Seite 2: Notfall-Lösung

Inhaltsverzeichnis

Die rot-grüne Koalition in München hat sich eigentlich vorgenommen, wieder verstärkt auf Open Source zu setzen. An den Schulen habe das Thema derzeit aber nicht die höchste Priorität, erläutert die IT-Koordinatorin der Grünen im Stadtrat, Judith Greif. Dort sei es vor allem wichtig, "dass im Falle einer zweiten Corona-Welle das Homeschooling rasch und unkompliziert durchgeführt werden kann". In Kürze werde aber das gesamte Videokonferenzsystem der Stadt ausgeschrieben, um das aktuell genutzte, in Punkto Datenschutz problematische Cisco Webex zu ersetzen.

Gerade ist laut der Informatikerin ein Antrag in Arbeit, wonach die neue Software für Video-Calls ein Open-Source-Produkt sein soll. In diesem Zuge werde sie sich auch bei dem in den Bildungseinrichtungen eingesetzten Programm weiter hinter einen solchen Ansatz klemmen.

"Perspektivisch werden wir im Zukunftsprogramm auf eine datenschutzkonforme Kollaborations- und Kommunikationsplattform setzen", kündigte auch Rabea Haß an, die bei LHM Services für das strategische Anforderungsmanagement zuständig ist. Die Ausschreibung dazu laufe, ein Ergebnis sei Ende September 2020 zu erwarten. Bei aktuellen Teams-Installationen seien zudem Funktionalitäten deaktiviert worden, die für das Homeschooling nicht zwingend erforderlich und aus Datenschutzperspektive besonders kritisch sind wie etwa Yammer.

Datenverarbeitung in "erheblichem Umfang"

In Nürnberg ist die Situation ähnlich. Dort hat sich der Rechtsanwalt Oliver Rosbach in Abstimmung mit dem Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung (FIfF) die Mühe gemacht, ein eigenes Audit durchzuführen. Ergebnis ist ein "Kurzgutachten zur Verwendung von Office 365 unter Windows 10 an Schulen". Darin schreibt der Jurist: "Die Software übermittelt in erheblichem Umfang Daten an Microsoft." Die Datenströme seien verschlüsselt und damit nicht komplett nachvollziehbar.

Für Rosbach steht trotzdem außer Zweifel, dass über das Office-Paket Informationen zur Analyse des Verhaltens der Anwender an Microsoft gehen. Zudem transferiere der Konzern personenbezogene Informationen, um diese "für Werbung zu monetarisieren oder um ein bestimmtes Nutzerverhalten zu gestalten".

Insgesamt verarbeite das Unternehmen in erheblichem Umfang Daten, "die eine Überwachung des Anwenders bei der Nutzung ermöglichen". Daraus könne sich das "Gesamtbild des Verhaltens einer Person im Tagesablauf" ergeben, warnt der Experte. Selbst für den Fall, dass solche Angaben von den vorliegenden Kontoinformationen entkoppelt wären, sei "eine Rückverfolgung auf eine spezifische Person ohne Probleme möglich". Wenn Microsoft Gegenteiliges behaupte, bleibe dies viel zu unbestimmt.

Kaum Kontrolle, fragwürdige Sicherheit

Die als Schutzwall beschworenen OST entfalteten ihre Wirkung zudem "nur zwischen den Vertragspartnern", zu denen "Lehrer und Schüler" gar nicht gehörten. Wichtige Transfers habe der Hersteller "ohne Erlaubnis voreingestellt", kritisiert der Rechtsexperte. Microsoft sei auch nicht in der Lage, "die Daten effektiv zu sichern". Im Januar etwa habe sich herausgestellt, dass 250 Millionen Datensätze von Kunden im Internet offen zugänglich gewesen seien. Insgesamt bestünden so "berechtigte Zweifel an der Konformität der Software mit der DSGVO und ein "berechtigtes Interesse von Anwendern, über die Maßnahmen aufgeklärt zu werden, die von dem jeweils Verantwortlichen gegen Datenschutzrechtsverstöße getroffen wurden".

Prinzipiell solle es zwar eine Option geben, die Datenübertragung im Einklang mit den europäischen Vorgaben zu gestalten, weiß der Verfasser. In der Praxis bestünden an den Kontrollmöglichkeiten aber "starke Zweifel". Dies habe sich bei dem Versuch einer Installation für das Gutachten bestätigt. Die von Microsoft angekündigten Korrekturen zur Übernahme eigener Verantwortlichkeiten seien nicht nachvollziehbar, führte Rosbach gegenüber heise online aus.Durch die komplexe vertragliche Konstruktion würden eher elementare Rollen verschleiert.

Informierte Einwilligung unmöglich?

Ähnlich hatte sich jüngst der EU-Datenschutzbeauftragte Wojciech Wiewiórowski geäußert. Der Anwender wie hier etwa der Lehrer sieht sich laut der Analyse zudem "vor die Aufgabe gestellt, einer Datenschutzerklärung zuzustimmen, die als PDF-Dokument ca. 459 Seiten umfasst". Allein Ausführungen zu Kategorien erhobener Messwerte beliefen sich dabei auf mehrere 100 Seiten. Hochgerechnet gehe es um etwa 8000 bis 10.000 Diagnosedaten, "die bei der Nutzung der Angebote regelmäßig und wiederholt erhoben werden".

Eine informierte Einwilligung der Lehrkräfte in die vorliegende Datenverarbeitung dürfte so ausgeschlossen sein. Microsoft teile ferner nicht klar mit, "wo sich die Rechenzentren befinden". Zu den Serverstandorten geben es in den Datenschutzerklärungen, den Bestimmungen für Onlinedienste und den Mitteilungen des Nürnberger Schulamtes widersprüchliche Antworten. Daraus gehe nicht einmal hervor, ob die Daten allesamt auf Microsofts eigenen Cloud-Rechnern gespeichert werden.

Einsatz "kritisch bis unzulässig"

Hinweise der Stadt und von Microsoft direkt zum Datenschutz bei Office 365 würfen zusätzliche Fragen auf und deckten sich nicht mit vorausgegangenen Erklärungen, unterstreicht der Anwalt. Schließlich scheint Rosbach bei einer Nutzung des privaten Rechners durch den Dienstverpflichteten eine Kontrolle der Datenflüsse durch den Administrator ausgeschlossen zu sein, wenn nicht begleitende Maßnahmen durch den Arbeitgeber oder den Dienstherren angebotenen werden. Eine restriktive Konfiguration könne "unter Laborbedingungen möglich erscheinen". In der Praxis sei dies lebensfremd. Zurecht erachteten daher einige Landesdatenschutzbeauftragten den Einsatz von Office 365 an Bildungsinstitutionen "für kritisch bis unzulässig", wenn "keine korrigierenden Maßnahmen durch den Verantwortlichen getroffen werden".