LfDI begleitet Pilotprojekt des Kultusministeriums zur Nutzung von Microsoft Office 365 an Schulen

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit beteiligt sich in seiner beratenden Funktion am Pilotprojekt des Ministeriums für Kultus, Jugend und Sport Baden-Württemberg zur Nutzung einer speziell für den Schulbereich konfigurierten Version von Microsoft Office 365. Ziel ist es, die Praktikabilität und Datenschutzkonformität der Software zu erproben und Schulen künftig eine umfangreiche digitale Arbeitsplattform anzubieten. LfDI Stefan Brink begleitet das mehrwöchige Pilotprojekt, nachdem zusammen mit dem Ministerium umfangreiche Vorbereitungsmaßnahmen getroffen wurden. Er berät das Kultusministerium zu datenschutzrechtlichen Fragestellungen und führt gleichzeitig Gespräche mit Microsoft zur Verbesserung der rechtlichen und technischen Rahmenbedingungen weiter.

Mit der vom Kultusministerium gewählten Software soll den LehrerInnen sowohl ein E-Mail-Dienst als auch – als Software as a Service – eine Büro-Arbeitsplatzumgebung mit Textverarbeitung, Präsentations- und Kalkulationsprogrammen sowie einem Cloud-Speicher zur dienstlichen Verfügung gestellt werden. Auch das Videokonferenztool MS Teams sollen die ausgewählten Schulen im Rahmen des Pilotbetriebs verwenden können.

Bei der digitalen Kommunikation entstehen viele persönliche Daten, die gerade im Schulverhältnis besonders zu schützen sind: LehrerInnen kommunizieren mit SchülerInnen, Eltern, anderen LehrerInnen, mit den Schulbehörden und mit dem Kultusministerium. SchülerInnen kommunizieren ebenfalls untereinander. Ein gemeinsamer Standard in der digitalen Arbeit und der Datenverarbeitung vereinfacht den Lehrenden unmittelbar die Arbeit und sichert gleichzeitig die Schülerrechte.

LfDI Stefan Brink: „SchülerInnen, Eltern und Lehrende erwarten zu Recht sichere und praktikable digitale Softwarelösungen. Wir begleiten das aktuelle Pilotprojekt an den Schulen gerade auch in Zeiten der Pandemie weiter und wollen sehen, wie die vom Ministerium eingesetzte spezielle Version von MS Office 365 in der Praxis tatsächlich funktioniert.“

Letztlich werden die Schulen als datenschutzrechtlich Verantwortliche entscheiden, welche digitalen Lösungen sie für die Kommunikation zwischen Lehrenden und Lernenden einsetzen wollen. Dass das Kultusministerium hierzu Angebote entwickelt und zur Verfügung stellt, ist auch aus Sicht des Datenschutzes sinnvoll, denn so können übergreifend Lösungen angeboten werden, welche sicher funktionieren und die Rechte der Beteiligten achten. Aber natürlich bleibt es den Schulen unbenommen, auch eigene Kommunikationsmöglichkeiten zu finden und datenschutzkonforme Alternativen zu nutzen. Das Kultusministerium sollte hier alternative datenschutzkonforme Kommunikationsmöglichkeiten bereitstellen, damit Schulen eine echte Wahl haben. Bereits jetzt steht allen Schulen kostenlos die vom Land selbst betriebene und auf die Bedürfnisse der LehrerInnen zugeschnittene Webkonferenz-Software BigBlueButton, das Lernmanagement-System Moodle und der Messenger Threema zur Verfügung. Das Landeshochschulnetz BelWü bietet zudem allen Schulen schon länger E-Mail-Adressen unter eigener Adresse der jeweiligen Schule. Weitere datenschutzkonforme Alternativen können zum Beispiel die Videokonferenz-Software Jitsi, der Cloud-Dienst Nextcloud und die Büro-Software Onlyoffice mit Textverarbeitung, Tabellenkalkulation und Präsentationssoftware sein.

Praxistest konkretisiert verbesserte
Datenschutz-Folgenabschätzung

Das Kultusministerium will mit dem cloudbasierten Produkt Microsoft Office 365 allen Schulen ein Angebot bereitstellen, so wie es das mit dem Messenger-Dienst Threema und der Webkonferenz-Software BigBlueButton für LehrerInnen an Schulen bereits getan hat – mit Empfehlung der Datenschützer.

Zur Vorbereitung des Pilotprojekts hat Datenschützer Brink für MS Office 365 vom Kultusministerium eine Datenschutz-Folgenabschätzung eingefordert, um nachzuvollziehen, ob Microsoft Office 365 an Schulen datenschutzkonform nutzbar ist, keine rechtswidrigen Datenflüsse vorkommen und um zu untersuchen, wie datenschutzrechtliche Risiken minimiert werden können.

Die erste Datenschutz-Folgenabschätzung des Kultusministeriums musste der Landesdatenschutzbeauftragte noch zurückweisen, da sie erhebliche datenschutzrechtliche Defizite aufwies, die bei einem so gewichtigen und sensiblen Projekt nicht akzeptabel erschienen. Das Kultusministerium hat nun Mitte Oktober eine zweite, ergänzte und erheblich überarbeitete Risiko-Abschätzung vorgelegt, die zwar noch nicht alle datenschutzrechtliche Fragen beantwortet, aber eine hinreichende Grundlage für den jetzt anstehenden Piloten darstellt.

Dabei bleiben allerdings – gerade beim Einsatz von US-Dienstleistern – erhebliche Unwägbarkeiten: Mit Blick auf das Schrems II-Urteil des Europäischen Gerichtshofes vom Juli 2020 ist derzeit offen, wie zukünftig Datentransfers aus der EU in die USA überhaupt legal möglich sind. Und diese Frage wird nicht in Baden-Württemberg, sondern letztlich auf europäischer Eben entschieden. Auch dies ist ein wichtiger Grund, warum Schulen bei den genutzten Softwarelösungen immer auf verfügbare und verlässlich einsatzbare Alternativen schauen sollten.

Nicht nur die Risiko-Abschätzung des Kultusministeriums hat sich weiterentwickelt, auch in seinen Gesprächen mit Microsoft konnte der LfDI Fortschritte erzielen: Das Angebot des Kultusministeriums wird auf spezielle Softwareversionen bauen, welche hinsichtlich des Abflusses von Daten an den Anbieter (sogenannte Telemetriedaten) und der Beobachtung der Nutzer den bisher an unseren Schulen eingesetzten Versionen wesentlich überlegen, also datensparsamer sind. Microsoft kommt zudem der Forderung des Datenschützers Brink nach, die Verschlüsselung der Daten zu verbessern, die eigenen Verarbeitungszwecke zu reduzieren und auch eine Anleitung der LehrerInnen zu datensparsamer Nutzung (Nutzerführung) zu implementieren. Zudem hat Microsoft eine erhebliche Stärkung der Nutzerrechte gegenüber den Zugriffen von US-Sicherheitsbehörden, etwa durch Rechtsschutzgarantien und Schadensersatzverpflichtungen in Aussicht gestellt und zugesichert, dass alle Verarbeitungen ausschließlich in Deutschland stattfinden.

Im Pilotprojekt wird Stefan Brink nun prüfen, ob die in der Datenschutz-Folgenabschätzung beschriebenen Datenflüsse auch den tatsächlich messbaren entsprechen und ob ein hinreichendes Datenschutzniveau auch in der Praxis besteht.

Datenschützer Brink: „Wir werden überprüfen, ob die zugesagte Deaktivierung problematischer Verarbeitungen tatsächlich stattgefunden hat und ob personenbezogene Daten ausschließlich in Deutschland verarbeitet werden. Nur unter diesen Bedingungen kann das Software-Paket datenschutzkonform eingesetzt werden. Wir wollen, dass die eingesetzte Software der Schule dient, und nicht die Schule dem Anbieter bei der Erstellung von Profilen oder Produktangeboten. Eltern, SchülerInnen und LehrerInnen müssen wissen, welche Daten entstehen, wo sie gesammelt und wie sie genutzt werden.“ Gerade im Schulverhältnis trifft die Verantwortlichen hier eine besondere Fürsorgepflicht.

Schulen brauchen
praktikable Alternativen

Um datenschutzkonform nutzbare Alternativen wie BigBlueButton, Jitsi und andere tatsächlich auch nutzen zu können, müssen Schulen die Möglichkeiten und Kapazitäten erhalten, sich mit den Softwarelösungen genauer zu befassen, die Produkte technisch zu betreuen und Schulungen und die Fortbildungsangebote zu nutzen. Das Kultusministerium wird hierfür die schon bislang völlig unzureichende personelle Ausstattung der Schulen mit Datenschutzbeauftragten – nicht selten ist noch immer nur eine Person für die Betreuung von gut 100-150 Schulen zuständig – erheblich aufstocken müssen. Die Schulen müssen als datenschutzrechtlich Verantwortliche auch faktisch in die Lage versetzt werden, im Einvernehmen mit der Schüler- und Elternschaft über den konkreten Einsatz einer Software entscheiden zu können.

Der LfDI wird Schulen auf Wunsch bei der Erstellung von Datenschutz-Folgenabschätzungen für alternative Produkte beraten. Auch können Fachleute des Bildungszentrums für Datenschutz und Informationsfreiheit des LfDI (BIDIB) die Schulen – SchülerInnen, LehrerInnen und auch auf Wunsch Eltern z.B. bei Elternbeiratssitzungen – beraten. Mit dem Programm „Datenschutz geht zur Schule“ bietet der Landesbeauftragte konkrete Sensibilisierungs- und Fortbildungsangebote vor Ort. Zugleich können die Datenschutzbeauftragten der Schulen fachspezifische Fortbildungen im Bildungszentrum BIDIB nutzen. Der Zugang der Schulen zu datenschutzrechtlicher Beratung muss stärker als bisher ermöglicht werden – auch hier zählt der Landesdatenschutzbeauftragte auf die Unterstützung des Kultusministeriums.

Es brauche daher langfristige Perspektiven für die Schulen, sagt LfDI Brink: „Wer Schulen stärken will, muss ihnen neben der technischen Ausrüstung auch die Möglichkeit geben, sich intensiver und ganz konkret mit den eingesetzten Softwarelösungen zu befassen und selbst verantwortliche Entscheidungen zu treffen. Wir unterstützen die Schulen dabei, wo wir können.

Diese Pressemitteilung als PDF-Dokument aufrufen.

 

Für Rückfragen erreichen Sie uns unter der Telefonnummer
0711/615541-23 und per E-Mail: pressestelle@lfdi.bwl.de

Weitere Informationen zum Datenschutz und zur Informationsfreiheit finden Sie im Internet unter www.baden-wuerttemberg.datenschutz.de oder unter www.datenschutz.de.