Der Hessische Beauftragte für Datenschutz und Informationssicherheit (HBDI) bezeichnet in einer Stellungnahme den Einsatz von Microsoft Office 365 Cloud (an Schulen) als unzulässig.
Diese Meldung ist in fünffacher Hinsicht spannend:
- Der HBDI veröffentlicht diese Stellungnahme nur, weil er in einer früheren Stellungnahme den Betrieb von Microsoft Office 365 in der mittlerweile abgeschalteten Deutschland-Cloud der Telekom als zulässig erachtet hat. Ich denke, die Betreiber von (Schul-)IT haben da wohl nicht ausreichend differenziert und seine alte Stellungnahme pauschal übernommen.
- Der HBDI pauschalisiert und „verteufelt“ alle Cloud-Dienste und nennt Apple und Google in einem Zug. Wieso er Amazon dabei ausklammert zeigt nur, dass seine Argumente an Pauschalität nicht zu überbieten sind.
- Der HBDI nennt nur die Nutzung an Schulen unzulässig. Wieso gilt seine Aussage nicht auch für Unternehmen oder Behörden? Will er den Shitstorm eindämmen oder will er sich nicht mit den Banken und der Industrie an Rhein und Main anlegen?
- Der HBDI sieht die Nutzung von on Premise-Lösungen unkritisch. Und das obwohl auch hier Microsoft Telemetriedaten in die USA funkt… Ein Widerspruch in sich!
- Die von der Stellungnahme abgeleiteten Pressartikel pauschalisieren die pauschale Aussage nochmal und tragen eher zur Verwirrung als zur Klärung bei https://news.google.com/search?q=ronellenfitsch%20microsoft&hl=de&gl=DE&ceid=DE%3Ade
Aus diesen Gründen schlage ich folgende Reaktion Ihrerseits vor:
Ihre Schule liegt in Hessen und Sie nutzen Office 365:
Die Nutzung von Office 365 Cloud (an ihrer Schule) wird durch die Stellungnahme des Hessischen Beauftragte für Datenschutz und Informationssicherheit (HBDI) in Frage gestellt. Beachten Sie bitte dass das Datenschutzrecht eine Vielzahl von Methoden bietet, mit denen rechtliche Risiken des Betriebs von Microsoft Office 365 Cloud (an Schulen) reduziert werden. Dazu gehören die bekannten Aspekte des „Datenschutz durch Technikgestaltung“ und der datenschutzfreundlichen Voreinstellungen. Gehen Sie auf Ihren Anbieter zu und sprechen Sie Ihn dazu an.
Ihre Schule liegt außerhalb von Hessen und Sie nutzen Office 365:
Der Hessische Beauftragte für Datenschutz und Informationssicherheit (HBDI) ist nicht für Sie zuständig. Aussagen zur Nutzung von Microsoft Office 365 allgemein oder an Schulen von der für Sie zuständigen (anderen) Aufsichtsbehörde sind mir derzeit nicht bekannt. Auch die Datenschutzkonferenz der Beauftragten aller Bundesländer hat zum jetzigen Zeitpunkt dazu keine Aussagen getroffen. Lassen Sie sich nicht verrückt machen!
Sie haben Fragen? Wenden Sie sich gerne an mich.
Viele Grüße aus Bad Aachen.
Ingo Goblirsch LL.M.
Externer Datenschutzbeauftragter
Datenschutz und Informationssicherheit