Digital
Schweiz

Microsoft Office 365 an Schule: Datenschützer untersucht

Office 365 Microsoft
Der Zürcher Datenschützer verlangt von Microsoft Auskunft zu Office 365.Bild: Shutterstock

Verstossen Lehrer und Schüler mit Microsoft Office gegen das Gesetz?

Verstossen Primarschulen und Universitäten mit dem Einsatz von Office 365 gegen das Gesetz? Nach einem Treffen mit dem Datenschutzbeauftragten des Kantons Zürich muss Microsoft Rechenschaft ablegen.
14.12.2018, 12:0315.12.2018, 07:16
Mehr «Digital»

Das Wichtigste in Kürze

  • Der Datenschutzbeauftragte des Kantons Zürich untersucht, ob die Microsoft-Software Office 365 Schweizer Datenschutzrecht verletzt.
  • Bei einem Treffen mit Microsoft hat der Zürcher Datenschützer Aufklärung verlangt. Das Unternehmen soll dokumentieren, welche persönlichen Daten erhoben werden und wie es den Datenschutz gewährleistet.
  • Auslöser war eine Untersuchung von Datenschutz-Experten im Auftrag der niederländischen Regierung. Diese Untersuchung ergab, dass der US-Konzern mit der Office-Software in verschiedener Hinsicht gegen die europäische Datenschutzgrundverordnung (DSGVO) verstösst.
  • Das Datenschutz-Hauptproblem, das sich auch bei der Nutzung von Microsoft-Office-Software durch Institutionen in der Schweiz stellt: Personenbezogene Daten werden an Microsoft-Server in den USA übermittelt.
  • Microsoft will mit dem Datenschützer kooperieren.
  • Die Konferenz der schweizerischen Datenschutzbeauftragten (Privatim) ist ebenfalls involviert. Der Fall könnte sehr viele Bildungseinrichtungen betreffen.

Wer ist betroffen?

Zahlreiche Bildungsinstitutionen in der Schweiz (und anderen europäischen Ländern) lizenzieren Microsoft-Office-Software – von Primarschulen bis zur Universität. Nun ist infrage gestellt, ob dies datenschutzrechtskonform ist.

Welche Rolle spielt der Zürcher Datenschützer?

Der Zürcher Datenschützer Bruno Baeriswyl hat sich mit seiner Fachstelle schon früher mit der Office-Software von Microsoft auseinandergesetzt und einen Leitfaden veröffentlicht (siehe unten). Nun bestätigt der Jurist gegenüber watson, dass die alarmierenden Erkenntnisse einer Untersuchung aus den Niederlanden generell auch die Verwendung von Office 365 in der Schweiz betreffen. Dabei gehe es «um die Übermittlung von Diagnosedaten an Microsoft, die für den technischen Support der Anwendung Verwendung finden».

Brisant: Gemäss der seit dem Frühjahr geltenden europäischen Datenschutzgrundverordnung (DSGVO) handle es sich dabei um Personendaten, bestätigt der Datenschützer. Er betont aber, dass dies noch nicht heisse, dass die Übermittlung solcher Daten an Microsoft rechtswidrig sei.

Der Zürcher Datenschützer:

«Wir haben deshalb Microsoft aufgefordert, uns zu dokumentieren, um welche Datenkategorien es sich konkret handelt, welche Massnahmen zur Anonymisierung oder Pseudonymisierung dieser Daten getroffen werden und wie diese Datenbearbeitung im Vertragskonstrukt den Kunden transparent gemacht wird. Erst danach können wir beurteilen, ob diese Datenbearbeitungen datenschutzrechtskonform sind.»

Wie reagiert Microsoft?

watson hat Microsoft Schweiz um eine Stellungnahme ersucht. Tobias Steger, Leiter Kommunikation, schreibt:

«Wir tauschen uns seit Jahren in regelmässigen Abständen mit den Datenschutzbeauftragten von zahlreichen Kantonen aus. Im letzten Treffen mit dem Datenschutzbeauftragten des Kantons Zürich sprachen wir unter anderem auch über Diagnosedaten im Kontext von Office 365 ProPlus. Microsoft wertet Diagnosedaten einzig und allein aus, um die Sicherheit und Funktionsfähigkeit ihrer Produkte und Dienste zu gewährleisten. Weitere Informationen darüber, welche spezifischen Informationen warum empfangen werden, finden sich im öffentlich zugänglichen Artikel ‹Diagnostic Data in Office Applications›. Der Datenschutzbeauftragte hat uns gebeten, ihm weitere Informationen zuzustellen. Wir werden der Bitte des Datenschützers selbstverständlich nachkommen.»

Wie ist es so weit gekommen?

Ende November hat watson über eine Untersuchung von Datenschutz-Experten im Auftrag der niederländischen Regierung berichtet. Dabei stellte sich heraus, dass der Einsatz von Microsoft-Office-Software problematisch ist, weil dabei ungewollt personenbezogene Daten erhoben und an Microsoft-Server in den USA übermittelt werden.

Laut dem Bericht gebe es für die betroffenen Unternehmen acht Datenschutzrisiken beim Einsatz des Office-Paketes, hielt golem.de fest. Dazu zähle die illegale Speicherung von Metadaten und Inhalten, die im Falle von Behörden sogar geheimhaltungsbedürftiges Material betreffen können.

Offensichtlich sei es in der Schweiz im Bildungsbereich möglich, die notwendigen Rahmenbedingungen zu schaffen, um Microsoft-Office-Software datenschutzrechtskonform einzusetzen, kommentierte damals ein watson-User. Und er verwies auf einen Leitfaden des Zürcher Datenschützers (siehe unten).

Dürfen Schulen Office 365 einsetzen?

Im September 2018 hat der Datenschutzbeauftragte des Kantons Zürich (DSB) einen Leitfaden veröffentlicht für den Einsatz von Office 365 im Bildungsbereich. Er richtet sich an Volksschulen, Schulen der Sekundarstufe 2 und Hochschulen.

Das Problem: In dem Leitfaden steht kein Wort zur problematischen Erfassung/Übermittlung von Telemetrie- und anderen Nutzerdaten an US-Server von Microsoft.

watson wollte nach Publikwerden der niederländischen Untersuchung vom Zürcher Datenschützer wissen, ob sein Leitfaden für den Einsatz von Office 365 an Schulen durch die angeblich alarmierenden Befunde infrage gestellt sei.

Bruno Baeriswyl antwortete, dass seine Datenschutz-Fachstelle mit Microsoft Rahmenbedingungen für die Nutzung von Office 365 im Schulbereich ausgehandelt habe. Diese Bedingungen würden «nur für den Schulbereich gelten» und nicht allgemein. «Im Moment wissen wir nicht, wie weit diese Sachverhalte, die unsere Kollegen in den Niederlanden untersucht haben, auch für den Schulbereich relevant sind.»

Offenbar sind sie relevant, wie die Fachstelle nun bestätigt hat. Und der Ball liegt jetzt bei Microsoft.

An den Rahmenbedingungen zur Nutzung von Office 365 ändere sich im Moment nichts, schreibt uns Veronica Blattmann, Stellvertreterin des Zürcher Datenschützers:

«Microsoft wird uns im ersten Quartal 2019 über das Resultat ihrer Abklärungen sowie allfällige erste Massnahmen informieren.»

Der Direktor von educa.ch, Toni Ritz, teilt mit: «Wir stehen dazu im Austausch mit Privatim und haben Microsoft um eine Stellungnahme gebeten. Sobald wir diese ausgewertet haben, werden wir über das weitere Vorgehen entscheiden.»

Bleibt anzumerken, dass es sich bei Privatim um die Konferenz der schweizerischen Datenschutzbeauftragten handelt. Der Fall könnte also auch weit über die Grenzen des Kantons Zürich hinaus Folgen haben.

Der Leitfaden des Zürcher Datenschützers (PDF)

Bild
screenshot: dsb.zh.ch
Video: watson/Knackeboul, Lya Saxer
DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet, um die Zahlung abzuschliessen.)
5 CHF
15 CHF
25 CHF
Anderer
twint icon
Oder unterstütze uns per Banküberweisung.
Das könnte dich auch noch interessieren:
56 Kommentare
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
Die beliebtesten Kommentare
avatar
Lapsusius
14.12.2018 12:52registriert November 2014
Ich kann eh nicht verstehen, wieso die öffentliche Hand jährlich Millionen in Lizenzprodukte steckt, Opensource wäre aus vielen Blickwinkeln die bessere, sicherere und günstigere Wahl.
186117
Melden
Zum Kommentar
avatar
_stefan
14.12.2018 18:37registriert September 2015
Lustig wie alle in den Kommentaren OpenSource und Sparen schreien.

Office365 ist für Schulen KOSTENLOS!

Ja, natürlich will M$ damit auch spätere Kunden gewinnen. Es ist aber halt einfach Fakt, dass jedes seriöse Unternehmen Microsoft-Produkte einsetzt. Es gibt aktuell auch gar kein alternatives OpenSource-Projekt (Office365: Sharepoint, Exchange, OneDrive, Word- und Excel-Online).
8943
Melden
Zum Kommentar
avatar
JP del Grano
14.12.2018 12:49registriert Dezember 2018
Unglaublich: Auf der einen Seite klagt das Bildungswesen über den Spardruck und auf der anderen Seite wird Geld für unnötige Lizenzen an Grösstkonzerne verschleudert. Mit Libre Office z.B. könnten alle Schulen und Unis problemlos arbeiten!
149108
Melden
Zum Kommentar
56
Jeder fünfte junge Erwachsene in der Schweiz mit psychologischer Diagnose

Die meisten Schweizerinnen und Schweizer sind sehr zufrieden, das zeigt eine Umfrage. Markante Unterschiede gibt es allerdings zwischen den Altersgruppen: So leidet ein Fünftel der 18- bis 29-Jährigen an einer diagnostizierten psychologischen Erkrankung oder Störung.

Zur Story