Berufsschullehrerverband: Microsoft 365 ist datenschutzkonform

Im Streit über den Einsatz von Microsoft 365 an Schulen in Baden-Württemberg hat sich nun der Berufsschullehrerverband (BLV) des Landes eingeschaltet. Moderne Cloud-Produkte könnten an beruflichen Schulen datenschutzkonform eingesetzt werden, sagte BLV-Vorsitzender Thomas Speck. Das zeige ein Compliance-Check, den sein Verband beim Beratungshaus Althammer & Kill bestellt habe. "Das Kultusministerium sollte die Ergebnisse dringend ernst nehmen und den beruflichen Schulen endlich die Nutzung ermöglichen."

Handels- und Handwerkskammern würden für ihre Prüfungen teilweise vorschreiben, die Microsoft-Software Word und Excel zu nutzen. Daher müssten Berufsschulen von allgemeinbildenden Schulen unterschieden werden, meint der BLV. Zudem deckten die bisherigen Entwicklungen und Angebote der Schul-IT die Bedarfe der beruflichen Schulen bei Unterricht, Ausbildung und Prüfung nicht ab, meint der BLV. Es gebe zwar Fortschritte, etwa beim digitalen Arbeitsplatz mit Office-Programmen der dPhoenixSuite. Die Microsoft-Alternativen seien aber nur eingeschränkt kompatibel mit dem unter Ausbildungsbetrieben sowie Schülerinnen und Schülern verbreiteten Microsoft 365.

Analyse an drei beruflichen Schulen

Das Kultusministerium habe es verpasst, Konzepte von Musterschulen für den Einsatz der Cloud-Produkte prüfen zu lassen. Daher habe der BLV auf eigene Faust eine Analyse an drei beruflichen Schulen bei Althammer & Kill bestellt, die auf Datenschutz, Informationssicherheit und Compliance spezialisiert seien und deren Experten sowohl Erfahrung mit Open-Source-Produkten als auch mit Lizenzsoftware hätten.

Sein Beratungshaus werde zwar von Microsoft als "Partner" ausgewiesen, es verdiene aber kein Geld damit, Microsoft-Produkte zu verkaufen, es sei kein Systemhaus und kein Reseller, sagte Thomas Althammer gegenüber heise online. Sein Unternehmen berate Unternehmen in Sachen Datenschutz. Speck betonte gegenüber heise online, bei den Beratern auch keine Voreingenommenheit festgestellt zu haben. Dem BLV gehe es laut Speck auch nicht darum, vordringlich Microsoft-Produkte zu verwenden, er setze auch auf Cloud-Software anderer Herkunft.

Althammer & Kill hat laut BLV in seinem Compliance-Check zu Microsoft 365 festgestellt, dass die Anforderungen zur Durchführung einer Datenschutz-Folgenabschätzung in vielen Bereichen erfüllt seien. Nachgebessert werden sollte beispielsweise bei der Etablierung einer Passwort-Richtlinie für Microsoft 365 oder bei einem Konzept zur Wahrung der Betroffenenrechte. "Mit fachmännischer Unterstützung und entsprechenden Ressourcen wäre dies für Schulen lösbar", wird Althammer zitiert.

Politische Entwicklungen

Berücksichtigt werden müssten zudem aktuelle politische Entwicklungen. Die EU-Kommission sei dabei, mit dem Data Privacy Framework (DPF) ein Nachfolgeabkommen zu Privacy Shield auf den Weg zu bringen, wäre legitimiert, Daten in den USA zu verarbeiten. Microsoft setze das "EU Data Boundary" um, mit dem auch die meisten verbleibenden Verarbeitungen von US-Servern nach Europa geholt würden, schreibt der BLV. "Es werden noch Datentransfers außerhalb Europas bleiben, aber dann ausschließlich zur Wahrung der IT-Sicherheit."

Wegen massiv gestiegener Cyber-Bedrohungen setzten Unternehmen in den jüngsten Jahren verstärkt auf Cloud-Produkte wie Microsoft 365, teilte der BLV weiter mit. "Im Lichte der Bedrohungslage und aufgrund der geringen IT-Ressourcen an Schulen bieten moderne Cloud-Lösungen Vorteile bei der IT-Sicherheit gegenüber selbst betriebener IT-Infrastruktur." Ebenso beschäftige sich die öffentliche Hand mit diesen Optionen. In Niedersachsen beispielsweise gebe es Projekte zur Einführung von Microsoft 365.

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) betonte im November 2022, dass Microsoft 365 momentan nur mit zusätzlichen Schutzvorkehrungen rechtskonform betrieben werden könne. Im Februar dieses Jahres empfahl der Datenschutzbeauftragte des Landes Baden-Württemberg Stefan Brink allen Schulen, die noch Microsofts Cloud-Produkte einsetzen, davon abzurücken. Dies hatte Brink im April 2022 erstmals gefordert.

(anw)