Die Frage ist, ob der Einsatz von Microsoft Office 365 an Schulen datenschutzrechtlich zulässig ist, wenn die Schulen dabei personenbezogene Daten in der Cloud speichern. Der Hessische Beauftragte äußert sich dahingehend, dass der Einsatz von Microsoft Office 365 an deutschen Schulen datenschutzrechtlich zulässig ist, wenn die Daten in der Deutschland Cloud gespeichert werden, aber nicht wenn die Daten in der europäischen Cloud gespeichert sind. Es ist nämlich unklar, ob so vertrauliche Daten von deutschen Schulen in die USA versendet worden sind. An sich stellen Cloud–Lösungen kein Problem dar, denn viele Schulen nutzen diese z.B. in Form von Lernplattformen oder elektronischen Klassenbüchern. Solange dabei die Sicherheit der Datenverarbeitung und die Teilhabe der Schüler/innen gewährleistet ist, können sich die Schulen diesen digitalen Mitteln auch datenschutzkonform bedienen. Die Rechtslage bei der Nutzung von Microsoft Office 365 sieht aber schon wieder anders aus, denn bereits seit Jahren befinden sich die Aufsichtsbehörden mit Microsoft in der Diskussion. Denn die digitale Souveränität staatlicher Datenverarbeitung muss gewährleistet sein, weshalb ersichtlich sein muss, ob die in einer europäischen Cloud abgespeicherten personenbezogenen Daten einem möglichen Zugriff US–amerikanischer Behörden ausgesetzt sind. Dasselbe Problem haben übrigens auch Google–und Apple–Clouds, da auch die Lösungen diese Anbieter nicht transparent und nachvollziehbar gestaltet sind. Eine Einwilligung der Eltern reicht hier nicht aus, denn eine Einverständniserklärung der Eltern würde die besonderen Schutzrechte von Kindern (z.B. nach Art. 8 Datenschutz–Grundverordnung in Deutschland) nicht hinreichend berücksichtigen.
Die Cloud–Lösungen müssen zukünftig transparent und nachvollziehbar dargelegt sein, damit für Schulen die datenschutzkonforme Nutzung keinerlei Problem darstellt. Da es Microsoft offenbar wiederholt versäumt hatte, die mehrmaligen Anfragen der Auftraggeber zur Klärung der Datenverarbeitungspraktiken zu beantworten, hat nun der Datenschutzbeauftragte des Landes Hessen die Schulen angewiesen, die Anwendungen Microsoft Office 365, iWork, Windows 10 und Google Docs nicht mehr zu benutzen. Wie der Hessische Beauftragte offenlegte, war die Sicherheit und Rückverfolgbarkeit der Datenverarbeitungsprozesse nicht mehr gewährleistet und damit die Datenverarbeitung unzulässig.
Dies vorweg, richten wir folgende Fragen an die Südtiroler Landesregierung
1) Auf welchen Servern werden die Microsoft Office 365 Daten der Schulen gespeichert?
2) Bezugnehmend auf Punkt 1, wo sind diese Cloud–Server lokalisiert?
3) Welcher Gerichtsbarkeit unterstehen diese Cloud–Server?
4) Kann das Land garantieren, dass externe, wie z.B. US–Behörden im Fall von Hessen, keinen Zugriff auf vertrauliche Daten haben?
5) Wer haftet im Falle einer nicht–datenschutzkonformen Verwendung besagter Daten?
