Hallo allerseits,
diese Info aus dem Haus des Landesbeauftragten für den Datenschutz ist in dem Zusammenhang auch interessant. Die fett hervorgehobenen Stellen sind von mir so markiert worden - sonst ist nichts verändert. Mich würde mal interessieren wie viele der Schulen die derzeit MS Teams oder weitere Teile von MS365 nutzen, all die geschilderten Voraussetzungen erfüllt haben. Meine Prognose ist 0%! Und gleichzeitig werden an Schulen, an Seminaren, … den Usern einfach Accounts eingerichtet, ohne Einwilligung, die lt. dem Schreiben des LfDI ohnehin nicht möglich und damit nicht wirksam ist. Mir hat jüngst ein Referendar gesagt er hätte das nicht wollen, aber aufmucken könne er in seiner Situation jetzt halt auch nicht. Das ist genau das was der LfDI sagt, und für unsere Schüler und einen Großteil des Kollegiums gilt das genau so. Wer traut sich denn da?
VG, Hans
Von: „Pressestelle (LfDI BW)“ Betreff: WG: PhV-Position? // Re: MicrosoftOffice365 etc - Antwort direkt vom LfDI
Datum: 15. Juni 2020 um 14:55:57 MESZ
An: „...@phv-bw.de“ Kopie: „Pressestelle (LfDI BW)“
Sehr geehrter Herr (.),
vielen Dank für Ihre Rückmeldung.
Bevor ich auf unsere Bewertung von MS Office MS 365 komme, sei gesagt, dass wir Ihnen hierzu weder eine eindeutige Empfehlung noch eine klare Absage an die Hand geben können.
Teams ist, wie Sie wissen, ein Teil von Microsoft Office 365. Die verschiedenen Komponenten, Versionen und Einsatzmodalitäten von Microsoft Office 365 sind sehr unterschiedlich. Microsoft Office 365 ist kein einheitliches Produkt. Es ist ein Sammelname für verschiedene Produkt- und Dienstleistungspakete. Sie unterscheiden sich hinsichtlich der zur Verfügung stehenden Komponenten und zusätzlich (unter anderem) hinsichtlich folgender Aspekte:
Manche Varianten werden lokal installiert, andere laufen als „Software as a Service“ online im Browser (z.B. „Office Online“). Möglich ist die Nutzung von Cloud-Speicher für Dokumente usw.; möglich ist aber auch die lokale Speicherung.
Alle Varianten senden standardmäßig sog. „Telemetrie“- und „Diagnosedaten“ an Microsoft, auch das Senden kompletter Speicherabbilder ist möglich.
Nur wenige Varianten (Enterprise; nicht Bildung) ermöglichen es versierten IT-Fachleuten, sehr viele kleinteilige Einstellungen so zu ändern, dass weniger (nicht jedoch keine) dieser Diagnosedaten an Microsoft übermittelt werden. Wenigstens dies zu tun, ist Aufgabe des Verantwortlichen, wobei niemand eine Gewähr dafür bieten kann, dass nach Updates durch Microsoft Einstellungen nicht wieder geändert werden, sodass sich ein rechtswidriger(er) Zustand auch unbemerkt ergeben kann. Uns ist derzeit keine einfach zu übernehmende Konfiguration bekannt, die alle Datenflüsse abschaltet. Eine Einwilligung der betroffenen Mitarbeiter im Beschäftigungsverhältnis oder der Schüler in die Weitergabe von Nutzungsdaten an Microsoft scheidet wegen des klaren Ungleichgewichts zwischen Schule und Mitarbeiter bzw. Schüler aus (vgl. Erwägungsgrund 43 der Datenschutzgrundverordnung - DS-GVO).
Wer diese Software betreibt und die Dienste nutzt, dürfte alleine oder gemeinsam (Art. 26 DS-GVO) mit Microsoft für die damit verbundenen Datenflüsse verantwortlich sein. Dass eine Rechtsgrundlage diese oder die bei Microsoft nachfolgende Verarbeitung erlaubt, ist nicht ersichtlich. Auch wenn Microsoft für die Verarbeitung verantwortlich ist, bedarf es einer Rechtsgrundlage für die Übermittlung der Daten an Microsoft.
Die vielen Komponenten bieten viele Funktionalitäten. Sie jeweils einzusetzen, bedarf der vorherigen Prüfung durch den Verantwortlichen, d.h. hier der Schule, im Hinblick auf das Vorhandensein einer einschlägigen Rechtsgrundlage für den jeweiligen Zweck, die jeweilige Verarbeitung, die technischen und organisatorischen Maßnahmen zum Schutz der Daten usw. Hierzu gehören auch die Rechtsgrundlag, z.B. ob eine Videoaufnahme der Schülerinnen und Schülern zulässig ist.
Teilweise mag Auftragsverarbeitung durch Microsoft vorliegen. In manchen Regelungsbereichen ist Auftragsverarbeitung, gerade auch solche durch öffentliche Stellen, nur eingeschränkt (z.B. § 80 des Zehnten Buches Sozialgesetzbuch, § 85a des Landesbeamtengesetzes) oder ggf. gar nicht erlaubt.
Soweit es sich hier um eine Auftragsverarbeitung durch Microsoft handelt, muss die Schule als verantwortliche Stelle Artikel 28 DS-GVO beachten, so dass die Verarbeitung im Einklang mit der DS-GVO erfolgt und den Schutz der Rechte der betroffenen Personen gewährleistet ist. Dabei darf die Schule als verantwortliche Stelle nur solche Auftragsverarbeiter auswählen, welche die Anforderungen der DS-GVO gewährleisten können.
Bei der Auswahl einer Software oder eines Dienstes ist deswegen u.a. zu prüfen, ob alle datenschutzrechtlichen Vorgaben umgesetzt werden und unerwünschte Datenübertragungen einschließlich Auswertung des Nutzerverhaltens erfolgen, damit die Rechtmäßigkeit der Verarbeitung sichergestellt ist. Sollte diese Prüfung nicht möglich sein, z.B. weil nicht alle Datenflüsse und Verarbeitungen vom Hersteller ausreichend dokumentiert sind, kann eine solche Software nicht datenschutzkonform eingesetzt werden, schon weil die Datenverarbeitung nicht den Grundsätzen für die Verarbeitung personenbezogener Daten (vgl. Artikel 5 DS-GVO) entspricht. Nach Artikel 5 Absatz 2 DS-GVO ist die Schule hierfür rechenschaftspflichtig.
Ebenso ist Kapitel V der DS-GVO (Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen) zu beachten.
Im Verzeichnis der Verarbeitungstätigkeiten nach Artikel 30 DS-GVO muss die Schule als verantwortliche Stelle die entsprechenden Überlegungen dokumentieren.
Sollte bei der Verarbeitung ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen bestehen, müsste weiterhin eine Datenschutz-Folgenabschätzung nach Artikel 35 DS-GVO vorgenommen werden. Ein hohes Risiko besteht z.B. bei der Verarbeitung von besonderen Kategorien personenbezogener Daten nach Artikel 9 DS-GVO, bei Schulnoten sowie bei der Verarbeitung von Daten besonders schutzbedürftiger betroffener Personen wie Kindern.
Eventuell liegt auch eine gemeinsame Verantwortung bei der Verarbeitung der Daten nach Artikel 26 DS-GVO vor. Entsprechende Vereinbarungen sind hierfür zu erstellen und es ist zu klären, welche Rechtsgrundlage eine dann vorliegende Übermittlung von personenbezogenen Daten von der Schule an Microsoft datenschutzrechtlich legalisiert. Hierzu sind nicht nur die im Cloud-Dienst gespeicherten Dokumente, sondern auch weiteres wie sog. Telemetrie- und Diagnosedaten zu betrachten.
Wir sind in Zusammenarbeit mit den Aufsichtsbehörden der anderen Länder seit längerem mit Microsoft in Kontakt, um die angesprochenen Fragen zu besprechen, allerdings konnten noch nicht alle unsere Fragen endgültig geklärt werden.
Abschließend möchten wir darauf hinweisen, dass das Kultusministerium Baden-Württemberg schreibt:
„Eine Verarbeitung personenbezogener Daten von Schulen außerhalb des europäischen Wirtschaftsraumes (EWR) sollte grundsätzlich unterbleiben und ist nur im Ausnahmefall (z.B. Auslandsschule) mit Zustimmung des KM zulässig.
Bei US-amerikanischen Anbietern ist noch eine Besonderheit zu beachten: Diese Anbieter sind auch bei Rechenzentren, die im europäischen Wirtschaftsraum liegen, der Gesetzeslage in ihren Heimatländern verpflichtet. Dies bedeutet im konkreten Fall, dass Daten aus diesen Rechenzentren US-Sicherheitsbehörden zugänglich gemacht werden können.“ (http://it.kultus-bw.de/,Lde/Startseite/IT-Sicherheit/Cloudbasierte_Dienste )
Im Sinne der oben geschilderten Bewertung der komplizierten technischen und rechtlichen Anforderungen begrüßen wir diese Sicht.
Folglich können wir Ihre Bedenken leider nicht zerstreuen, wobei in gewissen Konfigurationen MS Teams durchaus datenschutzfreundlich nutzbar scheint. Womöglich geben Ihnen unsere Ausführungen aber dennoch auch genügend Argumentationsgrundlage an die Hand, Ihre Kritik gegenüber Ihrer Schulleitung erneut diskutieren zu können.
Mit freundlichen Grüßen
Im Auftrag
Clarissa Henning
Koordinierungs- und Pressestelle
Hausanschrift: Königstraße 10 a, 70173 Stuttgart
Postanschrift: Postfach 10 29 32, 70025 Stuttgart
Telefon: 0711/615541-23
Telefax: 0711/615541-15
E-Mail: pressestelle@lfdi.bwl.de
Zentraler Posteingang: poststelle@lfdi.bwl.de
Webseite: https://www.baden-wuerttemberg.datenschutz.de