In ihrem aktuellen Tätigkeitsbericht hat sich die Landesbeauftragte für Datenschutz und Informationssicherheit Nordrhein-Westfalen (LfDI NRW) mit dem Einsatz von Microsoft 365 in Schulen beschäftigt. Sie kommt zu dem Ergebnis, dass ein datenschutzgerechter Einsatz weiterhin zweifelhaft sei. Insbesondere stelle Microsoft nicht die notwendige Transparenz über die Verarbeitung personenbezogener Daten von Schüler*innen und Lehrer*innen her.

Gespräche mit Microsoft

Grundlage dieser Einschätzung sind die Ergebnisse der Gespräche, die eine Arbeitsgruppe der Datenschutzkonferenz (DSK) mit Microsoft geführt hat. Ziel dieser Gespräche war es, Microsoft zu Nachbesserungen für einen datenschutzgerechten Einsatz von Microsoft 365 zu bewegen. Im Ergebnis seien Verantwortliche auf Grundlage der von Microsoft zur Verfügung gestellten Informationen derzeit allerdings nicht in der Lage, den Nachweis zu führen, Microsoft 365 datenschutzgerecht betreiben zu können. Dabei gehe es insbesondere um die notwendige Transparenz über die Verarbeitung personenbezogener Daten aus der Auftragsverarbeitung für eigenen Zwecke und den Nachweis der Rechtmäßigkeit dieser Verarbeitung. Die Zusammenfassung des Berichts und der Beschluss der DSK vom 24. November 2022 sind hier abrufbar.

Microsoft 365 an Schulen

Neben der Arbeitsgruppe der DSK gibt es auch eine noch laufende Gesprächsinitiative der Kultusminister*innenkonferenz der Länder mit Microsoft, an der sich auch einige Datenschutzaufsichtsbehörden beteiligen. Diese Initiative zielt darauf, einen datenschutzgerechten Einsatz von Microsoft 365 insbesondere in Schulen zu erreichen. Wesentlich dafür ist, dass Microsoft die im Auftrag der Schulen verarbeiteten personenbezogenen Daten ausschließlich nach deren Weisung verarbeitet. Schulen sind nicht befugt, einem Unternehmen die Daten ihrer Lehrer*innen und Schüler*innen zu unbekannten Zwecken oder Zwecken, die über das für ihre Aufgabenerfüllung erforderliche Maß hinausgehen, zur Verfügung zu stellen. Bei einer datenschutzrechtlichen Überprüfung müsse die Schule eben genau diese Vorgaben nachweisen können. Angesichts der bisherigen Feststellungen der Datenschutzkonferenz sei kaum vorstellbar, dass den betroffenen Schulen ein solcher Nachweis gelingen könnte.

Erarbeitung Handreichung zum Abschluss eines datenschutzkonformen Auftragsverarbeitungsvertrags

Um Schulen dabei zu unterstützen, einen datenschutzgerechten Auftragsverarbeitungsvertrag mit Microsoft abzuschließen und damit insgesamt zu einem datenschutzkonformen Einsatz von Microsoft 365 zu kommen, werde nunmehr von einer Arbeitsgruppe, bestehend aus Mitarbeitenden verschiedener Datenschutzbehörden, eine Handreichung erarbeitet. Die LfDI NRW werde die Ergebnisse dieser Prozesse noch abwarten, bevor Aufsichtsmaßnahmen gegen Schulen, die ihrer Rechenschaftspflicht nicht nachkämen, ergriffen würden. Solange lege man in der Kommunikation mit Schulen Wert darauf, dass die Schüler*innen, die bzw. deren Eltern sich über den Einsatz von Microsoft 365 beschwert haben, nicht schutzlos gestellt seien und diskriminiert würden. Daher würden Schulen aufgefordert, für die Klasse oder Kurse dieser Schüler*innen Alternativlösungen bereitzustellen, die allen gleichermaßen eine adäquate Teilnahme am Unterrichtsgeschehen ermöglichen. Nur so könne ohne weitere aufsichtsrechtliche Maßnahmen an den betroffenen Schulen an einer datenschutzgerechten Lösung für alle Schüler*innen weitergearbeitet werden.

Weiterentwicklung datenschutzkonformer Alternativen

Solange der Prozess hier noch nicht abgeschlossen sei und zumindest in Betracht gezogen werden müsse, dass eine Datenschutzkonformität nicht gewährleistet werden könne, empfiehlt die LfDI NRW allen Verantwortlichen im Schulbereich, datenschutzfreundliche Alternativen für die Gestaltung von digitalem Unterricht bereitzustellen. In Nordrhein-Westfalen werde zum Beispiel die Plattform LOGINEO NRW als datenschutzgerechte Alternativen für den digitalen Unterricht weiterentwickelt.

| | | , , ,