Mir ging es in diesem Post primär um das Bußgeld gegenüber einer Schule, das gegenüber einer öffentlichen Schule nicht verhängt werden kann.
Allerdings sollte ein Schulleiter nicht die (zivilrechtliche) Schadensersatzmöglichkeit nach Art. 82 DSGVO aus dem Blick verlieren. Das richtet sich wohl zunächst auch erst einmal gegen die Schule, also in der Regel gegen das Land. Ich denke aber, dass ggf. das Land in Regress gegenüber dem Schulleiter oder der Lehrkraft gehen wird, wenn hier vorsätzlich oder grob fahrlässig ein materieller oder immaterieller Schaden durch eine rechtswidrige Verarbeitung erfolgt ist. (Was ist also, wenn der Schulleiter weiß, dass der Einsatz von MS 365 in Schulen nicht rechtskonform ist und es dennoch einsetzt und dann Eltern auf Schadenersatz klagen sollten?)
Ich hatte in einem anderen Post gerade diese beamtenrechtliche Frage auch schon angrissen (https://forum.bfdi.bund.de/t/datenschutzrecht-im-spannungsfeld-mit-beamtenrecht/803)