Datenschützer gehen gegen Einsatz von Microsoft-Lösungen in Schulen und in der Weiterbildung vor

0
308
Symbolbild Datenschutz
Symbolbild Datenschutz - Fotograf: Tim Reckmann - Lizenz: CC-BY 2.0 - https://ccnull.de/foto/datenschutz/1008120

Der Einsatz von Software-Paketen und Cloud-Lösungen von Microsoft in Schulen und Weiterbildungseinrichtungen steht schon seit Jahren auf rechtlich wackeligen Beinen. Nun gegen die Datenschutzbehörden der Bundesländer immer häufiger ganz konkret gegen den Einsatz von Microsoft Teams, Microsoft 365 oder Lösungen wie Microsoft Education vor. Aktuell hat der Datenschutzbeauftragte von Rheinland-Pfalz, Prof. Dieter Kugelmann, angekündigt, eine Duldung von Microsoft-Produkten an den Schulen seines Bundeslandes auslaufen zu lassen.

Nach Auffassung von Kugelmann ist die Nutzung von Microsoft (MS) Office 365 einschließlich MS Teams und vergleichbarer Cloud-Lösungen außereuropäischer Anbieter derzeit rechtlich nicht möglich. Er verweist auf die Tatsache, die notwendigen Rechtsgrundlagen für den transatlantischen Datenaustausch durch die Aufhebung des Safer Harbor Abkommens 2015 und des EU-US-Privacy-Shield 2020 durch den Europäischen Gerichtshof (EuGH) („Schrems I“ und „Schrems II“) nicht mehr vorhanden sind. „Kern des Problems ist, dass eine Übermittlung personenbezogener Daten in Drittstaaten, d.h. außerhalb der EU oder des Europäischen Wirtschaftsraums EWR, rechtlich nur zulässig ist, wenn im Zielland ein vergleichbares Datenschutzniveau sichergestellt ist. Dies ist nach der Entscheidung des EuGH aufgrund der dortigen Rechtslage für die USA jedoch nicht der Fall.“

Kugelmann sieht aber auch ohne die beiden Schrems-Urteile Probleme beim Einsatz der Microsoft-Produkte. „Schon vor dem Urteil des EuGH war fraglich, inwieweit bestimmte Datenverarbeitungen durch Microsoft mit der Europäischen Datenschutzgrundverordnung konform sind.“ Dies gelte insbesondere für die Verarbeitung sogenannter „Metadaten“, die bei der Nutzung von Microsoft-Produkten erhoben würden und die zum Teil tiefe Einblicke in das Nutzungsverhalten ermöglichten.

Zu Beginn der Corona-Pandemie wollte sich Kugelmann aber nicht den „schwarzen Peter“ zuschieben lassen, dass der Datenschutz einen Fernunterricht unmöglich mache. „In der pandemiegeprägten Diskussion um die Nutzung von Microsoft Teams als Teil von Office 365 an Schulen hatte ich mit Blick auf die Sicherstellung des Bildungsauftrags während der Schulschließungen und den zwischenzeitlichen Aufbau von datenschutzkonformen landeseigenen Videokonferenzsystemen und Lernplattformen eine vorübergehende Nutzung toleriert.“ Dies habe allerdings auch bei datenschutzbewussten Eltern zu Beschwerden bei der Datenschutzbehörde geführt. „In diesen Beschwerden wurde sich explizit gegen die Nutzung amerikanischer Software an Schulen ausgesprochen.“

Nach der Rückkehr zum Präsenzunterricht kommt nach Auffassung von Kugelmann ein weiterer Einsatz an den allgemeinbildenden Schulen nur dann in Betracht, wenn für die Nutzung von Office 365-Produkten ein datenschutz-konformer Betrieb sichergestellt ist. Doch hier sieht der Behördenleiter Probleme: Kugelmann verweis in diesem Zusammenhang auf die Erfahrungen aus einem Pilotprojekt in Baden-Württemberg.

Die Bilanz durch Stefan Brink, Landesbeauftragter für den Datenschutz und die Informationsfreiheit in Baden-Württemberg, fiel nicht zugunsten der Microsoft-Produkte aus.

Für einen Pilotbetrieb zwischen Herbst 2020 und Frühling 2021 wurde nach Angaben von Brink vom Kultusministerium in Zusammenarbeit mit den beteiligten Dienstleistern und hochrangigen Vertretern von Microsoft eine funktionell eingeschränkte und möglichst datenschutzkonforme Konfiguration von MS 365 gewählt. „Datenschutzrechtlich besonders bedenkliche Funktionen von MS 365 waren abgeschaltet be-ziehungsweise wurden soweit möglich deaktiviert, wie beispielsweise die Erfassung von Telemetrie- und Diagnosedaten. Weiterhin wurden zusätzliche Sicherheitsfunktionen implementiert und Accounts nur für Lehrkräfte vergeben, nicht jedoch für Schüler_innen. (…) Es gelang beim Pilotprojekt trotz intensiver Prüfung und Zusammenarbeit mit den Beteiligten nicht, eine datenschutzkonforme Lösung zu finden.“

Kugelmann verweist auf ähnliche Einschätzungen aus Berlin: „Noch während der Pandemie hatte bereits die Berliner Datenschutzbeauftragte ihre Ergebnisse von Kurzprüfungen gängiger Videokonferenzsysteme veröffentlicht. Diese zeigen, dass auch die rechtlichen Anforderungen einer Auftragsverarbeitung bei MS Teams nicht den Vorgaben der Datenschutz-Grundverordnung entsprochen haben.“

Vor diesem Hintergrund macht Kugelmann nun ernst: „Ich habe mich daher entschieden, die o.g. Duldung zum Ende des Schuljahres auslaufen zu lassen. Lediglich für den Bereich der Berufsbildenden Schulen, bei denen aufgrund deren Einbindung in betriebliche Abläufe von Unternehmen weitere Aspekte zu berücksichtigen sind, wurde die Duldung verlängert.“ Für deren Umstieg auf den Schulcampus des Landes gebe es aber bereits einen Zeitplan.

Kugelmann betont, es könne kein Zweifel daran bestehen, dass die Vorgaben des EuGH für alle öffentlichen und privaten Stellen im Land gelten. „Allerdings sind die rechtlichen Spielräume für die Nutzung außereuropäischer Softwareprodukte im privaten Bereich etwas größer, als dies im schulischen Kontext der Fall ist.“ Der Datenschützer will aber auch außerhalb der Schulen „gegenüber rheinland-pfälzischen Unternehmen in diesem Sinne aufsichtlich tätig“ werden.

Dass digitaler Unterricht im Übrigen auch ohne den Einsatz kommerzieller Softwareprodukte funktionieren kann, zeige das Beispiel des Landkreises Südliche Weinstraße, in dem Schulen auf kostenlose Open-Source-Lösungen umgestiegen seien.

Kommentieren Sie den Artikel

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein