Schule digital: Die Not schleift den Datenschutz
Darf's noch ein bisschen Teams oder Zoom für die Schule sein? Eigentlich vertreten die Datenschutzbeauftragten hier eine klare Linie, aber es wird abgewichen.
(Bild: rvlsoft/Shutterstock.com)
Laut einer repräsentativen Umfrage, die der IT-Verband Bitkom im Januar durchführen ließ, fordern neun von zehn Deutschen (88 Prozent), dass die strengen Datenschutzstandards hierzulande und in Europa während der Corona-Pandemie "zumindest vorübergehend angepasst werden". Dies sei nötig, um digitalen Unterricht zu ermöglichen beziehungsweise zu erleichtern.
Der Datenschutz sei in Phasen des ständigen oder teilweisen Distanzunterrichts im vergangenen Jahr vollends zum "Aufregerthema" avanciert, bestätigt Jürgen Böhm. Auf die Palme brachte den Vorsitzenden des Verbandes Deutscher Realschullehrer (VDR) im vorigen Juni vor allem, dass der Thüringer Datenschutzbeauftragte Lutz Hasse Lehrkräften Klagen angedroht habe, sollten sie Lösungen einsetzen, die nicht mit der Datenschutz-Grundverordnung (DSGVO) vereinbar sind. Dessen Behörde prüfte im Sommer mögliche Datenschutzverstöße von Lehrern im Zuge von Homeschooling. Auch Bußgelder seien nicht ausgeschlossen, hieß es damals. Die Höhe der Strafen bewege sich in der Regel zwischen 100 und 1000 Euro.
Das Kultusministerium habe zwar eingegriffen, sodass es zu keinen Verurteilungen gekommen sei, weiß Böhm. Trotzdem habe Hasse mit seinem Ansinnen das erforderliche Augenmaß vermissen lassen. Zumindest im laufenden Schuljahr könnten Plattformen, die an Schulen derzeit in Betrieb seien, "nicht eingestampft werden". Der andauernde Streit um den Datenschutz zeige, "dass es rechtssichere Kommunikationslösungen geben muss".
Temporäre Duldungen von Teams
Stein des Anstoßes ist vor allem Microsoft Office 365 beziehungsweise die zugehörige Videokonferenzsoftware Teams. Die Datenschutzkonferenz von Bund und Ländern (DSK) entschied im Herbst 2020 mit einigen abweichenden Stimmen, dass der Einsatz von Microsoft Office 365 inklusive Teams nicht den Vorgaben der DSGVO genügt. Microsoft erfülle die Ansprüche an Auftragsverarbeiter nicht, urteilte das Gremium. Vieles sei zu vage, ein US-Zugriff auf verarbeitete Daten nicht ausgeschlossen. Dies sei vor allem im Lichte des "Schrems-II-Urteils" des Europäischen Gerichtshofs und dem damit verknüpften Aus für den transatlantischen Privacy Shield nicht tragbar.
Landesdatenschützer etwa in Bayern, Hessen und Rheinland-Pfalz sprachen voriges Jahr während der ersten Corona-Welle aber temporäre Duldungen für Teams aus, um kurzfristigen Homeschooling-Plänen nicht in die Quere zu kommen. Der neue hessische Datenschutzbeauftragte Alexander Roßnagel erinnerte jüngst daran, dass diese Nachsicht gegenüber Videokonferenzsystemen (VKS) US-amerikanischer Anbieter unweigerlich auslaufe. Die Ausnahme sei im August nur deswegen einmalig verlängert worden, weil das Hessische Kultusministerium (HKM) den Schulen bis zum Beginn des laufenden Schuljahres kein landeseinheitliches, datenschutzkonformes VKS zur Verfügung haben stellen können.
Kein Auge mehr zudrücken
Eine weitere Verlängerung stehe auch beim HKM nicht auf der Agenda, berichtete Roßnagel. Es sei davon auszugehen, dass bis zum Sommer nun eine neue Anwendung zur Verfügung stehe, "die sowohl den technischen als auch den datenschutzrechtlichen Anforderungen entspricht". Um welche es sich handle, stehe noch nicht fest. Er gehe aber davon aus, dass das HKM die Schulen zu gegebener Zeit über die entsprechenden Modalitäten informieren werde.
Im Süden Deutschlands zeichnen sich hingegen noch andere Kämpfe um datenschutzfreundliche Lösungen ab.
Beispiel München – viel Uneinigkeit
Auch der bayerische Datenschutzbeauftragte Thomas Petri will nicht viel länger ein Auge zudrücken. Die Crux im Freistaat ist, dass das Schulportal des bayerischen Kultusministeriums Mebis keine Videokonferenzen ermöglicht. In vielen bayerischen Schulen kam daher eine reduzierte Teams-Variante zum Einsatz, mit der etwa das Aufzeichnen von Videos nicht möglich war. Dennoch gibt es nach wie vor datenschutzrechtliche Bedenken gegen das Programm von Microsoft.
Zumindest in München erteilte die Stadtwerke-Tochter LHM-Services den Zuschlag zu ihrer Ausschreibung für eine Kommunikations- und Kollaborationsplattform im Herbst an T-Systems. Die Tochter der Deutschen Telekom soll demnach die Schulen mit Webex von Cisco ausstatten. Das Programm ist in anderen Verwaltungsbereichen bereits im Einsatz.
Dagegen gibt es Protest aus verschiedenen Ecken. "In der jetzigen Situation ist Teams das einzig Richtige", erklärte Julia Schönfeld-Knor, bildungspolitische Sprecherin der SPD-Fraktion, der Süddeutschen Zeitung. Der Vorsitzende des Münchner Lehrerverbands, Martin Schmid, gab zu bedenken, dass jedes Dax-Unternehmen Teams nutze. Für ihn bleibt so unverständlich: "Die Eltern arbeiten damit, aber die Kinder dürfen es nicht." LHM-Services-Chef Martin Janke ließ durchblicken, man wolle Teams behalten, so lange es datenschutzrechtlich gehe.
Open Source noch nicht "verinnerlicht"
Die grün-rote Koalition im Stadtrat beantragte dagegen im September, von 2022 an ein Open Source-Produkt als stadtweites VKS auszuwählen. Gegenüber der Interimslösung Webex bestünden "massive datenschutzrechtliche Bedenken", da Cisco Nutzer- und Metainformationen in die USA weiterleite und keine nachvollziehbare Ende-zu-Ende-Verschlüsselung erfolge. Dass nun trotzdem Webex auch an Schulen verwendet werden soll, sei nicht im Sinne der Grünen, moniert deren IT-Koordinatorin Judith Greif.
Bislang habe die LHM-Services im Wesentlichen allein entscheiden können, erläutert Greif deren Beschluss. Seit Anfang März sei aber das IT-Referat für die "technische Steuerung" des Dienstleisters zuständig. Die Stadträtin hofft daher über diese neue Verantwortlichkeit künftig mehr Einfluss auf die Beschaffung dort nehmen und – im Sinne der aktuellen Stadtratslinie – vor allem auch den Einsatz von Open Source verankern zu können. Da das IT-Referat bislang den Gedanken freier Software aber nicht "nennenswert verinnerlicht hat", bleibe bis dahin noch ein weiter Weg.
Spiel auf Zeit?
Langsam mahlen die Mühlen auch in Bezug auf ein Gutachten des Nürnberger Rechtsanwalts Oliver Rosbach, wonach MS 365 "in erheblichem Umfang Daten an Microsoft" übermittelt und so eine breite Überwachung des Anwenders ermöglicht. Trotzdem hatten Schulen in der Frankenmetropole den Einsatz des Office-Pakets ausgeweitet und eine Zustimmungserklärung der Eltern verlangt.
Rosbach schickte die Analyse in Form einer Beschwerde auch an den Landesdatenschützer. Dieser versuche jedoch "durch überspezifische Nachfragen eine Bearbeitung hinauszuzögern", moniert der Anwalt. Er hat deswegen bereits Klage am zuständigen Verwaltungsgericht eingereicht. Die Antworten Petris stammten bisher "sichtlich zum größten Teil aus einem Serienbrief", der sich mit der Nutzung von Teams in Bayern befasse, nicht mit MS 365 in Nürnberg.
Das Spielen auf Zeit privilegiere Microsoft, glaubt Rosbach. Es werde im Hintergrund offensichtlich viel "verhandelt und verändert". Zumindest eine angeschriebene Schule habe wegen einiger Hinweise und fehlender Zustimmung jetzt aber auf die Open-Source-Videolösung BigBlueButton (BBB) umgestellt.
[Update 16.4.2021 17 Uhr] Bayerns Kultusministerium hat eine neue (und bisher unbekannte) Videokonferenzlösung für alle Schulen angekündigt. Visavid soll Ende des Monats starten. Teams läuft in einer Übergangsfrist noch bis zum Sommer.
Das Ländle und Frau Eisenmanns Hinwendung zu MS 365
In Baden-Württemberg gestaltet sich der Schlagabtausch über Microsoft an Schulen nach wie vor am heftigsten. Das Ländle will in diesem Jahr einen Ersatz für die 2018 als gescheitert erklärte Bildungsplattform Ella zum Laufen bringen. Kultusministerin Susanne Eisenmann, die nach ihrer Niederlage als CDU-Spitzenfrau bei der Landtagswahl keinen Kabinettposten mehr anstrebt und das Amt nur noch übergangsweise ausübt, drängte dabei auf den Einbezug von MS 365.
Nach vielerlei Einwänden nicht nur von Eltern und Lehrern, die um die Privatsphäre vor allem der Schüler besorgt waren, einigten sich der Landesdatenschutzbeauftragte Stefan Brink und Eisenmann auf ein mehrwöchigen Probebetrieb an 29 Berufsschulen. Dabei sollte geklärt werden, ob die Bürosuite von Microsoft im Bildungsbereich datenschutzkonform verwendet werden kann. Brink witterte dabei nach wie vor "erhebliche Unwägbarkeiten", sah aber auch Lern- und Anpassungsbereitschaft bei Microsoft, bei der Datensparsamkeit und den Nutzerrechten nachzubessern.
Gegen den Lock-In-Effekt
Zahlreiche Verbände und Vereine liefen Im Januar trotzdem erneut Sturm gegen den Einsatz von Microsoft-Produkten auf der Bildungsplattform. Dieser Plan des Kultusministeriums sei wegen mangelhaften Datenschutzes abzulehnen, teilten unter anderem der Landesschülerbeirat, der Landeselternbeirat, die Gewerkschaft Erziehung und Wissenschaft (GEW), der Philologenverband und Arbeitsgemeinschaften Gymnasialer Elternbeiräte mit. Auch die Gesellschaft für Informatik, der Chaos Computer Club (CCC) Stuttgart, Digitalcourage und die Verbraucherzentrale unterstützen das Anlegen.
Aus Sicht der 19 Organisationen sind Open-Source Lösungen wie Moodle, Nextcloud und BBB für den digitalen Unterricht vorteilhafter. Das Land müsse die digitale Souveränität behalten. Schüler früh auf Microsoft-Software zu eichen, laufe ferner der angestrebten Medien- und Verbraucherbildung junger Menschen zuwider. Es droht ein Lock-In-Effekt.
Aufgaben für die Nachfolger
"Das Pilotprojekt ist am 30. November 2020 gestartet und verlief planmäßig", erläuterte eine Sprecherin Eisenmanns nun. Die vorgenommenen Voreinstellungen der eingesetzten Version von MS 365 "resultierten aus den Anforderungen des Datenschutzes und der Informationssicherheit". Derzeit laufe die Auswertung, die mit dem Landesdatenschutzbeauftragten abgestimmt werde. Schon aus zeitlichen Gründen sei eine Entscheidung über das weitere Vorgehen in der nun ablaufenden Legislatur nicht realistisch. Die neue Landesregierung wolle rasch ihre Arbeit aufnehmen.
Brink gab an, die Ergebnisse des Tests in den kommenden Wochen vorlegen zu wollen. Er unterstrich, dass generell in Baden-Württemberg Schulen die Open-Source-Plattform Moodle mit BBB empfohlen werde. Diese kostenlos verfügbare Kombi "lässt sich datenschutzkonform betreiben". Bei Video- und Tonübertragungen aus dem häuslichen Umfeld müsse neben den erforderlichen Rechtsgrundlagen zusätzlich berücksichtigt werden, "dass dieser Bereich besonders geschützt ist". Ein VKS sei möglichst datensparsam zu konfigurieren. Mikrofon und die Kamera müssten durch den einzelnen Benutzer gesteuert ein- und ausschaltbar sein.
Datenschutzkonforme Lösung gesucht
Bei der Aufsichtsbehörde im Ländle gingen allein im vergangen Jahr rund 200 schriftliche Eingaben zum Datenschutz an Schulen ein, dazu "unzählige telefonische Anfragen". Darunter seien 33 Beschwerden im Sinne der DSGVO gewesen. Die daraufhin eingeleiteten Prüfungen hätten "teilweise ein differenziertes Bild ergeben", wobei eventuell nicht datenschutzkonformes Handeln "abgeholfen" worden sei. Bei Eingaben gegen Produkte hätten sich diese auf Zoom, IServ und Microsoft Office sowie Teams gerichtet.
Grundsätzlich hält Brink einheitliche Lösungen für sinnvoll, wie sie das Kultusministerium anstrebe. Dies könne Schulen mehr Rechtssicherheit bieten, da die technisch-organisatorischen Maßnahmen zentral geprüft und verwaltet werden könnten. Verantwortlich blieben aber immer die Bildungseinrichtungen selbst. Auch bei zentralen Lösungen müsse darauf geachtet werden, dass nur die einzelne Schule Zugriff auf die Schülerdaten haben dürfe und zentrale Stellen wie das Land nur im Rahmen einer Auftragsdatenverarbeitung die Technik datenschutzkonform zur Verfügung stellten.
In anderen Bundesländern werden die Kontroversen nicht weniger erhitzt ausgefochten.
Gefahr benannt, Gefahr gebannt?
Rheinland-Pfalz fand etwa jüngst eine Übereinkunft zwischen Bildungsministerium und Datenschutzbehörde, nach der Teams noch ein Schuljahr länger bis Sommer 2022 genutzt werden darf. Dort hieß es, man wolle den Schülern und Lehrkräften die Umstellung auf eine andere Lösung während der Pandemie ersparen. Zuvor hatte der Landesdatenschutzbeauftragte Dieter Kugelmann aber gewarnt: "Angesichts der vorhandenen Auswertungsmechanismen der amerikanischen Sicherheitsbehörden ist nicht auszuschließen, dass eine flapsige Bemerkung in einem Schulaufsatz oder auch einer Videokonferenz bei der Einreise in die USA, bei einer Bewerbung als Aupair oder bei einer US-amerikanischen Hochschule zu Problemen führen kann."
Thüringer Lehrergewerkschaften forderten vom Landesdatenschutzbeauftragten Hasse jüngst ebenfalls einen konstruktiveren Umgang mit Homeschooling. Eigentlich ist die vom Hasso-Plattner-Institut entwickelte Schul-Cloud das Portal der Wahl dazu in dem Freistaat. Die Gewerkschaftler beklagen hier aber technische Probleme und Defizite. Für den eigentlichen Fernunterricht auch per Video sollte daher etwa Teams freigegeben werden. Hasse will die Zügel aber nicht lockern: Er sei angesichts verfügbarer Alternativen nicht bereit, "in der Krise mit den Daten von Kindern großzügiger umzugehen". Kapazitäts- und Sicherheitsprobleme bei der Schul-Cloud seien behoben worden.
Genauso positionierte sich die brandenburgische Datenschutzbeauftragte Dagmar Hartge. In dem Land ist ebenfalls die Schulcloud die Standardlösung, bei der Abdeckung gibt es aber noch Lücken.
Whitelist für Videokonferenzsysteme
Bei einem Test der Berliner Datenschutzbeauftragten Maja Smoltczyk waren die führenden Videokonferenzsysteme (VKS) aus Übersee wie Teams, Skype, Zoom, Google Meet und Webex bereits im vorigen Jahr durchgefallen. Grünes Licht gab die Kontrolleurin dagegen für kommerziell bereitgestellte Instanzen der Open-Source-Programme Jitsi Meet und BBB sowie dem Messenger Wire. Im Februar änderte sich im Rahmen der Neuauflage der Liste wenig an der Bewertung. Auch die DSK hält es für am besten, Konferenzdienste etwa mit Open-Source-Software selbst zu betreiben.
Trotzdem liegen die Hauptstädter ebenfalls immer wieder im Clinch über VKS. So waren Programme für den Fernunterricht jüngst erneut Thema im Ausschuss für Kommunikationstechnologie und Datenschutz des Abgeordnetenhauses, nachdem die Senatsbildungsverwaltung 51.000 Tablets für Kinder aus Familien mit geringem Einkommen beschafft und verteilt hatte. Laut dem "Tagesspiegel" lief Zoom darauf gar nicht, Teams und Webex waren installiert. Smoltczyk habe das Schulressort aber angehalten, diese Programme von den Geräten zu löschen.
Bildungsstaatssekretärin Beate Stoffers (SPD) kam dieser Ansage dem Bericht zufolge nicht nach. Sie wollte diese VKS-Lösungen als "zweites Standbein" behalten– jenseits des mit viel Ressourcen unterfütterten BBB und dem Lernraum Berlin. Der Digitalexperte der SPD-Fraktion, Sven Kohlmeier, habe dies unterstützt mit den Worten: "Es muss und es wird so sein, dass der Datenschutz zurückzutreten hat." Die Kontrolleurin soll dagegengehalten haben, dass es um "gesetzliche Mindestanforderungen" gehe, nicht um ein Sahnehäubchen. Sie sehe es aber nicht als ihre Aufgabe, repressive Maßnahmen gegenüber der Schulverwaltung zu ergreifen.
Zurückhaltende Kultusministerkonferenz
Die Kultusministerkonferenz (KMK) der Länder hält sich in derlei Auseinandersetzungen zurück. Bereits 2018 war nach einem Treffen der KMK-Lenkungsgruppe zur Schuldigitalisierung mit Datenschützern zwar das Ziel ausgegeben worden, zeitnah "gemeinsame Positionen zum datenschutzkonformen Einsatz digitaler Medien in Schulen" zu erarbeiten, "die länderübergreifend Akzeptanz finden". Trotz eines "ständigen Austauschs" mit den Aufsichtsbehörden sei es dazu aber bislang nicht gekommen, räumt KMK-Sprecher Torsten Heil ein.
"Für die KMK ist Datensicherheit ein wichtiges Thema", beteuert Heil zugleich. Das Gremium habe so etwa Handlungskonzepte für "Arbeits- und Kommunikationsplattformen" ausgearbeitet. Generell sei es wichtig, "die Erfordernisse des Datenschutzes und die Möglichkeiten digitaler Lernumgebungen in ein ausgewogenes Verhältnis zu bringen". Zu Fragen wie der Zulässigkeit von Teams habe sich die KMK indes "nicht länderübergreifend positioniert".
Unklare Zuständigkeiten, große Verunsicherung
Beim Flickenteppich mit anders gewichteten Ansätzen in vielen Teilen der Republik wird es so zunächst bleiben. Erschwerend kommt hinzu, dass in manchen Ländern wie Nordrhein-Westfalen die Bildungsministerien schwerpunktmäßig für die Privatsphäre an Schulen zuständig sind und dafür eigene Gremien schaffen wie die "Medienberatung NRW". Übergeordnete Landesdatenschutzbeauftragte bleiben so außen vor, während sie in anderen Ländern direkt zuständig sind.
Generell seien die Schulen mit der Pandemiesituation und den Datenschutzbestimmungen "sehr herausgefordert", weiß der baden-württembergische Aufseher Brink. Sie müssten daher "dringend mehr Unterstützung erhalten." Dabei wäre vor allem eine bessere Ausstattung der Schulen "mit versierten behördlichen Datenschutzbeauftragten geboten". Im Ländle sei einer für bis zu 200 Lehranstalten zuständig.
"aus dem Knick kommen"
In der Praxis komme es immer wieder zu Problemen mit den Kontrollbehörden, hält Böhm vom Realschullehrerverband das Zusammenspiel für verbesserungswürdig. Wenn es etwa verboten werde, Schülerdaten einzusehen, sei das nur schwer nachvollziehbar. Die meisten Lehrkräfte verließen sich in der Regel bei der Auswahl von Plattformen darauf, "was von den Schulleitungen präsentiert wird". Eltern fragten manchmal nach, aber von dieser Seite höre man wenig. Auch die Schüler selbst machten sich kaum Gedanken über die eingesetzte Software.
"Wir bräuchten eine nationale Kommunikationsplattform mit Cloud-Systemen", sieht Böhm auch den Bund am Zug. Mit dem jüngsten Update zum Digitalpakt Schule soll ein solches Bildungsportal innerhalb von drei Jahren entstehen. Bisher spiele aber "keiner wirklich mit dem Gedanken", hat der Verbandschef aus einer Debatte mit Digitalpolitikern von CDU und CSU mitgenommen. Die Politik müsse hier "aus dem Knick kommen".
Schule Digital
- Schule digital: Wie ist der Status Quo? Was hat sich verändert?
- Schule digital: "Lehrkräfte mussten die Versäumnisse der Politik ausgleichen"
- Schule digital: Erfahrungen und Tipps für den digital gestützten Unterricht
- Schule digital: Wie ein Lock-In an Schulen der Gesellschaft schadet
- Schule digital: Die Not schleift den Datenschutz
- Schule digital: Die großen Pläne des Bundes – Fiasko oder Revolution?
- Schule digital: Bildungsmedien für Schulen – bundesweites Kuddelmuddel
- Schule digital: Die Lösung BelWü – hinter den Kulissen des Fernunterrichts
- Schule digital: "Ich habe ziemlich viel Angst, um ehrlich zu sein"
(kbe)