Schule digital: (K)ein Platz für Microsoft

Bayern und Baden-Württemberg setzen in Corona-Zeiten verstärkt auf Homeschooling mit Microsoft-Produkten, doch Eltern, Lehrer und Datenschützer protestieren.

Lesezeit: 9 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 1311 Beiträge

(Bild: George Rudy / Shutterstock.com)

Von
  • Stefan Krempl

Die Digitalisierung der Bildung wird seit Jahren angemahnt, durch die Coronavirus-Pandemie hat diese Forderung aber eine ganz neue Dringlichkeit erhalten. Damit Kinder nicht davon abhängig sind, wie fit ihre Eltern, Schulträger und Lehrer:innen sind, müssen Rahmenbedingungen geschaffen werden, die eine möglichst große Teilhabe schaffen.

Wie sollte die Digitalisierung in unseren Bildungseinrichtungen also umgesetzt werden? Wie ist es bisher gelaufen? Welche Tools und Ausstattungen haben sich schon bewährt, welche dürften und sollten kommen? Und wie könnte die Schule – nach einem großen Digitalisierungsschub – in einigen Jahrzehnten aussehen? Unsere Artikelserie "Schule digital" möchte diese Fragen weiter beleuchten.

Mitte September enden die Sommerferien auch in Bayern und Baden-Württemberg. Wie in den anderen Bundesländern wird es dann auch im Süden an den Schulen um Versuche gehen, den Präsenzunterricht unter den Bedingungen der Coronavirus-Pandemie wieder aufzunehmen. Klar ist, dass Online-Lernen dabei eine wichtige Rolle spielen soll, um die Klassenzimmer nicht zu voll zu machen. Videokonferenz-Dienste und andere Kommunikationswerkzeuge sind gefragt, wenn der Kontakt zwischen Lehrern und Schülern nicht abreißen soll.

Die beiden Länder dürften die vergangenen Wochen aber wohl nicht nur genutzt haben, um für Schulen "ein selbst gehostetes Videokonferenz-System, eine eigene Cloud und webbasierte offene Office–Tools bereitzustellen", wie sich das der Bundesdatenschutzbeauftragte Ulrich Kelber jüngst für Nordrhein-Westfalen vorstellte. Die Weichen sind vielmehr vielerorts in Richtung Microsoft gestellt mit Office 365 und der Konferenz- und Kollaborationslösung Teams, obwohl die Datenschutzbedenken groß sind.

Artikelserie "Schule digital"
Ein Beitrag von Stefan Krempl

Stefan Krempl schreibt seit fast 20 Jahren als freier Autor in Berlin über politische, rechtliche und kulturelle Themen rund um Internet. Schwerpunkte seiner Berichterstattung bei heise online sind die Bereiche Netzpolitik, Überwachung, Datenschutz, Urheberrecht und Regulierung.

In der Landeshauptstadt des Freistaats etwa hat der Betrieb LHM Services, der 2019 als Tochterfirma der Stadtwerke die Verantwortung fast aller IT-Services an Münchner Bildungseinrichtungen übernahm und deren Digitalisierung vorantreiben soll, in den Lockdown-Monaten "ein erweitertes Service- und Unterstützungsangebot zur Verfügung gestellt, um die Arbeitsfähigkeit trotz der Einschränkung des Unterrichtsbetriebs zu gewährleisten".

Innerhalb von zwei Wochen sei dafür unter anderem die Lernplattform "Microsoft Teams Education" technisch aufgebaut worden, heißt es in einem Bericht der Stadtverwaltung vom Mai für den Bildungsausschuss des Stadtrates. Das Instrument ermöglicht den Schulen laut dem Bildungsreferat insbesondere die Organisation virtueller Klassenräume, den Dokumentenaustausch und die Kommunikation zwischen Lehrkräften und Schülern.

Die Nachfrage der Bildungseinrichtungen sei "sehr hoch". Mit Stand vom 24. April hätten schon insgesamt 110 Münchner Schulen das Angebot in Anspruch genommen. Die Bildungsverwaltung an der Isar gilt seit Langem als Microsoft-Hort, der schon den mittlerweile wieder abgewickelten Umstieg auf den Open-Source-Client LiMux größtenteils nicht mitmachte.

Nicht alle Eltern sind glücklich über den Kurs. "Voller Name, Alter, Klasse und scheinbar auch die Noten der Kinder gehen dabei an Microsoft", sorgt sich ein Vater in einer Mail an heise online über mangelnde Privatsphäre des Nachwuchses. Dennoch solle das Ganze angeblich konform mit der der Datenschutz-Grundverordnung (DSGVO) sein.

Natürlich müssten die Eltern dem zustimmen. Falls dies auch nur für ein Kind pro Klasse nicht erfolge, könne diese insgesamt nicht am vorgesehenen E-Learning teilnehmen, ist aus der Landeshauptstadt zu hören. Entsprechend groß sei der hinter den Kulissen aufgebaute soziale Druck auf die Eltern. Dies trage teils absurde Züge, da bisher in einigen Klassen für Videokonferenzen die Alternative Jitsi dank privater Hinweise mancher Elternvertreter recht erfolgreich eingesetzt worden sei, bei der es sich um freie Software handelt.

[Update, 25.08.2020, 11:30 Uhr:] Ein Systembetreuer erläuterte mittlerweile gegenüber heise online, dass zumindest an seiner Schule nur einzelne Buchstaben des Vor- und Nachnamen als Login-Name erstellt würden und man Klassen auch mit Pseudonymen benennen könne. Von einer Notenverwaltung über Microsoft-Produkte werde von staatlicher Seite dringend abgeraten. Schülern werde zudem empfohlen, keine personenbezogenen Dokumente wie Lebensläufe etwa in Teams zu erstellen. [/update]

In der abverlangten Einverständniserklärung für Microsoft Teams, die heise online vorliegt, wird die Software vor allem als Hilfsmittel dargestellt, um den "durch die Corona-Pandemie und die damit einhergehenden Schulschließungen bedingten Unterrichtsausfall abzufangen und die Arbeits- und Unterrichtsabläufe zu unterstützen". Sensible Informationen wie Gesundheitsdaten, ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen sowie genetischen und biometrischen Daten "dürfen dort nicht verarbeitet werden".

Im Übrigen solle dem "Gebot der Datenminimierung" Rechnung getragen werden. Es handle sich "lediglich um eine temporäre Lösung, da eine Freigabe der Datenschutzbehörden für den Regelbetrieb nicht vorliegt und auch nicht in Aussicht steht", wird den Eltern mit auf den Weg gegeben. Das bayerische Kultusministerium habe sein Plazet dazu gegeben. Dazu kommt das Versprechen, dass das Produkt "nach der Krisensituation wieder abgeschaltet" werde. Alle erhobenen Daten und Nutzerkonten müssten dann gelöscht werden. Der Betrieb solle sich zudem "an den Leitlinien des Landesdatenschutzbeauftragten in Zeiten der Corona-Krise orientieren".

Ein Sprecher der Datenschutz-Aufsichtsbehörde erklärte gegenüber heise online, dass das Bildungsressort das Amt über das Vorhaben, Microsoft Teams für Schulen des Freistaates bereitzustellen, "kurzfristig informiert" habe. Man habe den Einsatz nicht formell genehmigt, da dies "in den daten- schutzrechtlichen Vorschriften auch nicht vorgesehen" sei. Es sei nicht bekannt, "dass eine Datenschutzfolgenabschätzung erfolgt ist". Andererseits habe aber auch keine städtische Schule aus München der Kontrollinstanz mitgeteilt, "dass dort in einzelnen Klassen Jitsi eingesetzt wird".

Zur Teams-Software gebe es "weiterhin offene Fragen, "etwa im Hinblick auf die sogenannten Online Service Terms von Microsoft" (OST), heißt es beim Datenschutzbeauftragten Thomas Petri weiter. Auch deswegen habe man gegenüber dem Schulressort "unter anderem die Wichtigkeit klar begrenzter Vertragslaufzeiten" für derartige Kommunikationssysteme betont.

Der Sprecher unterstreicht: "Weiterhin haben wir akzentuiert, dass Schulen bei Einholung von Einwilligungen die Betroffenen über die geplanten Datenverarbeitungen informieren müssen, alternative Zugänge zum Bildungsangebot bestehen müssen und auf diese hinzuweisen ist." Sonst sei die Freiwilligkeit von Einwilligungen nicht gegeben. Bei verbleibenden Zweifeln könnten die Betroffenen mit der jeweiligen Schule Kontakt aufnehmen oder sich in begründeten Fällen an den Landesdatenschutzbeauftragten wenden.

Die rot-grüne Koalition in München hat sich eigentlich vorgenommen, wieder verstärkt auf Open Source zu setzen. An den Schulen habe das Thema derzeit aber nicht die höchste Priorität, erläutert die IT-Koordinatorin der Grünen im Stadtrat, Judith Greif. Dort sei es vor allem wichtig, "dass im Falle einer zweiten Corona-Welle das Homeschooling rasch und unkompliziert durchgeführt werden kann". In Kürze werde aber das gesamte Videokonferenzsystem der Stadt ausgeschrieben, um das aktuell genutzte, in Punkto Datenschutz problematische Cisco Webex zu ersetzen.

Gerade ist laut der Informatikerin ein Antrag in Arbeit, wonach die neue Software für Video-Calls ein Open-Source-Produkt sein soll. In diesem Zuge werde sie sich auch bei dem in den Bildungseinrichtungen eingesetzten Programm weiter hinter einen solchen Ansatz klemmen.

"Perspektivisch werden wir im Zukunftsprogramm auf eine datenschutzkonforme Kollaborations- und Kommunikationsplattform setzen", kündigte auch Rabea Haß an, die bei LHM Services für das strategische Anforderungsmanagement zuständig ist. Die Ausschreibung dazu laufe, ein Ergebnis sei Ende September 2020 zu erwarten. Bei aktuellen Teams-Installationen seien zudem Funktionalitäten deaktiviert worden, die für das Homeschooling nicht zwingend erforderlich und aus Datenschutzperspektive besonders kritisch sind wie etwa Yammer.

In Nürnberg ist die Situation ähnlich. Dort hat sich der Rechtsanwalt Oliver Rosbach in Abstimmung mit dem Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung (FIfF) die Mühe gemacht, ein eigenes Audit durchzuführen. Ergebnis ist ein "Kurzgutachten zur Verwendung von Office 365 unter Windows 10 an Schulen". Darin schreibt der Jurist: "Die Software übermittelt in erheblichem Umfang Daten an Microsoft." Die Datenströme seien verschlüsselt und damit nicht komplett nachvollziehbar.

Für Rosbach steht trotzdem außer Zweifel, dass über das Office-Paket Informationen zur Analyse des Verhaltens der Anwender an Microsoft gehen. Zudem transferiere der Konzern personenbezogene Informationen, um diese "für Werbung zu monetarisieren oder um ein bestimmtes Nutzerverhalten zu gestalten".

Insgesamt verarbeite das Unternehmen in erheblichem Umfang Daten, "die eine Überwachung des Anwenders bei der Nutzung ermöglichen". Daraus könne sich das "Gesamtbild des Verhaltens einer Person im Tagesablauf" ergeben, warnt der Experte. Selbst für den Fall, dass solche Angaben von den vorliegenden Kontoinformationen entkoppelt wären, sei "eine Rückverfolgung auf eine spezifische Person ohne Probleme möglich". Wenn Microsoft Gegenteiliges behaupte, bleibe dies viel zu unbestimmt.

Die als Schutzwall beschworenen OST entfalteten ihre Wirkung zudem "nur zwischen den Vertragspartnern", zu denen "Lehrer und Schüler" gar nicht gehörten. Wichtige Transfers habe der Hersteller "ohne Erlaubnis voreingestellt", kritisiert der Rechtsexperte. Microsoft sei auch nicht in der Lage, "die Daten effektiv zu sichern". Im Januar etwa habe sich herausgestellt, dass 250 Millionen Datensätze von Kunden im Internet offen zugänglich gewesen seien. Insgesamt bestünden so "berechtigte Zweifel an der Konformität der Software mit der DSGVO und ein "berechtigtes Interesse von Anwendern, über die Maßnahmen aufgeklärt zu werden, die von dem jeweils Verantwortlichen gegen Datenschutzrechtsverstöße getroffen wurden".

Prinzipiell solle es zwar eine Option geben, die Datenübertragung im Einklang mit den europäischen Vorgaben zu gestalten, weiß der Verfasser. In der Praxis bestünden an den Kontrollmöglichkeiten aber "starke Zweifel". Dies habe sich bei dem Versuch einer Installation für das Gutachten bestätigt. Die von Microsoft angekündigten Korrekturen zur Übernahme eigener Verantwortlichkeiten seien nicht nachvollziehbar, führte Rosbach gegenüber heise online aus.Durch die komplexe vertragliche Konstruktion würden eher elementare Rollen verschleiert.

Ähnlich hatte sich jüngst der EU-Datenschutzbeauftragte Wojciech Wiewiórowski geäußert. Der Anwender wie hier etwa der Lehrer sieht sich laut der Analyse zudem "vor die Aufgabe gestellt, einer Datenschutzerklärung zuzustimmen, die als PDF-Dokument ca. 459 Seiten umfasst". Allein Ausführungen zu Kategorien erhobener Messwerte beliefen sich dabei auf mehrere 100 Seiten. Hochgerechnet gehe es um etwa 8000 bis 10.000 Diagnosedaten, "die bei der Nutzung der Angebote regelmäßig und wiederholt erhoben werden".

Eine informierte Einwilligung der Lehrkräfte in die vorliegende Datenverarbeitung dürfte so ausgeschlossen sein. Microsoft teile ferner nicht klar mit, "wo sich die Rechenzentren befinden". Zu den Serverstandorten geben es in den Datenschutzerklärungen, den Bestimmungen für Onlinedienste und den Mitteilungen des Nürnberger Schulamtes widersprüchliche Antworten. Daraus gehe nicht einmal hervor, ob die Daten allesamt auf Microsofts eigenen Cloud-Rechnern gespeichert werden.

Hinweise der Stadt und von Microsoft direkt zum Datenschutz bei Office 365 würfen zusätzliche Fragen auf und deckten sich nicht mit vorausgegangenen Erklärungen, unterstreicht der Anwalt. Schließlich scheint Rosbach bei einer Nutzung des privaten Rechners durch den Dienstverpflichteten eine Kontrolle der Datenflüsse durch den Administrator ausgeschlossen zu sein, wenn nicht begleitende Maßnahmen durch den Arbeitgeber oder den Dienstherren angebotenen werden. Eine restriktive Konfiguration könne "unter Laborbedingungen möglich erscheinen". In der Praxis sei dies lebensfremd. Zurecht erachteten daher einige Landesdatenschutzbeauftragten den Einsatz von Office 365 an Bildungsinstitutionen "für kritisch bis unzulässig", wenn "keine korrigierenden Maßnahmen durch den Verantwortlichen getroffen werden".

Baden-Württemberg hat gleichzeitig Großes vor und will die Schmach der 2018 für gescheitert erklärten digitalen Bildungsplattform Ella wettmachen. Für rund 24 Millionen Euro soll bis 2021 eine funktionierende Lösung entstehen. Die ersten Basiskomponenten will das federführende Kultusministerium den Lehrkräften noch im Herbst Schritt für Schritt zur Verfügung stellen. Dazu gehören ein "marktgängiges" Lernmanagementsystem als Alternative zur Open-Source-Lösung Moodle, eine dienstliche E-Mail-Adresse für Lehrkräfte sowie Programme und Services zur Kommunikation und Zusammenarbeit inklusive eines persönlichen Datenspeichers.

Einen angeblich sicheren Instant-Messenger konnte das von Susanne Eisenmann geführte Ressort bereits im April einführen, "um die Lehrkräfte bei den Herausforderungen der Corona-Pandemie zu unterstützen", wie eine Sprecherin der CDU-Politikerin gegenüber heise online erläuterte.

Der Landesdatenschutzbeauftragte Stefan Brink mahnte zunächst zwar noch "umfangreiche Korrekturen" an, konnte aber zumindest keine "substanziellen datenschutzrechtliche Probleme" für den Betrieb erkennen. Anders verhält es sich mit den Plänen des Ministeriums, auch eine – der Sprecherin zufolge – "datenschutzkonforme Nutzung" von Microsoft Office 365 für "einzelne Bausteine" im Rahmen der Plattform in Betracht zu ziehen. Man stehe dazu "in einem engen Austausch" mit Brink.

Der betonte schon im April in einer Stellungnahme für den Landtag in Stuttgart "die Notwendigkeit einer Datenschutz-Folgenabschätzung für die Bildungsplattform und damit auch für MS Office 365 oder den Betrieb von E-Mail-Diensten". Eine solche hat das Ressort bislang aber nicht veröffentlicht, eine entsprechende Anfrage nach dem Informationsfreiheitsgesetz des Landes hat es seit Monaten nicht beantwortet. Ohne diese Unterlagen sei die Frage, ob überhaupt eine Variante von Office 365 mit entsprechender Konfiguration "in datenschutzrechtlich zulässiger Weise im Rahmen der Bildungsplattform eingesetzt werden kann", bisher noch nicht abschließend zu beurteilen, hatte der Leiter der Aufsichtsbehörde im Frühjahr die Abgeordneten wissen lassen.

Besonders heikel an dem Produkt seien Übertragungen von Telemetrie- und Diagnosedaten an Microsoft, eine "sichere und verschlüsselte Speicherung von Dokumenten und E-Mails" sowie der Umgang mit von der Software erhobenen Nutzungsdaten allgemein. Inzwischen schickte Brink laut der "Badischen Zeitung" einen Brief an das Ministerium, in dem er auf potenzielle "strukturelle Merkmale der ins Auge gefassten" Lösung verweise, "welche die Möglichkeit eines datenschutzkonformen Einsatzes ohne wesentliche Anpassung der Datenverarbeitung durch Microsoft fraglich erscheinen lassen".

Für den Abfluss personenbezogener Informationen an den Konzern zu eigenen Zwecken ist für den Kontrolleur keine Rechtsbasis ersichtlich. Er widerspricht damit entschieden einem Papier des Beraterhauses PricewaterhouseCoopers (PWC), wonach dem Betrieb des Office-Pakets unter gewissen Schutzvorkehrungen nichts im Wege stehe.

Der Chaos Computer Club Stuttgart fragt Eisenmann derweil in einem Brief, ob sie in ihre baldige Entscheidung auch das Urteil des Europäischen Gerichtshof (EuGH) einfließen lasse, wonach der Privacy Shield zum Datentransfer aus der EU in die USA ungültig ist. "Erschrocken" zeigen sich die Hacker über Aussagen "Ihres Projektleiters Ralf Armbruster" im Bildungsausschuss des Landtags. Diese ließen den Eindruck entstehen, "dass Ihr Ministerium Microsoft Office 365 klar favorisiert", was einem Kontrollverlust über Schülerdaten gleichkomme.

Auch die Anbieter von Datenspeichern und Kollaborationssoftware Nextcloud in Ionos rufen laut "Tagesspiegel" Foul, da sie "leistungsfähige Alternativen" zu Microsoft "aus dem eigenen Bundesland" anböten. Ende 2019 hatte das Ressort bereits in einer Ausschreibung für das Lernmanagementsystem gefordert, Schülerdaten über die Microsoft-Cloud Azure zu verwalten. Erst nach Protesten von Open-Source-Vertretern und Bürgerrechtsorganisationen lenkte es hier ein.

Ebenfalls nicht überall gut an kommt Eisenmanns Initiative, Moodle & Co. mit einer kommerziellen Variante zu ersetzen, wobei die Christdemokratin dem Vernehmen nach itslearning im Blick hat. Ihr Haus schreibt selbst, dass es für Server, Speicher und Backup-Systeme schon insgesamt 1,3 Millionen Euro ausgegeben habe und über 600.000 Nutzer Moodle verwendeten. Parallel habe man mittlerweile das passende datenschutzkonforme Videokonferenzsystem Big Blue Button (BBB) für Live-Übertragungen von Unterricht verfügbar gemacht. Mit Stand Juli hätten mehr als 500 Schulen ihre Moodle-Konto um diese Funktion erweitert.

Befürworter der offenen Infrastruktur wie der Lehrer Andreas Grupp haben auf dieser Basis bereits auf Mastodon die "digital souveräne Schule" mit inzwischen über 20.000 Nutzern an Unterrichtstagen ausgerufen. Mit der auf andere Ansätze ausgerichteten Ausschreibung der neuen Bildungsplattform könnte für solche Experimente aber kaum noch Raum bleiben.

Microsoft geht derweil weiter davon aus, mit den OST und einem Anhang zum Datenschutz alias Data Protection Addendum (DPA) allen DSGVO-Anforderungen bei sämtlichen eigenen kommerziellen Online-Diensten gerecht zu werden. Man lege es in die Hand der Kunden, welche Informationen übertragen würden. Zugleich gelang es dem Softwaregiganten gerade, einen im Mai 2020 ausgelaufenen Lizenzvertrag mit dem Institut für Film und Bild in Wissenschaft und Unterricht (FWU) für drei Jahre zu erneuern. Damit können Bildungseinrichtungen in Deutschland Neuverträge und Verlängerungen für Microsoft-Bildungsprodukte abzuschließen und Dienste für zwölf oder 36 Monate abonnieren.

Im Rahmen der Datenschutzkonferenz von Bund und Ländern macht sich ein Unterarbeitskreis seit Monaten Gedanken darüber, ob eine rechtskonforme Auftragsverarbeitung mit Office 365 möglich ist. Ein Ergebnis ist noch nicht absehbar, aber der Flickenteppich von Bedenken, Duldungen und roten Karten für das Softwarepaket dürfte endgültig vorbei sein, wenn die Experten eine einheitliche Linie finden.

Die Berliner Datenschutzbeauftragte Maja Smoltczyk, die Video-Systemen wie Teams, Skype, Zoom oder Google Meet jüngst die rote Karte zeigte, will bis dahin härter durchgreifen. "Im Frühjahr waren wir als Aufsichtsbehörde natürlich zurückhaltend mit Sanktionen bei Datenschutzverstößen, das war schließlich eine absolute Ausnahmesituation", sagte sie der "Frankfurter Allgemeinen Zeitung". "Bei einer zweiten Welle wäre das aber anders zu betrachten." Man könne nicht dabei zusehen, wenn in Bildungseinrichtungen gegen den Datenschutz verstoßen werde, da ein Missbrauch persönlicher Informationen Schüler "ihr Leben lang begleiten" könne.

Zu unserer Serie "Schule digital" finden Sie auch diese Beiträge:

(kbe)