36: Datenschutz bei MS 365 & Co. an Schulen
Geschrieben von Frank Stiegler am .
LB36: Datenschutz bei MS 365 & Co. an deutschen Schulen (mit Dr. Dieter Kugelmann)
Ein lang geplantes und viel diskutiertes Thema: Frank spricht in dieser Folge über Datenschutz beim Einsatz von Microsoft-Produkten an Schulen mit dem Landesbeauftragten für Datenschutz und Informationsfreiheit in Rheinland-Pfalz, Herrn Prof. Dr. Kugelmann.
Das Thema dieses Podcasts verändert sich dauernd, sowohl in Bezug auf die Rechtslage wie die eingesetzten Produkte wie auch den Umgang der Aufsichtsbehörden damit. Deshalb gilt das, was bei Legal Bits immer gilt, hier ganz besonders: Die Inhalte der Folge können sich zwischenzeitlich überholt haben.
01:00 Einleitung ins Thema, Vorstellung Hr. Prof. Dr. Kugelmann
Herr Kugelmann stellt seinen Hintergrund und das folgende Portal vor:
Young Data: das Jugendportal der unabhängigen Datenschutzbehörden des Bundes und der Länder und des Kantons Zürich vor, auf dem diverse Themen zur Bildung von Medienkompetenz behandelt und Hilfsangebote gemacht werden
Themen dieser Folge:
- Was sind die Probleme rund um den Einsatz von
- Welche Hürden bringt der Datenschutz?
- Wie können Akteure mit der Problematik umgehen, und welche Lösungsmöglichkeiten gibt es?
08:55 Welches Ziel hat Datenschutz überhaupt?
10:15 Problempanorama
Um es anschaulich zu machen, sprechen wir im Einstieg über das "Horrorszenario" einer Grundchule in Berlin-Lichtenberg, von dem im November 2020 auf rbb24.de berichtet wurde.
Der Einsatz von Home-Schooling-Lösungen bringt einen bunten Strauß von Lösungen:
- Datenschutzhürden;
- Beschaffungsproblematik bei Hard- und Software;
- Anforderungen an Mediekompetenz sowohl auf Lehrenden- wie Lernendenseite;
- schwer durchschaubare Vielzahl von Software-Angeboten mit unterschiedlichen Lizenzmodellen.
17:48 Software-Angebot von Microsoft
Microsoft bietet eine Vielzahl von Software-Lösungen an, die nicht nur teilweise denselben “Gesamtnamen” haben (z. B. “Windows” und “Office” und “365”), sondern über die Zeit hat Microsoft auch Produkte umbenannt, Produkte zusammengefasst, Produkte in andere Produkte integriert (z. B. “Lynx” in Skype, Skype-Funktionalitäten in Teams und Office-Varianten in MS 365) und einiges mehr. Wenn man also von “Office 365” spricht, spricht man also streng genommen von einer anderen Lösung als “Microsoft 365”, wie sich hier erkennen lässt:
Und dabei sind nicht einmal die Datenschutzrahmenbedingungen einer Software immer gleich, sondern variieren auch teilweise noch danach, welches Lizenzmodell man sich ansieht. So enthält z. B. “Office 365 E1” nicht die Anwendungen Word, Excel, PowerPoint, OneNote und Access, sondern dafür muss schon Office 365 E3 oder E5 sein oder alternativ Microsoft 365 Apps for Enterprise (dort ohne Buchstaben).
Herr Kugelmann berichtet, wie kurzlebig Begutachtungen der Behörde deshalb sein können, weil Angebote vom jeweiligen Anbieter (natürlich) auch ständig weiterentwickelt werden.
Um dieses Thema noch komplizierter zu machen, gibt es noch zwei weitere Aspekte, die zur Problematik aus Datenschutzsicht beiträgt:
- Es ist datenschutzrechtlich nicht damit erledigt, dass man sich "Office" ansieht, sondern es gibt auch die Betriebssystemebene, wie z. B. Windows von Microsoft, was weitere Hürden bringt.
- Da sich Software verändern kann, haben Verantwortliche beim Einsatz von Lösungen regelmäßig den Konflikt, dass sie entweder zulassen, dass sich die Software weiterentwickelt, womit dann aber die Begutachtung der Datenschutzlage veralten kann, oder die Weiterentwicklung der Software verhindert, wodurch der als "rechtssicher" geprüfte Einsatz der Software bestehen bleibt, aber die Software eben auch veraltet.
Herr Kugelmann berichtet, dass seine Behörde Windows 10 Enterprise für datenschutzkonform erachtet hat, was aber oft nur ein kleiner Teil der Lösung ist.
Wir besprechen außerdem das mittlerweile eingestellte Treuhandmodell der Telekom mit Microsoft, das in der heutigen Situation eine große Hilfe wäre.
26:10 Die Datenschutzhürden
26:20 Was sind die zu beachtenden Vorschriften?
- grundsätzlich: DSGVO;
- die Landesdatenschutzgesetze für öffentliche Stellen (Übersicht z. B. hier);
- Oft regeln die Schulgesetze zusätzliche Aspekte wie z. B. die Nutzung von Schüler*innendaten zu Werbezwecken.
27:15 An wen können sich Beteiligte (z. B. Lehrkräfte) bei Datenschutzfragen wenden?
In Rheinland-Pfalz gibt es beispielsweise Datenschutz-FAQ speziell für Lehrkräfte.
28:55 Unterschied im öffentlichen Sektor: keine Bußgelder
Im öffentlichen Sektor haben die Aufsichtsbehörden nicht dieselben Kompetenzen wie im nicht-öffentlichen Sektor. Sie dürfen z. B. (mit wenigen hier nicht relevanten Ausnahmen) keine Bußgelder verhängen (hier also gegen z. B. Lehrkräfte oder Schulen). Anordnungen und Verwarnungen wie auch manch andere Maßnahme dürfen aber ausgesprochen werden.
30:26 Wer ist beim Einsatz digitaler Lernlösungen wofür verantwortlich?
Verantwortlicher im hier besprochenen Fall ist regelmäßig die Schule, die sich oft mit dem Schulträger abstimmt, aber im Ergebnis selbst entscheidet, welche Lösung sie einsetzt (unabhängig hiervon ist die Frage, ob sie im Einzelfall von einer Vorgabe z. B. Ministeriums abweichen dürfte). Die Schule setzt Lösungen z. B. für Home-Schooling regelmäßig über das Konstrukt der so genannten Auftragsverarbeitung nach Art. 28 DSGVO ein, bei der die Schule dem Anbieter (hier also Microsoft) Weisungen erteilt, was mit personenbezogenen Daten zu geschehen hat.
Zusatzaspekt zur Verantwortlichkeit, der eher für Datenschützer als für Lehrkräfte relevant sein dürfte:
Für den Einsatz Microsoft-Lösungen bringt Frank die zusätzliche (datenschutzrechtliche) Dimension hinein, dass Auftragsverarbeitung in Bezug auf die so genannten Telemetriedaten (grob gesagt Daten zur Nutzung der jeweiligen Lösung) nicht das richtige Instrument sein dürfte, weil Microsoft diese Daten kaum auf Basis der Weisung der Schule verarbeiten dürfte. Denn die Schule hat jedenfalls kaum genug Interesse daran, Microsoft Daten über die Nutzung seiner Lösungen zu verschaffen, dass sie Microsoft hierzu anweisen würde. Für die Behandlung dieses Umstandes sei die so genannte gemeinsame Verantwortlichkeit (Art. 26 DSGVO) wohl die richtige rechtliche Basis.
Herr Kugelmann berichtet, dass die gemeinsame Verantwortlichkeit in der Praxis seiner Behörde bisher keine erhebliche Rolle gespielt hat.
38:08 Kernproblem bei US-Anbietern: besondere Garantien erforderlich
Das Kernproblem beim Einsatz von Lösungen praktisch beliebiger Anbieter aus den USA (genauer: von Lösungen, die Daten außerhalb des EWR verarbeiten): Wenn von der DSGVO geschützte Daten außerhalb des EWR verarbeitet werden sollen, bedarf es dafür einer besonderen Rechtsgrundlage, wie Art. 44 DSGVO ausführt:
“Jedwede Übermittlung personenbezogener Daten, die bereits verarbeitet werden oder nach ihrer Übermittlung an ein Drittland oder eine internationale Organisation verarbeitet werden sollen, ist nur zulässig, wenn der Verantwortliche und der Auftragsverarbeiter die in diesem Kapitel niedergelegten Bedingungen einhalten und auch die sonstigen Bestimmungen dieser Verordnung eingehalten werden; dies gilt auch für die etwaige Weiterübermittlung personenbezogener Daten aus dem betreffenden Drittland oder der betreffenden internationalen Organisation an ein anderes Drittland oder eine andere internationale Organisation. Alle Bestimmungen dieses Kapitels sind anzuwenden, um sicherzustellen, dass das durch diese Verordnung gewährleistete Schutzniveau für natürliche Personen nicht untergraben wird.”
Überblick über die Möglichkeiten für eine solche Zulässigkeit (also das “Einhalten der Bedingungen”):
- Angemessenheitsbeschluss (Art. 45 DSGVO) (existiert nicht mehr; dazu im Verlauf mehr)
- geeignete Garantien und durchsetzbare Rechte und wirksame Rechtsbehelfe (Art. 46 DSGVO):
- Corporate Binding Rules / Verbindliche interne Datenschutzvorschriften (Art. 47 DSGVO) (hier keine Option)
- Standardvertragsklauseln ("SCC") (dazu im Verlauf mehr)
- genehmigte Verhaltensregeln gem. Art. 40 DSGVO (existieren nicht für Schulen)
- Einwilligung (Art. 49 DSGVO) (in unserem Fall -- bei öffentlichen Stellen -- nach Art. 49 Abs. 3 DSGVO -- keine Option)
Liste der derzeitigen Angemessenheitsbeschlüsse der Stabsstelle IT-Recht der bayerischen staatlichen Universitäten und Hochschulen (was der geschätzte Kollege Johannes Nehlsen ist :D)
Das heißt, man braucht, wenn man einen Dienst eines US-Anbieters einsetzen möchte, eine besondere Rechtsgrundlage, also ganz unabhängig von den ganzen sonstigen Datenschutzpflichten, die man als Online-Learning-System anbietende Schule erfüllen muss.
Die Einwilligung ist im vorliegenden Fall -- bei öffentlichen Stellen -- keine Option.
44:05 Das "Schrems II"-Urteil des EuGH
Dieses Urteil ist der Kern praktisch aller aktueller Streitigkeiten rund um den Einsatz von Anbietern, die personenbezogene Daten außerhalb des EWR -- genauer: in den USA -- verarbeiten.
Wir sprechen über den Hintergrund, Sachverhalt und Inhalt des Urteils, des Safe Harbor-Abkommens, des EU-US Privacy Shield und dass Letzteres vom besagten Urteil gekippt wurde.
Der EuGH hält die Verarbeitung personenbezogener Daten (auch und wohl insbesondere) deshalb für rechtswidrig, weil es für (EU-)Betroffene in den USA keinen Rechtsschutz gibt, wenn US-Behörden ihre (der Betroffenen) Daten verarbeiten.
Der Kern unseres konkreten Problems beim Einsatz von Microsoft-Lösungen (mit Cloud) an Schulen ist: Wenn wir eine Microsoft-Lösung einsetzen, auch dann, wenn Microsoft die Daten vertraglich nur in der EU speichern darf, sind Betroffene -- hier also vor allem die Schüler*innen -- rechtlich schutzlos, wenn sie gegen Datenverarbeitungen vorgehen wollen.
Ab 51:24 besprechen wir, warum es wichtig ist, die hier betroffenen Personen zu schützen und sich nicht auf pauschale Aussagen wie " Ich habe doch nichts zu verbergen " oder " Was soll denn die Aufregung? " zurückzuziehen.
55:37 Die Rolle der Standardvertragsklauseln ("SCC") im Schrems II-Urteil
Dieser Teil ist zugegebenerweise eher für Datenschutzjuristen zugänglich als für Lehrkräfte, aber er ist wichtig. Wir sprechen darüber, welche Rolle die SCC in der Folge des Schrems II-Urteils spielen und überhaupt spielen können. Es werden nämlich vom Gericht -- und in der Folge auch vom Europäischen Datenschutzausschuss (EDSA, auf Englisch "European Data Protection Board", EDPB) -- die SCC prinzipiell nach wie vor für eine zulässige Basis gehalten, bei Transfer von Daten in die USA allerdings nur unter Ergreifung weiterer Maßnahmen.
Empfehlungen des EDSA vom 10. November 2020 zum Transfer personenbezogener Daten außerhalb des EWR (Englisch)
In diesem Dokument werden ab S. 22 verschiedene Szenarien ("Use Cases") beschrieben, in denen ausreichende Maßnahmen ergriffen werden, außerdem ab S. 26 solche mit nicht ausreichenden Maßnahmen.
Wir stellen im Gespräch mehrere Dinge klar:
- Privatvertragliche Regelungen zwischen z. B. der Schule und Microsoft können nicht dazu führen, dass US-Behörden keinen Zugriff mehr auf Daten bekommen dürfen. Denn absehen davon, dass das (nach deutschem Recht) ein (unzulässiger) Vertrag zu Lasten Dritter wäre, müssen sich US-Behörden nicht danach richten, was ein Unternehmen -- vor allem im US-Ausland -- mit einem Dritten vereinbart.
Hierauf hat es keinen erheblichen Einfluss, dass Microsoft nach Angabe von Herrn Kugelmann angeboten habe, selbst in jedem einzelnen Fall der Geltendmachung eines Betroffenenrechts selbst gegen die Datenverarbeitung zu klagen. - Unter den genannten Empfehlungen des EDSA sind keine, die im hier konkret besprochenen Szenario eine praktikable Lösung böten..
- Niemand hat derzeit eine "Patentlösung" für dieses Problem.
Herr Kugelmann berichtet von Gesprächen mit Microsoft zum Umgang mit der Situation.
63:41 Hypothetisch: Wäre Deutschland ein Drittland, hätte es ein ausreichendes Datenschutzniveau iSv. Schrems II?
65:50 Warum ist Verschlüsselung keine valide Option zum Umgang mit dem Problem?
68:30 Warum ist das Paper zu US-Anbietern von der Website verschwunden?
Der LfDI Rheinland-Pfalz hatte im Februar 2021 ein PDF zu unserem aktuellen Thema veröffentlich, das nach wenigen Tagen wieder ersatzlos von der Website verschwunden ist. Frank fragt, was es mit diesem PDF auf sich hatte.
69:48 Alternativen zu Microsoft-Lösungen
Herr Kugelmann erwähnt die in Rheinland-Pfalz breit genutzte Lösung "BigBlueButton" (Videokonferenzsystem) in Verbindung mit der Lernplattform "Moodle". Da der Umstieg aber holprig sein kann und der LfDI Rheinland-Pfalz Schulen die Möglichkeiten geben möchte, den Umstieg mit der nötigen Ruhe zu machen, toleriert er Microsoft-Lösungen derzeit bis zum Ende des Schuljahres 2022 (also bis zum Sommer 2022). Dennoch oder vielleicht gerade deshalb wird asber empfohlen, den Umstieg möglichst früh zu machen.
73:28 Beschaffung und Support-Anforderungen
75:13 Wichtige Kriterien unabhängig von der eingesetzten Lösung
81:42 Fazit
- Der Einsatz von Microsoft-Lösungen zu Schulzwecken ist nach der derzeitigen Rechtslage nach unserem Dafürhalten nicht rechtssicher abbildbar.
- Der LfDI Rheinland-Pfalz toleriert den Einsatz von Microsoft-Lösungen derzeit, um den Schulen den Umstieg auf andere Lösungen zu ermöglichen.
- Der LfDI Rheinland-Pfalz führt Gespräche mit Microsoft, um den rechtssicheren Einsatz zu ermöglichen bzw. zu fördern.
- Die aktuellen Probleme rund um den Einsatz von Microsoft-Lösungen an Schulen haben ein komplexes Knäuel gestellt, in dem Datenschutz sicherlich Hürden in den Weg stellt, aber bei Weitem nicht die einzigen. Ein Teil der Probleme besteht in der Digitalisierung, die höhere Datenschutzanforderungen mit sich bringen (müssen).
Feedback und Wünsche gern per E-Mail an podcast@stiegler-legal.com oder twittern an @legal_bits oder @ra_stiegler!
Die Einsprecher kommen wie immer von Sarah Nakic aus Brühl bei Köln.