Office 365 an Schulen: LfDI BW rät (endgültig) ab

MS_SchremsII

Im Rahmen eines Pilotprojekts hatte der LfDI BW bereits 2019 geprüft, ob die in der hierzu erstellten Datenschutz-Folgenabschätzung beschriebenen Datenflüsse auch den tatsächlich messbaren Übermittlungen entsprechen und ob ein hinreichendes Datenschutzniveau auch in der Praxis besteht.

Für die Bausteine, bei denen Lösungen von Microsofts Office 365 zum Einsatz kommen sollen, hatte das Ministerium für Kultus, Jugend und Sport Baden-Württemberg vor geraumer Zeit mit externen Partnern eine Datenschutz-Folgenabschätzung (DSFA) erarbeitet. Die DSFA wurde in Absprache und enger Kooperation mit dem Landesbeauftragten für den Datenschutz und die Informationsfreiheit (LfDI) Dr. Stefan Brink beraten und weiterentwickelt.

Im Wesentlichen hat der LfDI BW nach eigenen Angaben geprüft, ob die in der DSFA vorgeschlagenen Abhilfemaßnahmen zur Minimierung der Risiken der Microsoft-Software tatsächlich umgesetzt wurden und sich als ausreichend erwiesen. Daneben stand im Fokus der Prüfungen, welche Datenflüsse beim Pilotbetrieb tatsächlich messbar stattfanden, insbesondere ob unerwünschte beziehungsweise nicht angeforderte Datenverarbeitungen, beispielsweise von Telemetrie-, Diagnose- (oder anders bezeichneten) Daten, erkennbar waren und inwieweit die Verarbeitung personenbezogener Daten von Lehrern und Schülern zu eigenen Zwecken Microsofts festgestellt werden konnten.

Für einen Pilotbetrieb zwischen Herbst 2020 und Frühling 2021 wurde nach Angaben des LfDI BW vom Kultusministerium in Zusammenarbeit mit den beteiligten Dienstleistern und hochrangigen Vertretern von Microsoft eine funktionell eingeschränkte und möglichst datenschutzkonforme Konfiguration von MS 365 gewählt. Datenschutzrechtlich besonders bedenkliche Funktionen von MS 365 waren abgeschaltet bzw. wurden soweit möglich deaktiviert, wie z.B. die Erfassung von Telemetrie- und Diagnosedaten. Weiterhin wurden zusätzliche Sicherheitsfunktionen implementiert und Accounts nur für Lehrkräfte vergeben, nicht jedoch für Schülerinnen und Schüler.

Viele hatten wohl auf einen Ritterschlag als Ergebnis der DSFA und des Pilorprojekts gehofft, damit der womöglich geplante Einsatz auch tatsächlich im Unternehmen empfohlen werden kann. Das Ergebnis des LfDI BW fiel jedoch mehr als ernüchternd aus:

Die Risiken beim Einsatz der nun erprobten Microsoft-Dienste im Schulbereich bewertete der LfDI BW als inakzeptabel hoch und rät davon ab, diese dort zu nutzen. Die Schulen seien weder in der Lage ihren Rechenschaftspflichten aus Art. 5 Abs. 2 DS-GVO gerecht zu werden, noch sei eine hinreichende Rechtsgrundlage für stattfindende Datenübermittlungen in Regionen außerhalb der EU erkennbar.

Der LfDI hat auch im Rahmen des Pilotprojekts ein sehr hohes Risiko für die Verletzung von Rechten und Freiheiten betroffener Personen festgestellt, v.a. weil hier mit personenbezogene Daten von Schülerinnen und Schülern, d.h. zum großen Teil von Minderjährigen, die unter besonderen Schutz des Staates stehen und deren besonderer Schutzbedürftigkeit auch die Datenschutz-Grundverordnung anerkennt, gearbeitet werde. Da im Piloten eine sehr restriktive Konfiguration geprüft wurde, geht der LfDI davon aus, dass auch andere Konfigurationen entsprechende oder weitergehende datenschutzrechtliche Problem aufwerfen und deswegen kaum datenschutzkonform betrieben werden können.

Die erhoffte Lösung im Bereich Office 365 scheint also noch nicht gefunden worden zu sein.

(Foto: griangraf – stock.adobe.com)

Letztes Update:26.04.22

  • Online-Kompaktkurs: Windows 10-Sicherheit und Datenschutz

    Online-Kompaktkurs: Windows 10-Sicherheit und Datenschutz

    Online-Kompaktkurs

    138.04 € Mehr erfahren
  • Online-Kompaktkurs: Ende des EU-US Privacy Shield - was nun?

    Online-Kompaktkurs: Ende des EU-US Privacy Shield - was nun?

    Online-Kompaktkurs

    138.04 € Mehr erfahren
  • Microsoft 365/Office 365 datenschutzrechtlich bändigen

    Microsoft 365/Office 365 datenschutzrechtlich bändigen

    Online-Kompaktkurs

    141.61 € Mehr erfahren
  • Beschäfigtendatenschutz Tätigkeitsbericht LfDI RLP

    Zulässige Erhebung privater Kontaktdaten von Beschäftigten

    Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit (LfDI), Prof. Dr. Dieter Kugelmann, hat Anfang Mai 2022 den 29. Tätigkeitsbericht zum Datenschutz veröffentlicht.Unter Ziffer 6 des Tätigkeitsberichts bespricht der LfDI RLP einige Fragen aus dem Bereich des Beschäftigtendatenschutzes, die sich der Behörde vor dem Hintergrund der Bekämpfung der Corona-Pandemie gestellt haben. Konkret geht es darum,

    Mehr erfahren
  • Online Handel, Gast-Zugang

    DSK sieht Gast-Zugang als Voraussetzung für datenschutzkonformen Online-Handel

    Der aktuelle Beschluss der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder dürfte einige Online-Händler aufgeschreckt haben, da die Umsetzung dieses „Beschlusses“ (Hinweise der DSK – Datenschutzkonformer Online-Handel mittels Gastzugang) mit zusätzlichem Aufwand und somit auch mit zusätzlichen Kosten verbunden sein dürfte. Im Kern fordert der Beschluss folgendes:„Verantwortliche, die Waren oder Dienstleistungen im Onlinehandel

    Mehr erfahren
  • EU weit harmonisierte Bußgelder

    Bußgelder für Datenschutzverstöße sollen europaweit harmonisiert werden

    Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hatte bereits im Oktober 2019 ihr angekündigtes Konzept zur Zumessung von Geldbußen bei Verstößen gegen die DS-GVO durch Unternehmen vorgelegt. Das Konzept für Bußgeldzumessung gestaltete im Wesentlichen die Vorgaben des Art. 83 DS-GVO aus und war auf Fortentwicklung angelegt. Ziel des Konzepts war es, den Datenschutzaufsichtsbehörden

    Mehr erfahren