Empfehlung des LfDI hinsichtlich der Nutzung der geprüften Version von Microsoft Office 365 an Schulen

Bildungsplattform BW: LfDI rät aufgrund hoher datenschutzrechtlicher Risiken von der Nutzung der geprüften Version von Microsoft Office 365 an Schulen ab – Alternativen sollten gestärkt werden

Hintergründe und Folgen der Empfehlung

Das Kultusministerium hatte vorgesehen, als Teil der Bildungsplattform für Schulen eine speziell konfigurierte Version von Microsoft 365 des US-Software-Herstellers Microsoft zu integrieren, um Lehrern, Schülern und Eltern eine geeignete digitale Infrastruktur für Unterricht und Bildung zur Verfügung zu stellen.

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Stefan Brink wurde vom Ministerium gebeten, in einem Pilotprojekt zur Einführung dieser Software von Mitte Januar bis Ende März beratend tätig zu sein.

In diesem Rahmen prüfte der LfDI die speziell für den Einsatz im Schulbetrieb konfigurierte Version des Produktes MS 365 in einem Praxistest. Über die hierzu notwendige Technik verfügt der Landesbeauftragte, seit ihm Mittel für ein eigenes Prüflabor vom Parlament zur Verfügung gestellt wurden.

Im Wesentlichen wurde geprüft, ob die in der Datenschutz-Folgenabschätzung (DSFA) des Ministeriums vom Oktober 2020 (Pressemitteilung des Landesbeauftragten „LfDI begleitet Pilotprojekt des Kultusministeriums zur Nutzung von Microsoft Office 365 an Schulen“) vorgeschlagenen Abhilfemaßnahmen zur Minimierung der Risiken der Microsoft-Software tatsächlich umgesetzt wurden und sich als ausreichend erwiesen; geprüft wurde auch, welche Datenflüsse beim Pilotbetrieb tatsächlich messbar stattfanden, insbesondere ob unerwünschte beziehungsweise nicht angeforderte Datenverarbeitungen, beispielsweise von Telemetrie-, Diagnose- (oder anders bezeichneten) Daten, erkennbar waren und inwieweit die Verarbeitung personenbezogener Daten von Lehrern und Schülern zu eigenen Zwecken Microsofts festzustellen sind.
Im Rahmen dieser Prüfung wurde zudem untersucht, ob Daten in Drittstaaten außerhalb des Geltungsbereichs der DS-GVO fließen und ob durch eine sichere verschlüsselte Kommunikation die Möglichkeiten eines Zugriffs seitens des Anbieters oder Dritter wirksam eingeschränkt werden konnten.

Zu den Prüfungen im Praxistest wurden in mehreren Bereichen Stichproben genommen. Während seiner Beratung war der LfDI in regelmäßigem Austausch mit dem Kultusministerium und Vertretern des Software- und Dienste-Anbieters.

Wenngleich die Prüfungen aufgrund des Umfangs und Weiterentwicklung der Dienste nicht abschließend sein konnten, so waren deren Ergebnisse doch hinreichend klar, um eine Empfehlung an das Kultusministerium zu richten.

Der Landesbeauftragte Stefan Brink bewertet die Risiken beim Einsatz der nun erprobten Microsoft-Dienste im Schulbereich als inakzeptabel hoch und rät davon ab, diese dort zu nutzen. Der Landesbeauftragte empfiehlt ferner, die im Schulbereich vorhandenen Alternativen weiter zu stärken.

„Schülerinnen und Schüler, Eltern und Lehrerinnen und Lehrer wollen digitale und rechtssichere Lösungen für den Unterricht. Wir unterstützen das“, so Stefan Brink. Deswegen wurde mit hohem Einsatz im Rahmen des Pilotprojekts versucht, Klarheit über Datenflüsse, Rechtsgrundlagen und technische Maßnahmen des Anbieters zu erlangen, was jedoch im Ergebnis nicht zufriedenstellend gelungen sei.

Verantwortliche – und das sind die Schulen (vgl. Artikel 4 Nr. 7 DS-GVO) – haben beim gewählten System keine vollständige Kontrolle über das Gesamtsystem und den US-amerikanischen Auftragsverarbeiter. Sie können nach der Bewertung des Landesbeauftragten derzeit nicht ausreichend nachvollziehen, welche personenbezogenen Daten wie und zu welchen Zwecken verarbeitet werden und sie können nicht nachweisen, dass die Verarbeitung auf das für diesen Zweck notwendige Minimum reduziert ist. All das müssten sie aber, um ihrer Rechenschaftspflicht aus Artikel 5 Absatz 2 DS-GVO gerecht zu werden. Zudem ist für einige Übermittlungen persönlicher Daten an Microsoft – teilweise auch in Regionen außerhalb der EU – keine Rechtsgrundlage erkennbar, die nach DS-GVO aber erforderlich ist. Das gilt insbesondere auch für internationale Datenflüsse im Lichte des Schrems II Urteils des Europäischen Gerichtshofs aus dem Jahr 2020.

Für den Schulbereich hat der LfDI daher ein hohes Risiko der Verletzung von Rechten und Freiheiten betroffener Personen festgestellt. Dies gilt für die ins Auge gefasste Erweiterung des Systems um Konten für die Schülerinnen und Schüler umso mehr. Der Staat hat eine Garantenstellung für die in der Regel minderjährigen Schülerinnen und Schüler, welche zudem der staatlichen Schulpflicht unterliegen und daher der Verwendung ihrer persönlichen Daten nicht ausweichen können. In dieser Konstellation bewertet der Landesbeauftragte das Risiko der eingesetzten Software als inakzeptabel hoch.

LfDI Brink: „Es erscheint zwar nicht gänzlich ausgeschlossen, mit anderen Varianten der im Pilotversuch genutzten Produkte und unter wesentlich modifizierten Einsatzbedingungen damit im Schulbereich rechtskonform zu arbeiten. Es ist in den vergangenen Monaten auch nach intensiver Zusammenarbeit und mit hohem Personaleinsatz aber nicht gelungen, eine solche Lösung zu finden.“ Angesichts dieses Ergebnisses erscheint es mehr als fraglich, ob es den für die Datenverarbeitungen verantwortlichen Schulen, auch mit Unterstützung durch das Kultusministerium, in absehbarer Zeit gelingen kann, die getesteten Produkte rechtssicher zu nutzen.

Aus Sicht des LfDI hat eine Bildungsplattform durchaus weiter Zukunft. Sie könnte beispielsweise aus unterschiedlichen Tools wie zum Beispiel Big Blue Button und Moodle bestehen, die bereits jetzt intensiv von den Schulen im Land genutzt werden. Da diese vom Land selbst betrieben werden, liegen damit zahlreiche im Pilotprojekt festgestellte Risiken hier prinzipiell nicht vor.

Der Landesbeauftragte wird vor den Sommer-Schulferien aus eigener Initiative keine Prüfungen in Schulen mit der Zielsetzung einer Untersagung von Produkten vornehmen. Ab dem Beginn des neuen Schuljahres jedoch wird die Behörde allen dann vorliegenden Beschwerden mit Nachdruck nachgehen.

Für alle übrigen öffentlichen und privaten Nutzer solcher Software gelten weiterhin die vom Landesbeauftragten insbesondere in seiner Handreichung „Schrems II – Was jetzt in Sachen internationaler Datentransfer?“ dargestellten Maßgaben, die auf der Homepage des Landesbeauftragten abrufbar ist: Alle Verantwortlichen müssen eine Risikobewertung mit Blick auf die konkret verarbeiteten Daten vornehmen und sich nachvollziehbar mit den Rechtsgrundlagen ihrer Datenverarbeitungen befassen. Diese Rechtsgrundlagen unterscheiden sich im öffentlichen und privaten Sektor zum Teil erheblich, so können Behörden grundsätzlich keine Daten auf Basis eines ‚berechtigten Interesses‘ verarbeiten und sind auch bei der Nutzung von Einwilligungen eingeschränkt. Der LfDI betont dabei, dass bei dieser Betrachtung pauschale Aussagen wie etwa, dass eine Software immer oder nie datenschutzkonform einsetzbar sei, zu undifferenziert und nicht überzeugend sind. Beim Einsatz außereuropäischer Anbieter ist auch stets zu prüfen, ob es Alternativen gibt, die eine weniger risikoreiche Verarbeitung ermöglichen.

Weitere Informationen:

Das Kulturministerium hat das Pilotprojekt initiiert und den Projektgegenstand und -zeitlauf bestimmt. Etwa 3 Monate dauerte die Praxisprüfung. Bereits vorher hat der LfDI verschiedene Prüfungen durchgeführt, unter anderem im Kontext der zweiten Datenschutz-Folgenabschätzung des Kultusministeriums. Diese Prüfungen des LfDI dienten unter anderem dazu, mögliche Risiken zu identifizieren und frühzeitig Abhilfemaßnahmen zu schaffen. Nach der Pilotphase hat der LfDI die Ergebnisse ausgewertet und in einer Stellungnahme eine Empfehlung an das für die Bildungsplattform zuständige Ministerium abgegeben. Der LfDI war beratend im Pilotprojekt tätig, in diesem Rahmen trifft er keine Anordnungen und spricht keine Untersagungen aus. Diese Beratungstätigkeit ist mit der Beendigung des Piloten abgeschlossen.

Die Stellungnahme selbst kann derzeit noch nicht veröffentlicht werden. Nach einem für eine Veröffentlichung vorgesehenen Beteiligungsverfahren (hier sind das Kultusministerium und Microsoft zu beteiligen) wird dann dem Ergebnis entsprechend eine Veröffentlichung auf der Homepage des LfDI vorgenommen.

Pressemitteilung vom LfDI vom 30.10.2020:
https://www.baden-wuerttemberg.datenschutz.de/lfdi-begleitet-pilotprojekt-des-kultusministeriums-zur-nutzung-von-microsoft-office-365-an-schulen

Handreichung „Schrems II – Was jetzt in Sachen internationaler Datentransfer?“:
https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2020/08/Orientierungshilfe-Was-jetzt-in-Sachen-internationaler-Datentransfer.pdf

Diese Pressemitteilung als PDF-Dokument aufrufen.

Hier gehts zum LfDI-Podcast Datenfreiheit, Folge 13, „Ergebnis Praxistest MS Office 365 an Schulen“:
https://www.baden-wuerttemberg.datenschutz.de/datenfreiheit/

Für Rückfragen erreichen Sie uns unter der Telefonnummer
0711/615541-23 und per E-Mail: pressestelle@lfdi.bwl.de

Weitere Informationen zu Datenschutz und Informationsfreiheit finden Sie im Internet unter www.baden-wuerttemberg.datenschutz.de oder unter www.datenschutz.de.

Tätigkeitsbericht Datenschutz 2023

Bildungszentrum BIDIB

News & Soziale Medien

Cookies , Kommunen, Vereine, …

DS-GVO.clever

DS-GV.clever

Kontakt

Der LfDI auf Mastodon