Teams und Datenschutz

Hallo,

falls jemand mal Argumentationshilfen benötigt:

Teams hat nicht mal eine eigene Datenschutzerklärung … legal? illegal? Sch**egal…

LG

Holger

Hallo,
und mittlerweile geht Microsoft auch noch rüde gegen die Datenschützer per Abmahnung vor. Ich hoffe, dass die Berliner Behörde es zu einem Gerichtsprozesss kommen lässt, aber ich glaube nicht das Microsoft so weit geht. Die Links zu dem Vermerk in Berlin sind leider schon mal tot.

LG Thomas

Ich hab das mal alles zusammengefasst und an alle unsere Lehrer incl. Schulleitung gemailt - gibt vermutlich wieder Mecker und duestere Blicke…hahaha :grinning:

Wir sind gerade vor der Einfuehrung von Teams fuer die Lehrer, kost ja nix.

Ich finde ungehoerig, dass Microsoft sich das bzgl. Datenschutz ueberhaupt erlaubt/erlauben kann, die Abmahnung ebenfalls. Anstatt einen runden Tisch anzubieten mahnt man ab?

Mit 40 Millarden $ Gewinn 2019 sollte man solche Probleme auch gemeinsam loesen koennen, wenn man das denn will.

Gruss Harry

Hallo Harry,

Ich finde ungehoerig, dass Microsoft sich das bzgl. Datenschutz
ueberhaupt erlaubt/erlauben kann, die Abmahnung ebenfalls. Anstatt einen
runden Tisch anzubieten mahnt man ab?

ich finde es unglaublich, dass die selbst von sich behaupten, das sei
DSGVO Konform: dabei fehlt der aller erste Schritt zum Erfüllen der
DSGVO: die korrekte Datenschutzerklärung.

LG

Holger

Hallo Harry,

würdest du das hier oder per PM zur Verfügung stellen?

Viele Grüße
Steffen

Ja, das wäre super. Hätte auch Interesse/Bedarf daran.

Hallo allerseits,

diese Info aus dem Haus des Landesbeauftragten für den Datenschutz ist in dem Zusammenhang auch interessant. Die fett hervorgehobenen Stellen sind von mir so markiert worden - sonst ist nichts verändert. Mich würde mal interessieren wie viele der Schulen die derzeit MS Teams oder weitere Teile von MS365 nutzen, all die geschilderten Voraussetzungen erfüllt haben. Meine Prognose ist 0%! Und gleichzeitig werden an Schulen, an Seminaren, … den Usern einfach Accounts eingerichtet, ohne Einwilligung, die lt. dem Schreiben des LfDI ohnehin nicht möglich und damit nicht wirksam ist. Mir hat jüngst ein Referendar gesagt er hätte das nicht wollen, aber aufmucken könne er in seiner Situation jetzt halt auch nicht. Das ist genau das was der LfDI sagt, und für unsere Schüler und einen Großteil des Kollegiums gilt das genau so. Wer traut sich denn da?

VG, Hans

Von: „Pressestelle (LfDI BW)“ Betreff: WG: PhV-Position? // Re: MicrosoftOffice365 etc - Antwort direkt vom LfDI
Datum: 15. Juni 2020 um 14:55:57 MESZ
An: „...@phv-bw.de“ Kopie: „Pressestelle (LfDI BW)“

Sehr geehrter Herr (.),
vielen Dank für Ihre Rückmeldung.
Bevor ich auf unsere Bewertung von MS Office MS 365 komme, sei gesagt, dass wir Ihnen hierzu weder eine eindeutige Empfehlung noch eine klare Absage an die Hand geben können.
Teams ist, wie Sie wissen, ein Teil von Microsoft Office 365. Die verschiedenen Komponenten, Versionen und Einsatzmodalitäten von Microsoft Office 365 sind sehr unterschiedlich. Microsoft Office 365 ist kein einheitliches Produkt. Es ist ein Sammelname für verschiedene Produkt- und Dienstleistungspakete. Sie unterscheiden sich hinsichtlich der zur Verfügung stehenden Komponenten und zusätzlich (unter anderem) hinsichtlich folgender Aspekte:
Manche Varianten werden lokal installiert, andere laufen als „Software as a Service“ online im Browser (z.B. „Office Online“). Möglich ist die Nutzung von Cloud-Speicher für Dokumente usw.; möglich ist aber auch die lokale Speicherung.
Alle Varianten senden standardmäßig sog. „Telemetrie“- und „Diagnosedaten“ an Microsoft, auch das Senden kompletter Speicherabbilder ist möglich.
Nur wenige Varianten (Enterprise; nicht Bildung) ermöglichen es versierten IT-Fachleuten, sehr viele kleinteilige Einstellungen so zu ändern, dass weniger (nicht jedoch keine) dieser Diagnosedaten an Microsoft übermittelt werden. Wenigstens dies zu tun, ist Aufgabe des Verantwortlichen, wobei niemand eine Gewähr dafür bieten kann, dass nach Updates durch Microsoft Einstellungen nicht wieder geändert werden, sodass sich ein rechtswidriger(er) Zustand auch unbemerkt ergeben kann. Uns ist derzeit keine einfach zu übernehmende Konfiguration bekannt, die alle Datenflüsse abschaltet. Eine Einwilligung der betroffenen Mitarbeiter im Beschäftigungsverhältnis oder der Schüler in die Weitergabe von Nutzungsdaten an Microsoft scheidet wegen des klaren Ungleichgewichts zwischen Schule und Mitarbeiter bzw. Schüler aus (vgl. Erwägungsgrund 43 der Datenschutzgrundverordnung - DS-GVO).
Wer diese Software betreibt und die Dienste nutzt, dürfte alleine oder gemeinsam (Art. 26 DS-GVO) mit Microsoft für die damit verbundenen Datenflüsse verantwortlich sein. Dass eine Rechtsgrundlage diese oder die bei Microsoft nachfolgende Verarbeitung erlaubt, ist nicht ersichtlich. Auch wenn Microsoft für die Verarbeitung verantwortlich ist, bedarf es einer Rechtsgrundlage für die Übermittlung der Daten an Microsoft.
Die vielen Komponenten bieten viele Funktionalitäten. Sie jeweils einzusetzen, bedarf der vorherigen Prüfung durch den Verantwortlichen, d.h. hier der Schule, im Hinblick auf das Vorhandensein einer einschlägigen Rechtsgrundlage für den jeweiligen Zweck, die jeweilige Verarbeitung, die technischen und organisatorischen Maßnahmen zum Schutz der Daten usw. Hierzu gehören auch die Rechtsgrundlag, z.B. ob eine Videoaufnahme der Schülerinnen und Schülern zulässig ist.
Teilweise mag Auftragsverarbeitung durch Microsoft vorliegen. In manchen Regelungsbereichen ist Auftragsverarbeitung, gerade auch solche durch öffentliche Stellen, nur eingeschränkt (z.B. § 80 des Zehnten Buches Sozialgesetzbuch, § 85a des Landesbeamtengesetzes) oder ggf. gar nicht erlaubt.
Soweit es sich hier um eine Auftragsverarbeitung durch Microsoft handelt, muss die Schule als verantwortliche Stelle Artikel 28 DS-GVO beachten, so dass die Verarbeitung im Einklang mit der DS-GVO erfolgt und den Schutz der Rechte der betroffenen Personen gewährleistet ist. Dabei darf die Schule als verantwortliche Stelle nur solche Auftragsverarbeiter auswählen, welche die Anforderungen der DS-GVO gewährleisten können.
Bei der Auswahl einer Software oder eines Dienstes ist deswegen u.a. zu prüfen, ob alle datenschutzrechtlichen Vorgaben umgesetzt werden und unerwünschte Datenübertragungen einschließlich Auswertung des Nutzerverhaltens erfolgen, damit die Rechtmäßigkeit der Verarbeitung sichergestellt ist. Sollte diese Prüfung nicht möglich sein, z.B. weil nicht alle Datenflüsse und Verarbeitungen vom Hersteller ausreichend dokumentiert sind, kann eine solche Software nicht datenschutzkonform eingesetzt werden, schon weil die Datenverarbeitung nicht den Grundsätzen für die Verarbeitung personenbezogener Daten (vgl. Artikel 5 DS-GVO) entspricht. Nach Artikel 5 Absatz 2 DS-GVO ist die Schule hierfür rechenschaftspflichtig.
Ebenso ist Kapitel V der DS-GVO (Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen) zu beachten.
Im Verzeichnis der Verarbeitungstätigkeiten nach Artikel 30 DS-GVO muss die Schule als verantwortliche Stelle die entsprechenden Überlegungen dokumentieren.
Sollte bei der Verarbeitung ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen bestehen, müsste weiterhin eine Datenschutz-Folgenabschätzung nach Artikel 35 DS-GVO vorgenommen werden. Ein hohes Risiko besteht z.B. bei der Verarbeitung von besonderen Kategorien personenbezogener Daten nach Artikel 9 DS-GVO, bei Schulnoten sowie bei der Verarbeitung von Daten besonders schutzbedürftiger betroffener Personen wie Kindern.
Eventuell liegt auch eine gemeinsame Verantwortung bei der Verarbeitung der Daten nach Artikel 26 DS-GVO vor. Entsprechende Vereinbarungen sind hierfür zu erstellen und es ist zu klären, welche Rechtsgrundlage eine dann vorliegende Übermittlung von personenbezogenen Daten von der Schule an Microsoft datenschutzrechtlich legalisiert. Hierzu sind nicht nur die im Cloud-Dienst gespeicherten Dokumente, sondern auch weiteres wie sog. Telemetrie- und Diagnosedaten zu betrachten.
Wir sind in Zusammenarbeit mit den Aufsichtsbehörden der anderen Länder seit längerem mit Microsoft in Kontakt, um die angesprochenen Fragen zu besprechen, allerdings konnten noch nicht alle unsere Fragen endgültig geklärt werden.
Abschließend möchten wir darauf hinweisen, dass das Kultusministerium Baden-Württemberg schreibt:
„Eine Verarbeitung personenbezogener Daten von Schulen außerhalb des europäischen Wirtschaftsraumes (EWR) sollte grundsätzlich unterbleiben und ist nur im Ausnahmefall (z.B. Auslandsschule) mit Zustimmung des KM zulässig.
Bei US-amerikanischen Anbietern ist noch eine Besonderheit zu beachten: Diese Anbieter sind auch bei Rechenzentren, die im europäischen Wirtschaftsraum liegen, der Gesetzeslage in ihren Heimatländern verpflichtet. Dies bedeutet im konkreten Fall, dass Daten aus diesen Rechenzentren US-Sicherheitsbehörden zugänglich gemacht werden können.“ (http://it.kultus-bw.de/,Lde/Startseite/IT-Sicherheit/Cloudbasierte_Dienste )
Im Sinne der oben geschilderten Bewertung der komplizierten technischen und rechtlichen Anforderungen begrüßen wir diese Sicht.
Folglich können wir Ihre Bedenken leider nicht zerstreuen, wobei in gewissen Konfigurationen MS Teams durchaus datenschutzfreundlich nutzbar scheint. Womöglich geben Ihnen unsere Ausführungen aber dennoch auch genügend Argumentationsgrundlage an die Hand, Ihre Kritik gegenüber Ihrer Schulleitung erneut diskutieren zu können.
Mit freundlichen Grüßen
Im Auftrag
Clarissa Henning

Koordinierungs- und Pressestelle
Hausanschrift: Königstraße 10 a, 70173 Stuttgart
Postanschrift: Postfach 10 29 32, 70025 Stuttgart

Telefon: 0711/615541-23
Telefax: 0711/615541-15
E-Mail: pressestelle@lfdi.bwl.de

Zentraler Posteingang: poststelle@lfdi.bwl.de
Webseite: https://www.baden-wuerttemberg.datenschutz.de

1 Like

Das ist ja allerhand. Was gibt es da noch zu sagen?

Ich bin angesichts dieser Einschätzung eher verwundert, dass sich der Landesdatenschutzbeauftragte nicht klar gegen MS Teams/Office365 ausspricht, so wie er das gegenüber anderen Softwarelösungen getan hat. Sind hier die Marktmacht von Microsoft sowie der politische Druck zu groß?

Das Fazit für Schulen ist doch, dass der Einsatz von MS Teams/Office365 datenschutzwidrig ist, oder liest jemand aus dieser Stellungnahme etwas anderes heraus?

Es ist schade, dass dem LfDI offenbar der Mut fehlt, bei so offensichtlichen Gegebenheiten deutlich zu sein und für klare Verhältnisse zu sorgen.

Hallo Robert,

Das ist ja allerhand. Was gibt es da noch zu sagen?

nix …

Ich bin angesichts dieser Einschätzung eher verwundert, dass sich der
Landesdatenschutzbeauftragte nicht klar gegen MS Teams/Office365
ausspricht, so wie er das gegenüber anderen Softwarelösungen getan hat.> Sind hier die Marktmacht von Microsoft sowie der politische Druck zu groß?

nein, der Grund ist ganz einfach: vor ein paar Wochen wurde der LfD von
Berlin von MS abgemahnt, weil er deutlichere Worte gefunden hatte und
auf seiner Homepage platzierte.

Deswegen auch die ersten zwei Sätze im Anschreiben.

Das Fazit für Schulen ist doch, dass der Einsatz von MS Teams/Office365
datenschutzwidrig ist, oder lest ihr aus dieser Stellungnahme etwas
anderes heraus?

ich finde da steht doch sehr deutlich:
Dürft ihr das nutzen?
Nein,
Nein,
Nein
und … nein

:slight_smile:

LG

Holger

Hallo Ihr,

… und so werden die Landesdatenschützer zu zahnlosen Tigern. Anstatt das mal vor Gericht auszufechten kincken sie aufgrund eines substanzlosen Schreibens von Microsoft gleich ein und fegen die eigene Homepage.

LG Thomas

viel material zur argumentation (auch im blog bereich) liefert diese seite hier:

https://digitalcourage.de

Danke für diesen tollen Beitrag und die Anfrage des Philologenverbandes.
Bin mal gespannt, ob meine Schulleitung so einen Brief bekommen hat.
Die Schulleitung will Office 365 und Teams nach den Sommerferien einführen.

„Damit die Schüler alle eine einheitliche EMAIL-Adresse haben“
Und wir die Schüler besser erreichen können.

Danke und Grüße
Ralf

Hallo Ralf,
Du hast die Begründung Deiner Schulleitung für MS365

ja schon nur zitiert. Damit vermute ich wie Du denkst :slight_smile:

Aber muss man solche Schulleitungen verstehen? Für überschaubares Geld würde die Schule bei einem deutschen Provider auch Mailkonten bekommen. Oder es gäbe Mailkonten bei BelWü. Oder man kann den Mailserver von linuxmuster.net benutzen - wenn man die offizielle Schuldomain verwendet - für was ich eh plädiere.

Diese Art Schulleitungen nutzt doch nur Stellvertreter-Argumente um nichts anderes entscheiden zu müssen, um keine eigenständigen Entscheidungen treffen zu müssen, … .

Und das Schreiben des LfDI ist meiner Meinung nach zwar vorsichtig formuliert, sagt aber eigentlich klar „das geht gaaaar nicht“.

Wenn Deine Schulleitung meint auf MS365 setzen zu müssen, wofür es m.E. nach keinen echten Grund gibt, dann soll sie doch erst mal abwarten ob das KM mit einer MS365-basierenden Bildungsplattform um die Ecke kommt. Was man so hört ist da nämlich auch noch kein Knopf dran, und zwar aus den gleichen Gründen. D.h. das KM macht seit 5 Jahren an der Baustelle rum, und eure Schule meint „das machen wir mal eben so“ und „wir pfeifen auf den Datenschutz“.

Mir wird schon wieder schlecht … :frowning:. Wann ist das eigentlich passiert, dass in Bildung alle Ideale über Bord geworfen wurde, wir unsere Schüler jetzt zu Kunden von Großkonzernen abrichten, und das alles ohne Provision zu bekommen?

Grüße, Hans

Hallo Hans,

Du sprichst mir aus der Seele …

Mir wird schon wieder schlecht … :frowning:**. Wann ist das eigentlich passiert, dass in Bildung alle Ideale über Bord geworfen wurde, wir unsere Schüler jetzt zu Kunden von Großkonzernen abrichten, und das alles ohne Provision zu bekommen?

War es je anders?!

Erst hies es, wir brauchen das alles nicht, jetzt wird nach „fertigen“ Lösungen geschrien.

Mein Vater war Berufsschullehrer und hat 3 oder 4 Jahre versucht in der Schule IT zu etablieren. Irgend wann hat es es hingeworfen und relativ frustriert in Rente gegangen.

Der Kapitalismus macht auch vor unserem Bildungswesen nicht halt …

Puls steigt, ich höre auf zu schreiben :wink:

VG Andre

Hallo,

wir hier denken alle in die gleiche Richtung und mit dem nötigen Wissen und Weitblick über den Tellerrand.
Ich habe hier oft genug abgekotzt und den Teufel an die Wand gemalt (bin halt der „Das Glas ist halb leer“ Typ).
Aber mit allem, was wir auch hier immer wieder zu lesen bekommen, was an den verschiedensten Stellen so entschieden wird, sehe ich mich in meiner Schwarzmalerei leider bestätigt.

Viele Grüße
Steffen

Locker bleiben und Ball flach halten, auch wenn mein Glas auch immer halb leer ist, bekomme ich im Moment sehr positives Feedback bzgl. Open Source.
Auch die Schulleitung hat keinen Bock auf diesen Datenschutzmoloch, denn sie spuert schon, dass sich da rechtliche Konsequenzen ergeben koennen - da ist es schon bequemer auf Open Source zu setzen und das ist mir jetzt wieder recht.

Nextcloud und BigBlueButton waren die perfekte Ergaenzung zu Moodle, so richtig schreit keiner mehr nach Teams.
Der Admin, der im Verwaltungsnetz Office365 oder wie das heisst, hat installieren muessen, hat auch gekotzt, das war alles andere als setup.exe und viermal ENTER. Irgendwelche XML-Magie mit Generatoren usw. usf. - ich hab nur das Ticket gelesen und nicht versucht zu verstehen, was er da alles fuer 10 Rechner machen musste.
Auch die Surfacebenutzer kommen immer mal wieder hilfesuchend auf mich zu, wohlwissend, dass sie sich erstmal einen Spruch drueckenlassen muessen.

Gruss Harry

Meine Schulleitung hat den Brief auch nicht bekommen.
Jetzt habe ich den Auszug von oben ihr mal geschickt. Mal sehen wie meine Schulleitung reagiert.
Grüßle Ralf

Hallo Ralf,

das kommt drauf an, ob deiner SL Datenschutz oder die Befriedigung eigener Wünsche und „Bedürfnisse“ (oder die des Kollegiums) wichtiger ist :wink:

Es dürften, wenn es nach striktem Recht, Gesetz und gesundem Menschenverstand geht, viele Entscheidungen nicht so getroffen werden, wie es der Fall ist :slight_smile:

Viele Grüße
Steffen

Die Spackos von Micro$oft sehen das anders, hab aber keine Lust das ganz zu lesen.

Gruss Harry

Edith: Hab eben einen Onlineunterricht beaufsichtigt, „Risikolehrer“ unterrichtet per Teams die Klasse im Klassenzimmer. Der Ton war sehr mies, die ersten Silben wurden immer verschluckt, da wohl das Mikro auf und zu macht. Dachte die haetten das besser unter Kontrolle.
Hatte vorher Teams noch nie live gesehen, war ernuechternd und ermutigend.

Hallo Harry, dazu passend folgender Beitrag: