= Ay
’ W

Baden-Württemberg

DER LANDESBEAUFTRAGTE FÜR DEN DATENSCHUTZ UND DE NFORMATIONSFREIHEIT

Pilot Nutzung MS an Schulen: Empfehlungen des LfDI

Bewertungen und Empfehlungen aus der Begleitung des Pilotprojekts
„Mögliche Einführung von Microsoft (Office 365) als SaaS als Teil der
Digitalen Bildungsplattform‘“ des Ministeriums für Kultus, Jugend und
Sport durch den Landesbeauftragten für den Datenschutz und die In-
formationsfreiheit Baden-Württemberg

Az. 6510-1/2 Stuttgart, 23. April 2021

Inhaltsverzeichnis

1 Beschreibung des Piloten und Empfehlung.................zussssosssnenseneenesnnsnnnnnnnneneennnn 2
Beratungsleistung LfDI und Ablauf des Pilotversuchs............unsensnesnensensennssnsensennennennen 4
Der zeitliche Ablauf im Überblick ......uuuassnsnsseansnnannnensnuennnennnnnsonsnsnnennennnnnnnnnnnnnnnnnnnnennen nn A
2 Zusammenfassung wesentlicher Ergebnisse ...............-uuusensnssesnnsonsensennnnnnnnnennnn Ö
3 Technische Prüfung .......s2u022s00000000000000000nnnnnnnnnnnnnnnnnnnnnnnnnnnunnannnnnnnsnnnnnsnnnnssnenannene TO
Übersicht technische Mängel............uu0u2u0000n0sennnsnnennnnennennennnnennennenennnnnnnennnnnnnnnennanannen TO
4 Bewertung der rechtlichen Risiken.............nuununnneennsnsnnnnnnnnennnannnnneennsnnsnesesennnnn 19
Schulrechtliche Aspekte und besonders geschützte Daten ..........usursursrsseseseessnesnennenn 19
. Zum „Schrems I-Urteildes EUGH..........unusnessesnnnseseenensnnennseseensnenenenenesesnsnnnesnnennnnnn 17
Betrachtung insbesondere der Kritikpunkte der DSK .............ussssssenssunsnnsonsnesonenneneenennnn 19
Fazit Vertrags-Situation...........seessssnennennenensenenennnnnnnnnnnnnnnnnnnnnnnnnnnnnnennnannnennnnnsnnsansnnenennee IQ
5 Abschließende Bemerkungen .............0ss2J0000unsnnnnnnnanennenennnnannnnenonsannnensnnennnsnnnnn 01
6 Anlagen. ......... een eures

1 Beschreibung des Piloten und Empfehlung

Der Läandesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-
Württemberg (LfDI) hat sich in seiner beratenden Funktion am Pilotprojekt des Ministeri-
ums für Kultus, Jugend und Sport Baden-Württemberg zur Nutzung einer speziell für den
Schulbereich konfigurierten Version von Microsoft (MS) Office 365 beteiligt. Ziel war es,
die Praktikabilität und Datenschutzkonformität der Software zu erproben und Schulen
künftig eine umfangreiche digitale Arbeitsplattform anzubieten. LfDI Dr. Stefan Brink hat
das mehrmonatige Pilotprojekt begleitet, nachdem zusammen mit dem Ministerium um-
fangreiche Vorbereitungsmaßnahmen getroffen worden waren. Das Kultusministerium
wurde zu datenschutzrechtlichen Fragestellungen beraten, gleichzeitig wurden Gesprä-
che mit Microsoft zur Verbesserung der rechtlichen und technischen Rahmenbedingun-

gen weitergeführt.

Mt der vom Kultusministerium gewählten Software soll den Lehrerinnen sowohl ein E-
Mail-Dienst as auch — als Software as a Service (SaaS) - eine Büro-
Arbeitsplatzumgebung mit Textverarbeitung, Präsentations- und Kalkulationsprogram-
men, einem Cloud-Speicher und einem Videokonferenzsystem zur Verfügung gestellt

werden.

Das Pilotprojekt an den Schulen hat der LfDI Dr. Brink begleitet, da der Wunsch von
Schülerschaft, Eltern und Lehrenden nach sicheren und praktikablen digitalen Software-
lösungen gerade in Zeiten der Pandemie besonders dringlich war. Der LfDI wollte in der
Praxis prüfen, wie die vom Ministerium eingesetzte spezielle Version von MS Office 365
tatsächlich funktioniert und ob die bereits in der Datenschutz -Folgenabschätzung (DSFA)

angekündigten Verbesserungen auch umgesetzt wurden.

Der im Rahmen des Pilotbetriebs konfigurierte Umfang des Produkts ging allerdings, wie
noch erläutert wird, über das in der DSFA vom Kultusministerium zuvor untersuchte Maß
hinaus. Trotzdem bemängelten zahlreiche Lehrende der Pilotschulen, dass der
Funktionsumfang der getesteten Dienste zu eingeschränkt gewesen sei, insbesondere
dass Schülerinnen und Schüler keine vollwertigen Teilnehmer der Plattform waren.

Die vorliegende Bewertung der getesteten Software ist nicht abschließend. Zahlreiche
weitere problematische Aspekte wurden nicht untersucht; teilweise hätten die festgestell-

ten Schwierigkeiten auch noch tiefergehend geprüft werden können. Aber bereits anhand
der vorgenommenen Prüfungstiefe wurden Mängel offenbar, die zu der nachfolgenden

Empfehlung führen:

Im Ergebnis empfiehlt der LfDI, von der Nutzung der erprobten MS-Produkte im
Schulbereich abzusehen. Trotz des besonderen Zuschnitts der eingesetzten Produkte
bleiben eine Vielzahl von Problemen und offenen Fragestellungen, welche weder das
Kultusministerium noch die einzelnen Schulen datenschutzrechtlich verantworten kön-

nen.

Bereits mit Blick auf den im Pilotprojekt geprüften eingeschränkten Status, in dem ledig-
lich die Lehrkräfte der ausgewählten Schulen einen Account bekamen, stellt der LfDI ein
hohes Risiko der Verletzung von Rechten und Freiheiten Betroffener fest. Dies gilt für die
ins Auge gefasste — und bei einer digitalen Bildungsplattform letztlich auch nur nahelie-
gende — Erweiterung des Systems um Konten für die Schülerinnen und Schüler umso
mehr. Vor dem Hintergrund der Garantenstellung des Staates insbesondere für die der
Schulpflicht unterliegenden, regelmäßig minderjährigen Schülerinnen und Schüler emp-
fiehlt der LfDI von einer Nutzung der im Pilotversuch eingesetzten Microsoft-Produkte
abzusehen. Es erscheint zwar nicht gänzlich ausgeschlossen, dass mit anderen Varian-
ten der im Pilotversuch genutzten Produkte und unter wesentlich modifizierten Einsatz-
bedingungen im Schulbereich damit rechtskonform gearbeitet werden könnte. Gerade im
Schulbereich ist diese Nutzung allerdings mit einer Reihe erheblicher, von den Schulen
nicht kontrollierbarer Risiken verbunden, die angesichts der dort besonders hohen
Schutzpflichten als inakzeptabel hoch bewertet werden.

Beratungsleistung LfDI und Ablauf des Pilotversuchs

Der LfDI hat mit hohem Personalaufwand das Kultusministerium (KM) bei dem Aufbau
der digitalen Bildungsplattform und hier insbesondere beim vom KM gewünschten Ein-

satz von Mcrosoft (MS) 365 beraten und begleitet.

Der zeitliche Ablauf im Überblick

Bereits vor dem endgültigen Ende von ella@bw hat das KM um eine Bewertung eines
Einsatzes von Microsoft Office 365 im Rahmen einer digitalen Bildungsplattform durch
den LfDI gebeten. Zu einem ersten Gespräch hierüber kam es am 8. Juni 2018 unter
Teilnahme von Frau Ministerialdirektorin Windey und des LfDI Dr. Brink.

Am 3. Dezember 2018 fand ein erstes Treffen des LfDI und der BITBW mit Vertretern
von Microsoft statt. Seitens des LfDI wurde auf die Notwendigkeit einer Datenschutz-
Folgenabschätzung (DSFA) verwiesen. Weitere Gespräche zwischen KM und LfDI
fanden auf Arbeitsebene im Herbst 2019 nach Gründung der Stabsstelle Digitale Bil-
dungsplattform des KM statt.

Nach mehreren Gesprächen im Januar und Februar 2020 legte das KM sodann Ende
April 2020 eine DSFA vor, die vom LfDI Anfang Juli nach ausführlicher Analyse als völlig
unzureichend zurückgewiesen wurde.

Ab Anfang September 2020 hat das KM mitgeteilt, dass es eine zweite DSFA vorlegen
und am Projekt festhalten wolle. Infolgedessen und wegen des vom KM nachvollzieh-
bar aufgezeigten Zeitdrucks wurden die Beratungsleistungen des LfDI stark intensiviert.
Es fanden zahlreiche Termine, Gespräche und Videokonferenzen statt, oftmals unter
Einbeziehung hochrangiger Vertreter der Firma Microsoft, einschließlich Mitgliedern der
Geschäftsleitung der deutschen Niederlassung und Vertretern der Fachabteilungen aus
den USA.

Mitte Oktober 2020 legte das KM eine ergänzte und erheblich überarbeitete Version der
DSFA vor und teilte mit, dass es auf dieser Basis im Rahmen eines Pilotbetriebs die
Praxistauglichkeit von MS 365 für den Schulbetrieb testen möchte. Auch die überarbeite-
te DSFA betrachtete nur einen eingeschränkten Umfang des Produkts. Insbesondere
wurden ausdrücklich nur die Web-Versionen und weder Android- und iOS-Apps noch
Desktop-Versionen mit einbezogen. Auch sah die DSFA nicht vor, dass die Schülerinnen
und Schüler einen Account bekämen.

Im selben Zeitraum stellte Microsoft erweiterte rechtliche Garantien insbesondere ge
genüber den Zugriffen von US-Sicherheitsbehörden, in Aussicht

Am 30. Oktober 2020 gab der LfDI bekannt, dass er das Pilotprojekt beratend begleiten
würde https ://www.baden-wuerttemberg.datenschutz.de/lfdi-begleitet-pilotprojekt-des-
kultusministeriums -zur-nutzung-von-microsoft-office-365-an-schulen). Verbesserungs-
bedarf an der DSFA gab es weiterhin, das deutlich überarbeitete Dokument erkannte der
LfDi aber als Grundlage für den Pilot an. Im Praxistest sollten die angekündigten Verbes-
serungen an MS 365 sowie der individuellen Konfiguration seitens des KM geprüft wer-
den.

Am 17. November 2020 fand eine weitere Videokonferenz zum Zweck der Erörterung
datenschutzrechtlicher Fragen im Rahmen der Durchführung des Pilotprojekts mit dem
KM statt. Weiterer E-Mail-Verkehr zu diesen Themen folgte.

      

 

Im Januar 2021 fanden weitere Abstimmungen zur gemeinsamen Begleitung und Evalu-
ierung des Piloten mit dem KM und Microsoft statt.

Während des laufenden Pilotversuchs nahm der LfDI verschiedene technische Untersu-
chungen insbesondere zu den Datenflüssen vor. Ferner erhielt der LfDI - nach Informati-
on der Lehrkräfte über die Zugriffsmöglichkeit des LfDI - Einblick in ein Forum, indem das
KM den beteiligten Lehrkräften die Möglichkeit zur Diskussion von Problemen und Fra-
gestellungen im Umgang mit dem pilotierten Dienst gewährte. Außerdem erarbeiteten zur
Evaluation des Pilotprojektes KM und LfDI einen gemeinsamen Fragebogen für die
Schulleitungen und Lehrkräfte an den teilnehmenden Schulen. Die dem LfDI von KM
übersandten Ergebnisse dieser Umfrage wertete der LfDi sodann separat aus.

Mt Stand 13. April 2021 übersandte das KM dem LfDI das Dokument „Ergänzende Be-
trachtung zur Datenschuützfolgenabschätzung betreffend a. die Einführung von Microsoft
Office 365 als SaaS als Teil der Digitalen Bildungsplattform und b. den Verarbeitungsum-

fang im Vergleich zum Pilotprojekt ‚Office 365 an Schulen“.
Eine umfangreiche Übersicht über den Zeitplan findet sich in Anlage 9 - Zeitlicher Ab-

lauf.docx

2 Zusammenfassung wesentlicher Ergebnisse

Im Rahmen der Begleitung des Pilotprojekts hat der LfDI geprüft:

e ob die in der Datenschutz-Folgenabschätzung (DSFA) des Ministeriums vorge-
schlagenen Abhilfemaßnahmen zur Minimierung des Risikos tatsächlich umge-
setzt wurden und ausreichend sind;

e welche Verarbeitungen abseits der von den Nutzern gewünschten/angeforderten
stattfinden (in Stichproben);

e ob der Funktionsumfang ausreichend ist und den Erwartungen der Lehrkräfte ent-
spricht;

«e ob die als deaktiviert geltenden problematischen Verarbeitungen auch deaktiviert
sind, z.B. solche, die in den USA verarbeitet werden oder bei denen MS perso-
nenbezogene Daten zu eigenen Zwecken verarbeitet wie Übersetzungs- und Dik-
tatfunktion;

e ob durch Verschlüsselung die Möglichkeiten des Zugriffs seitens Microsoft oder
von erfolgreichen Angreifern auf Daten eingeschränkt werden konnten.

Der Pilot war auf das Umfeld von Lehrenden begrenzt und hat nicht die Schülerschaft
miteinbezogen bzw. nur die Verwendung von MS Teams ohne eigenen Account für
Schüler ermöglicht. Beim Einsatz für Schülerinnen und Schüler bestehen besondere
Herausforderungen, u.a. durch die Schulpflicht und die altersbedingte besondere staatli-
che Fürsorgepflicht.

Für den Piloten sollte eine speziell konfigurierte Softwareversion eingesetzt werden, also
nicht die handelsübliche Software, die ein Endkunde kaufen kann. Bei der speziell konfi-
gurierten Variante sollte die Übermittlung von Telemetrie-, Diagnose- und anders ge-
nannten Daten an MS deutlich eingeschränkt sein.

Der mehrmonatige und intensive Praxistest hat gezeigt, dass dieser Versuch nicht erfolg-
reich war, Annahmen sich als nicht zutreffend erwiesen haben und dass der Einsatz von
MS (Office) 365 im schulischen Kontext zahlreiche ungeklärte datenschutzrechtliche
Risiken birgt. Dass sich diese Risiken künftig — auch unter konstruktiver Mitwirkung von
MS - reduzieren oder teilweise beheben lassen, ist zwar nicht ausgeschlossen, aber der-
zeit auch nicht absehbar.

Beispiele:

«e Es liegt für einige Verarbeitungen für den Betrieb an einer Schule keine Rechts-
grundlage vor - vor allem für Übermittlungen an Microsoft zu eigenen Ge-
schäftstätigkeiten oder Geschäftsinteressen. Schulen unterliegen in diesem

Bereich deutlich engeren’ rechtlichen Vorgaben als Unternehmen, welche MS-
Produkte einsetzen. Beispiele dafür sind die vollständige und detaillierte Überwa-
chung und Protokollierung des gesamten Nutzerverhaltens und die Analyse von
E-Mails. Das KM stellt das Vorhandensein einer entsprechenden Rechtsgrundlage
in seiner „Ergänzenden Betrachtung zur Datenschutzfolgenabschätzung“ vom 13.
April 2021, Seite 10, zutreffend selbst als fraglich dar.

Die Deaktivierung problematischer bzw. vom Prüfumfang (Scope) der DSFA des
KM ausdrücklich ausgenommener Verarbeitungen personenbezogener Daten
konnte nur teilweise festgestellt werden.

Für die Verarbeitung von besonderen Kategorien von Daten nach Artikel 9 DS-
GVO, wie z.B. Daten, aus denen die rassische und ethnische Herkunft, politische
Meinungen, religiöse oder weltanschauliche Überzeugungen hervorgehen sowie
Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung
einer natürlichen Person, von Minderjährigen, welche einem besonderen Schutz
unterliegen, ist eine Eingrenzung der hohen Risiken für die Rechte und Frei-
heiten der Betroffenen kaum erkennbar.

Es bestehen zahlreiche Datentransfers in die USA, die nicht unterbunden wer-
den können. Daraus ergeben sich auch vor dem Hintergrund des Urteils des Eu-
ropäischen Gerichtshofs vom 16. Juli 2020 in der Rechtssache C-311/18
(„Schrems I) große Risiken. Es ist offen, welche weiteren Entscheidungen die
Datenschutzkonferenz (DSK) als Zusammenschluss der Aufsichtsbehörden der
Länder und des Bundes, der Europäische Datenschutzausschuss (EDSA) und
schließlich der Europäische Gerichtshof (EuGH) in Bezug auf die Zulässigkeit sol-
cher Datenübermittlungen in die USA treffen werden. Die mit derartigen Übermitt-
lungen zusammenhängenden Risiken konnten zwar durch die begrüßenswerten
zusätzlichen Garantien von Microsoft zu den Standardvertragsklauseln des Mcro-
soft Online Services Data Protection Addendum („DPA") gemindert, aber nicht ab-
schließend ausgeräumt werden. Dies ist umso bedenklicher, als die Drittstaaten-
transfers auch in der pilotierten Softwarevariante weiterhin einen großen Umfang
haben.

Der Kreis der Nutzenden der Bildungssoftware soll nach dem Plan des KM eben-
so wie nach dem Wunsch der befragten Lehrerinnen und Lehrer auf die Schüle-
rinnen und Schüler erweitert werden. Dieser Erweiterungswunsch ist im Interes-
se der effektiven Nutzung einer Bildungsplattform auch durchaus naheliegend.
Aus datenschutzrechtlicher Sicht wird dadurch das Risiko in der hier vorliegenden
Konstellation allerdings weiter erheblich erhöht. Das KM geht ebenfalls davon aus,

dass die Verarbeitung der zuvor genannten besonderen Kategorien personenbe-
zogener Daten in der Bildungsplattform bei Nutzung des hier verwendeten Diens-
tes von MS nicht zulässig sei und untersagt dies per Nutzungsordnung. Jedoch
zeigt die Umfrage unter den Lehrkräften (Anlage 6 - Auswertung Umfrage zum MS
Office Pilot des Kultusministeriums), dass diese Maßnahme eines Verbots per
Nutzungsordnung nicht ausreichend wirksam ist. Wenn diese Maßnahme bereits
bei Lehrkräften nicht ausreichend ist, so ist davon auszugehen, dass sie bei
der Schülerschaft gänzlich ungeeignet ist.

Die besonders problematischen Telemetrie- und Diagnosedaten konnten im
Rahmen des Pilotprojekts nicht deaktiviert oder reduziert werden. Eine Übermitt-
lung von Diagnose-, Telemetrie- oder anders genannten personenbezogenen Da-
ten der Nutzer an Microsoft (für welche die jeweilige Schule als Verantwortliche im
Sinne von Artikel 4 Nummer 7 DS-GVO anzusehen ist) sowie die eigennützige
Weiterverarbeitung dieser Daten durch Microsoft im Wege der Beobachtung,
Aufzeichnung und Auswertung des Nutzer- und Geräteverhaltens ohne er-
kennbare Rechtsgrundlage findet nach unseren Messungen im Rahmen des Pi-
lotbetriebs weiterhin und in sehr großem sowie für die Diensterbringung nicht er-
forderlichen Umfang statt. Insbesondere beschränken sich Einstellungsmöglic h-
keiten innerhalb von MS 365 für die Deaktivierung im Wesentlichen auf die (nicht
im Prüfumfang der DSFA enthaltenen) Desktop-Versionen und umfassen nicht die
(vom KM zum Einsatz vorgesehenen) Online-/Web-Versionen vom MS 365.

Trotz umfangreicher Bemühungen seitens des LfDI im direkten Gespräch mit Ver-
tretern von Microsoft war es nicht möglich, eine vollständige Übersicht über alle
Verarbeitungen personenbezogener Daten (auch zu eigenen Zwecken seitens
Microsofts) zu erhalten.

Im Rahmen des Pilotbetriebs wurde festgestellt, dass die in der DSFA des KM als
unbedingt erforderlichen Abhilfemaßnahmen nicht vollständig und teilweise
gar nicht umgesetzt wurden, so zum Beispiel die Abhilfemaßnahmen „Ende-zu-
Ende-Verschlüsselung“ und „privacy by default“.

Es konnte keine Verschlüsselung festgestellt werden, die einen Zugriff durch
Mcrosoft, Beschäftigte von Mcrosoft bzw. von deren Unterauftragnehmern oder
erfolgreichen Angreifern auf personenbezogene Daten technisch ausschließen
oder signifikant reduzieren konnte. Im Rahmen des Pilotbetriebs konnte nicht fest-
gestellt werden, dass Nutzende die Kontrolle über die Schlüsselverwaltung ei-
ner eventuell vorhandenen Verschlüsselung haben.

-10 -

3 Technische Prüfung

Durch das KM bzw. die BITBW und den beteiligten Subdienstleister wurden dem LfDI im
Herbst 2020 fünf Testzugänge bereitgestellt. Diese Accounts entsprachen den ganz
normalen Lehrer-Konten. Ein Testaccount wurde gegen Ende der Testphase noch mit
der „Global Reader“-Rolle versehen, um Einstellungen (aber keine Daten) einsehen zu
können.

Diese Accounts wurden für verschiedene funktionale Tests sowie zur Analyse des jewei-
ligen Datenverkehrs verwendet.

Zur Prüfung der Online-Anwendungen auf Telemetrie- und Diagnose-Daten sowie der
Frage, ob MS noch sonstige, ggf. anders bezeichnete Nutzerdaten verarbeitet, wurde der
gesamte Datenverkehr mittels mitmproxy oder BurpSuite aufgezeichnet und analysiert.
Da im Laufe des Prozesses vom KM entschieden wurde, dass im Rahmen des Pilotbe-
triebs nur die Online-Version vom MS 365 im Browser zum Einsatz kommen sollten,
wurden die begonnenen Prüfungen der Android- und IOS-Apps nicht vertieft.

Zusätzlich zur Protokollierung mittels mitmproxy/BurpSuite wurden Stichproben mit den
Firefox-Entwickler-Werkzeugen gemacht, die alle gemessenen Datenflüsse bestätigten.

Dabei wurden im Rahmen der Prüfung in mehreren Sitzungen verschiedene Tätigkeiten
von der ersten Registrierung bis hin zur Bearbeitung von Dokumenten durchgeführt.

Details der Prüfung mit Listen der kontaktierten Hosts und festgestellten Telemetriedaten
finden sich in Anlage 7 - Technische Analyse.

Übersicht technische Mängel

Hierbei wurden mehrere technische Mängel festgestellt (siehe Anlage 1 - Findings-
MS365--Technisch), zu denen Microsoft in einem Gespräch am 6. April 2021 angehört
wurde, ohne dass die Punkte bis dato geklärt werden konnten. Zu den Mängeln gehören:

e Umfangreiche, größtenteils in den Unterlagen der DSFA des Ministeriums nicht
dokumentierte Datenflüsse von MS 365. Dabei ist oftmals nicht nachvollziehbar,
welchen Zwecken die umfangreichen Verarbeitungen personenbezogener Daten
dienen, welche Datenkategorien diese umfassen und weshalb diese Verarbeitun-

gen für die Zwecke der jeweiligen Schule erforderlich sind. Im gesamten Prüfzeit-
raum wurden Verbindungen zu rund 500 verschiedenen Microsoft-Servern (Hosts)
festgestellt, wovon nur gut 50 dokumentiert sind (Details dazu siehe Anlage 7 -
Technische Analyse).