Microsoft 365 an Schulen: Baden-Württembergs Datenschutzbeauftragter rät ab

Das Programmpaket Microsoft 365 sollte nicht an Schulen in Baden-Württemberg verwendet werden. Das meint der dortige Landesbeauftragte für den Datenschutz Stefan Brink. Es gebe inakzeptabel hohe datenschutzrechtliche Risiken. Brink empfiehlt, die in Schulen vorhandenen Alternativen zu stärken.

Das baden-württembergische Kultusministerium wollte Microsoft 365 als Teil der Bildungsplattform für Schulen in einer speziell konfigurierten Version zur Verfügung zu stellen. Vorher sollte Brink in einem Pilotprojekt, das an einigen Schulen stattfand, von Mitte Januar bis Ende März dieses Jahres beratend tätig werden; dafür unterzog er die Software einem Praxistest in einem eigens vom Parlament finanzierten Prüflabor.

Nach diesen Tests meint Brink, die Schulen hätten keine vollständige Kontrolle über das Gesamtsystem und den Auftragsverarbeiter in den USA. Sie könnten nicht ausreichend nachvollziehen, welche personenbezogenen Daten wie und zu welchen Zwecken verarbeitet werden. Auch könnten sie nicht nachweisen, dass die Verarbeitung auf das notwendige Minimum reduziert ist. "All das müssten sie aber, um ihrer Rechenschaftspflicht aus Artikel 5 Absatz 2 DSGVO gerecht zu werden", teilte Brink mit.

Für einige Übermittlungen persönlicher Daten an Microsoft, die teilweise auch in Regionen außerhalb der EU gingen, sei keine Rechtsgrundlage erkennbar; diese sei aber nach der Datenschutzgrundverordnung erforderlich. "Das gilt insbesondere auch für internationale Datenflüsse im Lichte des Schrems-II-Urteils des Europäischen Gerichtshofs aus dem Jahr 2020." Der EuGH hatte im Juli 2020 den Privacy Shield für nichtig erklärt und damit eine der wichtigen Rechtsgrundlagen für den Transfer personenbezogener Daten europäischer Bürger in die USA.

Auf der Suche nach dem Risiko

Brink hat nach eigenen Angaben geprüft, ob die Minimierung der Risiken der Microsoft-Software, die das Kultusministerium in der Datenschutz-Folgenabschätzung im Oktober 2020 vorschlug, umgesetzt wurden und ausreichend sei. Auch schaute der Datenschützer nach, welche Datenflüsse im Pilotbetrieb messbar stattfanden. Dabei ging es besonders darum, ob unerwünschte oder nicht angeforderte Datenverarbeitungen – beispielsweise von Telemetrie- oder Diagnosedaten – erkennbar waren und ob Microsoft personenbezogene Daten von Lehrern und Schülern verarbeitet. Wichtig war Brink dabei auch, ob Daten in Drittstaaten außerhalb des Geltungsbereichs der DSGVO fließen und ob der Zugriff durch eine sichere verschlüsselte Kommunikation eingeschränkt werden konnte.

Artikelserie "Schule digital"

Wie sollte die Digitalisierung in unseren Schulen umgesetzt werden? Wie ist es bisher gelaufen? Das möchte unsere Artikelserie beleuchten.

• Schule digital: Ohne Masterplan, aber es gibt Fortschritt
• Schule digital: Digitalisierung der Bildung: Am Scheideweg
• Schule digital: Homeschooling von Kompetenz der Lehrenden abhängig
• Schule digital: "Agile Educational Leadership" und digitale Transformation
• Schule digital: (K)ein Platz für Microsoft
• Schule digital: Was Digitalität (für die Schule) bedeutet
• Schule digital: Schule nach der Digitalisierung – eine Zeitreise ins Jahr 2040
• Bitkom ermittelt schlechte Noten für Digitalisierung der Schulen
• Baden-Württemberg: Massiver Protest gegen Bildungsplattform mit Microsoft
• #heiseshow: Digitalisierung der Schulen – was hat Corona nun verändert?
• Kommentar: Schulen brauchen Klarheit beim Datenschutz
• IT-Branche fordert Recht auf digitalen Unterricht
• Kommentar: Schulstart kommt so plötzlich wie Schnee - Überforderung der Lernplattformen

"Wenngleich die Prüfungen aufgrund des Umfangs und Weiterentwicklung der Dienste nicht abschließend sein konnten, so waren deren Ergebnisse doch hinreichend klar, um eine Empfehlung an das Kultusministerium zu richten", teilte Brink mit. Der Staat habe eine Garantenstellung für die in der Regel minderjährigen Schülerinnen und Schüler. Diese unterlägen zudem der staatlichen Schulpflicht und könnten daher der Verwendung ihrer persönlichen Daten nicht ausweichen.

Nicht komplett ausgeschlossen werden könne, dass Microsoft 365 in anderer Modifikation in Schulen rechtskonform einsatzbar sei, "es ist in den vergangenen Monaten auch nach intensiver Zusammenarbeit und mit hohem Personaleinsatz aber nicht gelungen, eine solche Lösung zu finden", resümiert Brink. Daher erscheine es mehr als fraglich, ob es den für die Datenverarbeitungen verantwortlichen Schulen und dem Kultusministerium gelingen kann, die getesteten Produkte rechtssicher zu nutzen.

Eine Bildungsplattform hat für Brink durchaus weiter Zukunft. Sie könne beispielsweise aus unterschiedlichen Tools wie zum Beispiel Big Blue Button und Moodle bestehen, die schon intensiv von den Schulen in Baden-Württemberg genutzt würden. Diese würden vom Land selbst betrieben, daher lägen hier nicht die Risiken vor, die sich im Test mit Microsoft 365 ergeben hätten.

(anw)