Hintergrund: Beschluss der Datenschutzkonferenz vom 24.11.2022 zu Microsoft 365

Stand: 13. Februar 2023

Das Office-Paket Microsoft 365 kann nach wie vor von Behörden und Schulen nicht ohne weiteres rechtskonform eingesetzt werden. Das haben die unabhängigen Datenschutzbehörden des Bundes und der Länder auf ihrer Datenschutzkonferenz (DSK) am 24.11.2022 festgestellt, nachdem sich ein Arbeitskreis intensiv im Dialog mit Microsoft mit dem Online-Angebot befasst hat.

Mit dem Microsoft-Dilemma an Schulen haben wir uns bereits vorher befasst. Diese Seite soll einige Hintergründe insbesondere zu dem DSK-Beschluss erläutern.

 

Was bedeutet der DSK-Beschluss?

Der DSK-Bericht stellt unter anderem heraus:

  • Es bestehen Unklarheiten darüber, in welcher Art und Weise Microsoft personenbezogene Daten für eigene Zwecke verwendet.

  • Eine "Nutzung von Microsoft 365 ohne Übermittlungen personenbezogener Daten in die USA" ist "nicht möglich".

Fest steht, dass Microsoft-Produkte wie MS365 oder auch Windows fortlaufend Daten über das Nutzungsverhalten oder den eigenen Rechner sammeln und an Microsoft-Server schicken. Welche Daten das im einzelnen sind, lässt sich nicht klar ermitteln (vgl. https://www.bsi.bund.de/DE/Service-Navi/Publikationen/Studien/Office_Telemetrie/telemetrie.html). Zudem kann sich die Art und Umfang der gesammelten Daten jederzeit ändern, da die Software auf den Cloud-Servern laufend aktualisiert und verändert wird.

Übermittlungen personenbezogener Daten in die USA werden insbesondere seit den Enthüllungen durch Edward Snowden kritisch gesehen. An dem PRISM-Programm zur Überwachung elektronischer Kommunikation durch die NSA waren 9 der größten Internetkonzerne und Dienste der USA beteiligt, u.a. Google, Facebook, Apple und Microsoft (vgl. https://de.wikipedia.org/wiki/PRISM).

Die Arbeitsgruppe der DSK hat sich ausschließlich mit dem Datenschutz im Zusammenhang mit der Auftragsdatenverarbeitung durch Microsoft befasst. Nicht befasst hat sich die Gruppe etwa mit Datenabflüssen oder Sicherheitsrisiken, die indirekt auf dem lokalen Rechner entstehen, wenn bestimmte Software installiert oder bestimmte Webbrowser genutzt werden müssen.

Für Schulen bedeutet das: Wenn die Schule MS 365 bzw. MS Teams einsetzt, kann sie nicht gewährleisten, dass die persönlichen Daten der Schülerinnen und Schüler ausreichend geschützt sind. Aus diesem Grund legen Schulen in der Regel den Eltern Einwilligungserklärungen vor, um die Verantwortung für Wahrung der Privatsphäre ihrer Kinder in dem Punkt an die Eltern zu übertragen.

 

Persönlichkeitsrechte stehen jedem einzelnen zu

Mit zunehmender Digitalisierung und den schnellen technologischen Fortschritten im Bereich der künstlichen Intelligenz wird auch der Schutz persönlicher Daten immer wichtiger.

Das Recht auf informationelle Selbstbestimmung steht jedem einzelnen zu. Es kann und darf nicht per Mehrheitsbeschluss ausgehebelt werden. Schüler:innen oder Eltern, die Bedenken haben, müssen nicht hinnehmen, dass für ihr Kind ein Microsoft-Konto erstellt wird.

Einwilligungen im Sinne der DSGVO müssen stets freiwillig und ohne Zwang erfolgen. Bei Nicht-Einwilligung dürfen den Betroffenen keine Nachteile entstehen.

Sprich: Auch wenn etwa im Elternbeirat oder im Schulforum ein Mehrheitsbeschluss zum Einsatz von MS365 herbeigeführt wird, dürfen für Schülerinnen und Schüler keine Nachteile entstehen, wenn sie oder ihre Erziehungsberechtigten nicht einwilligen möchten.

Nachteile entstehen aber, wenn in der Schule zum Beispiel

  • wichtige Informationen nur per MS Teams weitergegeben werden oder

  • relevante Unterrichtsbestandteile, etwa Schülerpräsentationen, mit MS365 über persönliche Schülerkonten gestaltet werden.

Auch wenn indirekt Druck ausgeübt wird, einzuwilligen, weil

  • die Schule zum Ausdruck bringt, dass doch "alle unterschreiben" oder

  • wenn nicht transparent kommuniziert wird, welche Bedeutung eine Einwilligung bzw. Nicht-Einwilligung hat,

dann ist keine Freiwilligkeit mehr gegeben.

Wir wissen, dass viele Lehrkräfte und Eltern das Produkt MS365 vielleicht auf Anhieb praktisch finden. Aber wenn Eltern oder Kinder in die Übermittlung ihrer persönlichen Daten nicht einwilligen, muss das respektiert werden - selbst wenn es sich um eine Minderheit handelt. Rechtswidriges Vorgehen darf keine Option sein.

 

Die Sache mit der Marktmacht

Die Entscheidung der Datenschutzkonferenz kam keineswegs überraschend. Datenschutzbedenken bei Microsoft-Produkten aufgrund der marktbeherrschenden Stellung sind zumindest unter Fachleuten seit Jahren hinlänglich bekannt (vgl. etwa https://www.heise.de/ct/artikel/Das-Microsoft-Dilemma-Windows-10-und-Office-in-Behoerden-3970996.html).

Bemerkenswert ist: Microsoft hätte einen großen Teil der Bedenken im Laufe der vergangenen Jahre ganz einfach ausräumen können, hat dies aber nicht getan. Man hätte etwa die Übermittlung von sog. Telemetriedaten mit einer Abschalt-Option versehen können. Technisch ist das kein großes Problem, zahlreiche andere Software-Produkte zeigen, dass das geht.

 

Es geht auch anders

Was im Unterricht aktuell mit MS365 gemacht wird, kann man mindestens genauso gut mit Nextcloud und OnlyOffice oder LibreOffice machen. Diese Tools sind zwar anders, aber nicht schlechter. Nextcloud als Cloud-Speicher wird mittlerweile von vielen Unternehmen DSGVO-konform angeboten. Sowohl Nextcloud als auch OnlyOffice sind sehr einfach zu bedienen und deshalb gerade für Kinder oder weniger IT-affine Menschen besonders interessant.

Um beim Beispiel der Office-Software zu bleiben: Anders als die Microsoft-Produkte sind sowohl OnlyOffice als auch LibreOffice auf jedem gängigen PC-Betriebssystem (Windows, Mac, Linux) lauffähig und zudem kostenlos. Somit können sie also auch von weniger finanzstarken Familien zu Hause genutzt werden. Eine Nutzung in einer Cloud ist bei beiden ebenfalls möglich, entweder datenschutzkonform bei einem von zahlreichen Anbietern oder auch kostenlos auf einem eigenen Server.

Listen von sicherer Software für verschiedene andere Anwendungen finden sich zum Beispiel auf den Seiten von Digitalcourage (https://digitalcourage.de) oder des IT-Sicherheitsexperten Mike Kuketz (https://www.kuketz-blog.de/empfehlungsecke/, https://www.kuketz-blog.de/bildungswesen-mit-welchen-alternativen-kann-die-abkehr-von-microsoft-gelingen/).

Auch die Anwendungen der BayernCloud Schule (https://www.bycs.de) basieren auf professionellen Software-Lösungen, die DSGVO-konform einsetzbar sind.

 

Was kann man tun, um die Privatsphäre der Kinder zu schützen?

Eltern oder Schüler:innen, die sich sich in Ihren Rechten verletzt sehen, können sich an den Landesbeauftragten für den Datenschutz, Thomas Petri, wenden. Das ist online möglich, eine Offenlegung des eigenen Namens gegenüber der Schule ist nicht notwendig. Laut einem aktuellen BR24-Bericht vom 13.2.2023 sieht Petri "vor allem bei 'Teams' [...] derzeit keine Möglichkeiten, das Programm datensicher einzustellen." Deshalb reiche es, "wenn sich ein Schüler, eine Mutter oder eine Lehrerin beschwert, damit eingeschritten wird.".

Allerdings stellt der Landesdatenschutzbeauftragte laut dem BR24-Bericht auch klar, dass er nicht von sich aus aktiv wird und "selbst keine Nachforschungen in diese Richtung anstellen" werde. Wenn Eltern (oder Schulen) also nicht selber aktiv werden, dürfte sich an der aktuellen Situation wenig ändern.

Ein offenes Gespräch mit der eigenen Schule ist immer ratsam. Schulen haben jedoch häufig nur begrenzten Einfluss auf ihre IT-Ausstattung, die in der Regel vom Sachaufwandsträger ausgewählt ist. Der ist wiederum von der Datenschutzproblematik nicht direkt betroffen. Sachaufwandsträger sind - je nach Schulart - im Schulforum oder im Gemeinsamen Elternbeirat (GEB) vertreten.

Der Elternbeirat kann das Thema "Digitaler Unterricht" auf die Tagesordnung des Schulforums/GEB setzen lassen. Unter dieser Überschrift lässt sich vieles diskutieren, vom Datenschutz über Medienkompetenz bis zur Frage, wer eigentlich die Tablets bezahlt.

 

Quellen