M365

Think-Tank 05

Im Februar 2021 begannen die Expert:innen im Think-Tank (TT05) zu prüfen, ob der Einsatz der Microsoft 365 Cloud-Dienste (M365) im Einklang mit der Datenschutzgrundverordnung (DS-GVO) an baden-württembergischen Universitäten bzw. Hochschulen möglich ist und welche Risiken damit verbunden sind. Eine Bewertung alternativer Optionen zu M365 fiel nicht in seinen Aufgabenbereich. Diese Prüfung ermöglicht es den Universitätsleitungen, eine Einführung von M365 abzuwägen und zu beschließen.

Die Expert:innen im Think-Tank kamen im Laufe der Analyse zum Schluss, dass der Auftrag den Rahmen eines üblichen Think-Tanks übersteigt und es einer tiefgreifenderer Befassung bedarf. Um sich systematisch mit den verbundenen datenschutzrechtlichen Risiken der Verarbeitung personenbezogener Daten in M365 beschäftigen zu können, sollte eine sogenannte Datenschutz-Folgenabschätzung (DSFA) gemäß Art. 35 Abs. 1 DS-GVO erarbeitet werden. Daraufhin ist der Auftrag des Think-Tanks zu einem Umsetzungsprojekt M365 (UP M365) mit konkretem Ziel „Erstellung einer DSFA“ geändert worden.

Im Austausch mit ähnlich gelagerten Projekten wurde deutlich, dass es empfehlenswert ist, das Projektziel inkl. DSFA mit externer Unterstützung durchzuführen, denn die Klärung des DS-GVO-konformen Einsatzes von M365 erfordert neben der technischen auch eine weitreichende datenschutzrechtliche Expertise. Diese Erarbeitung wurde mit einem externen Dienstleister¹ umgesetzt. Da eine Datenschutz-Folgenabschätzung an konkreten Einsatzszenarien erfolgen muss, ist eine sogenannte Muster-DSFA, die von allen teilnehmenden Hochschulen in Baden-Württemberg angepasst genutzt werden kann, in Auftrag gegeben worden. Grundlage für die Muster-DSFA waren die im Think-Tank vorher definierten Nutzungsszenarien, die zum einen aussagekräftig für den konkreten Prüfungsfall, zum anderen auf alle beteiligten Einrichtungen übertragbar waren. Neben der DSFA, die als Kernelement spezifische technische und organisatorische Maßnahmen zur Eingrenzung von Datenschutzrisiken umfasst, wurde ein Rechtsgutachten erstellt, das sich mit dem datenschutzkonformen Einsatz von M365 an einer Hochschule beschäftigt.

Das beauftragte Gutachten zeigt: Der Einsatz von M365 ist unter gewissen Bedingungen und mit der Umsetzung von technischen und organisatorischen Maßnahmen aus der Muster-DSFA für eine Hochschule datenschutzrechtlich vertretbar. Das Gutachten kommt damit zu demselben Ergebnis wie die Prüfungen anderer Hochschulen und Universitäten in Deutschland und der EU. Da M365 eine Plattform ist, die permanent weiterentwickelt wird und technischen Veränderungen unterworfen ist, müssen die Grundlagen für einen datenschutzkonformen Einsatz von M365 einem kontinuierlichen Monitoring unterzogen werden.

„Diese übergreifende Herausforderung lässt sich am besten mit einem kooperativen Ansatz meistern“, so der Programmausschuss bei Abnahme der Ergebnisse. „Unser Ziel ist es, Interessen zu bündeln und uns gegenseitig mit geeigneten Vorgehensweisen beim Einsatz von M365 zu unterstützen.“ Das entstandene Netzwerk im Land tauschst sich auch künftig dazu aus. Hierzu suchen die Beteiligten weiterhin den Austausch mit ähnlich gelagerten Initiativen.

Hinweis: Aus urheberrechtlichen Gründen sind die Ergebnisse des UP M365 nicht frei zugänglich.

Kontakt kann über Herrn Dr. A. Haas (KIT) (alexander.haas@kit.edu) aufgenommen werden.