Office 365 an Schulen: LfDI BW rät ab

O365 an Schulen

Für die Bausteine, bei denen Lösungen von Microsofts Office 365 zum Einsatz kommen sollen, hat das Ministerium für Kultus, Jugend und Sport Baden-Württemberg vor geraumer Zeit mit externen Partnern eine Datenschutz-Folgenabschätzung (DSFA) erarbeitet. Die DSFA wurde in Absprache und enger Kooperation mit dem Landesbeauftragten für den Datenschutz und die Informationsfreiheit (LfDI) Dr. Stefan Brink beraten und weiterentwickelt.

Im Pilotprojekt hat der LfDI BW letztes Jahr geprüft, ob die in der Datenschutz-Folgenabschätzung beschriebenen Datenflüsse auch den tatsächlich messbaren Übermittlungen entsprechen und ob ein hinreichendes Datenschutzniveau auch in der Praxis besteht.

Im Wesentlichen hat der LfDI BW nach eigenen Angaben geprüft, ob die in der DSFA vorgeschlagenen Abhilfemaßnahmen zur Minimierung der Risiken der Microsoft-Software tatsächlich umgesetzt wurden und sich als ausreichend erwiesen. Daneben stand im Fokus der Prüfungen, welche Datenflüsse beim Pilotbetrieb tatsächlich messbar stattfanden, insbesondere ob unerwünschte beziehungsweise nicht angeforderte Datenverarbeitungen, beispielsweise von Telemetrie-, Diagnose- (oder anders bezeichneten) Daten, erkennbar waren und inwieweit die Verarbeitung personenbezogener Daten von Lehrern und Schülern zu eigenen Zwecken Microsofts festgestellt werden konnten.

Viele hatten wohl auf einen Ritterschlag als Ergebnis der DSFA gehofft, damit der womöglich geplante Einsatz auch tatsächlich im Unternehmen empfohlen werden kann.
Das Ergebnis des LfDI BW fiel jedoch mehr als ernüchternd aus:

Die Risiken beim Einsatz der nun erprobten Microsoft-Dienste im Schulbereich bewertete der LfDI BW als inakzeptabel hoch und rät davon ab, diese dort zu nutzen. Die Schulen seien weder in der Lage ihren Rechenschaftspflichten aus Art. 5 Abs. 2 DS-GVO gerecht zu werden, noch sei eine hinreichende Rechtsgrundlage für stattfindende Datenübermittlungen in Regionen außerhalb der EU erkennbar.

Die erhoffte Lösung im Bereich Office 365 scheint also noch nicht gefunden worden zu sein.

(Foto: griangraf – stock.adobe.com)

Letztes Update:16.05.21

  • Fingerabdruck im Personalausweis rechtens

    EuGH: Pflicht zur Aufnahme von Fingerabdrücken im Personalausweis ist zulässig

    Der EuGH hat entschieden, dass die Verpflichtung zur Aufnahme von zwei Fingerabdrücken im Personalausweis mit dem Unionsrecht vereinbar ist, obwohl die zugrunde liegende europäische Verordnung auf einer falschen Rechtsgrundlage beruht. Ein deutscher Staatsbürger hatte sich gegen die Weigerung der Stadt Wiesbaden gewandt, ihm einen neuen Personalausweis ohne Fingerabdrücke auszustellen. Der EuGH stellte fest, dass die

    Mehr erfahren
  • Abfrage des Geburtsdatums beim Online-Shopping nicht immer zulässig

    Mit der Rechtmäßigkeit einer datenschutzrechtlichen Anordnung hat sich das OVG Niedersachsen befasst. Im Ergebnis hat das OVG einer Online-Apotheke untersagt, als verpflichtende Angabe im Bestellprozess stets das Geburtsdatum abzufragen. Die niedersächsische Datenschutzbehörde hatte die Apotheke aufgefordert, unabhängig von der Art des bestellten Medikaments das Geburtsdatum und die Anrede des Bestellers nicht mehr abzufragen. Die Apotheke

    Mehr erfahren
  • Datenschutzbeauftragte: Deutsches Modell bleibt

    Die Institution „Datenschutzbeauftragte“ ist so alt wie das deutsche Datenschutzrecht, auf Bundesebene gibt es sie seit 1977. Viele sehen es als einen großen Erfolg, dass die Datenschutz-Grundverordnung (DS-GVO) die bewährte deutsche Regelung übernommen hat und die Bestellung von Datenschutzbeauftragten seit Wirksamwerden der DS-GVO in der Europäischen Union vorsieht. Mit den Datenschutzbeauftragten stehen Unternehmen (und Behörden)

    Mehr erfahren