Einsatz von Microsoft 365 an Grundschulen in NRW

Einleitung

Die Nutzung digitaler Werkzeuge in Schulen, insbesondere an Grundschulen, ist ein wesentlicher Schritt zur Modernisierung der Bildung. Microsoft 365 spielt dabei eine bedeutende Rolle. Dieser Bericht untersucht die kritische Perspektive auf die Nutzung von Microsoft 365 an Grundschulen in Nordrhein-Westfalen (NRW), unter Berücksichtigung der aktuellen Empfehlungen des Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW).

Datenschutzprobleme beim Einsatz von Microsoft 365 an Schulen

Der Einsatz von Microsoft 365 an Schulen und insbesondere an Grundschulen ist aus datenschutzrechtlicher Sicht höchst problematisch. Aktuelle Bewertungen von Datenschutzbehörden zeigen deutlich, dass die Nutzung dieser Software in Bildungseinrichtungen derzeit nicht datenschutzkonform ist.

DSGVO-Konformität

Die Datenschutz-Grundverordnung (DSGVO) stellt strenge Anforderungen an die Verarbeitung personenbezogener Daten, insbesondere bei sensiblen Daten von Kindern. Microsoft 365 verarbeitet eine Vielzahl personenbezogener Daten, und es gibt erhebliche Bedenken, ob die Datenverarbeitung vollständig DSGVO-konform erfolgt. Die Europäische Datenschutzaufsichtsbehörde (EDPB) hat wiederholt darauf hingewiesen, dass die Anforderungen der DSGVO bei großen US-amerikanischen Tech-Unternehmen oft nicht vollständig erfüllt sind.

Klare Verstöße gegen Datenschutzrichtlinien

Die Datenschutzkonferenz von Bund und Ländern (DSK) hat wiederholt festgestellt, dass Behörden, Schulen und Unternehmen Microsoft 365 “nicht rechtskonform einsetzen” können. Dies bedeutet, dass die Nutzung der Software in ihrer aktuellen Form gegen geltendes Datenschutzrecht verstößt

Hauptprobleme

1. Mangelnde Kontrolle über Datenverarbeitung: Schulen können nicht vollständig kontrollieren, wie Microsoft personenbezogene Daten verarbeitet.

2. Unzureichende vertragliche Regelungen: Die bestehenden Verträge mit Microsoft erfüllen nicht die Anforderungen der DSGVO, insbesondere in Bezug auf Auftragsverarbeitung.

3. Intransparente Datennutzung: Es bleibt unklar, inwieweit Microsoft Daten für eigene Geschäftszwecke nutzt.

4. Problematische Datentransfers: Die Übermittlung von Daten in Drittländer, insbesondere in die USA, ist datenschutzrechtlich bedenklich.

Notwendige, aber oft unzureichende Maßnahmen

Datenschutzbehörden haben Empfehlungen für zusätzliche Schutzvorkehrungen gegeben, darunter:

• Anpassung von Löschfristen
• Einschränkung der Datenverarbeitung durch Microsoft
• Implementierung strengerer technischer und organisatorischer Maßnahmen

Trotz dieser Empfehlungen bleibt der Einsatz von Microsoft 365 an Schulen höchst problematisch, da viele dieser Maßnahmen in der Praxis schwer umzusetzen oder zu kontrollieren sind.

Hauptprobleme

1. Mangelnde Kontrolle über Datenverarbeitung: Schulen können nicht vollständig kontrollieren, wie Microsoft personenbezogene Daten verarbeitet.

2. Unzureichende vertragliche Regelungen: Die bestehenden Verträge mit Microsoft erfüllen nicht die Anforderungen der DSGVO, insbesondere in Bezug auf Auftragsverarbeitung.

3. Intransparente Datennutzung: Es bleibt unklar, inwieweit Microsoft Daten für eigene Geschäftszwecke nutzt.

4. Problematische Datentransfers: Die Übermittlung von Daten in Drittländer, insbesondere in die USA, ist datenschutzrechtlich bedenklich.

Notwendige, aber oft unzureichende Maßnahmen

Datenschutzbehörden haben Empfehlungen für zusätzliche Schutzvorkehrungen gegeben, darunter:

• Anpassung von Löschfristen
• Einschränkung der Datenverarbeitung durch Microsoft
• Implementierung strengerer technischer und organisatorischer Maßnahmen

Trotz dieser Empfehlungen bleibt der Einsatz von Microsoft 365 an Schulen höchst problematisch, da viele dieser Maßnahmen in der Praxis schwer umzusetzen oder zu kontrollieren sind.

Negative Stellungnahme

Der LDI NRW hat sich in mehreren Stellungnahmen kritisch zum Einsatz von Microsoft 365 in Schulen geäußert. Der LDI NRW hebt hervor, dass Microsoft 365 nicht den Anforderungen des Datenschutzes entspricht und empfiehlt alternative Lösungen.

Verantwortlichkeit der Schulleitung für den Datenschutz

Es ist wichtig zu betonen, dass die Schulleitung gemäß der Bereinigten Amtlichen Sammlung der Schulvorschriften NRW (BASS) die Verantwortung für den Datenschutz an ihrer Schule trägt. Dies wird in mehreren Vorschriften der BASS deutlich:

1. BASS 10-41 Nr. 4: Diese Vorschrift regelt den “Umgang mit personenbezogenen Daten in öffentlichen Schulen”. Hier wird explizit festgelegt, dass die Schulleitung für die Einhaltung des Datenschutzes an der Schule verantwortlich ist¹.

2. BASS 10-44 Nr. 2.1: In den “Verwaltungsvorschriften zur Verarbeitung von personenbezogenen Daten in Schulen und Schulbehörden” wird ebenfalls die Verantwortung der Schulleitung für den Datenschutz hervorgehoben².

3. BASS 10-41 Nr. 7: Diese Richtlinie zum “Schutz von personenbezogenen Daten in öffentlichen Schulen” unterstreicht nochmals die Rolle der Schulleitung als verantwortliche Stelle für den Datenschutz³.

Diese Vorschriften machen deutlich, dass die Entscheidung über den Einsatz von Softwarelösungen wie Microsoft 365 nicht leichtfertig getroffen werden darf. Die Schulleitung muss sicherstellen, dass alle datenschutzrechtlichen Anforderungen erfüllt sind, bevor solche Systeme implementiert werden. Dies umfasst auch die Durchführung einer Datenschutz-Folgenabschätzung und die Konsultation des schulischen Datenschutzbeauftragten.

Angesichts der in diesem Bericht aufgezeigten Probleme mit Microsoft 365 stehen Schulleitungen vor der Herausforderung, ihre gesetzliche Verantwortung für den Datenschutz mit dem Wunsch nach modernen IT-Lösungen in Einklang zu bringen. Es ist daher ratsam, dass Schulleitungen sich intensiv mit den datenschutzrechtlichen Implikationen auseinandersetzen und gegebenenfalls alternative, datenschutzfreundlichere Lösungen in Betracht ziehen.

Alternative Lösungen

Empfehlungen des LDI NRW

Der LDI NRW empfiehlt, datenschutzfreundlichere Alternativen in Betracht zu ziehen, die eine bessere Kontrolle über die Datenverarbeitung ermöglichen. Dazu zählen Open-Source-Lösungen wie Nextcloud oder andere EU-gehostete Cloud-Dienste, die höhere Datenschutzstandards bieten (LDI NRW Empfehlung, 2021). In NRW gbt es die DSGVO Konforme Logineo NRW Alternative für Schulen.

Praktische Herausforderungen

Technische Umsetzung

Die technische Umsetzung und der Wechsel zu alternativen Lösungen stellen Schulen vor Herausforderungen, insbesondere im Hinblick auf die Integration in bestehende IT-Infrastrukturen. Schulen benötigen Unterstützung und Ressourcen, um den Übergang erfolgreich zu gestalten (Bildungsbereich NRW, 2021). In NRW wurde u.a de Stelle des Schuverwaltungsassistent Technik/IT geschaffen um Schulen im digitalen Umgang zu unterstützen. Kritisch muss man die Stellen betrachten, die Produkte wie Microsoft 365 an Schulen weiterempfehlen. Das ist oftmals der Schulträger, bzw. die passende Stelle in der Stadt die sich mit der IT beschäftigt.

Fazit

Der Einsatz von Microsoft 365 an Schulen ist aktuell nicht datenschutzkonform. Bildungseinrichtungen, die diese Software nutzen, setzen sich erheblichen rechtlichen Risiken aus und gefährden potenziell die Privatsphäre ihrer Schüler und Lehrkräfte. Es ist dringend erforderlich, dass Schulen und Schulträger alternative, datenschutzkonforme Lösungen in Betracht ziehen und implementieren.

Datenschützer empfehlen nachdrücklich, auf Open-Source-Alternativen oder andere Lösungen zurückzugreifen, die die digitale Souveränität und den Datenschutz besser gewährleisten können. Nur so kann sichergestellt werden, dass die Rechte und die Privatsphäre von Schülern und Lehrern angemessen geschützt werden.

Quellen

1. Nutzung von MS 365 an Schulen - LfDI Baden-Württemberg
2. Finger weg von Microsoft an Schulen
3. Microsoft 365 – Stand Februar 2023 - Datenschutz-Schule
4. Update zum Einsatz von Microsoft 365 in Schulen - Datenschutz Notizen
5. MS 365: Datenschutz-Leitfaden zur Nutzung in Schulen und Unternehmen - Vicotec

Siehe auch

• Vier Jahrzehnte strukturelle Überwachung: Warum die Microsoft-365-Problematik keine Trump-Erfindung ist
• Angriff auf den Datenschutz: Wie NRW-Ministerpräsident Wüst nach dem Microsoft-Deal die unabhängige Aufsicht beseitigen will
• Datenschutz ist ein Grundrecht – Warum diese Wahrheit so oft geleugnet wird
• Die DSGVO als Reaktion auf Snowden: Eine Theorie über symbolische Datensouveränität und ihre Grenzen
• Datenschutz-Erfolg gegen Microsoft: Warum Deutschland diesem Beispiel folgen sollte