Office 365 an Schulen: LfDI BW rät (endgültig) ab

MS_SchremsII

Im Rahmen eines Pilotprojekts hatte der LfDI BW bereits 2019 geprüft, ob die in der hierzu erstellten Datenschutz-Folgenabschätzung beschriebenen Datenflüsse auch den tatsächlich messbaren Übermittlungen entsprechen und ob ein hinreichendes Datenschutzniveau auch in der Praxis besteht.

Für die Bausteine, bei denen Lösungen von Microsofts Office 365 zum Einsatz kommen sollen, hatte das Ministerium für Kultus, Jugend und Sport Baden-Württemberg vor geraumer Zeit mit externen Partnern eine Datenschutz-Folgenabschätzung (DSFA) erarbeitet. Die DSFA wurde in Absprache und enger Kooperation mit dem Landesbeauftragten für den Datenschutz und die Informationsfreiheit (LfDI) Dr. Stefan Brink beraten und weiterentwickelt.

Im Wesentlichen hat der LfDI BW nach eigenen Angaben geprüft, ob die in der DSFA vorgeschlagenen Abhilfemaßnahmen zur Minimierung der Risiken der Microsoft-Software tatsächlich umgesetzt wurden und sich als ausreichend erwiesen. Daneben stand im Fokus der Prüfungen, welche Datenflüsse beim Pilotbetrieb tatsächlich messbar stattfanden, insbesondere ob unerwünschte beziehungsweise nicht angeforderte Datenverarbeitungen, beispielsweise von Telemetrie-, Diagnose- (oder anders bezeichneten) Daten, erkennbar waren und inwieweit die Verarbeitung personenbezogener Daten von Lehrern und Schülern zu eigenen Zwecken Microsofts festgestellt werden konnten.

Für einen Pilotbetrieb zwischen Herbst 2020 und Frühling 2021 wurde nach Angaben des LfDI BW vom Kultusministerium in Zusammenarbeit mit den beteiligten Dienstleistern und hochrangigen Vertretern von Microsoft eine funktionell eingeschränkte und möglichst datenschutzkonforme Konfiguration von MS 365 gewählt. Datenschutzrechtlich besonders bedenkliche Funktionen von MS 365 waren abgeschaltet bzw. wurden soweit möglich deaktiviert, wie z.B. die Erfassung von Telemetrie- und Diagnosedaten. Weiterhin wurden zusätzliche Sicherheitsfunktionen implementiert und Accounts nur für Lehrkräfte vergeben, nicht jedoch für Schülerinnen und Schüler.

Viele hatten wohl auf einen Ritterschlag als Ergebnis der DSFA und des Pilorprojekts gehofft, damit der womöglich geplante Einsatz auch tatsächlich im Unternehmen empfohlen werden kann. Das Ergebnis des LfDI BW fiel jedoch mehr als ernüchternd aus:

Die Risiken beim Einsatz der nun erprobten Microsoft-Dienste im Schulbereich bewertete der LfDI BW als inakzeptabel hoch und rät davon ab, diese dort zu nutzen. Die Schulen seien weder in der Lage ihren Rechenschaftspflichten aus Art. 5 Abs. 2 DS-GVO gerecht zu werden, noch sei eine hinreichende Rechtsgrundlage für stattfindende Datenübermittlungen in Regionen außerhalb der EU erkennbar.

Der LfDI hat auch im Rahmen des Pilotprojekts ein sehr hohes Risiko für die Verletzung von Rechten und Freiheiten betroffener Personen festgestellt, v.a. weil hier mit personenbezogene Daten von Schülerinnen und Schülern, d.h. zum großen Teil von Minderjährigen, die unter besonderen Schutz des Staates stehen und deren besonderer Schutzbedürftigkeit auch die Datenschutz-Grundverordnung anerkennt, gearbeitet werde. Da im Piloten eine sehr restriktive Konfiguration geprüft wurde, geht der LfDI davon aus, dass auch andere Konfigurationen entsprechende oder weitergehende datenschutzrechtliche Problem aufwerfen und deswegen kaum datenschutzkonform betrieben werden können.

Die erhoffte Lösung im Bereich Office 365 scheint also noch nicht gefunden worden zu sein.

(Foto: griangraf – stock.adobe.com)

Letztes Update:26.04.22

  • Folge 34: ChatGPT & Co: Neues aus dem Maschinenraum der EU-Datenregulierung – KI und ePrivacy

    Die Europäische Union arbeitet mit Nachdruck an der Umsetzung der Datenstrategie 2020. Die geplanten und angegangenen Regelwerke sind für Spezialisten kaum durchschaubar und waren Gegenstand des DataAgenda Datenschutzpodcasts #29 mit Kai Zenner, dem Büroleiter und Digitalreferenten von MdEP Axel Voss von der EVP. In seinem „RDV-Update aus Brüssel“ berichtet Zenner in der RDV regelmäßig über

    Mehr erfahren
  • Personalunion Interessenkollision

    Personalunion: Beauftragter für Informationssicherheit und Datenschutzbeauftragter

    Die Meinungen zu der Frage, ob und welche zusätzlichen Funktionen einen Datenschutzbeauftragter in eine Interessenkollision bringen, sind uneinheitlich. Der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit (TLfDI):Der TLfDI geht in seinem 2. Tätigkeitsbericht zum Datenschutz nach der DS-GVO (Berichtsjahr 2019, veröffentlicht am 22.10.2020) auf die Fragen von möglichen Interessenkollisionen für die Tätigkeit des Datenschutzbeauftragten ein (vgl.

    Mehr erfahren
  • Social-Media Nutzung für Mediziner: Wo liegen die Fallstricke?

    In der dritten und damit aktualisierten Auflage ihrer Handreichung „Ärztinnen und Ärzte in sozialen Medien“ gibt die Bundesärztekammer Ärtzt_innen aber auch allen Medizinstudierenden wertvolle Hinweise, die sie bei der Nutzung Sozialer Medien beachten sollten. Die 1. Auflage der Handreichung war aus dem Beschluss des 115. Deutschen Ärztetags 2012 zur Erarbeitung von Empfehlungen für Ärzte in

    Mehr erfahren