Wie auf den Seiten der Stiftung Datenschutz zu lesen, hat die Datenschutzkonferenz (DSK) eine ihrer Arbeitsgruppen mit an einer Neubewertung von Microsoft 365 beauftragt. Beschlossen worden war die Fortsetzung der Prüfung in der 1. Zwischenkonferenz 2023 Ende Januar 2023. Mit dem Beschluss reagiert die DSK, die im November 2022 einstimmig festgestellt hatte, dass Microsoft 365 nicht datenschutzkonform nutzbar ist, auf die seither von Seiten Microsofts vorgenommenen Änderungen. Das meint vor allem die von Microsoft eingeführte EU Data-Boundary, mit welcher der Anbieter die Verarbeitung von Kundendaten innerhalb der EU ermöglicht, und das neue Data Protection Addendum (DPA) vom 1. Januar 2023. Beauftragt wurde die DSK-Arbeitsgruppe „Microsoft Online Services.“ Laut Protokoll der Zwischenkonferenz soll die Arbeitsgruppe „möglichst zur 105. DSK über die Änderungen zu berichten, die sich aus der EU Data Boundary bzw. zumindest dem damit verbundenen DPA 01/23 ergeben.“ Die 105. DSK fand laut Stiftung Datenschutz am 10. und 11.05.2023 statt. Ob die Arbeitsgruppe dort bereits über Ergebnisse berichtet, ist nicht bekannt.
Erwähnt wird im Protokoll unter Top 9 auch die Arbeit an einer Handreichung für die Nutzung von Microsoft-Produkten. Laut einem Beitrag der Aufsichtsbehörde Niedersachsen haben sich die an der Erarbeitung beteiligten Aufsichtsbehörden die Themen aufgeteilt.
Bewertung
Es spricht für die Aufsichtsbehörden, dass sie sich nicht auf ihre Feststellung von November 2022 versteifen, sondern auf die deutlichen Änderungen durch Microsoft reagieren. Verantwortlichen verschafft die neue Prüfung wieder einmal etwas Luft. Solange es keine erneute Feststellung der DSK gibt, ist es für die Aufsichtsbehörden deutlich schwieriger, die bisherige Position zu vertreten. Verantwortlichen stehen neue Unterlagen von Microsoft zur Verfügung, um ihre Rechenschaftspflichten zu erfüllen. Dazu gehören eine vollständige Liste aller Auftragsverarbeiter von Microsoft, das neue DPA und mehrere Übersichten (fast tausend Seiten und über 4.000 Seiten), in welchen Diagnosedaten detailliert aufgelistet sind. Außerdem wurden im Februar 2023 neue Möglichkeiten verfügbar die Erhebung von Telemetriedaten in Office-Clientsoftware (Microsoft 365 Apps for Enterprise) zu steuern (Erforderlich, Optional, oder Weder noch).1Mehr dazu unter https://drvis.de/Microsoft365/Privacy
Insgesamt entwickelt sich die Lage bezüglich der unterrichtlichen Nutzung von Microsoft 365 aktuell eher positiv als negativ. Trotzdem sollten Schulen weiter daran arbeiten, die Voraussetzungen für die Nutzung zu optimieren. Dazu gehört die Beschränkung der Nutzung von MS 365 auf unterrichtlich erforderliche Daten, Dokumente aus der Teamarbeit im Kollegium (schulinterne Lehrpläne, Unterrichtsmaterialien, Fachkonferenzprotokolle, …) und allgemeine Informationen und Dokumentvorlagen aus der schulinternen Verwaltung. Notenlisten, Zeugnisdaten, individuelle Elternschreiben, Beurteilungen, Protokolle von Zeugniskonferenzen und Klassenkonferenzen sollten nicht in MS 365 verarbeitet werden. Administrativ sollte MS 365 so datensparsam wie möglich eingestellt werden. Gegebenenfalls sollte in Erwägung gezogen werden, auf eine Version upzugraden, welche weitergehende Datenschutzeinstellungen ermöglicht. Über Telemetriedaten, welche nicht erhoben werden und abfließen, braucht weder informiert noch Rechenschaft abgelegt werden.
2 thoughts on “Datenschutzkonferenz bewertet Microsoft 365 neu”