Es ist so gut wie ausgeschlossen, dass eine IT-Plattform, also eine Sammlung von digitalen Diensten mit unterschiedlichen Funktionen und Anwendungsfällen (bspw. Lehr-/Lernplattformen wie Stud.IP, it´s learning), von vornherein alle Vorgaben der DSGVO einhält. Die Frage ist daher, ob die Plattform so konfigurierbar ist, dass die Risiken, die bei jeder automatisierten Verarbeitung personenbezogener Daten bestehen, minimiert werden können. 

Das ist der Fall, wenn die Plattform folgende zwölf technischen Kriterien kummulativ erfüllt:

1. Eine standardmäßige Zwei-Faktor-Authentifizierung ist für alle Benutzer möglich und auf allen Geräten (Desktop und Mobil) einsetzbar. 
2. Alle gespeicherten Daten können Ende-zu-Ende-verschlüsselt werden.
3. Alle Benutzer-Daten auf den Servern werden automatisch verschlüsselt gespeichert.
4. Die jederzeitige Wiederherstellbarkeit irrtümlich oder bösartig gelöschter Daten ist dem Benutzer selbst möglich und gesichert.
5. Benutzer werden aktiv bei Angriffen vor Schadware gewarnt.
6. Alle Links und Anhänge in Sofortnachrichten, E-Mails und Dokumenten können automatisch auf Legitimität und Schadfreiheit überprüft werden.
7. Das System ermöglicht automatische Gegenmaßnahmen bei ungewöhnlichen Datenübertragungen (wie z. B. Löschen vieler Daten). 
8. Das System ermöglicht eine automatische Warnung bei unbefugter Weitergabe sensibler Daten durch Benutzer.
9. Das System ermöglicht es dem Benutzer, all seine gespeicherten personenbezogenen Daten zu jedem Zeitpunkt zu extrahieren.
10. Das System ermöglicht, die Aufbewahrungszeit von (Diagnose)Daten und Metadaten zu begrenzen.
11. Die Speicherung und Verarbeitung personenbezogener Daten erfolgt ausschließlich in Deutschland bzw. der EU.
12. Der Anbieter, der die Server verwaltet, kann eine angemessene Zertifizierung (z. B. ISO 27001 und 27018) für den Rechenzentrumsbetrieb vorweisen.

Wenn eine IT-Plattform diese Kriterien nicht oder nur teilweise erfüllt, ist ihre datenschutzkonforme Nutzung nicht möglich.