Microsoft 365

Hallo zusammen,
der baden-württembergische LfDI kommt in seiner Bewertung von Office 365 an Schulen unter anderem zu folgendem Ergebnis:

Insgesamt haben wir bei der kursorischen Prüfung im Pilotprojekt bei insgesamt rund fünf Stunden Nutzung über 20000 Ereignisse (darunter über 900 verschiedene EreignisArten) festgestellt. Für die überwiegende Anzahl ist uns keine Dokumentation bekannt.
Viele liegen in einem unüblichen Binärformat vor, so dass nicht genau ersichtlich ist, welche und wie viele Daten übermittelt werden. Die Ereignisse enthalten nach unserer Untersuchung neben z.B. Nutzer- und Geräte-IDs sehr detaillierte Informationen über das Nutzungsverhalten der Nutzenden, z.B. wann wer welche Tasten(kombination) drückt, welche Funktion wie nutzt, wie schnell tippt oder wohin klickt.
Eine Rechtsgrundlage (vgl. Artikel 6 Absatz 1 sowie u.U. Artikel 9 Absatz 2 DS-GVO) für diese umfassende Beobachtung, Aufzeichnung und Auswertung des vollständigen Nutzer- und Geräteverhaltens sowie für die Übermittlung an und die eigennützige Weiterverarbeitung dieser Daten durch Microsoft ist nicht erkennbar. Ebenso erschließt sich nicht, warum dies für die Zwecke der Schulen (Bereitstellung einer E-Mail-Funktion und eines persönlichen Arbeitsplatzes mit Online-Speicherdienst) zwingend erforderlich sein sollte. Es ist fraglich, ob personenbezogene Daten ausschließlich auf rechtmäßige Weise verarbeitet werden (vgl. Artikel 5 Absatz 1 DS-GVO).
(Quelle: https://fragdenstaat.de/anfrage/bewertungen-und-empfehlungen-des-lfdi-zu-office-365-an-schulen/639491/anhang/2021-04-23_Empfehlung_Anlage_11.pdf)

Vermutlich gibt es weitere behördliche Erkenntnisse oder Stellungnahmen bezüglich Microsoft 365, immerhin Standard in vielen Unternehmen und Behörden. Bin für Quellen dankbar.

Hallo @pdpp wir hatten vor einiger Zeit eine vergleichbare Frage -

da gab es auch Meinungen dazu ggf. hilft dir das weiter: https://forum.bfdi.bund.de/t/datenschutz-in-schulen/711/22