Zahlreiche Bildungsinstitutionen in der Schweiz (und anderen europäischen Ländern) lizenzieren Microsoft-Office-Software – von Primarschulen bis zur Universität. Nun ist infrage gestellt, ob dies datenschutzrechtskonform ist.
Der Zürcher Datenschützer Bruno Baeriswyl hat sich mit seiner Fachstelle schon früher mit der Office-Software von Microsoft auseinandergesetzt und einen Leitfaden veröffentlicht (siehe unten). Nun bestätigt der Jurist gegenüber watson, dass die alarmierenden Erkenntnisse einer Untersuchung aus den Niederlanden generell auch die Verwendung von Office 365 in der Schweiz betreffen. Dabei gehe es «um die Übermittlung von Diagnosedaten an Microsoft, die für den technischen Support der Anwendung Verwendung finden».
Brisant: Gemäss der seit dem Frühjahr geltenden europäischen Datenschutzgrundverordnung (DSGVO) handle es sich dabei um Personendaten, bestätigt der Datenschützer. Er betont aber, dass dies noch nicht heisse, dass die Übermittlung solcher Daten an Microsoft rechtswidrig sei.
Der Zürcher Datenschützer:
watson hat Microsoft Schweiz um eine Stellungnahme ersucht. Tobias Steger, Leiter Kommunikation, schreibt:
Ende November hat watson über eine Untersuchung von Datenschutz-Experten im Auftrag der niederländischen Regierung berichtet. Dabei stellte sich heraus, dass der Einsatz von Microsoft-Office-Software problematisch ist, weil dabei ungewollt personenbezogene Daten erhoben und an Microsoft-Server in den USA übermittelt werden.
Laut dem Bericht gebe es für die betroffenen Unternehmen acht Datenschutzrisiken beim Einsatz des Office-Paketes, hielt golem.de fest. Dazu zähle die illegale Speicherung von Metadaten und Inhalten, die im Falle von Behörden sogar geheimhaltungsbedürftiges Material betreffen können.
Offensichtlich sei es in der Schweiz im Bildungsbereich möglich, die notwendigen Rahmenbedingungen zu schaffen, um Microsoft-Office-Software datenschutzrechtskonform einzusetzen, kommentierte damals ein watson-User. Und er verwies auf einen Leitfaden des Zürcher Datenschützers (siehe unten).
Im September 2018 hat der Datenschutzbeauftragte des Kantons Zürich (DSB) einen Leitfaden veröffentlicht für den Einsatz von Office 365 im Bildungsbereich. Er richtet sich an Volksschulen, Schulen der Sekundarstufe 2 und Hochschulen.
Das Problem: In dem Leitfaden steht kein Wort zur problematischen Erfassung/Übermittlung von Telemetrie- und anderen Nutzerdaten an US-Server von Microsoft.
watson wollte nach Publikwerden der niederländischen Untersuchung vom Zürcher Datenschützer wissen, ob sein Leitfaden für den Einsatz von Office 365 an Schulen durch die angeblich alarmierenden Befunde infrage gestellt sei.
Bruno Baeriswyl antwortete, dass seine Datenschutz-Fachstelle mit Microsoft Rahmenbedingungen für die Nutzung von Office 365 im Schulbereich ausgehandelt habe. Diese Bedingungen würden «nur für den Schulbereich gelten» und nicht allgemein. «Im Moment wissen wir nicht, wie weit diese Sachverhalte, die unsere Kollegen in den Niederlanden untersucht haben, auch für den Schulbereich relevant sind.»
Offenbar sind sie relevant, wie die Fachstelle nun bestätigt hat. Und der Ball liegt jetzt bei Microsoft.
An den Rahmenbedingungen zur Nutzung von Office 365 ändere sich im Moment nichts, schreibt uns Veronica Blattmann, Stellvertreterin des Zürcher Datenschützers:
Der Direktor von educa.ch, Toni Ritz, teilt mit: «Wir stehen dazu im Austausch mit Privatim und haben Microsoft um eine Stellungnahme gebeten. Sobald wir diese ausgewertet haben, werden wir über das weitere Vorgehen entscheiden.»
Bleibt anzumerken, dass es sich bei Privatim um die Konferenz der schweizerischen Datenschutzbeauftragten handelt. Der Fall könnte also auch weit über die Grenzen des Kantons Zürich hinaus Folgen haben.