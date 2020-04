Das Kultusministerium Baden-Württemberg stellt allen Lehrkräften des Landes den Sofortnachrichten-Dienst Threema Work zur dienstlichen Nutzung kostenlos zur Verfügung. Der baden-württembergische Landesdatenschutzbeauftragte Stefan Brink hat das Kultusministerium in der Entscheidung beraten.

Er weist darauf hin, dass Threema anders als der zu Facebook gehörende Messenger-Dienst WhatsApp auch datenschutzkonform funktioniert. "Wenn man möchte, kann man den marktbeherrschenden US-Anbietern bessere europäische Lösungen entgegensetzen, die unsere Werte wie den Datenschutz aktiv unterstützen", argumentiert Brink.

Zoom in Schulen nicht datenschutzkonform

Schulen stellen ihren Unterricht in der Coronakrise weitgehend auf digitale Lehrformen um: Videokonferenzportale, Sofortnachrichten-Dienste und interaktive Lernplattformen sollen ortsunabhängiges Lernen unterstützen. Doch in der Eile blieben dabei datenschutzrechtliche Prüfungen und Maßnahmen häufig auf der Strecke, warnt Brink. Vergangene Woche wurde der Fall bekannt, dass an einer Freiburger Schule während einer Video-Schulstunde mit dem US-Dienst Zoom pornografische Bilder eingespielt wurden.

Brink hält Zoom für "sehr problematisch", da der Dienst in den letzten Monaten eine Reihe von schweren Sicherheits- und Datenschutzproblemen aufgewiesen hatte, die gerade bei unsachgemäßer Installation des Dienstes vorkommen können. Es sei immer noch nicht klar, ob die Sicherheitslücken inzwischen vollständig behoben wurden. Auch sei eine unnötige Erhebung und Verwertung von Nutzerdaten durch Zoom zu befürchten. Brink weist darauf hin, dass auch bei der browserbasierten Nutzung von Zoom Tracker etwa von Google zum Einsatz kommen, die im Schulunterricht persönliche Informationen über Schülerinnen und Schülern sammeln können.

Internes Gutachten zeigt Probleme

Brink hält damit eine datenschutzkonforme Nutzung von Zoom für den Unterricht für nicht möglich. In einem internen Gutachten wiesen Datenschutz-Juristen einer anderen Behörde darauf hin, dass sich der Dienst nach einer Account-Kündigung vorbehält, nicht alle Daten zu löschen. Noch haben die Datenschutzbehörden der Länder keine Untersagungen und Verwarnungen ausgesprochen, sie beobachten jedoch die Entwicklung sehr aufmerksam.

Einige Schulen und Hochschulen in Nordrhein-Westfalen setzen auf den als sicherer geltenden Videokonferenzdienst Webex des Unternehmens Cisco. Auch hier wird kritisiert, dass sich der US-Dienst gegenüber den Nutzern zu viele Rechte herausnimmt. Allerdings gelten andere Verträge, wenn er von Dienstleistern wie der Deutschen Telekom weiterverkauft wird. Die nordrhein-westfälische Datenschutzbeauftragte hat keine Empfehlung zu Webex ausgesprochen. Bislang hat sie Schulen und Hochschulen nur allgemein zum Thema "Videokonferenz" beraten.

Microsoft 365 für Schulen?

Stefan Brink betont: "Schülerinnen und Schüler dürfen auch in Ausnahmesituationen nicht datenschutzwidrigen und gefährdenden digitalen Hilfsmitteln ausgesetzt werden." Deshalb müssten Schulen bei der schwierigen Frage nach datenschutzkonformen Diensten noch besser unterstützt werden. "Vor Ort besteht erhebliche Unsicherheit, was geht und was nicht. Die Schulen sind mit dieser Aufgabe häufig überfordert", mahnt Brink, dessen Behörde Handreichungen zu den Themen „Unterstützung von Schulen“ und „datenschutzfreundliche Möglichkeiten der Kommunikation“ veröffentlicht hat. Brink erwartet von den Schulen und Lehrkräften, die vom Land kostenlos zur Verfügung gestellte datenschutzfreundliche Open-Source-Lernplattform Moodle mit dem Videokonferenzsystems BigBlueButton zu nutzen.

Brinks Mahnung bezieht sich auch auf die Pläne des baden-württembergischen Kultusministeriums, in Schulen Microsoft Office 365 einzusetzen, um Moodle abzulösen. Die Microsoft-Produkte werden von Landesbediensteten bereits genutzt. Aktuell wird diskutiert, das E-Mail-Hosting durch Microsoft zu organisieren – Anbieter wie 1&1 oder Posteo sollen dem Vernehmen nach bislang von dem Ministerium nicht kontaktiert worden sein. Das Kultusministerium wurde aufgefordert, für die geplante Schulplattform eine Datenschutzfolgenabschätzung und ein IT-Sicherheitskonzept zu erstellen.

"Volle Kontrolle" mit Open-Source-Software

Wie aus der Antwort des Landesdatenschutzbeauftragten an eine kleine Anfrage der grünen Landtagsfraktion hervorgeht, die heise online vorliegt, liegen der Datenschutzaufsicht bislang nur Dokumente für den Messenger-Dienst zur Prüfung vor. Hier entschied sich das Ministerium für Threema. Eine datenschutzrechtliche Beratung zu den im Dezember 2019 erfolgten Ausschreibungen der digitalen Bildungsplattform fand nicht statt.

Die Datenschutzbehörde betont in ihrer Antwort an den Landtag, dass der eigene Betrieb der Plattform durch eine Stelle des Landes sinnvoll sei, "da dann eine bessere Kontrolle über die Daten möglich ist". So könne "mit höherer Sicherheit gewährleistet werden, dass kein Datenabfluss an Dritte erfolgt". Überdies ermögliche der Einsatz von Open-Source-Software "nicht nur eine volle Kontrolle über die Datenverarbeitung, sondern eröffnet auch die Möglichkeit genauerer Anpassungen der Software an die eigenen Bedürfnisse." (axk)