Warum Schulen eine Auftragsverarbeitungsvereinbarung (AVV) brauchen
1. Rechtliche Verpflichtung: Schulen als öffentliche Stellen müssen sicherstellen, dass die Verarbeitung personenbezogener Daten von Schülern und Lehrkräften den Anforderungen der Datenschutz-Grundverordnung (DSGVO) entspricht. Eine Auftragsverarbeitungsvereinbarung (AVV) ist gemäß Artikel 28 DSGVO erforderlich, wenn ein Verantwortlicher (z.B. die Schule) einen Auftragsverarbeiter (z.B. Microsoft) mit der Verarbeitung personenbezogener Daten beauftragt (ZDNet).
2. Kontrolle und Sicherheit: Die AVV stellt sicher, dass der Auftragsverarbeiter nur im Rahmen der Weisungen des Verantwortlichen handelt und geeignete technische und organisatorische Maßnahmen trifft, um den Schutz der Daten zu gewährleisten. Dies ist besonders wichtig, um die Daten von Schülern und Lehrkräften vor Missbrauch und unberechtigtem Zugriff zu schützen.
3. Rechenschaftspflicht: Durch eine AVV wird die Rechenschaftspflicht des Verantwortlichen gestärkt, da dieser nachweisen kann, dass die Verarbeitung personenbezogener Daten in Übereinstimmung mit der DSGVO erfolgt. Dies umfasst auch die Dokumentation der getroffenen Maßnahmen und die Sicherstellung der Datenverarbeitungsprozesse.
Warum die AVV mit Microsoft problematisch ist
1. Transparenz und Kontrolle: Die Datenschutzbehörden, einschließlich der LDI NRW, haben festgestellt, dass die von Microsoft bereitgestellten Standard-AVV-Dokumente nicht ausreichend transparent sind. Es ist oft unklar, wie und zu welchen Zwecken Microsoft die Daten verarbeitet. Diese mangelnde Transparenz erschwert es Schulen, ihre Rechenschaftspflicht gemäß DSGVO zu erfüllen (Heise Online, LDI NRW).
2. Datenübermittlung in Drittstaaten: Ein großes Problem bei der Nutzung von Microsoft 365 ist die Übermittlung personenbezogener Daten in Drittstaaten, insbesondere in die USA. Die DSGVO stellt strenge Anforderungen an die Datenübermittlung in Länder außerhalb des Europäischen Wirtschaftsraums (EWR), die kein angemessenes Datenschutzniveau gewährleisten. Die bisherigen Vereinbarungen und Mechanismen, wie die Standardvertragsklauseln (SCCs), wurden als unzureichend bewertet, um die Anforderungen der DSGVO vollständig zu erfüllen (LDI NRW).
3. Nutzung der Daten für eigene Zwecke: Datenschutzbehörden haben Bedenken, dass Microsoft personenbezogene Daten für eigene Zwecke nutzt, was in einer Auftragsverarbeitung nicht zulässig ist. Eine solche Nutzung widerspricht den Grundsätzen der DSGVO, da die Verarbeitung ausschließlich im Auftrag und nach den Weisungen des Verantwortlichen erfolgen sollte (Heise Online, ZDNet).
Fazit
Zusammengefasst benötigen Schulen eine AVV, um die rechtlichen Anforderungen der DSGVO zu erfüllen und den Schutz personenbezogener Daten zu gewährleisten. Die Zusammenarbeit mit Microsoft ist jedoch problematisch, da die bestehenden AVV-Dokumente nicht ausreichend transparent sind und die Datenübermittlung in Drittstaaten sowie die mögliche Nutzung der Daten für eigene Zwecke von Microsoft den Datenschutzanforderungen der DSGVO nicht vollständig gerecht werden. Dies führt dazu, dass Datenschutzbehörden wie die LDI NRW den Einsatz von Microsoft 365 in Schulen kritisch sehen und teilweise untersagen (Heise Online, ZDNet, LDI NRW).