{"id":252935,"date":"2021-05-09T10:21:05","date_gmt":"2021-05-09T08:21:05","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=252935"},"modified":"2021-05-09T10:21:05","modified_gmt":"2021-05-09T08:21:05","slug":"microsoft-365-an-schulen-baden-wrttembergs-datenschtzer-sagt-nein","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/05\/09\/microsoft-365-an-schulen-baden-wrttembergs-datenschtzer-sagt-nein\/","title":{"rendered":"Microsoft 365 an Schulen, Baden-Württembergs Datenschützer sagt Nein"},"content":{"rendered":"

\"SicherheitEs war eigentlich ein \"Scheitern mit Ansage\" – Ende April 2021 wurde bekannt, dass der Landesbeauftragte f\u00fcr Datenschutz, Stefan Brink, gravierende Bedenken gegen den Einsatz von Microsoft 365 (samt Office 365) in den Schulen Baden-W\u00fcrttembergs hat. Entgegen der Planung des Kultusministeriums <\/strong>geht Brink nach monatelangen Pr\u00fcfungen davon aus, dass Microsoft sein Produkt nicht datenschutzkonform bereitstellen kann. Etwas offizielles als Stellungnahmen gibt es aber wohl (noch) nicht. <\/p>\n

<\/p>\n

Der Elefant im Raum<\/h2>\n

\"\"Das Ganze hat eine etwas l\u00e4ngere Vorgeschichte und regul\u00e4re Blog-Leser wissen, dass ich extreme Vorbehalte gegen einen Einsatz von Windows 10 und Microsoft Office 365 in Beh\u00f6rden und vor allem in Schulen habe. Speziell Microsoft Office 365 ist ein Datenschutzunfall – im Beitrag DSGVO, Microsoft Office und die Datenschutzprobleme<\/a> hatte ich bereits 2019 das Problem angerissen. Das niederl\u00e4ndische Ministerium f\u00fcr Sicherheit und Recht wollte sichergehen, das die eingesetzte Software im Einklang mit der Datenschutzgrundverordnung und gesetzlichen Bestimmungen ist. Unter anderem kommt auch Microsoft Office in niederl\u00e4ndischen Beh\u00f6rden zum Einsatz. Daher wurde die Privacy Company beauftragt, zu untersuchen, ob Produkte wie Microsoft die Privatsph\u00e4renvorgaben im Hinblick auf \u00f6ffentliche oder gesetzliche Vorgaben erf\u00fcllt. Die Ergebnisse dieser Data Protection Impact Assessment (DPIA) sind alarmierend. Microsoft sammelt und speichert personenbezogene Daten \u00fcber das Verhalten einzelner Mitarbeiter in gro\u00dfem Umfang ohne jegliche \u00f6ffentliche Dokumentation.<\/p>\n

Seit dieser Zeit dr\u00e4ut das Thema so vor sich hin. Microsoft \"verspricht\" Nachbesserungen, die Datensch\u00fctzer \"wollen pr\u00fcfen\", genehmigen \"\u00fcbergangsweise\" den vorl\u00e4ufigen Einsatz der Microsoft-Produkte Windows 10 und Office 365, verlustieren sich teilweise aber in den Pr\u00fcfungen an Produktversionen, die so gut wie keine Relevanz in der Praxis besitzen (z.B. Windows 10 Enterprise LTSC 1809). Im Grund steht da immer ein Elefant im Raum, wenn es um den Einsatz von Microsoft-Produkten in Schulen und Beh\u00f6rden geht. Jeder wei\u00df es, keiner will es laut aussprechen: Das Microsoft Zeug kann nicht DSGVO-konform eingesetzt werden. Wenn dann mal ein Datenschutzbeauftragter eine Position der Art \"geht nicht\" vertritt, wird schnell glatt geb\u00fcgelt \"Microsoft bessert nach\" und wir Datensch\u00fctzer pr\u00fcfen mal wieder …<\/p>\n

Als ich letzte Woche den Artikel Microsoft: Daten europ\u00e4ischer Firmen\/Beh\u00f6rden bleiben in Europa<\/a> hier im Blog gepostet habe, in dem Microsoft das Versprechen gibt, bis Ende 2022 sicherstellen zu wollen, dass Daten von Beh\u00f6rden und Firmen, die in der Cloud gespeichert werden, auf europ\u00e4ischen Servern bleiben, habe nicht nur ich sich verwundert die Augen gerieben. War doch das Credo bisher: Europ\u00e4ische Daten liegen auf europ\u00e4ischen Servern, da sorgt Microsoft f\u00fcr. Ich formuliere es mal so: Es gibt auch Leute, die zwei Mal heiraten, im Glauben, das h\u00e4lt besser. Der Datenschutzaktivist Max Schrems meint dazu \"die NSA erh\u00e4lt weiter Zugriff auf die Daten\", wie ich die Tage hier gelesen habe<\/a>.<\/p>\n

Der Fail in Baden-W\u00fcrttembergs Schulen<\/h2>\n

Ich hatte es im Blog-Beitrag \u00c4rger um Microsoft 365 an Schulen in Baden-W\u00fcrttemberg<\/a> angesprochen. Vor der Landtagswahl 2021 in diesem Bundesland war bekannt geworden, dass das Kultusministerium um die damalige Ministerin Susanne Eisenmann Microsoft 365 an den Schulen Baden-W\u00fcrttembergs einsetzen m\u00f6chte. Gab einen Sturm der Entr\u00fcstung. Dann gab es die Tage die Ank\u00fcndigung des BelW\u00fc, Schulen aus dem Hochschulnetz rauszuwerfen (Baden-W\u00fcrttemberg: Belwue beendet alle Dienste f\u00fcr Schulen<\/a>). Die Stellungnahme des Ministeriums l\u00e4sst sich im Beitrag Baden-W\u00fcrttemberg: Belwue beendet alle Dienste f\u00fcr Schulen<\/a> nachlesen. <\/p>\n

Im November 2020 konnte man noch von einem Microsoft 365-Pilotprojekt an Schulen<\/a> in Baden-W\u00fcrttemberg lesen. Der baden-w\u00fcrttembergische Landesbeauftragte f\u00fcr den Datenschutz und die Informationsfreiheit (LfDi), Stefan Brink, hatte einem Pilotprojekt mit Microsoft 365 an 20 bis 30 Schulen zugestimmt. Dies geschah im Rahmen seiner Pr\u00fcfung der Datenschutz-Folgenabsch\u00e4tzung (DSFA) f\u00fcr eine datenschutzkonforme Nutzung von Microsoft 365-Werkzeugen als Teilbereich der Digitalen Bildungsplattform, berichtete seinerzeit das Ministerium f\u00fcr Kultus, Jugend und Sport.<\/p>\n

Ende April 2021 wurde dann bekannt, dass der baden-w\u00fcrttembergische Landesbeauftragte f\u00fcr den Datenschutz und die Informationsfreiheit (LfDi), Stefan Brink, gravierende Vorbehalte gegen Microsoft 365 in Schulen hegt. Man kann es auch klar benennen: Microsoft 365 kann in Schulen nicht datenschutzkonform eingesetzt werden. Erstmals berichtete die Badische Zeitung<\/a> \u00fcber die gravierenden Bedenken Brinks. Der Zeitung lag eine schriftliche \"Bewertungen und Empfehlungen\" Brinks zu einem Pilotversuch des Ministeriums zum Test des Programm-Pakets an rund 30 Schulen vor. Die Zeitung schreibt, dass der Datensch\u00fctzer von einem Einsatz der Software abrate.<\/p>\n

Die Datenschutzbeh\u00f6rde hatte unter der Leitung von Stefan Brinks den inzwischen beendeten Pilotversuch in den Schulen begleitet. Dabei wurden unter anderem \"zahlreiche Datentransfers in die USA, die nicht unterbunden werden k\u00f6nnen\", festgestellt. Das ist aber laut der Rechtsprechung des Europ\u00e4ischen Gerichtshofs (Privacy Shield-Urteil) problematisch. Einige sogenannte Telemetrie- und Diagnosedaten h\u00e4tten nicht deaktiviert oder reduziert werden k\u00f6nnen, zitiert die Badische Zeitung und schreibt: Microsoft verarbeite die Daten \"im Wege der Beobachtung, Aufzeichnung und Auswertung des Nutzer- und Ger\u00e4teverhaltens ohne erkennbare Rechtsgrundlage\" weiter. Dies sei besonders problematisch, als es sich bei Nutzern k\u00fcnftig um minderj\u00e4hrige Sch\u00fcler handeln k\u00f6nnte, so die Einstufung der Datensch\u00fctzer.<\/p>\n

Die Kollegen von heise haben das Ganze in diesem Artikel<\/a> ebenfalls aufbereitet, weshalb ich darauf aufmerksam wurde. Dort ist das Ergebnis der Tests durch den Datenschutzbeauftragten Brink in ein vernichtendes Urteil eingeflossen: Die Schulen h\u00e4tten keine vollst\u00e4ndige Kontrolle \u00fcber das Gesamtsystem und den Auftragsverarbeiter in den USA. Sie k\u00f6nnten nicht ausreichend nachvollziehen, welche personenbezogenen Daten wie und zu welchen Zwecken verarbeitet werden. Auch k\u00f6nnten sie nicht nachweisen, dass die Verarbeitung auf das notwendige Minimum reduziert ist. <\/p>\n

Ich zitiere mal einen Absatz aus dem heise-Artikel: Nicht komplett ausgeschlossen werden k\u00f6nne, dass Microsoft 365 in anderer Modifikation in Schulen rechtskonform einsatzbar sei, \"es ist in den vergangenen Monaten auch nach intensiver Zusammenarbeit und mit hohem Personaleinsatz aber nicht gelungen, eine solche L\u00f6sung zu finden\", res\u00fcmiert Brink. Daher erscheine es mehr als fraglich, ob es den f\u00fcr die Datenverarbeitungen verantwortlichen Schulen und dem Kultusministerium gelingen kann, die getesteten Produkte rechtssicher zu nutzen. <\/em><\/p>\n

Da ist er wieder, der Elefant im Raum. Es wurde gepr\u00fcft und gewogen, \u00fcber Monate, herausgekommen ist \"egal wie man es dreht und wendet, es klappt nicht\". Statt zu sagen \"Klappe zu, Affe tot\", es hat keinen Sinn, das wird nix, eiert man wie bei der Datenschutzpr\u00fcfung von Windows 10 herum: Wenn wir Microsoft gen\u00fcgend Zeit geben, k\u00f6nnte es, wenn alle wollen und k\u00f6nnen, vielleicht, m\u00f6glicherweise, wenn alle Datensch\u00fctzer die Augen feste zudr\u00fccken, doch noch irgendwie mit dem DSGVO-konformen Ansatz von Microsoft 365 klappen. <\/p>\n

An dieser Stelle muss ich aber auch mal fair sein, ich habe jetzt einen Sack Kreide dazu gefressen. Schauen wir doch mal auf den Zeitstrahl, bei Windows 10 hatte Microsoft ja erst knapp 6 Jahre Zeit, das DSGVO-konform zu gestalten – und es konnte ja keiner ahnen, dass die 2016 in der EU beschlossene GDPR (in deutsch DSGVO) im Mai 2018 verpflichtend wird. Und bei Office 365 ist es ja noch schwieriger, da bastelt Microsoft all die sch\u00f6nen Funktionen wie Teams, Outlook, OneDrive etc. rein, die die Cloud nutzen k\u00f6nnen m\u00fcssen. Und dann schauen die undankbaren Leute, denen wir das Zeugs fast schenken, nur noch auf den schn\u00f6den Datenschutz …<\/p>\n

\u00c4hnliche Artikel:
<\/strong>Privacy: Microsoft steht mit Windows 10\/Office 365 unter Druck<\/a>
\u00c4rger um Microsoft 365 an Schulen in Baden-W\u00fcrttemberg<\/a>
BW: Digitalpakt Schule und die 'Microsoft-Ausschreibung'<\/a>
Ministerium \u00e4u\u00dfert sich zu Belw\u00fc-Exit an Schulen: Mir k\u00f6nnet nix, au\u00dfer labern<\/a>
Baden-W\u00fcrttemberg: Belwue beendet alle Dienste f\u00fcr Schulen<\/a>
DSGVO, Microsoft Office und die Datenschutzprobleme<\/a>
Datenschutzbeauftragter verk\u00fcndet Aus f\u00fcr Teams an Hessens Schulen<\/a>
Office365 an Schulen unzul\u00e4ssig \u2013 Microsoft-Lizenzkosten f\u00fcr Bund steigen<\/a>
Microsoft 365 'Workplace Analytics' Productivity Score: Microsoft bessert Datenschutz nach<\/a>
Microsoft 365 \u201aWorkplace Analytics' \u2013 Anwender-Produktivit\u00e4ts\u00fcberwachung<\/a>
Datensch\u00fctzer fordern digitale Souver\u00e4nit\u00e4t und Nachbesserungen bei Office 365<\/a>
Safe Harbor: EuGH erkl\u00e4rt Abkommen f\u00fcr ung\u00fcltig<\/a>
Safe Harbor laut EuGH-Generalanwalt ung\u00fcltig<\/a>
Klage gegen \"EU-US Privacy Shield\"<\/a>
EuGH kippt EU-US-Datenschutzvereinbarung \"Privacy Shield\"<\/a>
EU droht mit K\u00fcndigung des US-Privacy Shield-Abkommens<\/a>
Microsoft: Daten europ\u00e4ischer Firmen\/Beh\u00f6rden bleiben in Europa<\/a>
Silicon Valley-Eliten verbannen Tablet & Co. aus Schulen<\/a>
\u00c4rger um Berliner Datenschutzpr\u00fcfung von Videokonferenzsoftware<\/a>
Dortmund goes Open Source<\/a>
Beh\u00f6rden sollen unverz\u00fcglich auf Microsoft verzichten, fordern MVs Rechnungshof und Datenschutzbeauftragter<\/a>
EU-Datenschutzbeauftragter untersucht Microsoft-Produkte<\/a>
Microsoft und die Privatsph\u00e4re in Office 365 und sonst<\/a>
Microsoft will Office Pro Plus DSGVO-konform nachbessern<\/a>
Microsoft Office spioniert Nutzer aus, kollidiert mit DSGVO<\/a>
BSI-Einstufung: Windows 10 ist ein 'Datenschutz-Unfall'<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Es war eigentlich ein \"Scheitern mit Ansage\" – Ende April 2021 wurde bekannt, dass der Landesbeauftragte f\u00fcr Datenschutz, Stefan Brink, gravierende Bedenken gegen den Einsatz von Microsoft 365 (samt Office 365) in den Schulen Baden-W\u00fcrttembergs hat. Entgegen der Planung des … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[270,426,3694],"tags":[451,823,4378],"class_list":["post-252935","post","type-post","status-publish","format-standard","hentry","category-office","category-sicherheit","category-windows-10","tag-datenschutz","tag-office-365","tag-windows-10"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/252935","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=252935"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/252935\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=252935"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=252935"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=252935"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}