• Leichte Sprache
Logo des Landesbeauftragten für Datenschutz und Informationsfreiheit
  • ZUR HAUPTNAVIGATION
  • ZUR SUCHE
  • ZUM INHALT
  • Startseite
  • Über uns
    • Über uns
    • Der Landesbeauftragte
    • Aufgaben
    • Organisation
      • Organisation
      • Geschäftsverteilung
      • Kontakt
      • Stellenangebote
    • Datenschutzkommission
    • Datenschutz
      • Datenschutz
      • Datenschutzkontrolle
      • Datenschutzkonferenz
      • Rechtsgrundlagen
      • Gerichtsentscheidungen
      • Tätigkeitsberichte
    • Informationsfreiheit
      • Informationsfreiheit
      • Informationszugang
      • Konferenz der Informationsfreiheitsbeauftragten
      • Rechtsgrundlagen
      • Tätigkeitsberichte
    • Themen A-Z
  • Bürgerinnen / Bürger
    • Bürgerinnen / Bürger
    • Ihre Rechte
    • Beratung
    • Datenschutz
    • Selbstdatenschutz
    • Informationsfreiheit
      • Informationsfreiheit
      • Musterantrag auf Informationszugang gegenüber transparenzpflichtigen Stellen
      • Antrag nach § 11 LTranspG gegenüber dem Landesbeauftragten
    • Beschwerdeformular
    • Themen A-Z
  • Wirtschaft
    • Wirtschaft
    • Beratung
    • Betriebliche Datenschutzbeauftragte
    • Beschäftigtendatenschutz
    • Internationales
    • Datenverarbeitung im Auftrag
    • Meldung einer Datenpanne nach Art. 33 DS-GVO
    • Themen A-Z
  • Verwaltung
    • Verwaltung
    • Datenschutz
    • Informationsfreiheit
    • Beratung
    • Behördliche Datenschutzbeauftragte
    • Meldung einer Datenpanne nach Art. 33 DS-GVO
    • Themen A-Z
  • Service
    • Service
    • Kontakt
    • Online-Services
    • Tätigkeitsberichte
    • Infothek
      • Infothek
      • Pressemitteilungen
      • Statistik & Zahlen
      • Entschließungen der Datenschutzkonferenz
      • Entschließungen der Informationsfreiheitskonferenz
      • Tätigkeitsberichte
      • Rechtsgrundlagen
      • Gerichtsurteile
      • Materialien
      • Publikationen
    • Rechtsgrundlagen
    • Themen A-Z
    • Newsletter
    • Podcast
  • Startseite
  • Digitale Bildungsinstrumente

Digitale Bildungsinstrumente

© HaticeEROL / pixabay.com

Nach dem Auslaufen der Duldung: Wie geht es jetzt weiter?

Hinweise zur Nutzung außereuropäischer Softwareprodukte im schulischen Kontext

Die Frage der Nutzung von Microsoft 365 (ehemals Office 365) einschließlich MS Teams und vergleichbarer Cloud-Lösungen außereuropäischer Anbieter ist seit der Aufhebung des Safer Harbor Abkommens 2015 und des EU-US-Privacy-Shield 2020 durch den Europäischen Gerichtshof (EuGH) in der Diskussion („Schrems I“ und „Schrems II“). Kern des Problems ist, dass eine Übermittlung personenbezogener Daten in Drittstaaten, d.h. außerhalb der EU oder des Europäischen Wirtschaftsraums EWR, rechtlich nur zulässig ist, wenn im Zielland ein vergleichbares Datenschutzniveau sichergestellt ist. Dies ist nach der Entscheidung des EuGH aufgrund der dortigen Rechtslage für die USA jedoch nicht der Fall.

Aber auch schon vor dem Urteil des EuGH war fraglich, inwieweit bestimmte Datenverarbeitungen durch Microsoft mit der Europäischen Datenschutzgrundverordnung konform sind. Dies gilt insbesondere für die Verarbeitung sogenannter „Metadaten“, die bei der Nutzung von Microsoft-Produkten erhoben werden und die zum Teil tiefe Einblicke in das Nutzungsverhalten ermöglichen und die Frage, inwieweit diese Daten durch Microsoft für eigene Zwecke verarbeitet oder gar an Dritte weitergegeben werden.

Siehe FAQ „Was ist beim Einsatz von Microsoft 365 datenschutzrechtlich problematisch?“

Die europäischen Datenschutzaufsichtsbehörden sind durch die Vorgaben des EuGH aufgefordert, Datenübermittlungen in die USA besonders kritisch zu prüfen und ggfs. aufsichtsrechtlich zu unterbinden. Hinzu kommt, dass die Datenschutz-Grundverordnung dem Schutz personenbezogener Daten von Kindern einen besonders hohen Stellenwert beimisst.

In der pandemiegeprägten Diskussion um die Nutzung von Microsoft Teams als Teil von Microsoft 365 an Schulen hatte der LfDI mit Blick auf die Sicherstellung des Bildungsauftrags während der Schulschließungen und den zwischenzeitlichen Aufbau von datenschutzkonformen landeseigenen Videokonferenzsystemen (Big Blue Button) und Lernplattformen (Moodle, Schulcampus RLP) eine vorübergehende Nutzung toleriert.

Nach der Rückkehr zum Präsenzunterricht kommt ein weiterer Einsatz an den allgemeinbildenden Schulen nur in Betracht, wenn für die Nutzung von Microsoft 365-Produkten ein datenschutzkonformer Betrieb sichergestellt ist. Die technischen Anforderungen hierfür sind allerdings hoch: s. FAQ „Unter welchen Voraussetzungen ist ein datenschutzkonformer Einsatz von Microsoft 365 denkbar?“.

Nach einem Pilotprojekt zur Nutzung von Microsoft 365 an Schulen in Baden-Württemberg und umfangreichen technischen Untersuchungen kam der LfDI Baden-Württemberg ebenfalls zu dem Ergebnis, dass die Nutzung von Microsoft 365 zu beenden ist. Denn „es gelang beim Pilotprojekt trotz intensiver Prüfung und Zusammenarbeit mit den Beteiligten nicht, eine datenschutzkonforme Lösung zu finden.“ Siehe Pressemitteilung vom 25.4.2022.

Noch während der Pandemie hatte bereits die Berliner Datenschutzbeauftragte ihre Ergebnisse von Kurzprüfungen gängiger Videokonferenzsysteme veröffentlicht. Diese zeigen, dass auch die rechtlichen Anforderungen einer Auftragsverarbeitung bei MS Teams nicht den Vorgaben der Datenschutz-Grundverordnung entsprochen haben.

Die Duldung der genannten Softwareprodukte im schulischen Kontext läuft daher zum Ende des Schuljahres für die allgemeinbildenden Schulen aus. Das rheinland-pfälzische Ministerium für Bildung hat die Schulen im Land bereits mit Schreiben vom 4.4.2022 entsprechend unterrichtet.

Lediglich für den Bereich der Berufsbildenden Schulen kann die Duldung vorübergehend verlängert werden. Dies ist dem Umstand geschuldet, dass hier aufgrund der engen Verzahnungen mit der Privatwirtschaft die Digitalisierung bereits weiter fortgeschritten ist, als dies beispielsweise im Bereich der Grundschulen der Fall ist. Insbesondere Berufsbildende Schulen haben ihren Unterricht mittlerweile so konzipiert, dass er den Einsatz von digitalen Werkzeugen zum kollaborativen Arbeiten unterstützt. Die Nutzung dieser Werkzeuge soll den Schulen bis zur vollständigen Einführung des Schulcampus RLP noch ermöglicht werden. Da hier eine besondere Situation und ein konkreter Zeitplan für den Umstieg vorliegt, kann die entsprechende Nutzung vorübergehend geduldet werden. Es kann aber kein Zweifel daran bestehen, dass die o.g. Vorgaben des EuGH für alle öffentlichen und privaten Stellen im Land gelten.

Es bleibt abzuwarten, ob sich mittelfristig datenschutzkonforme Möglichkeiten für die Nutzung außereuropäischer Anbieter im schulischen Kontext auftun. Die Datenschutzaufsichtsbehörden bleiben hierfür auch weiterhin mit den beteiligten Akteuren in Kontakt. Derzeit finden auf verschiedenen Ebenen der KMK und den Datenschutzaufsichtsbehörden Gespräche mit Microsoft statt. Wenn die von Microsoft vorgesehene „EU Data Boundary“ - wie angekündigt - eine vollständige und ausschließliche Speicherung und Verarbeitung von Daten in der EU gewährleistet, könnte sich insoweit die Sachlage ändern. Wann die „EU Data Boundary“ den Schulen im Land zur Verfügung stehen wird und ob damit auch dem Problem der eigenen Verwendung von Nutzungsdaten durch Microsoft und den sonstigen technischen und rechtlichen Datenschutzbedenken begegnet werden kann, ist aber derzeit nicht absehbar.

Mit dem Auslaufen der Duldung sind Schulen daher gut beraten, auf Moodle, Big Blue Button und den Schulcampus RLP zu setzen. Denn der Einsatz von datenschutzfreundlichen Systemen stellt für die Schulen im Land einen rechtssichereren, kostengünstigen und zukunftsträchtigen Weg da. Siehe Pressemitteilung des LfDI vom 7.7.2022.

Nach oben

Über den LfDI

  • Kontakt
  • Impressum
  • Datenschutzerklärung
  • Barrierefreiheit

Nützliche Links

  • Datenschutzbehörden
  • Informationsfreiheitsbehörden
  • Virtuelles Datenschutzbüro

Infothek

  • Pressemeldungen/Aktuelles
  • Wer macht was?
  • Infothek

Newsletter

Mastodon