LDI NRW und Microsoft 365

Hallo zusammen, wieder das Thema Datenschutz. Ich habe das LDI im Dezember angeschrieben. An der Schule wo ich arbeite, verwenden wir Microsoft 365, wir haben keine AVV und demzufolge auch keine Unterschriebene AVV. Die lokale Datenschutzbeauftragte ist seit Anfang des Jahres nicht mehr zu erreichen. Ich habe dem LDI mitgeteilt, dass wir ohne gültige AVV arbeiten und das mit Microsoft Produkten nicht vereinbar ist.
Ich bin kein Schüler.

Hier die Antwort:

Hat einer noch einen Tipp oder eine Idee, was ich hier machen kann?
Hatte überlegt, den Text der Seite
https://www.kuketz-blog.de/kommentar-zu-ms365-wenn-fakten-nicht-mehr-ausreichen/ an das LDI zu senden. Wenn das für den Autor in Ordnung ist.

Was wäre denn deine Erwartung an das LDI NRW?

Hallo,

das die Ihren Job machen und prüfen, ob hier datenschutzkonform gearbeitet wird und wenn nicht, wie in diesem Fall einschreiten und der Schule mitteilen, dass diese Datenschutzkonform, also ohne Windows 365 arbeiten muss.

Auf Twitter bei den Politikern posten, auch wenn die nicht antworten, sie lesen es.

Da wird kaum eine Schule oder deren Leitung dran Interesse haben - die Vorgaben kommen von weiter oben und dort wiederum von noch weiter oben;)

Dieses ganze Datenschutzthema fühlt sich eigentlich nur noch wie ein zahnloser Papiertiger an:/

Die Behörden machen doch nicht wirklich was und haben manchmal mehr den Anschein von Versorgungsanstalten - da wird dann halt auch schon auf korrektes Gendern wert gelegt :innocent:

Liest man ja auch aus der Antwort heraus:

Wenn sie M365 nicht nutzen wollen, müssen sie als Schule eine Alternative bereitstellen - Zack Problem abgewälzt, ebenso wenn der zuständige Datenschutzbeauftragte der Schulen nichts unternimmt, darf man sich gerne nochmal melden;)

Tja es gab Alternativen zu Microsoft, aber das Thema Digitalisierung wurde ja die letzten 20 Jahre politisch gegen die Wand gefahren - jetzt steht man halt da und guckt doof aus der Wäsche :exploding_head:

1 „Gefällt mir“

Hast du dein Anliegen als Frage oder als Beschwerde formuliert?
Was sagt denn die Schule zum fehlenden AVV?

Genau, die konkreten Alternativen würden mich aus fachlicher Sicht, gerade bei der Umsetzung wirklich interessieren:)

Es ist halt einfach nicht eingeplant gewesen im Schulsystem - als Lehrkraft oder Angestellter würde ich mir auch 3x überlegen meine (mögliche) Expertise da quasi gratis zur Verfügung zu stellen…

Für wirkliche Fachkräfte was Digitalisierung angeht ist halt kein Geld da - jeder halbwegs normal Denkende aus dem Fachbereich tut sich das in diesem Schulsystem auch nicht wirklich an😎

Ähm, sorry, aber da gibt es nichts mehr mit Dialog, die Aussage vom LDI ist doch eindeutig, solange kein Auftragsverarbeitungsvertrag geschlossen wurde, indem die Verarbeitung von Personenbezogenen Daten durch Microsoft ausgeschlossen ist, und ein Lehrer oder ein Schüler mit der Verarbeitung nicht einverstanden ist, MUSS die jeweilige Schule eine Alternative bereit stellen, für die gesamte Klasse.
Tut sie das nicht, sind die Betroffenen Schutzlos, also sofort wieder schreiben und während dessen das Arbeiten mit der Software einstellen, Löschantrag der erhobenen Daten stellen. Anders wachen die doch nicht auf.
Aber wird keiner machen, ist nicht wichtig genug, schadet nur der Klasse, der Gemeinschaft.
Tolles Datenschutzgesetz.

Der Auftragsverarbeitungsvertrag wird zumindest bei den üblichen Verträgen automatisch abgeschlossen (es würde mich wundern, wenn das bei Schulen oder der Öffentlichen Hand anders wäre).

Nur verarbeitet Microsoft nahezu unkontrollierbar auch Daten zu eigenen Zwecken und darin liegt das Problem.

Wenn Du tatsächlich Betroffener bist, dann kannst Du natürlich alle Dir damit zustehenden Rechte aus der DSGVO geltend machen und daraus weitere Aktionan ableiten. Ein wichtiges hat der LDI ja genannt: den Widerspruch. Im Vorfeld wäre das Auskunftsrecht von Interesse.

Wie ebenfalls vom LDI mitgeteilt, ist die Problematik ja hinlänglich bekannt. Auf Grund der aktuell bereits laufenden „Bemühungen“ um eine Lösung wird hier aber im Einzelfall (derzeit noch) nicht eingeschritten.

Was soll die Weiterleitung des Blog-Artikels an den LDI bewirken? Bereits aus dem ersten Absatz geht doch hervor, dass der DSK das Problem erkannt hat. Die erstellte Handreichung belegt dies ja auch im Detail.

1 „Gefällt mir“

So und dann wird irgendwann einfach der Auftragsdatenverarbeitungsvertrag abgeschlossen bzw. angeklickt. Und dann? Ganze Beschwerde ist beendet, weil nur das Fehlen dieses Zettels defacto bemängelt wurde… Traurig aber wahr.

Vorsicht ab hier kommen starker Zynismus oder Sarkasmus je nach Lesart:
Und wie ist dann die alternative Lösung? Der Schulleiter lässt dann halt dem „Querulanten“ vom Sekretariat Zeug ausdrucken statt es ihm digital zur Verfügung zu stellen. Wird im Kollegium auch direkt gut ankommen – weil die das leider nur mitbekommen haben, dass das Sekretariat jetzt überlastet ist, weil immer für den X so viel auszudrucken ist… viel Vergnügen an der Schule…

1 „Gefällt mir“

Hallo zusammen,

danke für die Rückmeldungen.
Natürlich, habe ich erst versucht mit der SL zu sprechen.
Zum System, es gibt alternativen z.b. wird vom Land eine kostenlose DSGVO-konforme Alternative angeboten. Die Schulleitung will aber nicht wechseln, da eine Umstellung Zeit und Mühe kostet. Das kann ich verstehen, man sollte sich aber in solchen Sachen grundsätzlich Gedanken machen. Es scheint mir am einfachsten das LDI anzuschreiben und dem Einsatz von Microsoft zu Widersprechen.

Was hat der LDI mit Deinem Widerspruch zu tun? Deine Betroffenenrechte machst Du gegenüber dem für die Datenverarbeitung Verantwortlichen geltend!

Zynismus und Sarkasmus hin oder her - mit welcher Argumentation würde denn diese Vorgehensweise die sachliche Anwendbarkeit der DSGVO verändern?

Ausdrucken und vielleicht noch mit Verzögerung oder geringerem Umfang gegenüber den Mainstream-Nutzern geht ja nicht.

Statt für solche Ausnahmefälle parallel die volle Funktion verfügbar zu machen wäre es einfacher, alles gleich komplett und für alle datenschutzkonform zu machen.

D., der nicht glaubt, dass sich in der Praxis viel ändern wird. Nicht bevor die Länder eine saubere Lösung stellen und auch betreiben.

Verändert an der DSGVO natürlich nichts. Nur interessiert es halt den Rest der Leute leider nicht. Das ist das traurige. Und sobald „der Zettel“ da ist, ist das sowieso durch…

was meint das?

AVV oder eine andere passende Vereinbarung.

Die Datenschutzvereinbarung wird automatisch abgeschlossen, siehe oben, auch wenn sie „wertlos“ ist.

Die meisten Schulen (und nicht nur die) würden suchen und behaupten, sie hätten keine solche Vereinbarung.

D., der unbewusste Verträge nicht für qualifiziert hält, eine Auftragsverarbeitung zu sein. Schon nicht, weil dann darin nicht die nötigen Zwecke usw. festgelegt wären. (Nicht dass das für diesen Auftragsverarbeiter einen Unterschied machen würde.)

Sie (Schulleitung) müssen den Vertrag vorliegen haben. Sie sind laut BASS 10-44 Nr.2.1
§1 (3) Verantwortliche für die Daten der SuS sowie der Lehrkräfte und Erziehungsberechtigter und müssen daher diesen Vertrag unterschrieben haben. Und es wäre höchst irregulär, einen Vertrag zu unterschreiben, ohne eine eigene Ausfertigung zu haben. Der Schulträger ist nicht Teil der Dienststelle und somit ein „Dritter“, der Daten aus Ihrem Verantwortungsbereich verarbeitet. Dieses müssen Sie überwachen und durch den Auftragsverarbeitungsvertrag sicherstellen.
Ich bin als Datenschutzbeauftragte nach Art. 39 Abs. 1 lit. b DSGVO zur Überwachung verpflichtet und Sie als Verantwortliche nach Art. 38 Abs. 2 DSGVO müssen dieses auch unterstützen.
Sie können diese rechtliche Verpflichtung auch nicht einfach an den Auftragsverarbeiter abwälzen.