Alvar C.H. Freude Profile picture
Freund von Artikel 1 GG – und Eichhörnchen. Sachen mit Politik, Netzpolitik, Bürgerrechte. @waehlen, @akzensur. Beruflich Datenschutz beim LfDI BW, hier privat.

Nov 9, 2021, 11 tweets

#MS365 als Bestandteil einer digitalen Bildungsplattform? Der #LfDI BaWü hat intensiv das @KM_BW zu Microsoft 365 beraten und hat ein Pilotprojekt mit einer speziell für Schulen konfigurierten Variante begleitet. Komplette Empfehlung nun bei @fragdenstaat: baden-wuerttemberg.datenschutz.de/empfehlung-lfd…

Die Empfehlungen kommen zum Schluss, dass zahlreiche rechtliche Risiken bestehen, daher rät der LfDI vom Einsatz von MS365 ab. Das alles ist in einem Haupt-Dokument zusammengefasst und begründet fragdenstaat.de/dokumente/1184…

In den Anlagen – siehe fragdenstaat.de/anfrage/bewert… – sind nochmals diverse Details der technischen Prüfung und diverses weitere Informationen zum Ablauf der Beratungen aufgeführt.

Rechtlich ist zum Beispiel fraglich, ob die vom KM gewählte Konfiguration die Grundsätze aus Artikel 5 DS-GVO einhalten kann und die Schulen ihrer Rechenschaftspflicht nachkommen könne, siehe z.B. Seite 13ff. im Hauptdokument. US-Datentransfer spielt nur eine kleine Rolle.

Die Zusammenfassung berichtet u.a., dass es trotz umfangreicher Bemühungen von LfDI zusammen mit dem Ministerium und hochrangigen Vertretern Microsofts nicht gelungen ist, eine vollständige Übersicht über alle Verarbeitungen zu erhalten. (Seite 21 f. Hauptdokument)

… und zu den Anlagen sage ich nachher vielleicht noch was, jetzt muss ich erst mal zum Elternabend ;-) …

Für alle Nutzer von Outlook iOS/Android wichtiger Punkt: auch wenn ihr das mit lokalem/eigenem Exchange oder IMAP/SMTP-Server nutzt, Eure Mails gehen damit immer über Microsoft-Server die auch Eure Passwörter im Klartext dafür benötigen: fragdenstaat.de/anfrage/bewert…

Das ist zwar nicht geheim und schon länger bekannt – aber wer weiß das schon wirklich?

Im Ergebnis heißt das auch: wer aus Gründen der Vertraulichkeit einen eigenen Mailserver betreibt, sollte kein Outlook unter iOS/Android nutzen, da damit alle Mails über fremde Server gehen.

Technische Details gibts in Anlage 7: fragdenstaat.de/anfrage/bewert…

Demnach wurde im Rahmen der Prüfung eine große Zahl an sog. Telemetrie- und Diagnosedaten an Microsoft übertragen und über 500 verschiedene Hosts kontaktiert.

Die Ereignisse, die nicht nur an den Cloud-Dienst sondern auch als Telemetrie- und Diagnosedaten an Microsoft gingen, sind laut der Untersuchung sehr detailliert, z.B. wie oft Pfeiltasten gedrückt oder welche Funktion im Interface aufgerufen wurde.

Rechtlich ist es so, dass der nach DSGVO Verantwortliche (also i.d.R. die Schulen!) die Rechtmäßigkeit aller Verarbeitungen der personenbezogenen Daten nachweisen müssen. Das ist laut Hauptdokument fragdenstaat.de/dokumente/1184… nicht gelungen, vgl. auch Seite 21, 22:

Share this Scrolly Tale with your friends.

A Scrolly Tale is a new way to read Twitter threads with a more visually immersive experience.
Discover more beautiful Scrolly Tales like this.

Keep scrolling