In der Tat moniert der LfDI die Vermischung der Regelungen in einem Auftragsverarbeitungsvertrag (Schule = Auftraggeber) mit der notwendigen Einwilligung der Eltern in die AGBs von Microsoft. Microsoft verfolgt schlichtweg eigene Interessen, für die aber im schulischen Rahmen keine Rechtsgrundlagen existieren (Schulpflicht und Erfüllung des Erziehungs- und Bildungsauftrags der öffentliche Schule).
Dass aber eine betroffene Person eine Einwilligung gegenüber einem Auftragsverarbeiter für dessen eigene Zwecke erteilen muss, ist schon eine sehr gewagte rechtliche Konstruktion. Allein aus diesem Grund hätte ich den Schulen schon die Nutzung von Office 365 untersagt.
Dieses Durcheinander ist mir auch immer wieder aufgefallen. Wer mag damit noch seine Daten verarbeiten lassen…
Bei Auftragsverarbeitung sollte alles zwischen dem Verantwortlichen und dem Auftragsverarbeiter geregelt sein. Die Benutzer bekämen eine Plattform, wo sie keine Rechtsfolgen auslösen (nix falsch machen) können; weder für sich selbst noch für den Verantwortlichen. Ist nur in der Praxis häufig anders, weil überall etwas aufpopt, Regeln und Datenschutzinformationen des Verantwortlichen in Konkurrenz zu denen des Auftragsverarbeiters angezeigt werden, usw. Transparent ist das nicht. (Verstoß für beide.)
Wäre halb so schlimm, wenn eingangs UNMISSVERSTÄNDLICH darüber informiert wird, dass aus technischen Gründen manchmal Zustimmungen o. ä. abgefragt werden, dass nur bestimmte Texte des Verantwortlichen gelten und alles andere ignoriert werden kann. Und dann auch wirklich keine Folgen hätte.
Besonders beim Beispiel Microsoft werden die Benutzer oft eine eigene Rechtsbeziehung mit der Plattform haben, indem sie sich z. B. mit ihrem persönlichen Konto an ihrem Windows anmelden, private Einstellungen ihres Browsers ausgelesen werden (Microsoft auch eine Suchmaschine und Tracking betreibt), und sie das Online-Office der Schule nutzen. Dann gibt es noch Möglichkeiten, innerhalb von 365 Apps oder Zusatzfunktionen zu nutzen, die manchmal über Dritte bzw. außerhalb der Auftragsverarbeitung laufen. Die an verschiedenen Stellen angezeigten Nutzungsbedingungen und Datenschutzinformationen sind intransparent (v. a. Microsoft) bzw. widersprechen sich.
Noch ein Argument, weshalb 365 nicht AV-fähig ist; weil der Verantwortliche keinen Zaun um den beauftragten Bereich und “seine” Daten festlegen kann; weder im Vertrag noch bei der tatsächlichen Nutzung.
Übrigens kann man normalerweise nicht in AGB oder Datenschutzinformationen “einwilligen”. (Also… man kann schon, aber nur in schlechten Filmen, wo die Anbieter die… Physik nicht verstanden haben.) M. E. dürften Datenschutzerklärungen so gut wie nie “akzeptiert /bestätigt /genehmigt /eingewilligt /anerkannt /…” werden, weil sie damit AGB-Charakter erhalten würden. Man kann allenfalls den Erhalt bestätigen. Durch die abverlangte Anerkenntnis erschwert der Verantwortliche den Zugang zur Information und hätte seine Informationspflicht nicht erfüllt. (Ätsch!) Einseitige Informationspflicht vs. zweiseitiger Vertrag - das sind zwei Paar Schuhe; ach was… ein Herrenhandtäschchen und eine Aktienoption.
D., der sich für qualifiziert genug hält, OST und DPA von Microsoft in mehreren Sprachen lesen zu können, sie aber nicht versteht. (Oh doch, er weiß ziemlich genau, was da nicht steht!) Eigentlich nicht verstehen will; auch bei gutem Willen kommen mehr weitere Fragezeichen als Erkenntnisse an.
da hier die Stellungnahme des LfDI BW zitiert wurde zur Vollständigkeit: Auch der hessische HBDI hat sich geäußert. Auch hier wird die Nutzung für Schulen abgelehnt. Aktueller Stand:
In Hessen ist die Frist zur Einstellung der Nutzung etwas enger bemessen (Feb. 2022), als in Baden-Württemberg wo es ein gewisses Moratorium für den aktiven Eingriff der Aufsichtsbehörde bis zur Etablierung einer Alternative in der neuen Bildungsplattform gibt. Aktuell schreibt der LfDI in der PM nur, dass er Beschwerden aktiv nachgehen wird.
Vielleicht noch dies zu dem Modellversuch in BW:
Komponenten von O365 sollten ja Teil der neuen BW Bildungsplattform werden. Die vom LfDI getestete Version (= wie für die Bildungsplattform vorgesehen) war ja eine speziell für das KM BW “datensparsam” konfigurierte bzw. mit besonderen Anforderungen an den DS versehen. Genaue Details sind nicht öffentlich bekannt, aber es ist aus den PMs und der auf “Frag den Staat” veröffentlichten Einschätzung klar, dass diese Version hinsichtlich des DS sagen wir “besser” war, als die frei verfügbaren. Damit kann man den Einsatz letzerer in Schulen nach der Stellungnahme in BW auch klar verneinen.
Die bDSB der Schulen argumentiern meistens so, dass es anhand der verfügbaren Informationen gar nicht möglich sei, eine den Anforderungen entsprechende DSI für den Einsatz zu erstellen und es somit der Schulleitung unmöglich ist ihren Informationspflichten nachzukommen. Gleiches gilt für den Eintrag ins VV, der bestenfalls rudimentär die tatsächlichen Datenverarbeitungsprozesse von MS abbilden kann.
Dass nach den Regelungen in BW (Verwaltungsvorschrift Datenschutz an öffentlichen Schulen) und der DSK Empfehlung auch eine DSFA (durch die einzelne Schulleitung (!!)) notwendig wäre, ist ebenfalls so eine Sache.
Schließlich wird argumentiert, dass es für die Datenverarbeitung zu eigenen Zwecken durch MS keine Rechtsgrundlage im schulischen Kontext zu finden sei.
Natürlich kommt on top noch Schrems II.
Jede Schule seine eigene DSFA. Wer immer diese Regelung sich ausgedacht hat, wird uns erklären können wonach sich das Risiko bei überwiegend gleichem Klientel (Kinder, Lehrer, Eltern) Betroffener und bei überwiegend gleichen Verfahren, unterscheiden soll.
Naja, natürlich muss man Theorie und Praxis unterscheiden.
Zunächst einmal muss die Verantwortliche gemäß Art. 35 Abs. 1 Satz 1 DSGVO eine DSFA durchführen. Verantwortliche für die Daten ihrer Schülerinnen und Schülern sind zunächst die Schulleitung.
Die VwV Datenschutz an öffentlichen Schulen präzisiert und regelt klar, dass die Schule dies zu tun habe.
Nun würde ich nie ernsthaft von einer Schule verlangen, dass Sie eine ordentliche DSFA etwa für O365 macht - das ist nicht möglich. Auch das PIA-Tool dürfte da nicht viel helfen.
Bei technisch “überschaubareren” SaaS Angeboten, die Schulen gerne nutzen dürfte es in der Praxis bei einer oberflächlichen Risikobewertung bleiben, die man mit den vom Anbieter gelieferten TOMs dann in den grünen Bereich bringt . Da muss man einfach realistisch sein.
Wenn man aber bei Schulen nachhaken will, bzw. als bDSB vom Einsatz abraten möchte, dann kann man den Punkt ja durchaus ansprechen.
Natürlich bereitet das Land (jedenfalls in BW) für deren eigene Lösungen DS-rechtlich zentral alles vor - inklusive DSFA, falls nötig. Das ist dann auch ein starkes Argument eben für diese Landeslösungen.
Dass das Kultusministerium selbst für stark nachgefragte kommerzielle Angebote nicht massenhaft Vordrucke für die ganzen DSGVO-Pflichten herausgibt ist aber auch klar.
So wäre es - eigentlich - eben die Plicht jeder einzelnen Schule und darauf wollte ich hinweisen.
D., der als Ergebnis einer halbwegs objektiven Folgenabschätzung in diesem Bereich nur sehr geringe Restnutzungsmöglichkeiten erwartet. (Der wie gesagt schon kein Land dafür sieht, die Verträge mit Microsoft als Auftragsverarbeitung bezeichnen zu können.)
Na super, der Bock zum Gärtner. Naja, MS hat auf jeden Fall den besseren Überblick, welche Daten (Alle) in einen Drittstaat gehen, oder zumindest, per cloud act, zur Verfügung gestellt werden.
Ja, ich meine es wäre doch durchaus gangbar, wenn der Sachaufwandträger (Landratsamt) für alle Schulen die DSFA macht. Oder die jeweiligen Kultusminister der Länder. Die Betroffenenrechte einzuhalten funktioniert über die herkömmlichen Wege (Schulleitung) sicherlich reibungslos.
Prinzipiell, sehe ich aber auch eine DSFA für 1 Verfahren (MS Office Anwendung in Schulen) für alle als quasi verpflichtend.
Viele Köche verderben den Brei. Wir sehen ja schon wie unterschiedlich die Landesdatenschützer teils Risiken einschätzen.
Den Anhang mit dem zugesagten Speicher ort (in der Vorlage) finde ich nicht - aber mal abgesehen von (möglichen) Ausnahmeregelungen dazu finde ich in den OST: “…beauftragt der Kunde Microsoft, Kundendaten und personenbezogenen Daten in die Vereinigten Staaten von Amerika oder in jedes andere Land zu übermitteln, in dem Microsoft oder ihre Unterauftragsverarbeiter tätig sind, und Kundendaten und personenbezogenen Daten zur Bereitstellung der Onlinedienste zu speichern und zu verarbeiten, ausgenommen wie an anderer Stelle in den DPA-Bestimmungen beschrieben.”
Ich werde nun nicht suchen, wo in welcher DPA und Version was anderes beschrieben ist. Es ist einfach bewußt verschleiert. Und wenn MS nicht anderweitig speichert, so bleiben ja noch deren dienstbare Geister.
Den kannte ich noch nicht… (Bestimmt gelesen, aber in den anderen Unhaltbarkeiten untergegangen.) Um Microsoft damit zu beauftragen, müsste es für die Kunden erst mal zulässig sein. Ist es aber nicht. So nicht (“in jedes andere Land” zu unbestimmt, Anwendbarkeit von Garantien nicht zugeordnet, jeweilige Eignung wäre nicht nachvollziehbar), und abgesehen davon meistens ebenfalls nicht.
Wie gesagt würde bei einer richtigen DSFA nicht viel übrig bleiben, dass die Nutzung noch ein bisschen Spaß machen könnte. Zu heiß, die Sache.
D., der sich von den Befürwortern alle rot markierten Stellen in OST und DPA erläutern lassen möchte. Öffentlich. Wer traut sich?
Ja, sorry, denn wir reden hier über Schüler … ansonsten sehe ich das nicht. Und hierbei würde ich eher mit Art, Umfang, Umstände arbeiten, denn neu ist die Technologie nicht.
Mmh, die Aufsichtsbehörden stufen also eine Verarbeitung als nicht rechtskonform ein, sehen sogar ein hohes Risiko für die Schüler, untersagen sie aber nicht umgehend. Verletzen die Aufsichtsbehörden da nicht ihre eigenen Pflichten? Wo steht in der DSGVO, dass eine unrechtmäßige Verarbeitung toleriert werden darf??? Das ist nicht das harte Schwert der DSGVO, das ich mir erhoffe.
Unabhängig davon, dass die DSGVO vor in Kraft treten 2 Jahre lang, gerade von deutscher Seite ziemlich weichgespült wurde, hatte ich nie ein scharfes Schwert erwartet.
Es ist und bleibt höhere Politik. Nicht nur in Irland, mag man sich wundern, auch in Hessen, wo die Schufa so sitzt, werden offenbar andere Bemessungsgrundlagen als in Hamburg oder Bayern angesetzt.
Seit 2010 mach ich das jetzt und es war zumindest, noch nie, langweilig
Erst einmal das Formalargument: Im Regelfall soll der BfDI zunächst die Rechts- oder Fachaufsicht über den Verstoß informieren und um Stellungnahme bitten (§ 16 Abs. 1 Satz 2 BDSG). Hintergrund dessen ist die deutsche Verwaltungsorganisation: keine Behörde steht isoliert, sondern ist eingebettet in den zwei- oder dreistufigen Verwaltungsaufbau. Sind Datenschutzverstöße zu besorgen - also ein Rechtsbruch - ist es zunächst Aufgabe der Rechtsaufsicht, diese Verstöße (wie jeden anderen Rechtsverstoß auch) abzustellen. Dafür gibt es ja die Rechtsaufsicht. In der Bundesverwaltung sind dies die Ministerien, in den Ländern ist meist noch eine Mittelbehörde (hier z. B. das Landesschulamt o.Ä.) zwischengeschaltet. Allein dass eine andere Behörde (die Datenschutzaufsicht) sich extern in dieses Gefüge einklinkt, ist ein Sonderfall innerhalb des Verwaltungsorganisationsrecht. Selbst andere Ministerien haben dieses Recht nicht, sondern gehen den Weg über die Fach- und Rechtsaufsicht - wenden sich also an das zuständige Ministerium.
Dann denk ich gibt es aber noch ein viel stärkeres Argument für die Datenschutzbehörden: Akzeptanz des Datenschutzes in diesen Zeiten. Pragmatismus und ein ganz besonderes Augenmaß bestimmen daher die Tätigkeit der Aufsichtsbehörden. VK-Systeme für Schulen während des Lockdowns verbieten kommt nicht gut an, wenn Kinder keine andere Chance auf Bildung haben.
Hier wird für mich dann auch eine Leerstelle der DSGVO deutlich: so scharf ist dieses Schwert nämlich aus meiner Sicht gar nicht. Was bringt mir Datenschutz by design in Art. 25 DSGVO, wenn diese Verpflichtung den Verantwortlichen trifft und nicht den Softwareentwickler? Ich habe dann die Wahl zwischen Skylla und Charybdis: entweder in den sauren Apfel beißen und die Software verwenden oder die weiße Weste und gar keine Software. Dann bekomme ich schnell solche Vendor-Lock-in-Effekte: Friss oder stirb! Ich denke da z.B. an einen US-Software-Riesen, der irgendwas mit Fenstern macht…
Absolut und zu dem Pragmatisums kommt dann die GMV-Methode (Gesunder Menschenverstand). Und wenn beides zusammenkommt erreicht man vllt nicht 100% Compliance, aber die Akzeptanz des Themas steigt und damit gewinnt man langfristig und stößt Leute nicht vor den Kopf oder erschlägt sie. und damit wird Datenschutz nur noch zum Hindernis anstelle der Chance…
Ich spiele mal advocatus diaboli, obwohl ich je eigentlich die “DS-Seite” vertrete.
Zwei Aspekte dazu:
Zumindest in BW dürfte keine Pflichtverletztung vorliegen. Der LfDI hat angekündigt, dass er Beschwerden mit Nachdruck nachgehen wird (siehe Pressemitteilung). Wenn keine Beschwerden kommen, weiß der LfDI auch nichts von einem eventuellen Einsatz von MS 365 an Schulen. Darin ist sicher keine Pflichtverletzung zu erkennen.
Ich versuche eine Doppelperspektive einzunehmen: es gibt das Grundrecht auf informationelle Selbstbestimmung aber es gibt genauso das Grundrecht auf Bildung. Wir wissen nicht genau, was passiert, wenn wir die Schüler den Datenkraken ausliefern - ziemlich sicher nichts Gutes. Wir wissen aber sicher, dass der Mangel an Bildung sehr negative Auswirkungen auf deren Leben haben wird.
Nun könnte man sagen: Bildung - auch digitale Bildung - geht auch datenschutzfreundlich. Das ist korrekt.
Allerdings muss ich eine Lanze für die Schulleitungen brechen: seit langer Zeit nehmen die Aufgaben, für die diese Leute weder ausgebildet wurden noch sie adäquate Stundenanteile dafür bekommen stetig zu.
Vor 30 Jahren hat eine SL eine Schule vorwiegend pädagogisch geleitet. Heute ist sie Diplom Verwaltungswirt, Brandschutzsachverständige, Fachkraft für Arbeitssicherheit, IT-Fachkraft, Datenschutzexperte, Urheberrechts-Spezialist, Volljurist, Psychologe, Arbeitsrechtler, Krisenmanager, medizinische Fachkraft (Maskenatteste, Masernimpfnachweise…), Organisationstalent, Blitzableiter für Lehrer und vor allem für Eltern und und und - ach so und nebenbei noch pädagogische Leitung und Lehrer mit Unterrichtsverpflichtung.
Massiv verschärft hat sich das durch Corona (alleine die zeitweise fast wöchentliche Änderung der CoronaVO und CoronaVO Schule in BW hat Aufwand mit sich gebracht, der bis dato nicht gekannt war - ganz toll: Änderungen wurden meistens an Freitagen besprochen, Nachmittags publiziert und waren bis Montag umzusetzen - ich glaube seit April 2020 hatten die meisten SL ca. 0-2 freie Wochenenden, von “Ferien” reden wir gar nicht).
Zusammenfassend: dass in den Schulen daher oft der “einfachste Weg” gesucht wurde - schnell irgendwas her, was funktioniert, einfach zu bedienen ist, keine Schulungen erfordert, möglichst kostenlos ist und keinen Verwaltungsaufwand mit sich bringt (gefühlt) - einfach nur um einen Basis-Schulbetrieb aufrecht zu erhalten ist verständlich. Dafür habe ich sogar als Datenschützer Verständnis.
In BW kam die spezielle Situation der geplanten Bildungsplattform mit MS 365 hinzu - durch die Stellungnahme des LfDI musste das ausgerechnet dann gestoppt werden, als ein breites, funktinierendes Angebot vom Land am dringsten benötigt wurde (ich will das nicht werten - das ist einfach für alle Beteiligten schief gelaufen).
Die Probleme kommen jetzt - denn mit der Normalisierung der Lage muss klar gemacht werden, dass so manch liebgewonnenes supereinfacher und bequemes Tool halt doch nicht das Richtige ist - und die blöden Datenschützer sind Schuld daran…
Aber können die Schulen etwas dafür? Mal ehrlich: man schaue sich doch mal das Angebot von kommerziellen Anbietern im Bildungsbereich an - wie viel Prozent der beliebten Apps, die das Schulleben erleichtern sind trackingfrei - und wenns nur Crashlytics ist - meistens aber viel, viel mehr? Wo werden keine Daten zu eigenen Zwecken verarbeitet? Wo findet kein Drittlandtransfer statt? Welches Tool würde überhaupt eine Zertifizierung bekommen? Wo wäre meine DSFA unter Beachtung der Rechte Minderjähriger nicht im tief-roten Bereich?
Und was ist bei den Großen? Appel School Manager, Google Classroom, MS 365 etc.?
Eigentlich müsste man schätzungweise 90%+ der im Schulalltag mittlerweile selbstverständlich verwendeten Software verbieten… und dann?
Das hat also zwei Seiten und ich versuche das irgendwie so zu handhaben, dass die Schulen arbeiten können und dennoch auch in den Datenschutzspiegel schauen können - mindestens mit einem Auge…
Muss ja nicht gleich das rächende Flammenschwert sein. (“Gleich” wäre Mai 2018 gewesen. Oder April 2020 . Oder November. Seit März, spätestens Juli, September oder wann bei euch schon wieder ein neues Schuljahr angefangen hat sind wir deutlich nach “gleich”.)
Wenn etwas offensichtlich nicht rechtskonform ist, lässt es sich nicht wegen guter Erfahrungen oder Umstellungsschwierigkeiten zulässig machen. Die Plattformfrage lässt sich mit der noch vor… 40 Jahren gängigen Praxis vergleichen, wo den Banken und Krankenkassen Daten der Schulabgänger mitgeteilt wurden, weil im Gegenzug jemand von der AOK kam und einen Vortrag hielt, oder jemand von der Sparkasse Geld zeigte. Würde heute auch keine Schule mehr auf die Idee kommen…
Die Schulen bzw. Schulträger oder Ministerien hätten mehrmals Zeit gehabt, Lösungen zu suchen. (Geeignete Lösungen! Nicht die Schulen günstig mit Microsoft zusammenbringen, ohne die Verantwortung zu übernehmen.) Hätte gereicht, über Tellerränder zu blicken. Überall gibt es was bzw. gab es schon vorher (BBB, mebis, HPI-Cloud, Nextcloud, Moodle, Threema…).
Für Unterrichtsthemen gibt es Materialsammlungen. Warum nicht auch Listen geprüfter Software? Die müsste natürlich die “Datenschutz-Schleife” machen, damit es nicht heißt, eine Lehrerplattform hätte sie empfohlen /das KuMi hätte sie vorgegeben. Das kann dann bleiben, bis der Anbieter es mit Quatsch verbessert oder bis neue Anforderungen nicht mehr abgedeckt werden.
D., der sich nicht abstrampeln mag, was Zulässiges auf den Tisch zu bringen bzw. Argumente gegen unzulässigen Mainstream zu finden, während es anderen so egal sein kann.
Da liegt auch ein weiteres Problem. Wer soll die Software prüfen? Eine Schulleitung hat sicherlicht nicht das nötige Know How, um das abzudecken. Zeit sowieso schon gleich gar nicht. Das hat @PhilippH in seiner Antwort ja wirklich schon zur genüge ausgeführt.
Es müssten Siegel, Zertifizierungen oder auch Gewährleistungsmarken für DSGVO-konfrome Software erstellt werden. Da könnten Ministerien natürlich vorangehen oder es greift jemand anderes diese Idee auf und vermarktet sie
Bis dahin müssen wir wohl abwägen, was erstmal noch eingesetzt werden darf und was jetzt definitiv durch datenfreundlichere Alternativen ersetzt werden muss.
Eine Sache zur DSFA: In unserer Umgebung haben die Schulen neben MS auch noch jeweils unterschiedliche Software im Einsatz. Daher wird eine DSFA über das Kultusministerium oder die Landratsämter wohl eher nur in kleinem Rahmen möglich sein. Für die gängigen Dienste wäre das natürlich sinnvoll, da hat dann jeder auch die selben Vorgaben. Aber für einzelne Software wird das eher nicht umzusetzen sein. Da muss dann doch wieder die Schulleitung ran
es gibt doch genaue Vorgehensweisen wann eine DSFA durchzuführen ist, wie und bei welchen Verarbeitungstätigkeiten. Ich halte mich da gerne an die DSK.
Hier mal auf die Schnelle ein Link der DSK für welche VT´s eine DSFA durchzuführen ist: DSFA-Muss-Liste als PDF
Auf dieser Seite kann man das Kurzpapier zur DSFA downloaden. Wenn man dieses Papier als Grundlage nimmt, kann man ein standardisiertes Verfahren abbilden, das auf alle VT´s anzuwenden ist. Kurzpapiere DSK
Frage 14
“Nutzen Sie im Rahmen von Lernplattformen, Videokonferenzen, Messenger oder
anderen Anwendungen Microsoft-365-Produkte?
Wenn ja, bitte ich um folgende Auskünfte:
a. Haben Sie für den Einsatz der Microsoft-365-Produkte einen
Auftragsverarbeitungsvertrag gem. Art. 28 DSGVO geschlossen? Wenn ja,
reichen Sie diesen bitte ein.
b. Ich bitte um schriftliche Erläuterung, wie Sie den datenschutzkonformen Einsatz
dieser Produkte im Hinblick auf die Übermittlung personenbezogener Daten in
die USA unter Berücksichtigung des Kapitels V DS-GVO sowie der
Anforderungen aus dem Schrems II-Urteil des EuGH4 sicherstellen. In dem
Zuge bitte ich insbesondere um Mitteilung, welche personenbezogenen Daten
in die USA ausgeleitet werden (z. B. Telemetriedaten, Daten von Nutzerkonten,
Word- oder Excel-Dokumente). Weiter bitte ich um Angabe des Serverstandorts
für die in der Cloud (OneDrive oder andere) gespeicherten Dokumente”
“Zur Nutzung von MS 365-Produkten:
15 Schulen, überwiegend aus dem Bereich der Berufsbildenden Schulen, nutzen Produkte
aus der MS-365-Palette, wobei 5 Schulen wohl eine Variante anbieten, die ohne eine
Verarbeitung personenbezogener Daten auskommt. Ein Teil der Schulen, die MS 365 unter
Verarbeitung von SchülerInnendaten verwenden, verlassen sich auf die Darstellung von
Microsoft, das dies datenschutzkonform sei. Zum Teil werden diese Produkte aber auch von
den Schulträgern vorgegeben, so dass sich die Schulen insoweit gebunden fühlen. Einige
Schulen aus dem Bereich der Berufsbildenden Schulen haben erklärt, die MS 365-Produkte
im Rahmen des sog. Innovationsprojektes des MK zu den dortigen Rahmenbedingungen bis
Ende 2022 zu nutzen.
Insgesamt ist festzustellen, dass die Schulen den datenschutzkonformen Einsatz von MS 365-
Produkten gegenwärtig nicht darstellen können. Dieser Komplex soll im Rahmen der
Schulprüfung gegenwärtig nicht weiter vertieft werden. Die Thematik wird zu einem späteren
Zeitpunkt erneut überprüft werden.”
