Dem Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI), der für Datenschutz Baden-Württemberg zuständigen Aufsichtsbehörde, liegen zahlreiche Beschwerden von Schülerinnen und Schülern, Eltern sowie Lehrerinnen und Lehrern über die Nutzung des Cloud-Dienstes Microsoft 365 an Schulen vor. Schulen als Verantwortliche (zur Definition dieses Begriffs siehe Artikel 4 Nr. 7 der Datenschutz-Grundverordnung – DS-GVO) müssen alle Vorgaben der DS-GVO auch beim Einsatz von Produkten von Cloud-Anbietern einhalten.

Der LfDI begleitete und beriet das Kultusministerium Baden-Württemberg über einen langen Zeitraum in einem intensiven und umfangreichen Verfahren zum eventuellen Einsatz von Microsoft 365 (im Folgenden: MS 365) an Schulen.[1] Für einen Pilotbetrieb zwischen Herbst 2020 und Frühling 2021 wurde vom Kultusministerium in Zusammenarbeit mit den beteiligten Dienstleistern und hochrangigen Vertretern von Microsoft eine funktionell eingeschränkte und möglichst datenschutzkonforme Konfiguration von MS 365 gewählt. Datenschutzrechtlich besonders bedenkliche Funktionen von MS 365 waren abgeschaltet bzw. wurden soweit möglich deaktiviert, wie z.B. die Erfassung von Telemetrie- und Diagnosedaten. Weiterhin wurden zusätzliche Sicherheitsfunktionen implementiert und Accounts nur für Lehrkräfte vergeben, nicht jedoch für Schülerinnen und Schüler.

Die getroffenen Maßnahmen stellen zwar signifikante Verbesserungen im Vergleich zu einer Standard-Installation dar, reichten aber nach der Bewertung des LfDI nicht aus, um zu einem datenschutzkonformen Einsatz zu kommen. Im April 2021 informierte der LfDI das Kultusministerium über die datenschutzrechtliche Bewertung dieses Pilotprojekts und empfahl, von der Nutzung der geprüften Software abzusehen und alternative Lösungen zu fördern. Der mehrmonatige und intensive Praxistest hat gezeigt, dass dieser Versuch der Erstellung einer datenschutzkonformen Konfiguration nicht erfolgreich war, Annahmen sich als nicht zutreffend erwiesen haben und dass der Einsatz von MS 365 im schulischen Kontext zahlreiche datenschutzrechtliche Verstöße mit sich bringt. Dass sich diese künftig – auch unter konstruktiver Mitwirkung von Microsoft – reduzieren oder teilweise beheben lassen, ist nicht ausgeschlossen, aber derzeit nicht absehbar.

Beispiele für solche Verstöße sind:

  • Es liegen für einige Verarbeitungen für den Betrieb an einer Schule keine Rechtsgrundlagen vor – vor allem für Übermittlungen an Microsoft zu eigenen Geschäftstätigkeiten oder Geschäftsinteressen. Schulen unterliegen in diesem Bereich deutlich engeren rechtlichen Vorgaben als Unternehmen, welche Microsoft-Produkte einsetzen. Beispiele dafür sind die vollständige und detaillierte Überwachung und Protokollierung des gesamten Nutzerverhaltens und die Analyse von E-Mails.
  • Diverse problematische Verarbeitungen personenbezogener Daten wurden vom Ministerium nach eigener Aussage zwar deaktiviert, eine vollständige Deaktivierung war jedoch nicht möglich.
  • Die besonders problematischen Telemetrie- und Diagnosedaten konnten im Rahmen des Pilotprojekts nicht vollständig deaktiviert, sondern nur reduziert werden. Eine Übermittlung von Diagnose-, Telemetrie- oder anders genannten personenbezogenen Daten der Nutzer an Microsoft sowie die eigennützige Weiterverarbeitung dieser Daten durch Microsoft im Wege der Beobachtung, Aufzeichnung und Auswertung des Nutzer- und Geräteverhaltens ohne erkennbare Rechtsgrundlage findet nach den technischen Messungen des LfDI im Rahmen des Pilotbetriebs auch bei restriktiver Konfiguration weiterhin und in sehr großem sowie für die Diensterbringung nicht erforderlichen Umfang statt.
  • Trotz umfangreicher Bemühungen seitens des LfDI im direkten Gespräch mit Vertretern von Microsoft war es nicht möglich, eine vollständige Übersicht über alle Verarbeitungen personenbezogener Daten (auch zu eigenen Zwecken seitens Microsofts) zu erhalten.
  • Es wurden bei den Messungen des LfDI Übermittlungen an über 500 Server von Microsoft registriert. Die Zwecke für diese Übermittlungen sind nur zum kleinen Teil dokumentiert.
  • Es bestehen zahlreiche Datentransfers in die USA, die nicht unterbunden werden können. Daraus ergeben ich auch vor dem Hintergrund des Urteils des Europäischen Gerichtshofs vom 16. Juli 2020 in der Rechtssache C-311/18 („Schrems II“) große Risiken. Die mit derartigen Übermittlungen zusammenhängenden Risiken konnten zwar durch die begrüßenswerten zusätzlichen Garantien von Microsoft gemindert, aber nicht abschließend ausgeräumt werden. Dies ist umso bedenklicher, als die Drittstaatentransfers auch in der geprüften Softwarevariante weiterhin einen großen Umfang haben.
  • Die seit dem oben genannten Urteil des Europäischen Gerichtshofs (Schrems II) erforderlichen technischen und organisatorischen Maßnahmen waren nicht ersichtlich (siehe hierzu auch https://edpb.europa.eu/system/files/2021-06/edpb_recommendations_202001vo.2.0_supplementarymeasurestransferstools_en.pdf sowie die Orientierungshilfe „Was jetzt in Sachen internationaler Datentransfer?“ des LfDI (https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2021/10/OH-int-Datentransfer.pdf). So konnte z.B. keine Verschlüsselung festgestellt werden, die einen Zugriff durch Microsoft, Beschäftigte von Microsoft bzw. von deren Unterauftragnehmern auf personenbezogene Daten technisch ausschließen oder signifikant reduzieren konnte. Im Rahmen des Pilotbetriebs konnte nicht festgestellt werden, dass Nutzende die Kontrolle über die Schlüsselverwaltung einer eventuell vorhandenen Verschlüsselung haben.

Viele Verarbeitungen sind auch deswegen besonders problematisch, da öffentliche Schulen hoheitlich tätig sind. Eine Verarbeitung personenbezogener Daten durch öffentliche Stellen kann insbesondere nicht auf etwaige berechtigte Interessen des für die Datenverarbeitung Verantwortlichen oder Dritter gestützt werden (vgl. Artikel 6 Absatz 1 Unterabsatz 2 DS-GVO).

Eine Rechtsgrundlage für die Übermittlung personenbezogener Daten aus dem Verantwortungsbereich des Kultusministeriums bzw. der einzelnen Schule bleibt auch für das Kultusministerium fraglich. Ohne diese Rechtsgrundlage ist jedoch eine Übermittlung nicht zulässig. Auch Einwilligungen sind hierzu nicht möglich.

Zum Lernen an Schulen gehört das Ausprobieren von Freiräumen, das Ausleben von Kreativität, das Austesten von Grenzen und die Möglichkeit des Irrtums. Diese für die Ausbildung erforderlichen Freiräume dürfen nicht durch einen unklaren Schutz der verarbeiteten Daten gefährdet werden.

Die Schülerinnen und Schüler unterliegen dabei überwiegend der Schulpflicht, für deren Erfüllung bei Minderjährigen auch die Erziehungsberechtigen Sorge zu tragen haben. Angesichts des klaren Über- und Unterordnungsverhältnisses zwischen Schule und Eltern bzw. Schülerinnen und Schülern kommt eine Datenverarbeitung kraft Einwilligung in der Regel nicht in Betracht (vgl. Erwägungsgründe 42 und 43 DS-GVO). Weiterhin kann das Recht auf Bildung nicht von einer Einwilligung abhängig gemacht werden.

Dieses Recht auf Bildung, u.a. in Artikel 11 der Verfassung des Landes Baden-Württemberg und das Schulgesetz des Landes Baden-Württemberg (dort insbesondere in § 1) hinterlegt, darf durch unzureichenden Datenschutz nicht beeinträchtigt werden.

An Schulen, die weitgehende Kenntnisse über die Person und die persönlichen Verhältnisse insbesondere der Schülerinnen und Schüler und zum Teil auch ihrer Familien erlangen, wird eine Vielzahl besonders sensibler Daten verarbeitet. Dazu gehören insbesondere die von der Datenschutz-Grundverordnung als besonders schutzwürdig anerkannten „besonderen Kategorien personenbezogener Daten“ wie etwa Daten, aus denen die ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen hervorgehen, sowie Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung (vgl. Artikel 9 DS-GVO). Aber auch Daten, die ansonsten als besonders schutzwürdig anerkannt sind und in Bezug auf die bei Schutzverletzungen regelmäßig ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen angenommen werden kann, werden in großem Umfang durch Schulen verarbeitet, wie z. B. Daten über soziale Verhältnisse im Allgemeinen sowie (etwa im Rahmen von Schulnoten und sonstigen Bewertungen) Daten über die Bewertung oder Einstufung von Personen und ihren Leistungen (vgl. hierzu z. B. Erwägungsgrund 75 DS-GVO). In seltenen Fällen werden ferner auch über § 78 des Zehnten Buchs Sozialgesetzbuch (SGB X) dem besonderen Schutz des (verlängerten) Sozialdatenschutzes unterfallende Daten durch Schulen verarbeitet.

Das Pilotprojekt war auf den Einsatz durch Lehrkräfte beschränkt. Wenn die getroffenen Maßnahmen bereits bei Lehrkräften nicht ausreichend sind, so ist davon auszugehen, dass sie bei der Schülerschaft gänzlich ungeeignet sind. Vor dem Hintergrund der Garantenstellung des Staates insbesondere für die der Schulpflicht unterliegenden, regelmäßig minderjährigen Schülerinnen und Schüler sind höhere Schutzmaßnahmen als bei alleiniger Nutzung durch Lehrkräfte vorzunehmen. Gerade im Schulbereich ist diese Nutzung mit einer Reihe erheblicher, von den Schulen nicht kontrollierbarer Risiken verbunden, die vom LfDI angesichts der dort besonders hohen Schutzpflichten als inakzeptabel hoch bewertet werden.

 

Zusammenfassung

Der LfDI hat im Rahmen des Pilotprojekts ein sehr hohes Risiko für die Verletzung von Rechten und Freiheiten betroffener Personen festgestellt, v.a. weil hier mit personenbezogene Daten von Schülerinnen und Schülern, d.h. zum großen Teil von Minderjährigen, die unter besonderen Schutz des Staates stehen und deren besonderer Schutzbedürftigkeit auch die Datenschutz-Grundverordnung anerkennt (siehe z.B. die Erwägungsgründe 38, 43, 58, 65, 71 und 75, Artikel 6 Absatz 1 Buchstabe f letzter Halbsatz, Artikel 8, 12 Absatz 1, Halbsatz 2, Artikel 57 Absatz 1 Buchstabe b DS-GVO und dem folgend § 14 Absatz 1 Nummer 2 BDSG), gearbeitet wird. Da im Piloten eine sehr restriktive Konfiguration geprüft wurde, geht der LfDI davon aus, dass auch andere Konfigurationen entsprechende oder weitergehende datenschutzrechtliche Problem aufwerfen und deswegen kaum datenschutzkonform betrieben werden können.

Die Stellungnahme des LfDI mit weiteren Details kann unter https://fragdenstaat.de/anfrage/neubewertung-des-lfdi-bezuglich-der-dsfa-von-microsoft-office-365-1/ abgerufen werden, mit den dazugehörigen Anlagen unter https://fragdenstaat.de/anfrage/bewertungen-und-empfehlungen-des-lfdi-zu-office-365-an-schulen/.

Der LfDI unterstützt sehr die Entscheidung des Kultusministeriums, künftig auf eine datenschutzkonforme digitale Bildungsplattform zu setzen. Aufgrund der besonderen Situation der Schulen während der Pandemie hat der LfDI im vergangenen Schuljahr keine pauschale Untersagung vorgenommen (vgl. https://km-bw.de/,Lde/startseite/service/2021-07-22+Vorerst+keine+pauschale+Untersagung+von+Microsoft-Produkten).

Da hier jedoch auch die Rechte und Freiheiten der Schülerinnen und Schüler berücksichtigt werden müssen, müssen die Schulen nach alternativen Angeboten suchen und diese auch umsetzen. Solche Alternativen liegen bereits vor: Als Lernmanagementsystem können Moodle oder itslearning, welchen den Schulen vom Ministerium nach unserer Kenntnis ohne weitere Kosten angeboten werden, verwendet werden. Die Einbindung des Web-Konferenzsystems BigBlueButton ist jeweils integriert, so dass auch Videokonferenzen durchgeführt werden können. Zu diesen verweisen im Übrigen auf unsere Handreichung unter https://www.baden-wuerttemberg.datenschutz.de/videokonferenzsysteme/. In itslearning ist auch eine kollaborative Office-Suite integriert (Collabora Online), inklusive Textverarbeitung, Tabellenkalkulation und Präsentations-Software.

 

Der LfDI geht auf Schulen zu

Die dem LfDI bekannten Schulen, welche MS 365 oder MS Teams verwenden, werden deswegen in Kürze angeschrieben, damit allen Schülerinnen und Schülern möglichst rasch eine Alternative angeboten wird. Bis zu den Sommerferien 2022 muss dann auf eine Alternative umgestiegen und die Nutzung von MS 365 bzw. MS Teams durch die Schule unterbunden sein, sofern die datenschutzrechtlichen Mängel nicht eindeutig nachweisbar behoben wurden.

 

Weitere Informationen

Unter dem folgenden Link finden Sie die Empfehlung des LfDI in Bezug auf das Pilotprojekt, welche das Kultusministerium veröffentlicht hat, sowie die Anhänge dazu, zur Meldung zur Entscheidung des Kultusministeriums zur Umsetzung einer datenschutzkonformen digitalen Bildungsplattform, die Pressemitteilung des Kultusministeriums zur Digitalen Bildungsplattform vom 22. Juli, zur Pressemitteilung des Landesbeauftragten vom 7. Mai hinsichtlich der Nutzung der geprüften Version von Microsoft Office 365 an Schulen sowie zum LfDI-Podcast „Datenfreiheit“ zum Ergebnis des Praxistest MS Office 365 an Schulen: https://www.baden-wuerttemberg.datenschutz.de/empfehlung-lfdi-online/.

Übersicht über alle Dokumente, Bewertungen und Untersuchungen des LfDI bzgl. des Pilotprojekts des Kultusministeriums:

 


[1] Details zum Ablauf finden Sie unter https://media.frag-den-staat.de/files/foi/639491/2021-04-23_Empfehlung_Anlage_09_Geschwrzt.pdf.