Datenschutz : Microsoft 365 an Schulen – geht das?

Viele Schüler:innen und Eltern haben sich bei uns über den Einsatz des Cloud-Dienstes Microsoft 365 (MS365) beschwert. Diesen Beschwerden gehen wir nun nach. Wir haben etwa 40 Schulen angeschrieben, um uns erklären zu lassen, ob die eingesetzte Software datenschutzkonform läuft. Wo nötig werden wir gemeinsam besprechen, welche datenschutzfreundlichen Alternativen genutzt werden können. Als Aufsichtsbehörde gehört es zu unseren Aufgaben, solchen Beschwerden nachzugehen, Verantwortliche zu beraten und bei der Wahl der „Verarbeitungsmittel“ zu unterstützen.

Der Einsatz digitaler Mittel an den Schulen in Baden-Württemberg war in den vergangenen Jahren sehr vielfältig. Die Corona-Pandemie hat uns vor Augen geführt, vor welch großen Herausforderungen wir bei guter und verlässlicher digitaler Kommunikation stehen.

Dass viele Schulen nicht schon vor der Pandemie technisch gut ausgerüstet waren, um die Umstellung auf den digitalen Unterricht einfacher zu meistern, kann man ihnen kaum vorwerfen. In einem großen Kraftakt ist es gelungen, dem Recht der Schüler:innen auf gute Bildung nachzukommen. Der Einsatz von digitalen Techniken spielte dabei eine zentrale Rolle. Wir haben gesehen, wie wichtig Digitalisierung ist und was sie ausmacht: verbesserte Kommunikation, insbesondere auf Distanz, neue Arten der Zusammenarbeit, verlässliche Verbindung, gemeinsame Arbeit an und mit neuen, auch herausfordernden Kommunikationsformen.

Aus Sicht des Datenschutzes bedeutet Digitalisierung einerseits neue Möglichkeiten der Selbstbestimmung über Formen und Inhalte der Kommunikation, und andererseits einen fundamentalen „Überwachungsüberschuss“ einer Technologie, die alles protokolliert, auswertet und zugänglich macht – auch das Private.

Als Aufsichtsbehörde mussten wir uns folglich damit befassen, wie die neuen technischen Hilfsmittel eingesetzt werden. Schulen sind besondere Orte: Hier finden wir regelmäßig Minderjährige, die einer rigiden Schulpflicht unterliegen und jene schulischen Werkzeuge verwenden müssen, die ihnen vorgesetzt werden. Schulen sind hoheitlich tätig, sie können ihre Vorstellungen auch mit Zwang durchsetzen; umgekehrt kommt dem Staat hier eine besondere Fürsorgerolle zu. All das löst ein besonderes Schutzinteresse und -bedürfnis von Schüler:innen aus. Ebenso müssen sich Eltern und Lehrkräfte darauf verlassen können, dass an Schulen rechtskonform gehandelt und niemand in seinen Rechten verletzt wird.

Bildungsplattform auf Landesebene in Planung

Die Schulen sind verantwortlich für alle Datenverarbeitungen, die dort stattfinden, nicht die Kultusministerien oder die Anbieter von Soft- und Hardware. Keine leichte Aufgabe. Wir haben uns während der Pandemie intensiv mit der Frage befasst, wie ein datenschutzkonformer Einsatz der technischen Mittel gelingen kann. Datenschutz und Digitalisierung gehören zusammen. Datenschutz ohne Digitalisierung ist Vergangenheit, Digitalisierung ohne Datenschutz wird scheitern (wer will schon chinesische Verhältnisse). Wir suchen daher immer nach einem Ausgleich, und die Datenschutzgrundverordnung (DSGVO) der EU bietet gute Möglichkeiten.

Deshalb war es aus unserer Sicht sinnvoll, die Einführung einer Digitalen Bildungsplattform im „Ländle“ zu forcieren. Wir haben das Kultusministerium beraten und machen dies auch gerne in Zukunft. Unterschiedliche digitale Dienste sollen in einer Plattform zusammengefasst und den Schulen zur Verfügung gestellt werden. Also schauen wir uns zuvor die Software datenschutzrechtlich an, sodass diesbezüglich rechtlich Klarheit herrscht. Der Vorteil: Schulen erhalten standardisierte Software, als Verantwortliche für die Einhaltung der datenschutzrechtlichen Anforderungen haben sie kaum noch Aufwand. Und wir selbst müssen weniger Kontrollen durchführen.

Als ein Teil der Bildungsplattform sollte auch MS365 genutzt werden. Um die Software einem Praxistest zu unterziehen, hat das Kultusministerium ein Pilotprojekt mit dem Ziel initiiert, eine speziell konfigurierte Variante für den Schulbetrieb zu testen und zu prüfen, ob diese datenschutzkonform eingesetzt werden kann.

Für uns waren insbesondere drei zentrale Fragen von Bedeutung:

1. Haben die Schulen die Software datenschutzrechtlich unter Kontrolle, das heißt, können sie ihrer Rechenschaftspflicht nachkommen?

2. Landen die Nutzerdaten auf Servern außerhalb der EU, wo sie nicht mehr von der DSGVO geschützt sind beziehungsweise ist ein Zugriff von dort aus möglich und zulässig?

3. Ist die Software transparent, sprich: ist klar, welche Datenverarbeitungen tatsächlich stattfinden, zu welchen Zwecken und auf welcher Rechtsgrundlage?

Im Pilotprojekt haben wir intensiv die vom Kultusministerium gewählte und speziell konfigurierte MS365-Version geprüft. Dabei wurde eine sehr restriktive Konfiguration gewählt und, soweit technisch möglich, wurden die Telemetrie- und Diagnosedaten ausgeschaltet.

Keine Lösung für Datenübertragungen in Drittstaaten

Dabei haben wir umfangreiche Datenübertragungen in die USA festgestellt, die nicht erst seit dem Schrems II-Urteil des Europäischen Gerichtshofs (EuGH) vom Juli 2020 problematisch sind. Nach EU-Recht sind zusätzliche technische oder organisatorische Maßnahmen nötig, um die Transfers rechtlich abzusichern. Wir haben hierzu eine Handreichung vorgelegt.

Der Anbieter hat auf diesem Feld während unserer Beratungen sehr zu begrüßende Anpassungen an das europäische Recht vorgenommen und zusätzliche Garantien für die Rechte der Betroffenen gegeben. Diese mit uns entwickelten neuen Regeln hat Microsoft sogar weltweit zum Standard gemacht. Gleichwohl wurde das Problem des Drittstaatentransfers im Lichte des EuGH-Urteils nicht abschließend gelöst.

Auch konnte eine vollständige Übersicht aller Datenübermittlungen trotz vieler Rückfragen nicht vorgelegt werden. Wir konnten nicht erkennen, dass Schulen tatsächlich die Kontrolle über diese Software haben. Wir jedenfalls hatten sie nicht – trotz eigenem Testlabor, Rücksprache mit dem Anbieter und relativ viel Zeit. Wir konnten auch nicht immer nachvollziehen, zu welchen Zwecken die Datenverarbeitungen stattfanden.

Ein datenschutzkonformer Einsatz von MS365 ist grundsätzlich nicht ausgeschlossen. Wir haben nicht die Software pauschal verboten, das wird zurzeit gerne vermischt. Wir haben die Cloud-Dienste von MS365 untersucht, sprich: die Teile, die auf die Cloud von MS365 zugreifen.

Wir haben frühzeitig auf unserer Homepage über unsere Prüfungen und Maßnahmen in Bezug auf MS365 an Schulen berichtet. Jetzt gehen wir Beschwerden nach: Wo immer es zu Konflikten und Unklarheiten kommt und vor Ort keine befriedende Lösung gefunden wird, schreiten wir ein. Es liegt dann an den angeschriebenen Schulen darzulegen, dass sie korrekt handeln. Wir möchten, dass Schulen wirksam und erfolgreich ihrer Bildungsaufgabe nachkommen und dass Schüler:innen, Eltern und Lehrkräfte nicht in ihren Rechten verletzt werden.

Wir plädieren daher für eine datenschutzfreundliche digitale Bildungsplattform. Eine solche hat das Kultusministerium im vergangenen Jahr angekündigt und schon jetzt eine Reihe praktikabler, funktionstüchtiger, erprobter und datenschutzkonformer Alternativen angeboten.

Dr. Stefan Brink ist seit 2017 Landesbeauftragter für den Datenschutz und Informationsfreiheit in Baden-Württemberg. Von 2008 bis 2016 war Brink Leiter des Privaten Datenschutzes bei der Aufsicht in Rheinland-Pfalz, dort seit 2012 zugleich stellvertretender Landesbeauftragter für die Informationsfreiheit. Der promovierte Jurist war davor Richter am Verwaltungsgericht Koblenz und als Wissenschaftlicher Mitarbeiter beim Bundesverfassungsgericht tätig.