msecure GmbH ist eine bayrische Firma, die sich auf verschiedene IT-Dienstleistungen und Beratung zum Thema Datenschutz und IT-Sicherheit spezialisiert hat. Auf LinkedIn ist mit Datum vom 05.12.2023 zu lesen, dass die Firma eine Datenschutz-Folgenabschätzung (DSFA) zum Einsatz von Microsoft 365 an Schulen als Referenzprojekt erstellt hat. Es geht um Grund- und Mittelschulen im Landkreis Günzburg. Zum Referenzprojekt wurde ein Dokument als PDF mit dem Titel „FALLSTUDIE: EINHEITLICHER UND SICHERER EINSATZ VON MICROSOFT 365“ veröffentlicht. Wie dem vierseitigen Dokument zu entnehmen ist, geht es um insgesamt 35 Schulen und nicht nur um eine Datenschutz-Folgenabschätzung, sondern auch ein „umfassendes Konzept zur sicheren und datenschutzkonformen Nutzung von M365.“ Zitiert wird im PDF, Thomas Schulze, Schulamtsdirektor und Fachlicher Leiter am staatlichen Schulamt im Landkreis Günzburg: „In engster und erfolgreicher Zusammenarbeit mit der msecure GmbH gewährleisten fünfunddreißig Grund-/Mittelschulen des Landkreises Günzburg mit Unterstützung von Schulbits (Zweckverband digitale Schulen des Landkreises Günzburg) eine einheitliche und sichere Nutzung von M365 unter Berücksichtigung der DSFA.“ Beschrieben werden im PDF die fünf Schritte, mit welchen die Datenschutz-Folgenabschätzung durchgeführt wurde. Zunächst wurden dabei die Art der
erfassten und verarbeiteten Daten inventarisiert und die Verarbeitungstätigkeiten identifiziert. Im nächsten Schritt wurden potentielle Datenschutzrisiken identifiziert und entsprechende Datenschutzmaßnahmen vorgeschlagen. Eines der identifizierten Risiken war dabei die „Möglichkeit, dass Unbefugte auf personenbezogene Daten von Schülern und Lehrern zugreifen könnten.“ Hier wurde eine Anpassung der technischen und organisatorischen Maßnahmen empfohlen. Auch bei der Datenübertragung, vor allem bei Videokonferenzen, wurden Risiken aufgezeigt, und zur Behebung die Verwendung von Verschlüsselung angeraten. Der Dritte Bereich, in dem Datenschutzrisiken identifiziert wurden, war die Speicherung von Daten über den Zeitraum des Schuljahres hinaus. Abhilfe soll hier eine Richtlinie zur Datenlöschung bringen. Das Dokument kommt zu dem Schluss, dass die Datenschutz-Folgenabschätzung dazu beitragen konnte, „Datenschutzrisiken zu identifizieren und zu minimieren. Die Implementierung von Sicherheitsmaßnahmen und Schulungsprogrammen gewährleistet, dass die Privatsphäre der Schüler und Lehrer geschützt wird und die Anforderungen der DSGVO erfüllt sind.“ Für msecure GmbH zeigt die Fallstudie, dass man durch eine sorgfältige Planung und Prüfung des Einsatzes von Microsoft 365 in Schulen „einen sicheren und datenschutzkonformen Betrieb sicherstellen“ kann.
Bewertung
Der Beitrag, sowohl auf LinkedIn und das PDF zur Fallstudie bzw. zum Referenzprojekt ist zunächst einmal eine Werbung für msecure GmbH und soll zeigen, dass man sich auch in der Lage sieht, ein komplexes Thema wie die Nutzung von Microsoft 365 in Schulen anzugehen. Der Anbieter ist nicht der einzige, der in diesem Bereich aktiv ist. Seit Datenschutzaufsichtsbehörden den Druck auf Schulen bezüglich ihrer Nutzung von Microsoft 365 erhöhen, haben verschiedene Player sich am Markt positioniert. Dazu gehört etwa auch Reusch Law, die eine kostenlose Vorlage für eine Datenschutz-Folgenabschätzung für öffentliche Stellen/ Schulen veröffentlicht haben. Das Referenzprojekt aus Bayern ist jetzt ein Beispiel für eine tatsächlich durchgeführte DSFA. Auch wenn dabei mögliche Risiken identifiziert und durch entsprechende Dateschutzmaßnahmen soweit minimiert wurden, dass sowohl die Eintrittswahrscheinlichkeit wie auch der mögliche Schwergrad eines Schadens auf ein vertretbares Maß begrenzt werden konnten, bedeutet dieses keinen Freifahrtschein bei den Aufsichtsbehörden. Das Fazit von msecure, die Anforderungen der DS-GVO seien mit der Umsetzung der empfohlenen Maßnahmen erfüllt, muss nicht der Einschätzung der zuständigen Aufsichtsbehörde entsprechen. Das Beispiel Baden Württemberg zeigt dieses mehr als deutlich. Das Schulministerium hatte dort eine Konfiguration von Microsoft 365 mit Lehrkräften von Berufsschulen in Zusammenarbeit mit Microsoft und begleitet vom Landesbeauftragten für Datenschutz und Informationsfreiheit Baden Württemberg pilotiert und eine DSFA durchgeführt. Letztere war sehr umfangreich und gründlich, konnte die Aufsichtsbehörde jedoch nicht überzeugen. Für die Aufsichtsbehörde stand fest, Microsoft 365 war in der speziellen Konfiguration nicht DS-GVO konform nutzbar.
Auch wenn die DSFA und die in Folge getroffenen Maßnahmen zur Minimierung der Risiken keine Gewähr bieten, im Fall einer Beschwerde oder Prüfung den von einer Aufsichtsbehörde angelegten Kriterien standzuhalten, so ist die DSFA trotzdem ein positives Beispiel, wie ein Schulträger seine Schulen unterstützen kann, die Nutzung einer komplexen Plattform mit Blick auf mögliche Datenschutzrisiken gezielt zu optimieren. Das findet man so sehr selten. Oft entscheiden die Dienstleister der Schulträger über die Konfiguration oder Schulen administrieren eigenständig. Beides ist in der Regel nicht zielführend. Die Dienstleister von Schulträgern mögen sich zwar mit kommunalen Verwaltungen auskennen, doch die speziellen Belange von Schulen sind ihnen häufig nicht vertraut. Das betrifft die Nutzer wie auch die Kategorien von Daten und Verarbeitungen. Verwalten Schulen ihre Plattformen wie Microsoft 365 oder andere eigenständig, hängt viel davon ab, wie kundig die Lehrkraft ist, welche den Job übernimmt. Viele diese Administratoren kennen die datenschutzrechtlichen Anforderungen, welche sie umsetzen müssten, nicht. Das kann gerade bei hochkomplexen Plattformen zu fatalen Fehlentscheidungen kommen.
Von daher kann der Ansatz, sich Plattformen, die ein Schulträger bereitstellt, für alle Schulen gemeinsam mit den entsprechenden Experten vorzunehmen, und ähnlich einer DSFA Daten und Verarbeitungen zu identifizieren, Risiken zu ermitteln und Maßnahmen zu bestimmen, mit denen sich diese abstellen oder auf ein verträgliches Maß minimieren lassen, nur empfohlen werden. Es ist sinnvoll, wenn Schulen hier unterstützt werden.