In der europäischen Datenschutzgrundverordnung sind ein paar Dinge klipp und klar geregelt. Dazu gehört das Transparenzgebot, wonach Daten in einer nachvollziehbaren Weise verarbeitet werden müssen. Microsoft kann genau das mit seiner Bürosoftware Office 365 aber nicht erfüllen. Es geht um Programme, die fast jeder tagtäglich nutzt, wie Word, Excel, Powerpoint oder Teams. Die deutschen Datenschutzbeauftragten haben schon mehrmals mit dem US-Konzern konferiert, um sich erklären zu lassen, was diese Programme alles mit unseren Daten anstellen und wo sie überall landen können. Befriedigende Antworten wollte oder konnte Microsoft nicht liefern. Die Datenschutzkonferenz, das ist die Gruppe, in der sich alle deutschen Datenschutzbeauftragten abstimmen, brachte deshalb im vergangenen November ihre "Bauchschmerzen" beim Einsatz von Office 365 offiziell zum Ausdruck.
Office 365 soll von Schulen in Baden-Württemberg verschwinden
In Baden-Württemberg will die Datenschutzaufsicht das Problem jetzt offenbar nicht mehr weiter einfach so weiterlaufen lassen. Im Tätigkeitsbericht der Behörde heißt es "Wir empfehlen dringend allen Schulen, rasch umzustellen." Beim Test mit einer speziell datensparsam konfigurierten Version von Microsoft 365 seien immer noch zahlreiche Datenflüsse und Übermittlungen personenbezogener Daten festgestellt worden, so die Behörde. Falls die Schulen ihrer Aufforderung nicht nachkommen, drohen ihnen angeblich auch Schadenersatzforderungen von Betroffenen. Dem Kultusministerium rät die Behörde, die Bildungsstätten mit Nachdruck auf diese Problematik hinzuweisen, um sie vor Schaden zu bewahren.
Warum manche Schulen in Bayern auf Visavid umsteigen müssen
Bayerns Landesbeauftragter für den Datenschutz, Thomas Petri, will nicht so weit gehen, wie seine Kollegen in Stuttgart. Er wolle die Schulen nicht noch mehr belasten und ihnen deshalb Office 365 auch nicht grundsätzlich verbieten, so Petri im Interview. Solange mit dem Einsatz des Programmes alle Beteiligten zufrieden sind, sieht auch er keinen Grund aktiv zu werden. Er werde selbst keine Nachforschungen in diese Richtung anstellen, so der oberste Datenschutzkontrolleur.
Klar ist aber auch: Wenn es Beschwerden gibt, weil sich jemand in seinen Rechten verletzt sieht, führt das zu Konsequenzen. Vor allem bei "Teams" sieht Petri derzeit keine Möglichkeiten, das Programm datensicher einzustellen. Deshalb reicht es, wenn sich ein Schüler, eine Mutter oder eine Lehrerin beschwert, damit einschritten wird. Er werde die Nutzung dann an der jeweiligen Schule verbieten, so Petri. An ein paar Schulen ist das schon passiert. Welche und wie viele es genau waren, dazu gibt es keine Auskunft. Die betroffenen Schulen müssen dann jedenfalls auf Alternativen, wie Visavid umsteigen.
Petri bietet How-To für Schulen an
Bei den übrigen Programmen des Office-Paketes, versucht der bayerische Datenschutzaufseher einen Mittelweg zu gehen, der möglichst wenig Reibungsverluste im Schulalltag verursacht. Seine Behörde bietet den Schulen an, auf Wunsch eine Art Bedienungsanleitung zu erstellen, um Office 365 so einzustellen, dass möglichst wenige Daten übertragen werden. Dafür müsse die Schulverwaltung aber erst einmal auf ihn zukommen und die Initiative ergreifen. Ein Sprecher des Kultusministeriums erklärte dazu auf Anfrage, man stehe derzeit mit dem Landesamt bereits genau zu der Frage einer datensparsamen Konfiguration im Austausch.
Daten können immer bei US-Geheimdiensten landen
Die Schulen sind in der Debatte um Office derzeit die Leidtragenden eines Missstands viel größeren Ausmaßes. Es geht dabei um den Datentransfer von Europa in die USA. Der transatlantische Informationsfluss ist derzeit grundsätzlich nicht legal. Der Europäische Gerichtshof hat bereits zweimal entsprechende Vereinbarungen für nicht rechtskonform erklärt. Im Jahre 2015 wurde das sogenannte Save Harbour Abkommen einkassiert, im Jahr 2020 das Privacy Shield Abkommen.
Beide Urteile hatte der österreichische Rechtsanwalt und Datenschutzaktivist Max Schrems erwirkt. Seiner Ansicht nach hakt es vor allem in der US-Gesetzgebung. Darin würden die Datenströme zweigeteilt. "Der Teil, der amerikanische Bürger betrifft, darf nicht überwacht werden, weil das grundrechtswidrig wäre in den USA. Der Teil der Ausländer betrifft, der wird sozusagen massenüberwacht."
US-Geheimdienste können ohne richterlichen Beschluss von den US-Unternehmen die Herausgabe von Daten ausländischer Nutzerinnen und Nutzer verlangen. Und deshalb kann es durchaus sein, dass die Kommunikation etwa zwischen Lehrerinnen und Schüler auf den Servern der NSA landet. Das wird wahrscheinlich nicht die Regel sein. Und man braucht auch ein wenig Phantasie, um sich einen Fall zu konstruieren, bei dem deutsche Lehrerinnen oder Schüler ins Visier der US-Geheimdienste geraten. Doch das wesentliche Ziel Datenschutzes ist es, dass man sich in jedem Fall auf einen sauberen Umgang mit den eigenen Daten verlassen kann. "Jeder hat etwas zu verbergen - seien es finanzielle Dinge, körperliche Angelegenheiten oder die Gesundheit", sagt Petri.
Das ist die Europäische Perspektive bei BR24.
"Hier ist Bayern": Der BR24 Newsletter informiert Sie immer montags bis freitags zum Feierabend über das Wichtigste vom Tag auf einen Blick – kompakt und direkt in Ihrem privaten Postfach. Hier geht’s zur Anmeldung!