In Baden-Württemberg sind die Bedenken von Stefan Brink, dem Landesbeauftragten für Datenschutz, gegen die vom Kultusministerium geplante Nutzung von Microsoft Office 365 gravierender, als bisher bekannt. Das berichtet die Badische Zeitung unter Berufung auf schriftliche "Bewertungen und Empfehlungen" zu einem Ende November 2020 gestarteten Pilotversuch des Ministeriums mit dem Microsoft-Angebot-25 Schulen. Brink rate in dem Papier ausdrücklich von der Nutzung ab.

Die Behörde begründe ihre Empfehlung damit, dass Datentransfers in die USA nicht unterbunden werden können. Das sei dem Europäischen Gerichtshof zufolge problematisch. Brink bemängele etwa, dass Telemetrie- und Diagnosedaten nicht vollständig deaktiviert oder zumindest reduziert werden könnten. Der Auffassung des Juristen Brink zufolge verarbeitet Microsoft die Daten "ohne erkennbare Rechtsgrundlage".

Susanne Eisenmann, Ministerin für Kultus, Jugend und Sport des Landes Baden-Württemberg, hat sich als vehemente Verfechterin von Microsoft 365 an Schulen hervorgetan. Sie bekam dafür bereits 2020 den Big Brother-Award in der Kategorie "Digitalisierung". Kritiker von Eisenmann warfen ihr wiederholt vor, dass sie bei der Auswahl geeigneter Lösungen für den Betrieb an Schulen Microsoft 365 präferiert habe.

Bedenken gegen Microsoft 365 / Office 365 sind nicht neu

Landesdatenschutzbeauftragter Brink hatte schon früher aufgrund struktureller Mängel von Microsoft Office 365 Bedenken angemeldet. Der Bundesverband der deutschen Datenschutzbeauftragten (BvD) beschäftigt sich ebenfalls schon länger mit der Thematik. Einige Datenschutzbeauftragte vertreten dabei die Meinung, dass es durchaus möglich ist, Microsoft 365 DSGVO-konform zu betreiben. Allerdings erfordere das eine aufwändige und komplexe Konfiguration und vor allem fortlaufende Betreuung. An Schulen ist dies aufgrund der sehr begrenzten personellen Ressourcen mit IT-Know-how in der Praxis kaum leistbar.

2019 hielt der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) Office 365 in der Deutschland-Cloud zunächst für datenschutzkonform einsetzbar. Dann änderte er diese Auffassung jedoch und begründete dies wie jetzt in Baden-Württemberg damit, dass die übertragenen Telemetrie-Daten von Windows 10 und Mängel bei der Nachvollziehbarkeit der Speicherung personenbezogener Daten dem Einsatz entgegenstünden. Auch der Europäische Datenschutzbeauftragte hatte im April 2019 bezweifelt, dass Microsoft-Angebote zur EU-Richtlinie 2018/1725 konform sind. Zumindest für gewerbliche Cloud-Kunden hatte Microsoft daraufhin sein Angebot angepasst.

Als Alternative empfehlen sich unter anderem Open-Source-Produkte. Erfahrungsberichte mit dem Fernunterricht an Schulen zeigen, dass die durchaus gleichwertige und vor allem für die Unterrichtszwecke ausreichende Funktionen bieten. Auch in Baden-Württemberg spricht sich ein breites Bündnis für die Nutzung von Open Source an Schulen aus. Für Unternehmen sind ungeachtet der noch offenen Fragen beim Datenschutz zusätzliche Lösungen für Sicherheit, Archivierung, Backup und Governance unverzichtbar. Darauf weist Microsoft in seinem Modell der Shared Responsability selbst hin.

