Nutzung von Office 365 in Schulen kritisch
In einer aktuellen Stellungnahme des Hessischen Beauftragten für Datenschutz und Informationsfreiheit (HBDI) wird der Einsatz von Microsoft Office 365 in hessischen Schulen als problematisch eingestuft.
Der Hessische Beauftragten für Datenschutz und Informationsfreiheit hatte sich bereits August 2017 zum Einsatz von Office 365 in Schulen geäußert.
Nach der damaligen Bewertung genügte die damalige Ausgestaltung den Anforderungen an eine datenschutzkonforme Nutzung. Auschlaggebend war schon damals der Einsatz der von Microsoft zur Verfügung gestellten Tools für das Rollen- und Berechtigungskonzepts und die datenschutzkonforme Konfiguration der Protokollierung.
HBDI revidiert Meinung aus 2017
In seiner aktuellen Bewertung muss der Hessische Datenschützer seine Meinung von damals revidieren. Trotz jahrelanger Diskussionen der Aufsichtsbehörden mit Microsoft seien wichtige Fragen noch ungeklärt und Schulen hätten als öffentliche Einrichtungen eine besondere Verantwortung hinsichtlich Zulässigkeit und Nachvollziehbarkeit der Verarbeitung personenbezogener Daten. Des Weiteren müsse insbesondere für solche Stellen die „digitale Souveränität staatlicher Datenverarbeitung gewährleistet sein“. Diese hohen Anforderungen seien aber nicht erfüllt. Bei der Nutzung von Office 365 sei nach wie vor nicht abschließend geklärt, welche Daten wann, wie und warum erhoben und übertragen werden.
Das Problem sei nach Einschätzung des HBDI auch nicht durch die Einholung einer Einwilligung bei den Eltern der betroffenen Schüler zu lösen.
Der Hessische Beauftragte für Datenschutz und Informationsfreiheit
Verwandte Produkte
Das könnte Sie auch interessieren
-
BSI veröffentlicht Methodikleitfaden für Grundschutz++
Das Bundesamt für Sicherheit in der Informationstechnik hat Anfang April 2026 die erste Version seines Leitfadens zur Methodik des Grundschutz++ veröffentlicht. Das Dokument markiert einen weiteren Schritt bei der Ablösung des klassischen IT-Grundschutzes durch den modernisierten Nachfolgestandard. Inhalt und Zielsetzung Der Leitfaden bildet einen zukunftsgerichteten Ordnungsrahmen für den systematischen Aufbau und die Weiterentwicklung eines Informationssicherheitsmanagementsystems.
Mehr erfahren -
Datenschutzkonforme Anwesenheitsübersicht im Zeiterfassungssystem
Ein Fallbeispiel aus dem sächsischen Tätigkeitsbericht 2025 zeigt, wie die flächendeckende Freischaltung einer „Anwesenheitsübersicht“ in einem elektronischen Zeiterfassungssystem gegen den Grundsatz der Datenminimierung verstoßen kann – und welche Konsequenzen drohen, wenn Verantwortliche die datenschutzrechtliche Erforderlichkeit nicht hinreichend begründen können. Ausgangslage In sächsischen Finanzämtern war die Funktion „Anwesenheitsübersicht“ eines Zeiterfassungssystems zunächst so konfiguriert, dass sämtliche Beschäftigte
Mehr erfahren -
Mieterselbstauskunft: Datenschutzaufsicht zieht klare Grenzen
Ein aktueller Fall (Ziffer 2.2.) aus dem Tätigkeitsbericht 2025 der Sächsichen Datenschutzaufsichtsbehörde verdeutlicht, dass Mieterselbstauskünfte in der Praxis nach wie vor häufig datenschutzrechtlich unzulässige Abfragen enthalten – und dass Aufsichtsbehörden auch ohne festgestellten Verstoß im Einzelfall tätig werden können. Der Fall Ein Mietinteressent erhielt von einem Wohnungsmakler bereits vor der Wohnungsbesichtigung eine umfangreiche Selbstauskunft, die
Mehr erfahren
