Office 365 in der Schule

Grobe Verletzungen datenschutzrechtlicher Vorschriften

Die personenbezogenen Daten von Kindern genießen einen besonderen Schutz, der immer berücksichtigt werden muss. Bei einer durch die Schule erzwungenen Nutzung von Office 365 kommt es aber zu schwer oder gar nicht kontrollierbaren Datenabflüssen. Rechtsanwalt Oliver Rosbach hat am Beispiel einer bayerischen Schule die Datenschutzverstöße analysiert.

Eigenwerbung von Microsoft bei der Online-Plattform Make Your Wish. – Alle Rechte vorbehalten Microsoft

Die Nutzung von Software an Schulen ist in Pandemiezeiten oft notwendig, aber bei Schülern, Eltern und Lehrern sowie den Bildungseinrichtungen selbst mit vielen Rechtsfragen verbunden. Dazu zählt der Datenschutz. Oliver Rosbach exerziert einen Teil der Probleme an einem konkreten Beispiel durch: Microsoft Office 365 im Schulbetrieb, sowohl auf dienstlichen als auch privaten Rechnern.

Oliver Rosbach, Mag. Art. Phil., Rechtsanwalt. Er studierte Geschichtswissenschaft und Soziologie an der Freien Universität Berlin sowie Rechtswissenschaft an der Humboldt-Universität zu Berlin. Er forscht neben seiner Tätigkeit als Rechtsanwalt in Nürnberg über die Entstehung und Bedingungen der Zivilgesellschaft.

Es geht um Grundrechte

Datenschutz heißt nicht Schutz der Daten, sondern Schutz der Personen hinter den Daten und damit auch Schutz der demokratischen Gesellschaft. Denn Datenschutz dient der Umsetzung der Grundrechte, vor allem aus Artikel 8 (Schutz personenbezogener Daten) und Artikel 7 (Recht auf Privatsphäre) der Europäischen Grundrechtscharta und der informationellen Selbstbestimmung nach dem deutschen Grundgesetz.

Die Grundrechte garantieren die Freiheiten des Bürgers und die Teilhabe an der demokratischen Gesellschaft. Der Datenschutz übernimmt dabei die Funktion, der Machtasymmetrie zu begegnen, die sich durch Nutzung von Daten zwischen Organisationen und einzelnen Personen ergibt.

Die Datenschutzgrundverordnung (DSGVO) ist Bestandteil einer umfassenden Konzeption der EU zur Digitalisierung von Gesellschaft und Wirtschaft. Dabei geht es einerseits um die Wahrung der Freiheiten und Grundrechte der Menschen sowie andererseits um die Wahrung der Demokratie und der Rechtsstaatlichkeit angesichts des digitalen Wandels.

oliver rosbach
Rechtsanwalt Oliver Rosbach. - Alle Rechte vorbehalten privat

Aus diesem Grund ist nach der DSGVO die Verarbeitung personenbezogener Daten untersagt, soweit es keinen speziellen Rechtfertigungsgrund hierfür gibt. Kinder genießen dabei besonderen Schutz, der bei Eingriffen in deren Rechte berücksichtigt werden muss.

Schulen und Behörden werden im Zuge des Digitalpakts Schule unter Aufwendung erheblicher Mittel mit dem Softwarepaket von Microsoft Office 365 ausgestattet. Während der Coronakrise wurden die Lehrer verstärkt angewiesen, ihren Tätigkeiten im Home Office unter Verwendung dieser Software nachzugehen und eine Kommunikation unter den mit Office 365 verbundenen Diensten (Teams, Kalender) aufrechtzuerhalten. Mangels Dienstrechner hatte die Verwendung der Software in der Regel auf privaten Rechnern zu erfolgen.

Die Nutzung von Office 365 ist wie die Nutzung von Windows 10 erheblichen datenschutzrechtlichen Bedenken ausgesetzt. Die Tätigkeitsberichte der Landesämter für Datenschutz des Saarlandes, Bremen, Hessen, Baden-Württemberg und Bayern sowie die niederländische Datenschutzbehörde sehen die Verwendung von Microsoft-Produkten Windows 10 oder Office 365 als nicht oder nur bedingt datenschutzkonform an.

Je nach Verwaltungsorganisation sind die Schulen oder Schulträger bei Nutzung von Software für die Datenverarbeitung verantwortlich. Der Verantwortliche hat nach der DSGVO verschiedene Pflichten, unter anderem durch geeignete Informationen offenzulegen, welche Daten, aus welchem Grund, zu welchem Zweck und mit welchem Rechtsgrund verarbeitet werden. Dies geschieht durch

  • Vorlage eines Verzeichnisses der Verarbeitungstätigkeiten,
  • Offenlegung der Auftragsdatenverarbeitung,
  • Bezeichnung geeigneter technischer und organisatorischer Maßnahmen (TOM) – Vorlage einer Datenschutzfolgeabschätzung.

Untersuchungsgegenstand und -gang

Anlass und Gegenstand der Untersuchung war die Vorgabe an Lehrer einer bayerischen Mittelschule im Mai 2020, die Software MS Office 365 zu nutzen. Es sollte hierfür eine Cloud-basierte Nutzung eingerichtet werden, die dann im August/September 2020 realisiert wurde.

Zunächst war die Nutzung der Software auf dem Dienstrechner oder dem privaten Rechner zur Verwendung im Home Office vorgesehen. Es ergaben sich daraus vier mögliche Nutzungsarten: jeweils auf Dienstrechner und Privatrechner eine Cloud-basiert genutzte oder rechnerseitig installierte Version. Bei allen Unterschieden bleibt gleich, dass die Anwender*in ein Angebot der Schule nutzt. Die Schule schließt ein Vertragswerk mit Microsoft zur Nutzung eines Softwarepakets, welches sie den Lehrern zur Verfügung stellt. Später soll das Softwarepaket auch den Schülern zur Verfügung gestellt werden, weshalb für diese dann das Gleiche gelten wird. In einigen Städten steht dies bereits zur Verfügung.

Der vorliegende Fall gestaltet sich noch komplexer, weil zwischen Schule und der Microsoft Deutschland GmbH ein Intermediär eingeschaltet ist. Über die Aufgaben und Funktion dieser Firma liegen keine Informationen vor. Es fehlt der Auftragsverarbeitungsvertrag. Ausgehend von dieser Situation wäre im Regelfall der Verantwortliche für eine Datenverarbeitung bei der Anwendung von MS Office 365 die Schule beziehungsweise entsprechend der Verwaltungsorganisation der jeweilige Schulträger.

Microsoft stellt unterschiedliche Lizenzen zur Verfügung, die sowohl in Funktionsumfang als auch zu Steuerungsmöglichkeiten der administrativen Eingriffe verschiedene Möglichkeiten der Datenverarbeitung bieten. Die hier vereinbarte Lizenz ist nicht bekannt. Untersucht wurde die Nutzung der Software MS Office 365 auf Computern mit dem Betriebssystem Windows 10.

Untersuchungsziel war die Feststellung, ob ausreichende Informationen nach den Erfordernissen der DSGVO zur Verfügung gestellt werden, um die Rechtmäßigkeit der Grundrechtseingriffe zu beurteilen.

Installation von Office 365 auf privatem Dienstrechner

Zunächst wurde die Installation der Software MS Office 365 auf einem Computer mit Betriebssystem Windows 10 begleitet. Dort wurde bereits vor der Installation und als deren Voraussetzung die Zustimmung zu umfangreicher Datenverarbeitung durch Microsoft verlangt: Der Anwender wurde darauf hingewiesen, dass die Datenschutzeinstellungen und der Umfang des Softwareangebots durch den Anbieter, in diesem Fall die Schule, administriert werden. Darüber hinaus könnten durch den Anbieter weitere „Dienste“, also Softwareangebote von Microsoft, freigeschaltet werden. Diese durchgängig als „verbundene Dienste“ bezeichneten Softwareangebote wurden nicht näher bezeichnet. Es dürfte sich um Teams, Outlook, Kalender, Kontakte etc. handeln. Wenn diese Dienste in Anspruch genommen werden, hätte der Anwender den Datenschutzbestimmungen von Microsoft vor der Installation zuzustimmen.

In dieser Version kommt erschwerend hinzu, dass die Nutzung des Softwarepakets nicht von der Nutzung von Windows 10 getrennt werden kann. Da Windows 10 selbst umfangreiche Telemetriedaten ermittelt, entsteht je nach Lizenz von Office 365, Einstellung der Administratoren und eigenen Datenschutzeinstellungen ein komplexes Geflecht von Verantwortlichkeiten, die sich zwischen dem Anbieter (Schule) und Microsoft verteilen.

Das Erfordernis der Zustimmung zu den Datenschutzerklärungen von Microsoft führte auf die Datenschutzoptionen von Microsoft. Dort findet sich beispielhaft der Link „Online Steuerelemente für Werbung“. Folgt man diesem, so ist dort die Erhebung von Daten zum Zweck der Erstellung personalisierter Werbung voreingestellt.

Bereits die Möglichkeit einer Verarbeitung personenbezogener Daten durch Microsoft zum Zweck einer Personalisierung von Werbung stellt nach hiesiger Ansicht im Verhältnis Lehrer und Schule eine grobe Verletzung datenschutzrechtlicher Vorschriften dar.

Die Voreinstellung der Erhebung personenbezogener Daten zum Zweck einer Personalisierung von Werbung stellt einen weiteren Verstoß datenschutzrechtlicher Vorschriften dar. Zudem hat sich herausgestellt, dass die Deaktivierung der Option nicht gesichert wurde.

Die im nächsten Schritt untersuchte Datenschutzerklärung von MS Office 365 umfasst als PDF-Version 459 Seiten und erhält die Darstellung von schätzungsweise acht- bis zehntausend Diagnosedaten, die bei der Nutzung des Softwarepakets erhoben werden können. Stehen alle diese Nutzungsdaten zur Verfügung, lässt sich ein vollständiges Verhaltensprofil im Zusammenhang der Nutzung erstellen. Es fehlt eine Erklärung, wie und ob diese Datenerhebung durch den Anbieter eingeschränkt wird.

An dieser Stelle wurde die Installation des Produkts beendet. Es herrschte vollkommene Unklarheit darüber, für welche Softwarebestandteile die Schule und für welche Bestandteile Microsoft selbst als Verantwortlicher im Sinne der DSGVO fungiert. Darüber hinaus waren keine Datenschutzerklärungen des Anbieters (Schule) einsichtig. Die Datenschutzoptionen von Microsoft verletzen Grundsätze des Datenschutzrechts.

Da es sich bei den hier von dem Anwender bearbeiteten Daten neben dem Lehrmaterial maßgeblich um Schülerdaten handelt, lässt sich ein verantwortlicher und datenschutzkonformer Umgang mit den Daten auf diese Weise nicht garantieren.

Installation von Office 365, Schulversion

Etwa acht Wochen nach der Unterrichtung der Schule über die festgestellte Problematik erfolgte eine Kontrolluntersuchung auf einem anderen privaten Rechner einer anderen Lehrkraft. Diese hatte ebenfalls das Softwarepaket installiert. Es zeigte sich keinerlei Veränderung der festgestellten Problematik: unklare Verantwortlichkeiten, fehlende Informationen und Voreinstellung von Datenverarbeitung zum Zweck personalisierter Werbung.

Installation von Office 365, Studentenversion

Die Kontrolluntersuchung einer Installation von Microsoft Office 365 auf einem weiteren Rechner eines Lehramtskandidaten zeigte keine Abweichungen von dem vorgenannten Bild. Allerdings stellte sich heraus, dass es sich nicht um die von der Schule angebotene Version, sondern um ein ähnliches Angebot einer Universität handelte.

Auch hier fehlte es an einer entsprechenden aktiven Aufklärung über die Verantwortlichen und die Datenverarbeitung. Es bestand Unklarheit über die Verantwortlichen der Datenverarbeitung in unterschiedlichen Softwarebestandteilen. Es erwies sich, dass auch hier Einstellungen zur Datenverarbeitung zum Zweck personalisierter Werbung voreingestellt waren.

Online-Zugang zur Cloud-Anwendung

Weitere acht Wochen nach den Kontrolluntersuchungen erfolgte eine Nachschau des Online-Zugangs von Office 365 über die Cloud. Zunächst stellte es sich als schwierig heraus, zu den Datenschutzerklärungen zu gelangen.

Auf der Website, die offenbar von der federführenden Stadt als Vertragspartnerin von Microsoft für die Bereitstellung der notwendigen Informationen eingerichtet war, bestätigte sich das vorliegende Bild. Die Seite hält folgende Erklärung vor:

  1. Aufklärung und Zustimmung, Deaktivierung von Dynamics 365 Sales Insights,
  2. Datenschutzerklärung der Stadt,
  3. Nutzungsbedingungen der Stadt,
  4. Datenschutzerklärung von Microsoft.

Dynamics 365 beschreibt die Datenverarbeitung von „Kommunikations- und Zusammenarbeitsmustern innerhalb der Office 365-Organisation und deren Nutzern“. Da es sich dabei um ein eigenes, hochsensibles und komplexes Thema des Beschäftigten-Datenschutzes handelt, muss dies hier ausgeklammert werden.

foo
Screenshot der Voreinstellung bei den Kommunikations- und Zusammenarbeitsmustern.

Die ausdrücklich aufgelistete Datenschutzerklärung der Stadt führte ins Leere. Die Nutzungsbedingungen führten zu einer Seite, die die Mitteilung vorhielt, dass die Nutzungsbedingungen nicht akzeptiert worden seien. Eine Option zur Zustimmung zu den Nutzungsbedingungen wurde jedoch nicht angeboten. Unabhängig davon, dass nun mit der Stadt eine weitere Organisation auf den Plan tritt, die als Verantwortliche infrage käme, fehlt es hier nach wie vor an den aufgrund der DSGVO vorgeschriebenen aktiven Informationspflichten.

Vorbehaltlich einer Kenntnis dieser Nutzungsbedingungen ist im Allgemeinen die Zustimmung zu Nutzungsbedingungen in datenschutzrechtlicher Hinsicht nicht geeignet, die Verarbeitung personenbezogener Daten zu rechtfertigen.

Der Link Datenschutzerklärung von Microsoft führt auf die bereits erwähnten Datenschutzoptionen und -erklärungen. Es handelt sich um die Version vom September 2020. Nach kursorischer Prüfung konnten größere Abweichungen nicht festgestellt werden. Die demnach beschriebenen Unklarheiten und Datenschutzverstöße bleiben bestehen.

Ergänzend wird hinsichtlich des zwischenzeitlich ergangenen Urteils des Europäischen Gerichtshofs in der Sache C-311/18 (Schrems II) festgestellt, dass die Microsoft Corporation das Privacy-Shield-Rahmenabkommen nach wie vor einhält, dieses jedoch aufgrund der Rechtsprechung des EuGH nicht als legale Basis für die Übertragung persönlicher Daten betrachtet. Es ist demnach gegen das Urteil des EuGH weiter von einer Datenübertragung in das außereuropäische Ausland auszugehen.

Vorläufige Feststellungen

Im Rahmen des Angebots lassen sich klare Verantwortliche im Sinne der DSGVO nicht feststellen. Eine Aufklärung erfolgt nicht. Es liegt eine provozierte Verantwortungsdiffusion vor.

Die Verantwortlichen stellen keine nach Artikel 12 ff. DSGVO notwendige Informationen über Art und Umfang der Erhebung personenbezogener Daten zur Verfügung.

Das nach Artikel 30 DSGVO erforderliche Verarbeitungsverzeichnis liegt nicht vor. Auch die nach Artikel 35 DSGVO erforderliche Datenschutz-Folgenabschätzung liegt nicht vor.

Unklare Verantwortlichkeit und mangelnde Kontrolle

Aufgrund unbekannter Softwarelizenzen, unklarer Zuweisungen von Softwarebestandteilen, ausufernder Nutzungsbedingungen und teils fehlender, teils überbordender unverständlicher Datenschutzerklärungen bestehen Zweifel darüber, wer für jeweilige Programmteile und Nutzungsarten verantwortlich im Sinne der DSGVO ist, welche Daten konkret erhoben und wo diese gespeichert werden. Sowohl der Anbieter als Kunde von Microsoft (Schule), als auch Microsoft selbst fungieren in unterschiedlichem Maß als Verantwortliche.

Es besteht damit eine Verantwortungsdiffusion, die für Anwender*innen (und offenbar auch für die anbietende Schule) nicht nachvollziehbar ist und die Kontrolle der Datenübertragung erheblich erschwert oder unmöglich erscheinen lässt. Die Verantwortungsdiffusion ist auf das rechtliche Konstrukt unterschiedlicher Lizenzen und der Trennung der verschiedenen Dienste durch Microsoft zurückzuführen.

Vermischung von dienstlichen und privaten Geräten, Daten, Nutzungen

Lehrer (und zukünftig Eltern von Schülern) werden aufgefordert, das Office-Paket auf eigenen Rechnern zu installieren oder Cloud-basiert zu nutzen. Durch die Nutzung von Office 365 und Windows 10 kommt es zu nicht einsehbaren und schwer oder nicht zu kontrollierenden Datenabflüssen. Diese umfassen im Fall der Nutzung eines privaten Rechners damit sowohl dienstliche als auch private Daten.

Verarbeitung von Daten der Betroffenen und Anwendern

Bei den personenbezogenen Daten handelt es sich nicht nur um die Daten der Schüler oder deren Eltern, sondern auch um Daten der Anwender*innen (Mitarbeiter*innen, Lehrer*innen).

Lehrer verarbeiten bei der Nutzung des Softwarepakets personenbezogene Daten der Schüler. Diese gelten im Sinne der DSGVO als besonders schützenswerte Daten.

Übertragung von Telemetriedaten und Tracking

Office 365 überträgt wie Windows 10 nach der Datenschutzerklärung von Microsoft voreingestellt Telemetriedaten und personenbezogenen Daten an Microsoft. Es soll für den Verantwortlichen die Möglichkeit bestehen, die Datenübertragung datenschutzkonform zu gestalten. Im vorliegenden Fall liegen keine Informationen hierzu vor.

Daneben erfolgt durch Microsoft eine Verarbeitung und Übertragung von personenbezogenen Daten zum Zweck der Personalisierung von Werbung und zum Zweck der Gestaltung der Software nach User Experience Design. Eine Dokumentation der technischen und organisatorischen Maßnahmen liegt nicht vor.

Privacy by Default und Kopplungsverbot

Nach Artikel 25 Abs. 2 DSGVO besteht das Gebot des Privacy by Default. Dieses wird unterlaufen, denn die Datenübertragung ist voreingestellt und muss jeweils deaktiviert werden.

Mit der Nutzung von Office 365 (und Windows 10) werden Daten an Microsoft übertragen, die zur Ausübung der Dienstverpflichtung (oder für Schüler im Rahmen der Schulpflicht) nicht erforderlich sind. Für eine weiter greifende Datenverarbeitung fordert Microsoft teils aktive, teils passive, also voreingestellte Zustimmung ein.

Nach der DSGVO kann eine Datenverarbeitung im Rahmen eines Vertrags oder aufgrund einer informierten und freiwilligen Zustimmung erfolgen. Die Erfüllung des Vertrags oder eines Dienstverhältnisses darf nicht an die Bedingung geknüpft werden, dass zusätzlich eine Zustimmung über eine darüber hinausgehende Datenverarbeitung erfolgt. Eine solche Kopplung ist daher untersagt. Da Lehrer*innen die Software im Rahmen eines Dienstverhältnisses und hier auf Weisung eines Dienstherren nutzen und Schüler*innen (beziehungsweise deren Eltern) die Software im Rahmen der Schulpflicht, ist eine Freiwilligkeit einer über die im Rahmen dieser Zwecke notwendigen Datenverarbeitung nicht vorstellbar.

Soweit von Anwender*innen im Rahmen der Dienstpflicht oder Schulpflicht, gleich ob es sich um Lehrer*innen oder Schüler*innen handelt, eine Zustimmung zur Datenverarbeitung gefordert wird, dürfte dies die Grundsätze der DSGVO verletzen.

Zusammenfassung

Im Ergebnis lassen sich neben den oben benannten Versäumnissen bei der Beachtung der DSGVO in der Konstruktion des Angebotes zentrale Problemfelder durch Verschleierung der Verantwortlichkeiten und der daraus folgenden Verantwortungsdiffusion feststellen.

Aufgrund der Verletzungen des Datenschutzrechts ist eine Nutzung von Office 365 unter den festgestellten Umständen weder für Lehrer*innen noch für Schüler*innen und Eltern anzuraten.

36 Ergänzungen
  1. Konzeptionell gibt es kein Übereinkommen mit „wäre gerne Alphabet und mehr“ Tech
    Giganten, das nicht mit Gesetzen und Sanktionierung wie z.B. Marktausschluss flankiert sind. Selbst dann wäre ich nicht sicher.

    Erst Betriebssysteme und herstellerunabhängige Schnittstellenkonzepte weit genug sind, kann man darüber sprechen. OS Hersteller werden auf längere Sicht also andere Felder benötigen…

  2. Verständnisfrage: Wenn, wie im Artikel beschrieben „Die Tätigkeitsberichte der Landesämter für Datenschutz des Saarlandes, Bremen, Hessen, Baden-Württemberg und Bayern sowie die niederländische Datenschutzbehörde sehen die Verwendung von Microsoft-Produkten Windows 10 oder Office 365 als nicht oder nur bedingt datenschutzkonform an.“ festgestellt wird, dass die Verwendung von Windows 10 oder Office 365 eben nicht (oder nur bedingt) datenschutzkonform ist; hat das dann irgend eine Konsequenz zur Folge? Zum Beispiel ein Unterlassen der Verwendung?
    Und was heißt eigentlich die stets bemühte Formulierung „nicht datenschutzkonform“? Soll das etwa heißen datenschutz-widrig; also rechtswidrig? Soll es nur nicht so hart klingen, um den Rechtsbruch bzw. die nicht vorhandene Rechtsfolge zu kaschieren?
    Bei einem Ladendieb sagt man ja auch nicht: Der/die Käufer*in hat im beim Einkauf leider nicht (oder nur bedingt) schuldrechtskonform bezahlt; oder!? ;-)

  3. Danke für den Beitrag. Es zeigt sich einmal mehr, dass das Produkt 365 rechtswidirg ist. Abhängig Beschäftigte können sich zwar bei Datenschutzbehörden beschweren, könnten dann aber wohl gleich die Kündigung dabei legen. Denn welcher Arbeitgeber (die ja auch verantwortlich sind, wenn Sie Microsoft beauftragen Software einzusetzen), hat es schon gerne, wenn ihn jemand verrät.
    Was bleibt also abhängig Beschäftigten? Nicht alle Lehrer:innen sind im übrigen Beamte. Was sagen eigentlich die Gewerkschaften zu diesen Rechtswidrigkeiten?

    1. @Karl:
      Was sagen eigentlich die Gewerkschaften zu diesen Rechtswidrigkeiten?

      Die benutzen es auch?

      Vielmehr würde mich ja interessieren, wie sich die Eltern dazu positionieren!
      Aber denen ist ihr whats, twit, face, inst etc. heilig und die Kinder werden mit tiktok beruhigt – und ggfls. noch mitgelacht, wenn da Grimassen gezogen werden

  4. Ich bin (aus einer langen Tradition heraus) nicht geneigt MS irgendwelche Daten zu übereignen … aber am Arbeitsplatz habe ich keine anderen Optionen.

    Soweit ich verstanden habe, hat mein Arbeitgeber (Hauptquartier in EU, aber weltweit operierend) einen Vertrag mit MS, so dass

    * Personenbezogene Daten im jeweiligen Land
    * Kundendaten in der EU

    zu liegen kommen. Es gibt auch eine Liste der zuständigen Rechenzentren, was für uns in DE Frankfurt und dann bei Ausfällen Amsterdam und Dublin sind.

    d.h anbieten für den Schulbetrieb könnten sie es durchaus.
    Soweit ich verstanden habe wird auch die Telemetrie in DE terminiert.

    1. Eine kleineOption am Arbeitsplatz gibt es. Kontakt mit dem internen Datenschutzbeauftragten und mit dem Betriebsrat aufzunehmen. Dann um Auskünfte (DS-GVO erlaubt das) bitten, welche personenbezogenen Daten von Windows10 usw. gesammelt werden und wo die Speicherorte sind. Vielleicht ein Datenverarbeitungsverzeichnis anfordern,dass ist insbesondere bei den Telemetriedaten interessant.
      Noch sind die internen Datenschutzbeauftragten in der Lage, solche Anfragen anonym zu halten.
      Auch eine interessante Frage ist, welche Massnahmen wurden im Unternehmen eingeleitet, um das Urteil „SchremsII“ umsetzen zu können (eigentlich sollte das ja umgehend passieren, aber nun denn…). Geht ja nur um Daten von Beschäftigten…,so what.

  5. Es gibt Alternativen zu Microsoft 365 wie BigBlueButton oder Jitsi. Leider sind diese Anwendungen ressourcenhungrig und zwingen manch 10 Mbit Netz in die Knie. Das Hosting der kostenlosen Systeme wird zudem hâufig von Laien-Administratoren erledigt, die sich der Tragweite ihrer Verantwortung hinsichtlich Datensicherheit kaum bewusst sind. Es dauert teilweise sehr lange, bis von den Maintainern dieser Anwendungen Sicherheitslücken geschlossen werden, siehe BBB. Was zählt mehr: Privatsphäre oder Datensicherheit? Dieses Zeitalter verlangt danach, pragmatisch mit Kompromissen zu leben und konstruktiv an ständigen Verbesserungen zu arbeiten. Alles andere wäre deutsche, technikfeindliche Blockade. Vor diesem Hintergrund sehe ich die Aufgabe der Juristen nicht darin, mit Bremsklötze n um sich zu werfen, sondern Perspektiven zu erœffnen.

  6. Ich arbeite hauptberuflich in der IT-Branche. Mir ist es ein Rätsel, wie in der EU Windows 10 überhaupt zum Einsatz kommen „darf“. Wer sich ernstfach mal mit diesem Betriebssystem beschäftigt hat, dem müsste es eiskalt über den Rücken laufen. Microsooft tut wirklich alles um alle Empfehlungen die u.a. auch vom BSI stammen, mit jedem Zwangsupdate, außer Kraft zu setzen. Das letzte Update verhindert auch mit aller Macht die Deinstallation des Edge. Wenn dieser deinstalliert wird, funktioniert das Starmenü nicht mehr. Dann heißt es Neuinstallation oder
    wenn noch möglich Wiederherstellung. Ich habe bei vielen Kunden bereits spezielle externe Netzwerkfilter installieren müssen, um den über flüssigen MS-Datenverkehr rigoros aus zu bremsen.
    Um jetzt überlegen Sie sich bitte mal, daß diese „Software“ bei Ärzten, Steuerberatern und Rechtsanwälten läuft …. !
    Da kann ich nur noch „gute Nacht, DSGVO“ sagen.

    PS.: Im meiner Branche hatten wir immer viel zutun, wenn es z.B. neue Viren gab. Mittlerweile
    sorgt Microsoft selbst mit Win 10 und seinem Office-Paket und viele andere Microsoft-Partner-Software dafür das unsere Auftragsbücher voll bleiben. Danke für diese Arbeitsbeschaffungsmaßnahme ;-)).

    1. xD
      Ein multifunktionales Hybridsystem, das sowohl privat, als auch dienstlich genutzt werden kann.
      Doll oder?
      Nur echt mit der sync Funktion für alle herumliegenden „smarten“ Geräte (TradeMark).

  7. Desaströs – die Art, wie sich der Rechtsstaat über Recht hinwegsetzt. Dem liegt ein systemisches, lang anhaltendes Staatsversagen zugrunde. Bund, Länder und Kommunen haben einerseits ein offensichtlich unpraktikables Recht geschaffen und andererseits versäumt, die notwendige Infrastruktur aufzubauen, halten die Technik nicht vor und haben keine Curricula und keine nach vorn gerichtete Strategie.

    Aber wie sollten wir damit umgehen? Wieviel Rechtsbruch können, wieviel müssen wir akzeptieren, um überhaupt noch funktionieren zu können? Die Kinder müssen jetzt (zuhause) lernen, sie brauchen jetzt sofort ein kompatibles Betriebssystem, einen Browser, Lernsoftware und Zugang zu Social Media.

    Gibt im Ausland, an irgend einer Schule, einen beispielhaft einen Ansatz, wie die virtuelle Schule funktionieren könnte? Wieviel Gefahren müssen wir hinnehmen, wie können wir sie beherrschbar machen? Wie können wir von einem Startpunkt zu einer die Persönlichkeitsrechte achtenden virtuellen Schule kommen?

  8. Interessanter Standpunkt von Herrn Rosbach. Auch die Kommentare bringen z.T. wichtige Punkte zur Diskussion.
    Mir stellen sich aber zwei Fragen:
    1. Welche Alternativen gibt es? Eine komplett analoge Lösung, eine andere digitale Plattform oder etwas ganz neues? Und wie schneiden solche Lösungen im Vergleich ab? Den Teufel mit dem Belzebub austreiben ist erfahrungsgemäss keine gute Lösung.
    2. Wer von allen Schreibenden verwendet weder die Suche von Google noch irgendwelche sozialen Medien, schaut Fernsehen nur analog via alte Dachantenne und verwendet kein Mobile?

    Als Datenschützer und Risikomanager bin ich stehts bemüht, die Dinge gegeneinander abzuwägen, d.h. wo ist das Risiko gegenüber dem Nutzen optimal? Ich postuliere hier nicht, zu resignieren und den Datenschutz zu vergessen! Wir müssen jeden Tag dafür kämpfen und ich bin auch froh, dass es Leute wie Max Schrems gibt!
    ABER: Datenschutz ist ein Prozess, keine einmalige Angelegenheit. Dass hat die Artikel-29-Datenschutzgruppe (die geistigen Väter der DSGVO) schon zu Anfang immer gesagt.
    Darum bleiben wir wachsam, zeigen wir problematische Punkte auf und pochen auf Verbesserung. Aber lassen wir bitte die Menschen nicht mit der Information „Es ist alles schlecht, die bösen Grossen wollen uns fressen“ im Regen stehen! Zeigen wir auf, ob z.B. Microsoft Teams oder Zoom die bessere Lösung ist, wenn man auf Sicherheit und Schutz seiner Daten schaut (ich persönlich votiere ganz klar für Teams als kleineres Übel).

    P.S.: @HerBert: Mir ist hier in der Schweiz auch keine wirklich gute Lösung bekannt, aber es gibt einige funktionierende Ansätze.

  9. So richtig der Artikel auch ist und Microsoft hier rechtskonformer arbeiten sollte, muss ich leider sagen, dass eine flächendeckende Lösung wie Office365 für Schulen ein Strohhalm aus dem analogen Schulalltag ist und die Kinder und Lehrer damit wenigstens arbeiten können. Wenn man dagegen WhatsApp, Instagram /Facebook oder Snapchat betrachtet, ist der Mehrwert wesentlich geringer und die DSGVO Konformität noch deutlich kritischer.
    Sobald man als Schule aber hergeht und nur auf Apple iPads setzt, gibt es eine Klage wegen Verstoß gegen die Neutralitätspflicht – super…
    In der Praxis sieht es nunmal so aus, dass ein „normaler“ Lehrer mit Hang zur IT solche IT Projekte an Schulen stemmen muss. Dabei ist die Administration und Nutzung um einiges einfacher, als eine rechtskräftige Datenschutzerklärung aufzusetzen. Installation und Loslegen – das ist die Devise und nicht die eh schon knappe Zeit in eine Datenschutzerklärung „verschwenden“ und das Ganze dann auch noch an jeder Schule erneut.
    Am Ende kommen die Kinder nach 9-13 Jahren aus der Schule, sind BigBlueButton Profis und bekommen dann beim Arbeitgeber doch wieder Microsoft 365 vorgesetzt. Was ein Sieg für die DSGVO…

    1. Oh mann – vielen dank 👍 besser kann ich das kaum ausdrücken.

      Ich arbeite seit über 13 Jahren in der Schul-IT. Daher lese ich recht viel über dieses Thema. Die Essenz der Kommentare ist immer die selbe : der Datenschützer hat ja recht und bis auf ein paar Hardliner sind die Eltern froh das ihre Kinder überhaupt funktionierenden online Unterricht haben. Mit MS-Lösungen haben Eltern wenigstens die Chance ihren Kindern technisch zu helfen. Und wenn nicht dann beachte man tausende (auch deutsche) Video-Tutorials.

      Ich frage mich: Was wollt ihr den Kindern und Eltern antun? Nur weil Papa Datenschützer schon allein hobbyseitig seinen Kindern die perfekte Lösung bastelt, heißt das für die 95 anderen Prozent, erheblichen zeitaufwand sich in die jeweilige Insellösungen einzuarbeiten.

      Jetzt mal eine direkte Frage an den Datenschützer dessen Antwort mich wirklich interessiert:
      Muss man denn wirklich damit rechnen, dass MS365 in Schulen gesetzlich abgeschafft wird? Bei dem ganzen Aufwand den so viele Schulen gerade stemmen um ein funktionierendes System ein- oder weiterzuführen?
      Ganze Bezirke setzen darauf, bedenklich oder nicht. Verdeutlichen Sie sich mal die Höhe der Fördergeder und die Zeit der Lehrkräfte welche in Schulungen investiert wurden.
      Welcher Gesetzgeber und welches Ministerium möchte diesen Aufschrei den es geben wird denn Bitte aushalten? Ach ja, ohne auch nur den Ansatz einer gleichwertigen Alternative?
      Da könnte unser Gesundheitsminister von heute auf morgen auch das Rauchen abschaffen, mit weniger Widerstand und mehr Befürwortern.
      Bitte um eine ehrliche und realistische Antwort, danke.

      1. „Was wollt ihr den Kindern und Eltern antun?“

        Das möchte ich genau anders herum fragen. Nur weil die bisherigen Lehrer- und Elterngenerationen keinerlei IT-Inkompetenz haben, will man die Schüler auf Teufel komm auch weiter dumm halten? Wenn man IT-kompetente Schüler will die wissen was sie tun lautet die Lösung nämlich nicht weiter auf „Anwenderschulungen“ (Klicken sie hier, klicken sie da…) zu setzen, sondern Systemkompetenz (Funktionen, Schnittstellen) zu vermitteln. Wer IT-Kompetent ist findet sich nämlich schnell un problemlos in wechselnden Umgebungen zurecht.

        „Muss man denn wirklich damit rechnen, dass MS365 in Schulen gesetzlich abgeschafft wird? Bei dem ganzen Aufwand den so viele Schulen gerade stemmen um ein funktionierendes System ein- oder weiterzuführen?“

        Grundsätzlich: Ja.

        Dass die Schulen einfach offen Rechtsbrüche begehen, ist nicht nur dreist, sondern auch dumm. Zumal es genug Anbieter (auch aus Deutschland) gibt die bereits heute datensparsame, sichere und didaktisch ausgereifte Lernsysteme anbieten. Letzteres ist nämlich bei MS-Produkten gar nicht erst vorhanden. Wenn ich einen analogen scheiß Prozess digitalisiere, bekomme ich maximal einen digitalen scheiß Prozess…

  10. Ich nehme das mit dem Rechtsbruch gerne auf. Nicht nur an Schulen gibt es Betroffene.
    Die meisten Betroffenen sind die (abhängig) Beschäftigten und Angestellte in Behörden und Unternehmen. Sie sind am Ende gezwungen (Weisungsrecht des Arbeitgebers) diesen Rechtsbruch mitzutragen, sprich Sie müssen Windows10 und andere Datenabsaug-Produkte von Microsoft akzeptieren. Klar,wie oben gesagt, können die sich am Ende bei den internen Datenschutzbeauftragten und ggf. Aufsichtsbehörden beschweren…deswegen ist es wirklich interessant, was die Gewerkschaften dazu sagen und die Betriebsräte (denn die sind bei der Auswahl von Software mitbestimmungspflichtig)…

  11. Es ist unverantwortlich, dass in einem Land, dass die Digitalisierung verschlafen hat, Kinder unter dem Vorwand des Datenschutzes während der Pandemie nicht angemessen besc ult werden können, ohne dabei das geltende Recht zu brechen. Was ist mit dem Recht der Kinder auf Bildung und Lernen? Was ist mit der staatlichen Schulpflicht? Der Datenschutz ist zu einem Super-Grundrecht geworden, ähnlich wie das Recht auf Religionsfreiheit in den Nullerjahren. Wo bleibt da die Verhältnismäßigkeit? Und was sagt das über unsere Datenschutzgesetze aus, dass quasi jede Person Software nutzt, die angeblich ihre Grundrechte massiv verletzt und die Demokratie vermeintlich untergräbt? Die aktuelle Gesetzgebung ist technokratisch, theoretisch und völlig an der Lebenswelt vorbei. Selbst als deutscher Unternehmer ist es faktisch überhaupt nicht möglich, die Datenschutzregeln vollständig einzuhalten, wie viel Aufwand man auch dazu betreibt!

  12. Mir fehlt in allen Datenschutz-Diskussionen der konstruktive Aspekt:
    – Wird von den Datenschützern aktiv ein konstruktiver Dialog mit den Anbietern gesucht? Was ich lese sind immer nur Ablehnungen und Verhinderung.
    – Welche Alternativen, die auch funktional und aus sicherheitstechnischer Sicht vergleichbar sind, wurden bzgl. Datenschutz untersucht? Nur weil Daten in eigenen Rechenzentren gespeichert werden ist der Datenschutz und die Sicherheit nicht automatisch gegeben. Dafür gibt es leider viel zu viele Negativbeispiele.
    – Datenschutz ist wichtig, aber was ist mit dem Recht auf Bildung? Der erste Lockdown hat gezeigt, das unser Schulsystem in keinster Weise in der Lage ist, eine virtuelle Schule abzubilden. Alle vorhandenen und geplanten Plattformen haben das nicht leisten können. Ein Recht auf gleichberechtigte Bildung scheitert schon daran, dass es die unterschiedlichsten Systeme gibt und es so keinerlei Chancengleichheit geben kann. Ist also die Konsequent daraus lieber Einschränkungen bei der Ausbildung der Kinder in Kauf zu nehmen als EInschränkungen beim Datenschutz?
    – Nachbesserungen beim Datenschutz sind in einem konstruktiven Dialog leichter und schneller umzusetzen als ganze Online-Plattformen aufzubauen, die noch gar nicht existieren. Gefühlt entwickelt sich die Diskussion in Deutschland für mich immer mehr zu einem Digitalisierungs-Verhinderer statt Potentiale zu nutzen.

    1. Ja, das Recht auf Bildung ist ein hohes Gut. Und dieses Recht kann auf jeden Fall ohne die Microsoft-Produkte gewährleistet werden. Es gibt also software-seitig privatshärefreundliche Alternativen.
      Wegen des konstruktiven Dialogs: Gehen Sie doch als Beschäftiger mal auf die IT-Verantwortlichen heran, da hört man/frau schnell, Sie seien innovationsfeindlich und würden sich gegen den Betriebsablauf stellen. Zudem hat der Arbeitgeber ein Weisungsrecht. Also, sind die Fronten schnell schon verhärtet.

    2. Warum Kompromisse? Für wen bzw. warum? Weil die Suchmaschine so schön aussieht?

      Ich sehe dieses „Alternativen bieten“ als höchst problematisches Argument, das oft nur als Totschlagsargument benutzt wird, um Mogelpackungen zu bewerben.

      Es gibt bereits Onlineplatformen und Versatzstücke solcher und ähnlicher Sachen. Für sich gesehen sind die Techriesen insgesamt nicht gangbar. Ist auch ein strategisches Risiko – würden wir China oder Nordkorea das machen lassen? Wenn nein, dann sollten wir es andere auch nicht machen lassen. Wenn es überhaupt gehen kann, dann so abgeschottet, dass sämtliche Schnittstellen und Datentransfers unter Kontrolle der Auftraggeber sind. Also bei derzeitigem Verifikationsstand heißt das für kommerzielle im Wesentlichen: on-premise or nothing. (Oder selbst die Binärdateien aus Source Code bauen.)

      Das ist keine Extremposition, das hier sind die Fakten :).

      1. Und die Nachfrage „Warum die Eile, warum jetzt?“ wird gerne mit „Weil es sonst nie passiert!“ beantwortet.

        Diese Form der Alternativlosigkeit im Geiste bzw. auf der Agenda, erlaubt eine Einschätzung der Richtungen, die es mit diesen Leuten geben kann: keine.

  13. Ein Hochtechnologieland lässt sich NSA-totalüberwachen, hat keine Bodenschätze, alles KnowHow, was den Reichtum ausmacht.
    Dümmer geht nimmer.
    Im Übrigen hat Nadella die umfängliche (Aus- und Um-)Nutzung der „Datenabgase“ der Nutzer angekündigt, ist nur konsequent, dass Microsoftprodukte jetzt zwangsweise nach Hause telefonieren als gebe es kein Halten mehr:

    https://blogs.microsoft.com/blog/2014/04/15/a-data-culture-for-everyone

    Deine Verhaltensdaten sollen nun zu „assets“ werden …

    1. Naja, ist halt mit „Hinhalten“. Eine Richtung, andere Richtung.

      Man liefert sozusagen Ideen für den großen Bruder, kauft deren Produkte – dafür darf man ein wenig überleben. Wenn man noch mehr mit macht, darf man sogar ein wenig leben.

      Deswegen wird auch die Endgerätfilterung kommen, u.a. unter Aufwendung des Urheberrechts, sozusagen als „Früherkennung illegalen Verhaltens“, d.h. z.B. auch Midischnittstellenüberwachung – denn auch der Einzelne ist Ideenlieferant für die Industrie :). Erfindungen gehen dann auch nur noch via Konzern-„Anstellung“.

  14. Folgendes (erdachtes) Szenario: Ein Schüler hat nur Linux auf seinem PC, ebenso die ganze Familie, und sie verwenden nur Quelloffene und freie Software (Z.B. Libre Office, XFCE, Slackware Linux usw.)

    Erstes Problem: Die Schule sagt „Du mußt SM-Office verwenden, und Du mußt SM-Windoze 8 oder 10 verwenden“

    Darauf der Schüler „Meine Hardware läuft mit Firewall schnell genug für alles was ich brauche, Office, Browser, Video Player, alles zugleich. Jedoch ist die Hardware nicht schnell genug das alles unter SM-Witzlos zu leisten inklusive der Firewall (u.a. weil in Linux die Firewall Teil des Kernels ist und man kaum einen Unterschied merkt ob sie läuft oder nicht, ganz im Gegensatz zu Windows Systemen). Ich bin mit meinem System zufrieden. Und wir haben kein Geld für Rechner welche das gleiche unter SM-Witzlos leisten.“

    Gibt die Schule ihm nun ein Windows 10 System? Und Office 365 auf Kosten der Stadt / Landkreis / Bundesland / BRD?

    Und selbst wenn sie es täte, was ist wenn der Schüler die Datenschutzprobleme und andere IT Sicherheitsprobleme auflistet die solch eine Windows/Office365 Lösung mit sich bringt, und er seine GNU Linux/XFCE/Libre Office Lösung auch deswegen verwendet da er sich über Datenschutz und IT Sicherheit informiert hat.

    Kann die Schule sagen „ist uns alles egal, wir zwingen Dich Datenschutz und IT Sicherheit zu ignorieren. Nimm das was die große Firma für teuer Geld [s]uns angedreht hat[/s] anbietet und halte Deine Klappe. ([s]Der Bengel hört sich ja fast so an als hätte er mehr Ahnung als unsere IT Experten…[/s])“

    1. Ich denke im diesem erdachten Fall würde der Junge einfach Office365 über den offenen Browser seiner Wahl nutzen und es gebe gar keine Diskussionen…

  15. Interessant ist es ja schon, dass die meisten IT-Verantwortlichen, aber auch andere Leute, davon ausgehen, dass es keine ernstzunehmenden Alternativen gibt. Die Frage ist natürlich, was ist für den Online-Unterricht eigentlich nötig / erforderlich / hilfreich?
    Tatsächlich gibt es eine größere Anzahl von Möglichkeiten. Hier möchte ich beispielhaft die Stadt Ulm nennen, deren Lösung im folgendeen Interview darstellt wird: https://netzpolitik.org/2020/ulm-baut-offene-bildungsinfrastruktur-fuer-schulen/
    Im Zuge von Corona habe ich selbst einige Möglichkeiten getestet und kann eins sagen: Es funktioniert!
    Warum ist es dann nicht möglich, eine saubere Lösung für Schulen zu präsentieren / zu verwenden? Ich stelle fest, dass die Leute, die entscheiden sollen, praktisch ausschließlich Microsoft-Produkte nutzen und daher (in logischer Konsequenz) die Nutzung von MS-Teams als ideale Ergänzung „bewerben“. Gleichzeitig werden die datenschutzrechtliche Probleme kleingeredet.
    Dazu kommt, dass beispielsweise das Videokonferenzsystem BigBlueButton direkt mit MS-Teams verglichen wird: dort einige Hundert hauptberufliche Programmierer mit sehr gutem Verdienst, dort einige wenige Programmierer, die nebenher noch Geld verdienen müssen, weil niemand für die Programmierung und Pflege von BigBlueButton zahlen will. Nun ja – kennt ja keiner! MS gibt jährlich für Werbung und Beeinflussung von Entscheidern viele Millionen $ aus, BigBlueButton hätte gar nicht das Geld dafür … selber Schuld?
    Fakt ist jedenfalls, dass es Alternativen gibt, die auch gut funktionieren würden, wenn man das viele Geld, dass man amerikanischen Firmen gibt, endlich für eigene Lösungen in unserem Land ausgeben würde. Dazu bräuchte es allerdings wissende und mutige Entscheider und Berater.

    1. Strategisch planen. Nicht an der falschen Stelle sparen.

      Dann kann man diese Runde einfach auslassen oder bei minimalem Budget „irgendwie machen“, bzw.: ansonsten würde ich sagen, wenn ihr schnell etwas haben wollt:
      – Auf keinen Fall schnell aufgebohrtes oder Außer-EU-Cloud nutzen. Gilt auch für die Legislation, der ein Unternehmen unterworfen ist. Einfach nicht in Erwägung ziehen.
      – Viel Budget mit Richtlinien und Profis draufwerfen. Schnell kostet extra.
      – Wenn etwas dubioses verwendet werden muss, entweder abgeschottet, dann auch keine externen Geräte, oder nur als Zusatz an einem Kern-Lernsystem.
      – Am Besten mal landes- bzw. bundesweit eine Kernstrategie fahren (hihi). Oder mit mehreren Schulen/Institutionen zusammentun. Vielleicht hilft auch die UNI oder die andere UNI.

      Video, Chat, Whiteboards, Lernplatformen gibt es in relativen Haufen von bis. Mit einer Landschaft aus 2-3 Anwendungen werden Schüler noch eher zurechtkommen, als die, die das entscheiden.

  16. Es gibt sehr gute Alternativen: ITSLearning, Moodle, BBB und Jitsi, Nextcloud mit Onlyoffice und Talk als MS 365 Ersatz etc.
    Als Betriebssystem Linux (z.B. Zorin oder einfach Ubuntu) und als Server Univention Core Server aus Bremen.
    Damit kann man nicht nur einen DSGVO konformen, weil rein EU-basierten Datenkreislauf, aufbauen, sondern auch gleich noch die alte Hardware entlasten.
    Wenn denn unbedingt Windosen genutzt werden sollen, kann man die in dieser Umgebung auch problemlos vom Telemetrietropf trennen, ohne das MS da was drehen kann.
    Nur mal als Hinweis

  17. Ich empfinde Corona als einfaches und bequemes Argument der IT-Entscheider sich über Datenschutzvorschriften hinwegzusetzen und schnell mal Office365 durchzudrücken. Ich kann ja verstehen, dass es unglaublich bequem ist sich für Office365 zu entscheiden, aber die zentrale Frage lautet doch, was wir damit langfristig anrichten?

    In Europa und insbesondere in Deutschland legen wir bekanntlichermaßen einen größeren Wert auf Datenschutz und sollten das auch konsequent verfolgen und Datenschutz als „Wert an sich“ schätzen.

    Es ist bestimmt kurzfristig einfacher und billiger sich Microsoft oder anderen hautsächlich amerikanischen Cloud-Anbietern hinzugeben, jedoch sehe ich langfristig es als sehr erstrebenswert an, europäische Lösungen und/oder Open Source Lösungen zu verwenden um eine bessere Kontrolle über die eigenen Daten zu bekommen.

    Natürlich muss man bei so einer strategischen Entscheidung aufpassen, dass man so eine Lösung bis zur Unkenntlichkeit verbiegt und die Kosten explodieren, aber das ist ja bekanntlich eine anderes Problem.

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.