Bewertung Nutzung von Office 365 Schulen Zu den getroffenen Bewertungen und den zugrunde liegenden Aussagen aus Dokumenten von Microsoft kann schon etwas gesagt werden. Ich habe sie deshalb in die grauen Boxen gepackt, um zu den einzelnen Aussagen Stellung zu nehmen. Grundsätzlich gibt es für die Schule keinerlei Garantie, auch wenn dies behauptet wird, dass tatsächlich keine personenbezogenen Daten an Microsoft übermittelt werden. Die Frage ist hier, was meint der Verfasser damit, wenn er davon spricht, dass personenbezogene Daten an Microsoft übermittelt werden. Es ist keine Frage, ob personenbezogene Daten an Microsoft als Anbieter von Office 365 übermittelt werden, sondern in welcher Art und Weise die Daten dort genutzt werden. Es werden auf jeden Fall Daten an Microsoft übermittelt. Ohne einen solchen Verarbeitungsschritt wäre die Nutzung eines Cloud Dienstes nicht möglich. Wenn Nutzer auf Office 365 zugreifen, fließen automatisch Daten an den Anbieter. Es handelt sich dabei um Daten, welche der Nutzer aktiv erzeugt, etwa wenn er kommuniziert oder ein Dokument erstellt. Außerdem sind es Daten, welche im Hintergrund, für den Nutzer nicht sichtbar, verarbeitet werden, um die Funktion und Sicherheit der Plattform zu gewährleisten. Das ist jetzt relativ stark vereinfacht dargestellt. Im Rahmen einer Datenschutz Folgenabschätzung im Auftrag des niederländischen Justizministeriums befasste sich die Privacy Company mit der Frage, welche Arten von Daten fließen, wenn Office 365 genutzt wird. Microsoft selbst sichert bei Nutzung der Education Versionen zu, die Daten der schulischer 1 Nutzer nicht für eigene Zwecke zu verwenden : Für Microsoft-Produkte, die von Ihrer K-12-Schule bereitgestellt werden, einschließlich Microsoft 365 Education, wird Microsoft: ●    neben den für autorisierte Bildungs- oder Schulzwecke erforderlichen Daten keine personenbezogenen Daten von Schülern/Studenten erfassen oder verwenden, ●    personenbezogene Daten von Schülern/Studenten weder verkaufen noch verleihen, ●    personenbezogene Daten von Schülern/Studenten weder zu Werbezwecken noch zu ähnlichen kommerziellen Zwecken wie Behavioral Targeting von Werbung für Schüler/Studenten verwenden oder freigegeben, ●    kein persönliches Profil eines Schülers/Studenten erstellen, es sei denn, dies dient der Unterstützung autorisierter Bildungs- oder Schulzwecke oder ist von den Eltern, Erziehungsberechtigten oder Schülern/Studenten im angemessenen Alter genehmigt, und ●    seine Anbieter, an die personenbezogene Daten von Schülern/Studenten ggf. zur Erbringung der Bildungsdienstleistung weitergegeben werden, dazu verpflichten, dieselben Verpflichtungen für personenbezogene Daten der Schüler/Studenten zu erfüllen. 1 "Datenschutzerklärung von Microsoft - Privacy & Cookies." https://privacy.microsoft.com/de-de/privacystatement​. Accessed 5 Mar. 2020.

Bewertung Nutzung von Office 365 Schulen Vor dem Hintergrund, dass man auch in den USA mittlerweile sehr sensibel ist, wenn es um die personenbezogenen Daten von Kindern geht und es auch entsprechende gesetzliche 2 Vorgaben gibt, z.B. Child Online Privacy Act (COPPA) , kann man wohl davon ausgehen, dass es Microsoft ernst ist mit diesen Zusagen. Wie in der niederländischen Datenschutz-Folgenabschätzung festgestellt gab es tatsächlich einige Probleme mit Datenabflüssen. Man sollte hierbei nicht vergessen, dass die Entwicklung von Office 365 wie auch von anderen Microsoft Produkten lange vor strengen Datenschutzgesetzen wie der DS-GVO begann und man zu dieser Zeit ganz andere Maßstäbe anlegte. Außerdem muss man wissen, dass es bezüglich Datenschutz und der Terminologie bzw. Klassifizierung von Daten zwischen Europa und den USA Unterschiede gibt, welche es alleine schon vom Verständnis her für Microsoft lange erschwert haben, die europäischen Vorgaben zu treffen. Microsoft reagiert jedoch auf die Kritiken und Forderungen aus Europa und passt seine Produkte Schritt für Schritt an. Besonders gut zeigen dieses die niederländischen Datenschutz-Folgenabschätzungen und die Anpassungen, welche Microsoft infolge vorgenommen hat. Es wird hier nicht transparent dargestellt, wohin und zu welchem Zweck die Daten tatsächlich übermittelt werden. Da Microsoft die Daten in den USA und in jedem anderen Land speichert und verarbeitet, in dem Microsoft oder seine Unternehmen Tochtergesellschaften oder Dienstanbieter Einrichtungen haben, können die Daten faktisch überall hin übermittelt werden. In der Datenschutzerklärung von Microsoft finden sich keine Aussagen, wo in der Welt die Verarbeitung der personenbezogenen Daten der Nutzer von Office 365 stattfindet. Ein Grund dafür ist, dass dieses Gegenstand des Vertrages zwischen Verantwortlichem (Controller) und Verarbeiter (Processor) ist. Wenn eine Schule Office 365 nutzen möchte, 3 muss sie einen Vertrag mit Microsoft entsprechend Art. 28 Abs. 3 DS-GVO abschließen, in welchem die Verantwortlichkeiten geregelt werden. Anstelle eines Vertrags Auftragsbearbeitung ist auch ein anderes Rechtsinstrument nach dem Unionsrecht oder dem Recht der Mitgliedstaaten zulässig. Dieses sind eine Zertifizierung von Microsoft nach dem EU-US Privacy Shield und die EU-Standardvertragsklauseln. Letztere sind Bestandteil 4 der Online Service Terms (OST). Vertraglich lässt sich außerdem seit Beginn von 2020 festlegen, dass die Verarbeitung von personenbezogenen Daten in Office 365 Education (wie auch in den Enterprise Editions) in deutschen Datenzentren stattfindet. Dieses schließt 2 "Children's Online Privacy Protection Rule ("COPPA") | Federal ...." https://www.ftc.gov/enforcement/rules/rulemaking-regulatory-reform-proceedings/childrens-online-priv acy-protection-rule​. Accessed 5 Mar. 2020. 3 "Art. 28 DSGVO – Auftragsverarbeiter – Datenschutz ...." ​https://dsgvo-gesetz.de/art-28-dsgvo/​. Accessed 5 Mar. 2020. 4 "Office 365 und der Vertrag zur Auftragsverarbeitung ...." 6 Oct. 2018, https://datenschutz-schule.info/2018/10/06/office-365-und-der-vertrag-zur-auftragsverarbeitung/​. Accessed 5 Mar. 2020.

Bewertung Nutzung von Office 365 Schulen auch Microsoft Teams mit ein, welches bis dahin nicht mit deutscher Datenhaltung und auch lange nicht einmal mit europäischer Datenhaltung verfügbar war. Mit diesem Angebot gibt Microsoft Kunden in Deutschland die Möglichkeit, die Datenhaltung auf Deutschland zu beschränken. Damit unterliegen die in Office 365 verarbeiteten Daten einmal europäischen Datenschutzrecht und darüber hinaus auch noch nationalem deutschen Datenschutzrecht. Die ausschließliche Datenhaltung in Deutschland, welche allen Kunden von Microsoft Office 365 Education zur Verfügung steht, hat aus der Sicht des Datenschutzrechts einen entscheidenden Vorteil. Während Nutzerdaten, die auf US Servern liegen oder auf Servern außerhalb der Europäischen Union oder des EWR, auch dem Einfluss anderer US Gesetzgebung unterliegt, etwa dem Patriot Act, wenn es um Server innerhalb der USA geht, unterliegen Nutzerdaten, die auf Servern innerhalb der EU liegen, nur noch dem CLOUD-Act. Dieses Gesetz stellt tatsächlich ein Problem dar, weil es sich hier um keinen internationalen Vertrag zwischen den USA und der Europäischen Union handelt. Eine Übermittlung von personenbezogenen Daten an Dritte setzt jedoch immer eine im Raum der Europäischen Union geltende Rechtsgrundlage voraus. Da der CLOUD-Act als einseitig national verabschiedetes Rechtsinstrument diese Rechtsgrundlage nicht bietet, besteht bei Übermittlungen, die sich auf den CLOUD-Act stützen, tatsächlich das Risiko eines Verstoßes gegen die DS-GVO. Was allerdings vielfach nicht bekannt ist, ist die Tatsache, dass der CLOUD-Act Microsoft und anderen US Anbietern in einer vergleichbaren Situation die Möglichkeit bietet, gegen ein Ermittlungsersuchen einer US Ermittlungsbehörde via CLOUD-Act vor Gericht zu gehen, wenn dieses gegen nationales Recht verstößt. Aus den zuvor genannten Gründen verstößt jedes derartige Ermittlungsersuchen gegen nationales Recht wie auch die DS-GVO. Nach eigenen Aussagen von Microsoft geht man aus diesem Grund regelmäßig gerichtlich gegen Ermittlungsersuchen im Rahmen des CLOUD-Act vor. Außerdem informiert man nach Möglichkeit Kunden im Rahmen der Informationspflicht nach Art. 12 DS-GVO. Ausnahmen sind hier nur Ermittlungsersuchen, welche mit einer sogenannten Gag-Order versehen sind. Hier ist eine Information der Betroffenen aus rechtlichen Gründen nicht möglich. Auch kaum bekannt ist die Tatsache, dass die Anzahl der Ermittlungsersuchen aus den USA bezüglich von Nutzern aus Deutschland sehr gering ausfällt. Die aktuell verfügbaren Daten sind von 5 der ersten Jahreshälfte des Vorjahres. 5 "Law Enforcement Requests Report – Microsoft CSR." https://www.microsoft.com/en-us/corporate-responsibility/law-enforcement-requests-report​. Accessed 5 Mar. 2020.

Bewertung Nutzung von Office 365 Schulen Darüber hinaus gibt Microsoft auch Auskunft über zusätzlich im Rahmen des CLOUD-Act offengelegte Daten: No. The CLOUD Act amends U.S. law to make clear that law enforcement may compel U.S.-based service providers to disclose data that is in their “possession, custody, or control” regardless of where the data is located. This law, however, does not change any of the legal and privacy protections that previously applied to law enforcement requests for data – and those protections continue to apply. Microsoft adheres to the same principles and customer commitments related to government demands for user data. In the first half of 2019, Microsoft received 4,860 legal demands for consumer data from law enforcement in the United States. Of those, 126 warrants sought content data which was stored outside of the United States. In the same time frame, Microsoft received 43 legal demands from law enforcement in the United States for commercial enterprise customers who purchased more than 50 seats. Of those demands, 1 warrant resulted in disclosure of content data related to a non-US enterprise customer whose data was stored outside of the United States. Wie diesen Angaben zu entnehmen, gab es von US Ermittlungsbehörden in der ersten Hälfte von 2019 gerade einmal 126 Ermittlungsersuchen bezüglich von Daten, welche

Bewertung Nutzung von Office 365 Schulen außerhalb der USA gespeichert sind. Außerhalb der USA meint hier nicht nur Deutschland, sondern sämtliche Staaten außerhalb der USA, in welchen Nutzerdaten auf Servern von Microsoft verarbeitet werden. Die überwiegende Zahl von Ermittlungsersuchen, welche in der Grafik oben abgebildet sind, stammen von deutschen Ermittlungsbehörden. Für mich lässt sich die Duldung, welche der hessische Beauftragte für Datenschutz und Informationsfreiheit ausgesprochen hat bezüglich der Nutzung von Office 365 durch Schulen letztlich auch nur durch diesen Sachverhalt erklären. Microsoft konnte ihm, so ist zu vermuten, zu sichern, dass die Zahl der Ermittlungsersuchen im Rahmen des CLOUD-Act, welche Nutzer in Deutschland betreffen äußerst gering ist und die Wahrscheinlichkeit, dass Bildungskunden davon betroffen sind, noch einmal sehr viel geringer. Fazit Das Risiko für Betroffene ist bei der Nutzung von Microsoft Office 365 Education bezüglich ihres Rechtes auf informationelle Selbstbestimmung sehr gering. Microsoft stellt dieses Jahr seinen Kunden, auch im Education Sektor, neue OST zur Verfügung, die für mehr Transparenz sorgen und mit denen Microsoft mehr Verantwortung für die Verarbeitung von personenbezogenen Daten von Nutzern übernimmt. Für Schulen, die Office 365 nutzen wollen, sollte unter aktuellen Bedingungen allerdings klar sein, dass dort keine personenbezogenen Daten aus der Verwaltung verarbeitet werden sollten. Eine Nutzung im Unterricht ist nicht grundsätzlich ausgeschlossen. Es hängt sehr viel davon ab, wie eine Schule mit dem Thema umgeht. Sehr entscheidend ist eine Nutzungsvereinbarung, in welcher ganz klar geregelt ist, was zulässig ist und was nicht. Außerdem muss natürlich umfangreich über die Datenverarbeitung und mögliche Risiken informiert werden. Die Nutzungsvereinbarung ist auch deshalb so entscheidend, weil in vielen Fällen der Nutzer selbst der größte Risikofaktor ist. Das niederländische Justizministerium hat mit Microsoft zusätzlich zu den allgemein verfügbaren Verträgen (OST) sogenannter Nebenabreden getroffen. Nach der europäischen Datenschutz Grundverordnung ist dieses zulässig und es kann ein wirksames Rechtsinstrument sein, um eine zusätzliche Absicherung zu erhalten. Es spricht nichts dagegen, wenn Schulministerien solche Nebenabreden mit Microsoft treffen. Selbstredend sollten bei einer Nutzung von Office 365 sämtliche Möglichkeiten zur Abschaltung und/oder Reduzierung von möglicherweise riskanten Datenabflüssen in Form von Telemetriedaten u. Ä. ausgeschöpft werden. Das Thema CLOUD-Act sollte sich auf absehbare Zeit klären. Mitte 2019 beauftragte die Europäische Union eine Kommission mit der Aushandlung eines internationalen Abkommens, welches den CLOUD-Act “einfängt”. Darüber hinaus gibt es Bestrebungen, eine Art innereuropäischen “CLOUD-Act” zu schaffen, dem die USA nach eigenem bekunden gerne beitreten würden.