Themen / Datenschutz

Mit dem Digital­pakt Schulen - Sehenden Auges in den daten­schutz­recht­li­chen Abgrund

04. Februar 2020

Die HU Baden-Würt­tem­berg warnt

Die Humanis­ti­sche Union (HU) Baden-Würt­tem­berg kriti­siert den zwischen der Bundes­re­gie­rung und den Landes­re­gie­rungen geschlos­senen „Digi­tal­pakt Schule“, aus dem das Land Baden-Würt­tem­berg von den insge­samt bereit­ge­stellten 5 Mrd. € 650 Mio. erhalten wird. Der Digital­pakt Schulen und die vom Kultus­mi­nis­te­rium Stutt­gart heraus­ge­ge­benen Anwen­dungs­hin­weise verlieren kein Wort zu der einzu­set­zenden Software. In den von Frau Eisen­manns Kultus­mi­nis­te­rium erstellten Ausschrei­bungs­un­ter­lagen für das Lernma­na­ge­ment an Schulen wird dagegen Klartext gespro­chen. Zur Anschaf­fung empfohlen wird die Software von Micro­soft. Andere und insbe­son­dere heimi­sche Anbieter geraten damit zwangs­läufig ins Hinter­tref­fen. Die Vorteile der vermeint­lich preis­lich günstigen Lösung von Micro­soft werden uns, und vor allem unsere Kinder, viel kosten: Den Verlust der daten­schutz­recht­li­chen Souve­rä­ni­tät.

Die Zeit drängt: Seit dem 14.01.2020 werden die Schüler­daten über eine Cloud außer­halb des deutschen Rechts­raumes verwal­tet.

Die Humanis­ti­sche Union Baden-Würt­tem­berg hat in Zusam­me­n­a­r­beit mit ihrem Vorstands­mit­glied Prof.in a.D. Dr.in Britta Schinzel, Inhaberin eines Lehrstuhls für Infor­matik und Gesell­schaft an der Alber­t-Lud­wig-­Uni­ver­sität Freiburg, die wesent­li­chen Kritik­punkte an dem Digital­pakt Schulen und dessen Umset­zung in Baden-Würt­tem­berg zusam­men­ge­fasst:

  1. Digita­li­sierte Lernsys­teme bilden bis zum einzelnen Mausklick einer Schülerin, dessen Inhalten, Geschwin­dig­keiten, Korrek­turen das indivi­du­elle Lernver­halten von Schüle­rinnen während ihrer gesamten Schul­zeit ab. Es entstehen Milli­onen von Schüler- (und Lehrer-) Profi­len.
  2. Schüler­daten sind nach unserer Auffas­sung mindes­tens so schüt­zens­wert wie etwa in den sicher­heits­be­hörd­li­chen Systemen gespei­cherte Daten. Zudem liegt keine Daten­schutz­fol­ge­n­ab­schät­zung gemäß Art. 28 und 35 DGSVO vor.
  3. Das Kultus­mi­nis­te­rium empfiehlt den Schulen in seiner Leistungs­be­schrei­bung als einziges nament­lich genanntes Produkt die Anschaf­fung von Azure Active Direc­tory
    von Micro­soft als Teil des ausge­schrie­benen Lernma­na­ge­ment­sys­tems.
  4. Es ist in höchstem Maße fahrlässig, auf die vertrag­li­chen Zusiche­rungen von Micro­soft zu vertrauen, dass die DSGVO einge­halten würde. Mit den zur Verfü­gung gestellten Geldern wird die Anschaf­fung des von Micro­soft angebo­tenen sog. „Rund­um-Wohl­fühl­pa­kets“ (Office 365 educa­tion) mit dessen unterstem Funkti­ons- und Sicher­heits­level A1 vorpro­gram­miert.
  5. Über den Einsatz von Office 365 educa­tion von Micro­soft ist die Verar­bei­tung der Daten über die nur dem ameri­ka­ni­schen und dortigen Inter­essen unter­wor­fenen Recht in der Cloud (Azure) vorpro­gram­miert. Das bedeu­tet: Keine deutsche Insti­tu­tion, keine deutsche Regie­rung, kein Kultus­mi­nister, keine Daten­schutz­be­auf­tragte, und schon gar nicht eine Schule oder gar eine einzelne Schülerin kann über die Einhal­tung des Daten­schutzes wachen und Anord­nungen zur Einhal­tung treffen oder gar durch­set­zen.
  6. Es gibt andere Systeme, insbe­son­dere Open Source-­Sys­teme. Hier leistet die Kultus­mi­nis­terin keinerlei Hilfe­stel­lung. Unsere Kultus­mi­nis­te­rium sollte sich zumin­dest ein Beispiel an den Nieder­landen nehmen, wo durch Verhand­lungen mit Micro­soft ein zumin­dest hinnehm­barer Schutz von Geschäfts­daten erreicht worden ist. Zumin­dest sollte in Verhand­lungen mit Micro­soft durch­ge­setzt werden, die Micro­soft-­Soft­ware daten­schutz­kon­form anzupassen, während die Lösungen mit A4 oder A5 wohl aus Kosten­gründen nicht in Frage kommen.

Begründung:

Die HU kriti­siert den Digital­pakt für Schulen mit dem Einsatz von Windows 10 und Office 365 Educa­tion, weil damit der Schutz der Daten von Schüle­rinnen und Schülern, ebenso wie der von Lehrenden, nicht hinrei­chend gesichert werden kann. Die Risiken vermehren sich, wenn bei der seit dem 14. Januar 2020 erfolgten Ablösung von Windows 7 durch Windows 10 die Micro­soft – Betriebs­sys­teme auf den Servern 2008 und 2008 R2 den Support einstellen und statt dessen die auf ihnen laufende Software, also auch Office 365 Educa­tion und alle darauf gespei­cherten Daten, in ihre Cloud Azure in den USA migrieren [1]. Danach wird keine Kontrolle von Seiten deutscher Insti­tu­ti­onen mehr möglich sein, und es besteht die Gefahr, dass Inhalts- und Verbin­dungs­daten ohne Wissen oder Geneh­mi­gung betrof­fener Personen auch an Schulen weiter gesam­melt und per Gesetz etwas an die NSA weiter­ge­geben werden können. Solches hat Micro­soft in anderen Zusam­men­hängen bereits getan [2].

Doch es gibt sowohl auf der Ebene der Software als auch der der Cloud Alter­na­tiven [3], die im Folgenden darge­stellt werden.

Der Digital­pakt Schulen: Ein Inves­ti­ti­ons­pro­gramm

Aber zunächst zum Hinter­grund: Der Digital­pakt für Schulen wurde im Mai 2019 für ganz Deutsch­land – trotz seines Eingriffs in die föderale Struktur – im Rahmen der Strategie für Digita­li­sie­rung durch die Bundes­re­gie­rung auf den Weg gebracht. Der Bund stellt hierfür über einen Zeitraum von fünf Jahren insge­samt fünf Milli­arden Euro zur Verfü­gung, davon in dieser Legis­la­tur­pe­riode 3,5 Milli­arden Euro. Dazu müssen die kommu­nalen und privaten Schul­träger bzw. Länder zusätz­lich einen finan­zi­ellen Eigen­an­teil einbrin­gen. Zusam­men­ge­n­ommen stehen dann insge­samt mindes­tens 5,55 Milli­arden Euro bereit. Rein rechne­risch bedeutet dies für jede der ca. 40.000 Schulen in Deutsch­land im Durch­schnitt einen Betrag von 137.000 Euro, oder umgerechnet auf die derzeit ca. 11 Milli­onen Schüle­rinnen und Schüler eine Summe von 500 Euro pro Schüler in dem Finan­zie­rungs­zeit­raum. Bereits im laufenden Schul­jahr 2019/2020 können diese Gelder abgerufen werden, um z.B. Tablets zu kaufen, oder um ein schulin­ternes WLAN zu imple­men­tie­ren.

Der Favorit des Stutt­garter Kultus­mi­nis­te­ri­ums: Micro­soft

Die Verant­wort­li­chen, Schul­träger oder Schulen, haben zwar die Wahl, wofür konkret sie diese Gelder zur Moder­ni­sie­rung der IT-In­fra­s­truktur einset­zen. Aber mit der Anschaf­fung der notwen­digen Hardware und dem dauer­haften Betrieb der IT-In­fra­s­truktur sind die Mittel pro Schüler verbraucht. Als Softwa­re­-­Lö­sung sollen Verträge mit Micro­soft geschlossen werden, wobei i.d.R. eine Lizenz von Office 365 Educa­tion unter A1 angeboten wird, das sog. „Rund­um-Wohl­fühl­paket“, welches mit dem geneh­migten Digital­pakt bzw. reali­sier­baren Kosten für Schulen noch betrieben werden könnte. So hatte dies z.B. Minis­terin Eisen­mann für Baden-Würt­tem­berg vorge­schrieben, im Dezember vergan­genen Jahres nach Protesten wegen mangelnden Daten­schutzes jedoch auch andere Möglich­keiten offen gelassen [4]. Schulen bzw. deren Träger setzen auf diese Lösung unter A1, weil sie das Manage­ment­pro­blem vor Ort löst, da die meisten Einrich­tungen über keinen eigenen Netzwerk­ad­mi­nis­trator verfü­gen. Das hat Folgen.

Daten in der Cloud: Daten­schutz Ade

Beim Netzwerk­ma­na­ge­ment aus der Cloud aber verlassen fortlau­fend (Steuer-) Daten das lokale Schul­netz und werden demnächst in der entfernten Cloud verar­bei­tet. Daraus lassen sich dann wiederum Rücksch­lüsse ziehen auf das Surfver­halten einzelner Schüle­rinnen etc. Es ist demnach von ganz entschei­dender Bedeu­tung, ob der Anbieter einen DSGVO-­kon­formen Betrieb gewähr­leisten kann. Die Verträge mit Micro­soft behaupten zwar die Einhal­tung der DSGVO, doch die genaue Inspek­tion der höchst komplexen Softwa­re­-­Land­schaft durch erfah­rene Techni­ke­rinnen und Daten­schüt­ze­rinnen zeigt ein anderes Bild. In den Nieder­landen wurde solches für Office 365 enter­prise, ein ähnli­ches Paket wie Office 365 educa­tion, unter Lizenz A1 eruiert, und erfolg­reich auf Änderung gedrungen [5]. Micro­soft kann das zwar auch, und bietet es mit  Lizenzen wie A3 oder gar A5 auch an. Mit diesen könnten Verant­wort­liche vor Ort selbst daten­schutz­kon­forme Softwa­re­-­Dienste konfi­gu­rieren, doch diese sind um ein Vielfa­ches teurer und erfor­dern zudem lokale Technik­dienste.

Gefor­dert: Sicherer Schutz von Schüler- (und Lehrer-)Daten

Die HU fordert eine daten­schutz­kon­forme Verar­bei­tung der Daten von Schüle­rinnen und Schülern, die zumeist minder­jährig sind. Zumin­dest wären spezi­elle Regelungen in der Daten­schutz­grund­ver­ord­nung (DSGVO) anzuwenden, die aufbauend auf Art. 5, 6 und 7 DSGVO in Art. 8 DSGVO zu konkre­ti­sieren wären. Es ist falsch zu argumen­tieren, das sei unter den verfüg­baren Softwa­re­an­ge­boten und Ressourcen nicht möglich. Vielmehr gibt es äquiva­lente Open-­Sour­ce-­Soft­wa­re­-­Lö­sungen, sogar in Deutsch­land entwi­ckelt, wie sie z. B. von der Open Business Alliance [siehe Fußnote 3] angeboten wird. Mit solchen Lösungen könnten deutsche Schulen und Insti­tu­ti­onen die Kontrolle über ihre Daten behalten, daten­schutz­kon­forme Imple­men­tie­rungen leichter umsetzen und trans­pa­rent die Daten­schutz­be­stim­mungen sicher­stel­len. Letzteres ist bei der im Rahmen der gegebenen Finan­zie­rung verfüg­baren Lösung mit Micro­soft 365 unter A1 nicht zu garan­tie­ren.

Die HU fordert Aufklä­rung darüber, welche Inter­essen Micro­soft verfolgt, denn die Deutsche Telekom AG hat die eigene deutsche Micro­soft Cloud zum 31. August 2019 einge­stellt. Das Treuhän­der­mo­dell für Micro­soft bei T-Sys­tems ist damit ausge­laufen [siehe Fußnote 1] [6]. Wie gefähr­lich die – schließ­lich lebens­lang mögliche – Speiche­rung und Nutzung von Daten, Bildern, Medien- und App-Nut­zung und alle Arten von Kommu­ni­ka­tion für unsere Kinder ist, ist inzwi­schen hinläng­lich bekannt geworden [7]. Die Inter­essen und funda­men­talen Rechte und Freiheiten von Kindern müssen jedoch vor allem auch an Schulen garan­tiert werden. Wenn durch die Anwen­dung bzw. Umset­zung von Aufgaben im hoheit­li­chen Bereich ein hohes Risiko durch IT-ge­stützte Prozesse in einer komplexen IT-Land­schaft besteht, wenn diese insbe­son­dere nicht als IT-Land­schaft vor Ort beim Schul­träger oder in der Schule betrieben werden, verlangt der Gesetz­geber eine Daten­schutz-­Fol­ge­n­ab­schät­zung entspre­chend Art. 35 DSGVO. Eine solche würde verlangen, dass für Kinder bzw. Schulen technisch-­or­ga­ni­sa­to­ri­sche Maßnahmen höheren Anfor­de­rungen auch bezüg­lich der IT-Si­cher­heit genügen müssen. Vertrau­lich­keit und Integrität sind ebenso höher zu bewerten (Art. 25 und Art. 32 DSGVO). Für deren Umset­zung muss u.a. verlangt werden, dass sichere Verschlüs­se­lungen für Trans­port und Inhalt zu gewähr­leisten wären.

Die HU erhebt Einspruch gegen die Regelungen des Digital­pakts und gegen die derzeit beste­henden Verträge im Digital­pakt, wie dies auch andere Vereine und Insti­tu­ti­onen getan haben [8]. Dies ist sachlich wie zeitlich höchst dring­lich, da es Schulen jeder­zeit möglich ist, sich aus dem Digital­pakt zu bedienen und es bereits einzelne Schulen und Städte gibt, die dies schon getan haben.

Daten­schutz­kon­forme Alter­na­tiven existieren

Wir fordern sowohl für die verwen­deten Softwa­re­-­Land­schaften als auch für die Cloud-­Dienste daten­schutz­kon­forme Lösun­gen. Erstere werden mit – ja auch in Deutsch­land entwi­ckelten – Open-­Sour­ce-­Lö­sungen, wie beispiels­weise von der Eclipse Founda­tion [siehe Fußnote 3] bereit­ge­stellt. Letztere bieten beispiels­weise das Hasso-­Platt­ner-­In­stitut in Potsdam [vgl. Fußnote 4] mit seiner Schul-Cloud, aber auch lände­rei­gene Softwa­re­-­Lö­sun­gen. Beides könnten wesent­liche Schritte sein, um ein Mindestmaß an digitaler Souve­rä­nität von Schülern und ihren Schulen in unserer Gesell­schaft zu etablie­ren.

Der Digital­pakt Schulen ist aller­dings kein Einzel­fall. Denn ähnliche Imple­men­tie­rungen mit Micro­soft Windows 10 und Office 365, wie wir beim Digital­pakt Schulen feststellen, die auf Micro­soft-En­ter­pri­se-­Li­zenzen basieren, werden von den Bundes­län­dern in den öffent­li­chen Verwal­tungen, Kommunen und Städten geplant und stehen auch den Univer­si­täten ins Haus. Mit all den damit verbun­denen Gefahren und Risiken für unsere Daten.

Prof.in i.R. Dr.in Britta Schinzel,  Dr. Udo Kauß,  Robin Krahl
für den Vorstand der HUMANIS­TI­SCHEN UNION LV Baden-Würt­tem­berg

Für Rückfra­gen: schinzel@modell.iig.uni-freiburg.de; ra@rechtsanwalt-kauss.de; me@robin-krahl.de

Quellen/Anmerkungen

[1] https://www.heise.de/newsticker/meldung/Auslaufmodell-Microsoft-Cloud-Deutschland-4152650.html, https://www.heise.de/ix/meldung/Microsoft-warnt-vor-Support-Ende-des-Server-2008-raet-zum-Cloud-Umzug-4586610.html – sofern er nicht durch vorher abgeschlos­sene Verträge verlän­gert worden ist. Solche Angebote hat es für Univer­si­täten gegeben, für Schulen ist dies nicht bekannt. Private können solche Verträge ohnehin nicht abschlie­ßen.

[2] https://www.ft.com/content/7d3e0d6a-87a0-11e9-a028-86cea8523dc2

[3] osb-al­lian­ce.de, oder opentex­t.com

[4] https://www.gew-hb.de/aktuelles/detailseite/neuigkeiten/ueberwachung-im-klassenzimmer/

[5] https://www.tweedekamer.nl/kamerstukken/brieven_regering/­de­tail?i­d=2019Z13829&did=2019D28465; und https://docs.microsoft.com/en-us/microsoft-365/compliance/gdpr-dsr-office365?toc=/microsoft-365/enterprise/toc.json%23par­t-2-re­spon­ding-to-dsr­s-with-re­spec­t-to-in­sights-­ge­ne­ra­te­d-­by­-­of­fi­ce-365

[6] Aller­dings gibt es neuere Bestre­bungen unter dem Stich­wort „go local“. Hier wäre in Deutsch­land wieder die Deutsche Telekom betei­ligt. Offen ist aller­dings, inwie­fern Diagno­se­daten ausge­wertet werden; das sind Teleme­trie­daten, die zum Betrieb der Dienste von Micro­soft nötig sind, enthal­tend Metadaten, die über die Nutzung der Dienste unter jedem einzelnen Account Auskunft geben können. Hier sind v.a. die im Anpas­sungs­pro­zess befind­li­chen Online Service Terms (OST) proble­ma­tisch (wesent­li­ches Thema der nieder­län­di­schen Unter­su­chungen).

[7] Dabei ist wichtig, wer für die Minder­jäh­rigen entscheidet, denn Erzie­hungs­be­rech­tigte übertragen teilweise ihre Verant­wor­tung an Schulen. Was bedeutet dies also für die Nutzung von Softwa­re­-­Diensten in Schulen? – Hier müssen die gesetz­li­chen Regelungen im Schul­recht hinter­fragt werden, denn bisher scheint es dazu keine Recht­spre­chung zu geben.

[8] https://www.fiff.de/PM_Digita­li­sie­rung

Dateien