Handreichung zur Nutzung von Office 365 an Schulen Felix Müller, Jörg Schanko, Peter Vogl Version 27.10.2020 0

Inhalt 1.   Vorwort                .......................................................................................................................... 2 2.   Einführung in die DSGVO ................................................................................................................ 3 2.1.   Allgemeine Beschreibungen und Definitionen ....................................................................... 3 2.1.1.    Allgemeines zur Datenschutzgrundverordnung ............................................................. 3 2.1.2.    Zentrale Aussagen der DSGVO ........................................................................................ 3 2.1.3.    Verarbeitung im Auftrag ................................................................................................. 3 2.1.4.    Welche Gesetze sind im Zusammenhang mit IT zu beachten? ...................................... 4 2.1.5.    Einsatz von IT gestütztem Unterricht.............................................................................. 4 2.2.   Rechte und Möglichkeiten der Aufsichtsbehörden ................................................................ 5 2.3.   Datenschutz der Länder .......................................................................................................... 6 3.   Datenschutz an Schulen .................................................................................................................. 6 3.1.   Verantwortlicher ..................................................................................................................... 6 3.2.   Rechtsgrundlage für die Verarbeitung .................................................................................... 7 3.2.1.    Rechtgrundlage für Office 365 Education als pädagogisches System ............................ 7 3.2.2.    Dienstvereinbarung für Lehrer und Lehrerinnen ............................................................ 7 3.2.3.    Einwilligung der Nutzer ................................................................................................... 7 3.3.   Datenschutzbeauftragter ........................................................................................................ 7 3.4.   Auftragsverarbeitung .............................................................................................................. 8 3.5.   Verzeichnis von Verarbeitungstätigkeiten und technische/organisatorische Maßnahmen .. 8 3.6.   Nutzungsordnung.................................................................................................................... 9 3.7.   Zusammenfassung .................................................................................................................. 9 4.   Anhang                 ........................................................................................................................ 11 4.1.   Abkürzungen ......................................................................................................................... 11 4.2.   Links/Quellen/Normen ......................................................................................................... 11 4.3.   Muster ................................................................................................................................... 14 1

1. Vorwort Die vorliegende Handreichung bietet Bildungseinrichtungen die Möglichkeit, die nach dem 25.05.2018 nach der DSGVO geltenden Datenschutzregeln umzusetzen. Alle Checklisten und Muster können für die täglichen Aufgaben und die Dokumentation und Umsetzung des Datenschutzes genutzt und ergänzt werden. Die Handreichung stellt dabei keine Rechtsberatung dar und kann auch keine umfangreiche Beratung durch einen Datenschutzbeauftragen ersetzen. Die Autoren sind über dankbar über                   Anmerkungen     und      konstruktive   Kritik. Feedback bitte an eine der folgenden E-Mails: •    feedback@cczone.de •    info@konverion.de •    info@drvis.de 2

2. Einführung in die DSGVO 2.1. Allgemeine Beschreibungen und Definitionen 2.1.1. Allgemeines zur Datenschutzgrundverordnung Die europäische Datenschutzgrundverordnung https://aka.ms/dsgvo-grundverordnung regelt die automatisierte Verarbeitung von personenbezogenen Daten, also Daten, mit denen sich ein eindeutiger Bezug zu einer Person herstellen lässt. Es geht also nicht um den Schutz geistigen Eigentums. Die Kernidee ist, dass es für die Verarbeitung personenbezogener Daten einen vernünftigen, schlüssigen Grund geben muss und die Betroffenen das Recht haben, zu erfahren, •    Wer Zugriff auf die Daten hat? •    Warum der Zugriff besteht? •    Wo die Daten verarbeitet werden? •    Wie lange eine Verarbeitung erfolgt? 2.1.2. Zentrale Aussagen der DSGVO Artikel 1 (3) der DSGVO lautet: „Der freie Verkehr personenbezogener Daten in der Union darf aus Gründen des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten weder eingeschränkt noch verboten werden“. Daher ist eine Beschränkung auf Deutschland oder eine Beschränkung auf die eigenen Räumlichkeiten nicht zulässig. Damit spielt erstmals das "wo" keine Rolle, sondern nur das "wie". Eine Bildungseinrichtung ist nach Artikel 32 DSGVO verpflichtet, darüber Auskunft geben zu können, welche Maßnahmen in technischer und organisatorischer Hinsicht getroffen wurden, um die Datenschutzbestimmungen einzuhalten. Die technischen Schutzmaßnahmen müssen „dem aktuellen Stand der Technik“ entsprechen. Diese Forderung bedeutet eine vollkommene Abkehr vom bisherigen Prinzip „my home is my castle“, welches im alten Bundesdatenschutzgesetz vertreten wurde. Das Gesetz setzt sich erstmals mit den dramatisch wachsenden Gefahren durch technische Sicherheitslücken auseinander und verlangt den technisch bestmöglichen Schutz personenbezogener Daten in Abhängigkeit von den Nachteilen, die einer Person durch deren unbeabsichtigte Veröffentlichung entstehen können. Im Kern anerkennt die DSGVO damit, dass angesichts der Entwicklung des Internets ein adäquater Datenschutz durch eine lokale Serverinfrastruktur in aller Regel nicht mehr erbracht werden kann. Nur sehr große, professionell betriebene und entsprechend ausgestattete Rechenzentren verfügen über die Mittel, den wachsenden Bedrohungen wirksame Schutzmaßnahmen entgegensetzen zu können. Dies wiederholt im gewissen Sinne die Jahrzehnte alte Entwicklung in einem anderen Bereich: weg vom Kohle- oder Ölofen in jeder Wohnung hin zur heutigen Fernwärme. Niemand wird heute den dadurch erreichten Sicherheitsgewinn mehr bestreiten. 2.1.3. Verarbeitung im Auftrag Wenn eine Bildungseinrichtung ihre IT nicht mehr selbst betreiben will oder soll, wer ist dann verantwortlich? Es ist wichtig zu verstehen, dass die Datenschutzverantwortung bei jedem IT- Dienst, den die Bildungseinrichtung einsetzt, zur Gänze bei der Bildungseinrichtung liegt, nicht beim Kultusministerium, nicht beim Schulträger, uns schon gar nicht beim Auftragsverarbeiter wie z. B. Microsoft. Bildlich gesprochen bietet Microsoft ein Fahrzeug an, das nach StVO alle Vorschriften erfüllt und zugelassen ist, aber der Fahrer ist die Bildungseinrichtung. Sie muss 3

festlegen, warum welche personenbezogenen Daten verarbeitet und gespeichert werden, wie lange sie gespeichert bleiben und wer Zugriff auf die Daten hat. Für die Auswahl von IT-Dienstleistern (Auftragsverarbeiter nach Art. 28 DSGVO) gelten in der DSGVO wesentlich strengere Maßstäbe und eine Bildungseinrichtung muss konkret nachweisen können, dass die Auswahl nach objektiven datenschutzrechtlichen Kriterien erfolgt ist, z.B. durch eine Zertifizierung des Anbieters. So sind die Microsoft EU Rechenzentren nach dem Datenschutz-Standards ISO 27001 und 27018 (https://aka.ms/compliance-angebote) zertifiziert. Artikel 28 (1) lautet: „Erfolgt eine Verarbeitung im Auftrag eines Verantwortlichen, so arbeitet dieser nur mit Auftragsverarbeitern, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt …“. 2.1.4. Welche Gesetze sind im Zusammenhang mit IT zu beachten? Grundsätzlich gibt es eine Gesetzes-Hierarchie: EU Recht wie die DSGVO geht vor Bundesrecht geht vor Landesrecht. Bei Konflikten gilt das Gesetz der übergeordneten Instanz, untergeordnete Gesetze regeln Dinge, die im übergeordneten nicht geregelt sind. Im Gegensatz zu früher gilt die DSGVO für öffentliche und nicht öffentliche Organisationen gleichermaßen und sie ist das relevante Gesetz für alle datenschutzrechtlichen Aspekte. Die DSGVO sieht allerdings Öffnungsklauseln für den öffentlichen Dienst vor. Das neue Bundesdatenschutzgesetz und die neuen Landesdatenschutzgesetze nutzen diese zur Regelung von Gefahrenabwehr (z. B. mittels Videoüberwachung), Strafverfolgung und -vollzug und Dienstvereinbarungen. Relevant sind diese Öffnungsklauseln für öffentliche Bildungseinrichtungen in einem kleinen Teilaspekt auch deswegen, weil sie danach von der Verhängung von Geldbußen befreit werden (was derzeit in den meisten Bundesländern allerdings noch nicht umgesetzt ist). Für eine Bildungseinrichtung gibt es außerdem die Schul- bzw. Hochschulgesetze, die datenschutzrechtliche Aspekte enthalten können wie z. B. ein generelles Werbeverbot an Schulen. Alle Landes-Schulgesetze enthalten Absätze, in denen die Verarbeitung personenbezogener Daten zum Zwecke der Erfüllung der schulischen Aufgaben geregelt ist. Auf dieses Recht zur Verarbeitung personenbezogener Daten in Schulen, das im öffentlichen Interesse liegt, bezieht sich auch die DSGVO. Einsatz von IT gestütztem Unterricht Eine staatlich anerkannte Bildungseinrichtung hat den gesetzlichen Auftrag, Lernenden eine zeitgemäße Ausbildung anzubieten. Dazu gehört in allen Fällen eine Bewertung der Leistungen des Lernenden und in vielen Fällen (wie z. B. in etlichen Schulgesetzen verankert ist) die Vermittlung moderner Medienkompetenz. Diese Fakten sind nicht ohne Weiteres mit der DSGVO verträglich. Andererseits muss jede Verarbeitung personenbezogener Daten rechtmäßig sein. Es muss also eine Rechtsgrundlage für die Verarbeitung vorliegen. Daher ist eine wichtige Frage, wie eine Schule IT-gestützten Unterricht datenschutzkonform anbieten kann. Kurz gesagt, gibt es 2 Möglichkeiten: man kann IT-gestützten Unterricht freiwillig anbieten oder nach einem Beschluss des Schulgremiums, dem alle Gruppen einer Schule (Lehrer-, Schüler-, Eltern-Vertreter) angehören. 4

Freiwilliger Einsatz ist sinnvoll, wenn es um eine Pilotgruppe geht oder einen Testlauf. Der springende Punkt bei freiwilligem Einsatz ist, dass ein Betroffener jederzeit widersprechen kann. Nach einem solchen Widerspruch ist zu überlegen, ob der Testlauf noch fortgesetzt werden kann, denn ein sozialer Druck auf die Teilnehmer darf dadurch nicht entstehen. Für systematischen Einsatz von IT-gestützten Unterricht ist aber ein Beschluss zu empfehlen, den wir weiter unten im Detail erläutern und exemplarisch anführen. 2.2. Rechte und Möglichkeiten der Aufsichtsbehörden Zu den wesentlichen Aufgaben (Hauptaufgaben,                 gemäß.    Art.   57   DSGVO)    der Landesdatenschutzbehörden gehören: •   Die Anwendung der DSGVO zu überwachen und durchzusetzen, •   Anfragen und Beschwerden von Betroffenen zu bearbeiten, •   Öffentliche und Nicht-Öffentliche Einrichtungen bezüglich ihrer Datenschutzpflichten zu sensibilisieren und •   Untersuchungen über die Anwendung der DSGVO durchzuführen. Durch die DSGVO bekommt eine Aufsichtsbehörde sehr weitreichende Befugnisse (Art. 58 DSGVO). Die Befugnisse lassen sich dabei in Untersuchungs-, Abhilfe-, Genehmigungs- und Beratungsbefugnisse einteilen. Darüber hinaus kann eine Aufsichtsbehörde gemäß Art. 83 DSGVO Geldbußen verhängen, davon ist der öffentliche Bereich jedoch ausgeschlossen (§ 43 Abs. 3 BDSG). Im Rahmen der Untersuchungsbefugnisse (Art. 58 Abs. 1 DSGVO) kann eine Aufsichtsbehörde anlassbezogene oder anlasslose Datenschutzprüfungen durchführen. Eine Datenschutzprüfung kann verschiedene Ziele verfolgen •   Beschwerdeprüfung: Ist eine Datenschutzbeschwerde eines Betroffenen begründet? •   Konzeptionsprüfung: Ist die Datenverarbeitung in der Schule ausreichend beschrieben bzw. dokumentiert? •   Angemessenheitsprüfung: Ist die DSGVO in allen wesentlichen Belangen angemessen umgesetzt und eingeführt? •   Wirksamkeitsprüfung: Ist die DSGVO in allen wesentlichen Belangen angemessen umgesetzt, eingeführt und wirksam? Über die Abhilfebefugnisse (Art. 58 Abs. 2 DSGVO) kann eine Aufsichtsbehörde, Verantwortliche und Auftragsverarbeiter verwarnen und/oder von den Maßnahmen der DSGVO Gebrauch machen: •   Einhaltung der Betroffenenrechte sicherstellen •   Betroffene über Datenschutzverletzungen benachrichtigen •   Eine Verarbeitung befristet oder endgültig untersagen •   Geldbußen verhängen Mit den Genehmigungs- und Beratungsbefugnissen (Art. 58 Abs. 3 DSGVO) sensibilisiert und berät die Aufsichtsbehörde öffentliche und nicht-öffentliche Einrichtungen und sorgt mit geeigneten Mitteln dafür, dass Datenschutzverletzungen nicht eintreten. Damit soll dem Hauptanliegen, die Einhaltung des Datenschutzes (vorbeugender Grundschutz), Rechnung getragen werden. 5

Eine Landesdatenschutz-/Aufsichtsbehörde ist somit für die Beratung von Verantwortlichen und Überwachung des Datenschutzes verantwortlich. Jedoch ist sie nicht befugt, eine Entscheidung für die verantwortliche Stelle zu treffen. 2.3. Datenschutz der Länder Mit dem jeweilig geltenden Schulgesetz (https://aka.ms/schulgesetze-laenderebene) ist auch eine Rechtsgrundlage für Verarbeitung personenbezogener Daten und implizit die Nutzung einer Lehr- und Lern-Plattform gegeben. Für die 16 Bundesländer finden Sie folgend die entsprechenden Normen: Bundesland                     Öffentliche Schulen     Freie Trägerschaft Baden-Württemberg              § 1 SchG                § 1 PSchG Bayern                         Art. 85 BayEUG          Art. 90 BayEUG Berlin                         § 64 SchulG             § 95 SchulG Brandenburg                    § 65 BbgSchulG          § 127 BbgSchulG Bremen                         § 3 BremSchulG          § 1 PrivSchG Hamburg                        § 98 HmbSG              § 3 HmbSfTG Hessen                         § 83 HSchG              § 166 HSchG Mecklenburg-Vorpommern § 7 SchulG M-V                  § 116 Trägerschaft Niedersachse                   § 31 NSchG              § 139 NSchG Nordrhein-Westfalen            § 120 und 212 SchulG § 100 SchulG Rheinland-Pfalz                § 67 SchulG             § 1 PrivSchG Saarland                       § 20b SchoG             § 1 PrivSchG Sachsen                        § 63a SächsG            § 1 SächsFrTrSchulG Sachsen-Anhalt                 § 84a SchulG LSA        § 14 SchulG LSA Schleswig-Holstein             § 4 SchulG              § 115 SchulG Thüringen                      § 57 ThürSchulG         § 2 ThürSchfTG Damit Schulen nicht von allen Nutzern eine Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO einholen müssen, ermöglicht Art. 6 Abs. 1 lit. e DSGVO im Verbund mit dem für das Land geltende Schulgesetz, personenbezogene Daten für den Einsatz von Lehr- und Lernplattformen einzusetzen. Alternativ (nur bei Privatschulen) ist die Rechtmäßigkeit dafür nach Art. 6 Abs. 1 lit. c DSGVO möglich. 3. Datenschutz an Schulen 3.1. Verantwortlicher Wichtig ist, dass die Schule immer die datenschutzrechtlich verantwortliche Stelle bleibt. Microsoft ist nur Dienstleister bzw. Auftragsverarbeiter. Somit muss die Schule die Rechtmäßigkeit 6

der Verarbeitung sicherstellen. Des Weiteren ist die Schule für die Umsetzung geeigneter technischer und organisatorischer Maßnahmen sowie der Betroffenenrechte verantwortlich bzw. zuständig. 3.2. Rechtsgrundlage für die Verarbeitung 3.2.1. Rechtsgrundlage für Office 365 Education als pädagogisches System Rechtsgrundlagen für die Verarbeitung personenbezogener Schülerdaten auch in Office 365 Education sind zunächst die DSGVO im Verbund mit den jeweiligen Schulgesetzen und dazu erlassene Rechtsverordnungen (z.B. Beschluss der Schulkonferenz oder eine Dienstvereinbarung). Ergänzend können – je nach Bundesland und Schultyp – die Landesdatenschutzgesetze sowie das Bundesdatenschutzgesetz für die in der DSGVO nicht geregelten Details zur Anwendung kommen. Die Verwendung einer Lehr- und Lernplattform kann durch oder aufgrund einer Verordnung (z.B. Dienstvereinbarung oder Beschluss der Schulkonferenz) vorgeschrieben werden. Denkbar ist beispielsweise die Bestimmung als Lehrmittel durch entsprechende Verordnung (gemäß Art. 6 Abs. 1 lit. c und e, Abs. 2 und 3 DSGVO). 3.2.2. Dienstvereinbarung für Lehrer und Lehrerinnen Bevor Office 365 Education als Plattform genutzt werden kann, sollten alle relevanten Entscheidungsträger in die Entscheidungsfindung eingebunden werden. Dazu können folgende Personengruppen gehören: •  Schulleitung •  Lehrervertretung bzw. Personalrat in der Schule oder beim Schulamt •  Schüler- und Elternvertretung Um möglichst alle Beteiligten rechtzeig einzubinden, ist es empfehlenswert, auch folgende Personen hinzuzuziehen. •  Datenschutzbeauftragter der Schule •  Systembetreuer der Schule (auch Externe, wie z.B. ein Systemhaus oder IT-Partner) •  Schulträger (Stadt oder Landkreis), wichtig für die Finanzierung Bei den schulinternen Entscheidern (Schulleitung, Datenschutzbeauftragter, Systembetreuer, Schüler-/Elternvertretung) reicht meist eine Schulkonferenz aus, um einen Entschluss zu fassen. Ein Muster für einen „Beschluss der Schulkonferenz“ und eine Dienstvereinbarung zwischen Schule und Personalrat liegen dem Anhang bei. 3.2.3. Einwilligung der Nutzer Wenn eine Schule für einen engen Benutzerkreis Office 365 testweise einsetzen möchte, können Sie von diesen Benutzern eine Einwilligungserklärung als datenschutzrechtliche Grundlage unterzeichnen lassen (Art. 6 Abs. 1 lit. a DSGVO). Beachten Sie, dass Sie aufgrund der Freiwilligkeit keine damit zusammenhängenden verpflichtenden Aufgaben oder Schülerbewertungen veranlassen sollten. Eine Muster-Einwilligung ist im Anhang zu finden. 3.3. Datenschutzbeauftragter Als Bildungseinrichtung ist gemäß Art. 37 Abs. 1 DSGVO ein Datenschutzbeauftragter zu benennen. Zu den Aufgaben eines Datenschutzbeauftragten an einer Schule gehören: 7

•    Beratung der Schulleitung, Kollegen und Schüler •    Hinwirken auf die Einhaltung rechtlicher Vorschriften •    Ansprechpartner für Betroffene (intern/extern) •    Ansprechpartner für die Aufsichtsbehörde Für die Tätigkeit des DSB und für die Datenschutzdokumentation können beigefügte Muster genutzt werden. 3.4. Auftragsverarbeitung Wenn Office 365 Education als Plattform zum Einsatz kommt, tritt Microsoft hier als Auftragsverarbeiter gemäß Art. 28 DSGVO auf. Der entsprechender Auftragsverarbeitungsvertrag heißt Microsoft Online Services Terms* und wurde im Januar 2020 durch den Anhang zu den Datenschutzbestimmungen für Onlinedienste** ergänzt, der auch die Standardvertragsklauseln als Vertragsbestandteil enthält und mit der EU Datenschutzbehörde abgestimmt wurde. Des Weiteren ist wichtig, dass Microsoft für den Betrieb weitere Unterauftragsverarbeiter in Anspruch nimmt. Eine Liste dieser liegt hier vor (https://aka.ms/uav). *) http://www.microsoftvolumelicensing.com/Downloader.aspx?documenttype=OST&lang=German **) https://aka.ms/dpa 3.5. Verzeichnis von Verarbeitungstätigkeiten und technische/organisatorische Maßnahmen Die Online-Lernplattform ist so zu konfigurieren, dass ausschließlich die zur pädagogischen Aufgabenerfüllung der Schule erforderlichen Daten erhoben und verarbeitet werden. Bei der Benutzerverwaltung durch den Administrator ist zwischen dem Anzeigenamen und dem Anmeldenamen zu unterscheiden. Der Anzeigename kann den Klarnamen (Vor-/Nachname) des Benutzers enthalten. Der Klarname ist zur Identifikation des Schülers durch Lehrer und Schüler erforderlich und muss nicht dem Anmeldenamen entsprechen. Der Anmeldename (Teil der Email- Adresse) wird bei der Anmeldung im System verwendet und muss nicht mit dem Benutzernamen identisch sein. Die Nutzung von Pseudonymen als Anmeldenamen kann die Sicherheit im Vergleich zur Nutzung des Klarnamens erhöhen, erhöht aber auch die Komplexität der Nutzung. Zumindest für die Lehrer und Verwaltung der Schule empfehlen wir, die in Office 365 integrierte und komfortable Möglichkeit der Zwei-Faktor-Anmeldung zu nutzen. Damit ist die Gefahr eines Identitätsdiebstahls stark vermindert. Office 365 bietet darüber hinaus eine sehr komfortable Möglichkeit, Daten und E-Mails zu verschlüsseln („Azure Information Protection“) und bietet einen wirksamen Schutz gegen komplexe Bedrohungen („Office 365 Advanced Threat Protection“). Folgende Rollen sind in einer Online-Lernplattform in der Regel vorgegeben: •    Administrator: Der Administrator hat alle Berechtigungen für sämtliche Bereiche und Inhalte, er kann Benutzerkonten-Einstellungen ändern und systemweite Einstellungen vornehmen. •    Kursverwalter: Der Kursverwalter kann Bereiche anlegen und Berechtigungen vergeben. Das Recht kann auf Teilbereiche (Kurskategorien, beispielsweise Ausbildungsgänge, Fächer, Jahrgangsstufen) beschränkt werden. •    Lehrkraft: Die Lehrkraft kann in bestimmten Bereichen Inhalte pflegen, Teilnehmer zulassen, Lernfortschritte und Lernergebnisse einsehen. 8

•    Teilnehmer: Teilnehmer können in den Bereichen arbeiten, zu denen sie eine Zugangsberechtigung haben, Lerninhalte nutzen und Eingaben tätigen. In Übereinstimmung mit dem Rollen- und Berechtigungskonzept der Schule können weitere Rollen definiert werden. Benutzerkonten von Schülern und Lehrern sind nach deren Ausscheiden aus der Schule zu löschen (bei einer pädagogischen Plattform gemäß Art. 6 Abs. 1 lit. c und e DSGVO) oder wenn diese ihre Einwilligung bei einem Piloten widerrufen (bei Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO). Ein Muster für technische und organisatorische Maßnahmen finden Sie im Anhang. 3.6. Nutzungsordnung Die Nutzungsordnung als Ergänzung zur gültigen Hausordnung der Schule gilt für die Benutzung der schulischen IT-Systeme und Computer (inklusive Tablets) an der Schule innerhalb und außerhalb des Unterrichts. Sie trägt dazu bei, ein höheres Maß an Datenschutz und einen optimalen Zustand dieser Einrichtungen zu gewährleisten. Dies ist Voraussetzung dafür, dass jederzeit effektiv mit den neuen Medien gearbeitet werden kann. Ein mögliches Muster für eine Nutzungsordnung die Office 365 inkludiert liegt dem Anahng bei. 3.7. Zusammenfassung Um Office 365 Education in einer Bildungseinrichtung nutzen zu können müssen die durch die DSGVO geforderten Schritte eingehalten und dokumentiert werden. Die wichtigsten Punkte die dabei zu beachten sind: •    Positive Prüfung des Anbieters anhand offizieller Zertifizierung des Cloud-Anbieters gemäß Art. 42 DSGVO (ISO 27001, ISO 27018, BSI C5, Privacy Shield, etc.) •    Vorliegen eines Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO (AVV) •    Vorliegen einer Rechtsgrundlage gemäß Art. 6 DSGVO o Vorliegen einer Verpflichtung gemäß Art. 6 Abs. 1 lit. c und e, Abs. 2 und 3 DSGVO im Verbund mit dem entsprechenden Absatz des Schulgesetzes und ▪ Beschluss der Schulkonferenz (Schulleitung und Berater, Personalrat/Schülerbeirat/Elternbeirat) o oder Vorliegen einer Einwilligung gemäß Art. 6 Abs. 1 lit. a iVm Art. 7 DSGVO •    Vorliegen eins Verzeichnisses von Verarbeitungstätigkeiten gemäß Art. 30 DSGVO (VVV) •    Vorliegen technischer und organisatorischer Maßnahmen gemäß Art. 25, 32 DSGVO (TOM) •    Vorliegen einer schulspezifischen Nutzungsordnung Folgend sind die wichtigsten Schritte in einer Übersicht zusammengefasst. 3.7.1.Wichtig bei der Einführung ist, möglichst früh alle Beteiligten an den Tisch zu holen und offen über die Bedenken und nächsten konkreten Schritte sprechen. Als ersten Schritt sollte s über die Schulkonferenz (Schulforum, Schulvorstand oder Schulausschuss) eine Entscheidung über die Nutzung von Office 365 herbeigeführt werden. 3.7.2.Aus diesem Entschluss leitet sich die notwendige Rechtsgrundlage ab. Dabei lässt sich die Rechtsgrundlage in vier Hauptszenarien einteilen: 9