Info zur EU-Datenschutz-Grundverordnung (DSGVO)

Seit dem 25.05.2018 wurde das bisherige Bundesdatenschutzgesetz ersetzt durch die EU Datenschutzgrundverordnung (DSGVO). Sie ist ab diesem Zeitpunkt unmittelbar gültiges Recht. Generell gilt: Deutsches Recht wird durch EU-Recht im Falle einer Überschneidung unanwendbar. Bundesrecht bricht Landesrecht ist ein deutscher Rechtsgrundsatz; daher sind alle Regelungen in Landesdatenschutzgesetzen, die der DSGVO widersprechen, ab 25. Mai 2018 unwirksam. Die DSGVO sieht Öffnungsklauseln für bestimmte Behörden vor. Diese sind in einem angepassten Bundesdatenschutzgesetz (BDSG neu) und in neuen Landesdatenschutzgesetzen integriert, aber für Bildungseinrichtungen nicht relevant.

Aktuelle Meldungen zum Thema Datenschutz und Microsoft

Ab 1. Januar 2023: "Schritt-für-Schritt"-EU-Datengrenze für die Microsoft Cloud

Dezember 2022

In seinem jüngsten Statement bekennt sich Microsoft klar zur Unterstützung der digitalen Bedürfnisse Europas und hat erneut einige Maßnahmen ergriffen, um dies zu unterstreichen. So bietet Microsoft ab dem 1. Januar 2023 KundInnen die Möglichkeit zur Speicherung und Verarbeitung ihrer Daten innerhalb der EU-Datengrenze für Microsoft 365, Azure, Power Platform und Dynamics 365.

Zum Artikel

Microsoft erfüllt und übertrifft europäische Datenschutzgesetze: Stellungnahme zur datenschutzrechtlichen Bewertung von Microsoft 365 durch die DSK

November 2022

Heute haben die unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) Bedenken zu der Vereinbarkeit von Microsoft 365 (M365) mit den Datenschutzgesetzen in Deutschland und der EU geäußert.

Zur Stellungsnahme

Stellungnahme von Microsoft zur Pressemitteilung des LfDI

Mai 2022

Vorerst gibt es keine pauschale Untersagung von Microsoft-Produkten an schulen – das Kultusministerium arbeitet gleichzeitig an einer datenschutzkonformen Bildungsplattform, die so schnell wie möglich zur Verfügung gestellt werden soll. Diese Lösung haben das Kultusministerium und der Landesbeauftragte für den Datenschutz und die Informationsfreiheit (LfDI).

Zur Stellungnahme

Datenschutzkonforme Bildungsplattform kommt – Vorerst keine pauschale Untersagung von Microsoft-Produkten

Juli 2021

Vorerst gibt es keine pauschale Untersagung von Microsoft-Produkten an Schulen – das Kultusministerium arbeitet gleichzeitig an einer datenschutzkonformen Bildungsplattform, die so schnell wie möglich zur Verfügung gestellt werden soll. Diese Lösung haben das Kultusministerium und der Landesbeauftragte für den Datenschutz und die Informationsfreiheit (LfDI)

Zum Artikel

Unsere Antwort an Europa: Microsoft ermöglicht Speicherung und Verarbeitung von Daten ausschließlich in der EU

Mai 2021

Microsoft wird es in der EU ansässigen Kunden aus dem öffentlichen Sektor und Unternehmenskunden künftig ermöglichen, all ihre Daten innerhalb der EU zu verarbeiten und zu speichern. In anderen Worten: Wir werden keine Daten dieser Kunden aus der EU heraus transferieren müssen. Diese Zusage gilt für alle zentralen Cloud-Dienste von Microsoft – Azure, Microsoft 365 und Dynamics 365.

Zur aktuellen Stellungnahme

Stellungnahme von Microsoft zum Vermerk „Berliner Datenschutzbeauftragte zur Durchführung von Video-Konferenzen während der Kontaktbeschränkungen“

Juli 2020

Nutzen Sie diesen Service für die individuelle Betreuung rund um Ihre Google Admin Konsole – ob als Träger oder als Schule. Es können unzählige Fragen in Bezug auf die Google Admin Konsole auftauchen, bei denen wir Ihnen Support bieten. Das geschieht, indem sich unsere Mitarbeiter direkt auf Ihren PC "aufschalten", d. h. sie sehen all das, was auf Ihrem Monitor dargestellt wird.

Immer im Blick: die Datensicherheit
Die Übertragung der Bildschirminformationen erfolgt SSL-verschlüsselt über das Internet. Es können keine Bildschirminhalte ohne Ihre Zustimmung an uns übermittelt werden. Gegebenenfalls muss eine Fernwartung durch Ihre EDV freigegeben werden.

Zur aktuellen Stellungnahme

Aktuelles zum Thema Datenschutz und Office 365: Stellungnahmen des Hessischen Datenschutz-Beauftragten

August 2019

Die erste Stellungnahme des Hessischen Datenschutzbeauftragten vom 09.07.2019 zum Verbot des Einsatzes von Microsoft Office 365 in hessischen Schulen hat hohe Wellen geschlagen. Mittlerweile er eine zweite Stellungnahme zum Einsatz von Microsoft Office 365 in hessischen Schulen herausgebracht. Der Hessische Beauftragte für Datenschutz und Informationsfreiheit hat sich nach den Gesprächen mit Microsoft dazu entschlossen, den Einsatz von Office 365 in hessischen Schulen unter bestimmten Voraussetzungen und dem Vorbehalt weiterer Prüfungen vorläufig zu dulden.

Zur aktuellen Stellungnahme

Wo dürfen personenbezogene Daten verarbeitet werden?

Artikel 1 (3) lautet: „Der freie Verkehr personenbezogener Daten in der Union darf aus Gründen des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten weder eingeschränkt noch verboten werden“. Daher ist eine Beschränkung auf Deutschland oder eine Bevorzugung der „deutschen Cloud“ nicht zulässig. Überhaupt kommt es nicht mehr auf das „wo“ an, sondern auf das „wie“.

Sie müssen als Schule nach Artikel 32 belegbar Auskunft geben können, welche Maßnahmen in technischer und organisatorischer Hinsicht getroffen wurden, um die Datenschutzbestimmungen einzuhalten.

Eine der wesentlichen Änderungen betrifft die Anforderungen an technische Schutzmaßnahmen. Diese müssen „dem aktuellen Stand der Technik“ entsprechen. Dies bedeutet eine vollkommene Abkehr vom bisherigen Prinzip „my home is my castle“, das in dem 30 Jahre alten BSDG vertreten wurde, weil es vor dem Internetzeitalter verfasst wurde.

Was muss ich bei der Wahl des IT-Dienstleisters beachten?

Für die Auswahl von IT Dienstleistern („Auftragsverarbeiter“) gelten wesentlich strengere Maßstäbe und eine Schule muss konkret nachweisen können, dass die Auswahl nach objektiven datenschutzrechtlichen Kriterien erfolgt ist, z. B. durch eine Zertifizierung des Anbieters. So sind z. B. die Microsoft EU Rechenzentren nach dem Datenschutz-Standard ISO 27018 zertifiziert. Artikel 28 (1) lautet: „Erfolgt eine Verarbeitung im Auftrag eines Verantwortlichen, so arbeitet dieser nur mit Auftragsverarbeitern, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt (…)“ und Absatz (5) ergänzt: „Die Einhaltung (…) eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 durch einen Auftragsverarbeiter kann als Faktor herangezogen werden, um hinreichende Garantien (…) nachzuweisen“.

Quelle: Bundesbeauftragte für den Datenschutz und Informationsfreiheit zur Datenschutz-Grundverordnung.

Weiterführende Infos zur Datensicherheit bei Microsoft

Alles zum Microsoft Datenschutz auf einen Blick – Datenschutz-Handout

Microsoft schreibt Datenschutz groß, deshalb sind Ihre Daten in der Cloud garantiert sicher. So sind z. B. die Microsoft EU Rechenzentren nach dem Datenschutz-Standard ISO 27018 zertifiziert.

Infoblatt herunterladen

Datenschutzsicherheit bei richtiger Lizenzierung mit OVS-ES / FWU 4.0 / CSP

Microsoft schreibt Datenschutz groß, deshalb sind Ihre Daten in der Cloud garantiert sicher. So sind z. B. die Microsoft EU Rechenzentren nach dem Datenschutz-Standard ISO 27018 zertifiziert.

Details zum FWU-Rahmenvertrag

5 Tipps zur Einhaltung der DSGVO an Schulen

In unserem Blogbeitrag haben wir für Sie die wichtigsten Punkte zusammengefasst, wie Sie den Anforderungen der DSGVO gerecht werden und auf was Sie speziell im Schulumfeld achten müssen.

Zum Fachartikel DSGVO an Schulen

Muster-Datenschutzfolgeabschätzung zum Download

In unserer kostenlosen pdf-Vorlage finden Sie alle relevanten Informationen und müssen nur noch Ihre Daten individuell anpassen. Sollten Sie noch Fragen zum Formular haben, beraten Sie unsere Datenschutzexperten unter Tel. 08031 26 35 0 oder unter info@cotec.de gerne.

Jetzt herunterladen