Große Anfrage bezüglich Microsoft Office 365 an Schulen (zurückgezogen)

Der Kreisausschuss wird gebeten, zu prüfen und zu berichten:

Sind Schulen im Landkreis Marburg-Biedenkopf von

1. der neuen Stellungnahme des hessischen Beauftragten für Datenschutz und Informationsfreiheit bezüglich Nutzung von Microsoft Office 365 an Schulen betroffen? Wenn ja: Wie viele Rechner sind schätzungsweise betroffen und kann abgeschätzt werden, wie viele Schülerinnen und Schüler betroffen sind?
   
2. Welche Alternativen werden den Schulen nahegelegt, werden dadurch Kosten entstehen, und wenn ja, in welcher ungefähren Höhe? Wird die Nutzung der kostenlos nutzbaren Software LibreOffice oder OpenOffice als mögliche Alternative in Erwägung gezogen?
   
   
3. Wie wird sichergestellt, dass Lehrerinnen und Lehrer nicht auf privaten Rechnern mittels Microsoft Office 356 personenbeziehbare Daten von Schülerinnen und Schülern in einer Cloud speichern? Wird es hier Beratungen geben?
   
   
4. Wie wird sichergestellt, dass personenbeziehbare Daten, die bereits in die Microsoft Cloud übertragen wurden, rechtssicher gelöscht werden? Wird es hier Beratungen für die Lehrerinnen und Lehrer geben?
   
   
5. Sieht der Magistrat die erwähnte Aussage des hessischen Beauftragten für Datenschutz und Informationsfreiheit auch relevant und anwendbar auf Rechner der Kreisverwaltung an? Wenn ja: Wie viele Rechner sind hier schätzungsweise betroffen?
   
   
6. Welche Alternativen sind für die Rechner der Kreisverwaltung vorhanden, werden dadurch Kosten entstehen, und wenn ja, in welcher ungefähren Höhe? Wird die Nutzung der kostenlos nutzbaren Software LibreOffice oder OpenOffice in Erwägung gezogen?
   
   

Begründung:

Der hessische Beauftragte für Datenschutz und Informationsfreiheit hat am 09.07.2019 eine Stellungnahme veröffentlicht, nach der die Nutzung von Microsoft Office 365 an Schulen unzulässig ist, sofern personenbezogene bzw. -beziehbare Daten in der Cloud gespeichert werden [1]. Er hat damit eine frühere Stellungnahme [2] revidiert, da sich die Voraussetzungen durch Abschaltung der sogenannten “Microsoft Cloud Deutschland” durch Microsoft geändert haben.

Hierdurch entsteht Prüfungs- und ggf. Handlungsbedarf, um zu vermeiden, dass personenbezogene bzw. -beziehbare Daten rechtswidrig verarbeitet werden. Insbesondere, da unter den vormals gegebenen Voraussetzungen die Nutzung von Office 365 als möglich bewertet wurde, und das Produkt über den Rahmenvertrag zwischen Microsoft und dem FWU [3] verstärkt für Schulen beworben wird, ist davon auszugehen, dass dies auch genutzt wurde bzw. sofern keine Schritte unternommen werden, auch weiter genutzt wird.

Wenn bereits personenbeziehbare Daten in der Microsoft Cloud gespeichert wurden, ist ein besonderes Augenmerk auf die sichere Löschung zu legen. Gerade im Bereich des Cloud-Computing ist nicht immer direkt ersichtlich, wo Daten tatsächlich abgelegt werden und welche Kopien existieren. Hier ist zu befürchten, dass viele Lehrkräfte überfordert sind.

Da auch die Kreisverwaltung mit Office-Produkten personenbeziehbare Daten erfasst bzw. verarbeitet, ist zu prüfen, inwieweit auch hier Handlungsbedarf besteht.

Da die aktuelle Bewertung durch den hessischen Beauftragten für Datenschutz und Informationsfreiheit zeigt, dass die Bindung an einen Hersteller properitärer Software außerhalb des Geltungsbereiches der EU-DSGVO ein Risiko darstellt, sollten auch Produkte ohne Lizenzkosten, die ohne Übertragung von Daten an den Hersteller betrieben werden können, auf mögliche Eignung geprüft werden.

[1] http://ppffm.de/dsbhe01

[2] http://ppffm.de/dsbhe02

[3] http://ppffm.de/fwu01

Hinweis:

Aufgrund einer erneuten Stellungnahme des hessischen Datenschutzbeauftragten haben wir diese Anfrage zurückgezogen, um sie angepasst an die neue Sachlage erneut stellen zu können.