Eindrücke vom
Hauptausschuss 2024
Mitteilungen - Schule, Kultur, Sport
StGB NRW-Mitteilung 391/2019 vom 13.08.2019
Hessischer Datenschutzbeauftragter zu MS-Office 365 an Schulen
Ausgelöst durch Pressemitteilungen des hessischen Beauftragten für Datenschutz und Informationsfreiheit, Herrn Univ.-Prof. Dr. Michael Ronellenfitsch, hat sich kürzlich eine öffentliche Diskussion um die Zulässigkeit des Einsatzes der cloudbasierten Software „Microsoft Office 365“ an öffentlichen Schulen entwickelt.
In einer Pressemitteilung vom 09.07.2019 hatte der hessische Datenschutzbeauftragte zunächst mitgeteilt, dass „Office 365“ in der Standardkonfiguration an hessischen Schulen wegen Problemen für die Privatsphäre der Nutzer derzeit nicht verwendet werden dürfe. Zur Begründung hieß es, bei dem Einsatz von Cloud-Lösungen sei „der entscheidende Aspekt, ob die Schule als öffentliche Einrichtung personenbezogene Daten (von Kindern) in einer (europäischen) Cloud speichern kann, die z.B. einem möglichen Zugriff US-amerikanischer Behörden ausgesetzt ist“. Das erscheine hier derzeit nicht gesichert. Eine Einwilligung der Betroffenen eröffne keinen Ausweg: „Im Zusammenhang mit der Nutzung von Office 365 in der Cloud bietet die Einwilligung jedenfalls keine Lösung, weil die Sicherheit und Nachvollziehbarkeit der Datenverarbeitungsprozesse nicht gewährleistet sind.“ Die Pressemitteilung ist im Volltext unter https://is.gd/7s4SMv abrufbar.
In einer weiteren Pressemitteilung vom 02.08.2019 nahm der hessische Datenschutzbeauftragte seine erste Einschätzung dann allerdings teilweise wieder zurück. Der Einsatz von „Office 365“ sei nun doch „unter bestimmten Voraussetzungen und dem Vorbehalt weiterer Prüfungen vorläufig“ zu dulden. Zwar sei „die Zulässigkeit des Einsatzes von Office 365 zum gegenwärtigen Zeitpunkt noch nicht abschließend geklärt“. Es habe aber zwischenzeitlich Gespräche mit dem Hersteller gegeben, „die zu einer datenschutzrechtlich veränderten Einschätzung führten und die einen erheblichen Anteil der Bedenken entkräfteten“. Die Pressemitteilung ist im Volltext unter https://is.gd/tPKQnh abrufbar.
Die Geschäftsstelle des StGB NRW empfiehlt den Mitgliedskommunen des Verbandes, die weiteren Abklärungen, an denen auch die Konferenz der Datenschutzbeauftragten des Bundes und der Länder sowie die Landesbeauftragte für den Datenschutz Nordrhein-Westfalen beteiligt sein werden, zunächst abzuwarten. Der StGB NRW wird weiterführende Hinweise geben, wenn eine Positionierung der Landesseite erfolgt ist.
Az.: 42.14-018/002