Microsoft an Schulen: Offene Fragen beim Datenschutz in Baden-Württemberg

Das Kultusministerium im Ländle gibt das Ziel einer datenschutzkonformen Lösung für die digitale Bildungsplattform mit Office 365 noch nicht verloren.

Lesezeit: 2 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 284 Beiträge

(Bild: Photographee.eu/Shutterstock.com)

Von
  • Stefan Krempl

Ein Gespräch zwischen dem baden-württembergischen Kultusministerium und dem Landesdatenschutzbeauftragten Stefan Brink mit Microsoft und weiteren Beteiligten an der geplanten digitalen Bildungsplattform hat zunächst keinen Durchbruch bezüglich des Einsatzes konkreter Softwareprodukte gebracht.

Es gebe noch "offene datenschutzrechtliche Fragen", räumte eine Sprecherin von Kultusministerin Susanne Eisenmann (CDU) gegenüber heise online ein. Diese sowie zwischenzeitlich durch das Ressort erarbeitete technische und organisatorische Maßnahmen seien "Inhalt des genannten Dialogs und somit Gegenstand des bestehenden Abstimmungs- und Entscheidungsprozesses".

Man halte prinzipiell aber an dem Ziel fest, "eine datenschutzkonforme Lösung auf Basis von Microsoft Office 365 einzuführen". In Baden-Württemberg soll bis 2021 für rund 24 Millionen Euro eine Lehr- und Lernumgebung im Internet entstehen. Zumindest für "einzelne Bausteine" hat Eisenmann dafür Microsoft-Produkte vorgesehen.

Wirtschaftsprüfer von PricewaterhouseCoopers (PWC) geben der Christdemokratin dafür in einer "Datenschutzfolgenabschätzung" (DSFA) von Anfang April weitgehend grünes Licht. Sie verweisen bei der "zur Beurteilung stehenden Datenverarbeitung ... lediglich Risiken der mittleren Kategorie". Entsprechende Vorgänge und "insbesondere auch die Auslandsverkehre" etwa bei einem Cloud-gestützten Ansatz beruhten "durch die Einsetzung von Microsoft als Auftragsdatenverarbeiter" auf "hinreichend validen Rechtsgrundlagen", heißt es in dem heise online vorliegenden Dokument.

Die Gutachter empfehlen so "im Wesentlichen", nur "bestimmte technisch-organisatorische Maßnahmen" in Form "geeigneter Abhilfemaßnahmen" zu implementieren sowie eine "Nutzungsordnung" auszuarbeiten.

Brink kommt in seinem heise online vorliegenden Prüfbericht der DSFA vom 3. Juli zu ganz anderen Ergebnissen. Der Datenschutzbeauftragte verweist darin auf "strukturelle Mängel des Produkts Microsoft Office 365". Insbesondere könnten Abflüsse personenbezogener Informationen an den US-Konzern zu eigenen Zwecken nicht vollständig unterbunden werden. Für eine solche Übermittlung sei "keine Rechtsgrundlage erkennbar". Grundsätze der Transparenz, Zweckbindung und Datenminimierung könnten nicht eingehalten werden.

Für den Datenschützer erscheint es so fraglich, ob das Kultusministerium beziehungsweise die Schulen im Falle des Einsatzes des Produktes ihrer Rechenschaftspflicht aus der Datenschutz-Grundverordnung (DSGVO) nachkommen könnten. Zudem beklagt Brink "gravierende Mängel" in der von PWC vorgelegten Analyse. Vor allem fehle die "erforderliche vollumfängliche Übersicht aller vorgesehenen und den Lehrkräften angebotenen Datenverarbeitungen", Verantwortlichkeiten würden letztlich gerade nicht klar.

Auch dass nicht einmal deutlich werde, auf welche Produktformen sich die Einschätzung beziehe und welche konkreten Bestandteile mit welchen einzelnen Anwendungen, Diensten, Komponenten, Konfigurations-Optionen und Standardeinstellungen eingesetzt werden sollten, sieht Brink kritisch. Datenabflüsse an Microsoft seien gar nicht untersucht worden, obwohl dies unbedingt nötig gewesen wäre.

Auch der Einsatz von Office 365 durch Schüler sei nicht behandelt worden. Das Papier müsse daher "erheblich" überarbeitet werden, Microsoft zudem die übergeordneten Schwierigkeiten beheben. Detailfragen zu den von Brink aufgezeigten massiven Herausforderungen wollte das Kultusministerium nicht beantworten. Die Sprecherin betonte aber, man habe vereinbart, die Sondierungen "konstruktiv fortzusetzen, um die in einer ersten Stufe vorliegende Datenschutzfolgenabschätzung gemeinsam bis Ende des Monats auf den Stand einer validen und abgestimmten Entscheidungsgrundlage zu bringen".

Nach dem Chaos Computer Club fordert derweil auch das von Hochschullehrern, Wissenschaftlern und engagierten Bürgern gegründete "Bündnis für humane Bildung" Eisenmann auf, eine fatale Fehlentscheidung zu verhindern und zur Vernunft zu kommen. "Es darf nicht die Gefahr bestehen, dass Schülerdaten in die USA abfließen", kritisiert Ralf Lankau von der Allianz in einem offenen Brief. Der US Cloud Act schreibe vor, dass US-Firmen wie Microsoft personenbezogene Informationen herausgeben müssen, "egal auf welchem Server sie liegen". US-Recht breche EU-Recht, gibt der Professor zu bedenken. Dies habe der Europäische Gerichtshof (EuGH) inzwischen zweimal bestätigt.

Lesen Sie dazu auch unsere Serie "Schule digital"

Daten europäischer Verbraucher ließen sich in der Hand von US-Konzernen so nicht vor dem Zugriff nationaler Geheimdienste wie der NSA schützen. Dies führe gerade bei besonders sensiblen Informationen über Schüler zu einer "skandalösen Situation". Das Schreiben endet mit dem Appell an die Ministerin: "Machen Sie die Schulen zukunftsfähig, in dem Sie mit Linux und Open-Source-Programmen europäischer Unternehmen die Software des 21. Jahrhunderts einführen, statt auf IT-Monopole des 20. Jahrhunderts zu setzen."

(axk)