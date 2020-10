In Baden-Württemberg soll in einem mehrwöchigen Probebetrieb an 20 bis 30 Berufsschulen geklärt werden, ob Microsoft Office 365 im Bildungsbereich datenschutzkonform verwendet werden kann. Der Landesdatenschutzbeauftragte Stefan Brink hat dazu am Freitag den Weg freigemacht und erklärt, sich an diesem freiwilligen Pilotprojekt des Kultusministeriums beratend beteiligen zu wollen. Genutzt werden solle eine "speziell für den Schulbereich konfigurierte Version" des Büropakets des US-Softwarekonzerns.

heise online daily Newsletter Keine News verpassen! Mit unserem täglichen Newsletter erhalten Sie jeden Morgen alle Nachrichten von heise online der vergangenen 24 Stunden. Newsletter jetzt abonnieren

Der Test für die geplante Bildungsplattform im Ländle soll laut dem Ministerium neben der Open-Source-Lösung Moodle mit dem Videokonferenzsystem Big Blue Button, dem Messenger-Dienst Threema für Lehrkräfte sowie einem weiteren Lernmanagementsystem auch cloudbasierte Microsoft-Produkte umfassen. Dabei gehe es neben einer dienstlichen E-Mail-Adresse für Lehrer um "klassische Büro-Werkzeuge wie Word, PowerPoint, Excel", einen Datenspeicher und Teams als weiteres Videokonferenz- und Kollaborationssystem.

Für die Microsoft-Komponenten erarbeitete das Ressort mit externen Partnern eine Datenschutz-Folgenabschätzung (DSFA). Die erste Version wies der Landesdatenschutzbeauftragte zurück, "da sie erhebliche datenschutzrechtliche Defizite aufwies, die bei einem so gewichtigen und sensiblen Projekt nicht akzeptabel erschienen". Das Ministerium habe nun Mitte Oktober eine zweite, "erheblich überarbeitete" DSFA vorgelegt. Diese beantworte zwar immer noch nicht alle datenschutzrechtlichen Fragen, stelle aber "eine hinreichende Grundlage für den jetzt anstehenden Piloten" dar.

Bessere personelle Ausstattung nötig

"Dabei bleiben allerdings – gerade beim Einsatz von US-Dienstleistern – erhebliche Unwägbarkeiten", warnt Brink: Mit Blick auf das sogenannte Schrems II-Urteil des Europäischen Gerichtshofs sei derzeit offen, wie künftig Datentransfers aus der EU in die USA überhaupt legal möglich seien. Diese Frage müsse letztlich auf europäischer Eben entschieden werden.

Auch dies ist für den Kontrolleur ein wichtiger Grund, "warum Schulen bei den genutzten Softwarelösungen immer auf verfügbare und verlässlich einsetzbare Alternativen schauen sollten". Er verweist dabei neben den bereits in das Paket eingeschlossenen Open-Source-Angeboten etwa auf die Videokonferenz-Software Jitsi, den Cloud-Dienst Nextcloud und die Bürosoftware OnlyOffice. Um diese dauerhaft verwenden zu können, müsse das Ministerium aber "die schon bislang völlig unzureichende personelle Ausstattung der Schulen mit Datenschutzbeauftragten" erheblich aufstocken. Das Landeshochschulnetz BelWü biete zudem schon länger spezifische E-Mail-Adressen für Bildungseinrichtungen an.

Eine etwas "datensparsamere" Softwareversion

Zugleich meldet der Datenschützer Erfolge in seinen Gesprächen mit Microsoft. Das Angebot des Ministeriums werde so auf spezielle "datensparsame" Softwareversionen bauen, bei denen der Abfluss von Telemetriedaten an den Anbieter sowie die Option zum Erstellen von Nutzerprofilen eingeschränkt sei. Das Unternehmen habe zugesichert, die Verschlüsselung zu verbessern und "die eigenen Verarbeitungszwecke zu reduzieren".

Microsoft hat Brink zufolge ferner "eine erhebliche Stärkung der Nutzerrechte gegenüber den Zugriffen von US-Sicherheitsbehörden" in Aussicht gestellt, wofür etwa "Rechtsschutzgarantien und Schadensersatzverpflichtungen" vorgesehen seien. Alle anfallenden Informationen und Messwerte würden "ausschließlich in Deutschland" verarbeitet. Zudem werde der Konzern Lehrern eine Anleitung zum datensparsamen Einsatz der Programme an die Hand geben.

"Schule dient nicht dem Anbieter"

Im Rahmen des Tests will der Leiter der Aufsichtsbehörde nun prüfen, "ob die zugesagte Deaktivierung problematischer Verarbeitungen tatsächlich stattgefunden hat" und Microsoft auch die restlichen Versprechen einhalte. Sonst komme ein Realbetrieb des Pakets nicht in Frage. Brink betonte: "Wir wollen, dass die eingesetzte Software der Schule dient, und nicht die Schule dem Anbieter bei der Erstellung von Profilen oder Produktangeboten." Alle betroffenen müssten wissen, "welche Daten entstehen, wo sie gesammelt und wie sie genutzt werden".

Zuvor waren Eltern- und Lehrerverbände, das Bündnis für humane Bildung sowie der Chaos Computer Club Sturm gelaufen gegen das Vorhaben des Kultusministeriums, Microsoft-Produkte in die Bildungsplattform einzubeziehen. Sie verwiesen etwa auf das Aus für den transatlantischen Privacy Shield und den Beschluss der Datenschutzkonferenz von Bund und Ländern, wonach der US-Anbieter die Anforderungen der Datenschutz-Grundverordnung (DSGVO) zumindest im ersten Quartal noch nicht komplett erfüllen konnte.

Die baden-württembergische Kultusministerin Susanne Eisenmann hatte für ihren Ansatz jüngst auch ein Big Brother Award erhalten. Angesichts des vorübergehenden Kompromisses sprach die CDU-Politikerin nun von einem "guten Signal für die Schulen und Schulträger im Land". Die "aufwendige Prüfung aller datenschutzrechtlichen Fragen" habe sich gelohnt.

(tiw)