Schulen können Microsoft 365 aktuell nicht datenschutzkonform nutzen. Das ist die Kernaussage der Datenschutzkonferenz (DSK) aus dem November 2022. Was hat sie für Folgen? Wenn Schulen Microsoft 365 einsetzen, muss die Schulleitung nicht in Panik verfallen und überstürzt handeln. Das Thema zu ignorieren, ist aber auch keine Lösung.
Microsoft 365: die aktuelle Situation
Die deutschen Datenschützer beschäftigen sich bereits seit 2020 mit Microsofts Software-Paket, das damals unter dem Namen Office 365 bekannt war. Zum Leistungsumfang des Pakets gehören – abhängig von der gebuchten Lösung – beispielsweise die Office-Programme (z.B. Word, Excel), Microsoft Teams, Outlook und die Cloud OneDrive.
Wenn Sie verschiedene Programme von Microsoft 365 verwenden, werden Daten an Microsoft übermittelt. Unklar bleibt, wie das Unternehmen diese Daten nutzt. Im September 2022 hat Microsoft zwar einen aktualisierten Datenschutznachtrag zu seinen Produkten und Services geliefert. Das hat die Unklarheiten aus Sicht der Datenschützer aber nicht beseitigt.
Das Problem, das Schulen aktuell haben
Schulleiter, die Microsoft 365 im schulischen Umfeld einsetzen, haben dadurch ein Datenschutzproblem. Sie können nicht nachweisen, dass alle in Artikel 5, Absatz 1 der Datenschutzgrundverordnung (DSGVO) geforderten Grundsätze für die Verarbeitung personenbezogener Daten eingehalten werden. Genau das wird aber in Absatz 2 gefordert. Zu den in Absatz 1 genannten Grundsätzen gehört es zum Beispiel, dass personenbezogene Daten:
„auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“)“.
(Vgl. Art. 5 DSGVO)
Die aufgrund der Nutzung von Microsoft 365 entstehende Datenverarbeitung ist nicht ohne eine Einwilligung der Betroffenen möglich, wenn es um Daten von Lehrern, Eltern und deren Kindern geht. Für die nötige Einwilligung müsste die Schulleitung sie über die Art der Datenverarbeitung informieren. Genau das kann sie aber nicht, da sie selbst gar nicht weiß, wie Microsoft die Daten verwendet.
Ihre Bildungseinrichtung braucht eine Beratung zu diesem Thema und eine alternative Lösung?
Ignorieren ist die schlechteste Lösung
Microsoft 365 gilt nicht erst seit gestern als nicht kompatibel mit der DSGVO und die Datenschutzbehörden haben sich bisher zurückgehalten. Schulen müssen deshalb auch jetzt wahrscheinlich nicht fürchten, dass Landesbeauftragte für den Datenschutz ihnen aggressiv mit Sanktionen drohen. Für eine nicht eskalierende, sondern auf Kooperation ausgerichtete Haltung spricht etwa die Pressemitteilung des Thüringer Landesbeauftragten für den Datenschutz und die Informationsfreiheit. Dr. Lutz Hasse wird in der Mitteilung mit den Worten zitiert:
„Meine Aufsichtsbehörde wird nun – wie die anderen Datenschutzaufsichtsbehörden auch – mit den Verantwortlichen im öffentlichen und nicht-öffentlichen Bereich den Kontakt suchen, um eine verhältnismäßige Umsetzung dieser Rechtslage zu erörtern.“
(Vgl. Pressemitteilung vom 26.11.2022)
Schulleiter können der Zukunft also bis zu einem gewissen Grad entspannt entgegensehen. Ignorieren sollten sie die Problematik bei der Nutzung von Microsoft 365 aber nicht. Falls sich etwa Eltern beschweren, müssen die Datenschutzbehörden aktiv werden.
Ihre Bildungseinrichtung braucht eine Beratung zu diesem Thema und eine alternative Lösung?
Dann Schreiben Sie uns!
Alles zurück auf Anfang?
Da Microsoft 365 in vielen Schulen genutzt wird, werden die hier skizzierten Datenschutzprobleme im ungünstigsten Fall zu einem Hemmnis für die weitere Digitalisierung von Bildungseinrichtungen. Allerdings sind weder Schulen noch Datenschutzbeauftragte daran interessiert, der Digitalisierung im deutschen Bildungssektor viele Steine in den Weg zu legen.
Auch Microsoft ist in dieser Sache kein Gegner deutscher Schulen und wird sich ebenfalls um Lösungen bemühen. Auf die Stellungnahme der Datenschutzkonferenz (DSK) hat das Unternehmen zwar erst einmal mit einer relativ scharfen Stellungnahme reagiert. In ihr vertritt es die Ansicht, dass die Datenschutzkonferenz den Datenschutz in Deutschland zum „dogmatischen Selbstzweck“ macht. An einer möglichst friedlichen Lösung dürfte aber auch Microsoft interessiert sein. Eine mit der DSGVO verträgliche Nutzung von Microsoft 365 ist deshalb für die Zukunft nicht ausgeschlossen. Darauf bauen können Sie allerdings nicht.
Nicht nur Schulen sollten sich Gedanken machen
Schulen sollten jetzt im engen Austausch mit Datenschutz- und IT-Experten praxisnahe Lösungen für Ihre IT entwickeln. Unter Umständen müssen sie auch bei als Nutzer von Microsoft 365 nicht viel verändern. Wer Alternativen zu den Microsoft-Produkten sucht, wird eventuell bei freier Open-Source-Software fündig. Ein Austausch über deren Potenzial ist zum Beispiel im Netzwerk Freie Schulsoftware möglich. Das Thema „Microsoft 365 und Datenschutz“ ist übrigens nicht nur für Schulen interessant. Letztlich sind neben ihnen auch andere Einrichtungen wie Volkshochschulen und Weiterbildungsinstitute betroffen. Und für Unternehmen ist die Nutzung von Microsoft 365 aktuell ebenfalls nicht risikolos. Auch sie sollten sich professionell beraten lassen.
Bilder: zinkevych, creativeart / Freepik