Office 365 EDU aus europäischen Rechenzentren ist eine für Schulen und Bildungseinrichtungen wie auch Universitäten über eine kostenlose Office 365 Lizenz aus dem Hause Microsoft schon länger verfügbar. Mittlerweile können Bildungseinrichtungen Office 365 EDU auch aus der Microsoft Cloud Deutschland (MCD) beziehen, hierbei fallen jedoch nicht nur für Office 365 Pro Plus (Desktopsoftware) Kosten an, sondern auch eine kleine Pauschale für jeden Account.
Im Rahmen der Einführung wird auch diesbezüglich immer über den Datenschutz gesprochen, nun hat sich der hessische Datenschutzbeauftrage zu dem Thema geäußert.
Zunächst wurde die Verteilung von Office 365 Pro Plus für Studierende und Lehrende über ein zentrales Portal mit einer Office 365 Lizenz im Hintergrund durch einen Datenschützer genehmigt. (2015)
Bei diesem Angebot handelt es sich lediglich, um die Möglichkeit Office 365 Pro Plus für Windows oder Mac auf seinem Rechner runterzuladen und zu nutzen. Der Abgleich findet ausschließlich über die Emailadresse der zukünftigen Nutzers statt, bzw. über die vorher von der z.B. der Hochschule registrierten Domain. Ein richtiger Abgleich mit der Datenbank der Hochschule findet nicht statt, muss es auch nicht, denn jeder Nutzer muss seinen Zugang über seine Hochschuladresse bestätigen. Dieser Dienst war auch aus lizenztechnischen Gründen nicht für Schulen zugänglich. Vorreiter waren hier z.B. die Hochschulen Sachsens, die ein gemeinsames Portal aller Hochschulen unter Leitung der TU Dresden zur Verfügung stellten. (https://campussachsen.tu-dresden.de/)
Bei diesem Angebot handelt es sich um den Bezug von Office365 Pro Plus aus einem europäischem Tenant.
Office 365 in voller Nutzung mit fast allen Diensten (aktueller Stand)
Nun haben sich jedoch auch viele Schulen dazu entschieden, den kostenlosen Dienst von Microsoft zu nutzen. Eine generelle Freigabe zur Nutzung aller Dienst einschließlich Yammer gab es von Seiten der Behörden bisher nicht. Sollte jemand diesen Beschluss z.B. der zuständigen Behörde der Länder kennen, bitte schicken Sie ihn mir doch einmal zu: raphael.koellner@rakoellner.com
Eine Nutzung war dennoch möglich und wurde im Rahmen des Unterrichtes im Schulnetz von Schülern und Lehrern eingesetzt, jedoch in der Mehrzahl nicht im Verwaltungsnetz, welches in der Regel über spezielle schulische Specialsoftware kleinerer Anbieter betrieben wurde und wird. Jede Stadt, teilweise jede Schule setzt hier unterschiedliche Software ein. Der Kontakt mit dem O365 Zugang bestand oft lediglich mit der Emailadresse oder hauptsächlich im Download von Office 365 Pro Plus, welches auch die Lehrer einsetzten.
Eine Art der Nutzung war eine dem Bedarf geschuldete streng eingerichtete Office 365 Umgebung für Schüler und Lehrer, die z.B. eine Emailkommunikation für Schüler nur innerhalb des Tenants ermöglichte und oftmals ein Abstimmungsverfahren halbjährlich vor jedem Schulhalbjahr mit Lehrern, Direktor/in und Elternvertretern. Teilweise wurden auch alle Eltern schriftlich informiert und mussten schriftlich per Einwilligung den Zugang ihres Kindes erlauben. Teilweise wurde die Umgebung jedoch auch von dem Förderverein der Schule für die Schule und die SchülerInnen/LehrerInnen betrieben und sie nahmen als Mitglied des Vereines teil und nicht in ihrer Eigenschaft als SchülerInnen/LehrerInnen.
Andererseits gab und gibt es auch Schulen, aber wesentlich mehr Universitäten, die die Nutzung offiziell ermöglichten und fast alle Dienste ihren SchülerInnen/StudentInnen und Lehrkräften zur Verfügung stellten. Dies schaffte eine sehr gute Lernumgebung zu extrem günstigen Kosten und diese Einrichtungen hatten und haben einen wesentlichen Vorteil zu den Einrichtungen, die über 3rd Party Software, welche oft weniger sicher und auch weniger datenschutzrechtlich geeignet war, etwas ähnliches zusammen zu bauen.
Eigentlich sollte das Ziel lauten:
Ziel: “Empowering every student”
Dieses Ziel ist auch zu erreichen, wie ich in meinem Vortrag auf der Ignite deutlich an mehreren Schülern aufzeigte. Diese erhielten mit dieser Lernumgebung, Schulungen und Workshops eine nahezu optimale Lernumgebung und studieren heute Informatik oder Materialwissenschaften und geben selber Workshops für die nachfolgenden SchülerInnen.
Nutzung von Office 365 für hessische Schulen aus der Microsoft Cloud Deutschland
Nun hat sich der hessische Datenschutzbeauftragte mit Office 365 EDU aus der Microsoft Cloud Deutschland beschäftigt und urteilte:
“Kaum hat die Schule wieder angefangen, wird Microsoft auch schon das erste Zeugnis ausgestellt. Es hat das Zeug, den Unterricht dramatisch zu verändern: „Office 365 Deutschland [ist] an hessischen Schulen datenschutzkonform einsetzbar“, urteilte der hessische Datenschutzbeauftragte Prof. Dr. Michael Ronellenfitsch”
Pressemitteilung der hessischen Datenschutzbeauftragte vom 22.08.2017
https://www.datenschutz.hessen.de/presse_2017.htm#entry4980
Nach Ansicht des hessischen Datenschutzbeauftragten hat die Microsoft Cloud Deutschland mit dem Datentreuhänder “T-System International GmbH” nun auf die zuvor geäußerte Kritik reagiert und für alle wichtig:
a) “Hierfür wurden sogenannte Cloud-Control-Center eingerichtet. Damit hat das Unternehmen nach Ansicht des Hessischen Datenschutzbeauftragten eine Struktur geschaffen, welche es den Schulen als öffentlich-rechtliche Einrichtungen erlaubt, jedoch auf den schulischen Betrieb beschränkt, personenbezogene Daten der Schüler, Eltern und Lehrer in der Cloud zu speichern und zu verarbeiten.“
-> Dies bedeutet, dass die Maßnahmen erfolgreich waren und Office 365 für den schulischen Betrieb nutzbar sind.
b) “Die Datenverarbeitung muss sich zunächst auf den pädagogischen Arbeitsbereich der Schulen beschränken. Das heißt, dass zum Beispiel Unterrichtsmaterial eingestellt werden kann, Aufgaben gestellt und die Lösungen durch die Schüler in die Cloud eingestellt werden können. Ebenso kann eine Kommunikation zwischen den Beteiligten über die Cloud erfolgen.“
-> Die Datenverarbeitung von personenbezogenen Daten der Schüler, Eltern und Lehrer muss sich jedoch auf den pädagogischen Arbeitsbereich der Schule beschränken.
c) “Der Hessische Datenschutzbeauftragte führt dazu aus: “Die Anwendung von Office 365 in der von Microsoft entwickelten Deutschland-Cloud lässt sich datenschutzkonform durch hessische Schulen nutzen.”
-> Damit ist Office 365 datenschutzkonfrom in hessischen Schulen nutzbar. Nun bleibt spannend wie sich die anderen Datenschutzbeauftragten sich äußern. Ich habe alle angeschrieben und um eine Stellungnahme gebeten.
ausführliche Informationen finden sich in der mehrseitigen Stellungnahme:’
https://www.datenschutz.hessen.de/ds12.htm
Zusammenfassend ist eine Nutzung von Office 365 aus der Microsoft Cloud Deutschland nutzbar, wenn:
- pädagogischen Bereich beschränkt (kein Verwaltung/ keine Verwaltungsdaten)
- Datenschutzkonformität der Konfiguration von Office 365, dazu gehören technisch-organisatorische Maßnahmen
- die Verantwortung für die Nutzung liegt bei der Schule und dem Schulträger
- der technische Support der einzelnen Schule kann über den Microsoft Support angewickelt werden (mit Customer Lockbox)
- Der schulische Datenschutzbeauftragte ist einzuschalten und das Verfahren zu dokumentieren
- die DSGVO muss eingehalten werden und eine Datenschutz-Folgenabschätzung muss durchgeführt werden (Art. 35 DSGVO)
- Eine regelmäßige Kontrolle nach jedem Schuljahr ist erforderlich und Korrekturen ggf. vorzunehmen.
Pädagogisches Netz vs. Verwaltungsnetz
Zunächst einmal gibt es in Schulen zwei getrennte Netze und oftmals auch ein Wifi-Netz für Schüler (dank der neuen Gesetzgebung). Diese Einteilung lässt sich in vielen Bundesländern z.B. auf deren Verwaltungsanweisungen zurück führen.
Einmal ist das pädagogische Netz zu definieren als das Netz, welches für die PC-Pools und den von Außen sichtbaren Schulbetrieb mit Kontakt zu den SchülerInnen betrieben wird. In diesem finden sich auch virtuelle Klassenräume oder OnPremise Emailserver der Schule.
Auf der anderen Seite gibt es das Verwaltungsnetz, in welchem die Verwaltungsdaten der Schule samt Noten gespeichert und verarbeitet werden.
-> Hier erwähnt und zugelassen: pädagogisches Netz & pädagogische Bereiche
Auswirkungen dieser Stellungnahme für die anderen 15 Bundesländer
Zunächst ist diese Stellungnahme auf Hessen und die hessischen Schulen begrenzt. Es kann lediglich als Indizwirkung für andere Bundesländer gesehen werden, da es eigentlich nur die Inhalte wiederspiegelt und zusammenfasst, welche heute in Schulen schon durchgeführt wird. Dies natürlich auch im Hinblick auf die Nutzung von Office 365 aus Europa zu sehen. Der sicherheits-technische Unterschied zur MCD ist gleich Null. Der datenschutztechnische Unterschied mag vorhanden sein, aber ab Gültigkeit der DSGVO auch nur maginal, bzw. nicht erwähnenswert.
Wie schon geschrieben, habe ich alle Datenschützer angeschrieben und warte auf eine Rückmeldung.
Umsetzung
Schaut mal sich die Stellungnahme genauer an, sind es genau diese Maßnahmen, die die Schulen und Bildungseinrichtungen auch in anderen Bundesländern bereits z.B. durch meine Beratung durchführen. Es bestehen bereits Checklisten und Konfigurations-Hinweise, sowie Datenschutz-Folgenabschätzungen für Bereiche, die ein besonderes Risiko für personenbezogene Daten hervorrufen.
Damit können konkret Schulen (Hessen) SharePoint Teamsites für jede Klasse oder auch als Intranet einsetzen. Der Austausch und das gemeinsame Arbeiten zwischen SchülerInnen und Lehrkräften ist ebenso möglich. Es ist jedoch auch eine
Bei Fragen oder der konkreten Frage nach Unterstützung wenden Sie sich bitte an:
raphael.koellner@rakoellner.com
Aktuell passieren die Maßnahmen gemeinsam mit meinem aktuellen Arbeitgeber der Bechtle AG.
Office 365 EDU aus der Microsoft Cloud Deutschland finden Sie hier: https://products.office.com/de-de/office-365-deutschland/compare-education-plans-pricing
Quelle: Microsoft
Die hellgrauen Preise sind die Preise aus der europäischen Cloud.
weitere Links:
https://www.microsoft.com/de-de/education/products/office/default.aspx
https://products.office.com/de-de/academic/compare-office-365-education-plans