannen. Microsoft bessert beständig nach. Die Zeit arbeitet letztlich für Schulen, welche die Plattform nutzen.

Schulen, die weiterhin auf Microsoft 365 setzen wollen, werden die Dinge in den meisten Fällen einfach auf sich zukommen lassen und abwarten wie die Lage sich entwickelt. Sie sollten allerdings nicht bloß darauf vertrauen, dass die Lage sich früher oder später zu ihren Gunsten entwickelt dürfte, sondern sich proaktiv kritisch mit ihrer Nutzung der Plattform auseinandersetzen. Dazu gehört eine Erfassung aller Verarbeitungen, welche die Schule in der Plattform durchführt. Wer nutzt die Plattform zu welchen Zwecken und verwendet dabei welche Daten?6Dieses würde man zweckmäßig in einem Verzeichnis der Verarbeitungstätigkeiten gem. Art. 30 DS-GVO festhalten, sofern noch nicht geschehen. Zu prüfen wäre hier auch, ob die Plattform eventuell für die Verarbeitung von personenbezogenen Daten genutzt wird, die dort aus Sicherheitsgründen nicht verarbeitet werden sollten. Das wären beispielsweise Zeugnisse, Gutachten, Beurteilungen, Notenlisten, Protokolle von Klassenkonferenzen, Unterlagen zu AO-SF Verfahren und ähnlich. Kontrolliert werden sollte auch, ob die Schule alle technischen und organisatorischen Maßnahmen getroffen hat, mit denen sich mögliche hohe Risiken für Betroffene bei der unterrichtlichen Nutzung von Microsoft 365 ausreichend mindern lassen, um eine Nutzung vertreten zu können.

Als Hilfe für die Überprüfung und anschließende Anpassung bietet sich eine Datenschutz Folgenabschätzung an. eine Vorlage dafür haben im Februar 2023 zwei Fachjuristen unter Creative Commons Lizenz veröffentlicht.7Weitere Informationen dazu unter Kostenlose Vorlage für eine Datenschutz Folgenabschätzung für Microsoft 365 für Schulen Welche Maßnahmen dafür in Frage kommen, wurde bereits von verschiedenen Stellen online dokumentiert. Auch die oben genannte Vorlage führt einige Maßnahmen auf. Einige der für die dort beschriebenen Maßnahmen erforderlichen administrativen Konfigurationen stehen nicht in allen Versionen von MS365 zur Verfügung. Vor allem in der kostenlosen A1 Version sind die Steuerungsoptionen von Datenflüssen und Sicherheitsmaßnahmen wie auch Sicherheitsfunktionen nur eingeschränkt oder gar nicht verfügbar.

Zu möglichen technischen Maßnahmen gehören beispielsweise:

  • Telemetrieerfassung in installierten Anwendungen auf die niedrigste Stufe “Weder noch” setzen,
  • Zugriff auf Anwendungen von Drittanbietern im App Store in Teams deaktivieren,
  • zusätzliche optionale Connected Experiences in Micorosft 365 deaktivieren,
  • die meisten Funktionen in Teams Analytics & Reports deaktivieren und Pseudonymisierungsoption einschalten,
  • Viva Advanced Insights nicht aktivieren,
  • in Teams für alle Meetings und Chats Ende-zu-Ende Verschlüsselung aktivieren, sobald von Microsoft zur Verfügung gestellt,
  • Nutzung von Bring-your-own key, idealerweise mit einem eigenen Key-Server,

Zu möglichen organisatorische Maßnahmen gehören beispielsweise:

  • Nutzung von pseudonymisierten Zugangsdaten, etwa mit Buchstaben von Vor- und Nachnamen,
  • Anweisung für Lehrkräfte, keine Datei- und Ordnernamen mit Namen von Personen erstellen,
  • keine Nutzung für die Verarbeitung von personenbezogenen Daten aus der schulinternen Verwaltung (keine Notenlisten, Gutachten, …) oder für pädagogische Dokumentation,
  • Vollständige Erfüllung der Informationspflichten gem. Art. 13 DS-GVO,
  • Transparenz und Information, wie man als Schule mögliche Risiken für Betroffene bei der Nutzung minimiert,
  • regelmäßige Schulung und Sensibilisierung aller Nutzer für eine sichere und verantwortungsvolle Arbeit mit der Plattform,

Auch wenn Schulen aktuell nicht damit rechnen müssen, anlasslos von der Aufsichtsbehörde kontaktiert zu werden, so besteht jedoch immer das Risiko, dass die Aufsichtsbehörde durch eine Beschwerde zum Handeln gezwungen wird. Das heißt, Schulen sollten tunlichst alles Handeln im Zusammenhang mit der Nutzung von Microsoft 365 vermeiden, das Betroffene zu einer Beschwerde veranlassen könnte. Stattdessen sollten sie Bedenken ernst nehmen und den Betoffenen entgegenkommen, um gemeinsam eine verträgliche Lösung zu finden.

Veröffentlicht am

Microsoft 365 – Zukunft für Schulen ungewiss

Lesezeit: 4 Minuten

Office 365, jetzt Microsoft 365, ist an Schulen als ausgereifte, moderne, funktionsreiche und gut zu nutzende Kommunikations- und Arbeitsplattform beliebt. Kollaborative Arbeitsformen im Unterricht und im Kollegium erlauben es, Dokumente im Team zu erstellen, auch zeitgleich, ohne sie erst auf den eigenen Rechner herunterladen zu müssen. Während in der Vergangenheit vor allem Berufskollegs und Gymnasien auf die US Plattform setzten, kamen mit den Schulschließungen durch Covid19 und den Druck, Unterricht stärker unter Einbeziehung digitaler Medien zu gestalten, immer mehr Schulen hinzu. Teams und seine einfache Möglichkeit für Videokonferenzen erwiesen sich als schnell verfügbare und einfach zu nutzende Lösung in der Not, Unterricht online zu erteilen. In Bayern stellte man sogar von Landesseite für die Corona Zeit Microsoft Teams bereit.

Die Handhabe bezüglich Microsoft 365 war in den Bundesländern bislang höchst unterschiedlich. Einige dulden die Nutzung der Online Funktionen (Hessen), manche können sie nicht empfehlen (NRW) und andere verbieten sie komplett (Thüringen). In Baden Württemberg versucht man, mit Microsoft unter Beteiligung der Aufsichtsbehörde einen Weg zu finden, wie Schulen Microsoft 365 einschließlich der Online Funktionalitäten DS-GVO konform nutzen können. Seit längerer Zeit beschäftigt sich schon eine Unterarbeitsgruppe der Datenschutzkonferenz mit dem Thema Office 365 und Schule. Zu all den bestehenden Problemen, zu denen auch noch der CLOUD-Act zählt und die Einwilligung als Rechtsgrundlage der schulischen Nutzung, kommt jetzt noch das Urteil des EUGH hinzu, welches zum Ende des EU-US Privacy Shield führte.

Mit dem Wegfall dieses Rechtsinstrumentes bricht die wichtigste Rechtsgrundlage weg, mit welcher eine Übermittlung von personenbezogenen Daten in die USA zumindest formell legitimiert werden konnte. Dass in den USA ein der EU vergleichbares Datenschutzniveau herrscht, wurde vielfach angezweifelt, auch wenn der EU-US Privacy Shield US Unternehmen die Möglichkeit gab, durch Selbstzertifizierung für die Einhaltung europäischer Vorgaben einzustehen.

US Firmen weichen nun auf die Standardvertragsklauseln (SCC) aus, auch wenn der EUGH klar gemacht hat, dass dieses ohne zusätzliche Garantien und Schutzmaßnahmen nicht ausreichen kann.

Es sieht nicht gut aus, was die Zukunft von Microsoft 365 an den Schulen im Lande angeht. Das meint vor allem Teams und das OneNote Kursnotizbuch, wie auch die damit verbundenen Office-Online Komponenten und einen großen Teil der Funktionen, die einen Datenaustausch mit den Servern von Microsoft erfordern. Noch haben die Aufsichtsbehörden sich nicht gemeinsam positioniert, welche Folgen sich für sie aus dem Schrems II Urteil ableiten. Lediglich der LfDI Baden Württemberg gibt mit seiner Orientierungshilfe zum internationalen Datentransfer eine Ahnung, in welche Richtung es von Seiten der Aufsichtsbehörden wohl gehen wird. Klar ist, aus dem EUGH Urteil ergibt sich die Forderung nach einem konsequenten Vollzug, der sich die Aufsichtsbehörden nicht entziehen können.

Die Unterarbeitsgruppe der Datenschutzkonferenz soll, so liest man, zu dem Schluss gekommen sein, dass eine Nutzung von Microsoft 365 in Schulen nicht datenschutzkonform möglich ist. Noch hat man die Ergebnisse der Analyse aus den monatelangen Untersuchugen nicht veröffentlicht, da Bayern hier wohl anderer Meinung ist.

Lösungen, die aktuell für Unternehmen erarbeitet werden, um Datenübermittlungen in die USA abzusichern, werden sich so auf Schulen nicht übertragen lassen, abgesehen davon, dass bisher nicht einmal klar ist, ob sie tatsächlich eine DS-GVO konforme Datenübermittlung in die USA ermöglichen.

Sollte der Hammer fallen und die Unterarbeitsgruppe die Ergebnisse ihrer Analyse mit dem Fazit veröffentlichen, dass eine Nutzung von Microsoft 365 über die Client Version hinaus nicht datenschutzkonform möglich ist, so kann man davon ausgehen, dass in vielen Schulministerien nicht lange gezögert wird, ein Verbot auszusprechen. Und sollten dann auch die Aufsichtsbehörden nach ihrer Abstimmung noch zu dem Schluss kommen, dass eine Nutzung der Online Komponenten von Microsoft 365 nicht möglich ist wegen der Übermittlung von personenbezogenen Daten in die USA ohne ausreichende Rechtsgrundlagen, dann wäre das der letzte Sargnagel, den es braucht, um auch das letzte Schulministerium zu überzeugen.

Viele halten einen solchen Schritt der Schulministerien nicht für möglich, dass man den vielen Schulen, welche die Plattform nutzen, so etwas antun könnte. Darauf sollte man sich nicht verlassen. Auch die Öffentlichkeit kann Druck erzeugen. Es geht um Politik und besorgte Eltern sind Wählerstimmen.

Auch wenn es bei der Nutzung von Microsoft 365 mit seinen online Komponenten wohl weniger um essentielle Risiken für Betroffene geht und mehr um datenschutzrechtliche Probleme, wären Schulen dann gezwungen, auf “zumutbare Alternativen” auszuweichen, wie es in der Orientierungshilfe aus Baden Württemberg heißt.

Gibt es Möglichkeiten, Microsoft 365 für Schulen zu retten, falls es zum Ärgsten kommt? Dass die DS-GVO entschärft wird, worauf viele hoffen, die sie als überzogen ansehen, ist auf absehbare Zeit wenig wahrscheinlich. Auch der Abschluss eines neuen EU-US Privacy Shield 2, auf den viele Unternehmen hoffen, wird in naher Zukunft nicht zu erwarten sein. Die DS-GVO selbst bietet durchaus rechtliche Möglichkeiten für Datentransfers in unsichere Drittländer. Für Schulen wird aber wohl keine davon in Frage kommen.

Eine neue Treuhand Cloud, betrieben durch einen großen IT Dienstleister, ist eine Frage der Kosten. Aus Bundesländern, wo man darüber bereits nachgedacht hat, hört man, dass die Kosten nicht zu stemmen wären.

Microsoft könnte definitiv das Blatt wenden, indem man die Übermittlung von Telemetriedaten, die personenbezogene oder -beziehbare Daten enthalten, in die USA komplett deaktiviert. Außerdem könnte Microsoft das Vertragswerk derart umgestalten, dass die komplette Verarbeitung von personenbezogenen Daten, nur innerhalb der EU stattfindet. Für ruhende Daten gibt es diese Zusage bereits und technisch ist es ohnehin schon jetzt überwiegend der Fall.1Es gibt dann immer noch das Problem CLOUD-Act, doch man kann davon ausgehen, dass hier auf absehbare Zeit eine Lösung kommen wird. Die EU verhandelt bereits seit einiger Zeit mit den USA. Es geht um einen Vertrag, bei dem die USA der EU gleiche Rechte einräumen.

Microsoft dorthin zu bewegen könnte am besten gelingen, wenn sich die Bundesregierung einschaltet und ähnlich dem Justizministerum der Niederlande (2018/19) mit Microsoft verhandelt und Druck macht. Wenn man in der Corona Notzeit eine Nutzung von Microsoft Teams vorübergehend zuließ, können die Risiken für die Betroffenen auch von daher nicht so groß sein, dass eine Nutzung sich komplett verbietet. Man könnte Microsoft also eine Frist setzen und Schulen eine Übergangszeit unter Auflagen bis dahin gewähren.

Mit Stolz präsentiert von WordPress