Microsoft 365 an Schulen in Baden-Württemberg. Datenschutz? Digitale Autonomie?

30 Nov 2020 | Christoph Kölle

Photo by Tadas Sar on Unsplash

Bald ist es wahrscheinlich soweit. Dann könnte Microsoft 365 – die cloudbasierte Onlineversion der bekannten Microsoft-Produkte – an Schulen in Baden-Württemberg zum Einsatz kommen. Es sieht zumindest alles danach aus. Denn seit Anfang November wird die Anwendung von MS Office 365 bereits in einem Pilotprojekt an ersten Schulen getestet.

Microsoft 365 beinhaltet unter anderem die Online-Versionen der Microsoft-Programme Word, Excel, PowerPoint, Outlook, OneDrive und Teams.

MS 365 als Bestandteil der Digitalen Bildungsplattform in Baden-Württemberg

Seit April 2019 arbeitet das Land Baden-Württemberg am Aufbau der Digitalen Bildungsplattform, um die Digitalisierung an Schulen voranzubringen. Der Aufbau soll bis zum Frühjahr 2023 abgeschlossen sein.

Bereits 2018 hatte das Land mit dem Projekt “ella” den Versuch unternommen, eine Bildungsplattform zu entwickeln, die mit quelloffenen Lösungen, sogenannter Open-Source-Software, arbeitet. Diese Eigenentwicklung des Landes, die den Steuerzahler 8,7 Mio. Euro kostete, war aber gescheitert.

Im Hinblick auf den möglichen Einsatz von Microsoft 365 bzw. einzelner Komponenten schrieb das Kultusministerium in einer Stellungnahme vom August 2020: “Es ist richtig, dass wir im Zuge der Entwicklung der digitalen Bildungsplattform verschiedene Anbieter und Produkte auf dem Markt prüfen und in Erwägung ziehen. Dazu zählt auch eine mögliche, datenschutzkonforme Nutzung von Microsoft Office 365-Werkzeugen für einzelne Bausteine.” Es verwies zudem auf eine zentrale Forderung des Landesrechnungshofs, “bei der digitalen Bildungsplattform keine Eigenentwicklungen vorzunehmen, sondern marktverfügbare Produkte zu nutzen.”

Wie das Pilotprojekt erahnen lässt, soll MS Office 365 Bestandteil der Digitalen Bildungsplattform werden.

Bedenken hinsichtlich des Datenschutzes

Der Einsatz von MS Office 365 ist aber kritisch zu betrachten. Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hatte die Datenschutzbestimmungen von Microsoft mit Stand Januar 2020 bemängelt: Es sei “kein datenschutzgerechter Einsatz von Microsoft Office 365 möglich”.

Grundlage sind die Microsoft Online Service Terms (OST) und Datenschutzbestimmungen für Microsoft-Onlinedienste (DPA) mit Stand vom Januar 2020.

Dies geht auch aus einem Beschlussentwurf hervor, den der Landesbeauftragte für Datenschutz und Informationsfreiheit (LfDI) Baden-Württemberg auf Anfrage von fragdenstaat.de am 8. Oktober 2020 übersandte. Bislang wurde der Beschluss noch nicht veröffentlicht (Stand: 25.11.2020). Der Entwurf beinhaltet eine datenschutzrechtliche Bewertung der Auftragsverarbeitung bei Microsoft und soll als Grundlage für weitere Gespräche mit Microsoft dienen.

Hinsichtlich der Datenschutzbedenken besteht in der DSK aber keine Einigkeit. Die Aufsichtsbehörden von Baden-Württemberg, Bayern, Hessen, Rheinland-Pfalz, Saarland, Sachsen vertreten eine entgegengesetzte Auffasung (TOP9).

Das Kultusministerium stellte zum Einsatz von MS Office 365 an Schulen “unmissverständlich klar, dass es […] hier selbstverständlich um eine datenschutz- und datensicherheitskonforme Lösung mit einem stimmigen Datenschutzkonzept geht.“ Deshalb sei der Landesbeauftragte für Datenschutz von Anfang an miteinbezogen worden, obwohl dieser rechtlich nicht zustimmen müsse.

Bei dem im November gestarteten mehrwöchigen Pilotprojekt werde eine “speziell für den Schulbereich konfigurierte Version” von Microsoft Office 365 getestet. Es wird laut eigener Pressemitteilung vom LfDI Stefan Brink begleitet. Dieser hatte aufgrund datenschutzrechtlicher Defizite eine erste Datenschutz-Folgenabschätzung des Kultusministeriums zurückgewiesen. Die Grundlage für das Pilotprojekt bilde eine überarbeitete Fassung. Aber auch diese beantworte noch nicht alle datenschutzrechtliche Fragen.

Neben dem LfDI äußerte auch der Chasos Computer Club Stuttgart (CCCS) in einem offenen Brief an Kultusministerin Susanne Eisenmann Datenschutzbedenken. Der CCC Stuttgart befürchte „den Kontrollverlust über die Daten der SchülerInnen und LehrerInnen in Baden-Württemberg“. Außerdem scheine das Ministerium klar MS Office Produkte zu favorisieren und Open-Source-Alternativen gar nicht zu berücksichtigen.

Tatsächlich scheint das Kultusministerium auf eine Gesamtlösung setzen zu wollen. Im Landtag von Baden-Württemberg wurde in einer Sitzung der Einsatz von MS Office erörtert und dabei die Größenordnung des Projekts problematisiert: “Wer kann es betreiben? Wo gibt es einen leistungsfähigen Betreiber für eine Gesamtlösung?” Die Datenschutzbedenken seien nicht so groß, da eine A3-Version zum Einsatz komme, die nicht ausschließlich online betrieben werde und bei der die Übertragung von Telemetrie- und Diagnosedaten eingeschränkt werden könne (Quelle).

Privacy Shield, CLOUD Act und Übertragung von Telemetriedaten

Gerade aber für diese Übertragung von Telemetrie- und Diagnosedaten sowie personenbezogenen Daten ist die EU-DSGVO maßgeblich. Um das hohe Schutzniveau der DSGVO zu umgehen, erfolgten Datenübermittlungen zwischen der EU und den USA auf Grundlage des EU-US Privacy-Shield. Dieses wurde im Juli 2020 durch den Europäischen Gerichtshof in seinem Schrems-II-Urteil aber für unwirksam erklärt. Seither ist der internationale Datentransfer von Europa in die USA nicht mehr legal und nur noch sehr eingeschränkt möglich. Laut EuGH-Urteil dürfen personenbezogene Daten von EU-Bürger:innen nur dann in Drittländer wie die USA fließen, wenn der dortige Datenschutz ein gleichwertiges Schutzniveau erreicht wie es die DSGVO innerhalb der EU gewährleistet. Für die USA wurde ein solches Schutzniveau jedoch verneint.

Deshalb musste Microsoft nun nachbessern. Microsoft habe laut LfDI Brink seine Vertragsklauseln inzwischen angepasst, um die Rechte der EU-Bürger:innen zu verbessern. Allerdings ist damit “die Transferproblematik in die USA nicht generell gelöst”.

Telemetriedaten sind Diagnose- und Nutzungsdaten. Dazu zählen Daten über die verwendeten Anwendungen, die Nutzung des Computers, die Performance des Systems, des Windows-Defenders sowie Absturz- und andere Fehler-Berichte.

Zu problematisieren ist zudem, dass US-Behörden auf Grundlage des CLOUD Act auf gespeicherte Daten amerikanischer Unternehmen zugreifen dürfen - auch wenn die Speicherung der Daten nicht in den USA erfolgte.

Dass Microsoft umfangreiche Daten sammelt, zeigt das neue Feature Productivity Score für MS 365, das kürzlich in einem Video vorgestellt wurde. Dieses ermöglicht das genaue Tracking der Tätigkeiten von Arbeitnehmern, also beispielsweise “wie lange jeder Nutzer in Videomeetings seine Kamera aktiviert und seinen Bildschirm geteilt hat”. Microsoft wirbt: Mit dem Productivity Score “können Unternehmen sichtbar machen, wie intern gearbeitet wird und Erkenntnisse nutzen, um Verbesserungen vorzunehmen”.

Beim Einsatz von MS 365 an Schulen wäre dieses Feature höchst bedenklich und wird sicherlich bzw. hoffentlich in der speziell konfigurierten Version ausgeschlossen. Es zeigt aber, wozu die gesammelten Daten genutzt werden können.

Es bestehen also viele Bedenken bezüglich des Datentransfers und des Datenschutzes. Warum also einem US-Unternehmen die Tür öffnen, wenn es doch Alternativen aus Deutschland gibt?

Alternativen zu MS Office 365

Als Alternativen zum Microsoft Office-Paket werden vor allem Open-Source-Lösungen diskutiert. Der Vorteil solcher Lösungen ist, dass sie mit einem offenen Quellcode arbeiten. Dieser macht nicht nur die Funktionsweise der Software und ihre Datenverarbeitungsprozesse transparent, sondern gibt zudem externen Sicherheitsexperten die Möglichkeit, den Code auf Schwachstellen zu überprüfen, die sodann geschlossen werden können. Eine solche Transparenz gewährleistet Microsoft nicht.

Eine der möglichen Alternativen kommt aus dem Ländle. Das Unternehmen Nextcloud aus Stuttgart bietet einen Cloud-Dienst an, der sogar selbst gehostet werden kann. Als Lösung für Videokonferenzen käme die Software Jitsi in Betracht. Und um das Büro-Software-Paket von MS Office zu ersetzen, könnte OnlyOffice zur Textverarbeitung, Präsentation und Tabellenkalkulation verwendet werden.

Bereits jetzt sind aber auch schon quelloffene Softwarelösungen für das Lehrpersonal im Einsatz. Als Lernmanagementsystem fungiert Moodle und für Webkonferenzen wird BigBlueButton eingesetzt. Letztere ermöglicht die gemeinsame Nutzung von Audio, Video, Folien, Whiteboard, Chat und Bildschirm in Echtzeit.

Gerade im Hinblick auf die digitale Souveränität bieten alle diese Lösungen wesentliche Vorteile.

Diesbezüglich sagte der Landesbeauftragte für den Datenschutz und die Informationsfreiheit (LfDI) Dr. Stefan Brink in einer Podcast-Folge (ab Minute 11:15): „Das sind schon gute Ansätze. Das sind auch Alternativen, die wir brauchen werden, die die Schulen brauchen werden. Mit dem Vertragspartner Microsoft verbindet sich nicht nur die Vorstellung von einem sehr potenten Datenverarbeiter, sondern auch mit einem Anbieter aus den USA. Und diese Angebote kommen aus den USA und sind seit der Schrems-II-Entscheidung des EuGH immer mit erheblichen Problemen belastet. Wer auf so einen Vertragspartner ausschließlich setzt, bringt sich in große Schwierigkeiten. Deswegen gilt es jetzt auch die Alternativen zu stärken“.

Microsoft als Profiteur der Pandemie

Als im März die Corona-Pandemie ausbrach und alle von heute auf morgen im Homeoffice arbeiteten, musste eine schnelle Lösung gefunden werden. Und da stand Microsoft mit seinem Produkt MS Teams schon bereit. Dass der Einsatz von MS Office 365 so forciert wird, liegt sicherlich auch daran, dass viele sich jetzt mit Teams vertraut gemacht haben und Word, PowerPoint, Excel und Outlook schon kennen.

Der Einsatz von Microsoft Office 365 wäre sicherlich aus Sicht des Landes die komfortabelste Lösung. Denn “Microsoft Office 365 wird bereits von vielen Schulträgern und Schulen sowie weiten Teilen der öffentlichen Verwaltung genutzt”, so das Kultusminterium. Man nimmt eben, was man kennt. Dass der Datenschutz dabei zu kurz kommt, wird hingenommen. Dafür muss sich niemand in neue Programme einarbeiten und es kann ein großer Rahmenvertrag mit Microsoft abgeschlossen werden.

Die sicherste und beste Lösung hinsichtlich des Datenschutzes böten allerdings die Open-Source-Alternativen - aber eben nicht als Gesamtpaket.

Was können Sie tun, um Ihre Daten zu schützen?

Auf jeden Fall lohnt sich ein Blick in die Microsoft-Datenschutzeinstellungen Ihres Windows 10 Betriebssystems. Diese finden Sie so: Start > Einstellungen > Datenschutz. Hier können Sie nun Windows-Berechtigungen und App-Berechtigungen anpassen.

Zudem sollten Sie Ihr Datenschutz-Dashboard und Ihren Aktivitätsverlauf überprüfen.

Für Privatpersonen ist es nahezu unmöglich die Übertragung von Telemetriedaten an Microsoft bei Windows 10 zu unterbinden. Nur in der Enterprise Version 1909 kann diese abgeschaltet werden.

Dem Team Datenschutz der TU Berlin war es anhand einer Anleitung des BSI für die Windows Enterprise / Education / LTSB Editionen aber gelungen, die Telemetriedaten auch bei der Windows 10 Home-Edition zu deaktivieren. Im Blog der TU Berlin finden Sie die entsprechende Anleitung (keine Gewähr).

Ein anderer Weg um die Übertragung zu verhindern, ist der Einsatz einer leistungsfähigen Filterungstechnik. Gardion-Nutzer:innen sind also sicher. Die im Gardion VPN integrierten Filter blockieren ab Filterstufe 5 die Übertragung von Telemetriedaten.

Mehr über Gardion VPN+ erfahren