Baden-Württembergs digitale Bildungsplattform

Pilot zur Nutzung von Office 365 an Schulen gestartet

Seite: 2/2

Firma zum Thema

Praxistest konkretisiert verbesserte Datenschutz-Folgenabschätzung

Das Kultusministerium will mit dem cloudbasierten Produkt Microsoft Office 365 allen Schulen ein Angebot bereitstellen, so wie es das mit dem Messenger-Dienst Threema und der Webkonferenz-Software BigBlueButton für LehrerInnen an Schulen bereits getan hat – mit Empfehlung der Datenschützer.

Die erste Datenschutz-Folgenabschätzung des Kultusministeriums musste der Landesdatenschutzbeauftragte noch zurückweisen, da sie erhebliche datenschutzrechtliche Defizite aufwies, die bei einem so gewichtigen und sensiblen Projekt nicht akzeptabel erschienen. Das Kultusministerium hat nun Mitte Oktober eine zweite, ergänzte und erheblich überarbeitete Risiko-Abschätzung vorgelegt, die zwar noch nicht alle datenschutzrechtliche Fragen beantwortet, aber eine hinreichende Grundlage für den jetzt anstehenden Piloten darstellt.

Dabei bleiben allerdings – gerade beim Einsatz von US-Dienstleistern – erhebliche Unwägbarkeiten: Mit Blick auf das Schrems II-Urteil des Europäischen Gerichtshofes vom Juli 2020 ist derzeit offen, wie zukünftig Datentransfers aus der EU in die USA überhaupt legal möglich sind. Und diese Frage wird nicht in Baden-Württemberg, sondern letztlich auf europäischer Eben entschieden. Auch dies ist ein wichtiger Grund, warum Schulen bei den genutzten Softwarelösungen immer auf verfügbare und verlässlich einsatzbare Alternativen schauen sollten.

Nicht nur die Risiko-Abschätzung des Kultusministeriums hat sich weiterentwickelt, auch in seinen Gesprächen mit Microsoft konnte der LfDI Fortschritte erzielen: „Das Angebot des Kultusministeriums wird auf spezielle Softwareversionen bauen, welche hinsichtlich des Abflusses von Daten an den Anbieter (sogenannte Telemetriedaten) und der Beobachtung der Nutzer den bisher an unseren Schulen eingesetzten Versionen wesentlich überlegen, also datensparsamer sind“, heißt es dazu aus dem Kultusministerium.

Microsoft kommt zudem der Forderung des Datenschützers Brink nach, die Verschlüsselung der Daten zu verbessern, die eigenen Verarbeitungszwecke zu reduzieren und auch eine Anleitung der LehrerInnen zu datensparsamer Nutzung (Nutzerführung) zu implementieren. Zudem hat Microsoft eine erhebliche Stärkung der Nutzerrechte gegenüber den Zugriffen von US-Sicherheitsbehörden, etwa durch Rechtsschutzgarantien und Schadensersatzverpflichtungen in Aussicht gestellt und zugesichert, dass alle Verarbeitungen der Daten ausschließlich in Deutschland stattfinden.

Im Pilotprojekt wird Stefan Brink nun prüfen, ob die in der Datenschutz-Folgenabschätzung beschriebenen Datenflüsse auch den tatsächlich messbaren entsprechen und ob ein hinreichendes Datenschutzniveau auch in der Praxis besteht.

Dazu der Datenschützer Brink: „Wir werden überprüfen, ob die zugesagte Deaktivierung problematischer Verarbeitungen tatsächlich stattgefunden hat und ob personenbezogene Daten ausschließlich in Deutschland verarbeitet werden. Nur unter diesen Bedingungen kann das Software-Paket datenschutzkonform eingesetzt werden. Wir wollen, dass die eingesetzte Software der Schule dient, und nicht die Schule dem Anbieter bei der Erstellung von Profilen oder Produktangeboten. Eltern, SchülerInnen und LehrerInnen müssen wissen, welche Daten entstehen, wo sie gesammelt und wie sie genutzt werden.“ Gerade im Schulverhältnis trifft die Verantwortlichen hier eine besondere Fürsorgepflicht.

Schulen brauchen praktikable Alternativen

Um datenschutzkonform nutzbare Alternativen wie BigBlueButton, Jitsi und andere tatsächlich auch nutzen zu können, müssten Schulen die Möglichkeiten und Kapazitäten erhalten, sich mit den Softwarelösungen genauer zu befassen, die Produkte technisch zu betreuen und Schulungen und die Fortbildungsangebote zu nutzen. Das Kultusministerium wird hierfür die schon bislang völlig unzureichende personelle Ausstattung der Schulen mit Datenschutzbeauftragten – nicht selten ist noch immer nur eine Person für die Betreuung von gut 100-150 Schulen zuständig – erheblich aufstocken müssen, so Brink.

Die Schulen müssen als datenschutzrechtlich Verantwortliche auch faktisch in die Lage versetzt werden, im Einvernehmen mit der Schüler- und Elternschaft über den konkreten Einsatz einer Software entscheiden zu können.

Der LfDI wird Schulen auf Wunsch bei der Erstellung von Datenschutz-Folgenabschätzungen für alternative Produkte beraten. Auch können Fachleute des Bildungszentrums für Datenschutz und Informationsfreiheit des LfDI (BIDIB) die Schulen – SchülerInnen, LehrerInnen und auch auf Wunsch Eltern zum Beispiel bei Elternbeiratssitzungen – beraten.

Mit dem Programm „Datenschutz geht zur Schule“ bietet der Landesbeauftragte zudem konkrete Sensibilisierungs- und Fortbildungsangebote vor Ort an. Zugleich können die Datenschutzbeauftragten der Schulen fachspezifische Fortbildungen im Bildungszentrum BIDIB nutzen. Der Zugang der Schulen zu datenschutzrechtlicher Beratung muss stärker als bisher ermöglicht werden – auch hier zählt der Landesdatenschutzbeauftragte auf die Unterstützung des Kultusministeriums.

Es brauche daher langfristige Perspektiven für die Schulen, sagt LfDI Brink: „Wer Schulen stärken will, muss ihnen neben der technischen Ausrüstung auch die Möglichkeit geben, sich intensiver und ganz konkret mit den eingesetzten Softwarelösungen zu befassen und selbst verantwortliche Entscheidungen zu treffen. Wir unterstützen die Schulen dabei, wo wir können.“

Das Kultusministerium begrüßt im Gegenzug, dass der LfDi im Rahmen seiner Prüfung der DSFA für eine datenschutzkonforme Nutzung von Microsoft 365-Werkzeugen als Teilbereich der Digitalen Bildungsplattform dem Start eines Pilotprojekts an 20 bis 30 Schulen zugestimmt hat.

Datenschutz und Datensicherheit haben Vorrang vor Schnelligkeit

„Wir freuen uns, dass der Landesdatenschutzbeauftragte grünes Licht für unseren Piloten gegeben hat. Das ist ein gutes Signal für die vielen Schulen und Schulträger im Land, die seit längerem bereits Rechtssicherheit beim Einsatz von Microsoft 365 fordern. Zahlreiche Schulen nutzen bereits MS 365-Anwendungen oder würden sie gerne einsetzen, da sie sich intuitiv bedienen lassen und damit den schulischen Alltag ohne Hürden unterstützen“, sagt Kultusministerin Dr. Susanne Eisenmann und fügt an: „Wir sind uns der Dringlichkeit bewusst, den Schulen leistungsfähige Lösungen anzubieten. Datenschutz und Datensicherheit haben allerdings Vorrang vor Schnelligkeit. Deshalb haben wir uns bei der Klärung aller datenschutzrechtlichen Fragen die notwendige Zeit genommen. Unser Ziel war und ist es, eine datenschutzkonforme Lösung mit einem stimmigen Datenschutzkonzept zu finden. Dafür haben wir die Expertise des LfDI von Anfang an eingebunden. Dieser aufwendige Weg hat sich gelohnt.“

Weitere datenschutzkonforme Alternativen

Das Kultusministerium plant darüber hinaus, den Schulen zeitnah auch eine weiterentwickelte Version von Moodle zur Verfügung zu stellen, um ihnen alternative datenschutzkonforme Möglichkeiten zur Kommunikation und Kollaboration bereitzustellen. Dabei soll insbesondere die Nutzerfreundlichkeit von Moodle verbessert werden. Hinzukommen sollen außerdem ein schulischer Datenspeicher sowie das Open-Source-Office-Paket „OnlyOffice“ für das gemeinsame und zeitgleiche Arbeiten an Dokumenten.

(ID:46966352)