Ausbaden müssen es am Ende die Kinder – das Microsoft-Dilemma an Schulen

ein Kommentar von Prof. Dr. Gundolf Kiefer

17. September 2022

Noch immer verwenden Schulen im Unterricht digitale Werkzeuge, die mit Blick auf die Privatsphäre der Kinder oder die Neutralität der Schule problematisch sind. Leider unterschreiben wir Eltern aber allzu leichtfertig sogenannte “freiwillige” Einwilligungen, durch die dieser Zustand verfestigt wird. Leidtragende sind am Ende die Kinder. Dieser Kommentar soll einige Hintergründe aufzeigen und gleichzeitig appellieren: Wir müssen aufmerksam sein und die Schulen darin unterstützen, den Schutz unserer Kinder in der digitalen Welt ernst zu nehmen.

 

Neulich bei der Schuleinschreibung für eine weiterführende Schule: Neben diversen Formularen für die Anmeldung wird einer Mutter ein Formular “Einwilligung in die Nutzungsbedingungen […] zu Microsoft Teams […] und die mit der Nutzung verbundene Verarbeitung von Daten” überreicht. Das soll sie unterschreiben. Auf die Frage, ob sie diese “Nutzungsbedingen” mal sehen könne, hieß es, die habe man nicht zur Hand und müsse sie erst suchen. Außerdem sei sie die erste, die danach frage. Alle anderen Eltern hätten einfach unterschrieben.

Aha. Lesen Eltern also gar nicht, was sie unterschreiben? Muss sich die Mutter jetzt schämen, weil sie nachgefragt hat?

Wer die Nutzungsbedingungen liest und alles versteht, stellt fest: Es geht hier um die Persönlichkeitsrechte des Kindes.

Nicht ohne Grund wird der Einsatz von Microsoft Teams oder Microsoft 365 an Schulen schon länger von Fachleuten kritisiert, unter anderem, weil ein datenschutzkonformer Einsatz an Schulen praktisch kaum möglich ist. Einige Bundesländer verbieten den Schulen diese Produkte mittlerweile grundsätzlich (Baden-Würtemberg, Rheinland-Pfalz).

 

Alles freiwillig, oder nicht?

Egal, denkt die Mutter. Denn in dem Formular ist ein Wort fett hervorgehoben: das Wort “freiwillig”. Die Einwilligung sei freiwillig. Also braucht sie die ja gar nicht zu unterschreiben.

Oder vielleicht doch?

Auf ihre Frage, ob sie die Einwilligung überhaupt abgeben müsse, heißt es, eine Einwilligung zu Microsoft Teams sei zwar keine Voraussetzung zur Aufnahme an der Schule. Allerdings würden für alle neuen Schüler Zugänge angelegt, und diese seien Voraussetzung für die Teilnahme am digitalen Unterricht. Und man wünsche schon, dass sie die Einwilligung unterschreibt.

Besonders “freiwillig” klingt das nicht.

Die Weitergabe personenbezogener Daten durch die Schule an den Microsoft-Konzern ist nach der Datenschutzgrundverordnung (DSGVO) nur auf Basis einer freiwilligen Einwilligung der Betroffenen (beziehungsweise ihrer gesetzlichen Vertreter) zulässig (Art. 7 DSGVO). Freiwillig heißt: ohne Zwang. Davon kann hier aber nicht die Rede sein, denn zwischen Schule und Schüler(inne)n besteht ein Machtgefälle. Die DSGVO behandelt genau diesen Fall im Erwägungsgrund 43.

Sprich: Die Einwilligung ist nicht freiwillig im Sinne der DSGVO, denn ohne das Microsoft-Konto kann das Kind an wesentlichen Teilen des Unterrichts nicht teilnehmen.

Die Geschichte ist kein Einzelfall. Viele Schulen nutzen noch Microsoft Teams oder Microsoft 365 und lassen derartige “freiwillige” Einverständniserklärungen unterschreiben.

 

Das Problem mit dem Datenschutz

Worin bestehen genau die Probleme hinsichtlich des Datenschutzes? Es sind im Wesentlichen zwei Punkte:

  1. Die Weitergabe personenbezogener Daten an einen US-Konzern. Ein US-Konzern kann laut einem Urteil des Europäischen Gerichtshofes von 2020 (dem sog. Schrems-II-Urteil) nicht das in Europa übliche Datenschutzniveau einhalten, weil US-Behörden auf die Daten zugreifen könnten. Das gilt übrigens grundsätzlich auch, wenn sich die Server auf EU-Gebiet befinden, was ja gerne oft betont wird (vgl. CLOUD Act).

  2. Das Sammeln von Nutzungsdaten, mit denen sich über die Zeit ausführliche Profile erstellen lassen. Das Sammeln von Nutzungsdaten ist zwar – laut Hersteller – in bestimmten Schulversionen abgeschaltet, unabhängig überprüfen lässt sich das aber nicht. Eigene Untersuchungen am 17.9.2022 haben gezeigt, dass bereits beim Aufruf der Login-Seite Nutzungsdaten an Microsoft-Server übermittelt werden, die sich zudem augenscheinlich in den USA befinden. Die Schule hatte vorher in Ihrer Erklärung geschrieben, die Verarbeitung "persönliche[r] Daten" fände "grundsätzlich in Europa" statt.

Darüber streiten seit Jahren die Fachleute. Unabhängig von einer eher formalen Sichtweise: In der Praxis dürften noch erheblich mehr Daten an Microsoft oder auch andere Großkonzerne (zum Beispiel Google, Apple) weitergegeben werden. Das liegt daran, dass auf dem Endgerät bestimmte Software verwendet werden muss, die sich von Nicht-Fachleuten kaum datensparsam einstellen lässt – etwa ein Betriebssystem, eine App oder ein bestimmter Web-Browser. Das Betriebssystem MS-Windows versendet zum Beispiel regelmäßig Nutzungsdaten an Microsoft. Abstellen lässt sich das nur mit sehr guten Fachkenntnissen.

Besonders problematisch wird es, wenn private Endgeräte zum Einsatz kommen und darauf bestimmte Software installiert werden muss, die dann die Sicherheit des Gerätes gefährdet.

 

Das Problem mit den privaten Endgeräten

Wer auf seinem privaten Rechner die MS-Teams-App installiert, muss akzeptieren, dass diese App bei der Installation höchst sensible Systemeinstellungen verändert, ohne den Benutzer darüber zu informieren. So verschafft sich Microsoft etwa auf einigen Linux-Rechnern die Möglichkeit, im Zuge von automatischen Updates beliebige weitere Software auf dem Gerät zu installieren, damit auch zentrale Systemprogramme auszutauschen und so die vollständige Kontrolle über das Gerät zu erlangen.

Es ist zwar nicht gesagt, dass Microsoft das wirklich tut. Aber der Konzern besitzt damit sozusagen einen Generalschlüssel für den eigenen Rechner mit allen darauf gespeicherten Daten. Dessen sollte sich jeder bewusst sein.

Nach einer Deinstallation der App bleiben die Systemänderungen übrigens unverändert bestehen. Solange man es nicht bemerkt und manuell eingreift, bleibt der Rechner weiter durch Microsoft manipulierbar.

Uns ist keine Schule bekannt, die die Eltern auf diesen Umstand hingewiesen hat.

 

Das Problem mit den Web-Browsern

Wer jetzt denkt, er könne das vermeiden, indem er eben nicht die MS-Teams-App installiert, sondern MS Teams per Webbrowser benutzt, kommt vom Regen in der Traufe: Denn die beiden einzigen vollständig unterstützten Webbrowser sind sind der hauseigenen Browser Edge sowie Google Chrome (Quelle: Microsoft, Stand 8.7.2022).

Das Interessante dabei: Selten weisen Schulen oder Sachaufwandsträger darauf hin, dass ausschließlich diese beiden Browser vollständig unterstützt werden. Oft heißt es kurz, ein “gängiger” Browser würde funktionieren. Das stimmt so nicht.

Die beiden Browser Edge und Chrome sind sicherlich weit verbreitet. Sie sind auf Windows-PCs (Edge) beziehungsweise Android-Smartphones (Chrome) vorinstalliert und kaum jemand macht sich die Mühe, einen anderen Browser zu installieren. Manchmal werden einem dabei auch Steine in den Weg gelegt. Es gibt aber andere Browser und gute Gründe, sie zu benutzen.

Beim Surfen im Internet gibt man – oft unbewusst – sehr viele private Informationen preis. Alleine die Liste der aufgerufenen Webseiten oder der Suchabfragen kann sehr viel über den persönlichen Lebenswandel aussagen – über Hobbys, Jobsuche, Finanzen, Gesundheitsfragen. Aktuelle Webbrowser kommunizieren deutlich mehr über das Internet, als vielen Normalanwendern bewusst sein dürfte. Eine Untersuchung gängiger Browser findet sich in der Zeitschrift c’t 14/2021, Seite 18. Gerade Edge und Chrome geben dort kein gutes Bild ab: Beide übertragen etwa in den Grundeinstellungen jeden einzelnen Buchstaben, der in die Adresszeile getippt wird, an Microsoft beziehungsweise Google und lassen sich kaum so konfigurieren, dass sie keine Daten an ihre Hersteller schicken.

Wer Wert auf seine Privatsphäre legt, verwendet deshalb häufig einen alternativen Browser wie Firefox, Brave oder Chromium. In dem freien App-Store F-Droid finden sich mehrere Browser für Android-Geräte, die explizit das Ziel haben, die Privatsphäre des Nutzer zu schützen.

Um es klar zu sagen: Hier soll niemand “bekehrt” oder gar dazu gedrängt werden, sofort seinen Web-Browser zu wechseln. Aber Schulen sollten bitte respektieren, wenn manche Eltern die Browser Edge oder Chrome auf ihren privaten Geräten nicht installieren möchten.

Unsere Kinder sollten eigentlich im Zuge der Medienbildung über die Problematik der Datenspuren beim Internet-Surfen und mögliche Lösungen aufgeklärt werden. Das wird aber schwierig, wenn schon allein beim digitalen Unterricht freie Webbrowser nicht funktionieren und die Schule das nicht als Problem sieht. Gerade im Schulbereich ist es wichtig, Tools zu verwenden, die ohne Einschränkungen mit freien Webbrowsern nutzbar sind.

 

Das Problem mit der Digitalen Souveränität und den Steuergeldern

Dass deutsche Behörden durch Lock-in-Effekte in bedenklichem Umfang von Microsoft abhängig sind, ist seit Jahrzehnten bekannt. So stiegen etwa die Ausgaben der Bundesministerien für Microsoft innerhalb von vier Jahren (2015-2019) von 43,5 Mio. Euro auf 177,2 Mio. Euro an. Für einen Konzern lohnt sich das, für den Steuerzahler eher nicht.

Will man bei der Digitalisierung der Schulen jetzt etwa die gleichen Fehler machen wie vor 20 oder 30 Jahren? Digitale Souveränität geht anders.

Dies betrifft nicht nur Microsoft-Produkte. Ganz allgemein sollte bei der Beschaffung von IT-Produkten immer geprüft werden, welche Abhängigkeiten dadurch entstehen.

 

Wie der schwarze Peter weitergereicht wird

Auf diese Punkte angesprochen, hat ein Sachaufwandsträger dem BEV lediglich wortreich erklärt, dass und warum Microsoft als IT-Anbieter “datenschutzkonform” sei. Das ist aber nur die halbe Wahrheit. Denn Datenschutz bezieht sich grundsätzlich auf den Vorgang der Datenverarbeitung, nicht auf einen Dienstleister oder ein Software-Produkt.

Ein Beispiel: Ist ein Küchenmesser verboten? Man kann damit völlig legal Wurst in Scheiben schneiden. Es wäre aber verboten, jemanden damit zu verletzen oder zu bedrohen. Es kommt also auf den Vorgang beziehungsweise auf die Tätigkeit an.

Der Sachaufwandsträger (die Stadt oder Kommune) stellt nur das Werkzeug zur Verfügung, führt aber nicht den Unterricht durch. Damit ist er fein raus, denn er kann selbst keine Datenschutzverletzung begehen. Die Schulen setzen MS Teams im Schulunterricht ein und tragen die Verantwortung. Sie sind aber regelmäßig überfordert damit, denn MS Teams an Schulen datenschutzkonform einzusetzen ist so gut wie unmöglich.

Zusammengefasst:

  • Der Sachaufwandsträger verstößt nicht gegen den Datenschutz, denn er führt selbst keinen Unterricht durch. Verantwortlich ist die Schulleitung.

  • Die Schulleitung ist – verständlicherweise – regelmäßig damit überfordert, die notwendigen Regeln einzuhalten. Also hofft sie, dass die Eltern kritiklos die “freiwillige” Einwilligung unterschreiben.

  • Eltern möchten keinen Streit mit der Schulleitung oder sind vielleicht, auch mangels klar verständlicher Informationen, ebenfalls überfordert. Sie unterschreiben.

Allen bisher genannten Akteuren ist eines gemeinsam: Es geht nicht um ihre Daten oder ihre Zukunft.

  • Betroffen sind die Kinder. Um ihre Daten geht es. Doch Kinder können sich nicht wehren.

Der schwarze Peter wandert also Schritt für Schritt vom Sachaufwandsträger über die Schulleitung an die Eltern und verbleibt schließlich bei den Kindern.

 

Ist doch nicht so schlimm, oder?

Was würden Sie sagen, wenn die Schule von jedem (Grund-)Schüler verlangt, täglich eine Zigarette zu rauchen? Eine Zigarette ist doch nicht so schlimm, oder?

Eine Datenschutzverletzung schadet selten sofort. Aber vielleicht möchten unsere Kinder in 10 bis 20 Jahren mal in die USA einreisen und wundern sich dann, warum die Einreise verwehrt wird. Oder sie bewerben sich um einen Job und staunen, was der mögliche Arbeitgeber schon alles über sie weiß. Oder sie wundern sich, dass sie bei der Bank viel höhere Kreditzinsen bezahlen müssen als ihr Nachbar, ihr Kredit-Score also offenbar schlechter ist.

Vielleicht erfahren sie dann, dass die US-Konzerne über die Jahre im Stillen umfangreiche Profile anhand ihrer Daten gebildet haben, die dann wiederum im Laufe der Jahrzehnte doch irgendwann mal per Datenleck veröffentlicht oder anderswo weiterverarbeitet wurden. Wahrscheinlich erfahren sie es aber nicht, denn die Gründe für eine Job-Absage oder eine negative Kreditentscheidung werden selten offen gelegt.

 

Fazit

Laut DSGVO verdienen Kinder mit Blick auf ihre personenbezogenen Daten besonderen Schutz, da sie sich der Risiken und Folgen ebenso wie ihrer Rechte möglicherweise nicht bewusst sind.

Wir müssen uns fragen: Nehmen wir die Belange unsere Kinder wirklich ernst?

Für alle gängigen Aufgaben im digitalen Schulleben gibt es selbstverständlich gut funktionierende und datenschutzkonform einsetzbare Produkte, in Bayern wird zudem die BayernCloud Schule stetig weiterentwickelt. Man muss nur den Willen haben, sie einzusetzen. Dann ist es auch für die Schulen einfacher, digitalen Unterricht durchzuführen.

Meine Meinung: Wir Eltern sollten die Schulen darin bestärken, den Schutz unserer Kinder in der digitalen Welt ernstzunehmen. Das können wir tun, indem wir in den entsprechenden Gremien – Elternbeirat, Gemeinsamer Elternbeirat, Schulforum – auch einmal kritische Fragen stellen. “Einverständniserklärungen”, die nicht zweifelsfrei geltendem Recht entsprechen, müssen aus dem Schulbetrieb verschwinden. Es muss in Ordnung sein, auch mal zu sagen: “Sorry, ich verstehe diese Einwilligungserklärung nicht, ich möchte sie nicht unterschreiben.”

Da sollten wir aufmerksam sein – unseren Kindern zuliebe.