2021-04-23_Empfehlung_LfDI
Dieses Dokument ist Teil der Anfrage „Bewertungen und Empfehlungen des LfDI zu Office 365 an Schulen“
= Ay ’ W Baden-Württemberg DER LANDESBEAUFTRAGTE FÜR DEN DATENSCHUTZ UND DE NFORMATIONSFREIHEIT Pilot Nutzung MS an Schulen: Empfehlungen des LfDI Bewertungen und Empfehlungen aus der Begleitung des Pilotprojekts „Mögliche Einführung von Microsoft (Office 365) als SaaS als Teil der Digitalen Bildungsplattform‘“ des Ministeriums für Kultus, Jugend und Sport durch den Landesbeauftragten für den Datenschutz und die In- formationsfreiheit Baden-Württemberg Az. 6510-1/2 Stuttgart, 23. April 2021 Inhaltsverzeichnis 1 Beschreibung des Piloten und Empfehlung.................zussssosssnenseneenesnnsnnnnnnnneneennnn 2 Beratungsleistung LfDI und Ablauf des Pilotversuchs............unsensnesnensensennssnsensennennennen 4 Der zeitliche Ablauf im Überblick ......uuuassnsnsseansnnannnensnuennnennnnnsonsnsnnennennnnnnnnnnnnnnnnnnnnennen nn A 2 Zusammenfassung wesentlicher Ergebnisse ...............-uuusensnssesnnsonsensennnnnnnnnennnn Ö 3 Technische Prüfung .......s2u022s00000000000000000nnnnnnnnnnnnnnnnnnnnnnnnnnnunnannnnnnnsnnnnnsnnnnssnenannene TO Übersicht technische Mängel............uu0u2u0000n0sennnsnnennnnennennennnnennennenennnnnnnennnnnnnnnennanannen TO 4 Bewertung der rechtlichen Risiken.............nuununnneennsnsnnnnnnnnennnannnnneennsnnsnesesennnnn 19 Schulrechtliche Aspekte und besonders geschützte Daten ..........usursursrsseseseessnesnennenn 19 . Zum „Schrems I-Urteildes EUGH..........unusnessesnnnseseenensnnennseseensnenenenenesesnsnnnesnnennnnnn 17 Betrachtung insbesondere der Kritikpunkte der DSK .............ussssssenssunsnnsonsnesonenneneenennnn 19 Fazit Vertrags-Situation...........seessssnennennenensenenennnnnnnnnnnnnnnnnnnnnnnnnnnnnnennnannnennnnnsnnsansnnenennee IQ 5 Abschließende Bemerkungen .............0ss2J0000unsnnnnnnnanennenennnnannnnenonsannnensnnennnsnnnnn 01 6 Anlagen. ......... een eures

1 Beschreibung des Piloten und Empfehlung Der Läandesbeauftragte für den Datenschutz und die Informationsfreiheit Baden- Württemberg (LfDI) hat sich in seiner beratenden Funktion am Pilotprojekt des Ministeri- ums für Kultus, Jugend und Sport Baden-Württemberg zur Nutzung einer speziell für den Schulbereich konfigurierten Version von Microsoft (MS) Office 365 beteiligt. Ziel war es, die Praktikabilität und Datenschutzkonformität der Software zu erproben und Schulen künftig eine umfangreiche digitale Arbeitsplattform anzubieten. LfDI Dr. Stefan Brink hat das mehrmonatige Pilotprojekt begleitet, nachdem zusammen mit dem Ministerium um- fangreiche Vorbereitungsmaßnahmen getroffen worden waren. Das Kultusministerium wurde zu datenschutzrechtlichen Fragestellungen beraten, gleichzeitig wurden Gesprä- che mit Microsoft zur Verbesserung der rechtlichen und technischen Rahmenbedingun- gen weitergeführt. Mt der vom Kultusministerium gewählten Software soll den Lehrerinnen sowohl ein E- Mail-Dienst as auch — als Software as a Service (SaaS) - eine Büro- Arbeitsplatzumgebung mit Textverarbeitung, Präsentations- und Kalkulationsprogram- men, einem Cloud-Speicher und einem Videokonferenzsystem zur Verfügung gestellt werden. Das Pilotprojekt an den Schulen hat der LfDI Dr. Brink begleitet, da der Wunsch von Schülerschaft, Eltern und Lehrenden nach sicheren und praktikablen digitalen Software- lösungen gerade in Zeiten der Pandemie besonders dringlich war. Der LfDI wollte in der Praxis prüfen, wie die vom Ministerium eingesetzte spezielle Version von MS Office 365 tatsächlich funktioniert und ob die bereits in der Datenschutz -Folgenabschätzung (DSFA) angekündigten Verbesserungen auch umgesetzt wurden. Der im Rahmen des Pilotbetriebs konfigurierte Umfang des Produkts ging allerdings, wie noch erläutert wird, über das in der DSFA vom Kultusministerium zuvor untersuchte Maß hinaus. Trotzdem bemängelten zahlreiche Lehrende der Pilotschulen, dass der Funktionsumfang der getesteten Dienste zu eingeschränkt gewesen sei, insbesondere dass Schülerinnen und Schüler keine vollwertigen Teilnehmer der Plattform waren. Die vorliegende Bewertung der getesteten Software ist nicht abschließend. Zahlreiche weitere problematische Aspekte wurden nicht untersucht; teilweise hätten die festgestell-

ten Schwierigkeiten auch noch tiefergehend geprüft werden können. Aber bereits anhand der vorgenommenen Prüfungstiefe wurden Mängel offenbar, die zu der nachfolgenden Empfehlung führen: Im Ergebnis empfiehlt der LfDI, von der Nutzung der erprobten MS-Produkte im Schulbereich abzusehen. Trotz des besonderen Zuschnitts der eingesetzten Produkte bleiben eine Vielzahl von Problemen und offenen Fragestellungen, welche weder das Kultusministerium noch die einzelnen Schulen datenschutzrechtlich verantworten kön- nen. Bereits mit Blick auf den im Pilotprojekt geprüften eingeschränkten Status, in dem ledig- lich die Lehrkräfte der ausgewählten Schulen einen Account bekamen, stellt der LfDI ein hohes Risiko der Verletzung von Rechten und Freiheiten Betroffener fest. Dies gilt für die ins Auge gefasste — und bei einer digitalen Bildungsplattform letztlich auch nur nahelie- gende — Erweiterung des Systems um Konten für die Schülerinnen und Schüler umso mehr. Vor dem Hintergrund der Garantenstellung des Staates insbesondere für die der Schulpflicht unterliegenden, regelmäßig minderjährigen Schülerinnen und Schüler emp- fiehlt der LfDI von einer Nutzung der im Pilotversuch eingesetzten Microsoft-Produkte abzusehen. Es erscheint zwar nicht gänzlich ausgeschlossen, dass mit anderen Varian- ten der im Pilotversuch genutzten Produkte und unter wesentlich modifizierten Einsatz- bedingungen im Schulbereich damit rechtskonform gearbeitet werden könnte. Gerade im Schulbereich ist diese Nutzung allerdings mit einer Reihe erheblicher, von den Schulen nicht kontrollierbarer Risiken verbunden, die angesichts der dort besonders hohen Schutzpflichten als inakzeptabel hoch bewertet werden.

Beratungsleistung LfDI und Ablauf des Pilotversuchs Der LfDI hat mit hohem Personalaufwand das Kultusministerium (KM) bei dem Aufbau der digitalen Bildungsplattform und hier insbesondere beim vom KM gewünschten Ein- satz von Mcrosoft (MS) 365 beraten und begleitet. Der zeitliche Ablauf im Überblick Bereits vor dem endgültigen Ende von ella@bw hat das KM um eine Bewertung eines Einsatzes von Microsoft Office 365 im Rahmen einer digitalen Bildungsplattform durch den LfDI gebeten. Zu einem ersten Gespräch hierüber kam es am 8. Juni 2018 unter Teilnahme von Frau Ministerialdirektorin Windey und des LfDI Dr. Brink. Am 3. Dezember 2018 fand ein erstes Treffen des LfDI und der BITBW mit Vertretern von Microsoft statt. Seitens des LfDI wurde auf die Notwendigkeit einer Datenschutz- Folgenabschätzung (DSFA) verwiesen. Weitere Gespräche zwischen KM und LfDI fanden auf Arbeitsebene im Herbst 2019 nach Gründung der Stabsstelle Digitale Bil- dungsplattform des KM statt. Nach mehreren Gesprächen im Januar und Februar 2020 legte das KM sodann Ende April 2020 eine DSFA vor, die vom LfDI Anfang Juli nach ausführlicher Analyse als völlig unzureichend zurückgewiesen wurde. Ab Anfang September 2020 hat das KM mitgeteilt, dass es eine zweite DSFA vorlegen und am Projekt festhalten wolle. Infolgedessen und wegen des vom KM nachvollzieh- bar aufgezeigten Zeitdrucks wurden die Beratungsleistungen des LfDI stark intensiviert. Es fanden zahlreiche Termine, Gespräche und Videokonferenzen statt, oftmals unter Einbeziehung hochrangiger Vertreter der Firma Microsoft, einschließlich Mitgliedern der Geschäftsleitung der deutschen Niederlassung und Vertretern der Fachabteilungen aus den USA. Mitte Oktober 2020 legte das KM eine ergänzte und erheblich überarbeitete Version der DSFA vor und teilte mit, dass es auf dieser Basis im Rahmen eines Pilotbetriebs die Praxistauglichkeit von MS 365 für den Schulbetrieb testen möchte. Auch die überarbeite- te DSFA betrachtete nur einen eingeschränkten Umfang des Produkts. Insbesondere wurden ausdrücklich nur die Web-Versionen und weder Android- und iOS-Apps noch Desktop-Versionen mit einbezogen. Auch sah die DSFA nicht vor, dass die Schülerinnen und Schüler einen Account bekämen. Im selben Zeitraum stellte Microsoft erweiterte rechtliche Garantien insbesondere ge genüber den Zugriffen von US-Sicherheitsbehörden, in Aussicht

Am 30. Oktober 2020 gab der LfDI bekannt, dass er das Pilotprojekt beratend begleiten würde https ://www.baden-wuerttemberg.datenschutz.de/lfdi-begleitet-pilotprojekt-des- kultusministeriums -zur-nutzung-von-microsoft-office-365-an-schulen). Verbesserungs- bedarf an der DSFA gab es weiterhin, das deutlich überarbeitete Dokument erkannte der LfDi aber als Grundlage für den Pilot an. Im Praxistest sollten die angekündigten Verbes- serungen an MS 365 sowie der individuellen Konfiguration seitens des KM geprüft wer- den. Am 17. November 2020 fand eine weitere Videokonferenz zum Zweck der Erörterung datenschutzrechtlicher Fragen im Rahmen der Durchführung des Pilotprojekts mit dem KM statt. Weiterer E-Mail-Verkehr zu diesen Themen folgte. Im Januar 2021 fanden weitere Abstimmungen zur gemeinsamen Begleitung und Evalu- ierung des Piloten mit dem KM und Microsoft statt. Während des laufenden Pilotversuchs nahm der LfDI verschiedene technische Untersu- chungen insbesondere zu den Datenflüssen vor. Ferner erhielt der LfDI - nach Informati- on der Lehrkräfte über die Zugriffsmöglichkeit des LfDI - Einblick in ein Forum, indem das KM den beteiligten Lehrkräften die Möglichkeit zur Diskussion von Problemen und Fra- gestellungen im Umgang mit dem pilotierten Dienst gewährte. Außerdem erarbeiteten zur Evaluation des Pilotprojektes KM und LfDI einen gemeinsamen Fragebogen für die Schulleitungen und Lehrkräfte an den teilnehmenden Schulen. Die dem LfDI von KM übersandten Ergebnisse dieser Umfrage wertete der LfDi sodann separat aus. Mt Stand 13. April 2021 übersandte das KM dem LfDI das Dokument „Ergänzende Be- trachtung zur Datenschuützfolgenabschätzung betreffend a. die Einführung von Microsoft Office 365 als SaaS als Teil der Digitalen Bildungsplattform und b. den Verarbeitungsum- fang im Vergleich zum Pilotprojekt ‚Office 365 an Schulen“. Eine umfangreiche Übersicht über den Zeitplan findet sich in Anlage 9 - Zeitlicher Ab- lauf.docx

2 Zusammenfassung wesentlicher Ergebnisse Im Rahmen der Begleitung des Pilotprojekts hat der LfDI geprüft: e ob die in der Datenschutz-Folgenabschätzung (DSFA) des Ministeriums vorge- schlagenen Abhilfemaßnahmen zur Minimierung des Risikos tatsächlich umge- setzt wurden und ausreichend sind; e welche Verarbeitungen abseits der von den Nutzern gewünschten/angeforderten stattfinden (in Stichproben); e ob der Funktionsumfang ausreichend ist und den Erwartungen der Lehrkräfte ent- spricht; «e ob die als deaktiviert geltenden problematischen Verarbeitungen auch deaktiviert sind, z.B. solche, die in den USA verarbeitet werden oder bei denen MS perso- nenbezogene Daten zu eigenen Zwecken verarbeitet wie Übersetzungs- und Dik- tatfunktion; e ob durch Verschlüsselung die Möglichkeiten des Zugriffs seitens Microsoft oder von erfolgreichen Angreifern auf Daten eingeschränkt werden konnten. Der Pilot war auf das Umfeld von Lehrenden begrenzt und hat nicht die Schülerschaft miteinbezogen bzw. nur die Verwendung von MS Teams ohne eigenen Account für Schüler ermöglicht. Beim Einsatz für Schülerinnen und Schüler bestehen besondere Herausforderungen, u.a. durch die Schulpflicht und die altersbedingte besondere staatli- che Fürsorgepflicht. Für den Piloten sollte eine speziell konfigurierte Softwareversion eingesetzt werden, also nicht die handelsübliche Software, die ein Endkunde kaufen kann. Bei der speziell konfi- gurierten Variante sollte die Übermittlung von Telemetrie-, Diagnose- und anders ge- nannten Daten an MS deutlich eingeschränkt sein. Der mehrmonatige und intensive Praxistest hat gezeigt, dass dieser Versuch nicht erfolg- reich war, Annahmen sich als nicht zutreffend erwiesen haben und dass der Einsatz von MS (Office) 365 im schulischen Kontext zahlreiche ungeklärte datenschutzrechtliche Risiken birgt. Dass sich diese Risiken künftig — auch unter konstruktiver Mitwirkung von MS - reduzieren oder teilweise beheben lassen, ist zwar nicht ausgeschlossen, aber der- zeit auch nicht absehbar. Beispiele: «e Es liegt für einige Verarbeitungen für den Betrieb an einer Schule keine Rechts- grundlage vor - vor allem für Übermittlungen an Microsoft zu eigenen Ge- schäftstätigkeiten oder Geschäftsinteressen. Schulen unterliegen in diesem

Bereich deutlich engeren’ rechtlichen Vorgaben als Unternehmen, welche MS- Produkte einsetzen. Beispiele dafür sind die vollständige und detaillierte Überwa- chung und Protokollierung des gesamten Nutzerverhaltens und die Analyse von E-Mails. Das KM stellt das Vorhandensein einer entsprechenden Rechtsgrundlage in seiner „Ergänzenden Betrachtung zur Datenschutzfolgenabschätzung“ vom 13. April 2021, Seite 10, zutreffend selbst als fraglich dar. Die Deaktivierung problematischer bzw. vom Prüfumfang (Scope) der DSFA des KM ausdrücklich ausgenommener Verarbeitungen personenbezogener Daten konnte nur teilweise festgestellt werden. Für die Verarbeitung von besonderen Kategorien von Daten nach Artikel 9 DS- GVO, wie z.B. Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen hervorgehen sowie Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person, von Minderjährigen, welche einem besonderen Schutz unterliegen, ist eine Eingrenzung der hohen Risiken für die Rechte und Frei- heiten der Betroffenen kaum erkennbar. Es bestehen zahlreiche Datentransfers in die USA, die nicht unterbunden wer- den können. Daraus ergeben sich auch vor dem Hintergrund des Urteils des Eu- ropäischen Gerichtshofs vom 16. Juli 2020 in der Rechtssache C-311/18 („Schrems I) große Risiken. Es ist offen, welche weiteren Entscheidungen die Datenschutzkonferenz (DSK) als Zusammenschluss der Aufsichtsbehörden der Länder und des Bundes, der Europäische Datenschutzausschuss (EDSA) und schließlich der Europäische Gerichtshof (EuGH) in Bezug auf die Zulässigkeit sol- cher Datenübermittlungen in die USA treffen werden. Die mit derartigen Übermitt- lungen zusammenhängenden Risiken konnten zwar durch die begrüßenswerten zusätzlichen Garantien von Microsoft zu den Standardvertragsklauseln des Mcro- soft Online Services Data Protection Addendum („DPA") gemindert, aber nicht ab- schließend ausgeräumt werden. Dies ist umso bedenklicher, als die Drittstaaten- transfers auch in der pilotierten Softwarevariante weiterhin einen großen Umfang haben. Der Kreis der Nutzenden der Bildungssoftware soll nach dem Plan des KM eben- so wie nach dem Wunsch der befragten Lehrerinnen und Lehrer auf die Schüle- rinnen und Schüler erweitert werden. Dieser Erweiterungswunsch ist im Interes- se der effektiven Nutzung einer Bildungsplattform auch durchaus naheliegend. Aus datenschutzrechtlicher Sicht wird dadurch das Risiko in der hier vorliegenden Konstellation allerdings weiter erheblich erhöht. Das KM geht ebenfalls davon aus,

dass die Verarbeitung der zuvor genannten besonderen Kategorien personenbe- zogener Daten in der Bildungsplattform bei Nutzung des hier verwendeten Diens- tes von MS nicht zulässig sei und untersagt dies per Nutzungsordnung. Jedoch zeigt die Umfrage unter den Lehrkräften (Anlage 6 - Auswertung Umfrage zum MS Office Pilot des Kultusministeriums), dass diese Maßnahme eines Verbots per Nutzungsordnung nicht ausreichend wirksam ist. Wenn diese Maßnahme bereits bei Lehrkräften nicht ausreichend ist, so ist davon auszugehen, dass sie bei der Schülerschaft gänzlich ungeeignet ist. Die besonders problematischen Telemetrie- und Diagnosedaten konnten im Rahmen des Pilotprojekts nicht deaktiviert oder reduziert werden. Eine Übermitt- lung von Diagnose-, Telemetrie- oder anders genannten personenbezogenen Da- ten der Nutzer an Microsoft (für welche die jeweilige Schule als Verantwortliche im Sinne von Artikel 4 Nummer 7 DS-GVO anzusehen ist) sowie die eigennützige Weiterverarbeitung dieser Daten durch Microsoft im Wege der Beobachtung, Aufzeichnung und Auswertung des Nutzer- und Geräteverhaltens ohne er- kennbare Rechtsgrundlage findet nach unseren Messungen im Rahmen des Pi- lotbetriebs weiterhin und in sehr großem sowie für die Diensterbringung nicht er- forderlichen Umfang statt. Insbesondere beschränken sich Einstellungsmöglic h- keiten innerhalb von MS 365 für die Deaktivierung im Wesentlichen auf die (nicht im Prüfumfang der DSFA enthaltenen) Desktop-Versionen und umfassen nicht die (vom KM zum Einsatz vorgesehenen) Online-/Web-Versionen vom MS 365. Trotz umfangreicher Bemühungen seitens des LfDI im direkten Gespräch mit Ver- tretern von Microsoft war es nicht möglich, eine vollständige Übersicht über alle Verarbeitungen personenbezogener Daten (auch zu eigenen Zwecken seitens Microsofts) zu erhalten. Im Rahmen des Pilotbetriebs wurde festgestellt, dass die in der DSFA des KM als unbedingt erforderlichen Abhilfemaßnahmen nicht vollständig und teilweise gar nicht umgesetzt wurden, so zum Beispiel die Abhilfemaßnahmen „Ende-zu- Ende-Verschlüsselung“ und „privacy by default“. Es konnte keine Verschlüsselung festgestellt werden, die einen Zugriff durch Mcrosoft, Beschäftigte von Mcrosoft bzw. von deren Unterauftragnehmern oder erfolgreichen Angreifern auf personenbezogene Daten technisch ausschließen oder signifikant reduzieren konnte. Im Rahmen des Pilotbetriebs konnte nicht fest- gestellt werden, dass Nutzende die Kontrolle über die Schlüsselverwaltung ei- ner eventuell vorhandenen Verschlüsselung haben.


-10 - 3 Technische Prüfung Durch das KM bzw. die BITBW und den beteiligten Subdienstleister wurden dem LfDI im Herbst 2020 fünf Testzugänge bereitgestellt. Diese Accounts entsprachen den ganz normalen Lehrer-Konten. Ein Testaccount wurde gegen Ende der Testphase noch mit der „Global Reader“-Rolle versehen, um Einstellungen (aber keine Daten) einsehen zu können. Diese Accounts wurden für verschiedene funktionale Tests sowie zur Analyse des jewei- ligen Datenverkehrs verwendet. Zur Prüfung der Online-Anwendungen auf Telemetrie- und Diagnose-Daten sowie der Frage, ob MS noch sonstige, ggf. anders bezeichnete Nutzerdaten verarbeitet, wurde der gesamte Datenverkehr mittels mitmproxy oder BurpSuite aufgezeichnet und analysiert. Da im Laufe des Prozesses vom KM entschieden wurde, dass im Rahmen des Pilotbe- triebs nur die Online-Version vom MS 365 im Browser zum Einsatz kommen sollten, wurden die begonnenen Prüfungen der Android- und IOS-Apps nicht vertieft. Zusätzlich zur Protokollierung mittels mitmproxy/BurpSuite wurden Stichproben mit den Firefox-Entwickler-Werkzeugen gemacht, die alle gemessenen Datenflüsse bestätigten. Dabei wurden im Rahmen der Prüfung in mehreren Sitzungen verschiedene Tätigkeiten von der ersten Registrierung bis hin zur Bearbeitung von Dokumenten durchgeführt. Details der Prüfung mit Listen der kontaktierten Hosts und festgestellten Telemetriedaten finden sich in Anlage 7 - Technische Analyse. Übersicht technische Mängel Hierbei wurden mehrere technische Mängel festgestellt (siehe Anlage 1 - Findings- MS365--Technisch), zu denen Microsoft in einem Gespräch am 6. April 2021 angehört wurde, ohne dass die Punkte bis dato geklärt werden konnten. Zu den Mängeln gehören: e Umfangreiche, größtenteils in den Unterlagen der DSFA des Ministeriums nicht dokumentierte Datenflüsse von MS 365. Dabei ist oftmals nicht nachvollziehbar, welchen Zwecken die umfangreichen Verarbeitungen personenbezogener Daten dienen, welche Datenkategorien diese umfassen und weshalb diese Verarbeitun- gen für die Zwecke der jeweiligen Schule erforderlich sind. Im gesamten Prüfzeit- raum wurden Verbindungen zu rund 500 verschiedenen Microsoft-Servern (Hosts) festgestellt, wovon nur gut 50 dokumentiert sind (Details dazu siehe Anlage 7 - Technische Analyse).
