DER LANDESBEAUFTRAGTE FÜR DEN DATENSCHUTZ UND DIE INFORMATIONSFREIHEIT LfDI Baden-Württemberg · Postfach 10 29 32 · 70025 Stuttgart Per E-Mail Herr Datum (Bitte bei Antwort angeben) Name Durchwahl Aktenzeichen Anfrage zu MS Office 365 an Schule Ihre E-Mail vom Sehr geehrter Herr …, vielen Dank für Ihre Anfrage zu MS Office 365 (in der Zwischenzeit bezeichnet dies Microsoft mit MS 365) an Schulen. Die verschiedenen Komponenten, Versionen und Einsatzmodalitäten von Microsoft Office 365 (MS Teams ist eine Komponente von MS Office 365) sind sehr unter- schiedlich. Microsoft Office 365 ist kein einheitliches Produkt. Es ist ein Sammelname für verschiedene Produkt- und Dienstleistungspakete. Sie unterscheiden sich hin- sichtlich der zur Verfügung stehenden Komponenten und zusätzlich (unter anderem) hinsichtlich folgender Aspekte: Manche Varianten werden lokal installiert, andere laufen als „Software as a Service“ online im Browser (z.B. „Office Online“). Möglich ist die Nutzung von Cloud-Speicher für Dokumente usw.; möglich ist aber auch die lokale Speicherung. Alle Varianten senden standardmäßig sog. „Telemetrie“- und „Diagnosedaten“ an Microsoft, auch das Senden kompletter Speicherabbilder ist möglich. Nur wenige Varianten (Enterprise; nicht Bildung) ermöglichen es versierten IT- Fachleuten, sehr viele kleinteilige Einstellungen so zu ändern, dass weniger (nicht Königstraße 10 a · 70173 Stuttgart · Telefon 0711 615541-0 · Telefax 0711 615541-15 · poststelle@lfdi.bwl.de · poststelle@lfdi.bwl.de-mail.de www.baden-wuerttemberg.datenschutz.de · PGP Fingerprint: E4FA 428C B315 2248 83BB F6FB 0FC3 48A6 4A32 5962 Die Informationen bei Erhebung von personenbezogenen Daten nach Artikel 13 DS-GVO können unserer Homepage entnommen werden (https://www.baden-wuerttemberg.datenschutz.de/datenschutz/).

-2- jedoch keine) dieser Diagnosedaten an Microsoft übermittelt werden. Wenigstens dies zu tun, ist Aufgabe des Verantwortlichen, wobei niemand eine Gewähr dafür bie- ten kann, dass nach Updates durch Microsoft Einstellungen nicht wieder geändert werden, sodass sich ein rechtswidriger(er) Zustand auch unbemerkt ergeben kann. Uns ist derzeit keine einfach zu übernehmende Konfiguration bekannt, die alle Da- tenflüsse abschaltet. Eine Einwilligung der betroffenen Mitarbeiter im Beschäfti- gungsverhältnis oder der Schüler in die Weitergabe von Nutzungsdaten an Microsoft scheidet wegen des klaren Ungleichgewichts zwischen Schule und Mitarbeiter bzw. Schüler aus (vgl. Erwägungsgrund 43 der Datenschutzgrundverordnung – DS-GVO). Wer diese Software betreibt und die Dienste nutzt, dürfte alleine oder gemeinsam (Art. 26 DS-GVO) mit Microsoft für die damit verbundenen Datenflüsse verantwortlich sein. Dass eine Rechtsgrundlage diese oder die bei Microsoft nachfolgende Verar- beitung erlaubt, ist nicht ersichtlich. Auch wenn Microsoft für die Verarbeitung ver- antwortlich ist, bedarf es einer Rechtsgrundlage für die Übermittlung der Daten an Microsoft. Die vielen Komponenten bieten viele Funktionalitäten. Sie jeweils einzusetzen, be- darf der vorherigen Prüfung durch den Verantwortlichen, d.h. hier der Schule, im Hinblick auf das Vorhandensein einer einschlägigen Rechtsgrundlage für den jeweili- gen Zweck, die jeweilige Verarbeitung, die technischen und organisatorischen Maß- nahmen zum Schutz der Daten usw. Teilweise mag Auftragsverarbeitung durch Microsoft vorliegen. In manchen Rege- lungsbereichen ist Auftragsverarbeitung, gerade auch solche durch öffentliche Stel- len, nur eingeschränkt (z.B. § 80 des Zehnten Buches Sozialgesetzbuch, § 85a des Landesbeamtengesetzes) oder ggf. gar nicht erlaubt. Für den Unterricht kann ande- res gelten als für Verwaltungsaufgaben, für berufliche Schulen anderes als an Son- derpädagogischen Bildungs- und Beratungszentren (vgl. Art. 9 DS-GVO), die Schulsozialarbeiter oder den Personalrat. Soweit es sich hier um eine Verarbeitung im Auftrag handelt, muss die Schule als verantwortliche Stelle Artikel 28 DS-GVO beachten, so dass die Verarbeitung im Ein- klang mit der DS-GVO erfolgt und den Schutz der Rechte der betroffenen Personen gewährleistet ist. Dabei darf die Schule als verantwortliche Stelle nur solche Auf- tragsverarbeiter auswählen, welche die Anforderungen der DS-GVO gewährleisten können. Bei der Auswahl einer Software oder eines Dienstes ist deswegen u.a. zu prüfen, ob alle datenschutzrechtlichen Vorgaben umgesetzt werden und unerwünschte Daten- übertragungen einschließlich Auswertung des Nutzerverhaltens erfolgen, damit die

-3- Rechtmäßigkeit der Verarbeitung sichergestellt ist. Sollte diese Prüfung nicht möglich sein, z.B. weil nicht alle Datenflüsse und Verarbeitungen vom Hersteller ausreichend dokumentiert sind, kann eine solche Software nicht datenschutzkonform eingesetzt werden, schon weil die Datenverarbeitung nicht den Grundsätzen für die Verarbei- tung personenbezogener Daten (vgl. Artikel 5 DS-GVO) entspricht. Nach Artikel 5 Absatz 2 DS-GVO ist die Schule hierfür rechenschaftspflichtig. Ebenso ist Kapitel V der DS-GVO (Übermittlung personenbezogener Daten an Dritt- länder oder an internationale Organisationen) zu beachten. Im Verzeichnis der Verarbeitungstätigkeiten nach Artikel 30 DS-GVO muss die Schu- le als verantwortliche Stelle die entsprechenden Überlegungen dokumentieren. Sollte bei der Verarbeitung ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen bestehen, müsste weiterhin eine Datenschutz-Folgenabschätzung nach Artikel 35 DS-GVO vorgenommen werden. Ein hohes Risiko besteht z.B. bei der Verarbeitung von besonderen Kategorien personenbezogener Daten nach Artikel 9 DS-GVO, bei Schulnoten sowie bei der Verarbeitung von Daten besonders schutz- bedürftiger betroffener Personen wie Kindern. Eventuell liegt auch eine gemeinsame Verantwortung bei der Verarbeitung der Daten nach Artikel 26 DS-GVO vor. Entsprechende Vereinbarungen sind hierfür zu erstellen und es ist zu klären, welche Rechtsgrundlage eine dann vorliegende Übermittlung von personenbezogenen Daten von der Schule an Microsoft datenschutzrechtlich le- galisiert. Hierzu sind nicht nur die im Cloud-Dienst gespeicherten Dokumente, son- dern auch weiteres wie sog. Telemetrie- und Diagnosedaten zu betrachten. Abschließend möchten wir darauf hinweisen, dass das Kultusministerium Baden- Württemberg schreibt: „Eine Verarbeitung personenbezogener Daten von Schulen außerhalb des europäischen Wirtschaftsraumes (EWR) sollte grundsätzlich unterbleiben und ist nur im Ausnahmefall (z.B. Auslandsschule) mit Zustimmung des KM zulässig. Bei US-amerikanischen Anbietern ist noch eine Besonderheit zu beachten: Diese Anbieter sind auch bei Rechenzentren, die im europäischen Wirt- schaftsraum liegen, der Gesetzeslage in ihren Heimatländern verpflichtet. Dies bedeutet im konkreten Fall, dass Daten aus diesen Rechenzentren US- Sicherheitsbehörden zugänglich gemacht werden können.“ (http://it.kultus- bw.de/,Lde/Startseite/IT-Sicherheit/Cloudbasierte_Dienste)

-4- Im Sinne der oben geschilderten Bewertung der komplizierten technischen und recht- lichen Anforderungen begrüßen wir diese Sicht. Ausgehend von dieser komplexen Sachlage stehen wir seit längerer Zeit beratend mit dem Kultusministerium und Microsoft in Kontakt. Leider können wir augenblicklich noch keine Aussage darüber treffen, welche Variante inkl. Konfiguration bzw. ob überhaupt eine Variante inkl. Konfiguration datenschutzrechtlich zulässig ist. Wir sind derzeit noch in der Prüfung der Unterlagen, welche wir vor kurzem vom Kultusminis- terium erhalten haben.