Zwischen Scylla und Charybdis

Schulen zwischen Politik, Digitalisierung, Corona und dem gekippten Privacy Shield

Warnung: Dieser Beitrag kann neben jeder Menge Fakten auch Spuren von Polemik enthalten.

Der Digitalpakt Schule als bundespolitisches Vorspiel

Die im Rahmen des Corona-Lockdowns erfolgten bundesweiten Schulschließungen ab Montag, dem 16. März bis zu den Sommerferien haben die digitalen Defizite der deutschen Schulsysteme und die Handlungsunsicherheiten der Schulministerien der Bundesländer sowie des Bundes schonungslos offen gelegt. So sind aus dem seit 2018 von der Bundespolitik vollmundig gepriesenen und seit Mai 2019 gültigen DigitalPakt Schule, in dessen Rahmen über fünf Jahre 2019 bis 2024 insgesamt Mittel in Höhe von 5 Mrd. € für den Aus- und Aufbau einer digitalen Bildungsinfrastruktur bereitgestellt sind, bis dato erst knapp 16 Mio € abgerufen worden.

Dies ergab eine schriftliche Frage der Bundestagsabgeordneten Katja Suding (FDP) vom 19. August. Die Gründe hierfür liegen nicht am fehlenden Willen der direkt Betroffenen, sie sind ebenso wie die Verantwortlichkeiten vielfältig, sie reichen von durch die einzelnen Bundesländer oft zögerlich und spät bereitgestellten Förderrichtlinien, die zudem nicht der aktuellen Marktsituation für Hardware angepasst sind, über noch laufende Prüfungen der Bedarfe in den Schulen bis zu noch nicht fertig eingereichten Medienkonzepten der Schulen.1

Und mit dem Lockdown kamen - kalt erwischt - von einem auf den anderen Tag völlig neue Anforderungen sowohl an Strukturen als auch an Kapazitäten.

Bayern

Am Donnerstag, den 12. März, zu diesem Zeitpunkt waren die Schulen im ersten Hotspot, im Kreis Heinsberg in NRW, schon fast zwei Wochen geschlossen, versandte das Kultusministerium in Bayern eine Anweisung an alle Schulen, nach der sie sich "auf digitales Arbeiten vorbereiten und sicherstellen müssen, dass Schüler- und Lehrerzugänge zum Schulnetzwerk Mebis funktionieren".[5] Dazu muss man wissen, dass unter dem Motto "mebis macht Bildung digital" das Landesmedienzentrum Bayern seit 2014 im Auftrag des Bayrischen Staatsministeriums für Unterricht und Kultus das Kompaktsystem Mebis (= Medien, Bildung, Service) betreibt, das neben einer Lernplattform für alle Schulen, realisiert auf Basis der Open Source Software Moodle, auch eine Mediathek mit Tausenden von Bildungsmedien zum Abruf bereit hält.

Wie die Süddeutsche Online am 12.03.2020 weiter berichtet, bezweifelt der Präsident des Deutschen Lehrerverbandes, Heinz-Peter Meidinger, dass Mebis "einen Zugriff Tausender Schüler gleichzeitig aushalten würde. Bei einem Test seiner Schule - Meidinger ist auch Direktor eines Gymnasiums in Deggendorf - sei das Netzwerk sehr langsam gewesen."2

So ist am Montag den 16. März, dem ersten Tag des Lockdowns mit bundesweiten Schulschließungen in der FAZ Online zu lesen, "Hacker hatten am Montag die eigentlich für den Fernunterricht in Bayern gedachte Online-Plattform Mebis lahmgelegt. Seit den frühen Morgenstunden seien die Server einer Attacke ausgesetzt, twitterten die Seitenbetreiber. Der Angriff erfolge durch Hunderttausende automatisierte Seitenaufrufe."3

Und die Zeitung stellt schon im Untertitel des Beitrags fest, dass "Hackerangriffe gegen Bildungseinrichtungen …. selten" seien. Ein Schelm, der Böses dabei denkt. Ein paar Zeilen weiter nähern sich die Autor*innen des FAZ-Beitrags einer weiteren möglichen Wahrheit, "Bayern gehört zu den Ländern, die eine Online-Plattform haben, allerdings sind diese nicht für einen flächendeckenden Ersatz von geschlossenen Schulen ausgelegt." Und lapidar heißt es weiter "Das Ministerium in München verwies auch auf das Schulfernsehen."4

Es mutet in der Tat seltsam an, wenn ein DoS-Hackerangriff ausgerechnet zu dem Zeitpunkt festgestellt wird, zu dem Hunderttausende Schüler*innen versuchen, das erste Mal während des Lockdowns auf ihre Lernplattform von zuhause aus zuzugreifen.

Nach einem Schulgipfel am 23. Juli zieht Corona-Krisenmanager Markus Söder zunächst verbal die Konsequenz, er kündigt die "Bayern-Cloud" als "Digital-Turbo" an, Unterricht daheim per WebApp und Videokonferenz.5 "Ministerpräsident Söder träumt gar von "einer Art Schul-Youtube"", textete die Main-Post am 28. Juli6, eine Art Mebis Plus, eine Weiterentwicklung der bisher verwendeten Bildungsplattform. Und so mancher professionelle Digital-Didaktiker, so manche Lehrkraft reibt sich beim Lesen solcher Worthülsen verwundert die Augen.

Wie dem auch sei, auch wenn deren Performanz zu Beginn des Lockdowns an ihre Grenzen geriet, Bayerns Schulen können in Sachen Lernplattform auf ein Angebot ihres Landes zurückgreifen. Andere Bundesländer können das nicht von sich behaupten.

Baden-Württemberg

In Baden-Württemberg droht das Projekt Ella, eine landesweite Lernplattform, zum zweiten Mal zu floppen. Zur Geschichte: Ende Februar 2018 zeigt sich Ministerin Susanne Eisenmann (CDU) verärgert über die kurzfristige Absage des Starttermins durch die beiden für den technischen Betrieb von Ella Verantwortlichen, die Landesoberbehörde IT Baden-Württemberg (BITBW) und den IT-Dienstleister Kommunale Datenverarbeitung Baden-Franken (KIVBF).7 Ganze zwei Jahre später, am 26. Februar 2020 titelt die Stuttgarter Zeitung: "Ella-Nachfolger verzögert sich". U.a., so die Zeitung weiter, sei der Kostenrahmen "nicht festgezurrt". Zwei Tage nach dem Lockdown, am 18. März, berichtet TAG24, dass das alternativ bereitgestellte Moodle nicht reibungslos funktioniere. Eine Schnellumfrage des Landesschülerbeirats ergab, dass Moodle "komplett gecrasht" sei, also wegen Überlastung nicht funktionsfähig war.

Und als sei das noch nicht genug, erscheint am 10. Mai in den Stuttgarter Nachrichten Online ein Beitrag mit dem Titel "Digitale Lernplattform Ella - Schulsoftware elfmal so teuer wie geplant". Darin heißt es, dass ein neues Schulverwaltungsprogramm des Landes vier Millionen kosten sollte, nun seien es 47 Millionen und die Software sei noch immer nicht in Betrieb. Der Rechnungshof Baden-Württemberg werfe dem Kultusministerium schlechtes Projektmanagement vor. Insofern mag es erlaubt sein, mal deutlich nachzufragen, wer dort was mit welcher Kompetenz wie und auf wessen Geheiß entscheidet. Schließlich kann man in Baden-Württemberg alles außer Hochdeutsch.

Nicht nur was Schulen, Digitalisierung und Bildung angeht, führen sich die drei bevölkerungsreichsten Bundesländer Nordrhein-Westfalen, Bayern und Baden-Württemberg gern auf wie die Platzhirsche. Bei genauerer Betrachtung gibt es jedoch dafür keinerlei Grund. Während Bayern mit üppiger Söder-Turbo-mir-san-mir-Metaphorik auftrumpft, will NRW ständig irgendwie "vorn" sein, und zwar unabhängig davon, welche politische Farbkombination gerade am Ruder ist.

Nordrhein-Westfalen

So hieß es im August 2020, "Staatssekretär Richter: NRW geht bei der Digitalisierung der Schulen voran - Das Land Nordrhein-Westfalen stellt den öffentlichen Schulen, den Ersatzschulen und den Zentren für schulische Lehrerausbildung (ZfsL) ab sofort einen Messenger-Dienst kostenlos zur Verfügung." "Der Messenger aus dem Schulministerium ist Teil des vom Land entwickelten Logineo-Systems. "Er soll als App auf Apple- und Android-Geräten laufen, aber auch über alle gängigen Internet-Browser nutzbar sein. Die Kommunikation werde verschlüsselt und laufe über Server in der EU, heißt es aus dem Ministerium. Eine Telefonnummer sei für die Nutzung des Messengers nicht nötig" ließ der WDR am 21. August verlauten.

Ein Messenger also, aber der Reihe nach, denn auch Logineo hat eine Geschichte. Im Juni 2017 übernahm die neue Schulministerin der frischgebackenen schwarzgelben Landesregierung, Yvonne Gebauer (FDP) das unvollendete Projekt Logineo von ihrer Vorgängerin Sylvia Löhrmann (Bündnis90/Die Grünen) aus der rotgrünen Regierungskoalition. Aufgrund "gravierender Sicherheits- und Datenschutzmängel" zog Ministerin Gebauer im Herbst 2017 "die Notbremse" und stoppte das Projekt vorerst.8 In der Pressemitteilung von lehrer nrw heißt es: "Massive Bedenken hatte lehrer nrw über seine Rechtsabteilung und einen hinzugezogenen Fachanwalt für IT-Recht auch im persönlichen Gespräch mit Ministerin Gebauer vorgetragen. Dies betrifft vor allem die in der Dienstvereinbarung vorgesehene Verwendung von privaten Endgeräten durch die Lehrkräfte und Schulleitungen."9 Insider werteten diesen gleichwohl konsequenten und mutigen Schritt der Ministerin als einen schweren Rückschlag für die geplante Digitalisierung der Schulen, und das über NRW hinaus.10 Nach einer grundlegenden Überarbeitung begann im Herbst 2018 eine erste Testphase. Logineo NRW ist keine Lernplattform, sondern eine Plattform zur grundsätzlichen Organisation schulischer Prozesse, an die sukzessive weitere Werkzeuge angedockt werden können. Zugang haben zunächst nur die Lehrkräfte. Der landesweite Rollout schließlich startete am 26. November 2019.

Obwohl auch in NRW bereits diverse privatwirtschaftlich geführte Unternehmen im Auftrag von Schulen und Schulämtern Lernplattformen für Schulen bereitstellen, entschied sich das Ministerium für Schule und Bildung während des Lockdowns dafür, schnell ein eigenes Lernmanagementsystem aufsetzen zu lassen.11 Die Wahl fiel dabei ebenfalls auf die weit verbreitete und bekannte, unter einer GNU GPLv3-Lizenz stehende Open Source-Lösung Moodle, das nun unter dem Namen Logineo NRW LMS als ein Mitglied der Logineo-Familie für alle Schulen bereitsteht. Der NRW-Vorsitzende der Lehrerorganisation Verband Bildung und Erziehung (VBE), Stefan Behlau, äußert jedoch gegenüber der Rheinischen Post, dass das Logineo-Online-System für die NRW-Schulen viel zu langsam modernisiert worden sei. "In der Pandemiezeit holen uns Versäumnisse der Vergangenheit wie die zu langsame Digitalisierung ein."

Einen Vorteil hat Logineo NRW LMS allerdings, denn Moodle setzt auf etablierte Standards, so dass Schnittstellen nicht gesondert konzipiert werden müssen. So können digitale Unterrichtsmedien aus dem bereits seit 2004 NRW-weit verfügbaren kommunalen Online-Dienst EDMOND NRW problemlos in die Lernplattform eingebunden werden, da beide Systeme über die sogenannte LTI-Schnittstelle (Learning Tools Interoperability) verfügen, die einen solchen sicheren Datenaustausch möglich macht. Im August berichteten unabhängig davon die beiden Landschaftsverbände, unter deren Federführung EDMOND NRW betrieben wird, über einen Boom, die Zugriffe hätten sich während des Lockdowns ver-14-facht.

Und nun gibt es zu Logineo auch noch einen Messenger. In diese grundsätzlich positive, wenngleich auch reichlich späte Entwicklung platzte am 09. September eine kleine Anfrage der schulpolitischen Sprecherin der NRW-Landtagsfraktion von Bündnis 90/Die Grünen, Sigrid Beer, mit dem Titel "LOGINEO Messenger gehostet beim AMAZON WEB SERVICE". Darin wird zunächst festgestellt, dass in dem auf der WebSite des Messengers verlinkten Muster zur Vereinbarung zur Auftragsverarbeitung (AVV) nach Art. 28 Abs. 3 DSGVO - die Pflicht, diese AVV zu unterzeichnen obliegt jeder Schule, die den Messenger nutzen will - als Subunternehmer des Auftragsverarbeiters die "AWS EMEA SARL, 38 Avenue John F. Kennedy, L-1855 Luxembourg" angegeben ist. Das Kürzel AWS steht für Amazon Web Services, für den Cloud Service des US-Digitalriesen. Mittlerweile griff der WDR die Anfrage auf.

Technisch gesehen mag dies zunächst kein Problem darstellen. Denn der LOGINEO NRW Messenger arbeitet mit einer Ende-zu-Ende-Verschlüsselung, basiert auf dem Open Source Instant Messenger Element und nutzt das Matrix-Protokoll, das von der Matrix.org Foundation verwaltet wird und ein offener Standard ist. Jedoch vor dem Hintergrund des US CLOUD Act und des sog. Schrems II-Urteils des EuGH, in dessen Rahmen das Privacy Shield Abkommen der EU mit den USA gekippt wurde, ist die Beauftragung von AWS, wenn auch "nur" als Subunternehmer, für einen Messenger für Schulen ein fatales politisches Signal. Dazu später mehr.

Bundespolitisches Förder-Intermezzo, der Tanz ums HPI

Parallel zu den konkreten Bemühungen und Rückschlägen verschiedener Kultusministerien zu Aufbau und Betrieb von Lernplattformen und Lernmanagementsystemen genießt ein Projekt des Hasso-Plattner-Instituts (HPI, Potsdam), die sogenannte HPI-Schul-Cloud, schon seit einiger Zeit eine besondere Aufmerksamkeit, erstens sowohl der Bundespolitik und speziell des Bundesministeriums für Bildung und Forschung als auch zweitens als Zielscheibe und Blitzableiter für diverse Digitalisierungskritiker.12 Ob diese Aufmerksamkeit für das HPI und die dort als studentisches Projekt entwickelte Schul-Cloud fachlich gerechtfertigt ist, ist eine ganz andere Frage. Jedenfalls weiß man am HPI um den politischen Einfluss des Namens des Stifters und SAP-Gründers und tritt dementsprechend auch politisch mit breiter Brust auf, gelebter Lobbyismus in Reinform.

In einem am 20. April 2020 veröffentlichten Interview auf dem Blog des Bildungsjournalisten Jan-Martin Wiarda äußert sich der Chef des HPI, Prof. Dr. Christoph Meinel, zu Lernmanagementsystemen wie folgt: "Seit 20 Jahren gibt es teure Pilotprojekte, aber keine praktikablen Lösungen". Und bezogen auf die Eigenentwicklung ergänzt er: "Nein, ich sehe kein zweites System, das eine nur annähernd ähnliche Leistungsbreite bietet, wie die HPI-Schul-Cloud, in Deutschland nicht und in Europa auch nicht." In einem Interview mit der WebSite "Digitalisierung der Bildung" der Bertelsmann-Stiftung vom 30. Juli äußert er sich ähnlich und wird dazu noch visionär. Global-strategisch warnt er: "Wenn wir den großen amerikanischen und chinesischen Plattformen gegenüber wettbewerbsfähig sein wollen, dann wird das nur auf europäischer Ebene gehen. Davon sind wir leider weit entfernt, wir gehen solche Themen ja noch nicht einmal deutschlandweit an."

Lobbyismus, zukünftige Hintertüren für Persönlichkeitsbewertungen und Kopfnoten-Innovationen?

Dies hat - für sich betrachtet - ganz sicher etwas Richtiges. In dem Interview wird allerdings nicht nur zwischen den Zeilen deutlich, worum es ihm eigentlich geht, nämlich um Big Data, KI-Systeme und Lernanalysen. Die HPI-Schul-Cloud als Bildungsmarktplatz zum Andocken kostenpflichtiger Services sowie KI zur Analyse von Lernfortschritten. So etwas geht technisch nur in großem Stil, sonst hat man nämlich keine "Big Data", keine großen Datenmengen, die benötigt werden, um KI-Systeme zu trainieren. Dazu harmoniert dieses Statement farblich mit der Strategie der Stiftung, das Interview ergänzt sich "Ton-in-Ton" mit der "Think big"-Politik des Seitenbetreibers Bertelsmann-Stiftung.

Worin dieses "Think big!" nun besteht, bestehen könnte, erläutert - Achtung Konzernlobbyismus! - Jörg Dräger von der Bertelsmann-Stiftung. Er gibt - gewissermaßen als Käpt‘n Obvious - im Berliner Tagesspiegel den intellektuellen Sidekick zu Corona, Digitalisierung und Bildung: "Es" müsse "auch darum gehen, mehr relevante Kompetenzen der SchülerInnen zu erfassen", so der qua Stiftung erklärte Bildungsexperte. "Denn neben dem Basiswissen […]" würden "Fähigkeiten wie Kommunikation, Teamarbeit, Resilienz und Kreativität immer bedeutender." Ohh wait! Sind das nicht im Grunde die alten Kopfnoten? Nun denn, öfter mal was neues, KI steht ja vielleicht für Kopfnoten-Innovationen .…

Der übersehene IT-Mittelstand

Christoph Meinel jedenfalls musste gegenüber dem Handelsblatt bereits am 06. Juni als Reaktion auf harsche Kritik von Datenschützern erklären, dass sein "starker Datenschutz" der HPI-Schul-Cloud nachgebessert wird.[35] Insider wissen, dass Bemerkungen wie die, dass er kein zweites System kenne, das eine nur annähernd ähnliche Leistungsbreite biete, wie seine Schul-Cloud, nicht einer gewissen Dreistigkeit entbehren. Denn Fakt ist, dass es medial und politisch nicht so laute Anbieter gibt, gestandene Mittelständler, die umfassendere Systeme bieten, deren Leistungsumfänge zwar unterschiedlichen Philosophien folgen, die jedoch der zweifelsohne im Kern guten HPI-Entwicklung, die eine rein webbasierte Lernplattform ist, um Jahre voraus sind. Dementsprechend trockene Statements findet man in der Kommentarfunktion von Wiardas Blog unter dem Interview. Die Schulserverlösung IServ - nein, das hat nichts mit iPad oder iPhone zu tun - sowie eine Lösung von SBE Networks übertreffen den Leistungsumfang der HPI-Lösung bei weitem, da sie in der Netzstruktur tiefer greifen als die reinen webbasierten LMS-Funktionen. Sie bieten zusätzlich ein MDM, ein Multiple Device Management mit Softwareverwaltung für alle Rechnersysteme in der Schule sowie mitgebrachte "Bring-your-own-device"-Geräte, die sogar mit einem Mix aus iOS-, Android-, Windows- und Linux-Systemen umgehen können.

Am 7. April gibt das Bildungsmagazin News4Teachers einen offenen Brief an Ministerin Anja Karliczek wieder mit dem Betreff "HPI Schul-Cloud behindert Digitalisierung der Schulen", der von sechs mittelständischen Untenehmen unterzeichnet ist, alle Entwickler und Bereitsteller von LMS-Systemen. Darunter befinden sich auch die beiden schon genannten Firmen sowie die ItsLearning GmbH, u.a. verantwortlich für die Landeslösung im Stadtstaat Bremen und die DigiOnline GmbH, die u.a. die Lernplattform innerhalb des landesweiten Systems LernSax in Sachsen bereitstellt. Alle sechs zusammengenommen stellten schon vor der Pandemie Lernplattformen für mehrere Tausend Schulen im Bundesgebiet zur Verfügung!

Dies nun als einen gewöhnlichen Streit zwischen Unternehmen um öffentliche Fördertöpfe abzutun, ist zu einfach. Dass es hier aber einerseits um eine umstrittene Frage der Zuständigkeiten zwischen Bund und Ländern geht - wer kümmert sich um den Aufbau von Schul-Clouds? - und andererseits um einen Konflikt zwischen mittelständischen deutschen Unternehmen und dem mit dem Status der Gemeinnützigkeit versehenen Aninstitut der Universität Potsdam, verleiht dieser Auseinandersetzung eine besondere Bedeutung.

Darüber hinaus kann von einem noch so guten studentischen Projekt, das für seine Beteiligten Bachelor- und Masterarbeiten ermöglicht und daher als Ausbildungs-Durchlauferhitzer für das Personal fungiert, nicht erwartet werden, dass es den Robustheitsanforderungen des schulischen Alltags genügt. Das wissen wohl auch die Verantwortlichen selbst, denn am 10. Juni erklärt das gemeinnützige HPI in einer Pressemitteilung "Hasso-Plattner-Institut setzt bei der Weiterentwicklung der HPI Schul-Cloud auf starke Partner". Darin heißt es weiter: "So wurde im Rahmen einer Ausschreibung Dataport als Generalunternehmer mit dem Betrieb und der Unterstützung bei der Weiterentwicklung der HPI Schul-Cloud beauftragt. Dataport übernimmt diese Aufgaben gemeinsam mit seinen Partnern Capgemini, Bechtle und Ionos. Während Bechtle und Ionos den technischen Betrieb der Open-Source-Plattform verantworten, wird Capgemini gemeinsam mit Dataport das HPI bei der Weiterentwicklung unterstützen."

Dass auch das beste Cloudkonzept einen Hoster braucht, ist offensichtlich und stellt hier kein Problem dar, dass aber Privatunternehmen wie Capgemini an der Entwicklung mitwirken, macht daraus in den Augen Vieler ein kommerzielles Projekt. So sieht es wohl auch die mittelständische Konkurrenz, denn am 12. Juni veröffentlicht der Tagesspiegel einen Background-Bericht, in dem es heißt: "Kommerzielle Anbieter schimpfen über Wettbewerbsverzerrung, Grüne und Liberale wundern sich über Ungereimtheiten bei der Vergabe von zwölf Millionen Euro und Mängel beim Datenschutz. Manche Landesbeamte stellen gar die Sinnfrage des gesamten Projekts angesichts der bereits vorhandenen Angebote." Der Tagesspiegel berichtet weiter, dass ein Kern des Streits die vom HPI immer wieder behauptete Datenschutzkonformität sei. "Das HPI und dessen Leiter Christoph Meinel mussten bereits eine Unterlassungserklärung abgegeben, weil private Anbieter einen Wettbewerbsverstoß erkannt haben wollten. Das HPI hatte den Vorwurf zurückgewiesen, die Unterlassungserklärung aber dennoch abgegeben."

Verschärfte Klippen, neue Randbedingungen

Der "Schild", der sowieso nie da war, ist nun futsch! Denn am 16. Juli scheitert die EU-US-Datenschutzvereinbarung Privacy Shield, ebenso wie schon der Vorgänger Safe Harbor, vor dem Europäischen Gerichtshof EuGH. Eine gleichermaßen kompakte wie verständliche journalistische Aufbereitung dieses durchaus schon länger vorhersehbaren juristischen Vorgangs und seiner politischen und wirtschaftlichen Konsequenzen liefert Tobias Haar in der Zeitschrift IX 9, September 2020, die zudem gleich mehrere Beiträge zum Thema bietet.13

Genau genommen bestätigt das Gericht in diesem, nach dem klagenden österreichischen Datenschützer Max Schrems genannten Schrems-II-Urteil, dass die europäische DSGVO Anwendung findet, "wenn Daten nach einer Übertragung in einen Drittstaat, wie die USA, durch Behörden für Zwecke der öffentlichen Sicherheit, der Landesverteidigung und der Sicherheit des Staates verarbeitet werden können. […] Aus Sicht der DSGVO bedarf dieser Umstand einer datenschutzrechtlichen Rechtfertigung."14

Besonderer Stein des Anstoßes ist hier der von der Trump-Administration 2019 auf den Weg gebrachte CLOUD Act (Clarifying Lawful Overseas Use of Data Act), der es US-Behörden erlaubt, im Bedarfsfall auf bei US-Unternehmen und ihren Dependancen und Töchtern im Ausland gehostete personenbezogene Daten zuzugreifen im Widerspruch zur DSGVO, die für eine Herausgabe solcher Daten eine juristische Rechtfertigung verlangt.

Auch wenn der CLOUD Act ausländischen Unternehmen ähnliche Rechte einräumt, kann dies als US-amerikanische Übergriffigkeit, als eine Verletzung der nationalstaatlichen Souveränität derjenigen Länder verstanden werden, in denen Serversysteme US-amerikanischer Unternehmen oder deren Töchter personenbezogene Services anbieten. Insofern sollte das EuGH-Urteil auch als eine grundsätzliche politische Absage an einen US-Datenimperialismus interpretiert werden.

Visionär und global anti-nationalistisch denkende Zeitgenossen könnten nun das hypothetische Argument ins Feld zu führen, dass das Konzept des Nationalstaats in Zeiten des weltweiten, entterritorialisierend wirkenden Datennetzes über kurz oder lang veraltet sein wird und man sich vielleicht deshalb "keinen Kopf" machen sollte. Doch dies greift hier nicht, und zwar aus zwei Gründen. Erstens ist ein funktionsfähiges Ersatzkonzept für den Nationalstaat, das insbesondere Bürgerinnen und Bürger und ihre Daten schützt, noch nicht in Sicht und zweitens ist der CLOUD Act selbst Ausdruck eines nationalstaatlich motivierten Hegemonie-Anspruchs, über den die Möglichkeit des Durchgriffs von US-Behörden auf personenbezogene Daten im Ausland sicher gestellt werden soll.

Daher bleibt die Frage, wie die Europäische Union und ihre Mitgliedsstaaten den Datenschutz ihrer Bürger - gegenüber aufdringlichen Drittstaaten wie den USA oder auch China - in einem ganz praktischen Sinne durchsetzen wollen. Das EuGH-Urteil ist ohne Zweifel eine Notwendigkeit, hinreichend ist es jedoch nicht.

Deutschland auf dem Weg zur digitalen Souveränität? Fehlanzeige!

Deutschland, die größte Volkswirtschaft innerhalb der EU, soll - zumindest nach den Wünschen der beiden "Volksparteien" - innerhalb der Union eine Vorbild- und Führungsrolle einnehmen. Jedoch gerade auf dem zukunftsträchtigen Feld von Schule und digitaler Bildungsinfrastruktur zeigt die deutsche Politik Rückständigkeit gepaart mit Zahnlosigkeit, abzulesen an der mehr als mangelhaften praktischen Umsetzung des Digitalpakts Schule.

Die politischen Entscheidungen und Fördermaßnahmen können sich sogar als disruptiv für die eigene inländische Digitalwirtschaft erweisen. Das Bundesministerium für Bildung und Forschung protegiert und fördert die als einheitliche Lösung deklarierte HPI-Schul-Cloud, das studentische Versuchsprodukt eines einzigen gleichwohl renommierten Institutes, anstatt die im eigenen Land vorhandenen und im praktischen Einsatz befindlichen, aus den konkreten Bedürfnissen von Schule erwachsenen und entwickelten Lösungen näher in Augenschein zu nehmen und deren Weiterentwicklung zu fördern. Denn es mangelt in Sachen Digital- und Netzwerkkompetenz nicht an Fachleuten und leistungsfähigen mittelständischen Unternehmen, in Deutschland nicht und in Europa auch nicht. Und dies betrifft sowohl Unternehmen mit softwarespezifischen Lösungen für Schulen wie z.B. Lernplattformen als auch Unternehmen, die skalierbare Cloud-Systeme betreiben.

In den Kultusministerien einiger Bundesländer sieht man das offensichtlich ähnlich. "Weltweit gibt es Hunderte Anbieter, und dann zu sagen: Wir machen das mit Steuergeldern noch mal, das ist doch absurd", bemerkte ein Mitarbeiter eines Kultusministeriums der Länder vertraulich gegenüber Tagesspiegel Background, veröffentlicht am 12. Juni.

Eine Bündelung der Kräfte aus Politik und Wirtschaft für den Aufbau einer digitalen Bildungsinfrastruktur, die den Namen Pakt auch verdient, sieht also anders aus. Es lässt sich im Gegenteil sogar der Eindruck gewinnen, dass der Bund eine gewisse Wirtschaftsfeindlichkeit, ein Misstrauen den eigenen mittelständischen Unternehmen und deren Fähigkeiten gegenüber zeigt. Mit dem HPI hingegen bewegt man sich zumindest im Dunstkreis eines großen Unternehmens, deren Betreiber Vertrauen und Aufmerksamkeit der Bundesregierung genießen.

Die Politiken der Bundesländer sind zwar wie schon bemerkt etwas anders ausgerichtet, gleichwohl sind die in einigen Ländern erzielten Effekte keinen Deut besser und wirken nicht selten ebenfalls disruptiv. Auch hier will man es häufig selbst machen und beauftragt Unternehmen der öffentlichen Hand, deren Leistungsfähigkeit aufgrund von Missmanagement schnell an ihre Grenzen gerät, so dass dann wieder auf amerikanische Großlösungen zurückgegriffen wird, wie das Land Baden-Württemberg zeigt, wo jetzt auch die Cloud-Lösung MS 365, das ehemalige Microsoft Office 365 sowie die Videokonferenzlösung MS Teams in der Debatte sind. Und die berechtigten massiven Proteste ließen nicht lange auf sich warten. Insbesondere der Landeselternbeirat, die Arbeitsgemeinschaft Gymnasialer Elternvertreter (Arge) und der Philologenverband Baden-Württemberg machen Front gegen die Überlegungen im Kultusministerium, Microsoft-Produkte wie Office 365 in die geplante Plattform für Schulen im Ländle zu integrieren, wie Heise Online berichtet.

Mittlerweile hat die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder, die sogenannte Datenschutzkonferenz, interveniert und in einer gemeinsamen Pressemitteilung vom 2. Oktober verlauten lassen, dass man "die Bewertung seines Arbeitskreises Verwaltung zur Auftragsverarbeitung bei Microsoft Office 365 vom 15. Juli 2020 mehrheitlich zustimmend zur Kenntnis genommen" habe. Weiter heißt es, das Papier komme "zu dem Ergebnis, dass auf Basis der genannten Unterlagen kein datenschutzgerechter Einsatz von Microsoft Office 365 möglich" sei. "Eine Arbeitsgruppe" werde "eingesetzt, die zeitnah Gespräche mit dem Hersteller aufnehmen soll."

Einige Statements aus der Wirtschaft sind da, aus verständlichen Gründen, eindeutiger. Schulen und Schulträger müssen bei Cloud-Lösungen "radikal umdenken", fordert Ralf Koenzen, Gründer und Geschäftsführer des deutschen IT-Dienstleisters Lancom. Er beklagt, dass "zur Abfederung der Corona-bedingten Schulschließungen" als auch im Rahmen des DigitalPakt Schule deutsche Schulen "auf Cloud-Dienste von US-Anbietern" setzen. Dies gilt für Collaborations-Plattformen wie MS 365, für Chat- und Videokonferenztools. Natürlich hat Koenzens "Raus aus den US-Clouds" ein geschäftliches Interesse. Aber was ist dagegen einzuwenden, wenn seine IT-Dienstleistungen DSGVO-konform sind und sich an deutsche Datenschutzstandards halten?

Allein die Realität sieht ganz anders aus. Wer im Netz Foren und Gruppen von Lehrkräften besucht, auf Facebook und auch anderswo, der kann schnell den Eindruck gewinnen, dass eine große Anzahl von Lehrkräften und medienpädagogisch Tätigen geradezu sorglos die Nutzung von US-Softwarewerkzeugen und Plattform-Dienstleistern wertschätzt, und das offensichtlich ohne jeden Gedanken an Datenschutz. Obwohl es entsprechende Erlasse von Kultusministerien gibt, wissen wir: Das zum Facebook-Konzern gehörige WhatsApp ist der heimliche bundesweit flächendeckende Messengerdienst an Schulen.

Und nun deckt die kleine Anfrage der schulpolitischen Sprecherin der NRW-Landtagsfraktion von Bündnis 90/Die Grünen, Sigrid Beer, auf, dass der neue offizielle LOGINEO Messenger für Schulen eine Beauftragung von Amanzon Web Services als Subunternehmer enthält. Wie gesagt, das mag technisch nicht so das Problem sein, da das System eine Ende-zu-Ende-Verschlüsselung besitzt. Aber die hat WhatsApp auch. Des Weiteren gibt es keine wirtschaftliche oder technische Notwendigkeit, auf die AWS-Cloud zu setzen. AWS ist nicht mal der günstigste Dienstleister, einige andere Cloud-Anbieter sind günstiger. Und technisch stehen diese den Amerikanern - für die Lösung des Problems, einen Chat für alle SchülerInnen in NRW bereitzustellen - in nichts nach. Amerikanische Cloud-Systeme haben lediglich bei KI-Funktionen in Cloud-Systemen einen Vorsprung, bedingt durch die Tatsache, dass sie im Besitz von mit Big Data bereits fertig trainierten KI-Systemen sind.

Ein ein fatales politisches Signal für die Schulen in NRW geht von dieser Konstellation aus, nämlich, dass es Landesministerien in Deutschland völlig egal sein kann, was das EuGH entscheidet. Und für die Schulen, die LehrerInnen und SchülerInnen heißt das, dass es, wenn das Ministerium so entscheidet, ja auch egal ist, wenn wir für schulische Belange weiter Zuckerbergs WhatsApp nutzen, dieses Messengersystem hat ja schließlich auch eine Ende-zu-Ende-Verschlüsselung. Ein Umdenken ist somit nicht erforderlich. Die an LehrerInnen und SchülerInnen gerichtete Aufforderung der Politik, hier umzudenken, wird so durch eigene Entscheidungen der Politik konterkariert, regelrecht unterlaufen. Auf der Strecke bleiben die angestrebte Vorbildfunktion und das Wiedererlangen einer gewissen Glaubwürdigkeit durch die Politik.

Die grüne Abgeordnete Sigrid Beer aus dem Landtag von NRW hat übrigens nachgelegt. Zusammen mit ihrem Fraktionskollegen Matthi Bolte-Richter fragt sie in einer weiteren kleinen Anfrage vom 02. Oktober: "Datenschutz beim LOGINEO Messenger - wie war der Landesdatenschutz eingebunden?", und zwar eingebunden in die Entscheidung für die obige Konstellation. Offensichtlich ist ihr - wie so manchen anderen Abgeordneten auch - bewusst, dass es Knirschepunkte und Konfliktpotential zwischen Politik und Datenschutz gibt, und das nicht nur in NRW und auch nicht erst seit gestern.

Auf die Frage von Christian Füller in der Süddeutschen vom 27. Juli, warum "die Landesdatenschutzbeauftragten über den Datenschutz bei Microsoft eigentlich keine klare Auskunft" geben, gibt der Leipziger Fachanwalt für Datenschutz, IT- und Technologierecht, Peter Hense, eine selten deutliche Antwort: "Weil sie dafür zu schwach sind". Die Datenschutzbehörden seien, so der Anwalt wörtlich "unterfinanziert, unterbesetzt, unterkompetent." Sie würden "oft politische Rücksichten" nehmen und "ihren Sanktionsdruck mitunter unfair" verteilen, "inländische und kleine Unternehmen werden gebissen, sehr große Anbieter geschont."

Nennen wir es doch beim Namen, denn eine Interpretation erweist sich hierzu als recht plausibel. Auch Datenschützer*Innen haben noch Karrierewünsche, vor allem dann, wenn sie jünger sind und die Pensionierung noch in weiter Ferne scheint. Kurz, sie sind zu abhängig, und dass das so ist, liegt am mangelnden politischen Willen, sie erstens unabhängiger zu machen und sie zweitens wesentlich besser auszustatten. Hense sieht in diesem Zusammenhang eine politisch geduldete, "bürokratische Aushöhlung" des Datenschutzes. Mit disruptiver Wirkung für kleinere inländische Unternehmen, lässt sich hier hinzufügen.

Hier ausdrücklich ausgenommen werden soll die Landesdatenschutzbeauftragte von Berlin, Maja Smoltczyk, die ihren Job offensichtlich und glücklicherweise so interpretiert, dass dabei sinnvolle und verständliche praktische Handreichungen für Entscheider herauskommen. Sie ließ in ihrer Behörde einen Kurztest aller großen Anbieter von Videokonferenzsystemen durchführen. Dabei krachend durchgefallen sind Microsoft Teams, Skype, Zoom, Google Meet, GoToMeeting und Cisco WebEx. "Leider erfüllen einige der Anbieter, die technisch ausgereifte Lösungen bereitstellen, die datenschutzrechtlichen Anforderungen bisher nicht", erklärte Maja Smoltczyk.15 Das detaillierte Ergebnis der Tests wurde in eine Ampelform gegossen und kann als Handreichung auf der WebSite des Berliner LDI heruntergeladen werden.

Dies ist ein Problem, das angegangen werden muss, denn Schulen, die aktuell z.B. MS 365 und MS Teams im Einsatz haben, können nicht "mal eben" umsatteln. Man kann in der Tat von LehrerInnen nicht verlangen, dass Werkzeuge, deren Bedienung im pädagogischen Kontext zu erschließen nicht ganz so einfach ist, alle halben Jahre durch etwas Neues ausgetauscht werden. Um einen Wechsel sinnvoll durchzuführen, braucht es solide Rahmenvorgaben mit Bestand und eine gewisse Planungssicherheit. Und für die sollte die Politik zuständig sein.

Alles in allem wird dort gestritten, wo es eine gemeinsame Strategie braucht. Diese wäre noch nicht einmal ein Widerspruch zur föderalen Struktur der Bildungslandschaft.

Die angestrebte "Digitale Souveränität", so wie die c‘t 19 vom 29. August titelte, hat notwendige und hinreichende Voraussetzungen. Zu den notwendigen gehört ein klar umrissener ordnungspolitischer Rahmen auch und gerade für schulspezifische IT-Lösungen, mit denen LehrerInnen und ihre besonders schutzbedürftigen Minderjährigen im Datennetz lernen und arbeiten können und auf dessen Basis Planungssicherheit für diejenigen IT-Unternehmen gewährleistet werden kann, die entsprechende DSGVO-konforme Dienstleistungen bereitstellen und IT-Lösungen entwickeln und weiterentwickeln. Erst dann kann von einem Pakt im eigentlichen Sinne, einem "Digitalpakt" zum Aufbau einer digitalen Bildungsinfrastruktur gesprochen werden.

Deutschland ist aufgrund von kollektivem Staatsversagen - so scheint es - Lichtjahre davon entfernt.

Nachtrag

Am 09. Oktober 2020 veröffentlichte der Landtag von NRW die Antwort des Ministeriums für Schule und Bildung auf die kleine Anfrage der Abgeordneten Sigrid Beer vom 07. September. Nach der Geschäftsordnung des Landtages haben kleine Anfragen aus jeweils fünf Teilfragen zu bestehen.

In der Antwort auf die erste Frage der Abgeordneten von Bündnis90/Die Grünen hebt das Ministerium die Leistungsfähigkeit von Amazon Web Services hervor bzgl. "Skalierbarkeit und bedarfsgerechter Einsatzmöglichkeit". Weiter heißt es, dass "Im Übrigen" … "durch die öffentlich zugängliche Auftragsverarbeitungsvereinbarung (AVV) stets transparent" gewesen sei, "dass der LOGINEO NRW Messenger in der AWS-Cloud gehostet wird."

Europäische oder deutsche Anbieter von Cloud-Systemen verfügen ebenfalls über skalierbare Lösungen. In der öffentlich zugänglichen AVV stand lediglich das Kürzel AWS, das nur Insidern bekannt sein dürfte. Dies transparent zu nennen ist zumindest gewagt.

Die zweite Frage der Abgeordneten fragt das Ministerium, wer den Subunternehmer AWS ausgewählt habe, das Ministerium, oder der Auftragnehmer.

Hier ein Zitat aus der Antwort: "Technisch ist eine Cloud-Lösung für einen solchen Messengerdienst die einzig praktikable Lösung. Vor Beauftragung des Betriebs des LOGINEO NRW Messengers wurde ein Vergabeverfahren durchgeführt, das AWS als Cloud-Anbieter vorsah. Die projektbetreuenden IT-Sachverständigen hatten eine besondere Expertise für die Umsetzung eines Projekts dieser Größenordnung in der AWS-Umgebung."

Hier ist festzuhalten, dass bereits im Vergabeverfahren AWS als Cloud-Anbieter vorgesehen war. Jeder weitere Kommentar erübrigt sich.

Die Antwort auf Frage 3 "Welche Alternativen als Subunternehmen, die nicht dem Cloud Act unterliegen, hat das Schulministerium geprüft?" hat es wirklich in sich.

Es wird zunächst bezüglich des CLOUD Act die Bedeutung der Tatsache hervorgehoben, dass sich die Betriebsserver für den Messengerdienst allesamt in einem zertifizierten Rechenzentrum in Frankfurt am Main befinden. Damit gelten, so das Ministerium, die Datenschutzgrundverordnung und das nationale Datenschutzrecht!

Im Anschluss wird das US-Gesetz noch einmal erklärt mit den Worten "Darüber hinaus ist darauf hinzuweisen, dass der CLOUD Act nur dann einen Zugriff auf Daten zulässt, wenn eine rechtmäßige Verfügung einer amerikanischen Ermittlungsbehörde oder eines amerikanischen Gerichts vorausgegangen ist. Insofern unterscheidet sich die Rechtslage nicht von der Rechtslage in anderen Staaten, einschließlich Deutschlands. Das Risiko des CLOUD Acts bestünde also nur, wenn gegen Nutzende (Lehrkräfte sowie Schülerinnen und Schüler) des LOGINEO NRW Messengers ein Ermittlungsverfahren einer amerikanischen Strafverfolgungsbehörde eröffnet werden würde."

Das ist aber genau der CLOUD Act und der Stein des Anstoßes für den EuGH! Nach dieser Formulierung gelten rechtmäßige Verfügungen amerikanischer Ermittlungsbehörden auch auf deutschem Boden.

Eine weitere Argumentation seitens des Ministeriums wäre nach dieser Einlassung gar nicht mehr notwendig. Dennoch wird ein innerer Widerspruch erzeugt, indem noch einmal explizit darauf hingewiesen wird, dass aufgrund der Ende-zu-Ende-Verschlüsselung die Kommunikationsdaten für US-Berhörden ja gar nicht zu verwerten seien. Nach heutigem Stand der Technik ist diese Aussage korrekt. Was allerdings nicht verschlüsselt ist in der Cloud und was hier verschwiegen wird, sind die Metadaten über die Kommunikationen, nämlich die IP-Adressen der ChatpartnerInnen. Es lässt sich also ermitteln, wer mit wem wann und wie häufig kommuniziert hat. Nach geltendem deutschen Recht sind aber auch diese Daten personenbezogene Daten!

Über die weiteren Fragen und Antworten mögen sich die geneigten LeserInnen bitte selbst ein Bild machen. Die Antwort des Ministeriums für Schule und Bildung auf die kleine Anfrage lässt allerdings nur zwei mögliche Interpretationen zu, sie ist entweder vollständig ahnungslos und kompetenzbefreit oder boshaft frech. (Joachim Paul)