Stellungnahme des Hessischen Datenschutzbeauftragten zum Einsatz von Microsoft Office 365 an Hessischen Schulen

Fotolia_119927616_S.jpg

Bild Dmitry Vereshchagin fotolia.com_Aufgaben und Organisation

1. Kernpunkte

Der Einsatz von Microsoft Office 365 in der sogenannten "Deutschland-Cloud" durch hessische Schulen stößt auf keine grundsätzlichen, datenschutzrechtlichen Bedenken, soweit die nachfolgend aufgeführten Voraussetzungen erfüllt sind:

1.1 Die Nutzung durch hessische Schulen muss sich auf den pädagogischen Bereich beschränken. Die Verarbeitung von Verwaltungsdaten ist nicht Gegenstand dieser datenschutzrechtlichen Betrachtung.

1.2 Die datenschutzgerechte Nutzung des Produkts erfordert von den Schulen die Implementierung einer datenschutzkonformen Systemarchitektur, welche Microsoft zwar teilweise zur Verfügung stellt, deren Umsetzung jedoch in der Verantwortung der Schule in Zusammenarbeit mit dem Schulträger liegt und zusätzliche technische und organisatorische Maßnahmen erfordert.

1.3 Jede Schule hat grundsätzlich - von besonderen Ausnahmefällen abgesehen - den technischen Support über den regulären Support-Prozess bei Microsoft abzuwickeln. So ist sichergestellt, dass der Datentreuhänder jede Supportanfrage, welche den Zugang zur Plattform oder den Zugriff auf personenbezogene Daten der Schule erfordert, genehmigen, überwachen und protokollieren kann.

1.4 Die Einschaltung beziehungsweise Beteiligung des schulischen Datenschutzbeauftragten sowie des behördlichen Datenschutzbeauftragten des Schulträgers bei der Umsetzung der Maßnahmen ist gem. § 7 Abs. 4 Hessisches Datenschutzgesetz (HDSG) zwingend erforderlich. Darüber hinaus ist dies schriftlich zu dokumentieren.

1.5 Die ab 25. Mai 2018 geltende Datenschutz-Grundverordnung (DS-GVO) kann zu weiteren Anforderungen, wie möglicherweise einer Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO, führen.

1.6 Nach Ablauf eines Schuljahres ist der Einsatz der Anwendung hinsichtlich der inhaltlichen und datenschutzrechtlichen Parameter zu evaluieren. Soweit erforderlich, sind Ergänzungen oder Korrekturen vorzunehmen.

2. Vorbemerkung

Bereits seit Anfang 2013 sind Anfragen von Schulen hinsichtlich der Nutzung von Microsoft Office 365 an den Hessischen Datenschutzbeauftragten gerichtet worden. Der Hessische Datenschutzbeauftragte hat zusammen mit dem Hessischen Kultusministerium, dem Schulträger der Stadt Frankfurt sowie eigeninitiiert jeweils Gespräche mit Microsoft geführt. In diesem Zusammenhang hat Microsoft eine Fülle von Unterlagen zur Verfügung gestellt, welche in die datenschutzrechtliche Bewertung einbezogen wurden.

3. Rechtliche Bewertung

Die Verarbeitung personenbezogener Daten in der Microsoft "Deutschland-Cloud" lässt sich im Rahmen von § 83. Abs. 1 des Hessischen Schulgesetzes (HSchG) in Verbindung mit § 1 Abs. 1 der Verordnung über die Verarbeitung personenbezogener Daten an Schulen datenschutzkonform gestalten. Danach dürfen personenbezogene Daten von Schülern, deren Eltern und Lehrkräften verarbeitet werden, soweit dies zur rechtmäßigen Erfüllung des Bildungs- und Erziehungsauftrages und für einen jeweils damit verbundenen Zweck erforderlich ist.
Im Übrigen sehen weder das Bundesdatenschutzgesetz noch das Hessische Datenschutzgesetz ein Verbot der Übermittlung personenbezogener Daten in Drittstaaten vor.

4. Technische Bewertung

Der Hessische Datenschutzbeauftragte ist außerdem der Auffassung, dass die von Microsoft geschaffenen technischen und organisatorischen Maßnahmen (Entwicklung der Deutschland-Cloud) nun einen angemessenen Standard erreicht haben, um eine sichere Datenverarbeitung pädagogischer, personenbezogener Daten durch öffentlich-rechtliche Schulen in Hessen zu ermöglichen.
Weitergehende Nutzungsmöglichkeiten, zum Beispiel die Verarbeitung von Verwaltungsdaten, bleiben einer möglichen Betrachtung zu einem späteren Zeitpunkt vorbehalten.
Mit der Schaffung der "Deutschland-Cloud" und der Speicherung der Daten ausschließlich in zwei Rechenzentren in Deutschland (Frankfurt/Main und Magdeburg) sowie der Beauftragung eines sogenannten Datentreuhänders (T-Systems International GmbH) sind nur angemeldete und von T-Systems Mitarbeitern "begleitete" Zugriffe von Microsoft-Mitarbeitern möglich. Hierfür wurden zwei Cloud-Control-Center geschaffen, welche von Mitarbeitern der T-Systems gesteuert werden. Von dort erfolgt die Freischaltung der Zugriffe für Microsoft.
Die Cloud-Dienste Azure und Office 365 von Microsoft entsprechen dem Standard von ISO/IEC 27018, welcher einem "Code of practice" entspricht. Zudem ist eine ISO 27001-Zertifizierung auf der Basis für IT-Grundschutz des Bundesamtes für Sicherheit in der Informationstechnik erfolgt.
Die Frage des Supports für die Kunden ist dahingehend geklärt, dass Anfragen grundsätzlich über den Datentreuhänder abgewickelt werden. Dies schließt nicht aus, dass sich Kunden auch direkt an Microsoft wenden und - am Datentreuhänder vorbei - ein Zugriff von Microsoft auf die personenbezogenen Daten möglich ist. Dies weitgehend auszuschließen ist gegebenenfalls eine Frage organisatorischer Anweisungen des zuständigen Schulträgers gegenüber den Schulen. Der Schulträger muss hieran ein besonderes Interesse haben, stellt er doch in der Regel die Netzwerkarchitektur zur Verfügung.
Ohne Zweifel anspruchsvoll ist eine datenschutzgerechte Umsetzung hinsichtlich der Generierung von Zugriffsberechtigungen, Protokollierungsfunktionen und der Administration von Office 365. Microsoft stellt in diesem Zusammenhang die wesentlichen Werkzeuge zur Verfügung. Anleitungen für den schulischen Gebrauch sind angefordert. Die konkrete Umsetzung vor Ort in den Schulen muss durch diese selbst oder den jeweiligen Schulträger erfolgen. Hier sind beide Institutionen in der Pflicht, ein schlüssiges Konzept zu entwickeln und umzusetzen, so dass schulspezifische, technische und organisatorische Maßnahmen umgesetzt werden, welche die datenschutzkonforme Realisierung für einen dauerhaften Betrieb gewährleisten.

5. Erläuterungen zu ausgewählten Kernpunkten

5.1 Nutzung von Office 365 für den pädagogischen Bereich

Die Nutzung von Office 365 durch Schulen muss sich zunächst auf den pädagogischen Bereich beschränken. Eine Nutzung der Cloud für Verwaltungszwecke ist ausgeschlossen. Die Einstellung von Unterrichtsmaterial, Aufgaben und anderes ist möglich. Ebenso können Mitteilungen über die Bewertung von Arbeiten oder Aufgaben oder die Kommunikation zwischen den Beteiligten (Email-Verkehr) ausgetauscht werden.

5.2 Verantwortung für die Sicherheitsarchitektur in den Schulen

Die Schulen sind als Daten verarbeitende Stellen für die Umsetzung der erforderlichen Maßnahmen zum Datenschutz und der Datensicherheit verantwortlich. Microsoft stellt Funktionen hinsichtlich der Berechtigungen und Protokollierung zur Verfügung, die in jeder Einrichtung so implementiert werden müssen, dass eine sichere Datenverarbeitung gewährleistet ist. Die Schulträger müssen bei der Umsetzung eingebunden werden.

5.3 Supportanfragen über den Datentreuhänder

Alle Support-Anfragen sollen über den Datentreuhänder abgewickelt werden. Dies ist durch organisatorische Maßnahmen sicherzustellen. Soweit der Schulträger darauf Einfluss nehmen kann, soll dies durch technische Maßnahmen umgesetzt werden. Nur wenn aus besonderen Gründen der Datentreuhänder nicht eingeschaltet werden kann, ist es der Schule möglich, sich auch direkt an den Microsoft-Support zu wenden.

5.4 Beteiligung des schulischen und des behördlichen Datenschutzbeauftragten

Die frühzeitige Beteiligung sowohl des schulischen Datenschutzbeauftragten als auch des behördlichen Datenschutzbeauftragten ist gem. § 7 Abs. 6 HDSG i.V.m. § 11 Abs. 4 der Verordnung zur Verarbeitung personenbezogener Daten an Schulen durch die Schule und den Schulträger sicherzustellen. Ebenfalls ist zu gewährleisten, dass die Datenschutzbeauftragten eine schriftliche Stellungnahme hinsichtlich der getroffenen Datenschutz- und Datensicherheitsmaßnahmen verfassen.

5.5 Evaluierung

Im Zusammenhang mit der Nutzung des Cloud-Dienstes Office 365 soll jede Schule nach dem erstmaligen Einsatz der Anwendung eine Evaluation durchführen und prüfen, ob die eingesetzten Maßnahmen zum Datenschutz und der Datensicherheit dem erforderlichen Umfang entsprechen. Gegebenenfalls ist eine Anpassung vorzunehmen. Die Evaluierung hat nach Ablauf eines Schuljahres zu erfolgen und ist zu dokumentieren.

SERVICE