Office 365 an Schulen

Hallo,

folgenden Antrag habe ich bei uns im Ortsbeirat 2 in Frankfurt gerade eingereicht. Ggf ist das ja auch für andere Orte interessant, auch ausserhalb Hessens, Copy&Paste ist einfach :wink:

Von Kassel weiss ich, dass da auch etwas in die Richtung unternommen wird.

Viele Grüße
Lothar

Der Ortsbeirat möge beschließen

Der Magistrat wird gebeten, zu prüfen und zu berichten

  1. Sind Frankfurter Schulen von der neuen Stellungnahme des hessischen Beauftragten für Datenschutz und Informationsfreiheit bezüglich Nutzung von Microsoft Office 365 an Schulen betroffen? Wenn ja: Wie viele Rechner sind schätzungsweise betroffen und kann abgeschätzt werden, wie viele Schülerinnen und Schüler betroffen sind?

  2. Welche Alternativen werden den Schulen nahegelegt, werden dadurch Kosten entstehen, und wenn ja, in welcher ungefähren Höhe? Wird die Nutzung der kostenlos nutzbaren Software LibreOffice oder OpenOffice als mögliche Alternative in Erwägung gezogen?

  3. Wie wird sichergestellt, dass Lehrerinnen und Lehrer nicht auf privaten Rechnern mittels Microsoft Office 356 personenbeziehbare Daten von Schülerinnen und Schülern in einer Cloud speichern? Wird es hier Beratungen geben?

  4. Wie wird sichergestellt, dass personenbeziehbare Daten, die bereits in die Microsoft Cloud übertragen wurden, rechtssicher gelöscht werden? Wird es hier Beratungen für die Lehrerinnen und Lehrer geben?

  5. Sieht der Magistrat die erwähnte Aussage des hessischen Beauftragten für Datenschutz und Informationsfreiheit auch relevant und anwendbar auf Rechner der Stadtverwaltung an? Wenn ja: Wie viele Rechner sind hier schätzungsweise betroffen?

  6. Welche Alternativen sind für die Rechner der Stadtverwaltung vorhanden, werden dadurch Kosten entstehen, und wenn ja, in welcher ungefähren Höhe? Wird die Nutzung der kostenlos nutzbaren Software LibreOffice oder OpenOffice in Erwägung gezogen?

Begründung:

Der hessische Beauftragte für Datenschutz und Informationsfreiheit hat am 09.07.2019 eine Stellungnahme veröffentlicht, nach der die Nutzung von Microsoft Office 365 an Schulen unzulässig ist, sofern personenbezogene bzw. -beziehbare Daten in der Cloud gespeichert werden [1]. Er hat damit eine frühere Stellungnahme [2] revidiert, da sich die Voraussetzungen durch Abschaltung der sogenannten “Microsoft Cloud Deutschland” durch Microsoft geändert haben.

Hierdurch entsteht Prüfungs- und ggf. Handlungsbedarf, um zu vermeiden, dass personenbezogene bzw. -beziehbare Daten rechtswidrig verarbeitet werden. Insbesondere, da unter den vormals gegebenen Voraussetzungen die Nutzung von Office 365 als möglich bewertet wurde, und das Produkt über den Rahmenvertrag zwischen Microsoft und dem FWU [3] verstärkt für Schulen beworben wird, ist davon auszugehen, dass dies auch genutzt wurde bzw. sofern keine Schritte unternommen werden, auch weiter genutzt wird.

Wenn bereits personenbeziehbare Daten in der Microsoft Cloud gespeichert wurden, ist ein besonderes Augenmerk auf die sichere Löschung zu legen. Gerade im Bereich des Cloud-Computing ist nicht immer direkt ersichtlich, wo Daten tatsächlich abgelegt werden und welche Kopien existieren. Hier ist zu befürchten, dass viele Lehrkräfte überfordert sind.

Da auch die Stadtverwaltung mit Office-Produkten personenbeziehbare Daten erfasst bzw. verarbeitet, ist zu prüfen, inwieweit auch hier Handlungsbedarf besteht.

Da die aktuelle Bewertung durch den hessischen Beauftragten für Datenschutz und Informationsfreiheit zeigt, dass die Bindung an einen Hersteller properitärer Software außerhalb des Geltungsbereiches der EU-DSGVO ein Risiko darstellt, sollten auch Produkte ohne Lizenzkosten, die ohne Übertragung von Daten an den Hersteller betrieben werden können, auf mögliche Eignung geprüft werden.

[1] http://ppffm.de/dsbhe01
[2] http://ppffm.de/dsbhe02
[3] http://ppffm.de/fwu01

12 Likes

Vielen Dank für den Antrag :slight_smile:

3 Likes

Wow - wir wollen uns mit MS anlegen? Find’ ich klasse.
Offen gesagt, hielt ich den “Begleitschutz”, den die Telekom MS-Mitarbeitern beim Betreten ihrer Rechenzentren “angeboten” hat (der Cloud Kunde durfte für diese Extra-Dienstleistung der “Deutschland MS-Cloud” ungefähr 30% mehr zahlen), von Anfang an für eine Farce, die man wohl nur deshalb beendet hat, weil sich o.g. Mehrpreis am Markt nicht durchsetzen ließ. EinTelekom-Mitarbeiter sollte dem Winzigweich-Fuzzy auf die Finger schauen, wenn letzterer im Rechenzentrum in den Eingeweiden der MS-Cloud-Engine administrativ herumwühlen musste. Er sollte wohl u.a. verhindern, dass die in der MS-Cloud gespeicherten Daten Deutschland verlassen (daher “Deutschland-Cloud”). Ein logistisch sehr hoher Aufwand, der mMn. nie zweckerfüllend war, weil ich mir nicht vorstellen kann, dass der Telekom-Mitarbeiter überhaupt verstanden hat, was der Microsofty treibt.
Mit dem Wegfall diesen teuren Placebos fangen ein paar Leute offensichtlich an, nachzudenken. Guter Antrag - da sollten wir viel mehr 'draus machen.
Ich habe selber einen Cloud - Kunden und weiß daher, wo welche Daten abgespeichert werden und welche Intensionen MS verfolgt. Dabei finde ich MS noch deutlich angenehmer als z.B. Facebook oder Amazon.

  1. MS Mitarbeiter durften nicht in die “DE Cloud RZs” per Definition nicht.
  2. Das Projekt wurde aufgegeben von seitens MS da einfach 3 eigene RZs in DE aufgebaut werden.
  3. Das 4-Augen Prinzip galt bei Administrativem Support “remote”, also nicht im RZ, sondern wenn explizit Hilfe beim Helpdesk angefordert wurde. Da ist dann ein Telekom Aufpasser zugeschaltet der den Zugriff auch unterbinden kann.

Das alles führte dazu das nicht alle 365 Deinste angeboten wurden in der DE Cloud. Da sich nicht alle trennen liesen.

Das hat also so nichts mit der aktuellen Thematik zu tun. Eventuell nur damit das eine in der DE Cloud gehostete Schule die Probleme so nicht hätte.

Seit einem Jahr ist bei Office 365 aber irgendwie ein Wettlauf nach höher, schneller, weiter etc. zu beobachten. Und das führt zu Fehlern bzw. wird nicht mehr so sehr auf den Datenschutz geachtet wie noch vor ein paar Jahren. Wobei in einer vollkommen gemanagten _Umgebung auch Office 365 sich recht DSGV Konform betreiben lässt. Allerdings ist der Aufwand dafür exorbitant hoch und für Schulen nicht zu stemmen.

Mann muss aber auch unterscheiden, Office 365 ist nicht gleich Office 365. Erst ab E3 macht es DSGVO technisch Sinn. Und am besten auch MS 365 E3/E5 und nicht nur Office.

Hier gibt es gleich mal ein Update.

1 Like

Ich werde das mal raubmordkopieren und bei uns im Landkreis als große Anfrage einbringen :wink:

6 Likes

@derBorys. Danke für die Klarstellung/Berichtigung. Ich hatte seinerzeit auf jeden Fall was mit “Zugang zum RZ” im Sinne von Begleitschutz gelesen. Kann natürlich auch ein Fehler der Journalisten gewesen sein.
Im Grundsatz bestätigst du aber, wie das seit mindestens schon wieder einem Jahr untergegangene Konstrukt “MS-Deutschland-Cloud” funktioniert hat. Dass das Ganze gar nix mit der “aktuellen Thematik” zu tun hat, sehe ich auf der Basis meiner (sicherlich ungenügenden) Informationsbasis anders. Mein Cloud-Kunde hatte aus Sicherheitserwägungen heraus explizit nach der Deutschland-Cloud gefragt, war dann aber auch nicht bereit, den höheren Preis dafür zu zahlen. Das passt gut zu:

Und auch das ist so eine Behauptung, über die man lange philosophieren könnte. Dem Papier und dem grundsätzlichen Konzept nach mag das stimmen. Was die Umsetzung in die Realität angeht; na ja - du sagst ja selber, dass das für Schulen nicht stemmbar ist. Nimmt man meine Argumente als Verschwörungstheoretiker hinzu (ich traue MS als Anbieter nicht), landet deine Behauptung komplett im Schredder. Ob sich LANs mit lokalen Servern heutzutage noch DSGVO-konform betreiben lassen, steht natürlich auf einem ganz anderen Blatt. Ich behaupte als Admin meiner Kunden jedenfalls nicht, alle Angriffe, die von außen kommen zu bemerken, geschweige denn abzuwehren, zumal Kunden immer gerne an Sicherheitssoftware sparen.
Um zur MS-Cloud zurück zu kommen. Sie funktioniert meiner Erfahrung nach technisch sehr gut (so viele Office-Fehler sind uns aktuell nicht geläufig), lässt aber
immer weniger Spielraum zur lokalen Datenspeicherung. Teams - cooles Produkt; ich würde sagen, das bessere Mattermost; aber alles was dort geplappert wird, landet in der MS-Cloud. Das weniger bekannte Office-Programm ‘OneNote’, das dennoch von einigen Anwendern gerne genutzt wird, wird als lokales Programm nicht mehr weiter verfolgt, während es als Cloud-Version mit Cloud-Speicherung weiter benutzt werden kann. Bei einem neu installierten Office 365 schlägt Excel oder Word erst einmal vor, die die Daten im OneDrive oder einer Sharepoint-Bibliothek abzulegen. Erst ein paar Maus-Clicks später gelangt man wieder auf den lokalen Server. Da steckt ganz klar eine Strategie dahinter. Aber Gott bewahre - MS sammelt doch keine Daten und wertet sie auch nicht aus. Macht ja Amazon mit Alexa auch nicht - stimmt’s?

Tja - was machen wir jetzt mit diesem Antrag? Ein bisschen Libre-Office bei der Gelegenheit pushen, würde mir schon sehr gefallen, auch wenn’s bei weitem nicht so schick ist wie Office 365.

Tja das beschreibt es ganz gut.$Admin mit Plan und finanziellen Ressourcen kann alles passend machen.

MS kastriert lokale bzw. safe Speicherwege weil Cloud First.

Für denn Normaluser ist das kein Weg.

Im Übrigen der Grund warum ich für meine Firma seit einem Jahr eine eigene Cloud umsetze und für mich privat auch.

Hallo Borys,

danke für den Hinweis zu Niederlanden. Falls es zu meinem Antrag Diskussionen geben sollte kann ich das gut als Argument verwerten :slightly_smiling_face:

2 Likes

So, ist angenommen und im Geschäftsgang :grinning:
Große Anfrage Kreistag Marburg-Biedenkopf

3 Likes

Unsere Kreisverwaltung hat mich gerade angerufen und auf eine erneute Stellungnahme des hessischen Datenschutzbeauftragten hingewiesen: https://datenschutz.hessen.de/pressemitteilungen/zweite-stellungnahme-zum-einsatz-von-microsoft-office-365-hessischen-schulen.

Damit ist der Einsatz von Office 365 vorbehaltlich weiterer Prüfungen vorläufig gestattet.

Wir müssen jetzt sehen, ob wir die Anfrage zurückziehen und eine neue, auf die geänderte Sachlege abgestimmte Anfrage einreichen, um eine befriedigende Antwort zu erhalten.

2 Likes

Hier noch der Hinweis auf ein laufendes Verfahren in der Schweiz:

2 Likes