Office 365 an Schulen: LfDI BW rät ab
Für die Bausteine, bei denen Lösungen von Microsofts Office
365 zum Einsatz kommen sollen, hat das Ministerium für Kultus, Jugend und Sport
Baden-Württemberg vor geraumer Zeit mit externen Partnern eine
Datenschutz-Folgenabschätzung (DSFA) erarbeitet. Die DSFA wurde in Absprache
und enger Kooperation mit dem Landesbeauftragten für den Datenschutz und
die Informationsfreiheit (LfDI) Dr. Stefan Brink beraten und
weiterentwickelt.
Im Pilotprojekt hat der LfDI BW letztes Jahr
geprüft, ob
die in der Datenschutz-Folgenabschätzung beschriebenen Datenflüsse auch den
tatsächlich messbaren Übermittlungen entsprechen und ob ein hinreichendes
Datenschutzniveau auch in der Praxis besteht.
Im Wesentlichen hat der LfDI BW nach eigenen Angaben geprüft, ob die in der DSFA vorgeschlagenen Abhilfemaßnahmen
zur Minimierung der Risiken der Microsoft-Software tatsächlich umgesetzt wurden
und sich als ausreichend erwiesen. Daneben stand im Fokus der Prüfungen, welche
Datenflüsse beim Pilotbetrieb tatsächlich messbar stattfanden, insbesondere ob
unerwünschte beziehungsweise nicht angeforderte Datenverarbeitungen,
beispielsweise von Telemetrie-, Diagnose- (oder anders bezeichneten) Daten,
erkennbar waren und inwieweit die Verarbeitung personenbezogener Daten von
Lehrern und Schülern zu eigenen Zwecken Microsofts festgestellt werden konnten.
Viele hatten wohl auf einen Ritterschlag als Ergebnis der DSFA gehofft, damit der
womöglich geplante Einsatz auch tatsächlich im Unternehmen empfohlen werden
kann.
Das Ergebnis des LfDI BW fiel jedoch mehr als ernüchternd aus:
Die Risiken beim Einsatz der nun erprobten Microsoft-Dienste im Schulbereich bewertete der LfDI BW als inakzeptabel hoch und rät davon ab, diese dort zu nutzen. Die Schulen seien weder in der Lage ihren Rechenschaftspflichten aus Art. 5 Abs. 2 DS-GVO gerecht zu werden, noch sei eine hinreichende Rechtsgrundlage für stattfindende Datenübermittlungen in Regionen außerhalb der EU erkennbar.
Die erhoffte Lösung im Bereich Office 365 scheint also noch nicht gefunden worden zu sein.
(Foto: griangraf – stock.adobe.com)
Verwandte Produkte
Das könnte Sie auch interessieren
-
Folge 90: KI Omnibus Update März 2026 reloaded: Reallabore Spezial
Im DataAgenda-Podcast Folge 89 hat Kai Zenner über die anstehenden Änderungen der KI-Verordnung berichtet, die im August 2026 Geltung erlangen sollen. Einer der Gegenstände der Änderung betrifft das sog. New Legal Framework in Anhang 1. Die dort unter Abschnitt A aufgelisteten Harmonisierungsvorschriften führen zu einer Doppelregulierung. Deshalb sollen die dort aufgeführten Produkte in Abschnitt B
Mehr erfahren -
Folge 89: KI Omnibus Update März 2026
Änderungen der KI-VO stehen in den Startblöcken. So wie es aussieht, wird das am 1. August 2024 in Kraft getretene EU-Gesetz geändert, noch bevor der Großteil der maßgeblichen Pflichten am 2. August 2026 Geltung erlangt. Kai Zenner, Büroleiter von MdEP Axel Voss berichtet am Tag der Ausschussabstimmung im Europäischen Parlament tagesaktuell von Zeitplan und Inhalten
Mehr erfahren -
Folge 88: „NIS-2: Regulierung als Chance oder Bürokratiemonster?“
Mit der fortschreitenden Digitalisierung wachsen nicht nur die Risiken für die Datensicherheit, sondern auch die regulatorischen Anforderungen. Dr. Judith Nink, Fachbereichsleiterin Cybersicherheit bei Unternehmen, Digitale Sicherheit beim Bundesamt für Sicherheit in der Informationstechnologie (BSI), erläutert NIS-2 im europäischen Regulierungskontext. Warum ist NIS-2 notwendig? Was ist zu tun? Wie können Unternehmen das Recht umsetzen und welche
Mehr erfahren
