Microsoft 365 an Schulen – geht das? Darüber wird gerade wieder viel diskutiert. Manche Schulen in Baden-Württemberg nutzen Produkte vom Anbieter Microsoft – etwa den Cloud-Dienst MS 365. Darüber haben sich viele Schüler_innen, unter anderem aber auch Eltern bei uns beschwert, und wollten, dass wir diese Nutzung datenschutzrechtlich prüfen. Diesen Beschwerden gehen wir nun nach. Wir haben etwa 40 Schulen angeschrieben, zu denen es konkrete Beschwerden gibt, und möchten uns von den verantwortlichen Schulen jeweils erklären lassen, ob die eingesetzte Software datenschutzkonform läuft. Wo nötig werden wir gemeinsam besprechen, welche datenschutzfreundlichen Alternativen genutzt werden können.

Die Erstveröffentlichung des Beitrags von LfDI Dr. Stefan Brink war am 13. Mai bei Tagesspiegel Background (gekürzt)

Als Aufsichtsbehörde ist es unter anderem unsere Aufgabe, solchen Beschwerden nachzugehen. Wir sehen es auch als unsere Aufgabe an, Verantwortliche zu beraten und bei der Wahl der „Verarbeitungsmittel“ zu unterstützen. Dafür betreiben wir auch ein eigenes Bildungszentrum BIDIB, das in seiner Form bundesweit einzigartig ist und sich großer Resonanz erfreut.

Der Einsatz digitaler Mittel an den Schulen in Baden-Württemberg war in den vergangenen Jahren sehr vielfältig. Die Corona-Pandemie hat uns – nicht nur, aber auch – im Bildungsbereich vor Augen geführt, vor welch großen Herausforderungen wir bei guter und verlässlicher digitaler Kommunikation stehen. Schulen stellte sich plötzlich die sehr grundsätzlichen Frage, wie sie ihre Schüler_innen im Lockdown erreichen und unterrichten sollen.

Dass viele Schulen nicht schon vor der Pandemie bereits technisch gut ausgerüstet waren, um die Umstellung auf den digitalen Unterricht einfacher zu meistern, kann man ihnen kaum vorwerfen. In einem großen Kraftakt ist es vielen Schulen in der Pandemie gelungen, dem Recht der Schüler_innen auf gute Bildung nachzukommen. Der Einsatz von digitalen Techniken spielte dabei eine zentrale große Rolle. Wir haben gerade an Schulen gesehen, wie wichtig Digitalisierung ist und was Digitalisierung ausmacht: verbesserte Kommunikation, insbesondere auf Distanz (HomeSchooling), neue Arten der Zusammenarbeit, verlässliche Verbindung, gemeinsame Arbeit an und mit neuen, auch herausfordernden Kommunikationsformen. Aus Sicht des Datenschutzes bedeutet Digitalisierung: einerseits neue Möglichkeiten der Selbstbestimmung über Formen und Inhalte der Kommunikation, andererseits ein fundamentaler „Überwachungsüberschuss“ einer Technologie, die alles protokolliert, auswertet und zugänglich macht – auch das Private.

Wir als Aufsichtsbehörde haben uns folglich damit befassen müssen, wie die neuen technischen Hilfsmittel an Schulen eingesetzt werden. Schulen sind ganz besondere Orte: Hier finden wir regelmäßig minderjährige Schüler_innen, die einer rigiden Schulpflicht unterliegen und jene schulischen Werkzeuge verwenden müssen, die ihnen vorgesetzt werden. Schulen sind hoheitlich tätig, sie können ihre Vorstellungen auch mit Zwang durchsetzen; umgekehrt kommt dem Staat hier eine besondere Fürsorgerolle zu. All das löst ein besonderes Schutzinteresse und -bedürfnis von Schüler_innen aus. Ebenso müssen sich Eltern und Lehrkräfte darauf verlassen können, dass an Schulen rechtskonform gehandelt und niemand in seinen Rechten verletzt wird.

Die Schulen sind verantwortlich für alle Datenverarbeitungen, die an ihrer Schule stattfinden – nicht die Kultusministerien oder die Anbieter von Soft- und Hardware, sondern jede Schule. Sie sind rechenschaftspflichtig, gegenüber den Schüler_innen, den Eltern, der Schulaufsicht und der Aufsicht der Datenschützer. Keine leichte Aufgabe. Wir haben uns während der Pandemie intensiv mit der Frage befasst, wie ein datenschutzkonformer Einsatz der technischen Mittel gelingen kann. Datenschutz und Digitalisierung gehören aus unserer Sicht zusammen. Datenschutz ohne Digitalisierung ist Vergangenheit, Digitalisierung ohne Datenschutz wird scheitern (wer will schon chinesische Verhältnisse). Wir suchen daher immer nach einem klugen Ausgleich, und die Datenschutz-Grundverordnung bietet hierfür sehr gute Möglichkeiten, die aber auch genutzt werden müssen.

Da immer wieder in der Diskussion von „Datenschutzbedenken“ die Rede ist, ein kleiner Einschub: Es geht bei unserer Arbeit nicht um datenschutzrechtliche „Bedenkenträgerei“. Wir formulieren keine Bedenken. Wir prüfen, ob etwas rechtmäßig ist oder eben nicht. Wir weisen darauf hin, wo rechtliche Unklarheiten bestehen und wo Graubereiche existieren. Wir empfehlen, rechtlich unklare Datenverarbeitungen zu vermeiden. Schließlich helfen wir dabei, die Datenschutz-Grundverordnung anzuwenden – sie hat ein großes Potenzial, das aber leider nicht immer ausgeschöpft wird, sei es aus Unkenntnis, sei es aus einer Verweigerungshaltung gegenüber dem Freiheitsthema Datenschutz. Anders formuliert: Die Verordnung sagt nicht, dass keine Daten verarbeitet werden dürfen. Sie sagt, nach welchen Kriterien sie verarbeitet werden dürfen. Wir klären gerne darüber auf, das ist unser – bedenkenfreier – Job.

Wir haben es daher als sehr vernünftig angesehen, als das Kultusministerium Baden-Württemberg das Gespräch mit uns gesucht hat, die Einführung einer Digitalen Bildungsplattform im „Ländle“ zu forcieren. Wir haben das Kultusministerium sehr gerne beraten und machen dies auch gerne in Zukunft weiter. Aus datenschutzrechtlicher Sicht ist ein solches Vorgehen des Kultusministeriums extrem sinnvoll: Unterschiedliche digitale Dienste sollen in einer Bildungsplattform zusammengefasst und den Schulen zur Verfügung gestellt werden. Also schauen wir uns zuvor die Software datenschutzrechtlich an, sodass diesbezüglich rechtlich Klarheit herrscht. Der Vorteil bei diesem Vorgehen: Schulen erhalten standardisierte Software, als Verantwortliche für die Einhaltung der datenschutzrechtlichen Anforderungen haben sie kaum noch Aufwand. Und wir selbst müssen weniger Kontrollen durchführen. Von einer datenschutzkonformen digitalen Bildungsplattform profitieren also alle Beteiligten.

Als ein Teil der vorgesehenen Bildungsplattform sollte auch MS 365 vom Anbieter Microsoft genutzt werden. Um die Software einem Praxistest zu unterziehen hat das Kultusministerium ein Pilotprojekt initiiert. Beteiligte: Kultusministerium, Microsoft, meine Behörde. Ziel: Im Praxistest eine speziell konfigurierte Variante von MS 365 für den Schulbetrieb, zunächst nur für Lehrer_innen, zu prüfen, inwiefern diese datenschutzkonform eingesetzt werden kann.

Für uns waren insbesondere drei zentrale Fragen von Bedeutung:

  1. Haben die Schulen die Software datenschutzrechtlich unter Kontrolle, das heißt, können sie ihrer Rechenschaftspflicht nachkommen, die sie als Verantwortliche tragen?
  2. Wohin werden die Daten der Schüler_innen und Lehrer_innen verbracht, landen die Daten der Nutzenden auf Servern außerhalb des Geltungsbereiches des Europäischen Rechts, wo sie nicht mehr geschützt sind bzw. ist ein Zugriff von dort aus möglich und zulässig?
  3. Ist die Software transparent, d.h. ist klar, welche Datenverarbeitungen tatsächlich stattfinden, zu welchen Zwecken und auf welcher Rechtsgrundlage?

Im Pilotprojekt haben wir intensiv die vom Kultusministerium gewählte und speziell konfigurierte Microsoft 365 in der Cloud-Version geprüft. Eine sehr restriktive Konfiguration wurde dabei gewählt und, soweit technisch möglich, wurden die Telemetrie- und Diagnosedaten ausgeschaltet. Unter anderem erhielten auch nur Lehrkräfte Accounts, jedoch keine Schüler_innen.

Was haben wir herausgefunden? Wir haben umfangreiche Übertragungen von Daten direkt in die Vereinigten Staaten festgestellt. Nicht erst seit dem Urteil des Europäischen Gerichtshofs vom 16. Juli 2020 in der Rechtssache C-311/18 (Schrems II) ist dies nicht ohne weiteres möglich, seitdem jedenfalls noch schwieriger. Weitere technische oder organisatorische Maßnahmen sind zusätzlich zum Abschluss sogenannter Standardvertragsklauseln nötig. Wir haben hierzu eine sehr umfangreiche, europaweit beachtete Handreichung vorgelegt. Hierzu hat anschließend auch das European Data Protection Board Empfehlungen herausgegeben.

Der Anbieter hat auf diesem Feld während unserer Beratungen sehr zu begrüßende Anpassungen an das europäische Recht vorgenommen und zusätzliche Garantien für die Rechte der Betroffenen gegeben. Diese mit uns entwickelten neuen Regeln hat Microsoft sogar weltweit zum Standard gemacht. Gleichwohl wurde das Problem des Drittstaatentransfers im Lichte des EuGH-Urteils nicht abschließend gelöst.

Auch konnte eine vollständige Übersicht aller Übermittlungen vom MS365 von den Beteiligten trotz vieler Rückfragen nicht vorgelegt werden. Wir konnten nicht erkennen, dass Schulen tatsächlich die Kontrolle über diese Software haben. Wir jedenfalls hatten sie nicht – trotz eigenem Testlabor, Rücksprache mit dem Anbieter und relativ viel Zeit. Wir konnten auch nicht immer nachvollziehen, zu welchen Zwecken die Datenverarbeitungen stattfanden. Auch die Zwecke und die aus Sicht einer Schule erforderlichen Rechtsgrundlagen blieben teilweise fraglich. Eine Rechtsgrundlage für die Verarbeitung der Daten aus einem „berechtigen Interesse“ abzuleiten (das dürfen Unternehmen), ist laut Datenschutz-Grundverordnung für öffentliche Stellen, wie es Schulen sind, ausgeschlossen (siehe Artikel 6 Absatz 1 lit. f DS-GVO).

Es ist daher im Ergebnis nicht ausgeschlossen, dass MS 365 datenschutzkonform genutzt werden kann. Wir haben weder die Software pauschal verboten noch Microsoft als Ganzes – das alles wird zurzeit gerne miteinander vermischt. Wir haben die Cloud-Dienste von MS 365 untersucht, d.h. die Teile, welche auf die Cloud von MS 365 zugreifen. Aber: Es liegt bei den Schulen zu beweisen, dass sie beim Einsatz von MS 365 Lösungen gefunden haben, die wir im Piloten jedenfalls nicht finden konnten, trotz Unterstützung von Kultusministerium und Anbieter Microsoft.

Wir haben frühzeitig auf unserer Homepage transparent und nachvollziehbar über unsere Prüfungen und Maßnahmen in Bezug auf den Einsatz der Software MS 365 an Schulen berichtet. Jetzt gehen wir Beschwerden nach: Wo immer es im Land zu Konflikten und Unklarheiten beim Einsatz vom MS 365 kommt und vor Ort keine befriedende Lösung gefunden werden konnte, schreiten wir jetzt ein. Es liegt jetzt an den angeschriebenen Schulen darzulegen, dass sie korrekt handeln.

Wir möchten, dass Schulen wirksam und erfolgreich ihrer Aufgabe der Bildung von Schüler_innen nachkommen können. Wir möchten insbesondere, dass Schüler_innen, Eltern und Lehrkräfte nicht in ihren Rechten verletzt werden. Durch unzureichenden Datenschutz darf die Bildung von regelmäßig minderjährigen schulpflichtigen Kindern nicht gefährdet werden.

Wir plädieren daher sehr für eine datenschutzfreundliche digitale Bildungsplattform. Eine solche hat das Kultusministerium im vergangenen Jahr angekündigt und schon jetzt eine Reihe praktikabler, funktionstüchtiger, erprobter und datenschutzkonformer Alternativen angeboten. Die Bildungsplattform soll und wird kommen, wir Datenschützer unterstützen das nach Kräften, damit sie dauerhaft, rechtskonform und damit erfolgreich nutzbar ist.

 

 

Für Rückfragen erreichen Sie uns unter der Telefonnummer
0711/615541-23 und per E-Mail: pressestelle@lfdi.bwl.de

Weitere Informationen zu Datenschutz und Informationsfreiheit finden Sie im Internet unter www.baden-wuerttemberg.datenschutz.de oder unter www.datenschutz.de.