Baden-Württemberg: Land testet Microsoft 365 an Schulen

In einem Pilotprojekt soll in Baden-Württemberg eine speziell angepasste Version von Microsoft 365 an mehreren Schulen getestet werden. Der Einsatz der Software in Bildungsstätten ist umstritten. Der Landesdatenschutzbeauftragte Stefan Brink begleitet das Pilotprojekt und will prüfen, ob ein Einsatz des Onlinedienstes aus einer datenschutzrechtlichen Perspektive vertretbar ist.

Stellenmarkt

1. Java Entwickler:in (m/w/d)
   Lufthansa Industry Solutions TS GmbH, Oldenburg
2. Service Manager (m/w/d) Datenbanksysteme
   operational services GmbH & Co. KG, Leinfelden-Echterdingen, Dresden, Ingolstadt, Wolfsburg

Detailsuche

Die Test-Suite ist eine angepasste Version von Microsoft 365, mit der den Lehrkräften neben einem E-Mail-Dienst ein Online-Büroarbeitsplatz inklusive Textverarbeitung, Präsentations- und Kalkulationsprogrammen und Speicherplatz in Microsofts Cloud zur Verfügung gestellt werden soll. Zudem soll während des mehrwöchigen Testbetriebes die Videokonferenzsoftware Teams angeboten werden.

Der Datenabfluss an den Anbieter (Telemetriedaten) sei im Vergleich zu den bisher in den Schulen eingesetzten Versionen wesentlich datensparsamer, betont der Landesdatenschutzbeauftragte. Zudem sei Microsoft den Forderungen Brinks nachgekommen, die Verschlüsselung der Daten zu verbessern und die eigenen Verarbeitungszwecke zu reduzieren. Auch eine erhebliche Stärkung der Nutzerrechte gegenüber den Zugriffen von US-Sicherheitsbehörden, etwa durch Rechtsschutzgarantien und Schadensersatzverpflichtungen sei in Aussicht gestellt worden.

Ob ein Einsatz überhaupt möglich ist, bleibt offen

"Wir werden überprüfen, ob die zugesagte Deaktivierung problematischer Verarbeitungen tatsächlich stattgefunden hat und ob personenbezogene Daten ausschließlich in Deutschland verarbeitet werden", kündigte Brink an. Nur unter diesen Bedingungen könne das Software-Paket datenschutzkonform eingesetzt werden. Gerade im Schulverhältnis treffe die Verantwortlichen eine besondere Fürsorgepflicht: Eltern, Lehrkräfte und Schüler müssten wissen, welche Daten gesammelt und wie diese genutzt würden.

Golem Akademie

1. Mobile Device Management mit Microsoft Intune
   22.-23. November 2021, online
2. Microsoft Teams effizient nutzen
   25. Oktober 2021, online
3. Microsoft 365 Security Workshop
   27.-29. Oktober 2021, Online

Weitere IT-Trainings

Zudem müsse geklärt werden, ob ein US-Anbieter überhaupt infrage komme. Derzeit sei offen, wie künftig Datentransfers aus der EU in die USA überhaupt legal möglich seien, schreibt die Datenschutzbehörde mit Blick auf das Schrems-II-Urteil des Europäischen Gerichtshofes (EuGH). Diese Entscheidung müsse aber auf EU-Ebene getroffen werden. Ob derzeit eine Rechtsgrundlage für die Übertragung von Daten in die USA besteht, ist umstritten.

Letztlich müssten die Schulen entscheiden, auf welche Plattform sie setzen wollen, betont Brink. "Das Kultusministerium sollte hier alternative datenschutzkonforme Kommunikationsmöglichkeiten bereitstellen, damit Schulen eine echte Wahl haben." Das Land betreibe eine solche bereits selbst, die aus der Webkonferenz-Software Big Blue Button, dem Lernmanagement-System Moodle und dem Messenger Threema bestehe. Eigene E-Mail-Adressen stelle das Landeshochschulnetz BelWü zur Verfügung.

"Wer Schulen stärken will, muss ihnen neben der technischen Ausrüstung auch die Möglichkeit geben, sich intensiver und ganz konkret mit den eingesetzten Softwarelösungen zu befassen und selbst verantwortliche Entscheidungen zu treffen", erklärt Brink. Beispielsweise brauche es dringend eine Aufstockung der Datenschutzbeauftragten an Schulen, bisher sei nicht selten eine Person für die Betreuung von 100 bis 150 Schulen zuständig.

Kritik an Microsoft 365 aus der Elternschaft

Erst kürzlich forderten etliche Organisationen aus Baden-Württemberg, darunter der Landeselternbeirat, dass eine Lernplattform der Datenschutz-Grundverordnung (DSGVO) entsprechen müsse. US-Unternehmen wie Microsoft, Google oder Amazon kämen daher nicht infrage. Innerhalb der Datenschutzbehörden von Bund und Ländern ist hingegen umstritten, ob Microsoft 365 datenschutzkonform betrieben werden kann. Einer Erklärung der Deutschen Datenschutzkonferenz (DSK), die einen solchen ausschließt, widersprechen vier Landesdatenschutzbehörden. Die Bewertung sei "zu undifferenziert".

Allerdings gab es auch Kritik an der häufig als Alternative angepriesenen Open-Source-Software Big Blue Button, die etliche Sicherheitsmängel aufwies. Die Berliner Datenschutzbeauftragte Maja Smoltczyk würde daher einen Sicherheitsaudit und eine öffentlich finanzierte Weiterentwicklung begrüßen.