Dataskyddsmyndigheten i Baden-Württemberg, Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg (“LfDI Baden-Württemberg”), avråder skolor från att använda Microsoft 365 (tidigare Office 365) eftersom integritetsriskerna är oacceptabelt höga. LfDI Baden-Württemberg råder istället skolor att använda alternativa produkter som till exempel Moodle i stället för Microsofts molntjänster.
Bakgrunden till LfDI Baden-Württembergs avrådan är en omfattande granskning av Microsoft 365 som myndigheten genomfört med hjälp av externa tekniska experter inom ramen av ett pilotprojekt. Under granskningen har det kommit fram att skolor som använder Microsoft 365 inte kan kontrollera vilka personuppgifter som behandlas och för vilka ändamål om skolornas elever och lärare. Skolorna kan inte heller säkerställa att dataskyddsförordningens (“GDPR”) grundprincip om uppgiftsminimering efterlevs. Därutöver saknas rättsligt stöd för överföring av elevers och lärares uppgifter till länder utanför EU/EES, särskilt som följd av Schrems II-domen. Som personuppgiftsansvarig har skolorna dock en skyldighet att säkerställa att samtliga dessa punkter efterlevs.
Som följd av granskningen bedömer LfDI Baden-Württembergs att risken för att elevers och lärares rättigheter kränks är hög. Detta gäller särskilt för elever då de är sårbara personer. Elever kan inte välja att inte gå till skolan. Vidare föreligger en maktobalans mellan eleverna och skolarna som är personuppgiftsansvariga.
LfDI Baden-Württembergs utesluter inte att det kan finnas sätt att använda andra versioner av Microsoft 365 än de som myndigheten testat. Samtidigt konstaterar LfDI Baden-Württembergs att myndigheten inte kunnat hitta en sådan lösning, trots flera månader av intensivt arbete och dialoger med berörda parter.
LfDI Baden-Württembergs signalerar i sitt yttrande att tillsyn av skolors användning av Microsoft 365 kommer att påbörjas under hösten.
LfDI Baden-Württembergs yttrande kom en dag efter att Microsoft publicerat ett blogginlägg i vilket företaget lovar att fortsättningsvis inte överföra data från EU-kunder till USA (läs mer om detta här).