Office 365 an Schulen

Hallo,

folgenden Antrag habe ich bei uns im Ortsbeirat 2 in Frankfurt gerade eingereicht. Ggf ist das ja auch für andere Orte interessant, auch ausserhalb Hessens, Copy&Paste ist einfach :wink:

Von Kassel weiss ich, dass da auch etwas in die Richtung unternommen wird.

Viele Grüße
Lothar

Der Ortsbeirat möge beschließen

Der Magistrat wird gebeten, zu prüfen und zu berichten

  1. Sind Frankfurter Schulen von der neuen Stellungnahme des hessischen Beauftragten für Datenschutz und Informationsfreiheit bezüglich Nutzung von Microsoft Office 365 an Schulen betroffen? Wenn ja: Wie viele Rechner sind schätzungsweise betroffen und kann abgeschätzt werden, wie viele Schülerinnen und Schüler betroffen sind?

  2. Welche Alternativen werden den Schulen nahegelegt, werden dadurch Kosten entstehen, und wenn ja, in welcher ungefähren Höhe? Wird die Nutzung der kostenlos nutzbaren Software LibreOffice oder OpenOffice als mögliche Alternative in Erwägung gezogen?

  3. Wie wird sichergestellt, dass Lehrerinnen und Lehrer nicht auf privaten Rechnern mittels Microsoft Office 356 personenbeziehbare Daten von Schülerinnen und Schülern in einer Cloud speichern? Wird es hier Beratungen geben?

  4. Wie wird sichergestellt, dass personenbeziehbare Daten, die bereits in die Microsoft Cloud übertragen wurden, rechtssicher gelöscht werden? Wird es hier Beratungen für die Lehrerinnen und Lehrer geben?

  5. Sieht der Magistrat die erwähnte Aussage des hessischen Beauftragten für Datenschutz und Informationsfreiheit auch relevant und anwendbar auf Rechner der Stadtverwaltung an? Wenn ja: Wie viele Rechner sind hier schätzungsweise betroffen?

  6. Welche Alternativen sind für die Rechner der Stadtverwaltung vorhanden, werden dadurch Kosten entstehen, und wenn ja, in welcher ungefähren Höhe? Wird die Nutzung der kostenlos nutzbaren Software LibreOffice oder OpenOffice in Erwägung gezogen?

Begründung:

Der hessische Beauftragte für Datenschutz und Informationsfreiheit hat am 09.07.2019 eine Stellungnahme veröffentlicht, nach der die Nutzung von Microsoft Office 365 an Schulen unzulässig ist, sofern personenbezogene bzw. -beziehbare Daten in der Cloud gespeichert werden [1]. Er hat damit eine frühere Stellungnahme [2] revidiert, da sich die Voraussetzungen durch Abschaltung der sogenannten “Microsoft Cloud Deutschland” durch Microsoft geändert haben.

Hierdurch entsteht Prüfungs- und ggf. Handlungsbedarf, um zu vermeiden, dass personenbezogene bzw. -beziehbare Daten rechtswidrig verarbeitet werden. Insbesondere, da unter den vormals gegebenen Voraussetzungen die Nutzung von Office 365 als möglich bewertet wurde, und das Produkt über den Rahmenvertrag zwischen Microsoft und dem FWU [3] verstärkt für Schulen beworben wird, ist davon auszugehen, dass dies auch genutzt wurde bzw. sofern keine Schritte unternommen werden, auch weiter genutzt wird.

Wenn bereits personenbeziehbare Daten in der Microsoft Cloud gespeichert wurden, ist ein besonderes Augenmerk auf die sichere Löschung zu legen. Gerade im Bereich des Cloud-Computing ist nicht immer direkt ersichtlich, wo Daten tatsächlich abgelegt werden und welche Kopien existieren. Hier ist zu befürchten, dass viele Lehrkräfte überfordert sind.

Da auch die Stadtverwaltung mit Office-Produkten personenbeziehbare Daten erfasst bzw. verarbeitet, ist zu prüfen, inwieweit auch hier Handlungsbedarf besteht.

Da die aktuelle Bewertung durch den hessischen Beauftragten für Datenschutz und Informationsfreiheit zeigt, dass die Bindung an einen Hersteller properitärer Software außerhalb des Geltungsbereiches der EU-DSGVO ein Risiko darstellt, sollten auch Produkte ohne Lizenzkosten, die ohne Übertragung von Daten an den Hersteller betrieben werden können, auf mögliche Eignung geprüft werden.

[1] http://ppffm.de/dsbhe01
[2] http://ppffm.de/dsbhe02
[3] http://ppffm.de/fwu01

12 Likes

Vielen Dank für den Antrag :slight_smile:

3 Likes

Wow - wir wollen uns mit MS anlegen? Find’ ich klasse.
Offen gesagt, hielt ich den “Begleitschutz”, den die Telekom MS-Mitarbeitern beim Betreten ihrer Rechenzentren “angeboten” hat (der Cloud Kunde durfte für diese Extra-Dienstleistung der “Deutschland MS-Cloud” ungefähr 30% mehr zahlen), von Anfang an für eine Farce, die man wohl nur deshalb beendet hat, weil sich o.g. Mehrpreis am Markt nicht durchsetzen ließ. EinTelekom-Mitarbeiter sollte dem Winzigweich-Fuzzy auf die Finger schauen, wenn letzterer im Rechenzentrum in den Eingeweiden der MS-Cloud-Engine administrativ herumwühlen musste. Er sollte wohl u.a. verhindern, dass die in der MS-Cloud gespeicherten Daten Deutschland verlassen (daher “Deutschland-Cloud”). Ein logistisch sehr hoher Aufwand, der mMn. nie zweckerfüllend war, weil ich mir nicht vorstellen kann, dass der Telekom-Mitarbeiter überhaupt verstanden hat, was der Microsofty treibt.
Mit dem Wegfall diesen teuren Placebos fangen ein paar Leute offensichtlich an, nachzudenken. Guter Antrag - da sollten wir viel mehr 'draus machen.
Ich habe selber einen Cloud - Kunden und weiß daher, wo welche Daten abgespeichert werden und welche Intensionen MS verfolgt. Dabei finde ich MS noch deutlich angenehmer als z.B. Facebook oder Amazon.

  1. MS Mitarbeiter durften nicht in die “DE Cloud RZs” per Definition nicht.
  2. Das Projekt wurde aufgegeben von seitens MS da einfach 3 eigene RZs in DE aufgebaut werden.
  3. Das 4-Augen Prinzip galt bei Administrativem Support “remote”, also nicht im RZ, sondern wenn explizit Hilfe beim Helpdesk angefordert wurde. Da ist dann ein Telekom Aufpasser zugeschaltet der den Zugriff auch unterbinden kann.

Das alles führte dazu das nicht alle 365 Deinste angeboten wurden in der DE Cloud. Da sich nicht alle trennen liesen.

Das hat also so nichts mit der aktuellen Thematik zu tun. Eventuell nur damit das eine in der DE Cloud gehostete Schule die Probleme so nicht hätte.

Seit einem Jahr ist bei Office 365 aber irgendwie ein Wettlauf nach höher, schneller, weiter etc. zu beobachten. Und das führt zu Fehlern bzw. wird nicht mehr so sehr auf den Datenschutz geachtet wie noch vor ein paar Jahren. Wobei in einer vollkommen gemanagten _Umgebung auch Office 365 sich recht DSGV Konform betreiben lässt. Allerdings ist der Aufwand dafür exorbitant hoch und für Schulen nicht zu stemmen.

Mann muss aber auch unterscheiden, Office 365 ist nicht gleich Office 365. Erst ab E3 macht es DSGVO technisch Sinn. Und am besten auch MS 365 E3/E5 und nicht nur Office.

Hier gibt es gleich mal ein Update.

1 Like

Ich werde das mal raubmordkopieren und bei uns im Landkreis als große Anfrage einbringen :wink:

6 Likes

@derBorys. Danke für die Klarstellung/Berichtigung. Ich hatte seinerzeit auf jeden Fall was mit “Zugang zum RZ” im Sinne von Begleitschutz gelesen. Kann natürlich auch ein Fehler der Journalisten gewesen sein.
Im Grundsatz bestätigst du aber, wie das seit mindestens schon wieder einem Jahr untergegangene Konstrukt “MS-Deutschland-Cloud” funktioniert hat. Dass das Ganze gar nix mit der “aktuellen Thematik” zu tun hat, sehe ich auf der Basis meiner (sicherlich ungenügenden) Informationsbasis anders. Mein Cloud-Kunde hatte aus Sicherheitserwägungen heraus explizit nach der Deutschland-Cloud gefragt, war dann aber auch nicht bereit, den höheren Preis dafür zu zahlen. Das passt gut zu:

Und auch das ist so eine Behauptung, über die man lange philosophieren könnte. Dem Papier und dem grundsätzlichen Konzept nach mag das stimmen. Was die Umsetzung in die Realität angeht; na ja - du sagst ja selber, dass das für Schulen nicht stemmbar ist. Nimmt man meine Argumente als Verschwörungstheoretiker hinzu (ich traue MS als Anbieter nicht), landet deine Behauptung komplett im Schredder. Ob sich LANs mit lokalen Servern heutzutage noch DSGVO-konform betreiben lassen, steht natürlich auf einem ganz anderen Blatt. Ich behaupte als Admin meiner Kunden jedenfalls nicht, alle Angriffe, die von außen kommen zu bemerken, geschweige denn abzuwehren, zumal Kunden immer gerne an Sicherheitssoftware sparen.
Um zur MS-Cloud zurück zu kommen. Sie funktioniert meiner Erfahrung nach technisch sehr gut (so viele Office-Fehler sind uns aktuell nicht geläufig), lässt aber
immer weniger Spielraum zur lokalen Datenspeicherung. Teams - cooles Produkt; ich würde sagen, das bessere Mattermost; aber alles was dort geplappert wird, landet in der MS-Cloud. Das weniger bekannte Office-Programm ‘OneNote’, das dennoch von einigen Anwendern gerne genutzt wird, wird als lokales Programm nicht mehr weiter verfolgt, während es als Cloud-Version mit Cloud-Speicherung weiter benutzt werden kann. Bei einem neu installierten Office 365 schlägt Excel oder Word erst einmal vor, die die Daten im OneDrive oder einer Sharepoint-Bibliothek abzulegen. Erst ein paar Maus-Clicks später gelangt man wieder auf den lokalen Server. Da steckt ganz klar eine Strategie dahinter. Aber Gott bewahre - MS sammelt doch keine Daten und wertet sie auch nicht aus. Macht ja Amazon mit Alexa auch nicht - stimmt’s?

Tja - was machen wir jetzt mit diesem Antrag? Ein bisschen Libre-Office bei der Gelegenheit pushen, würde mir schon sehr gefallen, auch wenn’s bei weitem nicht so schick ist wie Office 365.

Tja das beschreibt es ganz gut.$Admin mit Plan und finanziellen Ressourcen kann alles passend machen.

MS kastriert lokale bzw. safe Speicherwege weil Cloud First.

Für denn Normaluser ist das kein Weg.

Im Übrigen der Grund warum ich für meine Firma seit einem Jahr eine eigene Cloud umsetze und für mich privat auch.

Hallo Borys,

danke für den Hinweis zu Niederlanden. Falls es zu meinem Antrag Diskussionen geben sollte kann ich das gut als Argument verwerten :slightly_smiling_face:

2 Likes

So, ist angenommen und im Geschäftsgang :grinning:
Große Anfrage Kreistag Marburg-Biedenkopf

3 Likes

Unsere Kreisverwaltung hat mich gerade angerufen und auf eine erneute Stellungnahme des hessischen Datenschutzbeauftragten hingewiesen: https://datenschutz.hessen.de/pressemitteilungen/zweite-stellungnahme-zum-einsatz-von-microsoft-office-365-hessischen-schulen.

Damit ist der Einsatz von Office 365 vorbehaltlich weiterer Prüfungen vorläufig gestattet.

Wir müssen jetzt sehen, ob wir die Anfrage zurückziehen und eine neue, auf die geänderte Sachlege abgestimmte Anfrage einreichen, um eine befriedigende Antwort zu erhalten.

2 Likes

Hier noch der Hinweis auf ein laufendes Verfahren in der Schweiz:

2 Likes

Ungeachtet weiterer politischer Entwicklungen rate ich davon ab, die eigene Lieblingssoftware als Nonplusultra anderen Menschen aufdrücken zu wollen. Lassen wir ihnen doch die Wahl. Ich persönlich finde LibreOffice instabil, mit den eigenen Formaten lachhaft inkompatibel und obendrein alles andere als performant. Wiegt das “aber es ist kostenlos!” wirklich auf?

1 Like

Es geht hier nicht um “kostenlos” oder “kostet”. Es geht um Freiheit. Frei wie in “freie Rede” und nicht kostenlos wie in “Freibier”.


Es geht darum, wer die Kontrolle über die verarbeiteten Daten hat.
Und das ist Piraten-Kernthema.

Richtig, aber Piraten-Kernthema ist auch “denk selbst!”. Ein besserer Ansatz als “nehmt lieber SonstwasLinux mit SuperBrowser und GeiloOffice” ist m.M.n.: “Aus folgenden Gründen ist es nicht gut für den Schutz eurer Daten, wenn ihr Software x einsetzt. Hier ein paar Links, hinter denen ihr Alternativen für euch entdecken könnt.”

1 Like

Vielen Dank für deinen Beitrag!

Ich denke gerne selbst:
Wenn ich zum Beispiel einen Handwerker bestelle, dann informiere ich mich vorher einige Monate darüber wie man das korrekt macht. Das mir bei einem Rohrbruch inzwischen die Bude wegschwimmt spielt ja keine Rolle.
So ein Informatikstudium ist ja auch ganz einfach und locker mal nebenbei gemacht werden, damit man in der Lage ist zu beurteilen ob und welche Daten so ein System überträgt. Ich hab ja auch die Möglichkeit das Netzwerk zu überwachen und den Quellcode zu analysieren, ist ja kein Ding sowas zu Dissassemblieren. Ich hab ja auch nichts anderes zu tun.

Das mit den Universalgenies hat eigentlich noch nie funktioniert, dass mit den Experten klappt eigentlich gut. Die müssen halt Empfehlungen aussprechen. Und so große ist die Auswahl dann halt nicht. Der Markt ist monopolisiert.

Der winzige Bruchteil der Leistung von z.B. Office 365 den man als Privatperson braucht, rechtfertigt die Anschaffung nicht. Und gerade z.B. Ärzte bei denen es eine Office-Schnittstelle zu ihrer Praxissoftware gibt, um effektive ihre Arztberichte zu schreiben, haben mit Software in der Cloud ein massives Problem. Aber die haben gar keine Alternativen, wenn es nur die MS Schnittstelle gibt.

Du machst denselben Fehler wie die, die aus irgendwelchen wirren Gründen ein “Pflichtfach Informatik” fordern. Informatik ist im Wesentlichen Automatentheorie. Aus einem Informatikstudium kommst du weder mit wirklich tief gehender Ahnung vom Programmieren raus (außer, du arbeitest selbst in deiner Freizeit viel daran - aber das Studium hilft kaum dabei) noch hast du hinterher unbedingt eine hinreichende Medienkompetenz. Es wäre ratsam, die Verklärung des Informatikstudiums zurückzufahren. Das Curriculum ist für die meisten Menschen, selbst für Entwickler und Datenschützer, von untergeordneter Relevanz im Alltag.

Experte wirst du durch Erfahrung, Experte wirst du nicht durch das Durchackern von sechs bis zehn Semestern “von allem ein bisschen”.

Das ist sicherlich richtig, ich persönlich habe seit vielen Jahren nahezu keine Briefe mehr in etwas anderem als meinem Texteditor verfasst. Nur Tabellenkalkulation brauche ich häufiger. Nun kann ich die Bedienung von Microsoft Office seit Version 2007 nicht mehr ausstehen und halte mich daher fern, aber auf dem Markt ist es nach wie vor (leider?) eine vergleichsweise preiswerte Software. Halt mal WordPerfect Office (das ich sehr schätze!) daneben. Nachtrag: Also neben Office 365 natürlich. :wink:

Versuch mal den Endanwender zu verstehen. Der will keine ethisch saubere Software, der will, dass sein Computer funktioniert und nicht dauernd irgendwelche Abstürze hat, an deren Lösung er sich (“der Geist von Open Source”…) dann auch noch selbst beteiligen muss.

Richtig ist: Office 365 ist aus Datenschutzsicht eine Katastrophe. Aber was unsere Wähler mit dieser Information anfangen, empfehle ich doch ihnen selbst zu überlassen. Bedienbarkeit ist immer subjektiv und Bedienbarkeit ist nun mal nach der Frage, ob alle Funktionen, die man selbst braucht, enthalten sind (und mehr geht ja immer), das wichtigste Kriterium beim Softwarekauf.


Nachtrag: “Aber die haben gar keine Alternativen, wenn es nur die MS Schnittstelle gibt” - doch, das lokal installierte Office. Das wird von Microsoft aus sehr gutem Grund noch angeboten.

1 Like

Wir hatten ja eine sehr kurze Anfrage dazu gestellt und auch eine mündliche Antwort bekommen. Ob noch eine schriftliche kommt weiss ich nicht, die Niederschrift scheint irgendwo zu hakeln. Kurz: Office 365 wird nicht genutzt, und soll auch nicht genutzt werden. Man nutzt Professional. Libre office ist Teil der digitalen Schultasche, im Unterricht wird es aber nicht genutzt, da es in Firmen usw auch eher selten genutzt wird.
https://restgedanken.de/schulausschuss-30-sitzung/#7_Office_365_an_Schulen

Grüße
Franzi

3 Likes