Microsoft's Office 365 für deutsche Schulen - erneut! - für illegal erklärt.

Amerikanische Cloud-Anbieter entsprechen nicht den strengen deutschen Datenschutzgesetzen und dürfen von deutschen Schulen nicht genutzt werden.

Deutsche Schulen dürfen Microsoft Office 365 aufgrund von Datenschutzverletzungen nicht nutzen. Nach zweijährigen Verhandlungen mit Microsoft hat der gemeinsame Ausschuss der deutschen Bundesdatenschutzbehörde und der 17 Landesregulierungsbehörden (DSK) eine vernichtende Stellungnahme veröffentlicht, die im Wesentlichen besagt, dass Schulen und Behörden MS365 derzeit nicht auf rechtmäßige Weise im Rahmen der DSGVO nutzen können. Von dieser Entscheidung könnten auch andere amerikanische Cloud-Lösungen wie die von Google und Apple betroffen sein.


Verbot von Office 365 an deutschen Schulen

Bis Mitte 2018 konnten deutsche Schulen die von Microsoft angebotene “deutsche Cloud” nutzen. Dann bot Microsoft dieses Datentreuhandmodell nicht mehr an, welches bis dato den deutschen Anforderungen an den Datenschutz entsprach.

Nun hat die Deutsche Datenschutzkonferenz (DSK) das derzeitige Angebot von Microsoft für deutsche Schulen und Behörden analysiert und eine Stellungnahme abgegeben.

Nach Ansicht der DSK verstößt Microsoft 365 gegen das Datenschutzrecht (DSGVO). Es ist daher für den rechtskonformen Einsatz in Schulen und Behörden in Deutschland nicht geeignet.

Zwar habe es bei der Aktualisierung des “Products and Services Data Protection Addendum” von Microsoft leichte Fortschritte gegeben, diese reichten aber bei weitem nicht aus, um die gesetzlichen Anforderungen an Datenschutz und Sicherheit zu erfüllen.

Matthias Pfau, Gründer des verschlüsselten E-Mail-Dienstes Tutanota, kommentiert die Stellungnahme:

“Es ist unglaublich, dass amerikanische Online-Dienste die europäische Datenschutzgrundverordnung auch mehr als vier Jahre nach ihrer Verabschiedung mit Füßen treten. Offensichtlich nehmen amerikanische Großkonzerne alle Beschwerden und auch Strafen in Kauf, weil das Geschäftsmodell - “nutze meinen Dienst und ich nutze deine Daten” - für sie äußerst lukrativ ist. Statt auf freiwillige Kooperation zu setzen, müssen hier viel härtere Konsequenzen gezogen werden, zum Beispiel müssen in Schulen und Behörden ganz andere Systeme eingesetzt werden. Linux mit LibreOffice ist zum Beispiel eine sehr gute Alternative, auf die Schulen und Behörden sofort umsteigen sollten. Solange sie weiterhin Microsoft einsetzen - auch wenn es lokal installiert ist - sieht Microsoft offensichtlich keinen Grund, die europäischen Datenschutzbestimmungen zu beachten."

"Auch andere Cloud-Lösungen wir E-Mail und Kalender müssen nicht von Microsoft genutzt werden. Es gibt inzwischen sehr gute und voll verschlüsselte Dienste, wie bspw. Tutanota aus Hannover. Hier ist die Privatsphäre und der Schutz der Daten garantiert, zumal diese auf deutschen Servern gespeichert werden.”

Inhalt der DSK-Erklärung

In der Stellungnahme der DSK heißt es:

“Verantwortliche müssen jederzeit in der Lage sein, ihrer Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO nachzukommen. Beim Einsatz von Microsoft 365 lassen sich hierbei auf Grundlage des „Datenschutznachtrags“ weiterhin Schwierigkeiten erwarten, da Microsoft nicht vollumfänglich offenlegt, welche Verarbeitungen im Einzelnen stattfinden. Zudem legt Microsoft weder vollständig dar, welche Verarbeitungen im Auftrag des Kunden noch welche zu eigenen Zwecken stattfinden. Die Vertragsunterlagen sind in der Hinsicht nicht präzise und erlauben im Ergebnis nicht abschließend bewertbare, ggf. sogar umfangreiche Verarbeitungen auch zu eigenen Zwecken.**

Eine Verwendung personenbezogener Daten der Nutzenden (z.B. Mitarbeitenden oder Schüler:innen) zu eigenen Zwecken des Anbieters schließt den Einsatz eines Auftragsverarbeiters im öffentlichen Bereich (insbesondere an Schulen) aus.

Microsoft-Änderungen nicht ausreichend

Die neue Bewertung erfolgte nach einer Aktualisierung des “Products and Services Data Protection Addendum” von Microsoft.

Die vorgenommenen Änderungen reichen jedoch nicht aus, um die Datenschutzanforderungen für deutsche Schulen und Behörden zu erfüllen.

Was hat Microsoft geändert?

  1. Microsoft hat einige der Standardvertragsklauseln der EU-Kommission übernommen.

  2. Microsoft hat ausführlicher erklärt, wie es selbst Daten auswertet und zu welchen Zwecken dies geschieht. So heißt es im Nachtrag, dass Microsoft aus pseudonymisierten Daten nicht-personenbezogene Statistiken erstellt und diese für eigene Zwecke nutzt.

Nach Ansicht des Bundesdatenschutzbeauftragten Ulrich Kelber ist jedoch nach wie vor unklar, welche Daten für die eigenen Zwecke verwendet werden. Von außen ist nach wie vor nicht zu beurteilen, welche Informationen Microsoft sammelt und wie sie diese Daten für ihre Zwecke nutzen.

Darüber hinaus kritisiert die DSK die Datenübermittlung in die USA, die die Daten für amerikanische Behörden zugänglich macht:

“Die Gespräche der Arbeitsgruppe mit Microsoft bestätigten entsprechend den vertraglichen Regelungen, dass bei der Nutzung von Microsoft 365 personenbezogene Daten jedenfalls in die USA übermittelt werden. Eine Nutzung von Microsoft 365 ohne Übermittlungen personenbezogener Daten in die USA sei nicht möglich.

Office 365 generell nicht empfohlen

Als Fazit der Analyse von Microsofts “Products and Services Data Protection Addendum” rät die DSK auch Privatanwendern von der Nutzung von Microsoft 365 ab, da man sich nicht darauf verlassen kann, dass Microsoft mit den erhobenen Daten datenschutzkonform umgeht.

Microsoft hat dagegen unmittelbar nach der DSK-Veröffentlichung eine Stellungnahme abgegeben, in der es heißt, dass eine rechtskonforme Nutzung von Microsoft 365 möglich sei.

Gmail wird aus europäischen Schulen verbannt

In sehr ähnlichen Entscheidungen haben die niederländischen und dänischen Datenschutzbeauftragten die Nutzung von Google und Gmail in Schulen ebenfalls wegen Verstößen gegen die Datenschutzgrundverordnung für illegal erklärt. Lesen Sie mehr zu diesen Entscheidungen hier.

Microsoft bereits im Jahr 2019 verboten

Bereits im Jahr 2019 kam der Hessische Beauftragte für Datenschutz und Informationsfreiheit zu einem ähnlichen Ergebnis wie die nun erneut erfolgte Prüfung des aktualisierten Microsoft-Zusatzes durch die DSK.

Im Jahr 2019 wurden insbesondere zwei datenschutzrechtliche Aspekte kritisiert:

  • Amerikanische Behörden können auf in der europäischen Cloud gespeicherte Daten zugreifen, ohne dass die deutsche Regierung die Kontrolle darüber hat.
  • In Office 365 und Windows 10 werden viele Telemetriedaten gesammelt und an Microsoft übertragen, ohne dass Microsoft zufriedenstellende Informationen darüber liefert, was protokolliert und übertragen wird.

Schutz der Daten von Kindern

Für die Hessische Kommission für Datenschutz und Informationsfreiheit steht der Schutz von Kinderdaten an erster Stelle:

“Dabei ist der entscheidende Aspekt, ob die Schule als öffentliche Einrichtung personenbezogene Daten (von Kindern) in einer (europäischen) Cloud speichern kann, die z.B. einem möglichen Zugriff US-amerikanischer Behörden ausgesetzt ist. Öffentliche Einrichtungen in Deutschland haben eine besondere Verantwortung hinsichtlich der Zulässigkeit und Nachvollziehbarkeit der Verarbeitung personenbezogener Daten.”.

Der Datenbeauftragte begründet daher, dass die Datenverarbeitung durch Microsoft rechtswidrig ist. Darüber hinaus kann Konformität nicht dadurch erreicht werden, dass die Eltern um ihre Zustimmung zur Datenverarbeitung gebeten werden. Dies würde den besonderen Schutzrechten von Kindern im Sinne von Artikel 8 der Allgemeinen Datenschutzverordnung (DSGVO) nicht gerecht werden.

Der hessische Kommissar erklärt auch, dass

”Was für Microsoft gilt, ist auch für die Cloud-Lösungen von Google und Apple zutreffend. Die Cloud-Lösungen dieser Anbieter sind bislang ebenfalls nicht transparent und nachvollziehbar dargelegt worden. Deshalb gilt auch hier, dass für Schulen die datenschutzkonforme Nutzung derzeit nicht darstellbar ist.”

Konsequenzen für die deutschen Schulen

Die Datenschutzbedenken sind so groß, dass deutsche Schulen Office 365 nicht mehr nutzen dürfen. Viele Schulen, insbesondere Berufsschulen, nutzen Office 365 jedoch, um ihre Schüler auf das Arbeitsleben mit Word, Excel etc. vorzubereiten. Anstelle von Office 365 müssen diese Schulen nun lokale Lizenzen auf lokalen Systemen verwenden.

Deutsche Alternative benötigt

Schulen, die Office 365 nur für E-Mails verwenden, haben auch die Möglichkeit, zu einem sicheren E-Mail-Service wie Tutanota zu wechseln. Hier werden alle Daten verschlüsselt auf deutschen Servern unter Beachtung der strengen deutschen Datenschutzbestimmungen und vollständig konform mit der DSGVO gespeichert.

Für die Zukunft planen wir, unseren sicheren E-Mail-Dienst, der bereits ein Adressbuch und einen Kalender enthält, zu einer vollständig verschlüsselten Groupware Suite auszubauen. Eine deutsche oder europäische Alternative zu Big Tech wird benötigt, damit Schulen und Behörden die Daten der Bürger*innen sicher in der Cloud speichern können.

tl:dr: Der DSK geht es mit ihrer Veröffentlichung hauptsächlich darum, Microsoft unter Druck zu setzen, sich an die deutschen Datenschutzbestimmungen zu halten; und weniger darum, dass alle in Deutschland andere Dienste nutzen. Dennoch wäre es viel besser, eine echte Alternative zu Microsoft, Google und Apple zu haben. Das ist es, was Tutanota gerade aufbaut. Angefangen mit sicheren E-Mails, bietet Tutanota heute auch ein verschlüsseltes Adressbuch, einen verschlüsselten Kalender und das verschlüsselte Kontaktformular Secure Connect. Viele weitere Funktionen sind geplant, und wir schätzen, dass wir in ein paar Jahren eine verschlüsselte Groupware Suite mit eingebauter Verschlüsselung und maximaler Achtung der Privatsphäre anbieten können.