im Think-Tank (TT05) prüften Expertinnen und Experten, ob der Einsatz der Microsoft 365 Cloud-Dienste (M365) an baden-württembergischen Universitäten bzw. Hochschulen im Einklang mit der Datenschutzgrundverordnung (DS-GVO) steht und welche Risiken damit verbunden sind. Eine Bewertung alternativer Optionen zu M365 fiel nicht in seinen Aufgabenbereich. Diese Prüfung ermöglicht es den Universitätsleitungen, eine Einführung von M365 abzuwägen und zu beschließen.

Die Expert/innen im Think-Tank kamen im Laufe der Analyse zum Schluss, dass der Auftrag den Rahmen eines üblichen Think-Tanks übersteigt und es einer tiefgreifenderer Befassung benötigt. Um sich systematisch mit den verbundenen datenschutzrechtlichen Risiken der Verarbeitung personenbezogener Daten in M365 beschäftigen zu können, sollte eine sogenannte Datenschutz-Folgenabschätzung (DSFA) gemäß Art. 35 Abs. 1 DS-GVO erarbeitet werden. Daraufhin ist der Auftrag des Think-Tanks zu einem Umsetzungsprojekt M365 (UP M365) mit konkretem Ziel „Erstellung einer DSFA“ geändert worden.

Als Ergebnis dieses Umsetzungsprojektes hat ein externer Dienstleister eine Muster-DSFA verfasst, die von allen teilnehmenden Hochschulen in Baden-Württemberg angepasst genutzt werden kann. Außerdem wurde ein Rechtsgutachten erstellt, das sich mit dem datenschutzkonformen Einsatz von M365 an einer Hochschule beschäftigt.

Aus urheberrechtlichen Gründen sind die Ergebnisse des UP M365 nicht frei zugänglich.

Das entstandene Netzwerk im Land tauscht sich auch künftig zu geeigneten Vorgehensweisen beim Einsatz von M365 aus. Hierzu suchen die Beteiligten weiterhin den Austausch mit ähnlich gelagerten Initiativen.