Themen / Datenschutz

Mit dem Digitalpakt Schulen - Sehenden Auges in den daten­schutz­recht­li­chen Abgrund

04. Februar 2020

Die HU Baden-Württemberg warnt

Die Humanistische Union (HU) Baden-Württemberg kritisiert den zwischen der Bundesregierung und den Landesregierungen geschlossenen „Digitalpakt Schule“, aus dem das Land Baden-Württemberg von den insgesamt bereitgestellten 5 Mrd. € 650 Mio. erhalten wird. Der Digitalpakt Schulen und die vom Kultusministerium Stuttgart herausgegebenen Anwendungshinweise verlieren kein Wort zu der einzusetzenden Software. In den von Frau Eisenmanns Kultusministerium erstellten Ausschreibungsunterlagen für das Lernmanagement an Schulen wird dagegen Klartext gesprochen. Zur Anschaffung empfohlen wird die Software von Microsoft. Andere und insbesondere heimische Anbieter geraten damit zwangsläufig ins Hintertreffen. Die Vorteile der vermeintlich preislich günstigen Lösung von Microsoft werden uns, und vor allem unsere Kinder, viel kosten: Den Verlust der datenschutzrechtlichen Souveränität.

Die Zeit drängt: Seit dem 14.01.2020 werden die Schülerdaten über eine Cloud außerhalb des deutschen Rechtsraumes verwaltet.

Die Humanistische Union Baden-Württemberg hat in Zusammenarbeit mit ihrem Vorstandsmitglied Prof.in a.D. Dr.in Britta Schinzel, Inhaberin eines Lehrstuhls für Informatik und Gesellschaft an der Albert-Ludwig-Universität Freiburg, die wesentlichen Kritikpunkte an dem Digitalpakt Schulen und dessen Umsetzung in Baden-Württemberg zusammengefasst:

  1. Digitalisierte Lernsysteme bilden bis zum einzelnen Mausklick einer Schülerin, dessen Inhalten, Geschwindigkeiten, Korrekturen das individuelle Lernverhalten von Schülerinnen während ihrer gesamten Schulzeit ab. Es entstehen Millionen von Schüler- (und Lehrer-) Profilen.
  2. Schülerdaten sind nach unserer Auffassung mindestens so schützenswert wie etwa in den sicherheitsbehördlichen Systemen gespeicherte Daten. Zudem liegt keine Datenschutzfolgenabschätzung gemäß Art. 28 und 35 DGSVO vor.
  3. Das Kultusministerium empfiehlt den Schulen in seiner Leistungsbeschreibung als einziges namentlich genanntes Produkt die Anschaffung von Azure Active Directory
    von Microsoft als Teil des ausgeschriebenen Lernmanagementsystems.
  4. Es ist in höchstem Maße fahrlässig, auf die vertraglichen Zusicherungen von Microsoft zu vertrauen, dass die DSGVO eingehalten würde. Mit den zur Verfügung gestellten Geldern wird die Anschaffung des von Microsoft angebotenen sog. „Rundum-Wohlfühlpakets“ (Office 365 education) mit dessen unterstem Funktions- und Sicherheitslevel A1 vorprogrammiert.
  5. Über den Einsatz von Office 365 education von Microsoft ist die Verarbeitung der Daten über die nur dem amerikanischen und dortigen Interessen unterworfenen Recht in der Cloud (Azure) vorprogrammiert. Das bedeutet: Keine deutsche Institution, keine deutsche Regierung, kein Kultusminister, keine Datenschutzbeauftragte, und schon gar nicht eine Schule oder gar eine einzelne Schülerin kann über die Einhaltung des Datenschutzes wachen und Anordnungen zur Einhaltung treffen oder gar durchsetzen.
  6. Es gibt andere Systeme, insbesondere Open Source-Systeme. Hier leistet die Kultusministerin keinerlei Hilfestellung. Unsere Kultusministerium sollte sich zumindest ein Beispiel an den Niederlanden nehmen, wo durch Verhandlungen mit Microsoft ein zumindest hinnehmbarer Schutz von Geschäftsdaten erreicht worden ist. Zumindest sollte in Verhandlungen mit Microsoft durchgesetzt werden, die Microsoft-Software datenschutzkonform anzupassen, während die Lösungen mit A4 oder A5 wohl aus Kostengründen nicht in Frage kommen.

Begründung:

Die HU kritisiert den Digitalpakt für Schulen mit dem Einsatz von Windows 10 und Office 365 Education, weil damit der Schutz der Daten von Schülerinnen und Schülern, ebenso wie der von Lehrenden, nicht hinreichend gesichert werden kann. Die Risiken vermehren sich, wenn bei der seit dem 14. Januar 2020 erfolgten Ablösung von Windows 7 durch Windows 10 die Microsoft – Betriebssysteme auf den Servern 2008 und 2008 R2 den Support einstellen und statt dessen die auf ihnen laufende Software, also auch Office 365 Education und alle darauf gespeicherten Daten, in ihre Cloud Azure in den USA migrieren [1]. Danach wird keine Kontrolle von Seiten deutscher Institutionen mehr möglich sein, und es besteht die Gefahr, dass Inhalts- und Verbindungsdaten ohne Wissen oder Genehmigung betroffener Personen auch an Schulen weiter gesammelt und per Gesetz etwas an die NSA weitergegeben werden können. Solches hat Microsoft in anderen Zusammenhängen bereits getan [2].

Doch es gibt sowohl auf der Ebene der Software als auch der der Cloud Alternativen [3], die im Folgenden dargestellt werden.

Der Digitalpakt Schulen: Ein Inves­ti­ti­ons­pro­gramm

Aber zunächst zum Hintergrund: Der Digitalpakt für Schulen wurde im Mai 2019 für ganz Deutschland – trotz seines Eingriffs in die föderale Struktur – im Rahmen der Strategie für Digitalisierung durch die Bundesregierung auf den Weg gebracht. Der Bund stellt hierfür über einen Zeitraum von fünf Jahren insgesamt fünf Milliarden Euro zur Verfügung, davon in dieser Legislaturperiode 3,5 Milliarden Euro. Dazu müssen die kommunalen und privaten Schulträger bzw. Länder zusätzlich einen finanziellen Eigenanteil einbringen. Zusammengenommen stehen dann insgesamt mindestens 5,55 Milliarden Euro bereit. Rein rechnerisch bedeutet dies für jede der ca. 40.000 Schulen in Deutschland im Durchschnitt einen Betrag von 137.000 Euro, oder umgerechnet auf die derzeit ca. 11 Millionen Schülerinnen und Schüler eine Summe von 500 Euro pro Schüler in dem Finanzierungszeitraum. Bereits im laufenden Schuljahr 2019/2020 können diese Gelder abgerufen werden, um z.B. Tablets zu kaufen, oder um ein schulinternes WLAN zu implementieren.

Der Favorit des Stuttgarter Kultus­mi­nis­te­ri­ums: Microsoft

Die Verantwortlichen, Schulträger oder Schulen, haben zwar die Wahl, wofür konkret sie diese Gelder zur Modernisierung der IT-Infrastruktur einsetzen. Aber mit der Anschaffung der notwendigen Hardware und dem dauerhaften Betrieb der IT-Infrastruktur sind die Mittel pro Schüler verbraucht. Als Software-Lösung sollen Verträge mit Microsoft geschlossen werden, wobei i.d.R. eine Lizenz von Office 365 Education unter A1 angeboten wird, das sog. „Rundum-Wohlfühlpaket“, welches mit dem genehmigten Digitalpakt bzw. realisierbaren Kosten für Schulen noch betrieben werden könnte. So hatte dies z.B. Ministerin Eisenmann für Baden-Württemberg vorgeschrieben, im Dezember vergangenen Jahres nach Protesten wegen mangelnden Datenschutzes jedoch auch andere Möglichkeiten offen gelassen [4]. Schulen bzw. deren Träger setzen auf diese Lösung unter A1, weil sie das Managementproblem vor Ort löst, da die meisten Einrichtungen über keinen eigenen Netzwerkadministrator verfügen. Das hat Folgen.

Daten in der Cloud: Datenschutz Ade

Beim Netzwerkmanagement aus der Cloud aber verlassen fortlaufend (Steuer-) Daten das lokale Schulnetz und werden demnächst in der entfernten Cloud verarbeitet. Daraus lassen sich dann wiederum Rückschlüsse ziehen auf das Surfverhalten einzelner Schülerinnen etc. Es ist demnach von ganz entscheidender Bedeutung, ob der Anbieter einen DSGVO-konformen Betrieb gewährleisten kann. Die Verträge mit Microsoft behaupten zwar die Einhaltung der DSGVO, doch die genaue Inspektion der höchst komplexen Software-Landschaft durch erfahrene Technikerinnen und Datenschützerinnen zeigt ein anderes Bild. In den Niederlanden wurde solches für Office 365 enterprise, ein ähnliches Paket wie Office 365 education, unter Lizenz A1 eruiert, und erfolgreich auf Änderung gedrungen [5]. Microsoft kann das zwar auch, und bietet es mit  Lizenzen wie A3 oder gar A5 auch an. Mit diesen könnten Verantwortliche vor Ort selbst datenschutzkonforme Software-Dienste konfigurieren, doch diese sind um ein Vielfaches teurer und erfordern zudem lokale Technikdienste.

Gefordert: Sicherer Schutz von Schüler- (und Lehrer-)Daten

Die HU fordert eine datenschutzkonforme Verarbeitung der Daten von Schülerinnen und Schülern, die zumeist minderjährig sind. Zumindest wären spezielle Regelungen in der Datenschutzgrundverordnung (DSGVO) anzuwenden, die aufbauend auf Art. 5, 6 und 7 DSGVO in Art. 8 DSGVO zu konkretisieren wären. Es ist falsch zu argumentieren, das sei unter den verfügbaren Softwareangeboten und Ressourcen nicht möglich. Vielmehr gibt es äquivalente Open-Source-Software-Lösungen, sogar in Deutschland entwickelt, wie sie z. B. von der Open Business Alliance [siehe Fußnote 3] angeboten wird. Mit solchen Lösungen könnten deutsche Schulen und Institutionen die Kontrolle über ihre Daten behalten, datenschutzkonforme Implementierungen leichter umsetzen und transparent die Datenschutzbestimmungen sicherstellen. Letzteres ist bei der im Rahmen der gegebenen Finanzierung verfügbaren Lösung mit Microsoft 365 unter A1 nicht zu garantieren.

Die HU fordert Aufklärung darüber, welche Interessen Microsoft verfolgt, denn die Deutsche Telekom AG hat die eigene deutsche Microsoft Cloud zum 31. August 2019 eingestellt. Das Treuhändermodell für Microsoft bei T-Systems ist damit ausgelaufen [siehe Fußnote 1] [6]. Wie gefährlich die – schließlich lebenslang mögliche – Speicherung und Nutzung von Daten, Bildern, Medien- und App-Nutzung und alle Arten von Kommunikation für unsere Kinder ist, ist inzwischen hinlänglich bekannt geworden [7]. Die Interessen und fundamentalen Rechte und Freiheiten von Kindern müssen jedoch vor allem auch an Schulen garantiert werden. Wenn durch die Anwendung bzw. Umsetzung von Aufgaben im hoheitlichen Bereich ein hohes Risiko durch IT-gestützte Prozesse in einer komplexen IT-Landschaft besteht, wenn diese insbesondere nicht als IT-Landschaft vor Ort beim Schulträger oder in der Schule betrieben werden, verlangt der Gesetzgeber eine Datenschutz-Folgenabschätzung entsprechend Art. 35 DSGVO. Eine solche würde verlangen, dass für Kinder bzw. Schulen technisch-organisatorische Maßnahmen höheren Anforderungen auch bezüglich der IT-Sicherheit genügen müssen. Vertraulichkeit und Integrität sind ebenso höher zu bewerten (Art. 25 und Art. 32 DSGVO). Für deren Umsetzung muss u.a. verlangt werden, dass sichere Verschlüsselungen für Transport und Inhalt zu gewährleisten wären.

Die HU erhebt Einspruch gegen die Regelungen des Digitalpakts und gegen die derzeit bestehenden Verträge im Digitalpakt, wie dies auch andere Vereine und Institutionen getan haben [8]. Dies ist sachlich wie zeitlich höchst dringlich, da es Schulen jederzeit möglich ist, sich aus dem Digitalpakt zu bedienen und es bereits einzelne Schulen und Städte gibt, die dies schon getan haben.

Daten­schutz­kon­forme Alter­na­tiven existieren

Wir fordern sowohl für die verwendeten Software-Landschaften als auch für die Cloud-Dienste datenschutzkonforme Lösungen. Erstere werden mit – ja auch in Deutschland entwickelten – Open-Source-Lösungen, wie beispielsweise von der Eclipse Foundation [siehe Fußnote 3] bereitgestellt. Letztere bieten beispielsweise das Hasso-Plattner-Institut in Potsdam [vgl. Fußnote 4] mit seiner Schul-Cloud, aber auch ländereigene Software-Lösungen. Beides könnten wesentliche Schritte sein, um ein Mindestmaß an digitaler Souveränität von Schülern und ihren Schulen in unserer Gesellschaft zu etablieren.

Der Digitalpakt Schulen ist allerdings kein Einzelfall. Denn ähnliche Implementierungen mit Microsoft Windows 10 und Office 365, wie wir beim Digitalpakt Schulen feststellen, die auf Microsoft-Enterprise-Lizenzen basieren, werden von den Bundesländern in den öffentlichen Verwaltungen, Kommunen und Städten geplant und stehen auch den Universitäten ins Haus. Mit all den damit verbundenen Gefahren und Risiken für unsere Daten.

Prof.in i.R. Dr.in Britta Schinzel,  Dr. Udo Kauß,  Robin Krahl
für den Vorstand der HUMANISTISCHEN UNION LV Baden-Württemberg

Für Rückfragen: schinzel@modell.iig.uni-freiburg.de; ra@rechtsanwalt-kauss.de; me@robin-krahl.de

Quellen/Anmerkungen

[1] https://www.heise.de/newsticker/meldung/Auslaufmodell-Microsoft-Cloud-Deutschland-4152650.html, https://www.heise.de/ix/meldung/Microsoft-warnt-vor-Support-Ende-des-Server-2008-raet-zum-Cloud-Umzug-4586610.html – sofern er nicht durch vorher abgeschlossene Verträge verlängert worden ist. Solche Angebote hat es für Universitäten gegeben, für Schulen ist dies nicht bekannt. Private können solche Verträge ohnehin nicht abschließen.

[2] https://www.ft.com/content/7d3e0d6a-87a0-11e9-a028-86cea8523dc2

[3] osb-alliance.de, oder opentext.com

[4] https://www.gew-hb.de/aktuelles/detailseite/neuigkeiten/ueberwachung-im-klassenzimmer/

[5] https://www.tweedekamer.nl/kamerstukken/brieven_regering/detail?id=2019Z13829&did=2019D28465; und https://docs.microsoft.com/en-us/microsoft-365/compliance/gdpr-dsr-office365?toc=/microsoft-365/enterprise/toc.json%23part-2-responding-to-dsrs-with-respect-to-insights-generated-by-office-365

[6] Allerdings gibt es neuere Bestrebungen unter dem Stichwort „go local“. Hier wäre in Deutschland wieder die Deutsche Telekom beteiligt. Offen ist allerdings, inwiefern Diagnosedaten ausgewertet werden; das sind Telemetriedaten, die zum Betrieb der Dienste von Microsoft nötig sind, enthaltend Metadaten, die über die Nutzung der Dienste unter jedem einzelnen Account Auskunft geben können. Hier sind v.a. die im Anpassungsprozess befindlichen Online Service Terms (OST) problematisch (wesentliches Thema der niederländischen Untersuchungen).

[7] Dabei ist wichtig, wer für die Minderjährigen entscheidet, denn Erziehungsberechtigte übertragen teilweise ihre Verantwortung an Schulen. Was bedeutet dies also für die Nutzung von Software-Diensten in Schulen? – Hier müssen die gesetzlichen Regelungen im Schulrecht hinterfragt werden, denn bisher scheint es dazu keine Rechtsprechung zu geben.

[8] https://www.fiff.de/PM_Digitalisierung

Dateien

nach oben