MS 365: Drohender Datenschutznotstand an Schulen

Landesbeauftragte für Datenschutz und Informationsfreiheit setzen DSGVO und Schrems-II-Urteil um

[datensicherheit.de, 18.05.2022] Schulen in Deutschland könnte ein Datenschutznotstand drohen: Jedenfalls hat laut Dr. Stefan Brink, der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg, verordnet, „die Nutzung von ,MS 365‘ an Schulen zu beenden“ oder den datenschutzkonformen Betrieb eindeutig nachzuweisen. Er erwartet demnach von Schulen, dass sie den Schülern bis zu den Sommerferien 2022 Alternativen zum „Cloud“-Dienst „MS 365“ für den Schulbetrieb anbieten oder aber diesen Dienst mit geeigneten Mitteln absichern. Damit ziehe er Konsequenzen aus der Datenschutzgrundverordnung (DSGVO) und dem sogenannten Schrems-II-Urteil des Europäischen Gerichtshofs (EuGH), welche schließlich eine Einhaltung ihrer Vorgaben nicht ins Belieben von Unternehmen oder Behörden stellen, sondern eindeutig verlangen.

Foto: eperi

Elmar Eperiesi-Beck: Es wird höchste Zeit, dass Datenschutzbeauftrage und Schulen aktiv werden!

Datenschutzbeauftragte hörten nun auf, ein Auge zuzudrücken

Ähnliche Situationen kämen auch auf Schulen in anderen Bundesländern zu, denn die dortigen Datenschutzbeauftragten hörten ebenfalls auf, „ein Auge zuzudrücken“, was sie vor allem wegen der „Pandemie“ getan hätten, und wendeten nunmehr schlicht geltendes Recht an. In der Vergangenheit habe Dr. Brink schon häufiger eine Vorreiterrolle gespielt.

Das Problem sei, dass einerseits die meisten Nutzer mit den Alternativen zu „MS 365“ unzufrieden seien. So habe ein zuständiger Lehrer berichtet, er kenne keinen an seiner Schule, der den Umstieg weg von „Microsoft Teams“ nicht bedauere. Andererseits scheine gar nicht ernsthaft über die zweite von DSGVO und vom Schrems-II-Urteil vorgesehene Lösung nachgedacht zu werden, nämlich die Nutzung von „MS 365“ datenschutzrechtkonform abzusichern.

In einer aktuellen Stellungnahme des Kultusministeriums Baden-Württemberg finde sich die Feststellung, dass es bislang nicht gelungen sei, „eine Lösung vor Ort zu finden, die den Interessen von Schülerinnen und Schülern, Eltern, Lehrkräften und Schule gerecht wird“. Diesen Beschwerden nachzugehen sei indes die Pflicht des LfDI [Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg]. Mittlerweile seien 40 Schulen angeschrieben und eine Lösung angemahnt worden. Der Datenschutzexperte Elmar Eperiesi-Beck, Gründer und „CEO“ von eperi, zeigt sich in seiner Stellungnahme hierzu alles andere als begeistert.

Seit Beginn der Pandemie Tools und Lösungen weitgehend an geltenden Datenschutzbestimmungen vorbei genutzt

Eperiesi-Beck kommentiert: „Die Initiative von Dr. Stefan Brink ist eindeutig zu begrüßen. Er zieht die von der EU geforderten Konsequenzen aus DSGVO und Schrems-II-Urteil und schafft zweifelsfrei Klarheit für alle Beteiligte.“ Seit dem Beginn der „Pandemie“ vor über zwei Jahren würden Tools und Lösungen wie „MS 365“ weitgehend an geltenden Datenschutzbestimmungen vorbei genutzt.

Die Tatsache, dass es den Kultusministerien in mehr als zwei Jahren nicht gelungen sei, „eine Lösung […] zu finden, die den Interessen von Schülerinnen und Schülern, Eltern, Lehrkräften und Schule gerecht wird“ sei einer der schlechteren Witze in der behördlichen Nutzung von IT. „Das ärgert mich auch als Vater schulpflichtiger Kinder“, betont Eperiesi-Beck.

Dabei sei die Lösung, welche von der Europäischen Datenschutzbehörde vorgegeben werde, „ganz einfach“ und die zuständigen Stellen müssten „keinesfalls das Rad neu erfinden“. Privatunternehmen machten seit Jahren vor, wie sich US-amerikanische „Cloud“-Dienste DSGVO-konform nutzen ließen – durch den Einsatz von Verschlüsselungstechnologien.

Über ein Gateway Cloud-Dienste auch US-amerikanischer Anbieter datenschutzkonform nutzen

Es biete sich vor allem der Einsatz eines „Cloud“-Verschlüsselungs-Gateways an. Ein solches Gateway sei ein Tool, das zwischen einem „Cloud“-System und einem In-House-System platziert sei und die Verschlüsselung oder Anonymisierung von Daten vor der Übertragung durchführe. „Wenn das Gateway von der Schule selbst betrieben oder in einem deutschen Rechenzentrum gehostet wird, ist die Einhaltung der DSVGO gewährleistet, weil niemals unverschlüsselte oder personenbezogene Daten in die ,MS-Cloud‘ geraten“, erläutert Eperiesi-Beck.

Über ein derartiges Gateway lasse sich prinzipiell jeder „Cloud“-Dienst auch US-amerikanischer Anbieter datenschutzkonform nutzen (gewisse Anpassungen an den jeweiligen Dienst am Gateway seien allerdings notwendig). Verschlüsselungs-Gateways böten genau den Schutz personenbezogener Daten „auf dem Stand der Technik“, den die DSGVO und das Schrems-II-Urteil forderten.

„Viele Schulen verfügen zugegebenermaßen nicht über die Ressourcen, ein solches Verschlüsselungs-Gateway selbst zu betreiben, oder sie wollen sich nicht mit der erforderlichen Technik auseinandersetzen. Für diesen Fall gibt es IT-Dienstleister, welche die Verschlüsselung als ,Managed Service‘ anbieten.“ Dazu gehöre z.B. T-Systems mit seinem „Cloud Privacy Service“. Eperiesi-Beck abschließend: „Technische Gründe, weshalb der Datenschutz an deutschen Schulen noch immer weitgehend vernachlässigt wird, bestehen jedenfalls nicht. Es wird höchste Zeit, dass Datenschutzbeauftrage und Schulen aktiv werden.“

Weitere Informationen zum Thema:

Ministerium für Kultus, Jugend und Sport Baden-Württemberg, 11.05.2022
Schulleitungen der Öffentlichen Schulen in Baden-Württemberg / MS365 im Einsatz an öffentlichen Schulen in Baden-Württemberg

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg, 25.04.2022
Nutzung von MS 365 an Schulen