Microsoft 365 – Stand Februar 2023

Lesezeit: 5 Minuten
Hinweis: Bitte beachten Sie auch die geänderten FAQ zu MS365 des MSB NRW. Weitere Infos dazu unter Änderungen in den FAQ Datenschutz beim MSB NRW

Die Nutzung von Microsoft 365 ist schon seit Jahren eine Hängepartie für Schulen. Permanent scheint das Ende nahe. Die Position der LDI NRW zur schulischen Nutzung von Microsoft 365 ist durch verschiedene Veröffentlichungen und Äußerungen bekannt. Die letzte Aussage in schriftlicher Form stammt von Oktober 2022 aus der Schrift  Digitaler Unterricht in Schulen – Der Grundstein ist gelegt.

Im November veröffentlichte dann die Datenschutzkonferenz (DSK) ihre Bewertung, die anders als 2020 einstimmig von allen Aufsichtsbehörden so beschlossen wurde. Ergebnis der Bewertung war, dass Schulen Microsoft 365 nicht datenschutzkonform nutzen können, da die Schulleitungen als Verantwortliche nach Einschätzung der DSK aufgrund fehlender Informationen durch Microsoft nicht in der Lage sind, ihrer Rechenschaftspflicht nach Art. 5 Abs. 2 DS-GVO nachzukommen. Man sieht darüber hinaus auch Mängel bezüglich des Vertrags zur Auftragsverarbeitung, den Schulen mit Microsoft abschließen.1Siehe dazu auch Warum die Datenschutzkonferenz MS365 in Schulen nicht für nutzbar hält

Was bedeutet diese Entwicklung nun für die Schulen in NRW?

Im Beitrag Warum die Datenschutzkonferenz MS365 in Schulen nicht für nutzbar hält im News Bereich dieser Website wird beschrieben, welche Möglichkeiten der Aufsichtsbehörde NRW zur Verfügung stehen, wenn sie Schulen gegenüber Konsequenzen aus der Bewertung der DSK folgen lassen will. Doch müssen Schulen jetzt damit rechnen, dass die Aufsichtsbehörde nachforscht, ob man Microsoft 365 nutzt und dass in Folge eine Nutzung möglicherweise untersagt wird, falls man nicht von sich aus auf eine andere Lösung wechselt?

Aktuell deutet nichts darauf hin, dass die Aufsichtsbehörde des Landes NRW von ihrer bisherigen Linie abweichen wird. Sie hat im letzten Jahresbericht wie auch in der oben erwähnten Schrift – ohne Namen zu nennen – öffentlich kundgetan, dass sie eine datenschutzkonforme Nutzung von Microsoft 365 und vergleichbaren Plattformen nicht für möglich hält, jedoch nicht den Weg der Verbote gehen, sondern mit Überzeugung arbeiten möchte. So weit wie etwa der LfDI Thüringen, der dieses auch medienwirksam in die breite Öffentlichkeit trägt und dort ankündigt, wie man nun weiter verfahren möchte, ist die LDI NRW bisher nicht gegangen. Äußerungen aus ihrem Haus lassen dergleichen auch nicht erwarten.

Die LDI NRW hat aktuell demnach nicht vor, Microsoft 365 aus allen Schulen des Bundeslandes zu verbannen. Sie wird jedoch auf jeden Fall Beschwerden von Betroffenen nachgehen und an diesen Schulen Verfahren in Gang setzen. Dazu verpflichtet sie die DS-GVO. Welche Aspekte dann letztlich im Fokus des aufsichtsbehördlichen Verfahrens stehen, kann von Fall zu Fall unterschiedlich sein. Es ist aber damit zu rechnen, dass die Aufsichtsbehörde betroffene Schule auch bezüglich der Erfüllung ihrer Rechenschaftspflichten gem. Art. 5 Abs. 2 DS-GVO um Auskunft bitten wird. Die Schule muss dann je nach Fall nachweisen, wie sie die Vorgaben der DS-GVO wie auch des Schulgesetzes durch geeignete technische und organisatorische Maßnahmen einhält und auch ihren Rechenschaftspflichten nachkommt. Ist die Schule dann nicht in der Lage, eine DS-GVO konforme Nutzung der Plattform nachzuweisen, bzw. ihren Rechenschaftspflichten nachzukommen, hätte die Schule nur zwei Optionen. Sie ließe sich überzeugen, die Nutzung von Microsoft 365 aufzugeben, oder riskierte eine Untersagung.

Wie sollten Schulen sich verhalten?

Was tun, wird man sich an vielen Schulen und auch bei vielen Schulträgern nun fragen? Macht es für Schulträger Sinn, bestehende Lizenzen zu verlängern? Ist es für Schulen sinnvoll, die Nutzung von Microsoft 365 fortzusetzen und gegebenenfalls sogar noch auszuweiten?

Die schulische Nutzung von Microsoft 365 ist aus Sicht der DSK problematisch und die LDI NRW teilt diese Haltung. Allerdings ist die Bewertung der DSK nicht unumstritten2Siehe z.B. Microsoft 365: Microsoft bewegt sich, die Datenschützer mauern unverhältnismäßig auf Heise. und Microsoft arbeitet weiter daran, den Anforderungen der Aufsichtsbehörden bezüglich der Transparenz und Gestaltung der datenschutzrechtlichen Verträge zu entsprechen. Ergänzend dazu stellt Microsoft zum Jahresende die EU Data-Boundary bereit, welche es Verantwortlichen ermöglicht, nahezu alle Daten in der EU zu verarbeiten.3Ob Schulen oder ihre Schulträger hier tätig werden müssen, um die Datenverarbeitung in ihren Tenants auf die EU Data-Boundary umzustellen, ist bei Microsoft angefragt Microsoft hat auf die neuen Standardvertragsklauseln (Standard Contractual Clauses, SCC) umgestellt und das Data Processing Addendum4siehe hierzu den Beitrag Neues Data Processing Addendum von Microsoft von September 2022 ist automatisch für alle Kunden gültig.5Im DPA heißt es hierzu: “Microsoft geht die in diesem DPA beschriebenen Verpflichtungen gegenüber allen Kunden mit Volumenlizenzverträgen ein. Diese Verpflichtungen sind für Microsoft in Bezug auf den Kunden bindend, unabhängig (1) von den Produktbestimmungen, die ansonsten für ein bestimmtes Produktabonnement oder eine Lizenz gelten, und (2) von anderen Verträgen, die auf die Produktbestimmungen verweisen.” Quelle unter https://wwlpdocumentsearch.blob.core.windows.net/prodv2/MicrosoftProductandServicesDPA(WW)(German)(Sept2022)(CR).docx Entlastung werden darüber hinaus, wenn auch vielleicht nur vorübergehend, die Executive Order des US Präsidenten und der geplante Angemessenheitsbeschluss durch die EU Kommission bringen. Man kann aktuell davon ausgehen, dass die LDI NRW sich nicht ohne einen konkreten Anlass bezüglich einer schulischen Nutzung von Microsoft 365 melden wird.

Solange man nicht davon ausgeht, dass die Aufsichtsbehörden nicht anders können, als bei Microsoft 365 jeden Missstand und sei er auch noch so gering, zu suchen, zu bemängeln und daraus eine Nichtnutzbarkeit für Schulen abzuleiten, sollte sich die Lage tendenziell weiter entspannen. Microsoft bessert beständig nach. Die Zeit arbeitet letztlich für Schulen, welche die Plattform nutzen.

Schulen, die weiterhin auf Microsoft 365 setzen wollen, werden die Dinge in den meisten Fällen einfach auf sich zukommen lassen und abwarten wie die Lage sich entwickelt. Sie sollten allerdings nicht bloß darauf vertrauen, dass die Lage sich früher oder später zu ihren Gunsten entwickelt dürfte, sondern sich proaktiv kritisch mit ihrer Nutzung der Plattform auseinandersetzen. Dazu gehört eine Erfassung aller Verarbeitungen, welche die Schule in der Plattform durchführt. Wer nutzt die Plattform zu welchen Zwecken und verwendet dabei welche Daten?6Dieses würde man zweckmäßig in einem Verzeichnis der Verarbeitungstätigkeiten gem. Art. 30 DS-GVO festhalten, sofern noch nicht geschehen. Zu prüfen wäre hier auch, ob die Plattform eventuell für die Verarbeitung von personenbezogenen Daten genutzt wird, die dort aus Sicherheitsgründen nicht verarbeitet werden sollten. Das wären beispielsweise Zeugnisse, Gutachten, Beurteilungen, Notenlisten, Protokolle von Klassenkonferenzen, Unterlagen zu AO-SF Verfahren und ähnlich. Kontrolliert werden sollte auch, ob die Schule alle technischen und organisatorischen Maßnahmen getroffen hat, mit denen sich mögliche hohe Risiken für Betroffene bei der unterrichtlichen Nutzung von Microsoft 365 ausreichend mindern lassen, um eine Nutzung vertreten zu können.

Als Hilfe für die Überprüfung und anschließende Anpassung bietet sich eine Datenschutz Folgenabschätzung an. eine Vorlage dafür haben im Februar 2023 zwei Fachjuristen unter Creative Commons Lizenz veröffentlicht.7Weitere Informationen dazu unter Kostenlose Vorlage für eine Datenschutz Folgenabschätzung für Microsoft 365 für Schulen Welche Maßnahmen dafür in Frage kommen, wurde bereits von verschiedenen Stellen online dokumentiert. Auch die oben genannte Vorlage führt einige Maßnahmen auf. Einige der für die dort beschriebenen Maßnahmen erforderlichen administrativen Konfigurationen stehen nicht in allen Versionen von MS365 zur Verfügung. Vor allem in der kostenlosen A1 Version sind die Steuerungsoptionen von Datenflüssen und Sicherheitsmaßnahmen wie auch Sicherheitsfunktionen nur eingeschränkt oder gar nicht verfügbar.

Zu möglichen technischen Maßnahmen gehören beispielsweise:

  • Telemetrieerfassung in installierten Anwendungen auf die niedrigste Stufe “Weder noch” setzen,
  • Zugriff auf Anwendungen von Drittanbietern im App Store in Teams deaktivieren,
  • zusätzliche optionale Connected Experiences in Micorosft 365 deaktivieren,
  • die meisten Funktionen in Teams Analytics & Reports deaktivieren und Pseudonymisierungsoption einschalten,
  • Viva Advanced Insights nicht aktivieren,
  • in Teams für alle Meetings und Chats Ende-zu-Ende Verschlüsselung aktivieren, sobald von Microsoft zur Verfügung gestellt,
  • Nutzung von Bring-your-own key, idealerweise mit einem eigenen Key-Server,

Zu möglichen organisatorische Maßnahmen gehören beispielsweise:

  • Nutzung von pseudonymisierten Zugangsdaten, etwa mit Buchstaben von Vor- und Nachnamen,
  • Anweisung für Lehrkräfte, keine Datei- und Ordnernamen mit Namen von Personen erstellen,
  • keine Nutzung für die Verarbeitung von personenbezogenen Daten aus der schulinternen Verwaltung (keine Notenlisten, Gutachten, …) oder für pädagogische Dokumentation,
  • Vollständige Erfüllung der Informationspflichten gem. Art. 13 DS-GVO,
  • Transparenz und Information, wie man als Schule mögliche Risiken für Betroffene bei der Nutzung minimiert,
  • regelmäßige Schulung und Sensibilisierung aller Nutzer für eine sichere und verantwortungsvolle Arbeit mit der Plattform,

Auch wenn Schulen aktuell nicht damit rechnen müssen, anlasslos von der Aufsichtsbehörde kontaktiert zu werden, so besteht jedoch immer das Risiko, dass die Aufsichtsbehörde durch eine Beschwerde zum Handeln gezwungen wird. Das heißt, Schulen sollten tunlichst alles Handeln im Zusammenhang mit der Nutzung von Microsoft 365 vermeiden, das Betroffene zu einer Beschwerde veranlassen könnte. Stattdessen sollten sie Bedenken ernst nehmen und den Betoffenen entgegenkommen, um gemeinsam eine verträgliche Lösung zu finden.

Microsoft 365 – Zukunft für Schulen ungewiss

Lesezeit: 4 Minuten

Office 365, jetzt Microsoft 365, ist an Schulen als ausgereifte, moderne, funktionsreiche und gut zu nutzende Kommunikations- und Arbeitsplattform beliebt. Kollaborative Arbeitsformen im Unterricht und im Kollegium erlauben es, Dokumente im Team zu erstellen, auch zeitgleich, ohne sie erst auf den eigenen Rechner herunterladen zu müssen. Während in der Vergangenheit vor allem Berufskollegs und Gymnasien auf die US Plattform setzten, kamen mit den Schulschließungen durch Covid19 und den Druck, Unterricht stärker unter Einbeziehung digitaler Medien zu gestalten, immer mehr Schulen hinzu. Teams und seine einfache Möglichkeit für Videokonferenzen erwiesen sich als schnell verfügbare und einfach zu nutzende Lösung in der Not, Unterricht online zu erteilen. In Bayern stellte man sogar von Landesseite für die Corona Zeit Microsoft Teams bereit.

Die Handhabe bezüglich Microsoft 365 war in den Bundesländern bislang höchst unterschiedlich. Einige dulden die Nutzung der Online Funktionen (Hessen), manche können sie nicht empfehlen (NRW) und andere verbieten sie komplett (Thüringen). In Baden Württemberg versucht man, mit Microsoft unter Beteiligung der Aufsichtsbehörde einen Weg zu finden, wie Schulen Microsoft 365 einschließlich der Online Funktionalitäten DS-GVO konform nutzen können. Seit längerer Zeit beschäftigt sich schon eine Unterarbeitsgruppe der Datenschutzkonferenz mit dem Thema Office 365 und Schule. Zu all den bestehenden Problemen, zu denen auch noch der CLOUD-Act zählt und die Einwilligung als Rechtsgrundlage der schulischen Nutzung, kommt jetzt noch das Urteil des EUGH hinzu, welches zum Ende des EU-US Privacy Shield führte.

Mit dem Wegfall dieses Rechtsinstrumentes bricht die wichtigste Rechtsgrundlage weg, mit welcher eine Übermittlung von personenbezogenen Daten in die USA zumindest formell legitimiert werden konnte. Dass in den USA ein der EU vergleichbares Datenschutzniveau herrscht, wurde vielfach angezweifelt, auch wenn der EU-US Privacy Shield US Unternehmen die Möglichkeit gab, durch Selbstzertifizierung für die Einhaltung europäischer Vorgaben einzustehen.

US Firmen weichen nun auf die Standardvertragsklauseln (SCC) aus, auch wenn der EUGH klar gemacht hat, dass dieses ohne zusätzliche Garantien und Schutzmaßnahmen nicht ausreichen kann.

Es sieht nicht gut aus, was die Zukunft von Microsoft 365 an den Schulen im Lande angeht. Das meint vor allem Teams und das OneNote Kursnotizbuch, wie auch die damit verbundenen Office-Online Komponenten und einen großen Teil der Funktionen, die einen Datenaustausch mit den Servern von Microsoft erfordern. Noch haben die Aufsichtsbehörden sich nicht gemeinsam positioniert, welche Folgen sich für sie aus dem Schrems II Urteil ableiten. Lediglich der LfDI Baden Württemberg gibt mit seiner Orientierungshilfe zum internationalen Datentransfer eine Ahnung, in welche Richtung es von Seiten der Aufsichtsbehörden wohl gehen wird. Klar ist, aus dem EUGH Urteil ergibt sich die Forderung nach einem konsequenten Vollzug, der sich die Aufsichtsbehörden nicht entziehen können.

Die Unterarbeitsgruppe der Datenschutzkonferenz soll, so liest man, zu dem Schluss gekommen sein, dass eine Nutzung von Microsoft 365 in Schulen nicht datenschutzkonform möglich ist. Noch hat man die Ergebnisse der Analyse aus den monatelangen Untersuchugen nicht veröffentlicht, da Bayern hier wohl anderer Meinung ist.

Lösungen, die aktuell für Unternehmen erarbeitet werden, um Datenübermittlungen in die USA abzusichern, werden sich so auf Schulen nicht übertragen lassen, abgesehen davon, dass bisher nicht einmal klar ist, ob sie tatsächlich eine DS-GVO konforme Datenübermittlung in die USA ermöglichen.

Sollte der Hammer fallen und die Unterarbeitsgruppe die Ergebnisse ihrer Analyse mit dem Fazit veröffentlichen, dass eine Nutzung von Microsoft 365 über die Client Version hinaus nicht datenschutzkonform möglich ist, so kann man davon ausgehen, dass in vielen Schulministerien nicht lange gezögert wird, ein Verbot auszusprechen. Und sollten dann auch die Aufsichtsbehörden nach ihrer Abstimmung noch zu dem Schluss kommen, dass eine Nutzung der Online Komponenten von Microsoft 365 nicht möglich ist wegen der Übermittlung von personenbezogenen Daten in die USA ohne ausreichende Rechtsgrundlagen, dann wäre das der letzte Sargnagel, den es braucht, um auch das letzte Schulministerium zu überzeugen.

Viele halten einen solchen Schritt der Schulministerien nicht für möglich, dass man den vielen Schulen, welche die Plattform nutzen, so etwas antun könnte. Darauf sollte man sich nicht verlassen. Auch die Öffentlichkeit kann Druck erzeugen. Es geht um Politik und besorgte Eltern sind Wählerstimmen.

Auch wenn es bei der Nutzung von Microsoft 365 mit seinen online Komponenten wohl weniger um essentielle Risiken für Betroffene geht und mehr um datenschutzrechtliche Probleme, wären Schulen dann gezwungen, auf “zumutbare Alternativen” auszuweichen, wie es in der Orientierungshilfe aus Baden Württemberg heißt.

Gibt es Möglichkeiten, Microsoft 365 für Schulen zu retten, falls es zum Ärgsten kommt? Dass die DS-GVO entschärft wird, worauf viele hoffen, die sie als überzogen ansehen, ist auf absehbare Zeit wenig wahrscheinlich. Auch der Abschluss eines neuen EU-US Privacy Shield 2, auf den viele Unternehmen hoffen, wird in naher Zukunft nicht zu erwarten sein. Die DS-GVO selbst bietet durchaus rechtliche Möglichkeiten für Datentransfers in unsichere Drittländer. Für Schulen wird aber wohl keine davon in Frage kommen.

Eine neue Treuhand Cloud, betrieben durch einen großen IT Dienstleister, ist eine Frage der Kosten. Aus Bundesländern, wo man darüber bereits nachgedacht hat, hört man, dass die Kosten nicht zu stemmen wären.

Microsoft könnte definitiv das Blatt wenden, indem man die Übermittlung von Telemetriedaten, die personenbezogene oder -beziehbare Daten enthalten, in die USA komplett deaktiviert. Außerdem könnte Microsoft das Vertragswerk derart umgestalten, dass die komplette Verarbeitung von personenbezogenen Daten, nur innerhalb der EU stattfindet. Für ruhende Daten gibt es diese Zusage bereits und technisch ist es ohnehin schon jetzt überwiegend der Fall.1Es gibt dann immer noch das Problem CLOUD-Act, doch man kann davon ausgehen, dass hier auf absehbare Zeit eine Lösung kommen wird. Die EU verhandelt bereits seit einiger Zeit mit den USA. Es geht um einen Vertrag, bei dem die USA der EU gleiche Rechte einräumen.

Microsoft dorthin zu bewegen könnte am besten gelingen, wenn sich die Bundesregierung einschaltet und ähnlich dem Justizministerum der Niederlande (2018/19) mit Microsoft verhandelt und Druck macht. Wenn man in der Corona Notzeit eine Nutzung von Microsoft Teams vorübergehend zuließ, können die Risiken für die Betroffenen auch von daher nicht so groß sein, dass eine Nutzung sich komplett verbietet. Man könnte Microsoft also eine Frist setzen und Schulen eine Übergangszeit unter Auflagen bis dahin gewähren.