Gerade ist ein absoluter Fail in Hannover bekannt geworden, der den Steuerzahler 324.000 Euro kostet. Es wurden 60.000 Lizenzen für Microsoft 365 Education gekauft, ohne vorher eine Datenschutzfolgeabschätzung zu machen. Nun dürfen die Lizenzen an Schulen nicht eingesetzt werden.
Das Thema wabert bereits seit Tagen durch die Medien, seit die HAZ den Sachverhalt hier veröffentlicht hat, und zeigt, was momentan in vielen Bereichen schief läuft. Die Stadt Hannover schloss im Jahr 2025 einen Vertrag zum Kauf von 60.000 Microsoft-365-Education-Lizenzen im Wert von 324.000 Euro mit Microsoft ab. Eingesetzt werden sollte die Software in Schulen der Stadt.
Der HAZ-Artikel steckt hinter einer Paywall, daher habe ich oben den Beitrag der Kollegen von Golem verlinkt. Das Problem: Bei der Beschaffung der Lizenzen wurde keine Vorabprüfung durch einen Datenschutzbeauftragten durchgeführt und es gab auch keine Abschätzung, ob die Lizenzen überhaupt eingesetzt werden können.
Blind und ohne Datenschutzprüfung gekauft
"Man wollte Hannovers Schulen digital nach vorne bringen", heißt es in der HAZ, hat das aber ohne Sinn und Verstand gemacht. Eigentlich hätte jedem Verantwortlichen die Brisanz klar sein müssen, hatten doch zahlreiche Landesdatenschutzbeauftragte bereits festgestellt, dass Microsoft Office 365 in Schulen nicht – oder nur mit modifizierten Verträgen – DSGVO-konform eingesetzt werden kann (siehe Artikellinks am Beitragsende). In der HAZ steht, dass die 60.000 Lizenzen, um die es geht, nicht den Bestimmungen des Datenschutzes für Kinder und Jugendliche entsprechen (Hintergründe weiter unten).
Per Blindflug ins Desaster
Die HAZ legt die Finger in die Wunde, die Beschaffung erfolgt wohl "im Blindflug", Hauptsache, wir machen was mit Digitalisierung in Schulen. Der Kauf der Lizenzen sei ohne vorangegangene Prüfung eines Datenschutzbeauftragten geschehen, heißt es. Zwar sei ein sogenanntes "Data Processing Agreement" (DPA, Auftragsverarbeitungsvertrag) abgeschlossen worden.
Das sei allerdings der Falsche gewesen, denn laut Stadtsprecher Christian von Eichborn wurde im Fall von Microsoft 365 Education ein Standard-Datenverarbeitungsvertrag gewählt und nicht das DPA für Schulen. Finde ich erstaunlich, denn ich hätte bei Microsofts Vertrieb vorausgesetzt, dass die so etwas wissen (ob es überhaupt ein solches DPA für Schulen gibt, habe ich nicht herausfinden können).
Eine Datenschutz-Folgeabschätzung ist für eine geplante Verarbeitung personenbezogener Daten erforderlich, wenn diese Verarbeitung "voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat". "Man hat das Pferd von hinten aufgezäumt", sagt von Eichborn, denn die Datenschutzfolgeabschätzung erfolgte nach dem Vertragsabschluss. Die
Problem intern "vor Ostern" bekannt
Öffentlich wurde dies wohl durch Bildungsdezernentin Eva Bender (SPD) am vergangenen Wochenende (18. April 2026), die die Flucht nach vorne antrat und an die Öffentlichkeit ging. Die Dezernentin gibt an, "vor Ostern" (2026) zum ersten Mal von dem Desaster erfahren und sich über die Feiertage in die Akten und Unterlagen eingelesen zu haben.
Die HAZ zitiert die Bildungsdezernentin: "Es wurde hier im Haus eine falsche Entscheidung getroffen: Es wurden Lizenzen gekauft, die nicht hätten gekauft werden dürfen. Wie es dazu kam, werden wir lückenlos aufklären. Wir werden eine Taskforce gründen, die den Vorgang untersuchen soll."
Die Bildungsdezernentin droht auch personalrechtliche Konsequenzen an. Außerdem will man ein externes Unternehmen beauftragen, das die organisatorischen und strukturellen Abläufe untersucht.
Aber das "Kind ist in den Brunnen gefallen" – doppelt bitter, man hätte nur nach Kiel schauen können, wo die Landesregierung des benachbarten Bundeslands die Verwaltung auf LibreOffice umstellt und sich von Microsoft Office verabschiedet (siehe Schleswig-Holstein: Schon 80 % der Arbeitsplätze auf LibreOffice umgestellt).
Wenn ich die Ausführungen in der HAZ richtig interpretiere, hat wohl Lobbyismus zu dieser Entscheidung geführt. Es gab im Vorfeld wohl heftige Debatten um den Wechsel auf Microsoft 365. So findet sich der archivierte Artikel Hannovers Schulen sollen von IServ zu Microsoft wechseln – scheitert der Plan am Datenschutz? vom 11. März 2026, wo sich bereits die Brisanz abzeichnete. Dort heißt es, dass Schulen von iServ eigentlich zu Microsoft 365 wechseln sollten. Begründet wurde der ganze Move von der Stadt Hannover, dass "die Kinder mit Microsoft 365 auf das Berufsleben vorbereitet werden sollen". Es wurde auch "fehlende Administration in Schulen" als Argument genannt.
In der HAZ las ich auch, dass Schulen, die bereits in der Pilotphase Microsoft 365 genutzt haben, kritisierten, dass sie mit dem Programm in der Praxis nicht gut arbeiten konnten.
Microsoft 365 Education in Schulen still gelegt
Das Verfahren ist aber erkennbar dann in die Hose gegangen. Konsequenz der obigen Chose ist, dass die Stadt Hannover sofort die Reißleine ziehen musste. Am Dienstag, den 21. April 2026, wurde Microsoft 365 Education als Schulsoftware an allen Schulen, die es bisher genutzt haben, abgestellt. Wer noch Daten sichern wollte, musste das bis dahin getan haben. Die Mitteilung der Stadt Hannover zu diesem Vorgang lässt sich, samt FAQ, hier abrufen.
Derzeit will die Stadt Hannover die Verträge mit IServ, Webweaver und anderen Tools verlängern, damit die Schulen arbeitsfähig bleiben. Wann nun Microsoft 365 eingeführt werden kann, wie man die Sache mit den falschen Lizenzen heilen kann, und das was am Ende des Tages kostet, ist derzeit wohl offen.
In der HAZ heißt es dazu: "Klar ist nur, dass es dieses und vermutlich auch nächstes Schuljahr nichts wird". Die Stadt Hannover muss jetzt den gesamten Prozess, dieses mal vorab mit einer Datenschutzfolgeabschätzung, neu starten. Erst danach kann es ggf. Verhandlungen über eine korrekte DPA sowie den Neuerwerb von Lizenzen auf der richtigen datenschutzrechtlichen Grundlage geben.
Da Microsoft 365 Education meines Wissens auf Abo-Basis erworben wird, sind die oben erwähnten 324.000 Euro auf Kosten des Steuerzahlers beim Konto "teures Lehrgeld" verbucht worden.
Ähnliche Artikel:
Microsoft Office spioniert Nutzer aus, kollidiert mit DSGVO
Microsoft will Office Pro Plus DSGVO-konform nachbessern
Privacy: Microsoft steht mit Windows 10/Office 365 unter Druck
Datenschutzkonferenz 2022: Microsoft 365 weiterhin nicht datenschutzkonform
Nachbetrachtung zur DSK-Einstufung "Microsoft 365 weiterhin nicht datenschutzkonform"
Datenschutz: Microsoft 365 muss ab Sommer 2022 in Baden-Württembergs Schulen ersetzt worden sein
Microsoft 365 an Schulen, Baden-Württembergs Datenschützer sagt Nein
Kostenloses Microsoft 365 und Google Workspace an Frankreichs Schulen verboten
Office3 65 an Schulen unzulässig – Microsoft-Lizenzkosten für Bund steigen
Microsoft 365 an Schulen: Droht Schadensersatz wegen DSGVO-Verstößen?
DSGVO-Info über Privatsphäreneinstellungen in Office 365 Plus
Noyb reicht gegen Microsoft 365 Education DSGVO-Beschwerden ein
Office365 an Schulen unzulässig – Microsoft-Lizenzkosten für Bund steigen
Hessischer Datenschützer: Office 365 kann DSGVO-konform eingesetzt werden
MVP: 2013 – 2016
Bürokratie-Schwachsinn.
Jap, auch so'n mißglücktes Beispiel von "Gut gedacht ist noch lang' nicht gut gemacht!" aus der EU-DSGVO. 🤷♂️
Ignorieren wir mal für einen Moment, dass man Microsoft 365 unabhängig von irgendwelchen Vereinbarungen gar nicht DSGVO Konform einsetzen kann (CLOUD-Act und co lassen grüßen): Wenn ich das richtig verstanden habe ist das grundsätzliche Problem, dass Hannover zu den Lizenzen den falschen DPA abgeschlossen hat. Gibt es da keine Möglichkeit mit MS in Kontakt zu treten und zu sagen "Hey, wir haben den für uns falschen DPA abgeschlossen, könnt ihr uns bitte für unsere Lizenzen stattdessen den "richtigen" DPA für Schulen ausstellen?" Dann könnte man sich zumindest den Neukauf sparen. Oder sind die Lizenzen komplett an die Art des DPAs gebunden und können technisch nicht mit einem anderen DPA laufen?
warum muss jede Schule eine eigene Datenschutzfolgeabschätzung machen?
Weil wir in Deutschland sind.
Wie machen das denn die anderen Schulbehörden der anderen Großstädte und Landkreise? Ich kenne hier diverse Eltern im Landkreis, alle deren Kids, meine auch, haben über die Schule Zugang zu M365 und das wird auch genutzt. Teils schon seit der Grundschule. Übersehen die was, oder haben die einfach nur bessere Datenschutzverträge mit MS abgeschlossen, oder hängts am Dienstleister, dessen Erfahrung, Verhandlungsgeschick oder Knowhow bei der Implementierung?
Bei meinem alten Arbeitgeber in der Kommune wurde gesagt: Alles was mit Cloud+Microsoft zu tun hat ist datenschutzrechtlich komplett raus, Vorgabe vom Landesdatenschutzbeauftragten quasi.
Wir haben für die Schüler-PCs am Ende Windows 11 Enterprise Education für recht günstig Geld bekommen und waren damit soweit auch zufrieden.
Alles Cloudmäßige lief über Nextcloud und Univention.
Ich kann die Frage nicht direkt beantworten, weil ich nicht weiß, wie das Schulbehörden so machen. Deshalb mal die Unternehmenssicht:
Bei jedem Vorhaben, bei dem voraussichtlich Personendaten bearbeitet werden (und auch das Anschauen von Daten ist im rechtlichen Sinne eine Bearbeitung!), erfolgt vorab eine Abstimmung mit einem DSB, ob das Vorhaben wie geplant durchgeführt werden kann, bzw. was allenfalls beachtet werden muss. Im Zweifelsfall wird ein Anwalt beigezogen.
Ohne Freigabe des DSB kann das Vorhaben nicht gestartet werden. Nach Vorhabensabschluss bestätigt der DSB mit seiner Unterschrift, dass die anfangs allenfalls gesetzten Bedingungen eingehalten wurden.
Unsere Datenschutzabteilung hat die Nutzung von M365 aus den bekannten Gründen auch nicht empfohlen, auch die Sicherheit hat auf Defizite und Gefahren hingeweisen. Es war aber so von der Geschäftsleitung gewünscht und die haben die von den Datenschutzkollegen aufgezählten Risiken übernommen. Fertig.
Und so wird das in vielen Firmen usw. gelaufen sein. So werden es andere Schulbehörden sicher auch gemacht haben, ich als Elternteil bekam von der Schule meiner Kids ein mehre Seiten langes Heft mit allem Kleingedruckten und der Bewertung der Schulbehörde ausgehändigt und mussten eine Einwilligung unterschreiben.
Ich habe mich damals schon gewundert, als die Thematik zum ersten Mal aufkam. iServ ist eine gut funktionierende Lösung für Schulen und besonders für Kinder; wird aber leider zu selten wirklich und richtig genutzt. Der Softwarehersteller sitzt in Braunschweig. Warum ein funktionierendes System durch Microslop ersetzen? Gerade was Datenschutz angeht ist Microslop unter aller Kanone.
Begründet wurde der ganze Move von der Stadt Hannover, dass "die Kinder mit Microsoft 365 auf das Berufsleben vorbereitet werden sollen". Es wurde auch "fehlende Administration in Schulen" als Argument genannt.
Hanebüchener Dummfug; als würden alle in irgendwelchen Büros dahinvegetieren und irgendwas am PC machen. Für Microslop und Konsorten wäre das natürlich vorteilhaft, keine anderen Systeme mehr im Dunstkreis zu haben, um die nächste Generation von Microsloplovern hochzuzüchten und um Konkurrenz gar nicht erst entstehen zu lassen.
Gerade zu Zeiten des Lockdowns wegen Corona war iServ Gold wert. Wir hatten daas Glück eine Schule mit iServ gehabt zu haben; der Fernunterricht wurde damit wesentlich leichter und meine Kids hatten nicht so große Wissenslücken. Auch die Kommunikation mit den Eltern wird darüber wesentlich erleichtert; gesetzt den Fall, die Schule benutzt iServ richtig und hat die richtigen Module.
Ich für meinen Teil vermute stark, das hier *chmier*ich im Einsatz war, weswegen man unbedingt die Schulen auf Microslop trimmen wollte. Ja, iServ ist nicht ganz so günstig, aber verglichen mit Microslop um Meilen besser.
Ich weiß nicht in was für einer Bürowelt du lebst/arbeitst. Keine PCs? Schreibmaschinen! Kugelschreiber und Papier? Was sind das für Büros? Back to the Seventies? Achso, Macs, mit Office 365…
Habe ich das irgendwo erwähnt?
Ich vermute, er bezieht sich da drauf:
"als würden alle in irgendwelchen Büros dahinvegetieren und irgendwas am PC machen"
Wenn aber Büro, dann PC, dann 99% was mit Microsoft.
Wir haben bei uns auch mehrere hundert Leute in der Montage, und selbst die müssen jede fertige Baugruppe am PC dokumentieren.
Hä? Ich weiß jetzt nicht, in welche Schule Sie gegangen sind, aber sehr weit ging's wohl nicht.
Die Schule hat nicht die Aufgabe den Umgang mit irgendeinem Werkzeug zu vermitteln und Office 365 ist für mich ein Werkzeug. Genauso könnte man fordern, in der Schule den Umgang mit Hammer und Nagel zu vermitteln.
Es sollte vollkommen egal sein, ob ich in der Schule mit MS Office LibreOffice oder irgendeiner anderen 'Bürosoftware' gearbeitet wird. Das hat nichts mit 'Vorbereitung auf die Berufswelt' zu tun.
"in der Schule den Umgang mit Hammer und Nagel zu vermitteln."
Nannte sich bei mir damals an der Schule "Werken"
Wir haben da auch noch andere Werkzeuge kennen gelernt, Sägen, Feilen, Bohrer, Lötkolben, …
Ist aber schon sehr realittäsfern :-\ -_-
In vielen Unternehmen / bei vielen Arbeitgebern wird halt Microslop eingesetzt. Das mag man nicht gut finden, da bin ich auch total bei dir. Ist aber auch nicht das Thema.
Der Punkt ist halt, dass das einfach ein valides und absolut sinnvolles Argument ist. Du kommst aus der Schule und kannst dann direkt die Software nutzen, die man mit hoher Warscheinlichkeit im weiteren Abschnitt nutzen wird. Das zu kritisieren..
Ich finde die Kritik auch dumm, weil das Leute Microslop nutzen ist ein Symptom und nicht das Problem. Aus dem gleichen Grund/Gründen werden vmtl. die Leute auch nicht den vollen Funktionsumfang von iServ genutz haben.
"Ich finde die Kritik auch dumm, weil das Leute Microslop nutzen ist ein Symptom und nicht das Problem." Abgesehen von der fragwürdigen Semantik und der orthografischen Unzulänglichkeit gebe ich dir hier völlig Recht. Ursache und Wirkung dürfen nicht verwechselt werden.
Diesen ganze Schmu hätte sich die Stadt sparen können. Iserv war die bisherige Lösung gewesen und der Geschäftsführer erfuhr davon auch erst über die Presse.
Jetzt sindse ja so "nett" um Versuchen den Schaden mit ihrer Software zu begrenzen – sofern die Stadt das will.
Da muss sich jemand aber ganz "dumm" von MS bequatsch lassen haben usw – aber wennse schon bei Iserv ein "Administratives Problem" gehabt haben, wie soll das erst bei M365 aussehen? Die wissen doch gar nicht welch Blödsinn die Admins da alles machen müssen. – das Beispiel zeigt aber wieder gut die digitale "Not" in den Amtshäusern in vielen Städten/Kommunen Deutschlands, wo die IT leider vor sich hin schimmelt, weil die Amtsträger mit dem Geld nix davon verstehen, aber die Entscheidung treffen sollen…
Die Cloud ist doch bekanntlich die Lösung aller Probleme. Die Einrichtung der Cloud? Dafür gibt es dann die Microsoft Partner, die sich um die Einrichtung der Cloud kümmern, gegen eine kleine Gebühr versteht sich.
Ich frag jetzt mal ganz doof: Ist das tatsächlich ein Problem für MS, diese Lizenzen einfach intern umzustellen und die Verträge DSGVO-konform anzupassen? Es handelt sich ja nicht um materielles Wirtschaftsgut, wie ein Kfz oder eine Maschine in der Produktion, die man nicht mal eben so "umbauen" kann.
Bei einem solchen Geldbetrag würde ich schon ein wenig Initiative seitens MS erwarten.
Und was mich noch wundert, ist, dass die Bezeichnung "Microsoft 365 Education" doch an und für sich bereits eine bestimmte, für den Lehrbereich geeignete Version der Software impliziert.
Aber vielleicht bin ich auch einfach schon zu alt für diesen Kram …
… aber wie man am "Education" leicht erkennt: nicht für den Lehrbereich in Deutschland. Da müsste es ja "Ausgabe für Schulen und Lehre" heißen ;-)
🤣 Jo, der war gut 👍
Meiner Erfahrung nach hat Microsoft für Schulen nicht wirklich was parat, geschweige denn für deutsche/europäische Schulen. Die ganzen Education Lizenzen sind eigentlich nur für Universitäten gedacht und man muss da schon etwas rumfrickeln um was passendes zu bekommen.
Also zumindestens meine Kids können mit den von der Schule gestellten M365 Umgebung alles machen, was sie in der Schule an Aufgaben dafür bekommen.
Glaubvt hier vielleicht jemand, für Schüler muss das irgendwie bunter, mit Bällebadanimation und lustigen Geräuschen sein, im Gegensatzt zu für Studenten?
Du verstehst ganz offensichtlich nicht den Unterschied zwischen Funktion einer Software Suite und deren zugrundeliegenden Lizenzregelwerk.
Dass die Funktion für Schulen geeignet ist stellt hier niemand in Frage.
"[…die] Bildungsdezernentin Eva Bender (SPD)…" (Sozialwissenschaftlerin) hatte keine Ahnung und nach unten deligiert: "…macht was mit Digitalisierung an den Schulen…" und jetzt sind natürlich andere schuld.
Früher gab es mal Führungspersonal, die haben Verantwortung übernommen und die Konsequenzen gezogen.
Früher? also das muss dann sehr viel früher gewesen sein… so nach dem Krieg im goldenen Zeitalter… schon mit Ära Kohl hatten Politiker das Rückgrad wegoptimiert und das Handaufhalten optimiert. Danach zeigt auch keiner mehr Rückgrad. Blüm vieleicht noch wenn man beide Augen plus Hühneraugen zudrückt.
Ich liebe ja BdSt – schwarzbuch.de
*Rückgrat
Mir schwillt der Kamm, wenn ich solche Plattitüden tagein, tagaus immer wieder lesen muss…:
"Wie es dazu kam, werden wir lückenlos aufklären. Wir werden eine Taskforce gründen, die den Vorgang untersuchen soll." und "Außerdem will man ein externes Unternehmen beauftragen, das die organisatorischen und strukturellen Abläufe untersucht."
Diese zwei Sätze kannst Du als Textbausteine unter jeglichen Sicherheits- oder Datenschutzvorfall setzen, und alle sind beruhigt. Kümmert sich ja jetzt ne Taskforce drum, oder besser noch, ne externe Taskforce, externe Experten. Auf die Expertise in House wird entweder nicht gehört oder die sind schon weg… Gründe könnt ihr euch denken. 4 1/2 Jahre noch, dann hab ich dieses Tal der Tränen durchschritten und werde versuchen, diese Dramen nicht mehr zu konsumieren. No Offense an den Überbringer der Nachricht, das muss berichtet werden, das ist mal klar. Aber irgendwann kommt es einem aus den Ohren wieder raus :-)
Ich fühle mit dir und kann es auch nicht mehr hören/lesen!
Leider muss ich solche Nachrichten noch 20 Jahre ertragen. 😭
Verantwortung übernehmen will gelernt sein; das kann heute leider niemand mehr.
Stattdessen schiebt man es auf die Leute unter einem; da hat meine Abteilung mist gebaut, da hat Der und Der nicht aufgepasst etc.
Und mir möge bitte mal jemand erklären, warum man von einer Lösung, die exakt auf Schulen zurechtgeschnitten ist und bestens funktioniert, zu Microslop wechselt…
Ich kaufe ja auch keine fahrbare Zitrone und stehe jeden Morgen im gleichen Stau
Vielleicht wächst der Druck ja endlich. Mein absoluter Liebling ist der Index auf die Handschrifterkennung. Nicht ohne weiteres verhinderbar (heute vielleicht schon, vor ein paar Jahren nicht). Warum wohl. =)
Nein nein, der wird sicher nicht übermittelt…. Ebensowenig wie der Index von Cortana/Suche. Und der AI-Kram… Da sprechen wir schon gar nicht mehr. Da wird gleich das Firmen-Know How mitgeschenkt.
Man kriegt jedes Windows und jedes Office still. Die Frage ist, wie viel Zeit man investieren möchte und auch kann. Bei KMU/Privatpersonen/Schulen ist das quasi unmöglich. Wer soll das bezahlen und findet sies raus?
Am Ende wird eh der Digital Services Act beschnitten weil wir die armen Ami-Firmen nicht mit so unwichtigem Zeug benachteiligen dürfen und alles ist wieder in bester Ordnung. Mit 180 gegen die Wand. Bremskabel braucht es nicht. Schnell genug fahren und die Wand verfliegt.
Dann geben wir mal "kommunalwahl niedersachsen" bei Google ein und erhalten – bei abgeschaltetem Gemini – direkt vom Landeswahlleiter den wohl eigentlichen Grund für diesen "Skandal":
"Die Wahlperiode der Abgeordneten hat am 01. November 2021 begonnen und wird am 31. Oktober 2026 enden."
Wirft da etwa am Ende nur Journalie mit Dreck um sich damit schon etwas hängen bleibt?
Hier ist der Wahlkrampf zum Glück zumindest für 2026 schon vorbei.
Ach Gottchen, selbstverständlich ist die 'Journallie' Schuld, wenn es in Behörden schief läuft und berichtet wird. Kopfschütteln ob des Kommentars, zumal ich die Information der Stadt Hannover verlinkt hatte.
Was hier nur am Rande vorkommt ist, dass MS jedem, der nicht aufpasst, Standardlizenzen andreht, die datenschutzrechtlich mehr als zweifelhaft sind. Auch Ämtern und Behörden. Und jene untaugliche Lizenzen im Artikel trugen den Titel "Education-Lizenzen". Bei Microsoft sollte man wissen, dass diese für deutsche Schulen nichts taugen.
Die Stadt Hannover sucht hingegen jetzt intern nach einem Bauernopfer, statt die generelle Entscheidung für Microsoft zu hinterfragen.
In Bayern wird Microsoft 365 mit einem Microsoft-FWU-Rahmenvertrag seit Jahr und Tag in die Schulklassen ausgerollt. Ist das ähnlich in Hannover?