Nach den Sommerferien soll nach dem Willen des zuständigen Datenschutzbeauftragten Microsoft 365 nicht mehr an baden-württembergischen Schulen eingesetzt werden.
„Ab dem kommenden Schuljahr ist die Nutzung von MS 365 an Schulen zu beenden oder deren datenschutzkonformer Betrieb ist von den verantwortlichen Schulen eindeutig nachzuweisen”, teilte der Datenschutzbeauftragte aus Baden-Württemberg, Stefan Brink, jetzt mit.
Er wolle in Kürze auf ihm bekannte Schulen zukommen, die den Cloud-Dienst Microsoft 365 beziehungsweise die Videokonferenzsoftware Teams im Unterricht einsetzten.
Diese ca. 40 Schulen sollen ihm einen verbindlichen Zeitplan für den Umstieg auf alternative Software vorlegen. Die jeweilige Situation der Schule werde dabei individuell berücksichtigt, betonte der Datenschutzbeauftragte.
Bei der Suche nach Alternativen zu MS 365 wolle er die Schulen nicht nur beraten, sondern gemeinsam mit dem Kultusministerium darauf hinarbeiten, dass den schulischen Bedürfnissen entsprechende Alternativen genutzt werden könnten.
Kein ausreichender Datenschutz in Microsoft 365
Hinter dem Vorgehens gegen Microsoft 365 stehen schlechte Erfahrungen mit einem Pilotprojekt des Kultusministeriums in Baden-Württemberg, das der Datenschutzbeauftragte begleitet hatte. Untersucht wurde dabei, ob die für Schulen angepasste Variante des Cloud-Dienstes von Microsoft die Anforderungen an den Datenschutz erfüllt.
Microsoft 365: trotz Datenschutzeinstellungen durchgefallen
Obwohl für diese Untersuchung “datenschutzrechtlich besonders bedenkliche Funktionen” in Microsoft 365 abgeschaltet oder wenigstens so weit wie möglich deaktiviert wurden (z. B. die Erfassung von Diagnose- und Telemetriedaten), fiel das System in der Untersuchung durch. “Es gelang beim Pilotprojekt trotz intensiver Prüfung und Zusammenarbeit mit den Beteiligten nicht, eine datenschutzkonforme Lösung zu finden”, fasste die Datenschutzbehörde zusammen.
Die Schulen hätten bei MS 365 keine vollständige Kontrolle über das Gesamtsystem und den den US-amerikanischen Auftragsverarbeiter, war das Fazit der damaligen Untersuchung.
Es sei auchnicht ausreichend nachvollziehbar, welche personenbezogenen Daten zu welchen Zwecken dabei verarbeitet würden. Außerdem könne nicht bestätigt werden, dass die Verarbeitung auf das für diesen Zweck notwendige Minimum reduziert wurde.
Datenexport in die USA ohne Rechtsgrundlage
Außerdem würden Daten teilweise in Regionen außerhalb der EU übertragen, wofür jedoch keine Rechtsgrundlage zu erkennen sei. Die ist aber nach der Datenschutzgrundverordnung (DSGVO), insbesondere nach dem Schrems-II-Urteil des Europäischen Gerichtshofs (EuGH), zwingend notwendig.
Es gibt alternative und taugliche Software
Als mögliche Alternative zu Microsoft 365 an Schulen nennt der Landesdatenschutzbeauftragte beispielsweise die Lernplattformen Moodle oder Itslearning, die den Schulen vom Kultusministerium kostenlos angeboten werden. Durch die Integration von Big Blue Button könnten damit auch Videokonferenzen durchgeführt werden.
Wenn Schulen der Meinung sein sollten, dass ihr Einsatz von Microsoft 365 den rechtlichen Anforderungen genügt, müssten sie jetzt begründen, wie sie den datenschutzkonformen Betrieb sicherstellen und das der Datenschutzgrundverordnung (DSGVO) entsprechend nachweisen, unterstrich der Datenschutzbeauftragte.
