Datenschützer: Microsoft Office 365 ist an Schulen unzulässig

Der Einsatz von Microsofts Cloud-Anwendung Office 365 ist an Schulen derzeit unzulässig. Das stellt Michael Ronellenfitsch, der Datenschutzbeauftragte des deutschen Bundeslandes Hessen, in einer aktuellen Aussendung fest. Das Grundproblem sei die Speicherung personenbezogener Daten in der Cloud, da auch bei einer Speicherung innerhalb Europas die „digitale Souveränität staatlicher Datenverarbeitung“ nicht gewährleistet sei.

Erschwerend komme hinzu, dass Microsoft trotz anhaltender Gespräche nicht garantieren kann, dass es keinen „möglichen Zugriff US-amerikanischer Behörden“ gibt. Zudem sei unklar, wozu die bei der Nutzung übermittelten Telemetrie-Daten genutzt werden.

Einwilligung nutzlos

Bislang erforderte bereits die schulinterne Verarbeitung und Speicherung personenbezogener Daten die ausdrückliche Einwilligung der Betroffenen. Bei Cloud-Lösungen sei das aber deutlich komplexer. Mit einer einfachen Einwilligung lasse sich das Office-365-Problem ohnedies nicht lösen, so Ronellenfitsch, da „Sicherheit und Nachvollziehbarkeit der Datenverarbeitungsprozesse nicht gewährleistet“ seien.

Die Kritik treffe aber auch auf entsprechende Lösungen von Apple und Google, beispielsweise Chromebooks und Google Drive, zu. Bereits im März warnten ARGE Daten, dass der Einsatz von Google-Cloud-Lösungen an österreichischen Schulen gegen die Datenschutzgrundverordnung verstoßen könnte.

Microsoft muss einlenken

Die hessischen Datenschützer wollen nun das Gespräch mit Microsoft suchen. Hier sei man aber vor allem darauf angewiesen, dass der US-Konzern Zugeständnisse macht: „Sobald insbesondere die möglichen Zugriffe Dritter auf die in der Cloud liegenden Daten sowie das Thema der Telemetrie-Daten nachvollziehbar und datenschutzkonform gelöst sind, kann Office 365 als Cloud-Lösung von Schulen genutzt werden.“ Bis dahin solle man auf lokale Installationen zurückgreifen.

Microsoft wies in einer späteren Stellungnahme darauf, dass man laufend auf Bedenken von Kunden eingehe und dementsprechend auch auf die Vorwürfe der hessischen Datenschützer reagieren wolle. "Wir haben erst kürzlich neue Maßnahmen angekündigt, die auf der Basis von Kundenfeedback entwickelt wurden und die mehr Transparenz und Kontrolle in diesen Organisationen beim Teilen von Daten bieten sollen", so Microsoft. Dabei verweist man auf eine Beschwerde des niederländischen Justizministeriums, das nach einem Audit von Office 365 Pro Plus "hohe Risiken" für Behördenmitarbeiter beklagte. Vor allem das Sammeln von Telemetrie-Daten, die unter anderem in die USA weitergeleitet werden, sorgte für große Bedenken.

Niederlande zeigen sich beruhigt

Microsoft reagierte mit Verbesserungsvorschlägen, die umgesetzt wurden. Dabei handelte es sich um neue Tools, mit denen die Weitergabe von Telemetrie-Daten stärker eingeschränkt werden kann. Am 1. Juli zog das Justizministerium daraufhin seine Bedenken zurück, Microsoft Office Pro Plus, Azure und Windows 10 dürfen wieder verwendet werden. Ob diese auch in der Beurteilung durch den hessischen Datenschutzbeauftragten berücksichtigt wurden, ist unklar, dieser stört sich in der Beurteilung aber nicht nur an den Telemetrie-Daten. Der US-Konzern verweist in seinem Statement auch auf eine erfolgreiche Klage gegen die US-Regierung, im Zuge derer man die Datenweitergabe unterbinden wollte. Die Klage wurde zwar auf dem Papier gewonnen, in der Zwischenzeit wurde mit dem CLOUD Act aber ein neues Gesetz beschlossen, das eine ähnliche Datenweitergabe vorsieht. 

Heimische Bildungsinstitute beklagen bereits seit Jahren die Abhängigkeit von Microsoft. 2013 sorgte Microsoft beispielsweise mit einer Mindestabnahmemenge für Studenten-Lizenzen für Ärger. Viele kleine Universitäten konnten dieses finanzielle Risiko nicht eingehen.

Update: Statement von Microsoft wurde am 12. Juli ergänzt