Wie im Protokoll zur „2. Zwischenkonferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder am 22. Juni 2022“ unter Top 10 zu lesen ist, sind die Gespräche des Arbeitskreises unter Führung des Bayerischen Landesamts für Datenschutzaufsicht mit Microsoft zur Auftragsverarbeitung bei Microsoft 365 mittlerweile abgeschlossen und der Arbeitskreis wertet diese Gespräche nun aus. Auf der 3. Zwischenkonferenz wird der Punkt erneut aufgerufen. Andere Mitglieder der Datenschutzkonferenz können sich in der Zwischenzeit bei der Arbeitsgruppe zu informieren und den Sitzungen teilnehmen.
Bewertung
Der Prozess, in welchem sich die Aufsichtsbehörden bzw. der Arbeitskreis der Datenschutzkonferenz seit Jahren befindet, lässt aktuell kein Ende absehen. Möglicherweise hat Microsoft endlich die Kritikpunkte der Aufsichtsbehörden zum Anlass genommen und bei den Dokumenten zur Auftragsverarbeitung entsprechend nachgebessert. Wenn ja, wäre das sehr gut, da sich daraus für Aufsichtsbehörden dann kein Grund mehr ergeben würde, mit welchem sie eine Untersagung der Verarbeitung von personenbezogenen Daten in der Schule mit Microsoft 365 untersagen könnten. Leider ist der Vertrag zur Auftragsverarbeitung nicht die einzige Baustelle. Es bleibt noch immer der CLOUD-Act als Schwachstelle, selbst wenn Schulen in Kürze ihren Tenant so einstellen können, dass alle Daten, auch die Telemetriedaten, in der EU-Zone verarbeitet werden.