DER HESSISCHE DATENSCHUTZBEAUFTRAGTE

Größe: px

Ab Seite anzeigen:

Download "DER HESSISCHE DATENSCHUTZBEAUFTRAGTE"

Jesko Böhme
vor 5 Jahren
Abrufe

STELLUNGNAHME DES HESSISCHEN DATENSCHUTZBEAUFTRAGTEN ZUM EINSATZ VON MICROSOFT OFFICE 365 AN HESSISCHEN SCHULEN 1. Kernpunkte Der Einsatz von Microsoft Office 365 in der sog.

1 STELLUNGNAHME DES HESSISCHEN DATENSCHUTZBEAUFTRAGTEN ZUM EINSATZ VON MICROSOFT OFFICE 365 AN HESSISCHEN SCHULEN 1. Kernpunkte Der Einsatz von Microsoft Office 365 in der sog. Deutschland-Cloud durch hessische Schulen stößt auf keine grundsätzlichen, datenschutzrechtlichen Bedenken, soweit die nachfolgend aufgeführten Voraussetzungen erfüllt sind: 1.1 Die Nutzung durch hessische Schulen muss sich auf den pädagogischen Bereich beschränken. Die Verarbeitung von Verwaltungsdaten ist nicht Gegenstand dieser datenschutzrechtlichen Betrachtung. 1.2 Die datenschutzgerechte Nutzung des Produkts erfordert von den Schulen die Implementierung einer datenschutzkonformen Systemarchitektur, welche Microsoft zwar teilweise zur Verfügung stellt, deren Umsetzung jedoch in der Verantwortung der Schule in Zusammenarbeit mit dem Schulträger liegt und zusätzliche technische und organisatorische Maßnahmen erfordert. 1.3 Jede Schule hat grundsätzlich - von besonderen Ausnahmefällen abgesehen - den technischen Support über den regulären Support-Prozess bei Microsoft abzuwickeln. So ist sichergestellt, dass der Datentreuhänder jede Supportanfrage, welche den Zugang zur Plattform oder den Zugriff auf personenbezogene Daten der Schule erfordert, genehmigen, überwachen und protokollieren kann. 1.4 Die Einschaltung bzw. Beteiligung des schulischen Datenschutzbeauftragten sowie des behördlichen Datenschutzbeauftragten des Schulträgers bei der Umsetzung der Maßnahmen ist gem. 7 Abs. 4 Hessisches Datenschutzgesetz (HDSG) zwingend erforderlich. Darüber hinaus ist dies schriftlich zu dokumentieren. 1.5 Die ab 25. Mai 2018 geltende Datenschutz-Grundverordnung (DS-GVO) kann zu weiteren Anforderungen, wie möglicherweise einer Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO, führen. 1.6 Nach Ablauf eines Schuljahres ist der Einsatz der Anwendung hinsichtlich der inhaltlichen und datenschutzrechtlichen Parameter zu evaluieren. Soweit erforderlich, sind Ergänzungen oder Korrekturen vorzunehmen. Seite 1 zum Einsatz von Microsoft OFFICE 365 an hessischen Schulen 08/2017

2 2. Vorbemerkung Bereits seit Anfang 2013 sind Anfragen von Schulen hinsichtlich der Nutzung von Microsoft Office 365 an den Hessischen Datenschutzbeauftragten gerichtet worden. Der Hessische Datenschutzbeauftragte hat zusammen mit dem Hessischen Kultusministerium, dem Schulträger der Stadt Frankfurt sowie eigeninitiiert jeweils Gespräche mit Microsoft geführt. In diesem Zusammenhang hat Microsoft eine Fülle von Unterlagen zur Verfügung gestellt, welche in die datenschutzrechtliche Bewertung einbezogen wurden. 3. Rechtliche Bewertung Die Verarbeitung personenbezogener Daten in der Microsoft Deutschland-Cloud lässt sich im Rahmen von 83. Abs. 1 des Hessischen Schulgesetzes (HSchG) in Verbindung mit 1 Abs. 1 der Verordnung über die Verarbeitung personenbezogener Daten an Schulen datenschutzkonform gestalten. Danach dürfen personenbezogene Daten von Schülern, deren Eltern und Lehrkräften verarbeitet werden, soweit dies zur rechtmäßigen Erfüllung des Bildungs- und Erziehungsauftrages und für einen jeweils damit verbundenen Zweck erforderlich ist. Im Übrigen sehen weder das Bundesdatenschutzgesetz noch das Hessische Datenschutzgesetz ein Verbot der Übermittlung personenbezogener Daten in Drittstaaten vor. 4. Technische Bewertung Der Hessische Datenschutzbeauftragte ist außerdem der Auffassung, dass die von Microsoft geschaffenen technischen und organisatorischen Maßnahmen (Entwicklung der Deutschland-Cloud) nun einen angemessenen Standard erreicht haben, um eine sichere Datenverarbeitung pädagogischer, personenbezogener Daten durch öffentlich-rechtliche Schulen in Hessen zu ermöglichen. Seite 2

3 Weitergehende Nutzungsmöglichkeiten, z.b. die Verarbeitung von Verwaltungsdaten, bleiben einer möglichen Betrachtung zu einem späteren Zeitpunkt vorbehalten. Mit der Schaffung der Deutschland-Cloud und der Speicherung der Daten ausschließlich in zwei Rechenzentren in Deutschland (Frankfurt/Main und Magdeburg) sowie der Beauftragung eines sog. Datentreuhänders (T-Systems International GmbH) sind nur angemeldete und von T-Systems Mitarbeitern begleitete Zugriffe von Microsoft-Mitarbeitern möglich. Hierfür wurden zwei Cloud-Control-Center geschaffen, welche von Mitarbeitern der T-Systems gesteuert werden. Von dort erfolgt die Freischaltung der Zugriffe für Microsoft. Die Cloud-Dienste Azure und Office 365 von Microsoft entsprechen dem Standard von ISO/IEC 27018, welcher einem Code of practice entspricht. Zudem ist eine ISO Zertifizierung auf der Basis für IT-Grundschutz des Bundesamtes für Sicherheit in der Informationstechnik erfolgt. Die Frage des Supports für die Kunden ist dahingehend geklärt, dass Anfragen grundsätzlich über den Datentreuhänder abgewickelt werden. Dies schließt nicht aus, dass sich Kunden auch direkt an Microsoft wenden und - am Datentreuhänder vorbei - ein Zugriff von Microsoft auf die personenbezogenen Daten möglich ist. Dies weitgehend auszuschließen ist ggf. eine Frage organisatorischer Anweisungen des zuständigen Schulträgers gegenüber den Schulen. Der Schulträger muss hieran ein besonderes Interesse haben, stellt er doch in der Regel die Netzwerkarchitektur zur Verfügung. Ohne Zweifel anspruchsvoll ist eine datenschutzgerechte Umsetzung hinsichtlich der Generierung von Zugriffsberechtigungen, Protokollierungsfunktionen und der Administration von Office 365. Microsoft stellt in diesem Zusammenhang die wesentlichen Werkzeuge zur Verfügung. Anleitungen für den schulischen Gebrauch sind angefordert. Die konkrete Umsetzung vor Ort in den Schulen muss durch diese selbst oder den jeweiligen Schulträger erfolgen. Hier sind beide Institutionen in der Pflicht, ein Seite 3

4 schlüssiges Konzept zu entwickeln und umzusetzen, so dass schulspezifische, technische und organisatorische Maßnahmen umgesetzt werden, welche die datenschutzkonforme Realisierung für einen dauerhaften Betrieb gewährleisten. 5. Erläuterungen zu ausgewählten Kernpunkten 5.1 Nutzung von Office 365 für den pädagogischen Bereich Die Nutzung von Office 365 durch Schulen muss sich zunächst auf den pädagogischen Bereich beschränken. Eine Nutzung der Cloud für Verwaltungszwecke ist ausgeschlossen. Die Einstellung von Unterrichtsmaterial, Aufgaben u.a. ist möglich. Ebenso können Mitteilungen über die Bewertung von Arbeiten oder Aufgaben oder die Kommunikation zwischen den Beteiligten ( -Verkehr) ausgetauscht werden. 5.2 Verantwortung für die Sicherheitsarchitektur in den Schulen Die Schulen sind als Daten verarbeitende Stellen für die Umsetzung der erforderlichen Maßnahmen zum Datenschutz und der Datensicherheit verantwortlich. Microsoft stellt Funktionen hinsichtlich der Berechtigungen und Protokollierung zur Verfügung, die in jeder Einrichtung so implementiert werden müssen, dass eine sichere Datenverarbeitung gewährleistet ist. Die Schulträger müssen bei der Umsetzung eingebunden werden. 5.3 Supportanfragen über den Datentreuhänder Alle Support-Anfragen sollen über den Datentreuhänder abgewickelt werden. Dies ist durch organisatorische Maßnahmen sicherzustellen. Soweit der Schulträger darauf Einfluss nehmen kann, soll dies durch technische Maßnahmen umgesetzt werden. Nur wenn aus besonderen Gründen der Datentreuhänder nicht eingeschaltet werden kann, ist es der Schule möglich, sich auch direkt an den Microsoft-Support zu wenden. Seite 4

5 5.4 Beteiligung des schulischen und des behördlichen Datenschutzbeauftragten Die frühzeitige Beteiligung sowohl des schulischen Datenschutzbeauftragten als auch des behördlichen Datenschutzbeauftragten ist gem. 7 Abs. 6 HDSG i.v.m. 11 Abs. 4 der Verordnung zur Verarbeitung personenbezogener Daten an Schulen durch die Schule und den Schulträger sicherzustellen. Ebenfalls ist zu gewährleisten, dass die Datenschutzbeauftragten eine schriftliche Stellungnahme hinsichtlich der getroffenen Datenschutz- und Datensicherheitsmaßnahmen verfassen. 5.5 Evaluierung Im Zusammenhang mit der Nutzung des Cloud-Dienstes Office 365 soll jede Schule nach dem erstmaligen Einsatz der Anwendung eine Evaluation durchführen und prüfen, ob die eingesetzten Maßnahmen zum Datenschutz und der Datensicherheit dem erforderlichen Umfang entsprechen. Gegebenenfalls ist eine Anpassung vorzunehmen. Die Evaluierung hat nach Ablauf eines Schuljahres zu erfolgen und ist zu dokumentieren. Seite 5

Ähnliche Dokumente

DATENSCHUTZHINWEISE nach DS-GVO

DATENSCHUTZHINWEISE nach DS-GVO Mit diesem Hinweis möchten wir Sie über die Verarbeitung Ihrer personenbezogenen Daten durch die Nibelungen-Wohnbau-GmbH sowie über die Ihnen nach der neuen EU-Datenschutz-Grundverordnung