Update des LDSB NRW zum Einsatz von Microsoft 365 an Schulen

Der aktuelle Tätigkeitsbericht für das vergangene Jahr 2022 des LDSB NRW gibt uns ein Update zum Einsatz von Microsoft 365 an Schulen in NRW.

Text

Einsatz von Microsoft 365 in Schulen Ein datenschutzgerechter Einsatz von Microsoft 365 in Schulen ist weiterhin zweifelhaft. Microsoft stellt nicht die notwendige Transparenz über die Verarbeitung personenbezogener Daten von Schüler*innen und Lehrer*innen her, die mit dem Produkt arbeiten. Eine Arbeitsgruppe der DSK hat Gespräche mit Microsoft geführt, um das Unternehmen zu Nachbesserungen für einen datenschutzgerechten Einsatz von Microsoft 365 zu bewegen. Die Gespräche sind zwischenzeitlich abgeschlossen. Die DSK hat den Bericht der Arbeitsgruppe in ihrer Sitzung am 24. November 2022 zur Kenntnis genommen. Sie hat daraus den Schluss gezogen, dass Verantwortliche den Nachweis, Microsoft 365 datenschutzgerecht zu betreiben, auf der Grundlage der ihr von Microsoft zur Verfügung gestellten Informationen derzeit nicht führen können. Die Informationen versetzen die Verantwortlichen nicht in die Lage, die ihnen obliegende Rechenschaftspflicht (Art. 5 Abs. 2 DS-GVO) erfüllen zu können. Solange das Unternehmen insbesondere die notwendige Transparenz über die Verarbeitung personenbezogener Daten aus der Auftragsverarbeitung für seine eigenen Zwecke nicht herstelle und deren Rechtmäßigkeit nicht belege, könne der Rechenschaftsnachweis nicht erbracht werden, so die DSK. Die Zusammenfassung des Berichts und der Beschluss der DSK vom 24. November 2022 sind unter dem Link https://www.datenschutzkonferenz-online.de/beschluesse-dsk.html abrufbar. Neben der Arbeitsgruppe der DSK gibt es auch eine noch laufende Gesprächsinitiative aus der Kultusminister*innenkonferenz der Länder mit Microsoft, an der einige Datenschutzaufsichtsbehörden beratend teilnehmen. Diese Initiative zielt darauf, einen datenschutzgerechten Einsatz von Microsoft 365 in Schulen zu erreichen. Wesentlich dafür ist, dass Microsoft die im Auftrag der Schulen verarbeiteten personenbezogenen Daten ausschließlich nach deren Weisung verarbeitet. Schulen sind nicht befugt, einem Unternehmen die Daten ihrer Lehrer*innen und Schüler*innen zu unbekannten Zwecken oder Zwecken zur Verfügung zu stellen, die über das für ihre Aufgabenerfüllung erforderliche Maß hinausgehen. Möglicherweise wird diese rechtliche Besonderheit in Bezug auf Schulen von Microsoft unterschätzt. Schulen, die Microsoft 365 nutzen, sind datenschutzrechtlich verantwortliche Stellen. Bei einer Überprüfung im Einzelfall müssen sie der LDI NRW nachweien können, dass die im Zusammenhang mit dem Einsatz von Microsoft 365 in ihrer Schule stattfindende Datenverarbeitung den datenschutzrechtlichen Vorschriften entspricht. Angesichts der bisherigen Feststellungen der DSK ist kaum vorstellbar, dass den betroffenen Schulen ein solcher Nachweis gelingt. Um Schulen dabei zu unterstützen, einen datenschutzgerechten Auftragsverarbeitungsvertrag mit Microsoft abzuschließen, wird nunmehr von einer Arbeitsgruppe verschiedener Datenschutzbehörden, an der sich auch die LDI NRW beteiligt, eine Handreichung erarbeitet. Die Ergebnisse dieser Prozesse werden wir noch abwarten, bevor wir Aufsichtsmaßnahmen gegen Schulen ergreifen, die ihrer Rechenschaftspflicht nicht nachkommen können. Wir legen derweil in der Kommunikation mit Schulen Wert darauf, dass die Schüler*innen, die bzw. deren Eltern sich über den Einsatz von Microsoft 365 beschwert haben, nicht schutzlos gestellt sind und diskriminiert werden. Daher werden diese Schulen von uns aufgefordert, für die Klasse oder Kurse dieser Schüler*innen Alternativlösungen bereitzustellen, die allen gleichermaßen eine adäquate Teilnahme am Unterrichtsgeschehen ermöglichen. Nur so können wir ohne weitere aufsichtsrechtliche Maßnahmen an den betroffenen Schulen an einer datenschutzgerechten Lösung für alle Schüler*innen weiterarbeiten. Langfristig muss nicht nur in den Schulen, zu denen uns Beschwerdefälle vorliegen, sondern in allen Schulen, die derzeit Microsoft 365 einsetzen, der Datenschutz gewährleistet sein. Wir begrüßen daher die Absicht des Schulministeriums, mit der Weiterentwicklung von LOGINEO NRW datenschutzgerechte Alternativen für den digitalen Unterricht bereitzustellen. Auch die Schulträger sind hier gefordert, ihren Schulen datenschutzgerechte Lösungen anzubieten. In einigen Ländern haben solche Entwicklungen dazu geführt, dass Schulen digitalen Unterricht weitgehend ohne Datenschutzprobleme anbieten können.

=> Wir empfehlen weiterhin allen Verantwortlichen im Schulbereich, datenschutzfreundlichere Alternativen für die Gestaltung des digitalen Unterrichts einzusetzen. Wenn sich mit Microsoft keine datenschutzgerechten Lösungen erreichen lassen, werden wir weitere Aufsichtsmaßnahmen ergreifen müssen.”

Kommentar 

(folgt)

Quelle:

https://www.ldi.nrw.de/system/files/media/document/file/28_datenschutzbericht_2023_ldi-nrw_1.pdf