Geschrieben am 12.07.2019 von:
Laut Pressemitteilung des Hessischen Beauftragten für Datenschutz und Informationsfreiheit (HBDI), Michael Ronellenfitsch, ist der Einsatz von Microsoft Office 365 an Schulen datenschutzrechtlich unzulässig, soweit eine Speicherung von personenbezogenen Daten in der europäischen Cloud geplant ist. Was sind die Hintergründe dieser Stellungnahme? Und was müssen Schulen zukünftig beachten?
Datenschutzrechtliche Problemfelder
Der hessische Datenschutzbeauftragte stellt einleitend klar, dass die Nutzung von Cloud-Anwendungen durch Schulen in datenschutzrechtlicher Hinsicht grundsätzlich nicht zu beanstanden sei. Problematisch werde die Verwendung dieser digitalen Anwendungen jedoch dann, wenn hierbei „die Sicherheit der Datenverarbeitung und die Teilhabe der Schülerinnen und Schüler“ nicht zu gewährleisten sind.
Gerade bei der Datensicherheit scheint es beim Einsatz von Office 365 als Cloud-Lösung zu hapern. So wird von Ronellenfitsch konkret beanstandet, dass US-Behörden möglicherweise auf die in der Cloud gespeicherten Daten von besonders schutzbedürftigen Schülern zugreifen können. Dies wird durch den sogenannten „Clarifying Lawful Overseas Use of Data Act“ (CLOUD Act) ermöglicht, demzufolge US-Anbieter von elektronischen Kommunikationsdiensten (wie Microsoft) den US-Behörden grundsätzlich Zugriff auf gespeicherte Daten einräumen müssen. Die hierbei betroffenen Personen werden in der Regel nicht informiert. Diese Pflicht gilt sogar dann, wenn die Daten sich außerhalb der USA befinden. Neben den nahezu unbeschränkten Zugriffsrechten der US-Behörden besteht dem Datenschutzbeauftragten zufolge das weitere Problem, dass bei der Nutzung von Office 365 eine Fülle von Telemetrie-Daten an Microsoft übermittelt werden, deren Inhalte trotz wiederholter Anfragen bei Microsoft wohl nicht abschließend geklärt sind. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat bereits im November des vergangenen Jahres einen Bericht („SiSYPHus Win 10-Analyse“) veröffentlicht, in dem gerade die Übermittlung dieser Daten bei der Nutzung von Windows 10 und Office 365 kritisiert wird. Telemetrie-Daten können unter Umständen als personenbezogen zu qualifizieren sein.
Was folgt daraus?
Die vorgenannten datenschutzrechtlichen Problematiken führen laut Ronellenfitsch dazu, dass bei der Nutzung dieser Cloud-Lösung gegen die Grundsätze einer sicheren (insbesondere vertraulichen) und transparenten Datenverarbeitung verstoßen wird. Die Cloud-Anwendung von Office 365 sei zum jetzigen Zeitpunkt unzulässig, sodass die verantwortliche Stelle – hier die Schule – diese nicht weiter einsetzen dürfe.
Der Datenschutzbeauftragte lässt ausdrücklich offen, ob die Einwilligung der Betroffenen in bestimmten Situationen die digitale, personenbezogene Datenverarbeitung grundsätzlich rechtfertigen kann. Zumindest im Kontext der Cloud-Nutzung von Office 365 stelle die Einwilligung keine wirksame Rechtsgrundlage dar, weil die aufgeworfenen datenschutzrechtlichen Prinzipien hier nicht zu gewährleisten seien. Demnach könne die unzulässige Anwendung dieser Cloud nicht durch eine Einwilligung der Eltern „geheilt“ werden.
Ausblick
Die Aussagen der hessischen Aufsichtsbehörde beschränken sich wohl nicht nur auf die Nutzung der Cloud-Lösung von Office 365 durch Schulen. Betroffene Unternehmen sollten die weitere Nutzung dieser Cloud ebenfalls kritisch überdenken, da mit weiteren Beanstandungen durch Aufsichtsbehörden zu rechnen ist. Dasselbe dürfte auch für andere Behörden gelten, zumindest dann, wenn diese in der Cloud besonders sensible Daten (wie Gesundheitsdaten) speichern.
Der hessische Datenschutzbeauftragte sieht den Ball nun klar im Feld von Microsoft. Das US-Unternehmen müsse jetzt insbesondere die möglichen Zugriffe Dritter auf die in der Cloud liegenden Daten sowie das Thema der Telemetrie-Daten nachvollziehbar und datenschutzkonform lösen. Erst dann könne Office 365 als Cloud-Lösung von Schulen rechtmäßig genutzt werden. Ronellenfitsch rät den Schulen dazu, sich bis zu einer ausreichenden Nachbesserung seitens Microsoft anderer Instrumente zu bedienen, wie z.B. On-Premises Lizenzen auf lokalen Systemen. Microsoft hat bereits im Mai Nachbesserungen angekündigt. Es bleibt also spannend. Da in der Stellungnahme auch die Nutzung der Cloud-Lösungen von Google und Apple aus den gleichen datenschutzrechtlichen Gründen als derzeit unzulässig angesehen wird, dürfte der vorgenannte Rat sich auch auf diese Anwendungen erstrecken.
Haben Sie Fragen zum Thema Softwareeinsatz in der Cloud? Wir beraten Sie gern! Nutzen Sie einfach unser Kontaktformular oder wenden Sie sich an office@m-consecom.de.