40 121 (1023)                                                                    17.12.2019 Einsatz von Microsoft Office 365 im pädagogischen Bereich der Schulen hier: Faktensammlung, datenschutzrechtliche Einschätzung und Lösungsansätze - kritisch: - permanente, verschlüsselte Kommunikation mit MS - CLOUD Act (früher nur Rechtshilfe, jetzt jederzeit ohne Kenntnis der Verantwortlichen oder Betroffenen) Feststellung EU-Datenschutzausschuss 07/2019: nur innerhalb sehr enger Grenzen DSGVO-konform, solange es kein datenschutzkonformes inter- nationales Abkommen gibt - verantwortlich: grundsätzlich Schulleitung, aber ggf. präjudizierende Wirkung aufgrund der Bereitstellung durch den Schulträger, ggf. ebenfalls Auswirkung Vertragsschluss zwischen MS und Schulträger - keine offizielle Einschätzung der Datenschutzbehörden in Deutschland - lediglich hessischer Beauftragter für Datenschutz, zuletzt 02.08.2019 - außerordentlich komplex und aufwendig, Prüfung nicht abgeschlossen - Duldung, wenn bereits beschafft oder haushaltsrechtlich gesichert - Schulen müssen vorläufig die Übermittlung jedweder Art von Diagnosedaten unterbinden - keine offizielle Aussage des (eines) Schulministeriums - Prüfungen, in Auftrag gegeben von dem niederländischen Justizministerium - Ergebnis 11/2018: erhebliche Verstöße gegen DSGVO, systematische Datenerfassung im großen Umfang, ohne Information der Nutzer, verschlüsselter Datentransfer nicht einsehbar, keine Kontrolle über Art und Umfang der Daten - neue Prüfung Mai/Juni 2019: Office 365 ProPlus, Version 1905, könnte durchaus vergleichbar mit der von uns genutzten EDU-Version sein Ergebnis: Gutachten mit 100 Seiten Umfang, MS habe deutlich nachgebessert, keine hohen Risiken mehr erkennbar, aber Voraussetzungen: - Vertrag (Probleme: Verhandlungsstärke, Zeit) - organisatorische Vorgaben (Konfiguration) - Lösungsansätze: - Unterscheidung in: - Funktionsdaten (nur zum Zwecke der Bereitstellung, lt. MS-Bedingungen weitere Nutzung ausgeschlossen, eher unkritisch) - Inhaltsdaten (sehr kritisch -> Verbot der Verarbeitung/Speicherung persönlicher Daten) - Diagnosedaten (kritisch -> zwingende Vorgabe einer datensparsamen Konfigu- ration, aber: komplex, ggf. Aufwand für Schulen, muss regelmäßig angepasst werden) - anonyme/pseudonyme Accounts manuell anlegen (vergleichbar der Empfehlung des LDI Rheinland Pfalz zur Nutzung von Google Diensten aus 2017)

- weitere Lösungsansätze: - ID-Management-System zur Anonymisierung von Nutzerdaten - Univention Office 365 Connector (besonders bei Nutzung privater Endgeräte) - eperi - Beschränkung auf die schuleigenen Geräte am Standort (aber: mögliche Lösung durch Univention Office 365 Connector, vgl. oben) - verbindliches Unterrichtsmodul zum verantwortungsvollen Umgang mit Daten - Nutzungsvereinbarung mit den Schülerinnen und Schülern - Aktivierung der kommunalen Spitzenverbände, damit diese auf das Land zugehen (Verhandlungsmacht) -> MS optimiert bzw. schließt Vertrag vergleichbar dem niederländischen Modell - nachrichtlich: - MS beabsichtigt neue Cloud Deutschland; aber weiterhin Problem CLOUD Act - offizielle Stellungnahme der Datenschutzbehörden eher unwahrscheinlich, internationales Abkommen wohl nicht in Arbeit