computerwoche.de

Datensicherheit in der Cloud

Einsatz von Microsoft 365 an Schulen

Datenschützer bewerten Microsoft 365 als Risiko

11.08.2022
Von    und
Dr. Michael Rath ist Rechtsanwalt, Fachanwalt für Informationstechnologie-Recht und Partner der Luther Rechtsanwaltsgesellschaft mbH mit Sitz in Köln. Zudem ist er Certified ISO/IEC 27001 Lead Auditor. Seine Beratungsschwerpunkte sind das IT-Recht, Datenschutzrecht und der Gewerbliche Rechtsschutz. Dr. Michael Rath ist u.a. Mitglied in der Deutschen Gesellschaft für Recht und Informatik e.V. (DGRI) und akkreditierter Schlichter für IT-Streitigkeiten bei der Schlichtungsstelle der DGRI.
Alle Posts des Autors Email:
Beate Wöhe leitete als Director Experts Network das IDG Experten-Netzwerk für alle Online-Portale der IDG Tech Media GmbH. Sie hatte diese Position nach über zehnjähriger Tätigkeit als Redakteurin und leitende Redakteurin des IDG-Titels ChannelPartner im Juli 2014 übernommen. 
Alle Posts des Autors Email: Connect:
Baden-Württemberg macht den Anfang. Schulen sollen ab diesem Schuljahr keine Microsoft-Cloud-Produkte mehr nutzen. Diese Entscheidung basiert auf Ergebnissen eines Pilotprojekts. Ob weitere Bundesländer folgen, ist unklar.
Mit Beginn der Pandemie mussten die Schulen für Homeschooling auf Cloud-Dienste wie Microsoft Teams umsteigen.
Mit Beginn der Pandemie mussten die Schulen für Homeschooling auf Cloud-Dienste wie Microsoft Teams umsteigen.
Foto: Ionndubh - shutterstock.com

Schulen sind für unsere Kinder ein sicherer Ort. Diese Aussage sollte auch für die verwendete Software und den damit zusammenhängenden Datenschutz gelten. Beim Thema IT-Infrastruktur und Datenschutz behelfen sich allerdings viele Schulen mehr oder weniger selbst durch Lehrer und Eltern, ohne professionelle Unterstützung in Anspruch zu nehmen. Diese Entwicklungen haben einige deutsche Aufsichtsbehörden auf den Plan gerufen, die den Einsatz von Microsoft 365 an Schulen genauer überprüfen. Der Hintergrund: Nach dem Scheitern des EU-US-Privacy-Shields gilt die USA in Bezug auf Datenschutz, als unsicheres Drittland im Sinne der DSGVO.

Den Anfang machte bereits 2019 der damalige Hessische Datenschutzbeauftragte, Michael Ronellenfitsch, welcher zunächst den Einsatz als datenschutzrechtlich unzulässig bewertete, nach Gesprächen mit Microsoft aber nur einen Monat später erklärte, die Nutzung unter bestimmten Voraussetzungen und dem Vorbehalt weiterer Prüfungen vorläufig zu dulden.

Kein MS 365 ohne Datenschutznachweis

Auch Stefan Brink, der Landesbeauftrage für Datenschutz und Informationsfreiheit (LfDI) des Landes Baden-Württemberg, betreute zwischen Herbst 2020 und Frühling 2021 ein Pilotprojekt, in welchem in Zusammenarbeit mit Microsoft überprüft wurde, ob ein datenschutzkonformer Einsatz an Schulen möglich ist. Trotz des Abschaltens von Funktionen, die aus datenschutzrechtlicher Sicht als besonders bedenklich eingestuft wurden, kam der LfDI zu dem Ergebnis, dass der Einsatz ein sehr hohes Risiko mit sich bringe. Aus diesem Grund wurde empfohlen, auf andere, datenschutzkonforme digitale Bildungsplattformen zurückzugreifen. Diese Empfehlung wurde jüngst in eine Aufforderung an die Schulen in Baden-Württemberg umgewandelt: "Ab dem kommenen Schuljahr ist die Nutzung von MS 365 an Schulen zu beenden oder deren datenschutzkonformer Betrieb ist von den verantwortlichen Schulen eindeutig nachzuweisen", erklärt Brink.

Dass ein solch datenschutzkonformer Betrieb möglich ist, davon scheint auch der rheinland-pfälzische LfDI - trotz Bedenken - auszugehen. Jedenfalls hat dieser in einem FAQ zu Microsoft 365 Hinweise darauf veröffentlicht, unter welchen Voraussetzungen ein Einsatz von Microsoft 365 an Schulen datenschutzrechtlich zulässig sein kann.

Aus den Reihen der Betroffenen regt sich in Bezug auf die Vorgaben des LfDI allerdings auch Unmut. Die Plattform News4Teachers hat in einem Bericht einige Reaktionen dazu zusammengefasst.