Microsoft 365 – Zukunft für Schulen ungewiss

Lesezeit: 4 Minuten

Office 365, jetzt Microsoft 365, ist an Schulen als ausgereifte, moderne, funktionsreiche und gut zu nutzende Kommunikations- und Arbeitsplattform beliebt. Kollaborative Arbeitsformen im Unterricht und im Kollegium erlauben es, Dokumente im Team zu erstellen, auch zeitgleich, ohne sie erst auf den eigenen Rechner herunterladen zu müssen. Während in der Vergangenheit vor allem Berufskollegs und Gymnasien auf die US Plattform setzten, kamen mit den Schulschließungen durch Covid19 und den Druck, Unterricht stärker unter Einbeziehung digitaler Medien zu gestalten, immer mehr Schulen hinzu. Teams und seine einfache Möglichkeit für Videokonferenzen erwiesen sich als schnell verfügbare und einfach zu nutzende Lösung in der Not, Unterricht online zu erteilen. In Bayern stellte man sogar von Landesseite für die Corona Zeit Microsoft Teams bereit.

Die Handhabe bezüglich Microsoft 365 war in den Bundesländern bislang höchst unterschiedlich. Einige dulden die Nutzung der Online Funktionen (Hessen), manche können sie nicht empfehlen (NRW) und andere verbieten sie komplett (Thüringen). In Baden Württemberg versucht man, mit Microsoft unter Beteiligung der Aufsichtsbehörde einen Weg zu finden, wie Schulen Microsoft 365 einschließlich der Online Funktionalitäten DS-GVO konform nutzen können. Seit längerer Zeit beschäftigt sich schon eine Unterarbeitsgruppe der Datenschutzkonferenz mit dem Thema Office 365 und Schule. Zu all den bestehenden Problemen, zu denen auch noch der CLOUD-Act zählt und die Einwilligung als Rechtsgrundlage der schulischen Nutzung, kommt jetzt noch das Urteil des EUGH hinzu, welches zum Ende des EU-US Privacy Shield führte.

Mit dem Wegfall dieses Rechtsinstrumentes bricht die wichtigste Rechtsgrundlage weg, mit welcher eine Übermittlung von personenbezogenen Daten in die USA zumindest formell legitimiert werden konnte. Dass in den USA ein der EU vergleichbares Datenschutzniveau herrscht, wurde vielfach angezweifelt, auch wenn der EU-US Privacy Shield US Unternehmen die Möglichkeit gab, durch Selbstzertifizierung für die Einhaltung europäischer Vorgaben einzustehen.

US Firmen weichen nun auf die Standardvertragsklauseln (SCC) aus, auch wenn der EUGH klar gemacht hat, dass dieses ohne zusätzliche Garantien und Schutzmaßnahmen nicht ausreichen kann.

Es sieht nicht gut aus, was die Zukunft von Microsoft 365 an den Schulen im Lande angeht. Das meint vor allem Teams und das OneNote Kursnotizbuch, wie auch die damit verbundenen Office-Online Komponenten und einen großen Teil der Funktionen, die einen Datenaustausch mit den Servern von Microsoft erfordern. Noch haben die Aufsichtsbehörden sich nicht gemeinsam positioniert, welche Folgen sich für sie aus dem Schrems II Urteil ableiten. Lediglich der LfDI Baden Württemberg gibt mit seiner Orientierungshilfe zum internationalen Datentransfer eine Ahnung, in welche Richtung es von Seiten der Aufsichtsbehörden wohl gehen wird. Klar ist, aus dem EUGH Urteil ergibt sich die Forderung nach einem konsequenten Vollzug, der sich die Aufsichtsbehörden nicht entziehen können.

Die Unterarbeitsgruppe der Datenschutzkonferenz soll, so liest man, zu dem Schluss gekommen sein, dass eine Nutzung von Microsoft 365 in Schulen nicht datenschutzkonform möglich ist. Noch hat man die Ergebnisse der Analyse aus den monatelangen Untersuchugen nicht veröffentlicht, da Bayern hier wohl anderer Meinung ist.

Lösungen, die aktuell für Unternehmen erarbeitet werden, um Datenübermittlungen in die USA abzusichern, werden sich so auf Schulen nicht übertragen lassen, abgesehen davon, dass bisher nicht einmal klar ist, ob sie tatsächlich eine DS-GVO konforme Datenübermittlung in die USA ermöglichen.

Sollte der Hammer fallen und die Unterarbeitsgruppe die Ergebnisse ihrer Analyse mit dem Fazit veröffentlichen, dass eine Nutzung von Microsoft 365 über die Client Version hinaus nicht datenschutzkonform möglich ist, so kann man davon ausgehen, dass in vielen Schulministerien nicht lange gezögert wird, ein Verbot auszusprechen. Und sollten dann auch die Aufsichtsbehörden nach ihrer Abstimmung noch zu dem Schluss kommen, dass eine Nutzung der Online Komponenten von Microsoft 365 nicht möglich ist wegen der Übermittlung von personenbezogenen Daten in die USA ohne ausreichende Rechtsgrundlagen, dann wäre das der letzte Sargnagel, den es braucht, um auch das letzte Schulministerium zu überzeugen.

Viele halten einen solchen Schritt der Schulministerien nicht für möglich, dass man den vielen Schulen, welche die Plattform nutzen, so etwas antun könnte. Darauf sollte man sich nicht verlassen. Auch die Öffentlichkeit kann Druck erzeugen. Es geht um Politik und besorgte Eltern sind Wählerstimmen.

Auch wenn es bei der Nutzung von Microsoft 365 mit seinen online Komponenten wohl weniger um essentielle Risiken für Betroffene geht und mehr um datenschutzrechtliche Probleme, wären Schulen dann gezwungen, auf “zumutbare Alternativen” auszuweichen, wie es in der Orientierungshilfe aus Baden Württemberg heißt.

Gibt es Möglichkeiten, Microsoft 365 für Schulen zu retten, falls es zum Ärgsten kommt? Dass die DS-GVO entschärft wird, worauf viele hoffen, die sie als überzogen ansehen, ist auf absehbare Zeit wenig wahrscheinlich. Auch der Abschluss eines neuen EU-US Privacy Shield 2, auf den viele Unternehmen hoffen, wird in naher Zukunft nicht zu erwarten sein. Die DS-GVO selbst bietet durchaus rechtliche Möglichkeiten für Datentransfers in unsichere Drittländer. Für Schulen wird aber wohl keine davon in Frage kommen.

Eine neue Treuhand Cloud, betrieben durch einen großen IT Dienstleister, ist eine Frage der Kosten. Aus Bundesländern, wo man darüber bereits nachgedacht hat, hört man, dass die Kosten nicht zu stemmen wären.

Microsoft könnte definitiv das Blatt wenden, indem man die Übermittlung von Telemetriedaten, die personenbezogene oder -beziehbare Daten enthalten, in die USA komplett deaktiviert. Außerdem könnte Microsoft das Vertragswerk derart umgestalten, dass die komplette Verarbeitung von personenbezogenen Daten, nur innerhalb der EU stattfindet. Für ruhende Daten gibt es diese Zusage bereits und technisch ist es ohnehin schon jetzt überwiegend der Fall.1Es gibt dann immer noch das Problem CLOUD-Act, doch man kann davon ausgehen, dass hier auf absehbare Zeit eine Lösung kommen wird. Die EU verhandelt bereits seit einiger Zeit mit den USA. Es geht um einen Vertrag, bei dem die USA der EU gleiche Rechte einräumen.

Microsoft dorthin zu bewegen könnte am besten gelingen, wenn sich die Bundesregierung einschaltet und ähnlich dem Justizministerum der Niederlande (2018/19) mit Microsoft verhandelt und Druck macht. Wenn man in der Corona Notzeit eine Nutzung von Microsoft Teams vorübergehend zuließ, können die Risiken für die Betroffenen auch von daher nicht so groß sein, dass eine Nutzung sich komplett verbietet. Man könnte Microsoft also eine Frist setzen und Schulen eine Übergangszeit unter Auflagen bis dahin gewähren.

Datenschutzrechtliche Untersuchung der Nutzung von Office 365 an Schulen in der Schweiz

Lesezeit: 2 Minuten

Anders als in Deutschland ist in der Schweiz bisher die Nutzung von Office 365 an Schulen aus datenschutzrechtlicher Sicht recht problemlos möglich gewesen. Entsprechend weit verbreitet ist der Einsatz dort. Noch im September 2018 hatte der Datenschutzbeauftragte des Kanton Zürich einen Leitfaden zur Nutzung von Office 365 an Bildungseinrichtungen herausgegeben.1Schulen, die Office 365 nutzen, sollten diesen Leitfaden kennen, da er wertvolle Hinweise für eine datenschutzrechtlich verantwortungsvolle Nutzung von Office 365 gibt. Beachten sollte man dabei allerdings, dass einige Aussagen sich nicht auf NRW bzw. Deutschland übertragen lassen, etwa die Nutzung von Office 365 in der Schulverwaltung. Einige Wochen später enteckte man in den Niederlanden, dass Office 365 wohl weitaus mehr Telemetriedaten für Support und Softwareentwicklung an US Server übermittelt, als in der von Microsoft zur Verfügung gestellten Dokumentation ausgewiesen. Diese Daten, auch wenn überwiegend technischer Natur, sind mit Benutzerkonten verknüpft bzw. verknüpfbar und stellen nach der DS-GVO personenbezogene Daten dar. Die niederländischen Datenschützer kamen zu dem Schluss, dass Mircosoft hier gegen die DS-GVO verstößt.2siehe Dutch government report says Microsoft Office telemetry collection breaks GDPR Die holländischen Datenschützer haben 8 Probleme definiert und mögliche Lösungen aufgezeigt.

Die acht datenschutzrechtlichen Problembereiche von Office 365 im Zusammenhang mit Telemetriedaten
Es geht um:
* Mangelnde Transparenz
* Fehlende Möglichkeit, die Sammlung und Übermittlung von Telemetriedaten temporär und dauerhaft zu beeinflussen
* Unrechtmäßige Sammlung und Speicherung von sensiblen personenbezogenen Daten
* Unzutreffende Beschreibung von Microsoft als Verarbeiter
* Unzureichende Kontrolle über Sub Auftragsverarbeiter
* Mangelnde Beschränkung der Verarbeitungszwecke – Übertrag von Daten aus dem EU Raum hinaus
* Unbegrenzte Speicherung der diagnostischen Daten

Das hat nun auch den Datenschutzbeauftragten des Kanton Zürich aufgegriffen. Die Befunde der Niederländer bedeuten für ihn jedoch nicht automatisch, dass die Übermittlung der Telemetriedaten durch Microsoft rechtswidrig ist, denn seine Fachstelle hatte mit Microsoft speziell für den Bildungsbereich Rahmenbedingungen für die Nutzung von Office 365 ausgehandelt. Da für ihn nicht klar ist, inwieweit die in den Niederlanden ermittelten Probleme auch für den Schulbereich in der Schweiz relevant sind, hat er Microsoft zu einer Stellungnahme aufgefordert. Es geht dabei nun darum, ob die Verarbeitung dieser Telemetriedaten durch Microsoft datenschutzrechtskonform ist oder nicht.

Microsoft selbst verweist auf die für Kunden verfügbare Dokumentation Diagnostic Data in Office Applications, zeigt sich jedoch kooperativ und will mit den Datenschützern an Lösungen arbeiten. Erste Anworten und Maßnahmen sind für das erste Quartal 2019 angekündigt.

Auswirkungen auf die Nutzung von Office 365 an Schulen in NRW

Auch in NRW dürften einige Schulen schon im November hellhörig geworden sein, als die Meldungen aus den Niederlanden kamen. Wer als Schule bei der Nutzung von Office 365 einige Grundregeln beachtet, sollte vorerst damit weiterarbeiten können.3Siehe dazu auch die Informationen des MSB NRW von Dezember 2018 zu Office 365, wo es u.a. heißt: “Grundsätzlich kann für die jetzige praktische Handhabung festgestellt werden:
Schulleitungen, die sich mangels einer offiziellen Einschätzung in NRW auf die Bewertung des DSB Hessen verlassen und die dortigen einschränkenden Bedingungen zur Nutzung von Office 365 einhalten, u.a. keine Nutzung der Cloud für Verwaltungszwecke, kann kein fahrlässiges oder vorwerfbares Handeln vorgehalten werden.”

  • Office 365 kann nicht im Bereich der Schulverwaltung eingesetzt werden, wenn es um die Verarbeitung von personenbezogenen Daten von Schülern, Lehrkräften und Eltern geht. Die Verarbeitung von allgemeinen, nicht personenbezogenen Daten bzw. Informationen (z.B. die Erstellung und Bereitstellung von Formularen) ist jedoch durchaus möglich.
  • Im Unterricht sollte Office 365 so datensparsam wie möglich genutzt werden. Bewertungen und Leistungsdaten gehören nicht in Office 365. 4Bei einer ausschließlichen Nutzung über schulische Geräte fallen die wenigsten personenbezogenen Daten an, wenn die Benutzerkonten datenschutzfreundlich erstellt werden.

Dass Microsoft hier jetzt patzen wird, ist eher unwahrscheinlich. Es steht zu viel auf dem Spiel. Man kann wohl damit rechnen, dass Microsoft nachbessern wird und zumindest im Bildungsbereich die bemängelten Funktionalitäten einschränkt und besser dokumentiert, den Verantwortlichen und Nutzern mehr Kontrolle über die Erhebung und Verarbeitung der Telemetriedaten gibt sowie die Speicherdauer und Verwertung eingrenzt.

Quelle für die Informationen aus der Schweiz ist der Beitrag mit dem etwas reißerischen Titel Verstossen Lehrer und Schüler mit Microsoft Office gegen das Gesetz? (12/2018)

Endlich klare Aussagen vom MSB NRW zu datenschutzrechtlichen Fragen

Lesezeit: < 1 Minute

Es hat lange gedauert bis sich das Ministerium für Schule und Bildung NRW einmal umfänglich zu datenschutzrechtlichen Fragen im Zusammenhang mit der umstrittenen Genehmigung zur Verarbeitung von personenbezogenen Daten aus der Schule auf privaten Endgeräten von Lehrkräften äußert. Was geht und was geht nicht, wie sieht es mit Haftungsfragen aus? Antworten kommen auch zu vielen anderen Fragen: z.B. E-Mail Kommunikation mit Eltern über dienstliche und private E-Mail Adressen, Speicherung von Fotos von Schülern auf dem Smartphone, Nutzung von privaten Smartphones für Kommunikation mit Eltern, Fragen zu zulässigen Anwendungen, Zugriff auf Webanwendungen und die Genehmigung, und die Zulässigkeit von WhatsApp, Telegram und iMessage auf privaten Geräten, wenn sie dienstlich genutzt werden. Zu finden ist dieses unter

Da es an Schulen nicht nur viele Fragen zur Genehmigung gibt, sondern auch zu anderen Bereichen, wurden in einer zweiten Sammlung weitere Fragen zum Thema Datenschutz an der Schule aufgegriffen. Hier geht es um die Aufgaben von Datenschutzbeauftragten, Notelisten in Papierform am heimischen Arbeitsplatz, die Übermittlung von Elterndaten an die Schulpflegschaft, Office 365 im schulischen Einsatz, Videoüberwachung und elektronische Schließanlagen an der Schule.

Sicherlich werden verschiedene Akteure im Bereich Schule die Antworten unterschiedlich beurteilen. Es bleiben definitiv auch noch Fragen offen, doch es ist gut, dass das Ministerium zu den meisten Fragen sehr eindeutig Stellung bezogen hat. Mit diesen Antworten kann man planen und Entscheidungen fällen.

Auch zum Thema Schulhomepage gibt es einige (wenige) datenschutzrechtliche Aussagen vom Ministerium.

Office 365 und der Vertrag zur Auftragsverarbeitung

Lesezeit: 6 Minuten

Wollen Schulen einen Online Dienst nutzen und es werden dabei personenbezogene Daten aus der Schule verwendet, ist nach Art. 28 DS-GVO ein Vertrag erforderlich, welcher Rechte und Pflichten beider Seiten regelt. Vielfach bestehen diese Verträge aus Dokumenten, die ausgedruckt von beiden Seiten in Kopie unterschrieben werden, um rechtliche Gültigkeit zu erlangen. Bei Microsoft sucht man eine derartige Möglichkeit zum Abschluss eines Vertrags zur Auftragsverarbeitung oder auch Auftragsverarbeitungsvertrag (AVV) vergeblich. Heißt das nun, man kann mit Microsoft nicht den erforderlichen Vertrag abschließen, um Office 365 im Unterricht oder für die Teamarbeit der Lehrkräfte zu nutzen?

In Art. 28 heißt es unter Abs. 3

“Die Verarbeitung durch einen Auftragsverarbeiter erfolgt auf der Grundlage eines Vertrags oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht der Mitgliedstaaten, der bzw. das den Auftragsverarbeiter in Bezug auf den Verantwortlichen bindet und in dem Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen festgelegt sind. Dieser Vertrag bzw. dieses andere Rechtsinstrument sieht insbesondere vor …”

Schaut man sich diesen Absatz genauer an, sieht man, dass rechtliche Grundlage für die Verarbeitung von personenbezogenen Daten des Auftraggebers durch den Auftragnehmer nicht zwingend ein Vertrag sein muss, wie man ihn beispielsweise mit seinem Website Hoster abschließt und wie oben beschrieben. Das Wort ODER lässt auch andere Optionen als gleichwertig zu einem Vertrag zu. Möglich ist demnach auch ein anderes Rechtsinstrument nach Unionsrecht oder dem Recht der Mitgliedstaaten. Alle drei Optionen erfüllen die Vorgabe nach Art. 28.

Microsoft bietet anstelle eines Vertrages, wie er im deutschen Rechtsraum üblich ist, die sogenannten OST oder Online Service Terms, zu Deutsch Online Service-Nutzungsbedingungen, wozu auch das Data Processing Addendum (DPA) gehört. Alle Volumenlizenzverträge von Microsoft umfassen diese Online Services-Nutzungsbedingungen. Die Volumenlizenzverträge werden abgeschlossen, wenn eine Schule sich für ein Office 365 Paket anmeldet. Das geschieht in einem Dialog ähnlich dem folgenden.

Beispiel Dialog bei der Erstellung eines Office 365 Testabonnement Vertrags.

Wenn das entsprechende Häkchen gesetzt ist, hat der Nutzer den Vertrag abgeschlossen und damit auch die OST einschließlich des DPA angenommen.

Das Data Processing Addendum ist ein den OST anhängiges Dokument und berücksichtigt neben der DS-GVO auch verschiedene Datenschutzstandards/ -vorgaben aus den USA wie auch anderen Ländern. Die Standardvertragsklauseln1Microsoft hat lange Zeit die Standardvertragsklauseln (auch EU Model Clauses genannt) als Grundlage für die Übertragung von Daten für seine Onlinedienste für Unternehmen verwendet. Die EU-Standardvertragsklauseln sind von der Europäischen Kommission bereitgestellte Standardbedingungen, die für die richtlinienkonforme Übertragung von Daten außerhalb des Europäischen Wirtschaftsraums verwendet werden können. Microsoft hat die Standardvertragsklauseln mithilfe des den Online Services-Nutzungsbedingungen anhängigen DPA in alle Volumenlizenzverträge integriert. Die Artikel-29-Datenschutzgruppe hat dabei festgestellt, dass die Umsetzung der Standardvertragsklauseln durch Microsoft richtlinienkonform ist. Quelle: DSGVO – häufig gestellte Fragen sind ein Bestandteil dieses Dokuments, bilden den Anhang 2 und umfassen sechs Seiten. Es findet sich zum Download wie die OST unter Ressourcen zur Lizenzierung.

Die EU-Standardvertragsklauseln gehören zu den oben erwähnten anderen Rechtsinstrumenten nach dem Unionsrecht. Auch in Art. 28 sind die Standardvertragsklauseln aufgeführt und unter Abs. 6 heißt es

“Unbeschadet eines individuellen Vertrags zwischen dem Verantwortlichen und dem Auftragsverarbeiter kann der Vertrag oder das andere Rechtsinstrument im Sinne der Absätze 3 und 4 des vorliegenden Artikels ganz oder teilweise auf den in den Absätzen 7 und 8 des vorliegenden Artikels genannten Standardvertragsklauseln beruhen, …”

Die EU-Standardvertragsklauseln umfassen die in Abs. 3 und 4 aufgeführten Vorgaben, die vertraglich zwischen Auftraggeber und Auftragnehmer festzuschreiben sind. Als Standardvertragsklauseln können hierbei solche verwendet werden,

“die entweder unmittelbar von der Kommission erlassen oder aber nach dem Kohärenzverfahren von einer Aufsichtsbehörde angenommen und dann von der Kommission erlassen wurden.”2Erwägungsgrund 81

Bei den von Microsoft im DPA genutzten Standardvertragsklauseln handelt es sich um solche, die von der der Europäischen Kommission bereitgestellt wurden. Da dieser Vertrag nicht nur im Bildungsbereich, sondern auch im Businessbereich zum Einsatz kommt, kann Microsoft sich hier keine Fehler erlauben. Zu allen in Art. 28 geforderten Angaben werden umfassende Aussagen gemacht. Doch wie sieht es mit der Form aus?

Die DS-GVO ist bezüglich der Formvorgaben zum Abschluss eines Vertrages oder anderen Rechtsinstrumentes wesentlich offener als das Bundesdatenschutzgesetz oder das alte Bundesdatenschutzgesetz. In Art. 28 heißt es zur Form in Abs. 9

“Der Vertrag oder das andere Rechtsinstrument im Sinne der Absätze 3 und 4 ist schriftlich abzufassen, was auch in einem elektronischen Format erfolgen kann.”

Es besteht also eine Schrifterfordernis und elektronisches Format ist möglich. Die Fachautoren sind sich einig darin, dass es sich beim elektronischen Format um ein dauerhaftes Format handeln muss, welches auch nicht nachträglich verändert werden kann.3“Als Form für den Abschluss einer Vereinbarung zur Auftragsverarbeitung gibt Art. 28 Abs. 9 DSGVO die Schriftform oder ein elektronisches Format vor. Dies entspricht der in § 126 b BGB genannten Textform. Entscheidend ist hierbei, dass das ausgewählte Format sicherstellen muss, dass nachträgliche Änderungen technisch ausgeschlossen werden. Somit lässt sich eine Vereinbarung zur Auftragsverarbeitung z.B. über eine schreibgeschützte PDF-Datei, nicht aber über einfache E-Mails schließen.” Quelle Die OST und das anhängige DPA entsprechen dieser Formvorgabe. Man lädt sie in der Regel als schreibgeschützte docx Datei herunter.

Eine Unterschrift ist nach der DS-GVO nicht länger erforderlich, um einen rechtswirksamen Vertrag abzuschließen.

“Die Auftragserteilung kann gemäß Art. 28 Abs. 9 DS-GVO in Zukunft auch in einem elektronischen Format erfolgen. Das strenge Schriftformerfordernis (handschriftliche Unterschrift) gilt damit nicht mehr. Ausreichend für das elektronische Format ist jedes elektronische Dokument, das dauerhaft wiedergegeben werden kann (vergleichbar mit der Textform in [§ 126b BGB]).”4sagt der Landesbeauftragte für Datenschutz und Informationsfreiheit RLP in einem Beitrag zur Auftragsverarbeitung.

Die Bestätigung von Seiten des Auftraggebers, hier der Schule, erfolgt bei den OST als Bestandteil der Abschlusses eines Volumenlizenzvertrags durch Setzen eines Häkchens. Im DPA gibt es eine eingescannte Unterschrift unter den Standardvertragsklauseln. Verschiedene Fachjuristen kommen zu dem Schluss, dass es nicht einmal dieser eingescannten Unterschrift bedarf. Die Erklärung sollte, da es sich bei der DS-GVO um eine europäische Rechtsnorm handelt, anders als im nationalen Recht unterschriftlos gültig sein.5“Mithin herrscht Einigkeit darüber, dass der europäische Gesetzgeber dem elektronischen Format nicht das Verständnis der deutschen Norm aus dem BGB zugrunde gelegt hat. Vielmehr scheint sich die Ansicht durchzusetzen, dass die Textform nach § 126b BGB den Anforderungen an das elektronische Format i.S.d. Art. 28 Abs. 9 DSGVO genügt. Bei der Textform handelt es sich um eine unterschriftlose Erklärung, die auf einem dauerhaften Datenträger (eine Download-Möglichkeit kann ausreichen) abgegeben wird und gegen nachträgliche Änderungen geschützt ist.” Elektronischer Vertragsschluss der Auftragsverarbeitung (Art. 28 DSGVO) von Datenschutzkanzlei Es sind allerdings nicht alle Fachleute dieser Meinung. Einigkeit herrscht jedoch zumindest darin, dass es keiner “qualifizierten elektronischen Signatur” bedarf6Auch aktuelle Aussagen der Europäischen Kommission von September 2018 untermauern die Ansicht, dass eine elektroniche Signatur nicht erforderlich ist: “Eine elektronische Signatur ist für die Rechtswirksamkeit von Verträgen gerade nicht erforderlich. Signaturen sind eines von mehreren Mitteln, um den Vertragsschluss beweisen zu können. Dies bedeutet, dass Autragsverarbeitungsverträge auch „einfach“ elektronisch, zB per PDF Dokument oder über eine Webseite, abgeschlossen werden können.” Carlo Piltz in Europäische Kommission zum Formerfordernis für Auftragsverarbeitungsverträge nach der DSGVO.

In der aktuellen Situation sollte das von Microsoft angebotene Format den Vorgaben zum Abschluss eines Vertrags oder anderen Rechtsinstrumentes zur Auftragsverarbeitung nach Art. 28 DS-GVO genügen. Diesen Spielraum lassen die Vorgaben zu. Die OST und das anhängige DPA werden online angeboten, die Standardvertragsklauseln als zentrales Element dieser Vereinbarung sind unterzeichnet, und zeigen damit den Willen Microsofts, einen Vertrag mit dem Kunden einzugehen. Der nimmt das Angebot durch Setzen eines Häkchens an und speichert die OST sowie das DPA ab oder druckt beides aus.7“Weitergehend kann es bei einer online erfolgenden invitatio ad offerendum ausreichend sein, dass der bestellende Kunde eine Checkbox betätigt und so ein rechtswirksames Angebot auf einen bereitgestellten Vertrag abgeben kann, das der Vertragspartner sodann mit dem Hauptvertrag annimmt, wenn der Vertrag speicher- und druckbar ist.”Koreng/Lachenmann DatenschutzR-FormHdB | 1. Vergleich Auftragsverarbeitung nach dem BDSG und der DS-GVO Rn. 1. – 7. – beck-online

Fazit

Durch Annahme der OST mit dem anhängigen DPA als Bestandteil eines Volumenlizenvertrags zu Office 365 ist aktuell den Vorgaben der DS-GVO nach Art. 28 zum Abschluss eine Vertrages zur Auftragsverarbeitung zwischen Schule als Auftraggeber und Microsoft als Auftragnehmer Genüge getan. Rein vertraglich sind hier auch die erforderlichen Vorgaben bezüglich des Exports von Daten in Drittstaaten abgedeckt, da Microsoft auch das EU-US Privacy Shield Übereinkommen unterzeichnet und sich damit entsprechend zertifiziert hat.

Schulen, die einen Volumenlizenvertrag mit Microsoft abschließen, sollten dabei auf zwei Dinge achten, um im Sinne von Art. 28 den Abschluss eines Vertrags bzw. anderen Rechtsinstrumentes zur Regelung der Auftragsdatenverarbeitung dokumentieren zu können:

  • Die Seite, wo die Vertragsbedingungen zum Volumenlizenzvertrag angenommen werden, sollten mit gesetzen Häkchen ausgedruckt werden.
  • Über den Link zu den OST und DPA sollten die aktuellen Online Service-Nutzungsbedingungen des Monats sowie das Online Services Data Protection Addendum (DPA) heruntergeladen und abgespeichert werden.

Wo Fragen bleiben

Ein gänzlich anderes Thema und wesentlich bedeutsamer als der Vertrag ist die Frage, ob Microsoft tatsächlich den vertraglich zugesicherten Angaben gerecht wird bzw. werden kann. Die Aufsichtsbehörden sind sich hier trotz aller Zusicherungen durch und Zertifizierungen von Microsoft nicht sicher. Für sie bleiben Fragen ungeklärt. Aus diesem Grund sprechen sie bisher keine Empfehlung aus. Ein Verbot gibt es jedoch auch nicht von offizieller Stelle, zumindest in NRW. Hierzu an anderer Stelle mehr.

Wer ist verantwortlich?

Auch wenn Microsoft den Formalien eines AVV entspricht und Schulen so rechtswirksam ihrer Pflicht nach Art. 28 nachkommen können, so kann es für Schulen rein rechtlich zum Problem werden, wenn der Vertrag durch den Schulträger abgeschlossen wurde. Das könnte an einigen Stellen der Fall sein. Eine rechtswirksame Vereinbarung im Sinne von Art. 28 Abs. 3 muss immer zwischen dem Verantwortlichen als Auftraggeber und dem Dienstleister als Verarbeiter bzw. als Auftragnehmer abgeschlossen werden. Verantwortlicher ist bei Schulen immer die Schulleitung. Eine nachträgliche Änderung wird vermutlich nahezu unmöglich sein, vor allem, wenn der Schulträger den Vertrag für mehrere Schulen abgeschlossen hat. Schulträger haben oft Volumenlizenzverträge für die kommunalen Verwaltungen abgeschlossen und werden entsprechend EDU Volumenlizenzverträge an die bestehende Instanz anhängen. Auch das wird eine Änderung erschweren bis unmöglich machen.8Ich kenne bisher leider zu wenige aktuelle Beispiel, wie Schulträger dieses regeln, um dieses sicher beurteilen zu können. Gänzlich anders sollte die Sache aussehen, wenn der Schulträger einen Rahmenvertrag mit Microsoft abgeschlossen hat. Tritt eine Schule diesem bei, tut sie dieses in eigener Verantwortung und kann ganz regulär die OST mit dem anhängigen DPA mit Microsoft abschließen.

Für den Fall, dass der Schulträger die Lizenenzen beschafft, ist es durchaus möglich, dass die Schule einen Vertrag zur Auftragsverarbeitung mit dem Schulträger selbst abschließt, der wiederum seinerseits die OST mit dem anhängigen DPA mit Microsoft vereinbart. Microsoft taucht dann im Vertrag zur Auftragsverarbeitung zwischen Schule und Schulträger als Unterverarbeiter auf. Stellt der Schulträger Lizenzen für mehrere Schulen zur Verfügung, sollte für jeder Schule ein eigener Tenant angelegt werden, um die Instanzen auch rechtlich sauber von einander zutrennen.

Es spricht aus rechtlicher Sicht durchaus etwas dafür, dass der Schulträger den Vertrag mit Microsoft abschließt, da er so ein Stück weit mit in die Verantwortung genommen wird.

Links:

Stand 06/2020

Einwilligungen Schule (NRW)

Lesezeit: 8 Minuten

Datenschutzrechtliche Einwilligungen

Schulen dürfen viele personenbezogenen Daten auf gesetzlicher Grundlage verarbeiten. Für alle anderen personenbezogenen Daten, die eine Schule verarbeiten möchte, braucht es eine datenschutzrechtliche Einwilligung. Bitte beachten Sie, dass diese Einwilligungen auf die schulrechtlichen Vorgaben von NRW ausgelegt sind.1Je nach Bundesland sind einige Einwilligungen nicht erforderlich oder müssen entsprechend der rechtlichen Vorgaben der jeweiligen Schulgesetze und abgeleiteten Dienstanweisungen modifiziert werden.

Allgemeine Einwilligung personenbezogene Daten, Fotos & Videos

Wenn es um die Nutzung von personenbezogenen Daten im allgemeinen Rahmen geht, für die Presse und die Schulhomepage, wie auch die unterrichtliche Nutzung von Videoaufnahmen, dann genügt diese Einwilligung. Für alle darüber hinausgehenden Nutzungen ist eine gesonderte, anlassbezogene datenschutzrechtliche Einwilligung einzuholen.

Beispiele dafür finden sich unter Download weitere Einwilligungen (NRW)2Die Sammlung dort wird ergänzt, wie der Bedarf entsteht.

Die Einwilligung ist durch die Schulleitung zu unterschreiben (am besten vor dem Vervielfältigen). Zu ergänzen ist auch die URL der Schulhomepage. Für Videoaufnahmen im Rahmen des Sportunterrichts oder sonstigen Unterrichts ist ein Zweck zu definieren. Aufnahmen dürfen dann auch nur diesem Zweck entsprechend gemacht werden. Als Datenschutzbeauftragter wird der behördlich bestellte DSB eingetragen.

Diese Einwilligungen entsprechen den Vorgaben der Datenschutz Grundverordnung und wurden aus Vorlagen aus BaWü adaptiert.3Siehe auch Datenschutz an Schulen, Formulare.

Allgemeine Einwilligung personenbezogene Daten & Fotos (ohne Videos)

Nicht jede Grundschule möchte Videos zu Unterrichtszwecken nutzen. Dafür gibt es die Version ohne Einwilligung für Videoaufnahmen.

Einwilligung Schüler für die Anfertigung von Fotos und Veröffentlichung mit alphabetischer Namensliste

Diese Einwilligung ist nutzbar, wenn es um Fotos/ Gruppenfotos und Veröffentlichungen im Rahmen der Entlassung geht. Für andere Zwecke ist die Einwilligung leicht anzupassen. Anders als die anderen Einwilligungen ist diese auf unbegrenzte Gültigkeit ausgelegt, wie das bei Entlassbildern Sinn machen kann.

Einwilligung Schüler für die Anfertigung von Fotos für eine Fotowand und Klassenfotos für die Klasse

Ein Beispiel für eine anlassbezogene Einwilligung. Es geht darum, Fotos für eine Fotowand in der Schule anzufertigen und Klassenfotos, die an Mitschüler und Lehrkräfte in der Klasse ausgegeben werden sollen.

Einwilligung Schüler für die Anfertigung von Videoaufzeichnungen innerhalb des Unterrichts

Der exakte Zweck ist in der Einwilligung anzugeben. Für spätere Unterrichtsvorhaben, die einen anderen Zweck haben, ist eine neue angepasste Einwilligung einzuholen.

Einwilligung Schüler für die Verarbeitung von Daten zwecks Erstellung eines Schülerausweises

Firmen bieten als Service das Anfertigen von Schülerausweisen im Scheckkartenformat an. Das geht nicht ohne eine umfassende Erklärung über die geplante Datenverarbeitung und auch die (eventuelle) Beauftragung eines Fotografen mit der Anfertigung des für den Schülerausweis notwendigen Fotos. Die personenbezogenen Daten, die auf den Schülerausweis kommen, sind entsprechend anzupassen.4Im November 2018 habe ich diese Einwilligung verändert. Es entfällt die Einwilligung in die Übermittlung an die Firma, da es sich hier um eine Datenverarbeitung im Auftrag handelt. Eine Einwilligung in die Verarbeitung ist jedoch trotzdem erforderlich mit einer umfassenden Information in die Erstellung im Auftrag durch eine Firma. Hintergrund: Bei der LDI NRW vertritt man die Meinung, dass es sich bei der Anfertigung von Schülerausweisen auf Wunsch der Schüler um eine Aufgabe der Schule handelt und eine Anfertigung durch eine Firma von daher nur im Rahmen eines  Auftragsverarbeitungsvertragtes erfolgen kann, womit “Übermittlung” nicht zutreffend ist.

Für Schulen, welche ihre Schülerausweise selbst erstellen, sind die folgenden Anträge mit Einwilligung gedacht.

Einwilligung Lehrkräfte personenbezogene Daten (mit Einwilligung Funktionsdaten)

Auch wenn nach  §§ 12 und 9 Absatz 3
Informationsfreiheitsgesetz Nordrhein-Westfalen dienstliche Kommunikationsdaten auch ohne Einwilligung der Lehrkräfte auf der Schulhomepage veröffentlicht werden können, empfiehlt es sich vielleicht, doch lieber eine Einwilligung einzuholen, um den Frieden im Kollegium zu wahren.

Einwilligung Lehrkräfte personenbezogene Daten (ohne Einwilligung Funktionsdaten)

Diese Einwilligung geht von §§ 12 und 9 Absatz 3 Informationsfreiheitsgesetz Nordrhein-Westfalen aus, wonach dienstliche Kommunikationsdaten auch ohne Einwilligung der Lehrkräfte auf der Schulhomepage veröffentlicht werden können. Siehe dazu auch den Beitrag “Welche personenbezogenen Daten von Lehrkräften dürfen OHNE Einwilligung auf die Schulhomepage?” Die Einwilligung informiert darüber und räumt die Möglichkeit ein, zu widersprechen, wenn diesem schutzwürdige Belange entgegenstehen.

Einwilligung Lehrkräfte – freiwillige Angaben

Ahnlich wie bei Schülern gibt es auch bei Lehrkräften einige personenbezogene Daten, deren Angabe freiwillig ist. Entsprechend dürfen diese Daten auch nur verarbeitet werden, wenn die Einwilligung dafür nachgewiesen werden kann. Das sind Angaben zu besonderen Kenntnissen und Erfahrungen.5VO-DV II Anlage 2, Fußnote (1) Angabe ist freiwillig und kann widerrufen werden.). Bei der privaten E-Mail Adresse, Fax6VO-DV II Anlage 1 Nr. 1.10 und Wünschen zum Unterrichtseinsatz7VO-DV II Anlage 1 Nr. 7.8 ist eine Einwilligung nur zu dokumentieren, wenn die Angaben im Einzelfall nicht erforderlich sind, aber freiwillig erfolgen.8Ob man diese Einwilligung einholen sollte, um sich abzusichern, muss jede Schule für sich entscheiden. Rein formal wäre sie nach der DS-GVO erforderlich, da die Angabe von besonderen Kenntnissen und Erfahrungen nach der VO-DV II auf jeden Fall freiwillig ist. Das entspricht einer Verarbeitung nach Art. 6 lit. a – Verarbeitung auf der Grundlage einer Einwilligung. Eine solche ist immer nachzweisen, vor allem, wenn Daten digital verarbeitet werden, d.h. hier, wenn die Schulleitung diese Informationen in ihrer Akte der Schulleitung digital speichert.

Einwilligung Lehrkräfte – elektronische Schließanlage

Schulträger setzen heute zunehmend auf elektronische Schließanlagen zur Zutrittssicherung der Schulgebäude. Da eine solche Schließanlage und die zugehörige Verwaltungssoftware personenbezogene Daten verarbeiten, ist eine Einwilligung erforderlich. Diese wird durch Hinweise zur Nutzung ergänzt. Bitte beachten Sie, dass der datenschutzkonforme Betrieb einer elektronischen Schließanlage in NRW nur unter bestimmten Voraussetzungen möglich ist. 9Weitere Hinweise darauf finden sich im Anhang der Einwilligungsvorlage und im Beitrag Elektronische Schließanlagen in Schulen – ein Problem – zwei Sichten

Einwilligung Lehrkräfte – Kollegiumsliste

Eine Kollegiumsliste, welche über dienstliche Informationen hinaus auch private Daten enthält, setzt eine Einwilligung der Betroffenen voraus, wenn sie im Kollegium veröffentlicht werden soll, da dieses einer Übermittlung an Dritte gleichkommt. Die Vorlage enthält zwei alternative Vorlagen, eine für eine ganz normale Einwilligung, bei welcher die Lehrkräfte die Daten in die Einwilligung eintragen, welche sie in der Kollegiumsliste zulassen, und die andere eine Datenschutzinformation und eine Liste. Die Einwilligung wird dort durch die Eintragungen in die Liste abgegeben.

Einwilligung Erziehungsberechtigte zusätzliche Daten zur Erreichbarkeit

Nach VO-DV I Anlage I dürfen bestimmte Daten der Erreichbarkeit von Erziehungsberechtigten nur mit einer Einwilligung verarbeitet werden. Das sind die Faxnummer am Wohnort, die private E-Mail Adresse und die Telefonnummer am Arbeitsplatz. Eine Einwilligung ist auch für die Verarbeitung von Notfallinformationen erforderlich. In der zweiten Version ist die Vorlage ergänzt um eine Einwilligung zur Nutzung von Daten für eine Klassenliste, die an die Eltern in der Klasse verteilt werden darf.

Anmeldebogen Grundschule mit Einwilligung zusätzliche Daten zur Erreichbarkeit

Wer Papier sparen möchte, ist mit diesem Anmeldebogen richtig, denn er erhebt nicht nur die üblichen Informationen, sondern auch die zusätzlichen Daten zur Erreichbarkeit und holt zu deren Nutzung durch die Schule eine Einwilligung ein. Dazu kommt noch eine Einwilligung zur Nutzung von Informationen für eine Klassenliste, welche an alle Eltern der Klasse ausgegeben wird, und das alles auf nur zwei Seiten. Wichtig! Dieser Vordruck kann nur in Kombination mit dem passenden Informationen zur Datenverarbeitung genutzt werden. Detaillierte Erklärungen sind dem Vordruck als 3. Seite angefügt.

Einholen von Einwilligungen Grundschule für Medienarbeit im Unterricht und Veröffentlichungen in Form eines Heftes

Das Heft informiert über die  Arbeit mit Bild, Ton und Video im Unterricht, mögliche Präsentationen der Ergebnisse sowie die Öffentlichkeitsarbeit der Schule und holt für alles dieses die erforderlichen Einwilligungen ein. Eine ausführlichere Erklärung findet sich unter Das Einholen von Einwilligungen attraktiv gestalten.

Einwilligung zur Übermittlung von personenbezogenen Daten von Schülern zur Erstellung einer Schülerfahrkarte

Ob und wann eine Einwilligung erforderlich ist, hängt davon ab, wer der Empfänger ist, der Schulträger oder ein Verkehrsunternehmen. Je nach Auslegung der rechtlichen Vorgaben kann auch bei der Vergabe eines Schülertickets an alle Schüler, auch die ohne gesetzlichen Anspruch, eine Einwilligung erfordern. Siehe hierzu den Beitrag: Schülerfahrverkehr – wann braucht es eine Einwilligung in die Datenübermittlung?

Einwilligung Schüler/ Lehrkräfte – schulisches WLAN

Diese Einwilligung deckt den Fall ab, dass mit privaten Endgeräten und/ oder schulischen Leihgeräten auf ein verwaltetes schulisches WLAN mit individualisierten Zugängen zugegriffen wird.

Einwilligung Schüler in Verarbeitung personenbezogener Daten bei der Nutzung des pädagogischen Netzes und schulischen WLAN (BYOD) + Feld für Nutzungsvereinbarung und Anerkennung derselben

Dieses Formular besteht aus zwei Teilen. Im ersten Teil findet sich vorbereitet Platz für eine Nutzervereinbarung zur Nutzung des pädagogischen Netzes und eine Nutzervereinbarung zur Nutzung des schulischen WLAN mit einem eigenen Gerät (BYOD). Darunter finden sich die entsprechenden Informationen zur Verarbeitung von personenbezogenen Daten entsprechend Art. 13 DS-GVO. Auf diesen ersten Teil, der beim Nutzer verbleibt, nimmt das letzte Blatt bezug. Hier findet sich die Anerkennung der Nutzervereinbarung und die Einwilligung in die Datenverarbeitung. Nutzervereinbarungen für das pädagogische Netz und schulische WLAN findet man im Internet leicht, passt sie an und setzt sie im ersten Teil ein. Bei den Angaben  entsprechend Art. 13 DS-GVO sollte man die Kategorien personenbezogener Daten auf die technischen Gegebenheiten der Schule anpassen. Der gesamte Vordruck lässt sich leicht anpassen, indem man etwa den WLAN Teil herausnimmt, wenn solches nicht benötigt wird.

Einwilligung Schüler in Verarbeitung personenbezogener Daten bei der Nutzung des pädagogischen Netzes und von Office 365 + Nutzungsvereinbarung

Viele Schulen nutzen mittlerweile Office 365, teilweise in der ProPlus Variante. In der Regel hat die Schule auch ein pädagogisches Netz, in welchem lokal gearbeitet werden kann, über welches jedoch auch ein Zugang zu Office 365 möglich ist. Damit dieses datenschutzrechtlichen Anforderungen genügt, braucht es eine Nutzungsvereinbarung und eine Einwilligung. 11Die Vorlage müsste gegebenenfalls noch um einen Antrag auf den ProPlus Zugang ergänzt werden, je nach dem welches Modell genutzt wird. In einigen Kommunen, zahlt der Schulträger und man kann den ProPlus Zugang mit Annahme der Nutzungsvereinbarung und Einwilligung ausgeben. Manche Kommunen erwarten eine finanzielle Beteiligung. Hier müsste eine Anpassung erfolgen.

Einwilligung Schüler in Verarbeitung personenbezogener Daten bei der Nutzung von G Suite for Education + Nutzungsvereinbarung

Auch die G Suite for Education erfreut sich an Schulen trotz Vorbehalten zunehmender Beliebtheit. Die Plattform, die mittlerweile das C5 Testat des BSI vorweisen kann, wird komplett online genutzt. Diese Einwilligung ist mit einer Nutzungsvereinbarung kombiniert, welche sicherstellt, dass die Plattform mit geringem Risiko für die Betroffenen genutzt wird. Sie berücksichtigt außerdem die geänderte Rechtslage durch das Ende des EU-US Privacy Shield.

Einwilligung Schüler in Verarbeitung personenbezogener Daten bei der Nutzung von Apple iPads mit managed Apple ID

iPads werden mittlerweile an vielen Schulen genutzt. Spätestens wenn mit managed Apple IDs gearbeitet wird, etwa wenn es um shared iPads geht, muss über die erforderliche Verarbeitung von personenbezogenen Daten informiert und eine Einwilligung eingeholt werden. Hierbei ist dann ASM zu berücksichtigen und das genutzte MDM, in diesem Fall JamfSchool. Da MDM zur Verwaltung von iOS Geräten in ihren Funktionen oft ähnlich sind, kann die Vorlage leicht angepasst werden. Eine mit einer Nutzungsvereinbarung kombinierte Vorlage ist in Vorbereitung.

Nutzungsvereinbarung – Einwilligung – NextCloud

Die open source Plattform NextCloud ist eine sehr datenschutzfreundliche Cloud-Lösung für Schulen, um Teamarbeit im Kollegium zu gestalten wie auch sie im Unterricht mit Schülern zu nutzen. Hier wird von einer NextCloud ausgegangen, die von einem Dienstleister betrieben wird. Weitere Infos unter NextCloud – Plattform – Datenschutz für Schulen mit Open Source.

Nutzungsvereinbarung – Einwilligung – IServ

IServ ist ein Schulserver, der ganz klassisch in der Schule betrieben werden kann, mittlerweile jedoch auch als reine Cloud Version verfügbar ist. Er ist modular aufgebaut und setzt dabei auf viele Open Source Komponenten. Auch lokal betriebene IServ sind über ein Webportal von überall aus erreichbar. Als Schulserver ist IServ für die Organisation, Durchführung und Vor- und Nachbereitung von Unterricht sowie die damit zusammenhängende Kommunikation konzipiert. Eine Nutzung für schulinterne Verwaltungsaufgaben und die pädagogische Dokumentation ist dabei nicht vorgesehen. Auch wenn IServ auf seiner Seite viele Unterlagen bereithält, gibt es aufgrund mehrfacher Nachfrage hier Vorlagen.

Einwilligung Schüler in die Teilnahme an einer wissenschaftlichen Untersuchung/ Befragung

Die Teilnahme an wissenschaftlichen Untersuchungen und Befragungen ist nach §120 Abs. 4 SchulG NRW nur mit Einwilligung der Betroffenen zulässig. Die folgende Vorlage muss auf die jeweilige Situation angepasst werden. Wichtig ist dabei, dass die Betroffenen eine informierte Entscheidung treffen können.12Sehr nützlich in dem Zusammenhang ist eine Checkliste aus Rheinland Pfalz, die man als Schule vor Einholen der Einwilligung unbedingt berücksichtigen sollte.

Leseplattform Antolin

Der Westermann Verlag stellt die Plattform Antolin zur Verfügung. Die Verarbeitung der dafür erforderlichen Daten ist nur mit Einwilligung zulässig. Die beiden Vorlagen lassen sich auch leicht auf andere Angebote des Verlages wie Zahlenzorro anpassen.13Die passende Dokumentation für das Verzeichnis der Verarbeitungstätigkeiten findet sich unter Verzeichnis von Verarbeitungstätigkeiten

Einwilligung und Entbindung von der Schweigepflicht

Wann es einer Einwilligung in die Übermittlung von personenbezogenen Daten bedarf und wann einer Entbindung von der Schweigepflicht wird im Datenschutz und Schweigepflicht erklärt.

In einigen Situation kann auch ein kombiniertes Formular erforderlich sein.

Für die Entbindung von der Schweigepflicht zwischen Kita und Grundschule ist die folgende Vorlage gedacht. Weitere Infos zur Thematik unter Austausch von Grundschule und Kita.


Weiter zu Beispiele für anlassbezogene Einwilligungen.