Schuelerinnen arbeiten mt Tablets
Bildrechte: picture alliance / GEORGIOS KEFALAS

Computer in Schulen

    Niemand entscheidet, ob Microsoft-Office an Schulen legal ist

    Zwischen Microsoft und den deutschen Datenschutzbeauftragten läuft ein Schlagabtausch. Grund: Bei Office 365 bleiben trotz Nachbesserungen Fragen zur Verwendung der Userdaten offen. Verantwortliche an den Schulen sind seit Jahren im Ungewissen.

    Thomas Petri ist Bayerns Landesbeauftragter für den Datenschutz und muss als solcher überwachen, dass öffentliche Stellen beim Umgang mit Daten alles richtig machen. Petri kann also Behördenchefs oder Schuldirektorinnen vorschreiben, etwas zu unterlassen, wenn er darin eine Gefahr für die persönlichen Daten Einzelner sieht. So mussten zum Beispiel Polizeidienststellen schon ihre Kameras abhängen oder anders positionieren, weil die zu viel aufgenommen hatten.

    Im Moment muss sich Petri aber mit einem Problem auseinandersetzen, dass sich nicht mit ein paar Handgriffen beheben lässt. Das Problem heißt: Office 365. Dieses Softwarepaket bietet der US-Konzern Microsoft als Abo mit Anbindung an die Cloud an. Nicht nur Thomas Petri, sondern alle Datenschutzbeauftragten der Bundesländer erkennen derzeit einen grundlegenden Konflikt mit Microsoft. Ein Teil der Daten wandert in die USA und wird dort auf den Servern des Unternehmens ausgewertet unter anderem um zu sehen, wie man die Software noch verbessern könnte. Nachdem der EuGH bereits zweimal ein Datenschutzabkommen zwischen den USA und Europa gekippt hatte, steht jeder Datentransfer über den Atlantik derzeit auf tönernen Beinen.

    Microsoft-Verträge sind intransparent

    Womöglich wird zwar für dieses Problem bald eine Lösung gefunden. Denn US-Präsident Joe Biden und EU-Kommissionspräsidentin Ursula von der Leyen wollen demnächst ein neues Datenschutzabkommen auf den Weg bringen. Die Schwierigkeiten, die Datenschützer wie Thomas Petri mit Office 365 haben, sind damit aber noch lange nicht beseitigt.

    Öffentliche Stellen dürfen nämlich nicht einfach zusehen, wenn Microsoft User-Daten an die eigenen Server schickt, um damit die eigenen Dienste zu verbessern. Es gehört laut Petri einfach nicht zum Aufgabenbereich staatlicher Stellen, kommerzielle Firmen bei der Verbesserung ihrer Produkte zu unterstützen. Ein Zielkonflikt also.

    Was passiert mit den Daten, die verarbeitet werden?

    Was aber ein noch größeres Problem darstellt: Microsoft verstößt nach Petris Ansicht gegen eines der Grundprinzipien der Datenschutzgrundverordnung, nämlich gegen das Prinzip der Transparenz. Das besagt, dass es klar nachvollziehbar sein muss, was genau mit den Daten passiert, die eine Firma verarbeitet. Bei Microsoft herrscht hier völlige Unklarheit:

    "Versuchen Sie mal, anhand der Unterlagen, die Microsoft zur Verfügung stellt, herauszufinden, welche personenbezogenen Daten Microsoft verarbeitet. Das wird Ihnen nicht gelingen." Thomas Petri, Bayerischer Landesbeauftragter für den Datenschutz

    Selbst versierte Nutzerinnen und Nutzer werden demnach nicht durchschauen, was mit den Daten passiert, weil das Vertragswerk für Office 365 einfach zu kompliziert und verworren ist.

    Welche Art von Daten fließen an Microsoft?

    Der US-Konzern versucht mit der Datenauswertung, vor allem die IT-Sicherheit und die Qualität der Produkte zu verbessern. Im Prinzip hat davon also auch die Kundschaft etwas. Trotzdem dürften es manche User beunruhigend finden, wenn sie erfahren was alles abfließt. "Das ist unglaublich viel", sagt Petri.

    Es gehe dabei um Log-Files, also um Protokolle, die beschreiben, was im PC an Rechenprozessen stattgefunden hat. Aber auch Teile von Texten werden gesammelt. Manchmal seien es auch nur Wortfetzen, die rausgenommen würden, so Petri. Klar ist: Wer etwas streng Geheimes notieren möchte, sollte das nicht etwa mit Word von Office 365 tun.

    Dürfen Schulen jetzt Office 365 einsetzen?

    Microsoft beteuert, die Datenschutzregeln einzuhalten. Nach ersten Bedenken der deutschen Datenschutzbeauftragten besserte das Unternehmen im September dieses Jahres noch einmal nach. Doch Thomas Petri und seine Kolleginnen und Kollegen sind noch immer nicht zufrieden und geben für Office 365 weiterhin nicht generell grünes Licht. Allerdings sagen die Datenschützer auch nicht klipp und klar "nein" zu den Microsoft-Programmen. Auf unsere konkrete Frage, ob Schulen die Software anwenden dürfen, antwortet Petri: "Was nicht geht, ist, es einfach von der Stange zu nehmen und anzuwenden."

    Es gibt jedoch schon Möglichkeiten, die Datensicherheit selbständig zu erhöhen. So könne man sich auf eine für den öffentlichen Sektor zugeschnittene Version konzentrieren und man solle diese Version datenschutzfreundlich konfigurieren, so Petri weiter.

    Wer sich als Lehrer an Microsoft wendet und nach einem passenden Office-Paket fragt, bekommt die sogenannte Standard Education Version empfohlen, die ist für Bildungseinrichtungen in der Grundversion A1 kostenlos.

    Bildrechte: BR

    Chatantwort auf die Frage nach einer Lehrerversion von Office 365

    Um sicher zu gehen, dass man damit wirklich datenschutzkonform unterrichten kann, müsste man also prüfen, ob diese Version Daten versendet und, wenn ja, welche und zu welchen Zwecken. Eine Aufgabe, die die allermeisten Schulen überfordern dürfte, wie auch Thomas Petri zugibt. Er selbst weiß es auch nicht auf Anhieb.

    Eigentlich wäre das Kultusministerium am Zug

    Wäre es nicht hilfreich, wenn die Datenschutzbehörden, dem Personal an den Schulen eine Empfehlung geben würden, wie es mit den verschiedenen Versionen von Office 365 umgehen soll? Unsere Frage geht an Michael Will, den Präsidenten des Landesamts für Datenschutzaufsicht; er ist in Bayern das Pendant zu Thomas Petri, wenn es um Datenschutz in Unternehmen geht.

    Will leitet zudem die Konferenz mit den Datenschutzbeauftragten der anderen Bundesländer, die sich mit dem Microsoft-Problem befasst. Einen Waschzettel für die Schulen zu erstellen, ist seiner Ansicht nach allerdings nicht die Aufgabe der Datenschutzbeauftragten. Will verweist auf das Staatsministerium für Unterricht und Kultus. Als Aufsichtsbehörde muss es demnach regeln, welche IT-Produkte in den Schulen eingesetzt werden und welch nicht.

    Schulen befinden sich in einem Schwebezustand

    Wir fragen auch dort nach. In der schriftlichen Antwort heißt es: "Einstweilen raten wir den Schulen, die mit MS 365-Produkten arbeiten, zu einer möglichst datensparsamen Konfiguration und dabei insbesondere einer Einschränkung der Verwendung der Online-Komponenten des Produkts sowie einer Nutzung der Cloud-Komponenten von MS 365 ausschließlich auf freiwilliger Basis." Auch das ist keine klare Anweisung.

    Und so befinden sich die Schulen in einem Schwebezustand und wissen nicht, ob sie jene Software, die eigentlich alle aus dem privaten Leben gut kennen, auch in den Klassenzimmern benutzen dürfen. Und dieser Schwebezustand hält nun schon seit über zwei Jahren an – die Datenschutzbeauftragten hatten im Herbst 2020 zum ersten Mal den Datenschutz bei Office 365 angemahnt.

    Das ist die Europäische Perspektive bei BR24.

    "Hier ist Bayern": Der BR24 Newsletter informiert Sie immer montags bis freitags zum Feierabend über das Wichtigste vom Tag auf einen Blick – kompakt und direkt in Ihrem privaten Postfach. Hier geht’s zur Anmeldung!