Gerade ist ein absoluter Fail in Hannover bekannt geworden, der den Steuerzahler 324.000 Euro kostet. Es wurden 60.000 Lizenzen für Microsoft 365 Education gekauft, ohne vorher eine Datenschutzfolgeabschätzung zu machen. Nun dürfen die Lizenzen an Schulen nicht eingesetzt werden.
Das Thema wabert bereits seit Tagen durch die Medien, seit die HAZ den Sachverhalt hier veröffentlicht hat, und zeigt, was momentan in vielen Bereichen schief läuft. Die Stadt Hannover schloss im Jahr 2025 einen Vertrag zum Kauf von 60.000 Microsoft-365-Education-Lizenzen im Wert von 324.000 Euro mit Microsoft ab. Eingesetzt werden sollte die Software in Schulen der Stadt.
Der HAZ-Artikel steckt hinter einer Paywall, daher habe ich oben den Beitrag der Kollegen von Golem verlinkt. Das Problem: Bei der Beschaffung der Lizenzen wurde keine Vorabprüfung durch einen Datenschutzbeauftragten durchgeführt und es gab auch keine Abschätzung, ob die Lizenzen überhaupt eingesetzt werden können.
Blind und ohne Datenschutzprüfung gekauft
"Man wollte Hannovers Schulen digital nach vorne bringen", heißt es in der HAZ, hat das aber ohne Sinn und Verstand gemacht. Eigentlich hätte jedem Verantwortlichen die Brisanz klar sein müssen, hatten doch zahlreiche Landesdatenschutzbeauftragte bereits festgestellt, dass Microsoft Office 365 in Schulen nicht – oder nur mit modifizierten Verträgen – DSGVO-konform eingesetzt werden kann (siehe Artikellinks am Beitragsende). In der HAZ steht, dass die 60.000 Lizenzen, um die es geht, nicht den Bestimmungen des Datenschutzes für Kinder und Jugendliche entsprechen (Hintergründe weiter unten).
Per Blindflug ins Desaster
Die HAZ legt die Finger in die Wunde, die Beschaffung erfolgt wohl "im Blindflug", Hauptsache, wir machen was mit Digitalisierung in Schulen. Der Kauf der Lizenzen sei ohne vorangegangene Prüfung eines Datenschutzbeauftragten geschehen, heißt es. Zwar sei ein sogenanntes "Data Processing Agreement" (DPA, Auftragsverarbeitungsvertrag) abgeschlossen worden.
Das sei allerdings der Falsche gewesen, denn laut Stadtsprecher Christian von Eichborn wurde im Fall von Microsoft 365 Education ein Standard-Datenverarbeitungsvertrag gewählt und nicht das DPA für Schulen. Finde ich erstaunlich, denn ich hätte bei Microsofts Vertrieb vorausgesetzt, dass die so etwas wissen (ob es überhaupt ein solches DPA für Schulen gibt, habe ich nicht herausfinden können).
Eine Datenschutz-Folgeabschätzung ist für eine geplante Verarbeitung personenbezogener Daten erforderlich, wenn diese Verarbeitung "voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat". "Man hat das Pferd von hinten aufgezäumt", sagt von Eichborn, denn die Datenschutzfolgeabschätzung erfolgte nach dem Vertragsabschluss. Die
Problem intern "vor Ostern" bekannt
Öffentlich wurde dies wohl durch Bildungsdezernentin Eva Bender (SPD) am vergangenen Wochenende (18. April 2026), die die Flucht nach vorne antrat und an die Öffentlichkeit ging. Die Dezernentin gibt an, "vor Ostern" (2026) zum ersten Mal von dem Desaster erfahren und sich über die Feiertage in die Akten und Unterlagen eingelesen zu haben.
Die HAZ zitiert die Bildungsdezernentin: "Es wurde hier im Haus eine falsche Entscheidung getroffen: Es wurden Lizenzen gekauft, die nicht hätten gekauft werden dürfen. Wie es dazu kam, werden wir lückenlos aufklären. Wir werden eine Taskforce gründen, die den Vorgang untersuchen soll."
Die Bildungsdezernentin droht auch personalrechtliche Konsequenzen an. Außerdem will man ein externes Unternehmen beauftragen, das die organisatorischen und strukturellen Abläufe untersucht.
Aber das "Kind ist in den Brunnen gefallen" – doppelt bitter, man hätte nur nach Kiel schauen können, wo die Landesregierung des benachbarten Bundeslands die Verwaltung auf LibreOffice umstellt und sich von Microsoft Office verabschiedet (siehe Schleswig-Holstein: Schon 80 % der Arbeitsplätze auf LibreOffice umgestellt).
Wenn ich die Ausführungen in der HAZ richtig interpretiere, hat wohl Lobbyismus zu dieser Entscheidung geführt. Es gab im Vorfeld wohl heftige Debatten um den Wechsel auf Microsoft 365. So findet sich der archivierte Artikel Hannovers Schulen sollen von IServ zu Microsoft wechseln – scheitert der Plan am Datenschutz? vom 11. März 2026, wo sich bereits die Brisanz abzeichnete. Dort heißt es, dass Schulen von iServ eigentlich zu Microsoft 365 wechseln sollten. Begründet wurde der ganze Move von der Stadt Hannover, dass "die Kinder mit Microsoft 365 auf das Berufsleben vorbereitet werden sollen". Es wurde auch "fehlende Administration in Schulen" als Argument genannt.
In der HAZ las ich auch, dass Schulen, die bereits in der Pilotphase Microsoft 365 genutzt haben, kritisierten, dass sie mit dem Programm in der Praxis nicht gut arbeiten konnten.
Microsoft 365 Education in Schulen still gelegt
Das Verfahren ist aber erkennbar dann in die Hose gegangen. Konsequenz der obigen Chose ist, dass die Stadt Hannover sofort die Reißleine ziehen musste. Am Dienstag, den 21. April 2026, wurde Microsoft 365 Education als Schulsoftware an allen Schulen, die es bisher genutzt haben, abgestellt. Wer noch Daten sichern wollte, musste das bis dahin getan haben. Die Mitteilung der Stadt Hannover zu diesem Vorgang lässt sich, samt FAQ, hier abrufen.
Derzeit will die Stadt Hannover die Verträge mit IServ, Webweaver und anderen Tools verlängern, damit die Schulen arbeitsfähig bleiben. Wann nun Microsoft 365 eingeführt werden kann, wie man die Sache mit den falschen Lizenzen heilen kann, und das was am Ende des Tages kostet, ist derzeit wohl offen.
In der HAZ heißt es dazu: "Klar ist nur, dass es dieses und vermutlich auch nächstes Schuljahr nichts wird". Die Stadt Hannover muss jetzt den gesamten Prozess, dieses mal vorab mit einer Datenschutzfolgeabschätzung, neu starten. Erst danach kann es ggf. Verhandlungen über eine korrekte DPA sowie den Neuerwerb von Lizenzen auf der richtigen datenschutzrechtlichen Grundlage geben.
Da Microsoft 365 Education meines Wissens auf Abo-Basis erworben wird, sind die oben erwähnten 324.000 Euro auf Kosten des Steuerzahlers beim Konto "teures Lehrgeld" verbucht worden.
Ähnliche Artikel:
Microsoft Office spioniert Nutzer aus, kollidiert mit DSGVO
Microsoft will Office Pro Plus DSGVO-konform nachbessern
Privacy: Microsoft steht mit Windows 10/Office 365 unter Druck
Datenschutzkonferenz 2022: Microsoft 365 weiterhin nicht datenschutzkonform
Nachbetrachtung zur DSK-Einstufung "Microsoft 365 weiterhin nicht datenschutzkonform"
Datenschutz: Microsoft 365 muss ab Sommer 2022 in Baden-Württembergs Schulen ersetzt worden sein
Microsoft 365 an Schulen, Baden-Württembergs Datenschützer sagt Nein
Kostenloses Microsoft 365 und Google Workspace an Frankreichs Schulen verboten
Office3 65 an Schulen unzulässig – Microsoft-Lizenzkosten für Bund steigen
Microsoft 365 an Schulen: Droht Schadensersatz wegen DSGVO-Verstößen?
DSGVO-Info über Privatsphäreneinstellungen in Office 365 Plus
Noyb reicht gegen Microsoft 365 Education DSGVO-Beschwerden ein
Office365 an Schulen unzulässig – Microsoft-Lizenzkosten für Bund steigen
Hessischer Datenschützer: Office 365 kann DSGVO-konform eingesetzt werden
MVP: 2013 – 2016
warum muss jede Schule eine eigene Datenschutzfolgeabschätzung machen?
Weil wir in Deutschland sind.
Wie machen das denn die anderen Schulbehörden der anderen Großstädte und Landkreise? Ich kenne hier diverse Eltern im Landkreis, alle deren Kids, meine auch, haben über die Schule Zugang zu M365 und das wird auch genutzt. Teils schon seit der Grundschule. Übersehen die was, oder haben die einfach nur bessere Datenschutzverträge mit MS abgeschlossen, oder hängts am Dienstleister, dessen Erfahrung, Verhandlungsgeschick oder Knowhow bei der Implementierung?
Bei meinem alten Arbeitgeber in der Kommune wurde gesagt: Alles was mit Cloud+Microsoft zu tun hat ist datenschutzrechtlich komplett raus, Vorgabe vom Landesdatenschutzbeauftragten quasi.
Wir haben für die Schüler-PCs am Ende Windows 11 Enterprise Education für recht günstig Geld bekommen und waren damit soweit auch zufrieden.
Alles Cloudmäßige lief über Nextcloud und Univention.
Ich habe mich damals schon gewundert, als die Thematik zum ersten Mal aufkam. iServ ist eine gut funktionierende Lösung für Schulen und besonders für Kinder; wird aber leider zu selten wirklich und richtig genutzt. Der Softwarehersteller sitzt in Braunschweig. Warum ein funktionierendes System durch Microslop ersetzen? Gerade was Datenschutz angeht ist Microslop unter aller Kanone.
Begründet wurde der ganze Move von der Stadt Hannover, dass "die Kinder mit Microsoft 365 auf das Berufsleben vorbereitet werden sollen". Es wurde auch "fehlende Administration in Schulen" als Argument genannt.
Hanebüchener Dummfug; als würden alle in irgendwelchen Büros dahinvegetieren und irgendwas am PC machen. Für Microslop und Konsorten wäre das natürlich vorteilhaft, keine anderen Systeme mehr im Dunstkreis zu haben, um die nächste Generation von Microsloplovern hochzuzüchten und um Konkurrenz gar nicht erst entstehen zu lassen.
Gerade zu Zeiten des Lockdowns wegen Corona war iServ Gold wert. Wir hatten daas Glück eine Schule mit iServ gehabt zu haben; der Fernunterricht wurde damit wesentlich leichter und meine Kids hatten nicht so große Wissenslücken. Auch die Kommunikation mit den Eltern wird darüber wesentlich erleichtert; gesetzt den Fall, die Schule benutzt iServ richtig und hat die richtigen Module.
Ich für meinen Teil vermute stark, das hier *chmier*ich im Einsatz war, weswegen man unbedingt die Schulen auf Microslop trimmen wollte. Ja, iServ ist nicht ganz so günstig, aber verglichen mit Microslop um Meilen besser.
Ich weiß nicht in was für einer Bürowelt du lebst/arbeitst. Keine PCs? Schreibmaschinen! Kugelschreiber und Papier? Was sind das für Büros? Back to the Seventies? Achso, Macs, mit Office 365…
Habe ich das irgendwo erwähnt?
Hä? Ich weiß jetzt nicht, in welche Schule Sie gegangen sind, aber sehr weit ging's wohl nicht.
Die Schule hat nicht die Aufgabe den Umgang mit irgendeinem Werkzeug zu vermitteln und Office 365 ist für mich ein Werkzeug. Genauso könnte man fordern, in der Schule den Umgang mit Hammer und Nagel zu vermitteln.
Es sollte vollkommen egal sein, ob ich in der Schule mit MS Office LibreOffice oder irgendeiner anderen 'Bürosoftware' gearbeitet wird. Das hat nichts mit 'Vorbereitung auf die Berufswelt' zu tun.
Diesen ganze Schmu hätte sich die Stadt sparen können. Iserv war die bisherige Lösung gewesen und der Geschäftsführer erfuhr davon auch erst über die Presse.
Jetzt sindse ja so "nett" um Versuchen den Schaden mit ihrer Software zu begrenzen – sofern die Stadt das will.
Da muss sich jemand aber ganz "dumm" von MS bequatsch lassen haben usw – aber wennse schon bei Iserv ein "Administratives Problem" gehabt haben, wie soll das erst bei M365 aussehen? Die wissen doch gar nicht welch Blödsinn die Admins da alles machen müssen. – das Beispiel zeigt aber wieder gut die digitale "Not" in den Amtshäusern in vielen Städten/Kommunen Deutschlands, wo die IT leider vor sich hin schimmelt, weil die Amtsträger mit dem Geld nix davon verstehen, aber die Entscheidung treffen sollen…
Die Cloud ist doch bekanntlich die Lösung aller Probleme. Die Einrichtung der Cloud? Dafür gibt es dann die Microsoft Partner, die sich um die Einrichtung der Cloud kümmern, gegen eine kleine Gebühr versteht sich.
Ich frag jetzt mal ganz doof: Ist das tatsächlich ein Problem für MS, diese Lizenzen einfach intern umzustellen und die Verträge DSGVO-konform anzupassen? Es handelt sich ja nicht um materielles Wirtschaftsgut, wie ein Kfz oder eine Maschine in der Produktion, die man nicht mal eben so "umbauen" kann.
Bei einem solchen Geldbetrag würde ich schon ein wenig Initiative seitens MS erwarten.
Und was mich noch wundert, ist, dass die Bezeichnung "Microsoft 365 Education" doch an und für sich bereits eine bestimmte, für den Lehrbereich geeignete Version der Software impliziert.
Aber vielleicht bin ich auch einfach schon zu alt für diesen Kram …
… aber wie man am "Education" leicht erkennt: nicht für den Lehrbereich in Deutschland. Da müsste es ja "Ausgabe für Schulen und Lehre" heißen ;-)
Meiner Erfahrung nach hat Microsoft für Schulen nicht wirklich was parat, geschweige denn für deutsche/europäische Schulen. Die ganzen Education Lizenzen sind eigentlich nur für Universitäten gedacht und man muss da schon etwas rumfrickeln um was passendes zu bekommen.
"[…die] Bildungsdezernentin Eva Bender (SPD)…" (Sozialwissenschaftlerin) hatte keine Ahnung und nach unten deligiert: "…macht was mit Digitalisierung an den Schulen…" und jetzt sind natürlich andere schuld.
Früher gab es mal Führungspersonal, die haben Verantwortung übernommen und die Konsequenzen gezogen.
Mir schwillt der Kamm, wenn ich solche Plattitüden tagein, tagaus immer wieder lesen muss…:
"Wie es dazu kam, werden wir lückenlos aufklären. Wir werden eine Taskforce gründen, die den Vorgang untersuchen soll." und "Außerdem will man ein externes Unternehmen beauftragen, das die organisatorischen und strukturellen Abläufe untersucht."
Diese zwei Sätze kannst Du als Textbausteine unter jeglichen Sicherheits- oder Datenschutzvorfall setzen, und alle sind beruhigt. Kümmert sich ja jetzt ne Taskforce drum, oder besser noch, ne externe Taskforce, externe Experten. Auf die Expertise in House wird entweder nicht gehört oder die sind schon weg… Gründe könnt ihr euch denken. 4 1/2 Jahre noch, dann hab ich dieses Tal der Tränen durchschritten und werde versuchen, diese Dramen nicht mehr zu konsumieren. No Offense an den Überbringer der Nachricht, das muss berichtet werden, das ist mal klar. Aber irgendwann kommt es einem aus den Ohren wieder raus :-)