Schulen in Baden-Württemberg, die bis zu den Sommerferien noch immer den Cloud-Dienst von Microsoft (MS 365) nutzten, müssen sich seit Sommer nach Alternativen umschauen.
Schulen, die der Ansicht sind, dass ihr Einsatz und ihre Konfiguration von MS 365 den rechtlichen Anforderungen genügt und die den Cloud-Dienst weiter nutzen möchten, müssen nun begründen, wie sie den datenschutzkonformen Betrieb sicherstellen und dies entsprechend ihrer Rechenschaftspflicht eindeutig nachweisen wollen.
Dies betrifft auch das Videokonferenz- und Chat-Programm „Teams“. MS 365 (früher: Office 365) ist ein Programm, mit dem Dokumente, Bilder und andere Dateien grundsätzlich online auf Computern des Anbieters gespeichert sowie E-Mails von diesem verwaltet, empfangen und gesendet werden.
Jede Schule ist nicht nur für den Datenschutz verantwortlich – sie sind auch rechenschaftspflichtig
Die Schulen sind verantwortlich für alle Datenverarbeitungen, die an ihrer Schule stattfinden – nicht die Kultusministerien oder die Anbieter von Soft- und Hardware, sondern jede Schule. Sie sind rechenschaftspflichtig, gegenüber den Schülerinnen und Schülern, den Eltern, der Schulaufsicht und der Aufsicht der Datenschützer. Keine leichte Aufgabe.
Immer wieder ist in der Diskussion von „Datenschutzbedenken“ die Rede ist. Darum geht es gar nicht! Es muss geprüft werden, ob etwas rechtmässig ist oder eben nicht. Wo bestehen rechtliche Unklarheiten? Wo existieren Graubereiche? Es wird empfohlen, rechtlich unklare Datenverarbeitungen zu vermeiden. Es geht darum, die Datenschutz-Grundverordnung anzuwenden – sie hat ein grosses Potenzial, das aber leider nicht immer ausgeschöpft wird, sei es aus Unkenntnis, sei es aus einer Verweigerungshaltung gegenüber dem Freiheitsthema Datenschutz. Anders formuliert: Die Verordnung sagt nicht, dass keine Daten verarbeitet werden dürfen. Sie sagt, nach welchen Kriterien sie verarbeitet werden dürfen.
Welches waren die drei zentralen Fragen?
- Haben die Schulen die Software datenschutzrechtlich unter Kontrolle, das heisst, können sie ihrer Rechenschaftspflicht nachkommen?
- Wohin werden die Daten der Schülerinnen/Schüler und der Lehrpersonen transferiert, landen die Daten der Nutzenden auf Servern ausserhalb des Geltungsbereiches des Europäischen Rechts, wo sie nicht mehr geschützt sind?
- Ist die Software transparent, d.h. ist klar, welche Datenverarbeitungen tatsächlich stattfinden, zu welchen Zwecken und auf welcher Rechtsgrundlage?
Was wurde herausgefunden?
Es wurden umfangreiche Übertragungen von Daten direkt in die Vereinigten Staaten festgestellt. Nicht erst seit dem Urteil des Europäischen Gerichtshofs vom 16. Juli 2020 in der Rechtssache C-311/18 (Schrems II) ist dies nicht ohne weiteres möglich, seitdem jedenfalls noch schwieriger.
Immerhin hat der Anbieter während der Überprüfungszeit und den Beratungen sehr zu begrüssende Anpassungen an das europäische Recht vorgenommen und zusätzliche Garantien für die Rechte der Betroffenen gegeben. Diese neu entwickelten Regeln hat Microsoft sogar weltweit zum Standard gemacht. Dennoch wurde das Problem des Drittstaatentransfers im Lichte des EuGH-Urteils nicht abschliessend gelöst.
Fazit: Die Schulen haben keine Kontrolle
Auch konnte eine vollständige Übersicht aller Übermittlungen vom MS365 von den Beteiligten trotz vieler Rückfragen nicht vorgelegt werden. Es konnte nicht erkannt werden, dass Schulen tatsächlich die Kontrolle über diese Software haben. Dieses Fazit muss trotz eigenem Testlabor, Rücksprache mit dem Anbieter und relativ viel Zeit gezogen werden. Es konnte auch nicht immer nachvollzogen werden, zu welchen Zwecken die Datenverarbeitungen stattfanden.
Pflicht der Schulen
Schulen müssen wirksam und erfolgreich ihre Aufgabe der Bildung von Schülerinnen und Schülern nachkommen und insbesondere dürfen Schülerinnen und Schüler, Eltern und Lehrkräfte nicht in ihren Rechten verletzt werden.
