Nutzung von Office 365 in Schulen kritisch
In einer aktuellen Stellungnahme des Hessischen Beauftragten für Datenschutz und Informationsfreiheit (HBDI) wird der Einsatz von Microsoft Office 365 in hessischen Schulen als problematisch eingestuft.
Der Hessische Beauftragten für Datenschutz und Informationsfreiheit hatte sich bereits August 2017 zum Einsatz von Office 365 in Schulen geäußert.
Nach der damaligen Bewertung genügte die damalige Ausgestaltung den Anforderungen an eine datenschutzkonforme Nutzung. Auschlaggebend war schon damals der Einsatz der von Microsoft zur Verfügung gestellten Tools für das Rollen- und Berechtigungskonzepts und die datenschutzkonforme Konfiguration der Protokollierung.
HBDI revidiert Meinung aus 2017
In seiner aktuellen Bewertung muss der Hessische Datenschützer seine Meinung von damals revidieren. Trotz jahrelanger Diskussionen der Aufsichtsbehörden mit Microsoft seien wichtige Fragen noch ungeklärt und Schulen hätten als öffentliche Einrichtungen eine besondere Verantwortung hinsichtlich Zulässigkeit und Nachvollziehbarkeit der Verarbeitung personenbezogener Daten. Des Weiteren müsse insbesondere für solche Stellen die „digitale Souveränität staatlicher Datenverarbeitung gewährleistet sein“. Diese hohen Anforderungen seien aber nicht erfüllt. Bei der Nutzung von Office 365 sei nach wie vor nicht abschließend geklärt, welche Daten wann, wie und warum erhoben und übertragen werden.
Das Problem sei nach Einschätzung des HBDI auch nicht durch die Einholung einer Einwilligung bei den Eltern der betroffenen Schüler zu lösen.
Der Hessische Beauftragte für Datenschutz und Informationsfreiheit
Verwandte Produkte
Das könnte Sie auch interessieren
-
BSI veröffentlicht Handreichung zur NIS-2-Geschäftsleitungsschulung
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine neue Handreichung zur Geschäftsleitungsschulung im Rahmen der NIS-2-Umsetzung veröffentlicht. Die Publikation richtet sich an Führungsebenen von Unternehmen und Einrichtungen, die künftig unter die NIS-2-Regulierung fallen – also als „wichtige“ oder „besonders wichtige Einrichtungen“ gelten. Ziel ist es, Geschäftsleitungen auf ihre neuen Pflichten im Bereich Cybersicherheit
Mehr erfahren -
Refurbished Notebook mit ungelöschten Daten – wer ist verantwortlich?
Der Erwerb gebrauchter oder „refurbished“ IT-Geräte wirft nicht nur technische, sondern auch datenschutzrechtliche Fragen auf. Besonders heikel wird es, wenn auf einem erworbenen Notebook noch personenbezogene Daten des Vorbesitzers vorzufinden sind. Doch wer trägt in diesem Fall die Verantwortung nach der DS-GVO? Verantwortlichenbegriff nach Art. 4 Nr. 7 DS-GVO Nach Art. 4 Nr. 7 DS-GVO
Mehr erfahren -
Leitfaden für Penetrationstests von LLMs
Die Allianz für Cyber-Sicherheit hat einen Leitfaden veröffentlicht, der sich mit Penetrationstests für Large Language Models (LLMs) befasst. Ziel ist es, klassische Prüfmethoden aus dem Bereich der IT-Sicherheit auf die spezifischen Eigenschaften und Risiken von LLMs zu übertragen. Für Datenschutz- und Compliance-Verantwortliche ist das Dokument besonders interessant, da Schwachstellen in KI-Systemen unmittelbare Auswirkungen auf die
Mehr erfahren
