3. Office 365

Office 365 ist mit Serverstandorten in der EU datenschutzrechtlich eine sichere Plattform.

Dennoch hat das Ministerium für Schule und Bildung NRW die Nutzung von Clouddiensten im Zusammenhang mit der Speicherung personenbezogener Daten untersagt. Grund dafür ist eine fehlende Möglichkeit die "Datenverarbeitung im Auftrag" zwischen Schule als Auftraggeber und Cloud-Anbieter als Auftragnehmer vertraglich zu vereinbaren.
Für alle anderen Daten besteht diese Beschränkung nicht.

Nunmehr hat die LDI NRW am 01. August 2019 mitgeteilt:

Wie Sie der unter dem folgenden Link zu findenden aktuellen Stellungnahme des hessischen Landesdatenschutzbeauftragten vom 09.07.2019 entnehmen können, hält dieser den Einsatz von Microsoft Office 365 an Schulen nunmehr für datenschutzrechtlich unzulässig, soweit Schulen personenbezogene Daten in der europäischen Cloud speicherten. https://datenschutz.hessen.de/pressemitteilungen/stellungnahme-des-hessischen-beauftragten-f%C3%BCr-datenschutz-und

Seit die Fa. Microsoft den Vertrieb der Deutschland-Cloud eingestellt habe, finde die Speicherung personenbezogener Daten insbesondere von Schülerinnen und Schülern in einer europäischen Cloud statt, die z.B. einem möglichen Zugriff US-amerikanischer Behörden ausgesetzt sei. Dies sei insbesondere deshalb problematisch, weil öffentliche Einrichtungen in Deutschland eine besondere Verantwortung hinsichtlich der Zulässigkeit und Nachvollziehbarkeit der Verarbeitung personenbezogener Daten hätten und die digitale Souveränität staatlicher Datenverarbeitung gewährleistet sein müsse. Hinzu komme, dass bei der Nutzung von Office 365 eine Fülle von Telemetrie-Daten an Microsoft übermittelt würden, deren Inhalte nicht abschließend geklärt seien.

Eine Einwilligungserklärung biete im Zusammenhang mit der Nutzung von Office 365 in der Cloud keine Lösung, weil die Sicherheit und Nachvollziehbarkeit der Datenverarbeitungsprozesse nicht gewährleistet sei. Office 365 könne deshalb erst als Cloud-Lösung von Schulen genutzt werden, sobald insbesondere die möglichen Zugriffe Dritter auf die in der Cloud liegenden Daten sowie das Thema der Telemetrie-Daten nachvollziehbar und datenschutzkonform gelöst seien.

Dies entspricht der von der LDI NRW vertretenen Auffassung, nach der eine Anwendung grundsätzlich erst dann Verwendung finden soll, wenn auch die datenschutzrechtlichen Vorschriften eingehalten sind. Die grundsätzliche Zulässigkeit von Microsoft Office 365 wird nach wie vor datenschutzrechtlich bundesländerübergreifend behandelt. Ein Ende ist noch immer nicht absehbar, da Microsoft bis heute nicht den Fragenkatalog der Datenschutzbeauftragten beantwortet hat.

Die Bezirksregierung Düsseldorf schlussfolgert:
"Vor diesem Hintergrund bestehen datenschutzrechtliche Bedenken, eine Verwendung von Microsoft Office 365 kann daher hinsichtlich der Verarbeitung personenbezogener Daten nicht empfohlen werden."

Als Alternativen bieten sich an:
Logineo, Logineo NRW, Moodle
Alle 3 Produkte werdem vom Kommunalen Rechenzentrum (KRZN) in Kamp Lintfort gehostet, mit dem auch die entsprechenden Verträge geschlossen werden können.

Nachtrag:
Sinngemäß gelten die Aussagen zu Office 365 auch für vergleichbare Austauschplattformen z.B. von Apple.