Die Landesdatenschutzbeauftragte Bettina Gayk hat den jährlichen Datenschutzbericht Jahr 2023 als 164-Seiten PDF-Dokument veröffentlicht und findet klare Worte über die Nutzung von Microsoft 365.
Wie schon im letzten Bericht, gibt es Probleme mit der datenschutzkonformen Nutzung dieser Software. Da in NRW diese Software auch in Schulen eingesetzt wird, sind vor allem Eltern und Beschäftigte gefragt, hier ihr Recht auf Datenschutz in die Hand zu nehmen.
Der WDR berichtet ausführlich, dass die NRW-Datenschutzbehörde auch Bußgelder verhängen kann. Im letzten Jahr, so berichtet es Bettina Gayk, habe ihre Behörde ein Rekordbußgeld verhängt.
Gayk kritisiert, dass Microsoft mehr personenbezogene Daten speichert, als für die Produktentwicklung nötig sei. “Wenn Microsoft sich nicht bewegt, ist das nicht datenschutzkonform.” Darum rät die Behörde von der Nutzung in Schulen oder der öffentlichen Verwaltung dringend ab, aber auch Unternehmen sollten bei der Verwendung auf den Datenschutz ihrer Mitarbeitenden achten.
LDI rät dringen von Microsoft ab
Immer wieder das gleiche Spiel.
Wenn man sich vor Augen führt, wie lange schon Microsoft und das Thema Datenschutz behandelt wird, muss man sich ernsthaft fragen, ob man hier mit der nötigen Ernsthaftigkeit herangeht.
Im Umkehrschluss bedeute es doch, dass jeder, der Microsoft 365 einsetzt, nicht datenschutzkonform arbeiten kann. Mit all seinen Folgen, für die Menschen, die Microsoft 365 nutzen, für die Vorgesetzten, die sich einer möglichen Strafverfolgung aussetzen usw.
Bezogen auf den Bericht des LDI NRW zum Thema Microsoft 365 müsste man davon ausgehen, dass doch alles seinen Lauf nimmt. Die oberste Behörde in NRW positioniert sich ganz klar zum Thema Microsoft 365. Jetzt werden Sie sich fragen, warum wird dann noch Microsoft 365 eingesetzt, wenn es doch von der obersten Stelle von der Nutzung abgeraten wird.
Um beim Beispiel Schule zu bleiben: hier ist es oftmals der Schulträger, der Empfehlungen für Software ausspricht. Wenn der Schulträger oder die „Experten“ der städtischen IT-Abteilung der Schule die Nutzung von Microsoft 365 anbietet, werden viele Schulen dieses Angebot annehmen, da viele Schulen keine Ahnung haben, was IT angeht, und verlassen sich hier auch auf die entsprechende IT-Abteilung. Hier muss aber ernsthaft die Frage gestellt werden, was einen Schulträger zu so einer Empfehlung veranlasst, da einem IT-Experten die Berichte und die Diskussion über das Thema Datenschutz bekannt sein müssten.
Die Datenschützer: Diese habe eine proaktive Aufgabe und müssen Verstöße nach Artikel 33 DSGVO und Artikel 34 DSGVO an die passenden Aufsichtsbehörden melden.
Das Bundesdatenschutzgesetz (BDSG) und die Datenschutz-Grundverordnung (DSGVO) enthalten Bestimmungen, die die proaktive Rolle von Datenschutzbeauftragten und Datenschutzbehörden betonen.
Danach müsste jeder Datenschutzbeauftragter, der sein Aufgaben ernst nimmt, die Schulen aktiv beraten und bei Problemen oder Verstößen diese abstellen und den passenden Aufsichtsbehörden melden.
Wie oft die Datenschützer dies machen ist bisher offen, Presseanfragen laufen dazu und werden hier veröffentlicht.
Da Mircosoft 365 auch oft an Schulen eingesetzt wird, verdienen auf Grundlage der Gesetzeslage besonders Kinder bei ihren personenbezogenen Daten besonderen Schutz, da Kinder sich der betreffenden Risiken, Folgen und Garantien und ihrer Rechte bei der Verarbeitung personenbezogener Daten möglicherweise weniger bewusst sind.
In NRW gibt es genügend DSGVO konforme Lösungen, die die Schulen einsetzen könnten. Eine für Schulen kostenlose Version ist Logineo, diese wird vom Land NRW bereit gestellt und wird bereits von zahlreichen Schulen in NRW eingesetzt.
Es besteht kein wirklicher Grund weiter eine Software einzusetzen, bei der die Datenschützer Alarm schlagen, wo horrende Zahlungen von Steuergeldern für Lizenzen an Microsoft fließen. Ein Grund, dass Schulen bei Microsoft bleiben, könnte sein, dass man einen Wechsel nicht wünscht oder dass Schulen und Schulträger mit einem Wechsel überfordert sind.
Hier muss man sich aber fragen, wo der eigentliche Fehler liegt. Wenn man Software einsetzt, die schon in der Vergangenheit Datenschutzprobleme hatte, kann man sich jetzt nicht darauf berufen, dass man diese Software weiter nutzen möchte. Hier zeigt es sich wieder einmal, wie wichtig eine grundlegende Infrastruktur ist, die durchdacht und damit zukunftsfähig ist.
Die Schulleitung der Schule ist laut BASS verantwortlich für die Verwendung der eingesetzten Software und muss die passende AVV vorliegen haben.
Eltern und Mitarbeiter sind hier sehr gut beraten, die Schulleitung bei Verwendung von Microsoft auf die AVV anzusprechen.
Besonders Eltern sind hier ein Schlüssel zum Erfolg. Diese können und sollten die Schulleitung anschreiben und nachfragen, ob die Nutzung der Software auch DSGVO konform ist und ob eine ordnungsgemäße AVV vorliegt. Hier sollten Eltern sich auch nicht von einer Datenschutzerklärung der Schule irritieren lassen, diese sind oftmals nur vorgedruckte Vorlagen, die solche speziellen Fragen weder verbieten noch beantworten. Zusätzlich ist es empfehlenswert, dass man die passende Datenschutzbeauftragte und das LDI NRW mit in die Kommunikation einbindet.
Lehrerinnen und Lehrer sollten bei einer Lehrerkonferenz das Thema ansprechen und schriftlich auf die Situation hinwiesen.
Das zuständige LDI hat schon vor längerem ein Schreiben angefertigt, wonach die Schulen die Microsoft verwenden, den Eltern, die eine datenschutzkonforme Verwendung wünschen, eine passende Alternative anbieten sollten. In der Praxis wird diese Auswahlmöglichkeit den Eltern so gut wie nicht mitgeteilt.
Es bleibt zu hoffen, dass das LDI NRW nicht nur Ratschläge gibt, sondern aktiv den Datenschutz umsetzt. Berichte LDI
