Office 365 Datenschutz

Im Nov. 2016 haben wir, das Berufskolleg für Wirtschaft und Informatik in Neuss, uns auf den Weg gemacht, rechtsverbindlich klären zu lassen, unter welchen Bedingungen der Einsatz von Office365 datenschutzkonform sein kann. Im Folgenden ist der entsprechende E-Mailverkehr dokumentiert.

Unser zwischenzeitliches Fazit (Stand Juli 2017): Weder das LDI noch das MSW als zuständige Stellen haben sich verbindlich geäußert. Das unterste Glied in der Kette, der behördlich zuständige Datenschutzbeauftragte, hat eine aussagekräftige Stellungnahme abgegeben. Zum behördlichen Datenschutzbeauftragten muss man wissen, dass er zunächst einmal ein ganz normaler Lehrer ist, der vor dem Hintergrund seiner Kenntnisse und Erfahrungen antwortet, der allerdings nicht umfassend geschult wurde. Es ist also denkbar, dass andere behördliche Datenschutzbeauftragte die Lage anders einschätzen. Wir sind uns allerdings unsicher, ob diese DSB mit so einer komplexen Fragestellung nicht überfordert sind.

Aktuell warten wir auf weitere Rückmeldungen.

1.  Anfrage an den Landesdatenschutzbeauftragten vom 6.12.2016

wir suchen als kaufmännisches Berufskolleg mit ca. 3000 Schülerinnen und Schülern nach Möglichkeiten, wie wir Office365 unterrichtlich sinnvoll und datenschutzkonform nutzen können.

Um den berechtigten Ansprüchen des Datenschutzes gerecht zu werden möchten wir geprüft wissen, ob eine der folgenden Varianten bei die Einrichtung eines Schülerkontos bei Office365 rechtskonform ist:

  • Variante 1: Jedem Schüler ist in unser Schulverwaltungsprogramm ein 13-stelliger EAN-Code zugeordnet. Unter diesem Code richten wir ein MS-Konto ein. Das Schülerkonto heißt dann z.B. 4930000034657, die E-Mailadresse 4930000034657@susbkne.de
  • Variante 2: Wie Variante eins, wir kennzeichnen jeden Schüler zusätzlich durch das Merkmal Klasse.
    Beispiel Schülerkonto 4930000034657 , der Schüler ist in der Klasse HHO5
  • Variante 3: Wie Alternative eins und zwei: Der EAN-Code wird ergänzt um die ersten beiden Buchstaben des Nachnamens und des Vornamens. In meinem Fall hieße dann das MS-Konto scwo4930000034657.

    Falls Variante 3 erlaubt ist, um wie viele Buchstaben dürften wir den Code erweitern, damit er weiterhin als anonymisiert gilt.
  • Variante 4: Wir richten für jeden Schüler ein Konto ein unter Verwendung seines Nachnamens und Vornamens. Der Schüler stimmt dabei schriftlich der Einrichtung und schulischen Nutzung des Kontos zu. Unsere Lernenden sind mindestens 16 Jahre alt.

Unabhängig von den vier Varianten stellt sich ergänzend folgende Frage: Beim unterrichtlichen Einsatz der MS-Produkte könnte es vorkommen, dass Schüler ihre Produkte im Sinne des Urheberrechts mit ihrem Namen versehen. Stellt das wiederum datenschutzrechtlich ein Problem dar?

Am 08.06.2017 wurde die Anfrage in einer Erinnerungsmail ergänzt um:

Meine Anfrage möchte ich um den Punkt ergänzen, dass man Office365 nun auch auf einem deutschen Server der Telekom, der vom Bundesamt für Sicherheit in der Informationstechnik (BSI) zertifiziert ist, einrichten kann.

Anmerkung zur Telekom-Cloud: Laut Auskunft der Telekom kostet eine Lizenz jährlich 9,95 € zusätzlich (bei Abschluss eines FEU-Vertrages 8,00 €) Allerdings kann man in der Telekomcloud nicht die aktuelle Office365 Version nutzen sondern nur eine etwa vier Jahre alte Version. Weiterhin ist das Feature onenote classnote nicht verfügbar.


2.  Antwort des LDI vom 13.06.2017

ich bedanke mich für Ihre E-Mail vom 08.06.2017 und bitte um Nachsicht, dass ich Ihnen derzeit keine endgültige Antwort geben kann. Das bundesländerübergreifende Verfahren zur datenschutzrechtlichen Beurteilung von Microsoft Office 365 ist noch nicht abgeschlossen und ein Ende ist auch noch nicht absehbar, zumal Microsoft bis heute nicht den Fragenkatalog der Datenschutzbeauftragten verbindlich beantwortet hat. Vor diesem Hintergrund kann daher nicht gesagt werden, dass es keine datenschutzrechtlichen Bedenken gibt und eine Verwendung von MS Office 365 kann daher auch nicht empfohlen werden.

Im Übrigen möchte ich Sie auch darauf aufmerksam machen, dass es eine datenschutzrechtliche "Ressortverantwortung" gibt, der Rechnung zu tragen ist. So heißt es in § 7 Datenschutzgesetz Nordrhein-Westfalen (DSG NRW) – Sicherstellung des Datenschutzes –: "Die obersten Landesbehörden, die Gemeinden und Gemeindeverbände sowie die sonstigen der Aufsicht des Landes unterstehenden juristischen Personen des öffentlichen Rechts und deren Vereinigungen ungeachtet ihrer Rechtsform haben jeweils für ihren Bereich die Ausführung dieses Gesetzes sowie anderer Rechtsvorschriften über den Datenschutz sicherzustellen."

Demnach hat das Ministerium für Schule und Weiterbildung des Landes Nordrhein-Westfalen (MSW) für das Schulressort sicherzustellen, dass die Einhaltung der Datenschutzvorschriften gewährleistet ist. Insbesondere weil die von Ihnen vorgetragene Angelegenheit auch für viele andere Schulen in NRW von Bedeutung sein dürfte, rege ich an, dass Sie sich mit Ihrer Anfrage auch unmittelbar an das MSW wenden.

3.  Antwort des MSW vom 14.06.2017

der Hinweis der LDI auf die Verantwortung des MSW für die Einhaltung des Datenschutzes im Schulbereich ist ohne jeden Zweifel zutreffend. Er ändert allerdings nichts an der für die erstverantwortliche Wahrnehmung dieser Verantwortung bestehenden Zuständigkeitsregelung und führt insbesondere nicht dazu, dass das MSW als oberste Landesbehörde die Bearbeitung aller Einzelfälle zu Fragen des schulischen Datenschutzes übernehmen kann. Ich bitte daher um Ihr Verständnis, dass ich zunächst die ... Antwort des .. behördlichen Datenschutzbeauftragten für Schulen im Schulamtsbezirk Neuss benötige, damit ich in eine weitere Sachprüfung einsteigen kann.

Mit freundlichen Grüßen

Im Auftrag BDSB MSW

4.  Anfrage an den behördlich zuständigen Datenschutzbeauftragten vom 14.06.2017

Eine Anfrage wie unter Erstens beschrieben wurde an den behördlich zuständigen Datenschutzbeauftragten - http://www.medienberatung.schulministerium.nrw.de/Medienberatung/Datenschutz-und-Datensicherheit/Datenschutzbeauftragte/index-2.html - gestellt.

Es wäre interessant, wenn auch andere bei Ihren zuständigen behördlichen Datenschutzbeauftragten einmal nachfragen (Adressen siehe oben) und wir die Antworten sammeln.

5.  Antwort des behördlichen Datenschutzbeauftragten vo 27.06.2017

Für die Datenverarbeitung in der Schule trägt die Schulleitung die Verantwortung. Auch für Datenverarbeitung im Auftrag muss sie prüfen, was mit den Daten geschieht und streng darauf achten, eine die Datensicherheit gewährleistende und zuverlässige Institution mit der Aufgabe der Verarbeitung der Daten im Auftrag gemäß § 2 Abs. 3 VO-DV I, § 3 Verordnung über die zur Verarbeitung zugelassenen Daten der Lehrerinnen und Lehrer (VO-DV II) in Verbindung mit § 11 DSG NRW zu betrauen.

Geht die Datenübermittlung über die Landesgrenzen hinaus, so muss die Schulleitung auch nach §17 DSG NRW prüfen bzw. beachten.

Da Microsoft ja auch einen Sitz in Deutschland hat und die Server nach Ihren Angaben im europäischen Ausland stehen, dürfte dies weniger problematisch sein, da wir ja eine europäische Datenschutzrichtlinie haben und dies nicht so weit weg sein sollte von den Anforderungen...wäre aber mal nachzulesen. Deutsche Server bieten da natürlich den "sichersten" bzw. rechtlich am zutreffendsten Rahmen.

Die ersten 3 Varianten der Einrichtung halte ich für unbedenklich - gerade durch die Nummer wird der Zugang ja anonymisiert und die zusätzlichen Merkmale lassen keinen Rückschluss an dieser Stelle auf den Nutzer zu. Wie viele Buchstaben Code 3 umfassen darf, damit man dann nicht doch auf einen Namen kommen kann.....das kann ich nicht beantworten....? So, wie er da ist, meine ich, dass es unbedenklich ist.

Für Variante 4 gilt denk ich ähnliches wie für Lernplattformen, es braucht eine informierte Einwilligung (vgl. § 4 Abs. 1 Buchstabe b DSG NRW). Dies können auch Ihre Schüler ....was aber ist, wenn sie es dann widerrufen würden?

In diesem Sinne betrachte ich auch, wenn Produkte dann mit dem Namen versehen werden....sie sollten informiert werden, das und wie die Daten verarbeitet werden, dann können Sie ja entscheiden, ob sie dies so tun wollen.

(Anmerkung: Die Antwort wurde an die zuständige Stelle im MSW weitergeleitet mit der Frage, ob die Antwort vom MSW mitgetragen wird.)

6.  Lösungsansätze

7.  Kommentare

Wer möchte, kann an dieser Stelle Hinweise, Kommentare oder Anregungen hinterlegen!

Ihr Kommentar 
Verfasser 
Zufallscode 152