Gerade ist ein absoluter Fail in Hannover bekannt geworden, der den Steuerzahler 324.000 Euro kostet. Es wurden 60.000 Lizenzen für Microsoft 365 Education gekauft, ohne vorher eine Datenschutzfolgeabschätzung zu machen. Nun dürfen die Lizenzen an Schulen nicht eingesetzt werden.

Das Thema wabert bereits seit Tagen durch die Medien, seit die HAZ den Sachverhalt hier veröffentlicht hat, und zeigt, was momentan in vielen Bereichen schief läuft. Die Stadt Hannover schloss im Jahr 2025 einen Vertrag zum Kauf von 60.000 Microsoft-365-Education-Lizenzen im Wert von 324.000 Euro mit Microsoft ab. Eingesetzt werden sollte die Software in Schulen der Stadt.

Der HAZ-Artikel steckt hinter einer Paywall, daher habe ich oben den Beitrag der Kollegen von Golem verlinkt. Das Problem: Bei der Beschaffung der Lizenzen wurde keine Vorabprüfung durch einen Datenschutzbeauftragten durchgeführt und es gab auch keine Abschätzung, ob die Lizenzen überhaupt eingesetzt werden können.

Blind und ohne Datenschutzprüfung gekauft

“Man wollte Hannovers Schulen digital nach vorne bringen”, heißt es in der HAZ, hat das aber ohne Sinn und Verstand gemacht. Eigentlich hätte jedem Verantwortlichen die Brisanz klar sein müssen, hatten doch zahlreiche Landesdatenschutzbeauftragte bereits festgestellt, dass Microsoft Office 365 in Schulen nicht – oder nur mit modifizierten Verträgen – DSGVO-konform eingesetzt werden kann (siehe Artikellinks am Beitragsende). In der HAZ steht, dass die 60.000 Lizenzen, um die es geht, nicht den Bestimmungen des Datenschutzes für Kinder und Jugendliche entsprechen (Hintergründe weiter unten).

Per Blindflug ins Desaster

Die HAZ legt die Finger in die Wunde, die Beschaffung erfolgt wohl “im Blindflug”, Hauptsache, wir machen was mit Digitalisierung in Schulen. Der Kauf der Lizenzen sei ohne vorangegangene Prüfung eines Datenschutzbeauftragten geschehen, heißt es. Zwar sei ein sogenanntes “Data Processing Agreement” (DPA, Auftragsverarbeitungsvertrag) abgeschlossen worden.

Das sei allerdings der Falsche gewesen, denn laut Stadtsprecher Christian von Eichborn wurde im Fall von Microsoft 365 Education ein Standard-Datenverarbeitungsvertrag gewählt und nicht das DPA für Schulen. Finde ich erstaunlich, denn ich hätte bei Microsofts Vertrieb vorausgesetzt, dass die so etwas wissen (ob es überhaupt ein solches DPA für Schulen gibt, habe ich nicht herausfinden können).

Eine Datenschutz-Folgeabschätzung ist für eine geplante Verarbeitung personenbezogener Daten erforderlich, wenn diese Verarbeitung “voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat”. “Man hat das Pferd von hinten aufgezäumt”, sagt von Eichborn, denn die Datenschutzfolgeabschätzung erfolgte nach dem Vertragsabschluss. Die

Problem intern “vor Ostern” bekannt

Öffentlich wurde dies wohl durch Bildungsdezernentin Eva Bender (SPD) am  vergangenen Wochenende (18. April 2026), die die Flucht nach vorne antrat und an die Öffentlichkeit ging. Die Dezernentin gibt an, “vor Ostern” (2026) zum ersten Mal von dem Desaster erfahren und sich über die Feiertage in die Akten und Unterlagen eingelesen zu haben.

Die HAZ zitiert die Bildungsdezernentin: “Es wurde hier im Haus eine falsche Entscheidung getroffen: Es wurden Lizenzen gekauft, die nicht hätten gekauft werden dürfen. Wie es dazu kam, werden wir lückenlos aufklären. Wir werden eine Taskforce gründen, die den Vorgang untersuchen soll.”

Die Bildungsdezernentin droht auch personalrechtliche Konsequenzen an. Außerdem will man ein externes Unternehmen beauftragen, das die organisatorischen und strukturellen Abläufe untersucht.

Aber das “Kind ist in den Brunnen gefallen” – doppelt bitter, man hätte nur nach Kiel schauen können, wo die Landesregierung des benachbarten Bundeslands die Verwaltung auf LibreOffice umstellt und sich von Microsoft Office verabschiedet (siehe Schleswig-Holstein: Schon 80 % der Arbeitsplätze auf LibreOffice umgestellt).

Wenn ich die Ausführungen in der HAZ richtig interpretiere, hat wohl Lobbyismus zu dieser Entscheidung geführt. Es gab im Vorfeld wohl heftige Debatten um den Wechsel auf Microsoft 365. So findet sich der archivierte Artikel Hannovers Schulen sollen von IServ zu Microsoft wechseln – scheitert der Plan am Datenschutz? vom 11. März 2026, wo sich bereits die Brisanz abzeichnete. Dort heißt es, dass Schulen von iServ eigentlich zu Microsoft 365 wechseln sollten. Begründet wurde der ganze Move von der Stadt Hannover, dass “die Kinder mit Microsoft 365 auf das Berufsleben vorbereitet werden sollen”. Es wurde auch “fehlende Administration in Schulen” als Argument genannt.

In der HAZ las ich auch, dass Schulen, die bereits in der Pilotphase Microsoft 365 genutzt haben, kritisierten, dass sie mit dem Programm in der Praxis nicht gut arbeiten konnten.

Microsoft 365 Education in Schulen still gelegt

Das Verfahren ist aber erkennbar dann in die Hose gegangen. Konsequenz der obigen Chose ist, dass die Stadt Hannover sofort die Reißleine ziehen musste. Am Dienstag, den 21. April 2026, wurde Microsoft 365 Education als Schulsoftware an allen Schulen, die es bisher genutzt haben, abgestellt. Wer noch Daten sichern wollte, musste das bis dahin getan haben. Die Mitteilung der Stadt Hannover zu diesem Vorgang lässt sich, samt FAQ,  hier abrufen.

Derzeit will die Stadt Hannover die Verträge mit IServ, Webweaver und anderen Tools verlängern, damit die Schulen arbeitsfähig bleiben. Wann nun Microsoft 365 eingeführt werden kann, wie man die Sache mit den falschen Lizenzen heilen kann, und das was am Ende des Tages kostet, ist derzeit wohl offen.

In der HAZ heißt es dazu: “Klar ist nur, dass es dieses und vermutlich auch nächstes Schuljahr nichts wird”. Die Stadt Hannover muss jetzt den gesamten Prozess, dieses mal vorab mit einer Datenschutzfolgeabschätzung,  neu starten. Erst danach kann es ggf. Verhandlungen über eine korrekte DPA sowie den Neuerwerb von Lizenzen auf der richtigen datenschutzrechtlichen Grundlage geben.

Da Microsoft 365 Education meines Wissens auf Abo-Basis erworben wird, sind die oben erwähnten 324.000 Euro auf Kosten des Steuerzahlers beim Konto “teures Lehrgeld” verbucht worden.

Ähnliche Artikel:
Microsoft Office spioniert Nutzer aus, kollidiert mit DSGVO
Microsoft will Office Pro Plus DSGVO-konform nachbessern
Privacy: Microsoft steht mit Windows 10/Office 365 unter Druck
Datenschutzkonferenz 2022: Microsoft 365 weiterhin nicht datenschutzkonform
Nachbetrachtung zur DSK-Einstufung “Microsoft 365 weiterhin nicht datenschutzkonform”
Datenschutz: Microsoft 365 muss ab Sommer 2022 in Baden-Württembergs Schulen ersetzt worden sein
Microsoft 365 an Schulen, Baden-Württembergs Datenschützer sagt Nein
Kostenloses Microsoft 365 und Google Workspace an Frankreichs Schulen verboten
Office3 65 an Schulen unzulässig – Microsoft-Lizenzkosten für Bund steigen
Microsoft 365 an Schulen: Droht Schadensersatz wegen DSGVO-Verstößen?
DSGVO-Info über Privatsphäreneinstellungen in Office 365 Plus
Noyb reicht gegen Microsoft 365 Education DSGVO-Beschwerden ein
Office365 an Schulen unzulässig – Microsoft-Lizenzkosten für Bund steigen
Hessischer Datenschützer: Office 365 kann DSGVO-konform eingesetzt werden