Hessischer Beauftragter für Datenschutz und Informationsfreiheit zu Office 365

Der Magistrat -Stadtschulamt- stellt aufgrund der fehlenden Freigabe durch den Hessischen Beauftragten für Datenschutz und Informationsfreiheit (HBDI) den Schulen im Rahmen des Schul-IT-Supports keine Instanz von Office 365 (Cloud-Dienste) zur Verfügung. Die Stadt Frankfurt am Main als Schulträger hatte bereits 2016 beim Hessischen Datenschutzbeauftragten (HDB, jetzt HBDI) angefragt, wie ein Einsatz von Office 365 an Frankfurter Schulen datenschutzrechtlich zu bewerten ist. Dies war Ausgangspunkt für ausführliche Prüfungen und Konsultationen des HDB mit der Fa. Microsoft. Die Stadt Frankfurt am Main war daran beteiligt; ein Termin mit Vertretern des HDB, der Fa. Microsoft Deutschland GmbH, des Referates Datenschutz und IT-Sicherheit sowie des Amtes 16 fand am 24.11.2016 in den Räumen des Stadtschulamtes statt. Ergebnis dieser Konsultationen war damals die Freigabe der sog. "Deutschlandcloud" von Microsoft für den Einsatz an Schulen in Hessen durch den HDB (Stellungnahme vom August 2017). Da Microsoft die Dienste der Deutschlandcloud inzwischen abgekündigt hat, sah sich der HBDI zu der neuerlichen Stellungnahme gezwungen. Der Magistrat -Stadtschulamt- hatte bereits nach der ersten Stellungnahme den Einsatz von Office 365 an den Schulen nicht weiterverfolgt, da die Deutschlandcloud im FWU-Rahmenvertrag für Bildungseinrichtungen nicht lizenziert ist und damit eine Einführung von Office 365 zu erheblichen Mehrkosten geführt hätte. Unabhängig davon könnte jedoch jede Schule eigenständig die Online-Dienste von Office 365 über eine Registrierung als Bildungseinrichtung einsetzen. Da es sich um reine Online-Dienste handelt, für die auf den schulischen Rechnern keine Installation erforderlich ist, hat der Schulträger darauf keinen Einfluss und hat keine Kenntnis über die Anzahl solcher Nutzungen. Wir weisen Schulen, bei denen wir Kenntnis darüber erhalten, darauf hin, dass keine Freigabe durch den HBDI vorliegt, dass für die datenschutzrechtlichen Belange solcher Nutzungen die Schule als datenverarbeitende Stelle allein verantwortlich ist und der Einsatz mit dem schulischen Datenschutzbeauftragten sowie der Dienst- und Fachaufsicht abzustimmen ist. Dies gilt im Übrigen auch für andere nicht vom HBDI freigegebene Online-Dienste (z. B. Dropbox). Das Stadtschulamt lehnt regelmäßig Wünsche der Schulen auf Installation entsprechender Synchronisierungsdienste im pädagogischen Netz ab. Zur Standardausstattung der schulischen Rechner gehört eine durch den FWU-Rahmenvertrag lizenzierte lokale Installation des Microsoft-Office-Produktes. Die Schulen können darüber hinaus auf eigenen Wunsch auch Installationen von OpenOffice oder LibreOffice erhalten. Der Schulträger hat keine Kenntnis und keinen Einfluss darauf, ob Lehrerinnen und Lehrer Daten in einer - nicht von ihm zur Verfügung gestellten - Office-365-Instanz speichern. Lehrkräfte unterliegen der Dienstaufsicht des Landes Hessen. Wir verweisen auf den Erlass zur "Verarbeitung personenbezogener Daten am häuslichen Arbeitsplatz der Lehrkraft" vom 21.08.2009 und andere einschlägige gesetzliche Regelungen. Nutzt eine Schule eigenständig die Dienste von Office 365 (oder anderer Online-Dienste) und speichert dort personenbezogene Daten, so hat sie als datenverarbeitende Stelle nach der Datenschutzgrundverordnung selbst ein entsprechendes Löschkonzept zu erstellen. Außerdem ist ein Vertrag zur Auftragsverarbeitung mit dem Diensteanbieter abzuschließen. Der Magistrat -Amt für Informations- und Kommunikationstechnik- verfolgt die Stellungnahme des Hessischen Beauftragten für Datenschutz sehr aufmerksam, da die getroffenen Einschätzungen - insbesondere zu den personenbezogenen Daten - auch für einen perspektivischen Einsatz auf Geräten der Stadtverwaltung Frankfurt am Main anwendbar sind. Aktuell ist Microsoft 365 weder im Enterprise Agreement der Stadt Frankfurt am Main enthalten, noch für eine Nutzung freigegeben. Aus diesem Grund können die Ämter und Eigenbetriebe über die vorgeschriebenen Beschaffungswege kein Microsoft Office 365 beziehen. Der Hessische Beauftragte für Datenschutz und Informationssicherheit hat das in seiner Stellungnahme vom 09.07.2019 ausgesprochene Verbot für Office 365 an Schulen mit seiner Stellungnahme vom 02.08.2019 relativiert und duldet den Einsatz unter bestimmten Voraussetzungen. Derzeit ist Microsoft Office Professional in der Version 2016 als lokale Installation stadtweiter Standard. Die Version 2019 befindet sich noch in der Evaluierung. Die hierfür erforderlichen Lizenzen sind schon seit mehreren Jahren im Einsatz und aufgrund der mit dem Enterprise Agreement verbundenen Softwarewartung (Software Assurance) ohne zusätzliche Kosten auf jede Version up- oder downgradefähig. Die Möglichkeit der Nutzung von OpenSource-Produkten wird seit vielen Jahren vom Amt für Informations- und Kommunikationstechnik bei der Beschaffung von Software eingehend geprüft. Bei einem Einsatz von OpenSource-Software in einer Stadtverwaltung entstehen zwar in der Regel keine Lizenzkosten, jedoch ist für eine kommerzielle Verwendung in der Regel der Abschluss eines Wartungsvertrages erforderlich. Dies ist bei OpenSource-Produkten nicht in jedem Fall gegeben oder ebenfalls mit vergleichbaren Kosten wie bei proprietärer Software verbunden. Die Prüfung erfolgt einzelfallbezogen.