Office 365 an Schulen: LfDI BW rät (endgültig) ab

Im Rahmen eines Pilotprojekts hatte der LfDI BW bereits 2019 geprüft, ob die in der hierzu erstellten Datenschutz-Folgenabschätzung beschriebenen Datenflüsse auch den tatsächlich messbaren Übermittlungen entsprechen und ob ein hinreichendes Datenschutzniveau auch in der Praxis besteht.

Für die Bausteine, bei denen Lösungen von Microsofts Office 365 zum Einsatz kommen sollen, hatte das Ministerium für Kultus, Jugend und Sport Baden-Württemberg vor geraumer Zeit mit externen Partnern eine Datenschutz-Folgenabschätzung (DSFA) erarbeitet. Die DSFA wurde in Absprache und enger Kooperation mit dem Landesbeauftragten für den Datenschutz und die Informationsfreiheit (LfDI) Dr. Stefan Brink beraten und weiterentwickelt.

Im Wesentlichen hat der LfDI BW nach eigenen Angaben geprüft, ob die in der DSFA vorgeschlagenen Abhilfemaßnahmen zur Minimierung der Risiken der Microsoft-Software tatsächlich umgesetzt wurden und sich als ausreichend erwiesen. Daneben stand im Fokus der Prüfungen, welche Datenflüsse beim Pilotbetrieb tatsächlich messbar stattfanden, insbesondere ob unerwünschte beziehungsweise nicht angeforderte Datenverarbeitungen, beispielsweise von Telemetrie-, Diagnose- (oder anders bezeichneten) Daten, erkennbar waren und inwieweit die Verarbeitung personenbezogener Daten von Lehrern und Schülern zu eigenen Zwecken Microsofts festgestellt werden konnten.

Für einen Pilotbetrieb zwischen Herbst 2020 und Frühling 2021 wurde nach Angaben des LfDI BW vom Kultusministerium in Zusammenarbeit mit den beteiligten Dienstleistern und hochrangigen Vertretern von Microsoft eine funktionell eingeschränkte und möglichst datenschutzkonforme Konfiguration von MS 365 gewählt. Datenschutzrechtlich besonders bedenkliche Funktionen von MS 365 waren abgeschaltet bzw. wurden soweit möglich deaktiviert, wie z.B. die Erfassung von Telemetrie- und Diagnosedaten. Weiterhin wurden zusätzliche Sicherheitsfunktionen implementiert und Accounts nur für Lehrkräfte vergeben, nicht jedoch für Schülerinnen und Schüler.

Viele hatten wohl auf einen Ritterschlag als Ergebnis der DSFA und des Pilorprojekts gehofft, damit der womöglich geplante Einsatz auch tatsächlich im Unternehmen empfohlen werden kann. Das Ergebnis des LfDI BW fiel jedoch mehr als ernüchternd aus:

Die Risiken beim Einsatz der nun erprobten Microsoft-Dienste im Schulbereich bewertete der LfDI BW als inakzeptabel hoch und rät davon ab, diese dort zu nutzen. Die Schulen seien weder in der Lage ihren Rechenschaftspflichten aus Art. 5 Abs. 2 DS-GVO gerecht zu werden, noch sei eine hinreichende Rechtsgrundlage für stattfindende Datenübermittlungen in Regionen außerhalb der EU erkennbar.

Der LfDI hat auch im Rahmen des Pilotprojekts ein sehr hohes Risiko für die Verletzung von Rechten und Freiheiten betroffener Personen festgestellt, v.a. weil hier mit personenbezogene Daten von Schülerinnen und Schülern, d.h. zum großen Teil von Minderjährigen, die unter besonderen Schutz des Staates stehen und deren besonderer Schutzbedürftigkeit auch die Datenschutz-Grundverordnung anerkennt, gearbeitet werde. Da im Piloten eine sehr restriktive Konfiguration geprüft wurde, geht der LfDI davon aus, dass auch andere Konfigurationen entsprechende oder weitergehende datenschutzrechtliche Problem aufwerfen und deswegen kaum datenschutzkonform betrieben werden können.

Die erhoffte Lösung im Bereich Office 365 scheint also noch nicht gefunden worden zu sein.

(Foto: griangraf – stock.adobe.com)