Damian Duchamps' Blog

Office 365 – Schule – Stand Juli 2020

Posted in Uncategorized by damianduchamps on Juli 10, 2020

Office 365, seit kurzem Microsoft 365, die umfangreiche Office Suite von Microsoft ist und bleibt das wohl bekannteste und von Schulen am stärksten nachgefragte Softwarepaket. Gleichzeit ist die Arbeits- und Kommunikationsplattform vor allem mit Blick auf Datenschutz nicht unumstritten. Viele Schulen möchten die Plattform einführen, da sie die darin enthaltenen Programme kennen, die ausgereiften Features zum kollaborativen Arbeiten schätzen. Auch Schulträger zeigen sich oft nicht abgeneigt, da sie bzw. der von ihnen für Supportaufgaben beauftragte Dienstleister hier ein Produkt haben, welches sie aus der kommunalen Verwaltung kennen und für dessen Betreuung die entsprechenden Kompetenzen vorhanden sind.

Bei Datenschützern steht Microsoft in verschiedener Hinsicht in der Kritik, seit Jahren schon. Vielen Schulen ist dieser Umstand durchaus bewusst und sie suchen oft verzweifelt nach verlässlichen Aussagen, ob und wie sie Office 365 mit Lehrkräften und Schülern nutzen können. Leider aber bleiben sie dabei oft erfolglos. Wo die Nutzung durch Kultusministerien eindeutig verboten ist, stellt sich die Frage einer Nutzung erst gar nicht. In allen anderen Bundesländern bleiben die Antwoten auf Anfragen bei Schulministerien oder Aufsichtsbehörden meist unbefriedigend. Festlegen will sich bei Aufsichtsbehören niemand. Es wird immer wieder floskelhaft davon gesprochen, dass man eine Nutzung nicht empfehlen könne, dass Microsoft noch Fragen beantworten müsse und man außerdem keine Zertifizierungsstelle sei. In Schulministerien orientiert man sich an Aussagen der Aufsichtsbehörden und so wird der schwarze Peter hin und her geschoben.

Nachdem ich zuletzt im Mai 2019 den Stand der Dinge dargestellt habe, möchte ich diesen nun, wieder mit Blick auf NRW, auffrischen. Damit niemand die drei alten Beiträge zum Thema lesen muss, fasse ich Entwicklung bis zum aktuellen Stand zusammen.

Die Formalien

Rein formalrechtlich bietet Office 365 die Voraussetzungen zu einer DS-GVO konformen Nutzung. Es ist mit dem Abschluss der Online Service Terms (OST) und des anhängigen Data Processing Addendum möglich, den Vorgaben von Artikel 28 Abs. 3  und Abs. 6 DS-GVO nachzukommen. Zu den OST gehört das Data Processing Addendum, enthält die Standardvertragsklauseln. Diese entsprechen “einem Vertrag oder einem anderen Rechtsinstrument nach dem Unionsrecht oder dem Recht der Mitgliedstaaten.”

Microsoft hat sich EU-US Privacy Shield zertifiziert. Damit sind Datentransfers in die USA rein rechtlich abgesichert. Der EU-US Privacy Shield ist vergleichbar einem Angemessenheitsbeschluss. Durch einen Angemessenheitsbeschluss bestätigt die EU einem Drittland ein der EU vergleichbares Datenschutzniveau.

Microsoft selbst sichert bei Nutzung der Education Versionen zu, die Daten der schulischer Nutzer nicht für eigene Zwecke zu verwenden:

Für Microsoft-Produkte, die von Ihrer K-12-Schule bereitgestellt werden, einschließlich Microsoft 365 Education, wird Microsoft:

      • neben den für autorisierte Bildungs- oder Schulzwecke erforderlichen Daten keine personenbezogenen Daten von Schülern/Studenten erfassen oder verwenden,
      • personenbezogene Daten von Schülern/Studenten weder verkaufen noch verleihen,
      • personenbezogene Daten von Schülern/Studenten weder zu Werbezwecken noch zu ähnlichen kommerziellen Zwecken wie Behavioral Targeting von Werbung für Schüler/Studenten verwenden oder freigegeben,
      • kein persönliches Profil eines Schülers/Studenten erstellen, es sei denn, dies dient der Unterstützung autorisierter Bildungs- oder Schulzwecke oder ist von den Eltern, Erziehungsberechtigten oder Schülern/Studenten im angemessenen Alter genehmigt, und
      • seine Anbieter, an die personenbezogene Daten von Schülern/Studenten ggf. zur Erbringung der Bildungsdienstleistung weitergegeben werden, dazu verpflichten, dieselben Verpflichtungen für personenbezogene Daten der Schüler/Studenten zu erfüllen.

Vor dem Hintergrund, dass man auch in den USA mittlerweile sehr sensibel ist, wenn es um die personenbezogenen Daten von Kindern geht und es auch entsprechende gesetzliche Vorgaben gibt, z.B. Child Online Privacy Act (COPPA), kann man wohl davon ausgehen, dass es Microsoft ernst ist mit diesen Zusagen.

Der für Kinder und Jugendliche zugesagte Schutz der personenbezogenen Daten wird auch den Lehrkräften zu gesichert, findet sich jedoch an einer anderen Stelle der Dokumentation zum Datenschutz in Office 365, dem sogenannten Data Processing Addendum. Dort heißt es dann:

„Bei der Verarbeitung für legitime Geschäftstätigkeiten von Microsoft wird Microsoft Kundendaten oder personenbezogene Daten nicht für folgende Zwecke verwenden oder anderweitig verarbeiten: (a) Benutzerprofilierung oder (b) Werbung oder ähnliche kommerzielle Zwecke. Wenn Microsoft diese Daten für legitime Geschäftstätigkeiten verarbeitet, erfolgt diese Verarbeitung ausschließlich zu den in diesem Abschnitt genannten Zwecken.“

Die Sicherheit der Daten

Auch wenn formal den Vorgaben der DS-GVO mit den OST und anhängigem Data Processing Addendum Genüge getan wird, sind Fragen, inwieweit Office 365 in Schulen datenschutzkonform genutzt werden kann, zum aktuellen Datum noch immer nicht abschließend geklärt.

Die Selbstzertifizierung Microsofts nach dem EU-US Privacy Shield hat in der aktuellen Situation nur noch geringe Relevanz, da die Datenhaltung für Office 365 Nutzer aus der EU komplett in der EU möglich ist. Für Nutzer in Deutschland ist auch eine ausschließliche Datenhaltung in deutschen Serverzentren möglich. Das bedeutet allerdings nicht, dass es keine Datenabflüsse in die USA mehr gibt. Daten, die in die USA fließen und dort verarbeitet werden, sind sogenannte Telemetriedaten. Diese können auch personenbezogene oder -beziehbare Daten enthalten.

Problem CLOUD-Act

Die ausschließliche Datenhaltung in Deutschland, welche allen Kunden von Microsoft Office 365 Education zur Verfügung steht, hat aus der Sicht des Datenschutzrechts einen entscheidenden Vorteil. Während Nutzerdaten, die auf US Servern liegen oder auf Servern außerhalb der Europäischen Union oder des EWR, auch dem Einfluss anderer US Gesetzgebung unterliegt, etwa dem Patriot Act, wenn es um Server innerhalb der USA geht, unterliegen Nutzerdaten, die auf Servern innerhalb der EU liegen, “nur noch” dem  CLOUD-Act. Dieses Gesetz stellt tatsächlich ein Problem dar, weil es sich hier, anders als bei einem Abkommen zur Ermittlungshilfe, um keinen internationalen Vertrag zwischen den USA und der Europäischen Union handelt. Eine Übermittlung von personenbezogenen Daten an Dritte setzt jedoch immer eine im Raum der Europäischen Union geltende Rechtsgrundlage voraus. Da der CLOUD-Act als einseitig national verabschiedetes Rechtsinstrument diese Rechtsgrundlage nicht bietet, besteht bei Übermittlungen, die sich auf den CLOUD-Act stützen, tatsächlich das Risiko eines Verstoßes gegen die DS-GVO.

Was allerdings vielfach nicht bekannt ist, ist die Tatsache, dass der CLOUD-Act Microsoft und anderen US Anbietern in einer vergleichbaren Situation die Möglichkeit bietet, gegen ein Ermittlungsersuchen einer US Ermittlungsbehörde via CLOUD-Act vor Gericht zu gehen, wenn dieses gegen nationales Recht verstößt. Aus den zuvor genannten Gründen verstößt jedes derartige Ermittlungsersuchen gegen nationales Recht wie auch die DS-GVO. Nach eigenen Aussagen von Microsoft geht man aus diesem Grund regelmäßig gerichtlich gegen Ermittlungsersuchen im Rahmen des CLOUD-Act vor. Außerdem informiert man nach Möglichkeit Kunden im Rahmen der Informationspflicht nach Art. 12 DS-GVO. Ausnahmen sind hier nur Ermittlungsersuchen, welche mit einer sogenannten Gag-Order versehen sind. Hier ist eine Information der Betroffenen aus rechtlichen Gründen nicht möglich. Auch kaum bekannt ist die Tatsache, dass die Anzahl der Ermittlungsersuchen aus den USA bezüglich von Nutzern aus Deutschland sehr gering ausfällt. Die aktuell verfügbaren Daten sind von der ersten Jahreshälfte des Vorjahres.

Bildschirmfoto 2020-03-05 um 19.19.42.png

Darüber hinaus gibt Microsoft auch Auskunft über zusätzlich im Rahmen des CLOUD-Act offengelegte Daten:

No. The CLOUD Act amends U.S. law to make clear that law enforcement may compel U.S.-based service providers to disclose data that is in their “possession, custody, or control” regardless of where the data is located. This law, however, does not change any of the legal and privacy protections that previously applied to law enforcement requests for data – and those protections continue to apply. Microsoft adheres to the same principles and customer commitments related to government demands for user data.

In the first half of 2019, Microsoft received 4,860 legal demands for consumer data from law enforcement in the United States. Of those, 126 warrants sought content data which was stored outside of the United States. 

In the same time frame, Microsoft received 43 legal demands from law enforcement in the United States for commercial enterprise customers who purchased more than 50 seats. Of those demands, 1 warrant resulted in disclosure of content data related to a non-US enterprise customer whose data was stored outside of the United States.

Wie diesen Angaben zu entnehmen, gab es von US Ermittlungsbehörden in der ersten Hälfte von 2019 gerade einmal 126 Ermittlungsersuchen bezüglich von Daten, welche außerhalb der USA gespeichert sind. Außerhalb der USA meint hier nicht nur Deutschland, sondern sämtliche Staaten außerhalb der USA, in welchen Nutzerdaten auf Servern von Microsoft verarbeitet werden. Die überwiegende Zahl von Ermittlungsersuchen, welche in der Grafik oben abgebildet sind, stammen von deutschen Ermittlungsbehörden.

Die Duldung, welche der hessische Beauftragte für Datenschutz und Informationsfreiheit ausgesprochen hat bezüglich der Nutzung von Office 365 durch Schulen ist letztlich wohl auch nur durch diesen Sachverhalt zu erklären. Microsoft konnte ihm, so ist zu vermuten, zusichern, dass die Zahl der Ermittlungsersuchen im Rahmen des CLOUD-Act, welche Nutzer in Deutschland betreffen, äußerst gering ist und die Wahrscheinlichkeit, dass Bildungskunden davon betroffen sind, noch einmal sehr viel geringer.

Problem Telemetriedaten

Die Telemetriedaten rückten erstmals deutlich in den Fokus der Datenschützer als man im November 2018 bei einer Untersuchung in den Niederlanden acht Problemfelder im Zusammenhang mit der Erhebung von Telemetriedaten durch Microsoft ermittelte. Diese betrafen die Office 365 – Web Version, das Office 365 ProPlus Lizenzmodell und das Office 2016 ProPlus Lizenzmodell. Mit den Telemetriedaten (Nutzungsdaten zur Softwareentwicklung und um Probleme ermitteln zu können) werden nach Erkenntnissen der Niederländer scheinbar auch (personenbezogene bzw. personenbeziehbare ) Daten übermittelt, zumindest in Fragmenten. Bei den in den Niederlanden ermittelten Problemen geht es damit nicht nur um formale Verstöße gegen die DS-GVO, also nicht in den Datenschutzerklärungen ausgewiesene Verarbeitungsprozesse, sondern auch um tatsächliche, möglicherweise riskante Datenabflüsse. Microsoft sagte zu, bis April 2019 eine Lösung vorzulegen und, ähnlich wie bei Windows 10, Möglichkeiten zu schaffen, die Übermittlung von Telemetriedaten zu deaktivieren. In der Tat wurden wohl in einigen Office Varianten zusätzliche Transparenzmaßnahmen implementiert.

Wie versprochen besserte Microsoft nach und so ist es heute möglich, die Telemetriedaten in der Client Version von Office 365 Education ProPlus komplett zu deaktivieren. In drei nachfolgenden Datenschutz Folgenabschätzungen, ebenfalls von Privacy Company durchgeführt, überprüfte man die Wirksamkeit der Maßnahmen von Microsoft. Für Client Versionen von Office 365 Education ProPlus konnte man bestätigen, dass die Telemetriedaten komplett deaktivierbar sind. Es taten sich jedoch neue Problemfelder auf, Office-Online und die mobilen iOS und Android Office Apps. Bei den iOS Office Apps wurden Datenabflüsse an eine von Microsoft beauftragte Firma bemängelt und bei Office-Online (Office-Online meint die Komponente von Office 365, die komplett online im Browser läuft. Das kostenlose Office 365 A1 ist ein reines Office-Online, während Office 365 ProPlus eine erweiterte Office-Online Version ist mit weiteren Online-Apps und mit der zusätzlichen Option einer Nutzung der Download Version auf bis 5 Endgeräten.) bemängelte man, dass die in Office 365 implementierten technischen Verbesserungen dort noch nicht verfügbar wären. Das war im Juli 2019.

Microsoft hat auch hier mittlerweile deutlich nachgebessert. Auch für Office Online und einige mobile Office Apps können mittlerweile Telemetriedaten bis auf die Erforderlichen deaktiviert werden. (Siehe dazu Datenschutz für Office 365 ProPlus – Overview Privacy Controls und Für Office erforderliche Diagnosedaten)

Berücksichtigt werden sollte, dass mit Stand von Mai 2020 die “neuen und verbesserten Datenschutzsteuerelemente” noch nicht verfügbar sind für Teams und einen Teil der mobilen Office Apps. Eine Ausweitung auf diese Bereiche ist jedoch in Arbeit.

Im Juli 2020 hat das niederländische Justizministerium die Ergebnisse einer wiederholten Datenschutz Folgenabschätzung zu Microsoft Office 365 for the Web (bisher Office Online) und den mobilen Office 365 Apps veröffentlicht, die wieder von Privacy Company erstellt worden ist. Es wurden 6 hohe Risiken festgestellt. Das Justizministerium der Niederlande trat daraufhin erneut mit Microsoft in Verhandlungen und man kam zu dem Ergebnis, dass Microsoft sich verpflichtet, Maßnahmen zu implementieren, mit welchen sich die sechs von Privacy Company identifizierte Datenschutzrisiken in Bezug auf die mobilen Office-Apps und Office for the Web minimieren lassen. Maßnahmen für drei der sechs hohen Risiken sollen bis Ende des Sommers umgesetzt sein und der Rest bis zum Jahresende.

Sobald die verabredeten Maßnahmen durch Microsoft umgesetzt sind, sollte es nach Einschätzung von Pricay Company den Administratoren der Regierungsbehörde durch Umsetzung der in der DSFA empfohlenen Maßnamen möglich sein, die Risiken für die Betroffenen zu entschärfen.

Folgende Empfehlungen gibt Privacy Company:

  1. Schalten Sie die Controller Connected Experiences aus.
  2. Stellen Sie die Telemetriedaten der mobilen Office-Anwendungen auf die niedrigste Level ein.
  3. Administratoren müssen regelmäßig das Data Viewer Tool nutzen, um die Telemetriedaten, die von den mobilen Office-Anwendungen übermittelt werden, zu kontrollieren.
  4. Offenlegung und Durchsetzung von Aufbewahrungsrichtlinien / Bereinigung veralteter Daten aufgrund der Risiken von Transfer in die USA.
  5. Neue Versionen der mobilen Office-Anwendungen müssen erneut getestet werden / Anwendern muss die Installation der neuesten Versionen der mobilen Office Apps empfohlen werden, sobald die Datenschutzrisiken entschärft worden sind.
  6. Legen Sie bei der Verwendung der Connected Cloud Services (OneDrive, SharePoint, Exchange Online) Richtlinien fest, um zu verhindern, dass Dateinamen und Dateipfade personenbezogene Daten enthalten.
  7. Informieren Sie die Mitarbeiter über die Zugriffsmöglichkeiten via DSR und Audit-Protokolle.

Fazit für Privacy Company ist:

Sobald die Umsetzung erfolgreich abgeschlossen ist und vorausgesetzt, die Regierungsorganisationen befolgen die in diesem Bericht beschriebenen Empfehlungen, werden alle in dieser DSFA identifizierten hohen Risiken eingedämmt.

Im einem Beitrag aus den Niederlanden (tweakers.net), der auf diese neueste DSFA Bezug nimmt, wird darauf hingewiesen, dass die Maßnahmen „nur für Office-Dienste und Apps, die von Regierungsorganisationen verwendet werden“ gelten und von Privacy Company deshalb empfehlen würde, dass „Unternehmen und Organisationen, die nicht Teil der Zentralregierung sind, vergleichbare Datenschutzgarantien“ für sich mit Microsoft aushandeln.

Nach der ersten DSFA durch Privacy Company und den nachfolgenden Verhandlungen des Justizministeriums der Niederlande Microsoft nahm Microsoft, wie weiter oben beschrieben, bereits erste umfangreiche Anpassungen an Office 365 vor, so dass zumindest bei der Client Version die Telemetriedaten komplett deaktiviert werden können. Diese Anpassungen blieben nicht auf in niederländischen Regierungsbehörden verwendete Tenants von Office 365 beschränkt, sondern wurden weltweit in die Enterprise und Education Versionen ausgerollt. Von daher ist zu etwarten, dass die neuen verbesserten Möglichkeiten, die Telemetriedaten in Office for Web und den mobilen Office Apps anzupassen, ebenfalls weltweit für Enterprise und Education Versionen ausgerollt werden sollten.

OST

Microsoft hat Anfang 2020 auch bei den OST nachgebessert, im Zuge dessen die Standardvertragsklauseln und weitere Datenschutzbestimmungen in ein Data Processing Addendum (DPA) aus gelagert wurden. Die Anpassungen der OST tragen den Verhandlungsergebnissen mit dem Niederländischen Justizministerium Rechnung, indem Microsoft darin mehr Transparenz zeigt und mehr Verantwortung für die Datenverarbeitung übernimmt. Die neuen OST und das DPA erhalten alle Neukunden automatisch. Bestandskunden stehen sie ebenfalls zur Verfügung. Diese müssen dazu nach meinem aktuellen Kenntnisstand mit Microsoft Kontakt aufnehmen.

Was sagen die offiziellen Stellen?

LDI NRW

In NRW heißt es bei der LDI NRW mit Stand von Juli 2019, dass man keine Empfehlung aussprechen könne.

Äußerst interessant ist an dieser Stelle aber eine Anfrage des Anwalts Stefan Hessel im Rahmen des IFG NRW, der wissen wollte, wie die LDI NRW Microsoft Produkte und insbesondere Office 365 aus datenschutzrechtlicher Sicht bewertet und darüber entsprechende Unterlagen aus der Behörde anforderte. Sechs Dokumente, einschließlich des Begleitschreibens, wurden ihm zur Verfügung gestellt, die damit nun öffentlich und für jedermann einsehbar sind. Es finden sich darin gesammelt beispielhafte Antworten auf Beratungsanfragen, die bis 2014 zurückreichen. Einige der exemplarischen älteren Antworten haben sich aufgrund der Entwicklungen, wie sie hier im Beitrag an verschiedenen Stellen beschrieben sind, mittlerweile überholt, etwa zur Microsoft Cloud Deutschland, die es nicht mehr gibt. Andere sind jedoch sehr aktuell. Manches spiegelt das wieder, was hier schon beschrieben wurde. Zu den Informationen, die man für die Auskunft für Herrn Hessel zusammengestellt hat, gehören unter anderem die aktuellen Grundinformationen, die man im Bereich Schule auf Anfragen erteilt, eine Antwort auf eine Anfrage bezüglich der vermehrten Nutzung von Office 365 an Schulen in NRW in der Corona Zeit wie auch ein Leitfaden zu Office 365 im Bildungsbereich. Gemeint ist damit der Leitfaden des Datenschutzbeauftragten Kanton Zürich – „Microsoft 365 im Bildungsbereich (falls der Link nicht geht, in der Suche auf der Seite https://www.zh.ch/de/suche.html nach „Leitfaden Office 365“ und das PDF erscheint in der Trefferliste). Dass man den Leitfaden anführt, ist von daher von Interesse, dass die LDI NRW sich die Aussagen dort zumindest zum Teil zu eigen macht. Es gibt allerdings einen Unterschied zwischen dem Kanton Zürich und NRW. Im Kanton Zürich hat man einen Rahmenvertrag mit Microsoft ausgehandelt und Nebenabreden für die Nutzung in Schulen getroffen, ähnlich wie das niederländische Justizministerium für die Nutzung in Regierungsbehörden.

Aussage des Hessischen Beauftragten für Datenschutz und Informationsfreiheit

Mit letztem Stand von August 2019 hatte der HBfDI eine Duldung für die Nutzung von Office 365 in Schulen ausgesprochen.

Aussage der Medienberatung NRW/ MSB bezüglich des schulischen Einsatzes von Office 365

Die Aussage stammt von August 2019 und gilt auch aktuell im Juni 2020 unverändert.

“Von der LDI NRW ist mitgeteilt worden, dass ein bundesländerübergreifendes Verfahren zur datenschutzrechtlichen Beurteilung von Microsoft Office 365 stattfindet, das noch nicht abgeschlossen ist. Vor diesem Hintergrund konnte die LDI eine Verwendung von MS Office 365 bislang nicht empfehlen. Zudem hat der hessische Landesbeauftragte eine geänderte Stellungnahme vom 09.07.2019 für den Einsatz des Produkts in den Schulen veröffentlicht, in welcher er die Datenverarbeitung von Microsoft Office 365 im schulischen Kontext nun nicht mehr empfiehlt. Dies entspricht der Einschätzung der LDI NRW.

https://datenschutz.hessen.de/pressemitteilungen/stellungnahme-des-hessischen-beauftragten-f%C3%BCr-datenschutz-und 

Unter den geänderten Voraussetzungen ist daher die Verarbeitung von jeglichen personenbezogenen oder personenbeziehbaren Daten innerhalb von Microsoft Office 365 datenschutzrechtlich bedenklich.

Eine Verwendung von Microsoft Office 365 hinsichtlich der Verarbeitung personenbezogener Daten kann daher nicht empfohlen werden.

An dieser Bewertung ändert auch die erneute Stellungnahme des hessischen Landesbeauftragten vom 02.08.2019 nichts, weil mit ihr lediglich eine weitere übergangsweise Bewertung für hessische Schulen getroffen wird unter gleichzeitiger Feststellung, dass die Zulässigkeit des Einsatzes von Office 365 noch nicht abschließend geklärt ist.

Datenschutzkonferenz Stand April 2020 laut Aufsichtsbehörde Berlin

An den OST kritisiert die Datenschutzkonferenz (DSK), wie kürzlich im Jahresbericht Datenschutzbehörde Berlin 2019 (S. 92f) veröffentlicht:

Microsoft verlangt von den Auftraggeberinnen und -gebern, dass diese die Weiterverarbeitung ihrer ggf. personenbezogenen Daten durch Microsoft auch Zwecke der Produktverbesserung zulassen.

Dafür sieht man von Seiten der Datenschutzkonferenz jedoch, wenn es um öffentliche Stellen wie Schulen geht, keine Rechtsgrundlage.

Weiterhin heißt es dann, dass die deutschen Datenschutzaufsichtsbehörden sich gegenwärtig in einem engen Abstimmungsprozess darüber befinden, wie gegenüber Microsoft erreicht werden könne, dass eine derartige Datenverwendung unterbleibt. Man kommt dann zu dem Schluss:

Bis dahin bleibt es den Verantwortlichen überlassen, Office 365 so einzusetzen, dass die personenbezogenen Daten lediglich ohne Verwendung der Cloud in der eigenen Informationstechnik abgespeichert werden.

Diese Aussage bedeutet, dass aus Sicht der DSK eine Nutzung von Office 365 möglich ist, wenn personenbezogene Daten lokal gespeichert werden, ohne dazu den Weg durch die Microsoft Cloud zu gehen. Die lokalen Installationen müssten dazu von der Cloud entkoppelt werden.

Bei der Berliner Aufsichtsbehörde ist sich der Dringlichkeit einer Klärung jedoch bewusst und so heißt es zum Abschluss:

Wir gehen davon aus, dass die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) zeitnah die Voraussetzungen für einen zulässigen Einsatz von Office 365 aufzeigen wird. Es wird an Microsoft liegen, seinen Teil zur Erfüllung dieser Voraussetzungen beizutragen.

LDI BaWü

Von Seiten des Philologenverband BW hatte man die Aufsichtsbehörde des Bundeslandes wohl direkt angefragt bezüglich der Datenschutzkonformität von Office 365 vor allem mit Blick auf Teams, welches in der Ausnahmesituation durch Covid19 an vielen Schulen zum Einsatz kommt. Die Antwort an den Philologenverband beginnt mit eine Aussage, die mittlerweile kaum noch überrascht:

Bevor ich auf unsere Bewertung von MS Office 365 komme, sei gesagt, dass wir Ihnen hierzu weder eine eindeutige Empfehlung noch eine klare Absage an die Hand geben können.

Man erklärt dann, dass es nur bei wenigen Varianten von Office 365 für versierte IT-Fachleute möglich sei, diese so einzustellen, dass weniger Diagnose Daten an Microsoft übermittelt werden. Sehr interessant ist dann die Aussage, dass solche Einstellungen bei den Education Versionen nicht möglich seien. Dass diese Aussage inhaltlich korrekt ist, bezweifle ich ernsthaft, denn die Education Versionen unterscheiden sich technisch von  den ihnen im Funktionsumfang entsprechenden Enterprise Versionen nicht.

Weiter wird ausgeführt, dass man auch bei durch entsprechende Einstellungen stark reduzierten Diagnosedaten nie sicher sein könne, ob durch Updates diese Einstellungen nicht zum Teil wieder wirkungslos würden und keine einfach zu übernehmende Konfiguration bekannt sei, die die es ermöglicht, alle Datenflüsse abzuschalten.

Das Schreiben geht dann noch einmal auf den eigentlichen Kernpunkt der Anfrage, MS Teams, ein und kommt dort zu dem doch etwas überraaschenden Schluss:

Folglich konnen wir Ihre Bedenken leider nicht zerstreuen, wobei in gewissen Konfigurationen MS Teams durchaus datenschutzfreundlich nutzbar scheint.

Antwort der Berliner Beauftragten für Datenschutz und Informationsfreiheit an Microsoft

Im Mai 2020 nahm die Berliner Aufsichtsbehörde gegenüber Microsoft Stellung bezüglich ihrer voherigen Aussagen zur Nutzbarkeit von MS Team. Anders als der überwiegende Teil der bisherigen Aussagen von Aufsichtsbehörden, wird man hier sehr konkret und äußert benennt genau, warum man der Meinung ist, dass eine Nutzung von Office 365 bzw. Microsoft 365 nicht DS-GVO konform möglich ist.

  1. Verarbeitung von Auftragsdaten durch Microsoft auch zu eigenen Zwecken, feh- lende Rechtsgrundlage für Offenlegung durch Verantwortliche, Verstoß gegen Art. 26 DS-GVO
  2. Unklarer Auftragsverarbeitungsvertrag verhindert Erfüllung der Rechenschafts- pflicht durch Verantwortliche
  3. Auftragsverarbeitungsvertrag erfüllt in keiner Auslegung die gesetzlichen Min- destanforderungen
  4. Rechtswidriger Datenexport wegen unzulässig abgeänderter Standardvertrags- klauseln

Die Kritikpunkte werden im Schreiben näher erklärt. Nummer 1 spiegelt wieder was auch die Datenschutzkonferenz mit Stand von April 2020 bereits bemänglet hatte. Ohne Rechtsgrundlage verstößt die Nutzung von Daten des Verantwortlichen zu eigenen Zwecken gegen Art. 26 DS-GVO. Der zweite Kritikpunkt hängt sich mehr an Formulierungen und Bezügen im Data Processing Addendum und seinen Anlagen auf. Man kritisiert, dass es dort Regelungen gebe,

die den gesetzlichen Mindestanforderungen widersprechen„.

Ansonsten geht es um die schlechte Verständlichkeit, die Verantwortlichen die Erfüllung ihrer Rechenschaftspflicht erschweren. Schlechte Lesbarkeit ist sicher kein Ausschlusskriterium für die Nutzung einer Plattform, Regelungen, welche den gesetzlichen Mindestanforderungen widersprechen, könnten das jedoch sein. In Nummer 3 wird noch einmal aufgegriffen, dass der „Auftragsverarbeitungsvertrag nicht den Mindestanforderungen des Art. 28 DS-GVO entspricht„, da man hinter den gesetzlichen Mindestanforderungen zurückbleibe. Konkret sei dieses in Bezug auf Art. 28 Abs. 3 lit. g DS-GVO der Fall, in welchem es um die Löschung der Daten des Verantwortlichen geht. Bemängelt wird hier, dass:

„eine Löschung oder Rückgabe der Auftragsdaten nach Auftragsende nur auf Wunsch der Verantwortlichen vorgesehen ist und nicht in jedem Fall“

Beim vierten Punkt geht es um die Standardvertragsklauseln. Auch wenn die kritisierte Passage nicht Bestandteil der Standardvertragsklauseln ist und von Microsoft als „Zusatz“ bezeichnet wird, sieht die Aufsichtsbehörde hier im Effekt eineunzulässige Abänderung der Standardvertragsklauseln.

Fazit für die Berliner Aufsichtsbehörde ist:

Mithin ist in jedem Fall keine rechtskonforme Nutzung der in Rede stehenden Dienste durch unserer Aufsicht unterliegende Verantwortliche möglich, weil mehrere Rechtmäßigkeitsanforderungen nicht erfüllt werden.

Das ist eine klare Ansage.

Im Juli legt man noch einmal nach mit dem Dokument Hinweise für Berliner Verantwortliche zu Anbietern von Videokonferenz-Diensten. Ab Seite 10 wird auf mehr als zwei Seiten erklärt, wo man Defizite sieht.

Wichtig ist, das sollte man bei den Einschätzungen der Berliner Aufsichtsbehörde wie auch denen aus anderen Aufsichtsbehörden beachten, sie gelten zu allererst einmal für den eigenen Zuständigkeitsbereich der jeweiligen Aufsichtsbehörde. Sie stellen darüber hinaus nur eine Einschätzung dar, die nicht unbedingt zutreffend sein muss und vielleicht auch nicht von anderen Aufsichtsbehörden und Fachjuristen geteilt wird. (Siehe dazu auch den Beitrag „Aufsichtsbehörde: Microsoft Teams ist rechtswidrig! – Wirklich?“ auf dr-datenschutz.de)

Die Arbeit des UAK Office 365

Wie aus zahlreichen Äußerungen bekannt, sind die Aufsichtsbehörden im Dialog mit Microsoft. Dazu gehört auch ein Unterarbeitskreis der Datenschutzkonferenz, der sich speziell mit Office 365 befasst. Wie aus Tagesordnung und Protokoll der 98. Konferenz
der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder – von Ende 2019 – zu erfahren ist, befasst man sich dort mit der datenschutzkonformen Auftragsverarbeitung von Office 365.

„(TOP 34) Microsoft Office 365
Die Konferenz kommt überein, den von Brandenburg eingebrachten Beschlussvorschlag zunächst an den UAK Office 365 zu verweisen. Dieser wird um die Erarbeitung einer abgestimmten und begründeten Bewertung einer datenschutzkonformen Auftragsverarbeitung von Office 365 gebeten.
Die Arbeitskreise Verwaltung, Technik, Schulen und Bildungseinrichtungen sollen hierbei einbezogen werden.“

Wann hier mit einem Ergbnis des Unterarbeitskreises (UAK) zu rechnen ist, bleibt abzuwarten und kann erfahrungsgemäß dauern.

Im Begleitschreiben der weiter oben beschriebenen Anfrage des Anwalts Stefan Hessel (@stefan_hessel) bezüglich „Unterlagen zur datenschutzrechtlichen Bewertung von Mircosoft Produkten, insb. Office 365.“ im Rahmen des IFG an die LDI NRW von Anfang Juni 2020 Anhang „BegleitschreibenLDINRW2-7-2020_geschwaerzt.pdf“  erfährt man, dass eine abschließende Bewertung durch die Datenschutzkonferenz noch Zeit benötigt. Das Ergebnis soll es anschließend auf der Website der Datenschutzkonferenz geben.

Die deutschen Datenschutz-Aufsichtsbehörden befassen sich seit geraumer Zeit mit dieser Microsoft-Anwendung und bereiten eine Befassung der Datenschutzkonferenz vor. Wegen der Komplexität der Anwendung wird das Ergebnis noch einige Zeit benötigen. Unterlagen zu diesem zwischenbehördlichen Meinungsbildungsprozess können wir nicht herausgeben, da von Seiten der beteiligten Behörden anderer Länder die nach § 6 Satz 1 lit. c IFG NRW erforderliche Zustimmung zur Herausgabe von Dokumenten zum laufenden Meinungsbildungsprozess versagt worden ist. Sobald die Datenschutzkonferenz abschließend beraten hat, dürfte das Ergebnis über die Homepage www.datenschutz-konferenz-online.de abrufbar sein.“

Office 365 – in Zeiten von Corona

Mit der Schließung von Schulen landesweit in Folge von Corona waren erstaunliche Entwicklungen bezüglich der offiziellen Positionen zur Nutzung von Office 365 in Schulen zu beobachten.

In Bayern räumte man Schulen von Seiten des Kultusministeriums die Möglichkeit ein, neben Mebis der Landesplattform auch alternative digitale Werkzeuge zu nutzen, um den Unterricht auf Distanz zu ermöglichen. Man dachte dabei auch daran, den Schulen

eine von zuhause aus nutzbare Lernumgebung zur Verfügung stellen, wie beispielsweise cloud- gestützte Office-Produkte, ggf. mit Videokonferenzsystem (zu denken wäre hier zum Beispiel an Microsoft Office 365)“

betonte dabei jedoch auch, dass man damit „ längerfristige vertragliche Bindungen [eingehe] oder grundlegende technische Weichenstellungen“ vornehme.

Das Kultusminsterium geht dann sogar soweit, den Schulen direkt MS Teams als Bestandteil von Office 365 (online) über einen Vertriebspartner von Microsoft zur Verfügung zustellen, zumindest für die Zeit, in welcher Unterricht durch Covid19 nur eingeschränkt möglich ist.

In Hessen hatte die Aufsichtsbehörde nach einer vorläufigen positiven Beurteilung keine Bedenken, wenn Schulen in der außergewöhnlichen Zeit gängige Videokonferenz Plattformen nutzen, wozu dann auch eindeutig MS Teams zählt, als Bestandteil von Office 365.

„Der HBDI geht daher davon aus, dass für die Dauer der Krisenbewältigungsmaßnahmen die gegenwärtig erhältlichen Videokonferenzsysteme aufgrund einer vorläufigen positiven Beurteilung gemäß Art. 6 Abs. 1 Buchs. d) und e) DS-GVO als erlaubt gelten.“

In Baden Württemberg gibt das Kultusministerium den Schulen die Entscheidung an die Hand, welche digitalen Hilfsmittel sie heranziehen, um ortsunabhängig kommunizieren und arbeiten zu können.

„Bitte prüfen Sie, welche digitalen Möglichkeiten für lhre Schule geeignet sind. Es ist sinnvoll, wenn Schulen in der aktuellen Situation zusätzliche digitale Angebote nutzen, die nun aufgrund der Schulschließung eine von zuhause aus nutzbare Lernumgebung zur Verfügung stellen (2.8. cloudgestützte Office-Produkte, auch Microsoft Office 365, oder datenschutzfreundliche Messenger-Dienste). Über den jeweiligen Einsatz können die Schulen selbst entscheiden.“

Wie sind die Corona „Ausnahmen“ zu bewerten?

Alle Corona Ausnahmen sind genau dieses, Ausnahmen auf Zeit. Man weist darauf hin, dass die Möglichkeiten nur für einen begrenzten Zeitraum zur Verfügung stehen oder man sich nicht durch längerfristige Verträge binden solle. Die Tatsache, dass man Schulen in mehreren Bundesländern die Möglichkeit überhaupt einräumt, Office 365 zu nutzen und sogar ausdrücklich die Online Version (Office Online bzw. Office for Web), sagt jedoch schon eine Menge aus. Bei den Stellen, die dieses verantworten schätzt man demnach die Risiken, welche sich für die Betroffenen ergeben – man bedenke, es geht hier vor allem um Kinder und Jugendliche – als vertretbar ein. Dieses Abschätzen erfolgt in Abwägung mit den besonderen Umständen, die sich durch die Schließung der Schulen und das Fehlen von Präsenzunterricht ergeben. Und so kommt man zu dem Schluss, dass angesichts der besonderen Umstände die Risiken vertretbar sind, die sich für Betroffene aus einer Nutzung von Office 365 ergeben.

In Bayern gibt man darüber hinaus Schulen umfangreiche Unterstützungsmaterialien an die Hand, die helfen sollen, einen datenschutzfreundlichen Einsatz von Teams zu gewährleisten. Die dazu gehördenden Informationen zur Datenverarbeitung, Nutzungsbedingungen und Einwilligungsvorlage (für Schüler und Lehrkräfte) sowie Beschreibung der Verarbeitungstätigkeit sind die bisher einzigen mir bekannten, die von einem Kultusministerium für Office 365 bzw. MS Teams und Office 365 Komponenten veröffentlicht worden sind.

Ausblick

Es bewegt sich etwas in Sachen Office 365, in den letzten 20 Monaten mehr als in den 5 Jahren davor. Die DS-GVO wirkt hier tatsächlich, auch wenn das Regelwerk im schulischen Alltag oft mehr Hindernis als Hilfe erscheint. Microsoft ist wie ein Elefant und die Aufsichtsbehörden und anderen europäischen Player sind bemüht, ihm das Kunststück DS-GVO Konformität beizubringen. Der Elefant bewegt sich, wenn zuweilen auch schwerfällig. Er sollte zum Ziel kommen, denn Willens scheint er. Zu verlieren hätte er viel, wenn er den Auftritt im Datenschutz Zirkus Europa vermasselt. Es geht nicht nur um Schulen, sondern vor auch um Unternehmen und öffentliche Verwaltungen, denn dort ist viel Geld zu verdienen.

Microsoft kann an seinen Produkten arbeiten und die Möglichkeiten, Datenflüsse zu kontrollieren sowie die Transparenz zu verbesser. Auch die Datenschutzrichtlinien kann man anpassen, selbst wenn es mitunter nur um Formulierungen und korrekte Übersetzungen in Deutsche geht. Leider gibt es jedoch auch Dinge, die Microsoft nicht in der Hand hat. Dazu zählen die Standardvertragsklauseln, die ein wesentlicher Bestandteil des Data Processing Addendum sind und der EU-US Privacy Shield. Beide stehen auf der Kippe. Über die EU-Standardvertragsklauseln entscheidet der Europäische Gerichtshof voraussichtlich am 16.07.2020 in einem von Max Schrems angestrengten Verfahren (mehr siehe EU-Standardvertragsklauseln vor Gericht). Auch zum EU-US Privacy Shield steht eine Entscheidung an. Wenn letzteres fallen sollte, wie seinerzeit das Safe-Harbour Abkommen zwischen der EU und den USA, geht die Welt nicht unter, denn Office 365 läuft mittlerweile fast ausschließlich in Rechenzentren in der EU. Datentransfers in die USA finden damit, wenn überhaupt, nur noch in geringem Umfang statt. Auch wenn die EU-Standardvertragsklauseln für unrechtmäßig erklärt werden sollten, ist das nicht das Ende der Welt. Doch beides wird, wenn es zum Schlimmsten kommt, für Probleme und Verunsicherung sorgen.

Niemand wird erwarten, dass Schulen, Behörden und Unternehmen dann mit einem Mal die Nutzung der Online Komponenten von Office 365 (Office for the Web) und Office Apps von heute auf morgen einstellen. Es wird aber sicher, auch mit Übergangsfrist, Folgen haben, bis es ein neues Vertragswerk gibt, welches die EU-Standardvertragsklauseln ersetzt. Gleiches gilt falls der EU-US Privacy Shield fallen sollte.

Auch das Thema CLOUD-Act ist noch nicht ausgestanden. In der oben angeführten neuesten DSFA von Privacy Company wird die aktuelle Situation bezüglich der Datenanforderungen im Rahmen von Ermittlungsangragen aus den USA ausführlich beleuchtet. Seit fast einem Jahr verhandelt eine Kommission der EU mit den US Gegenstellen über einen internationalen Vertrag, der allen Seiten CLOUD-Act Rechte einräumen soll. Sobald es diesen Vertrag gibt, ist das Problem CLOUD-Act Geschichte.

Gespannt sein darf man auf das Ergebnis des Unterarbeitskreis der Datenschutzkonferenz zu einer abgestimmten und begründeten Bewertung einer datenschutzkonformen Auftragsverarbeitung von Office 365 und den Folgen davon. Da hier alle Bundesländer an einem Strang ziehen, sollte man hier dann wohl erwarten dürfen, dass das Ergebnis für alle Bundesländer gleich sein wird. Damit sollten der Vergangenheit angehören, dass es im einen Bundesland ein Verbot gibt, im nächsten eine Duldung und im Dritten Narrenfreiheit.

Office 365 – HBDI – die Dritte

Posted in Datenschutz by damianduchamps on August 3, 2019

Es bleibt weiterhin spannend, was die Zulässigkeit einer Nutzung von Office 365 durch Schulen angeht. Nachdem der Hessische Beauftragte für Datenschutz und Informationsfreiheit am 09.07.2019 zunächst bekannt gab, dass eine Nutzung von Office 365 durch Schulen datenschutzrechtlich nicht zulässig sei, äußerte er sich am 02.08.2019 erneut zum Thema. Das Statement vom Juli hatte ein ziemliche Welle losgetreten und an vielen Stellen zerbrach man sich den Kopf, was das für die eigene Schule nun bedeute. Noch einen Tag vor der neuen Pressemittteilung des HBDI erklärte eine Fachanwältin in einem Interview mit dem Titel Cloud-Nutzer und US-Cloud-Anbieter befinden sich in einer Zwickmühle, wodurch sich die datenschutzrechtliche Problematik ergibt, welche zu der Aussage führte, dass die Cloudanwendung von Office 365 derzeit unzulässig sei.

Dem HBDI war sicherlich klar, dass ein Verbot der Nutzung von Office 365 durchaus nicht unproblematisch ist für Schulen. Passend kamen in dieser Situation, die zahlreichen Verbesserungen, welche Microsoft mittlerweile umgesetzt hat, um den Vorgaben der DS-GVO besser zu entsprechen. Viele dieser Änderungen waren auch eine Folge der Forderungen aus den Niederlanden, nachdem man dort in einer Datenschutz Folgenabschätzung (DSFA) gravierende Mängel festgestellt hatte. Anfang Juli hatte das niederländische Justizministerium dann grünes Licht für die Nutzung von Office 365 durch Regierungsbehörden gegeben. Dieses hatte die Einschätzung des HBDI bezüglich einer Zulässigkeit der Nutzung von Office 365 durch Schulen zunächst scheinbar nicht beeinflussen können. Entsprechend erklärte er wenige Tage später eine Nutzung für unzulässig. Ob die Entwicklungen in den Niederlanden das Handeln des HBDI später doch noch beeinflusst hat, ist durchaus möglich. Nach eigenen Aussagen des HBDI in einer Presseerklärung vom 02.08.2019 fanden seither „intensive Gespräche mit Microsoft über die Datenschutzkonformität der schulischen Anwendung von Office 365 statt, die zu einer datenschutzrechtlich veränderten Einschätzung führten und die einen erheblichen Anteil der Bedenken entkräfteten.“ In Folge gibt es nun nach einer neuen Abwägung durch den HBDI „unter Beachtung des Grundsatzes der Verhältnismäßigkeit“ erst einmal oranges Licht für Schulen. Die Nutzung der „Cloud-Anwendung Office 365 in der Version ab 1904 (Office365 ProPlus, Office365 Online und Office365 Apps)“ ist für Schulen zunächst weiterhin möglich. Um dieses zu ermöglichen, hat der HBDI eine Duldung erklärt, die auf Vertrauenserwägungen in die Zusicherungen von Microsoft gründet. Mit der Duldung setzt der HBDI seine Erklärung einer Unzulässigkeit der Nutzung damit vorrübergehend aus. Dabei unterscheidet der HBDI drei Fälle. Im Rahmen der Duldung auf einer Vertrauenserwägung können:

  1. Schulen, welche bereits eine entsprechende Office 365 Lizenz besitzen diese weiterhin nutzen, und
  2. Schulen, für welche die Beschaffung von Office 365 Lizenzen bereits im Haushalt rechtlich verbindlich verabschiedet wurde, können die Lizenzen erwerben und nutzen.

Auch Schulen, die nicht unter 1 oder 2 fallen, können sich auf die Duldung berufen. Es gibt hier jedoch einen wichtigen Unterschied. Sie tragen „das finanzielle Risiko, falls die weitere Überprüfung zur Unzulässigkeit des Einsatzes von Office 365 in hessischen Schulen“ führt. Das heißt, während die Schulen in Fall 1 und 2 mit einer Erstattung der Lizenzkosten rechnen können, falls die Nutzung von Office 365 letztlich doch für unzulässig erkärt wird, bleiben die anderen Schulen auf ihren Kosten sitzen.

Vielleicht sollte man sich an dieser Stelle einmal eines deutlich machen. Es geht hier nicht mehr um Office 365 in der Microsoft Cloud Deutschland, deren Nutzung der HBDI seinerzeit für unterrichtliche Zwecke für zulässig erklärt hatte, sondern um die ganz normale Office 365 Version.

Die Nutzung von Office 365 im Rahmen der Duldung ist an mehrere Bedingungen geknüpft:

  • Es muss in die Cloud Anwendung von 365 in der Version ab 1904 genutzt werden.
  • Schulen müssen „vorläufig die Übermittlung jedweder Art von Diagnosedaten unterbinden.“

Wie letzteres umzusetzen ist, dafür stellt der HBDI in Aussicht, weitere „Vorgaben hinsichtlich der Parameter machen, die als Grundlage für die Nutzung der Cloud umzusetzen sind.“ Das dürften unter anderem Angaben sein, welche personenbezogenen Daten bei einer Nutzung von Office 365 zulässig sind bzw. welche Maßnahmen umzusetzen sind etwa bei der Erstellung von Benutzerkonten.

Bezüglich einer Unterbindung der Übermittlung von Diagnosedaten und der dazu erforderlichen Einstellungen kann man sich gut an den Angaben im letzten Abschnitt „Selbst Maßnahmen zur Verbesserung des Datenschutzes ergreifen“ im Beitrag Neue DSFAs zu Microsoft Office- und Windows-Software: weiterhin Datenschutzrisiken orientieren. Dieses ist ein Bericht der Privacy Company, welche die oben erwähnte erste Datenschutz Folgenabschätzung (DSFA) 2018 im Auftrag des niederländischen Justizministeriums durchgeführt hatte. Nachdem man in den Niederlanden mit Microsoft neue Datenschutzbestimmungen für die 300.000 digitalen Arbeitsplätze der Zentralregierung vertraglich vereinbart und den Behörden grünes Licht für eine Nutzung der Enterprise-Versionen von Office 365 und von Windows 10 gegeben hatte, führte die Privacy Company drei neue DSFA durch. Dabei konnte man die Behebung „der acht zuvor identifizierten Datenschutzrisiken für Office 365 ProPlus durch eine Kombination aus technischen, organisatorischen und vertraglichen Maßnahmen“ durch Microsoft nachweisen.

Das war jedoch nicht das einzige Ergebnis. Es wurde auch ermittelt, dass die Nutzung von zumindest drei der iOS Office Apps Datenschutzrisiken in sich birgt, da hierbei Daten an eine US-Firma übermittelt werden, welche auf predictive Profiling spezialisiert ist. Darüber hinaus stellt man fest, dass „bestimmte technische Verbesserungen, die Microsoft in Office 365 ProPlus implementiert hat, in Office Online (noch) nicht verfügbar“ sind.

Infolge rät man in den Niederlanden nun den staatlichen Behörden, vorerst weder Office Online noch die Office-Apps zu nutzen. Das ist vor allem vor dem Hintergrund interessant, dass der HBDI nur wenige Tage nach der Veröffentlichung durch die Privacy Company und der Empfehlung des Justizministeriums bzw. SLM Rijk seine Einschätzung, die er im Juli abgegeben hatte, vorerst „auf Eis legt“. Möglicherweise haben sich die Gespräche, welche er mit Microsoft führte, und die Veröffentlichung von Privacy Company zeitlich überschnitten. Es wäre aber auch denkbar, dass Microsoft dem HBDI zugesichert hat, dass für EDU Nutzer von Office365 ProPlus, Office365 Online und den Office Apps andere Bedingungen gelten und dass so bei den Apps keine personenbezogenen Daten von Schülern und Lehrkräften an die US Firma übermittelt werden.

Es bleibt weiterhin spannend, denn die Prüfungen des HBDI sind noch nicht abgeschlossen. Mit den aktuellen DSFA aus den Niederlanden sollte es dem HBDI im Rahmen seiner beabsichtigten Prüfungen recht einfach möglich sein, auf Schule angepasste DSFA zu erstellen. Deutlich ist im aktuellen Statement des HBDI auch geworden, dieser hat sich parallel zu den gemeinsamen Bemühungen der Aufsichtsbehörden bezüglich der Datenschutzproblematik von Office 365 mit der Thematik auseinandergesetzt. Das finde ich sehr gut. Hier ist jemand, der versucht, für Schulen eine Klärung herbeizuführen. Was in den Bundeländern oder eventuell auch auf Bundesebene geschehen sollte, beschreibt der Beitrag der Privacy Company recht gut, wenn auch für niederländische Unternehmen und Organisationen, die nicht zur Zentralregierung gehören.

Unternehmen und Organisationen außerhalb der niederländischen Zentralregierung können selbst eine Reihe von Maßnahmen ergreifen (siehe die Liste unten in diesem Blog), aber nur Microsoft ist in der Lage, die hohen Datenschutzrisiken zu beseitigen. Aus diesem Grund sollten diese Organisationen über Datenschutzgarantien verhandeln, die denen der niederländischen Regierung ähnlich sind, vorzugsweise über einen Dachverband oder eine Gewerkschaft. Es würde nicht schaden, auf die laufende Untersuchung des Europäischen Datenschutzbeauftragten über die Vertragsbedingungen, die Microsoft den europäischen Institutionen anbietet, hinzuweisen. Darüber hinaus können Unternehmen auch ihre eigene DSFA auf der Grundlage der Berichte der niederländischen Regierung durchführen und die Restrisiken der Datenschutz Aufsichtsbehörde gemäß Artikel 36 DSGVO melden.

Es muss mit Microsoft verhandelt werden über Datenschutzgarantien. Es braucht Verträge zwischen den Ministerien und Microsoft. Ohne die wird es nicht gehen. Gespräche, wie der HBDI sie geführt hat, können nur ein Anfang sein. Nicht ohne Grund hat auch in unseren Nachbarländern Österreich und der Schweiz entsprechende Verträge ausgehandelt. Microsoft ist willens, sich an den Bedürfnissen europäischer Kunden zu orientieren, und zeigt dieses durch sein Handeln auch sehr deutlich.

Alles wird gut. Es braucht nur Zeit und den Willen aller Beteiligten. Selbst das Thema CLOUD-Act wird sich auf absehbare Zeit regeln durch ein internationales Abkommen oder weil man die USA in das europäische Pendant zum CLOUD-Act, die e-Evidence-Verordnung, aufnimmt. Alles, was wir brauchen, sind Geduld, guten Willen, (Ver)Handeln und pragmaische Lösungen.

Ich erwarte, dass man sich in einigen Bundesländern, wo man sich bereits an der ursprünglichen Empfehlung des HBDI zu Office 365 mit der MS Cloud Deutschland orientiert hatte, den aktuellen Aussagen anschließen wird. Das würde dann auch für NRW gelten.

Tagged with: , ,

Mit Treuhand Clouds wider die politischen Gezeiten

Posted in Datenschutz, Uncategorized by damianduchamps on Juli 15, 2019

Ein Punkt, welcher bei der Diskussion um die datenschutzrechtliche Zulässigkeit einer Nutzung von US amerikanischen Plattformen oft vernachlässigt wird, ist die Unwägbarkeit politischen Handelns, egal ob es um Nationalstaaten oder Staatenverbünde wie die EU geht. Das möchte ich hier noch einmal deutlicher herausarbeiten.

Gäbe es zwischen der EU und den USA ein verlässlich stabiles Vertragswerk, in welchem DS-GVO konforme Lösungen zur Datenübermittlung zwischen beiden Seiten dauerhaft verankert wären, hätten wir nicht die datenschutzrechtlichen Probleme, welche sich gegenwärtig aus einer Nutzung von US amerikanischen Cloud Plattformen ergeben, wenn personenbezogene Daten von Europäern im Spiel sind.

Aktuell gründet die datenschutzrechtliche Zulässigkeit des mit einer Nutzung von Office 365, G Suite for Education und Apple iCloud  verbundenen Flusses von personenbezogenen Daten in die USA in den überwiegend auf dem EU-US Privacy Shield und den EU Standard Vertragsklauseln. Der EU-US Privacy Shield ersetzte das Safe Harbour Abkommen, nachdem dieses im Oktober 2015 von der EU für ungültig erklärt worden war. Doch auch mit dem EU-US Privacy Shield  gibt es Probleme. Zwar wurde der EU-US Privacy Shield zu Beginn diesen Jahres um ein weiteres Jahr „verlängert“, doch das Abkommen steht weiterhin auf wackeligen Beinen, da seine Rechtmäßigkeit in einer Klage vor dem Europäischen Gerichtshof in Frage gestellt wurde. Gleiches gilt für die EU Standard Vertragsklauseln, die dort zur Zeit verhandelt werden. Hinzu kommt der Cloud Act. Dieser ignoriert bestehende Abkommen und ermöglicht US Ermittlungsbehörden den Zugriff auf Daten von EU Bürgern auf Servern von US Unternehmen, egal wo in der Welt diese stehen. Das ist, wie der Europäische Datenschutzausschuss jetzt feststellte, nur in wenigen Fällen mit der DS-GVO vereinbar. Es braucht deshalb ein neues datenschutzkonformes internationales Abkommen. Ob man ein solches mit den US aushandeln kann, bleibt bei der Unberechenbarkeit der gegenwärtigen US Regierung abzuwarten. Und wird diese Regierung 2020 um weiter vier Jahre im Amt bestätigt,  … außerdem weiß niemand, was danach kommt …

Ich habe die verschiedenen rechtlichen Zusammenhänge und Veränderungen jetzt nur kurz skizziert. Damit ist jedoch hoffentlich deutlich geworden, dass in den letzten Jahren viel in Bewegung war im internationalen Datenrecht. Die Übermittlung von personenbezogenen Daten aus Deutschland bzw. seit Umsetzung der DS-GVO aus der EU in Drittstaaten war schon immer kritisch. Hinzu kommt, es hängt sehr viel vom politischen Geschehen ab. Ein Akt des Terrorismus wie 9/11, ein Wechsel der Regierung, eine Änderung der Politik oder auch Gerichtsurteile, welche bestehende Regelungen für ungültig erklären, können massive Auswirkungen auf die Rechtmäßigkeit der Übermittlung von personenbezogenen Daten in Drittstaaten haben. Eine solche Übermittlung ist, selbst wenn US Unternehmen optional die Speicherung von personenbezogenen Daten in EU Serverzentren anbieten, durch die Vernetzung mit Servern außerhalb der EU, erforderliche Zugriffe für Wartung und Support sowie Abflüsse von Telemetriedaten, immer anzunehmen.

Schulen brauchen verlässliche Lösungen, die unabhängig von den Unwägbarkeiten der politischen Gezeiten sind, sowohl innerhalb wie außerhalb der EU. Sie arbeiten im Hier und Jetzt. Man stelle sich vor, eine vergleichbare Unberechenbarkeit herrsche bei den Lehrplänen der Fächer. Wenn Schulen die Angebote von Microsoft, Google, Apple und anderen US Anbietern nutzen wollen, dann brauchen sie eine Lösung, welche nicht vom nationalen und internationalen Politikgeschehen und dem Ausgang von internationale Abkommen in Frage stellenden Gerichtsprozessen, abhängig ist, und dafür sehe ich nur eine praktikable Lösung – Treuhand Clouds, Clouds, die rechtlich von den US Anbietern abgekoppelt sind. Nur wenn die im Zusammenhang mit Office 365, G Suite for Education und Apple iCloud genutzten Server durch eine Treuhand Lösung dem rechtlichen Zugriff von Staaten außerhalb der EU entzogen werden, ist eine Nutzung mit personenbezogenen Daten von Schülern und Lehrkräften auf einer datenschutzrechtlich verlässlichen Basis dauerhaft möglich.

Das wirtschaftliche „Scheitern“ der Microsoft Cloud Deutschland, der einzigen Lösung bisher, welche eine unterrichtliche Nutzung von Office 365 im Einklang mit bestehendem Datenschutzrecht zuließ (bzw. weiterhin zulässt für Bestandskunden), ist kein Grund, warum es vergleichbare Lösungen nicht für den Bildungsbereich geben sollte. Anbieter wie Microsoft, Google und Apple verstehen eine Sprache recht deutlich und die heißt Geld. Also zahlen wir. Das sollte es uns Wert sein, wenn Schulen diese Plattformen nutzen wollen. Und immerhin können wir uns auch tolle Länder Bildungs-Clouds leisten.

… und die endlose Geschichte um Office 365 geht in die nächste Runde

Posted in Datenschutz by damianduchamps on Juli 14, 2019

Im März hatte ich versucht im Beitrag Office 365 Cloud für Schule – wo stehen wir?, den seinerzeit aktuellen Stand der Entwicklungen bezüglich einer Nutzbarkeit von Office 365 in Schule darzustellen. Es ist mittlerweile Juli 2019 und die endlose Geschichte geht in die nächste Runde.

Die Niederlande legen vor

Aus den Niederlanden kommt zunächst ein positives Signal. Dort hatte man im Rahmen einer Datenschutz Folgenabschätzung Ende letzten Jahres ermittelt, dass Office 365 (Pro Plus) in verschiedenen Punkten nicht datenschutzkonform nutzbar ist (siehe auch Beitrag von Privacy Company zur durchgeführten DSFA). Entsprechend hatte man sich mit Microsoft in Verbindung gesetzt und Verbesserungen geplant. Microsoft versprach, diese umzusetzen. Anfang Juli gab das niederländische Justizministerium dann bekannt, dass die Maßnahmen den Verabredungen entsprechend umgesetzt worden seien und einer Nutzung durch 300.000 Mitarbeiter in Regierungsbehörden damit nichts mehr im Wege stehe. Zusätzlich gab es zwischen dem niederländischen Staat und Microsoft Vereinbarungen, welche die Pflichten des Staates als Verantwortlicher und von Microsoft als Verarbeiter regeln. Für die Regierungsbehörden wurden Implementierungsregeln aufgestellt, welche diese einhalten müssen, wenn sie Microsoft Produkte und Dienste nutzen. Da Microsoft Produktänderungen in seiner global angebotenen Produktpalette nicht ohne Weiteres regional beschränkt umsetzen kann, flossen die aus den Verabredungen mit den Niederländern hervorgegangenen Verbesserungen in die Office 365 Enterprise Edition weltweit ein. Da die EDU Versionen eng an diese gekoppelt entwickelt werden, sollten die Veränderungen auch dort ihren Niederschlag gefunden haben. Unabhängig von den technischen Veränderungen sehe ich den niederländischen Fall sehr positiv, da er einen Weg aufzeigt, wie man zu einer Lösung kommen kann. Dazu später mehr.

Der hessische Datenschutzbeauftragte legt den Finger in die Wunde

Knapp eine Woche später meldet sich der hessische Datenschutzbeauftragte (HBDI) zu Wort. Er hatte bisher in der Microsoft Cloud Deutschland eine Möglichkeit gesehen, wie Schulen Office 365 für Unterrichtszwecke datenschutzkonform nutzen können. Da diese Lösung nicht länger für Neukunden verfügbar ist, erhielt er immer wieder Anfragen aus Schulen bezüglich der Nutzbarkeit der Office 365 Lösung in der EU Cloud. Um hier Klarheit zu schaffen, äußerte er sich mit einer Stellungnahme zum Einsatz von Microsoft Office 365 in hessischen Schulen. Der Beitrag schlug ein, wie man am aufgeregten Gezwitscher auf Twitter sehen konnte, denn er stellte nicht nur die Nutzung von Office 365 an (hessischen) Schulen in Frage, sondern auch Cloud Dienste von Google und Apple.

Doch rechtfertigt diese Stellungnahme die entstandene Aufregung?

Eigentlich tut sie das nicht, denn der HBDI hatte bisher nie angegeben, dass Office 365 mit der EU Cloud für Schulen datenschutzkonform nutzbar wäre. Neu ist in der Stellungnahme selbst nur der zusätzlichen Hinweis, dass seine Aussage bezüglich der datenschutzrechtlichen Unzulässigkeit einer Nutzung von Office 365 mit der EU Cloud nicht nur für Microsofts Plattform gelte. In einem Beitrag von Heise über die Stellungnahme gibt es noch eine weitere wichtige Information, die sich in der Stellungnahme selbst nicht findet. Demnach können die von Microsoft im Mai diesen Jahres angekündigten Verbesserungen, die auch in engem Zusammenhang mit den zwischen den Niederländern und Microsoft getroffenen Verabredungen stehen, den HBDI noch nicht zufriedenstellen.

Das heißt nun was?

Die Verbesserungen, welche Microsoft in Folge der von verschiedenen Seiten aufgedeckten datenschutzrechtlichen Verstöße umgesetzt hat für Office 365 (ProPlus) und Windows 10, reichen dem HBDI noch nicht aus, um die Sicherheit zu bieten, welche eine Nutzung von Office 365 mit der EU Cloud nach seiner Auffassung im Unterricht erfordert.

Warum kann man nicht einfach übertragen, was das niederländischen Justizministerium erreicht hat?

Das niederländischen Justizministerium hat mit Microsoft spezielle Nebenabreden zu den Online Service Terms (OST) getroffen, welche die Verbesserungen auf technischer Seite ergänzen. Wie im Schreiben des Justizministeriums betont wird, gelten diese nur für die genannten Behörden. Auch dort geht es um die personenbezogenen Daten der Benutzer. Der Fall ist jedoch nicht mit einer unterrichtlichen Nutzung vergleichbar. In einer Behörde geht es um Anmeldedaten der Mitarbeiter und um Nutzungsdaten. Sonstige personenbezogenen Daten der Nutzer selbst fallen nicht an, da die Nutzung von Office 365 dienstlich erfolgt und die Inhalte keinen persönlichen Charakter haben.  Im Unterricht fallen zu den Anmelde- und Nutzungsdaten auch viele andere personenbezogene oder -beziehbare Daten an. Es geht vor allem um Inhalte, welche die Schüler produzieren, Ergebnisse von Abfragen, möglicherweise auch Tests und Arbeiten und mehr. Da es sich um zwei sehr verschieden gelagerte Nutzungsszenarien von Office 365 handelt, lässt sich auch nachvollziehen, warum die Verbesserungen durch Microsoft, mit welchen das niederländische Justizministerium die Verabredungen mit Microsoft als erfüllt ansieht, dem HBDI noch lange nicht ausreichend erscheinen müssen.

Die Telemetriedaten und der mögliche Zugriff US-amerikanischer Behörden

Bei den datenschutzrechtlichen Problemen, welche sich durch eine Nutzung von Office 365 mit der EU Cloud ergeben, stehen zumindest zwei im Vordergrund. Beide sind nicht unlösbar.

Bei den Telemetriedaten handelt es sich um Nutzungsdaten verschiedener Natur, welche in diesem Fall von Microsoft Produkten an den Hersteller automatisiert abfließen. Dabei ist allerdings oft nicht klar, ob auch personenbezogene oder personenbeziehbare Daten mit an Microsoft übermittelt werden oder ob es sich lediglich um rein technische Daten handelt.

Hintergrund: In der Vergangenheit hatte Microsoft eine große Zahl von Beta Testern für seine Produkte. Diese installierten dann Vorabversionen von Windows, Office oder anderen Anwendungen auf ihren Systemen und gaben Microsoft Rückmeldungen zu Fehlern und Nutzbarkeit. Da dieses System sehr aufwändig ist und sich technisch neue Möglichkeiten ergaben, stellte man das ganze System auf ein automatisiertes Verfahren um. Die Produkte erheben selbst an bestimmten „Messpunkten“ Daten. Diese betreffen nicht nur Fehlermeldungen, sondern können auch das Nutzungsverhalten einschließen, etwa um herauszufinden, ob ein bestimmtes Feature von den Nutzern tatsächlich genutzt wird und auch wie und wie oft. Für Außenstehende ist dabei nicht ersichtlich, ob bei der Übermittlung dieser Metadaten auch personenbezogenen Daten mitfließen oder ob es möglich ist, aus den Daten Rückschlüsse auf individuelle Nutzer zu ziehen und entsprechende Profile zu erstellen. Es kommt erschwerend bei einer Bewertung hinzu, dass es schwierig ist, die abfließenden Daten einzusehen und zusätzlich verändern die Microsoft Software Teams die Messpunkte immer wieder. Dadurch ist es im Fall von lokal installierten Produkten sehr schwierig bis unmöglich, den Abfluss durch externe Maßnahmen komplett zu unterbinden. Bei Office 365 geht es, um einmal eine Zahl zu nennen, um „zwischen 23.000 und 25.000 Ereignisarten, die vom Telemetrie-Client des Pakets an Microsofts Cosmos-Datenbank in den USA“ übermittelt werden.

Das zweite Problem ist der mögliche Zugriff von US-Ermittlungsbehörden auf Server von US Unternehmen. Diese Zugriffsmöglichkeit, die unter anderem durch den CLOUD Act ermöglicht wurde, ist vor allem aus einem grund problematisch. Sie erfolgt ohne jegliche Nachvollziehbarkeit. Was vor dem Cloud Act im Rahmen von Rechtshilfeabkommen ablief, also unter Einbeziehung von europäischen Behörden, ist nun uneingeschränkt möglich, und weder der Verantwortliche (hier die Schule) noch der Betroffene (hier Schüler und Lehrkräfte) müssen je davon erfahren. Wie oft US Ermittlungsbehörden von dieser Möglichkeit Gebrauch machen, ist für eine datenschutzrechtliche Bewertung unerheblich. Es zählt alleine die Tatsache, dass es möglich ist.


Ergänzung (16.07.2019)

In einem Beitrag Datenschutz bei Microsoft: Kontrolle, Transparenz und Sicherheit für Kunden weltweit (15.07.2019) greift Microsoft die aktuellen Kritiken zum Thema Datenschutz auf. Microsoft möchte transparent sein. Bezüglich der Zugriffe von US Ermittlungsbehörden im Rahmen des CLOUD Act heißt es,

In Bezug auf den Schutz von Kundendaten in der Cloud legt sich Microsoft strenge Verpflichtungen auf. So praktiziert Microsoft einen strikt kundenorientierten Umgang bei Herausgabeforderungen Dritter nach Daten unserer (Geschäfts-)Kunden. Diese Praxis gilt auch im Zusammenhang mit dem CLOUD Act: Microsoft wird weiterhin Behörden bei Anfragen zur Herausgabe von Kundendaten von Unternehmenskunden, immer zunächst an den Kunden verweisen beziehungsweise den Kunden über die Anfrage informieren, soweit nicht gesetzlich verboten.

Das klingt zunächst gut. Es gibt jedoch ein Problem bei all diesem Bemühen um Transparenz den Betroffenen gegenüber. Anfragen von US Ermittlungsbehörden werden oft mit einer sogenannten Gag Order versehen. Microsoft darf also nicht mit dem Kunden reden oder die Anfrage an diesen weiterleiten (um laufende Ermittungen nicht zu gefährden).

Und als würde das noch nicht ausreichen, hat der Europäische Datenschutzausschuss festgestellt (12.07.2019), sind Übermittlungen von personenbezogenen Daten auf Grundlage des CLOUD Acts nur innerhalb sehr enger Grenzen DS-GVO konform möglich, solange es kein datenschutzkonformes internationales Abkommen gibt.

In einer ersten Bewertung nimmt der EDSA die Position ein, dass – ohne ein neues Abkommen – eine rechtmäßige Übermittlung der Daten unmittelbar an die ersuchende Sicherheitsbehörde auf der Grundlage der DSGVO nur in sehr engen Grenzen möglich ist.

Dass Anfragen von US Ermittlungsbehörden in den Rahmen dieser sehr engen Grenzen fallen, dürfte wohl nur in den wenigsten Fällen zutreffen. Anders wäre jegliche Auseinandersetzung mit dem CLOUD Act überflüssig.


Wie geht es weiter?

Grund zur Panik besteht sicherlich keiner, denn die Bewertung bezüglich einer datenschutzrechtlich verträglichen Nutzbarkeit von Office 365 mit EU Cloud hat sich nicht grundlegend geändert. Es wurde einfach nur noch einmal sehr deutlich gesagt, wo wir stehen.

Die Stellungnahme des HBDI sollte von einer „normalen“ Nutzung ausgehen, denn eine solche wurde auch in der vorherigen Stellungnahme zur Nutzbarkeit von Office 365 mit der MS Cloud Deutschland skizziert. Das meint dann eine Nutzung, bei welcher Schüler deutlich identifizierbar in Office 365 arbeiten,  mit ihrem Klarnamen als Benutzernamen und weiteren Informationen wie Daten zur Erreichbarkeit, und auch alles, was sie (er)arbeiten, in OneDrive speichern, von der Geschichte über den Familienurlaub bis zum Lebenslauf und dazu eventuell noch Feedback und Leistungsbewertungen.

Die Notlösung

Es ist durchaus möglich, Office 365 auch sehr datensparsam zu nutzen, eben ohne den kompletten Klarnamen plus weitere Informationen und ohne Speicherung persönlicher Inhalte in OneDrive. Wie so etwas aussehen sollte, beschreibt der LDI Rheinland Pfalz für Google Classroom. Eventuell nutzt man sogar ein ID Management System für den Login und unterstützt die Vermeidung von personenbezogene Daten in der Microsoft Cloud. Je weniger personenbezogene bzw. -beziehbare Daten in Office 365 landen, um so geringer das Risiko für die Betroffenen. Ein wichtiger Faktor, um Datenminimierung zu betreiben, ist auch die Beschränkung der Nutzung auf schulische Endgeräte am Schulstandort selbst, solange es nicht möglich ist, die Übermittlung von Standortdaten und Informationen aus privaten Logins zu unterbinden. Eine derartige Lösung verlangt Informierung der Betroffenen, eine gute Nutzungsvereinbarung und eine fortwährende Sensibilisierung, und sie ist vielleicht auch nicht für alle Altersgruppen gleichermaßen geeignet. Diese datensparsame Lösung, die sich auch auf Apple iCloud übertragen lässt, ist zwar machbar und aus datenschutzrechtlicher Sicht noch vertretbar, doch definitiv keine ideale und ganz sicher keine dauerhafte Lösung.

Was heißt das für Schulen, die Office 365 nutzen?

Office 365 ist nicht neu und es gibt viele Schulen, die es schon seit Jahren nutzen, auch ohne MS Cloud Deutschland. Vor allem in Berufskollegs ist Office 365 oftmals Standard. Das ist auch in Schulministerien bekannt. Von daher ist nicht zu erwarten, dass von dort nun die Weisung kommt, die Nutzung von Office 365 im Unterricht einzustellen. Wenn, dann wird es eher Aufforderungen geben, die Nutzer zu sensibilisieren und das Nutzungskonzept in datenschutzrechtlicher Hinsicht zu überarbeiten. Die Nutzung  wird an den Schulen in der Regel erst einmal so weiterlaufen, wie bisher. Schulen, die Office 365 nutzen, sollten, falls sie nicht bereits ein Nutzungskonzept haben, welches sich an den Vorgaben aus RLP zu Google Classroom orientiert, auf eine datensparsame Nutzung umstellen. Bei bestehenen Nutzerkonten kann man eventuell noch in den Einstellungen zum Datenschutz, die bei Office 365 durch Microsoft erweitert wurden, nachjustieren. Konten, die bisher mit Klarnamen geführt wurden, jetzt noch umzustellen auf pseudonymisierte Anmelde- und Nutzernamen, macht wenig Sinn, da die Konten für Microsoft bereits mit Identitäten verknüpft sind. Bestehenden Nutzern komplett neue Konten zu erstellen mit datensparsamen Richtlinien für die Erstellung von Anmelde- und Nutzernamen, wäre eine Möglichkeit, die Situation zu entschärfen, bedeutet jedoch eine Menge Aufwand für alle Seiten.

Für Schulen, denen es eigentlich nur darum geht, ihren Schülern und Lehrkräften über eine ProPlus Lizenz eine Offline Version von Office 365, also Office 2016 für die Installation auf Privatgeräten zur Verfügung zu stellen, ist eine Lösung wie in Fulda denkbar. Bei dieser Lösung ist für Schüler der Zugang zu Office 365 in der Cloud gesperrt. Der Zugang über das ID Management System von Univention dient lediglich der Legitimation für die Nutzung der Offline-Lizenz. Personenbezogene Daten der Schüler verbleiben im ID Managementsystem und landen so nicht in der Microsoft Cloud. Diese Lösung bedeutet allerdings auch einen Verzicht auf die vielen Funktionen von Office 365 zur Gestaltung von Unterricht, von der Nutzung von Teams zur Steuerung von Unterrichtsabläufen bis zu den Kollaborationsfunktionen in den eigentlichen Office Anwendungen.

Schulen, welche das Apple Ökosystem nutzen, dürften in der Regel bezüglich einer Nutzung von managed Apple IDs und iCloud zurückhaltender gewesen sein. Eine datensparsame Nutzung ist auch mit iPads möglich und sollte, falls nicht bereits praktiziert, angestrebt werden.

Warum geht es bei uns nicht voran?

Die Aufsichtsbehörden befassen sich seit Jahren mit Microsoft und der Datenschutzkonformität. Und seit Jahren wartet man auf ausstehende Antworten von Seiten Microsoft, hört man immer wieder. In NRW verweist das Schulministerium auf die Aussagen der Aufsichtsbehörde und dort sagt man wiederum, Datenschutz in Schule sei Ressortzuständigkeit des Schulministeriums. Es ist ganz sicher auch keine Lösung, die Nutzung von Office 365 an Schulen lediglich zu verbieten, so wie dieses in einigen Bundesländern der Fall ist. So kommen wir nicht weiter. Wenn wir nur darauf warten, dass die Aufsichtsbehörden feststellen, dass es Mängel gibt oder ob diese behoben sind, wird sich in Schulen nichts tun, denn Schulen haben ihre eigenen Ansprüche an den Datenschutz. Das gilt auch für die Vorgaben, welche Microsoft umsetzen müsste, damit Schulen Office 365 mit der EU Cloud datenschutzkonform nutzen können im Unterricht.

Die Schulministerien müssen (ver)handeln

Es muss sich hier etwas und vor allem jemand bewegen. Beispiele aus anderen Ländern zeigen, es ist möglich, mit Microsoft zu Lösungen zu kommen. Hier in Deutschland habe ich bisher keine Bemühungen von Seiten der Schulministerien wahrgenommen, mit Microsoft in Verhandlungen zu treten, die eigenen Vorstellungen klar und deutlich zu kommunizieren, um gemeinsam eine für den Unterricht in Schulen tragbare Lösung zu finden. Auch wenn man das Problem in Österreich auf Bundesebene angeht, hat die bisherige Passivität der Schulministerien nichts mit dem Bildungsförderalismus in Deutschland zu tun. In der Schweiz verhandeln einzelne Kantone mit den Anbietern Microsoft, Google und Apple. Es kann nicht reichen, darauf zu warten, bis die Aufsichtsbehörden Microsoft und anderen US Cloud Plattform Anbietern eine vollständige DS-GVO Konformität bescheinigen. Für G Suite for Education und Apple iCloud scheint es, anders als bei Office 365, bisher von Seiten der Schulministerien ohnehin noch nicht einmal einen Beauftragung der Aufsichtsbehörden zu einer Überprüfung gegeben zu haben. Man kann sicher davon ausgehen, die Microsofts, Googles und Apples dieser Welt wollen ihre Kunden bedienen und sie bewegen sich durchaus. Ein großes Problem ist und werden auf Dauer auch die Zugriffsmöglichkeiten US amerikanischer Ermittlungsbehörden durch den Cloud Act bleiben.

Das Problem der Telemetriedaten kann nur Microsoft lösen, indem es Möglichkeiten anbietet, die Sammlung und Übermittlung zu kontrollieren und gegebenenfalls zu unterbinden, und Transparenz herstellt. Was die Problematik der Cloud angeht, da kann auch das Land Lösungen schaffen. Welche wären vorstellbar, um die genannten Plattformen im Unterricht nutzen zu können?

Lösung 1 – Microsoft Cloud Deutschland

Microsoft versucht, als weltweiter Anbieter alle Produkte so anzubieten, dass sie für möglichst alle Welt passen. Die DS-GVO hat bereits zu deutlichen Anpassungen geführt und diese sind nicht auf Europa beschränkt, sondern wurden weltweit in die Produktpalette ausgerollt, um das Angebot einheitlich zu halten. Von Nachteil war das nirgendwo. Aber den möglichen Anpassungen sind bei einer solchen Vorgehensweise Grenzen gesetzt. Spätestens wenn es um die Zugriffsmöglichkeiten von US Ermittlungsbehörden geht, braucht es einen anderen Ansatz, eine Microsoft Cloud, die nicht in die Jurisdiktion von US Recht fällt. Die Microsoft Cloud Deutschland ist eine solche Cloud.

Diese Cloud in Treuhand der Telekom ist nicht tot und selbst wenn sie es wäre, könnte man sie wieder auferstehen lassen. Wie der HBDI als einzige deutsche Aufsichtsbehörde festgestellt hatte, ist es für Schulen möglich, die Microsoft Cloud Deutschland unter Einhaltung bestimmter Regelungen im Unterricht datenschutzkonform zu nutzen. Das Angebot wurde von Seiten Microsofts im März diesen Jahres eingestellt, weil es keine ausreichende Nachfrage aus der Wirtschaft dafür gab. Weltweit tätige Firmen beklagten das Fehlen von Features, welche in der internationalen Version Standard sind und die Zusammenarbeit mit Niederlassungen im Ausland erschwerten. Zu den fehlenden Features gehört Teams, was unter anderem von Schulen, die dieses Produkt zur Organisation des Unterichts nutzen möchten, bemängelt wird. Doch was spräche dagegen, wenn man mit Microsoft einen Vertrag aushandelte, durch welchen die MS Cloud Deutschland für schulische Neukunden geöffnet wird, sie ferner Teams beinhaltet und auch für die Zukunft fortbesteht? Schulen, welche bereits die Office 365 EU Cloud Lösung nutzen, werden in die MS Cloud Deutschland migriert. Alle Schulen erhalten die Vorgabe, dass nur noch Office 365 mit der MS Cloud Deutschland zulässig ist. Dazu gibt es noch eine genaue Vorgabe, wie diese Lösung zu nutzen ist. (Man könnte eventuell sogar noch einen neuen Rahmenvertrag für die Preisgestaltung aushandeln.) Mit dieser Lösung bräuchte man das Rad nicht neu erfinden und könnte an eine anerkannte Lösung anknüpfen.

In Bezug auf eine Nutzung von Office 365 durch Schulen im Rahmen  datenschutzrechtlicher Vorgaben wäre diese Lösung vermutlich die bestmögliche, denn auf diese Art und Weise wären personenbezogene Daten von Schülern und Lehrkräften vor dem unkontrollierten Zugriff von US Ermittlungsbehörden auf die Serverinfrastruktur auf denen die Office 365 Dienste laufen, geschützt. Apple und Google haben bisher vergleichbare Lösungen nie angeboten. Das muss nicht bedeuten, dass eine Apple EDU iCloud Deutschland oder ein G Suite for Education Deutschland nicht möglich sind.

Lösung 2 – eine eigene Cloud (als collaboration space)

Eine weitere Möglichkeit, den Zugriff von US Ermittlungsbehörden auf zumindest einen großen Teil der personenbezogenen Daten von Schülern und Lehrkräften zu unterbinden besteht in der Möglichkeit, bei Microsoft Office 365, G Suite for Education und iCloud Schnittstellen für externe Clouds wie z.B. Box.com zu nutzen. Normalerweise sind die eigenen Cloudspeicher der drei US Anbieter Voraussetzung für Kollaboration, Synchronisations- und Backup-Funktionen. Über spezielle Schnittstellen ist es möglich, alternative Cloudspeicher für diese Funktionen zu nutzen. Kollaboration in Echtzeit und Cloudspeicherung sind somit auch außerhalb von OneDrive, Google Drive und iCloud möglich. Nutzt man dafür Server, welche nicht Microsoft oder anderen US Anbietern gehören und damit nicht US Recht unterliegen, sind die Inhalte der Server so vor dem Zugriff von US Ermittlungsbehörden im Rahmen des Cloud Act geschützt. Warum also nicht mit Microsoft in Verhandlungen treten, eine eigene Cloud aufbauen (lassen) und mit Office 365 koppeln? Welche sonstigen personenbezogenen Daten mit einer derartigen Lösung noch aus dem direkten Zugriff der US Anbieter entzogen werden können, müsste man prüfen.

Lösung 3 – Nutzerverwaltung außerhalb von Microsoft Diensten

Bei Office 365 werden die Zugangsdaten der Benutzer im Standard in Azure Active Directory hinterlegt, welches ebenfalls im potentiellen Zugriff der US Ermittler steht. Dieses lässt sich umgehen, indem man die Verwaltung von Benutzern sowie ihren Rollen und Rechten auslagert. Dafür gibt es externe Systeme. Wie diese gestaltet sind, hängt vom Anbieter ab. Einige Schulserver integrieren hier Lösungen. Es gibt darüber hinaus spezialiserte Anbieter wie Univention mit ucs@school, einem Identity- und Access Management System (IAM). Mit einem solchen System, welches bei der Schule oder dem Schulträger on-premise betrieben wird, bleiben die Zugangsdaten der Nutzer unter eigener Kontrolle. Tendenziell deutet aktuell vieles darauf hin, dass die Nutzung eines IAM zukünftig grundlegender Standard einer jeden schulischen IT Landschaft werden wird.

Lösung 3 kann mit Lösung 2 und Lösung 1 kombiniert werden.

Und die Telemetriedaten?

Alle Lösungen bedeuten nicht, dass sich damit die Problematik der Telemetriedaten automatisch erledigt hat. Hier müssen, wie oben beschrieben, die Schulministerien ihre Interessen klar und deutlich kommunizieren. Wenn die Schulministerien sich nicht in der Lage sehen, mit Microsoft zu verhandeln, warum macht man es dann nicht wie die Niederländer und beauftragt das Justizministerium?

Alternativen

Microsoft, Google und Apple sind beliebt und sie können mit attraktiven, ausreiften und erprobten Lösungen aufwarten, welche Schulen zur Gestaltung des Unterrichts nutzen können. Vor allem im Bereich Kollaboration sind die Lösungen dieser Anbieter stark. Es stecken Jahre an Entwicklungszeit dahinter, und eine Serverinfrastruktur, welche die bei zeitgleichem Arbeiten mehrerer User an einem Dokument erforderliche Leistung liefert.

Wer sich den datenschutzrechtlichen Problemen bestehender Lösungen von US Anbietern entziehen möchte, für den gibt es durchaus auch Lösungen. Vielleicht sind diese nicht alle gleich umfangreich wie ein Office 365, doch die grundlegenden Funktionen einer Plattform, mit welcher man im Unterricht lernt und arbeitet, bieten viele von ihnen. Und die alternativen Plattformen entwickeln sich ebenfalls weiter. Zu nennen wären hier Lösungen wie die Open Source Cloud Plattform NextCloud, die von verschiedenen Anbietern zu haben, der Schulserver iServ, das Lernmanagementsystem itsLearning, welches eine datensparsamere Integration von Office 365 und G Suite erlaubt, und die leider kaum bekannte Cloud Office Lösung OX Documents (als Teil von OX App Suite) des Anbieters von Open Xchange. Wer iPads mit individuellen Nutzerkonten einsetzen möchte, ohne managed Apple IDs und iCloud, findet im MDM Relution eine datenschutzfreundliche Lösung, die allerdings mit dem Verlust von Funktionen einhergeht.

Fazit

Für mich ist klar, wie es weitergehen sollte. Wer meine Beiträge in der Vergangenheit gelesen hat, las dort auch immer wieder, dass ich von unseren Schulministerien erwarte, dass man endlich die Initiative ergreift und ähnlich wie in unseren europäischen Nachbarländern gemeinsam mit den US Anbietern für Schulen datenschutzrechtliche Lösungen aushandelt. Sollen sie Geld kosten. Das muss es uns Wert sein, wenn wir nicht mit den personenbezogenen Daten der uns anvertrauten jungen Menschen bezahlen wollen. Rein rechtliche wäre es zwar möglich, die Produkte der US Anbieter mit einer informierten und freiwilligen Einwilligung der Betroffenen im vollen Funktionsumfang zu nutzen, doch Schulen haben auch eine ethische Verpflichtung, die personenbezogenen Daten von Schülerinnen und Schülern wie dem Schulpersonal zu schützen. In Schulministerien kann man sich auch nicht darauf zurückziehen, dass es doch Landesplattformen gebe bzw. diese in der Entwicklung seien oder dass Schulen auf alternative Lösungen wie oben skizziert setzen sollten. Momentan können Produkte wie Office 365, G Suite for Education und Apple iCloud unzweifelhaft mit Funktionalitäten aufwarten, wie sie von der datenschutzfreundlichen Konkurrenz und landeseigenen Entwicklungen zumeist nur in Teilen abgebildet werden können. Das ist auch Schulen klar und für viele Schulen ist ein Verzicht bzw. Wechsel auf Alternativen nicht vorstellbar. Das muss man gegenwärtig akzeptieren.

Mein Tipp für alle Beteiligten (Lehrkräfte, Elternvertretungen, Personalräte, Schülervertretungen, Schulämter, Bezirksregierunge, Datenschutzbeauftragte, …): Reden, Bedürfnisse klar machen, Druck machen nach oben, dass die Schulministerien sich bewegen und mit den US Anbietern verhandeln für die MS EDU Cloud Deutschland, die G Suite for Education Cloud Deutschland und die Apple EDU iCloud Deutschland.

Office 365 Cloud für Schule – wo stehen wir?

Posted in Datenschutz by damianduchamps on Mai 23, 2019
Stand Mai 2019

Office 365 ist mittlerweile in vielen Schulen zu finden und Logineo NRW, dessen Start sich wieder und wieder verzögert, bietet auch keine wirkliche Alternative zu diesem umfangreichen System. Leider ist Office 365 wie auch andere Produkte aus dem Hause Microsoft in Bezug auf das Thema Datenschutz nicht komplett unbedenklich.

Grundlegende Informationen

DS-GVO konform – ja oder nein?

Auch wenn Microsoft die personenbezogenen Daten von europäischen Benutzern überwiegend in europäischen Rechenzentren verarbeitet, ist eine Übermittlung von personenbezogenen Daten in Staaten außerhalb der Europäischen Union und des Europäischen Wirtschaftsraumes (EWR) nicht ausgeschlossen. Dieses hat verschiedene Hintergründe. Als US-amerikanischer Konzern mit internationalen Kunden mit Niederlassungen auf der ganzen Welt bestehen schon von daher Verbindungen zwischen den verschiedenen weltweit verteilten Serverstandorten. Für Wartung und Support gibt es außerdem Zugriffe von außerhalb des Geltungsraumes der europäischen Datenschutz Grundverordnung. Außerdem gibt es einige Anwendungen, wie zum Beispiel Sway, die nicht auf Servern in Europa, sondern in den USA laufen. Gerade in dieser Übermittlung von personenbezogenen Daten in Drittstaaten wurde in der Vergangenheit immer wieder ein datenschutzrechtliches Problem gesehen. Mit dem EU US Privacy Shield wurden schon vor Beginn der Umsetzung der DS-GVO die rechtlichen Rahmenbedingungen geschaffen, um personenbezogene Daten von EU Bürgern auch auf Servern in den USA verarbeiten zu können. Zusätzlich gab es die EU Standardvertragsklauseln. Beide bestehen fort. Trotz Cloud Act wurde der EU US Privacy Shield für ein weiteres Jahr verlängert. Rein formell erfüllt Microsoft mit Office 365 also auch aktuell die Vorgaben der europäischen Datenschutz Grundverordnung, soweit es um die Übermittlung von personenbezogenen Daten in Drittstaaten geht.

Office 365 wird von den Aufsichtsbehörden trotzdem recht kritisch gesehen. Auch wenn formal alles im grünen Bereich erscheint, so hinterfragen die Aufsichtsbehörden viele Praktiken von Microsoft bezüglich der Konformität mit datenschutzrechtlichen Vorgaben. Aus diesem Grund sind die Aufsichtsbehörden der verschiedenen Bundesländer schon seit Jahren im Dialog mit Microsoft, um Antworten auf ihre Fragen zu erhalten. Leider hat Microsoft bisher nicht alle diese Fragen beantwortet bzw. zufriedenstellend beantwortet. Hinzu kommen verschiedene Erkenntnisse aus Untersuchungen, welche Zweifel aufkommen lassen, ob sich Office 365 wie auch andere Produkte von Microsoft (Windows 10 und andere Office Varianten) tatsächlich datenschutzkonform nutzen lassen (Siehe auch Textende – Anhang). Erst im November 2018 hatte man bei einer Untersuchung in Holland acht Problemfelder im Zusammenhang mit der Erhebung von Telemetriedaten durch Microsoft ermittelt. Diese betreffen die Office 365 – Web Version, das Office 365 ProPlus Lizenzmodell und das Office 2016 ProPlus Lizenzmodell. Mit den Telemetriedaten (Nutzungsdaten zur Softwareentwicklung und um Probleme ermitteln zu können) werden nach Erkenntnissen der Holländer scheinbar auch (personenbezogene bzw. personenbeziehbare ) Daten übermittelt, zumindest in Fragmenten. Bei den in Holland ermittelten Problemen geht es also nicht nur um formale Verstöße gegen die DS-GVO, also nicht in den Datenschutzerklärungen ausgewiesene Verarbeitungsprozesse, sondern auch um tatsächliche, möglicherweise riskante Datenabflüsse. Microsoft sagte zu, bis April 2019 eine Lösung vorzulegen und, ähnlich wie bei Windows 10, Möglichkeiten zu schaffen, die Übermittlung von Telemetriedaten zu deaktivieren. In der Tat wurden wohl in einigen Office Varianten zusätzliche Transparenzmaßnahmen implementiert. Von Seiten der Aufsichtsbehörden aus Holland oder auch aus der Schweiz, wo diese Probleme angemahnt worden waren, gibt es bisher allerdings keine Neuigkeiten.

Die rechtliche Situation in NRW

Rein rechtlich gesehen gibt es aktuell in NRW kein ausdrückliches Verbot von Seiten des Schulministeriums bezüglich einer Nutzung von Office 365. Mit Stand von Mai 2019 findet sich auf Seiten der Medienberatung eine einzige Aussage bezüglich Office 365.

****

Wie sieht die datenschutzrechtliche Bewertung von Microsoft Office 365 für den schulischen Einsatz in NRW aus?

Von der LDI ist mitgeteilt worden, dass ein bundesländerübergreifendes Verfahren zur datenschutzrechtlichen Beurteilung von Microsoft Office 365 stattfindet, das noch nicht abgeschlossen ist. Vor diesem Hintergrund konnte die LDI eine Verwendung von MS Office 365 bislang nicht empfehlen. Andererseits hat der hessische Landesbeauftragte bereits seine Stellungnahme für den Einsatz des Produkts in den Schulen veröffentlicht.

Grundsätzlich kann für die jetzige praktische Handhabung festgestellt werden: Schulleitungen, die sich mangels einer offiziellen Einschätzung in NRW auf die Bewertung des DSB Hessen verlassen und die dortigen einschränkenden Bedingungen zur Nutzung von Office 365 einhalten, u.a. keine Nutzung der Cloud für Verwaltungszwecke, kann kein fahrlässiges oder vorwerfbares Handeln vorgehalten werden.

Es ist jedoch zu empfehlen, in die Überlegungen einer Beschaffung und Nutzung von cloudbasierten Anwendungen wie Office 365 den Umstand einzubeziehen, dass landesseitig mit LOGINEO NRW ein eigenes Angebot für die Datenspeicherung und den E-Mail-Verkehr beabsichtigt ist. Alternativ zu cloudbasierten Anwendungen wie Office 365 können auch Desktop-Anwendungen wie MS Office 2016 oder Libre Office genutzt werden.

****

Hier wird auf eine Stellungnahme des hessischen Landesbeauftragten für Datenschutz verwiesen. Was dabei jedoch unterschlagen wird, ist die Tatsache, dass es die MS Cloud Deutschland in Treuhand der Telekom in dieser Form seit März 2019 nicht mehr gibt. Das Angebot wurde eingestellt, da es rein formell mit Umsetzung der europäischen Datenschutz Grundverordnung für Firmenkunden keine Erfordernisse mehr gibt, auf eine derartige Lösung zurückzugreifen und diese Lösung außerdem für international operierende Firmen mit Niederlassungen außerhalb Europas unbrauchbar war.

D. h. also, in NRW verweist man auf eine Lösung, wie und unter welchen Voraussetzungen Schulen Office 365 nutzen können, die es nicht (mehr) gibt.

Auch von Seiten der LDI NRW gibt es wenig Neues zu berichten. Die Situation hat sich nicht wesentlich verändert. Es kann weiterhin keine Empfehlung ausgesprochen werden, da es keine neuen Erkenntnisse von Seiten der Aufsichtsbehörden gibt. In einem Schreiben äußert allerdings eine Mitarbeiterin der Aufsichtsbehörde NRW, dass sie aktuell eher von einer Nutzung abraten würde.

Das bedeutet zusammengefasst, es gibt weder ein Verbot von Seiten des Ministeriums für die Nutzung von Office 365 noch eine entsprechende Anordnung von Seiten der Aufsichtsbehörde des Landes. Es bleibt damit letztlich der Entscheidung der Schulleitung als als Verantwortlicher bezüglich der Verarbeitung von personenbezogenen Daten in einer Schule, ob und wie Office 365 genutzt wird.

Es ergeben sich jedoch einige recht klare Grenzen, wofür bzw. wie Office 365 in der Schule definitiv nicht genutzt werden kann.

  • Ganz klar scheidet eine Nutzung für die Verarbeitung von personenbezogenen Daten in der Schulverwaltung aus.
  • Nicht ausgeschlossen ist für die Schulverwaltung eine Nutzung für allgemeine Verarbeitungstätigkeiten. Das meint etwa die Bereitstellung von Dokumentvorlagen oder die Übermittlung allgemeiner Informationen.
  • Im pädagogischen Bereich setzt die Nutzung von Office 365 ein sensibles Vorgehen voraus. Das meint einen Verzicht auf alle personenbezogenen Daten, welche zu einer Nutzung nicht unbedingt erforderlich sind.
  • Eine Nutzung mit personenbezogenen Daten setzt immer eine informierte und freiwillige Einwilligung der Betroffenen voraus.

Kann man Office 365 mit Cloud in Schule nutzen?

Was bedeutet das jetzt für eine Nutzung in der Schule? Man kann Office 365 mit Cloud trotz allem durchaus in Schule nutzen. Dabei sind jedoch mehrere Dinge zu beachten.

  • Eine Nutzung innerhalb des Kollegiums zur Entwicklung und zum Austausch von Unterrichtsmaterialien ist problemlos möglich.
  • Eine Nutzung für Verwaltungsaufgaben, welche personenbezogene Daten aus der Schule beinhalten, ob das Klassenlisten sind oder Eltern Anschreiben bezüglich Ordnungsmaßnahmen, ist nicht möglich. (Das soll heißen, es ist nicht möglich mit einer Anbindung an die Cloud. Wenn man in der Verwaltung lediglich eine offline Version nutzt und diese nicht mit einem Cloud Account koppelt, dann hat man kein Problem.)
  • Eine Nutzung im Unterricht ist möglich, wenn man dabei den Grundsatz der Datenminimierung verfolgt. Das bedeutet, personenbezogene Daten bleiben, soweit möglich, außerhalb Office 365 mit der Cloud. Beim Anlegen von Benutzerkonten sollte man sich an den Vorgaben der Orientierungshilfe online-Lernplattformen der Aufsichtsbehörden orientieren und den Anmeldenamen nicht aus dem Klarnamen erstellen, sondern stattdessen z.B. besser eine Kombination aus Initialen und einer Nummer nutzen. Um Nutzer innerhalb der Plattform erkennen zu können, kann der Benutzername durchaus Teile des Klarnamens enthalten.
  • Leistungsbewertungen haben nichts in Office 365 mit Cloud zu suchen.

Die Formalien

Rein formal braucht man für die Nutzung von Office 365 (egal ob mit oder ohne Cloud) eine Einwilligung der Betroffenen in die Verarbeitung von personenbezogenen Daten. Das betrifft die Schüler wie auch die Lehrkräfte. Außerdem braucht man für Office 365, wenn die Cloud Funktionen genutzt werden sollen, einen Vertrag zur Auftragsdatenverarbeitung mit Microsoft, oder eventuell mit einem Dienstleister, wenn dieser die Cloud Funktion zur Verfügung stellt. Außerdem sollte man eine Nutzungsvereinbarung mit Lehrkräften wie Schülern treffen. In dieser wird beispielsweise festgelegt, dass private Daten außer eventuell dem eigenen Namen nichts in Office 365 zu suchen haben. Diese Nutzungsvereinbarung kombiniert man dann direkt mit der Einwilligung bezüglich der erforderlichen Verarbeitung von personenbezogenen Daten.

Hinweis: Personenbezogene Daten betreffen nicht nur den Klarnamen, den man vielleicht für die Erstellung eines Benutzernamens verwendet, sondern auch alle mit dem Nutzer verbundenen Daten. Diese gehen vom Passwort bis zu den technischen Nutzungsdaten und den erzeugten Dateien und deren Inhalten. Da sie mit einem eindeutigen Nutzer verbunden sind, handelt es sich dabei auch um personenbezogene bzw. personenbeziehbare Daten. Auch pseudonymisierte Benutzernamen stellen personenbezogene Daten dar, da sie mittels anderer Informationen den Betroffenen zugeordnet werden können.

Den Vertrag zur Auftragsverarbeitung findet man nicht so ohne Weiteres. Er verbirgt sich hinter den OST oder Online Service Terms, zu Deutsch Online Service-Nutzungsbedingungen. Anders als man es vielleicht erwartet oder erhofft, gibt es keinen Vertrag, der von Microsoft vorunterzeichnet ist und als PDF heruntergeladen von der Schule unterzeichnet und an Microsoft zurückgeschickt wird.

Deshalb ist es wichtig, bei der Anmeldung der Schule für Office 365 das Setzen der Häkchen auf einer Seite, ähnlich wie der unten, zu dokumentieren, am besten durch einen Ausdruck der Seite.

In Bezug auf die DS-GVO ist das ausreichend. Auch den OST sollte man sich sichern. Man findet die OST hier https://www.microsoft.com/en-us/licensing/product-licensing/products Wenn man die richtige Sprache auswählt, lädt das Dokument als docx. Die OST ändern sich monatlich etwas. Es gelten die OST zum Zeitpunkt des Vertragsabschlusses mit Microsoft.

Hintergrundinformation

Anders als mit Anbietern aus der EU oder dem EWR kann man mit Microsoft keinen Vertrag zur Auftragsverarbeitung im eigentlichen Sinne abschließen. Art. 28 DS-GVO sieht hier jedoch geeignete Rechtsinstrumente nach Unionsrecht vor. Die OST fallen, da sie die Standardvertragsklauseln enthalten unter die Regelungen von Art. 28 Abs. 6 DS-GVO. Nahezu gleichwertig mit einem Angemessenheitsbeschluss, der einem Drittland ein der EU vergleichbares Datenschutzniveau bescheinigt, ist der EU US Privacy Shield, welcher von Microsoft gezeichnet wurde.

Thema Rahmenvertrag bzw. wer schließt Verträge mit wem?

Ein etwas komplexes Thema, auch für Schulträger, ist die Frage, wer mit wem den Vertrag zur Auftragsverarbeitung bzw. die OST mit Microsoft abschließt. Rein rechtlich ist die Schule verantwortliche Stelle und nur sie kann einen Vertrag zur Auftragsverarbeitung bezüglich der Verarbeitung von personenbezogenen Daten aus der Schule abschließen. Wer der Partner auf der anderen Seite ist, hängt von der jeweiligen Konstellation ab.

Viele Schulträger schließen Rahmenverträge mit Microsoft ab. Schulen können innerhalb dieser Rahmenverträge Lizenzen für die Nutzung an ihrer Schule erwerben, die dann über den Schulträger innerhalb des Rahmenvertrages abgerechnet werden. Das bedeutet, Schulen können nicht Lizenzen aus dem Pool des Schulträgers nutzen.

Eine E-Mail-Adresse in Office 365 für eine Person aus der Schule kann also nicht lauten fritz.musterschueler@stadtverwaltung-musterstadt.de. Die Schule erhält damit, dass sie sich selbst ein Konto erstellt, eine eigene Instanz, welche sie mit ihrer eigenen Internet Domäne koppeln kann. In dieser Instanz verwaltet sich die Schule selbst. D. h. nicht, dass nicht Teile davon oder auch die gesamte Verwaltung durch den Schulträger oder einen beauftragten IT-Dienstleister übernommen werden kann. Dazu ist jedoch wie bei ähnlichen Maßnahmen ein Vertrag zur Auftragsverarbeitung mit dem Schulträger abzuschließen (in welchem dann gegebenenfalls ein vom Schulträger beauftragte IT-Dienstleister ein Unter-Auftragsverarbeiter ist).

Thema E-Mail Konten

Office 365 schließt auch die Möglichkeit ein, E-Mail Konten für jeden Benutzer zu erstellen. Diese Konten sind jedoch nicht dafür geeignet, personenbezogene Daten aus der Schule zu übermitteln. Das gilt sowohl für eine Übermittlung aus der Schule heraus, wie auch innerhalb der Schule selbst. Alle personenbezogenen Daten, welche man auch nicht in OneDrive speichern sollte, gehören auch nicht in E-Mail Konten, welche über Office 365 und Server von Microsoft laufen. Eine Nutzung müsste sich wenn, auf die Übermittlung allgemeiner Informationen beschränken.

Spezialfall – private Nutzung von Office 365

Office 365 kann auch außerhalb der Schule genutzt werden. Das macht Sinn, wenn Nutzer von zu Hause aus arbeiten möchten. Die Pro Plus beinhalten dazu noch die Möglichkeit, Office Anwendungen auf bis zu fünf privaten Endgeräten zu installieren. Anders als bei einer Nutzung über schulische Endgeräte innerhalb der Schule fallen bei einer Nutzung von privaten Endgeräten, in der Regel vom heimischen Standort aus, weitere Daten an. Diese erleichtern es Dritten, den durch die Sicherheitsvorkehrungen der Schule wenig konkreten Benutzer einer natürlichen Person zuzuordnen. Auch wenn Microsoft zusagt, personenbezogene Daten von Benutzern der Edu Version von Office 365 nicht zur Bildung von Profilen zur Werbeanzeige zu nutzen, so ergeben sich durch diese zusätzlichen Datenpunkte auch zusätzliche Risiken. Gleiches gilt auch bei der Nutzung von BYOD in einer Schule. Private Geräte sind, sofern die Benutzer keine besonderen Sicherheitsvorkehrungen treffen, fast immer einer identifizierbaren Person zuzuordnen.

Office 365 – Risiken minimieren

Es gibt durchaus Möglichkeiten, Office 365 in Kombination mit anderen Produkten so zu nutzen, dass die Risiken für Betroffene deutlich reduziert werden können. Dazu gehört beispielsweise die Schaffung alternativer Möglichkeiten zur Speicherung und zum Austausch von Dokumenten und anderen Inhalten. Ein weiterer Punkt ist das ID und Access Management. Anstelle von Azure Active Directory könnte man hier beispielsweise auf das sehr bewährte ucs@school zurückgreifen. Dieses bietet sich ohnehin ideal als ein zentrales beim Schulträger angesiedeltes ID und Access Management an. Da Schulen in der Regel auf mehr als eine Online Plattform zugreifen, kann hier mittels einer einheitlichen Lösung nicht nur Verwaltung vereinfacht, sondern auch ein mehr an Datenschutz erreicht werden. Eine Alternative für eine sichere online Plattform zum Austausch von Inhalten bietet beispielsweise NextCloud, die so sicher ist, dass sie sogar von der Bundesverwaltung für 300.000 Anwender genutzt wird. Die NextCloud lässt sich über Browser, WebDAV und Apps erreichen und modular erweitern. Das integrierte LibreOffice (Collabora Office) erlaubt sogar eine Online-Bearbeitung, auch kollaborativ, von Dokumenten. Der Anbieter EduDocs hat ein fertiges Paket, welches vor allem für kleinere Schulen sehr interessant ist, auch als stand alone Lösung, alternativ zu Logineo NRW. Eine NextCloud Lösung ließe es auch zu, wenn korrekt implementiert, dort personenbezogene Daten aus der Schulverwaltung zu verarbeiten, da die Sicherheitsfeatures denen von Logineo NRW gleichwertig und in Teilen sogar überlegen sind. Das wäre also auch eine Möglichkeit, das Arbeiten von Lehrkräften von zu Hause im Sinne von Home Office zu ermöglichen.

Hinweis: (Die Verarbeitung von personenbezogenen Daten aus der Schule setzt aber auch hier eine Genehmigung der Schulleitung für die Nutzung von privaten Endgeräten voraus und die personenbezogenen Daten, welche Lehrkräfte von Zuhause aus bearbeiten dürfen, beschränkt sich auf die laut VO-DV I Anlage 3.)

Mit Office 365 wäre das in dieser Form aus datenschutz- und schulrechtlicher Sicht definitiv nicht möglich. Mit NextCloud wäre es möglich, wie in Logineo NRW eine Struktur abzubilden, welche eine saubere Trennung von Verwaltung und Unterricht ermöglicht. Der Anbieter EduDocs hat hierzu bereits ein Konzept mit Beratung von Medien- und Datenschutzexperten aus NRW ausgearbeitet. Alternativ zur Nutzung von NextCloud über einen Dienstleister können Schulen ihre Schulträger bitten, eine eigene NextCloud Instanz aufzusetzen.

Eine weitere Möglichkeit, Office 365 datenschutzfreundlicher zu nutzen, bestünde darin, es an eine andere Plattform wie zum Beispiel itslearning über Single Sign-on und zu koppeln. Hier müsste allerdings bei einer geplanten Doppelnutzung für Verwaltungsaufgaben und Unterricht darauf geachtet werden, dass es eine logische Trennung zwischen beiden Bereichen gibt. Diese würde auch beinhalten, dass Lehrkräfte sich mit zwei verschiedenen Benutzerkonten anmelden müssen.

Handlungsempfehlungen

Eine Nutzung von Office 365 ist in Schulen durchaus möglich zu Zwecken der Unterrichtsgestaltung, der Teamarbeit und der Übermittlung bzw. Bereitstellung allgemeiner Informationen durch die Schulverwaltung. Voraussetzung dafür ist jedoch eine sehr genaue Planung, wie man diese Nutzung datenschutzkonform gestalten kann. Da aufgrund fehlender Transparenz in einigen Teilbereichen nicht zu 100 % klar ist, welche personenbezogenen oder personenbeziehbaren Daten möglicherweise über die in der Datenschutzerklärung von Microsoft deklarierten hinaus verarbeitet werden, muss eine Nutzung darauf abzielen, keine unnötigen Risiken für die Betroffenen entstehen zu lassen. Das bedeutet, es müssen ganz klare Regeln geschaffen und in Nutzungsvereinbarungen festgehalten werden. Aufklärung der Betroffenen und Schulung für einen datenschutzsensiblen Umgang mit Office 365 sind unverzichtbar und regelmäßig zu wiederholen. Außerdem empfiehlt es sich, technischen Möglichkeiten zu nutzen, um die Verarbeitung von personenbezogenen Daten der Betroffenen innerhalb von Office 365 weiter zu reduzieren. Welche Möglichkeiten es dazu gibt, wurde beschrieben.

Anhang

Zum aktuellen Stand der Bewertung des Cloud Angebotes von Microsoft findet sich im 14. Tätigkeitsbericht zum Datenschutz des Landesbeauftragten für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern (Berichtszeitraum: 1. Januar 2018 bis 31. Dezember 2018) folgende Information.

“Seit dem 1. September 2018 bietet Microsoft keine Neuverträge für die Deutschland-Cloud mehr an. Microsoft hat angekündigt, stattdessen eigene Rechenzentren in Deutschland zu bauen, aus denen Cloud-Dienste für deutsche Kundinnen und Kunden angeboten werden sollen. Damit stehen die Aufsichtsbehörden vor grundlegend geänderten Voraussetzungen zur datenschutzrechtlichen Bewertung von Cloud-Angeboten der Firma Microsoft. Das betrifft sowohl rechtliche als auch technische Fragestellungen. Um technische Aspekte bewerten zu können, müssen jedoch zunächst die rechtlichen Rahmenbedingungen geklärt und ausgewertet werden. Diese Aufgabe hat der Arbeitskreis Verwaltungsmodernisierung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz) übernommen. Dort wurde die strategische Entscheidung getroffen, zunächst die juristischen Aspekte der Auftragsverarbeitung zu bewerten. Zu diesem Zweck untersucht der Arbeitskreis zunächst alle von Microsoft zur Verfügung gestellten Verträge und befragt Microsoft bei Unklarheiten. Erste Antworten von Microsoft sind bereits eingegangen und werden durch den Arbeitskreis Verwaltungsmodernisierung ausgewertet.
Angesichts der rechtlichen und technischen Komplexität der Cloud-Angebote der Firma Microsoft ist nicht damit zu rechnen, dass eine abschließende datenschutzrechtliche Bewertung kurzfristig vorliegen wird.”

Tagged with: ,

Kollaboration im Unterricht mit G Suite for Education

Posted in Tools by damianduchamps on Februar 24, 2019

G Suite for Education ist eine kostenlose Office Suite für Schulen, die sich vor allem durch eine sehr einfache Handhabung und plattformübergreifende Nutzbarkeit auszeichnet. Eine ihrer herausragenden Stärken ist die Möglichkeit, kollaborativ an Texten, Tabellen, Präsentationen und anderen Dokumenten zu arbeiten. Dabei erlaubt es die Plattform, Schülerinnen und Schüler schrittweise an diese wichtige Form des Arbeitens heranzuführen.

 


Kollaboration – eine zentrale Kompetenz des 21. Jahrhunderts

Formen gemeinsamen Lernens und Arbeitens sind Schule nicht unbekannt und werden seit langem erfolgreich praktiziert. Partner- und Gruppenarbeit sind aus einem gutem Unterricht nicht wegzudenken. Eine Aufstellung von Tischen im Klassenraum in Form von Gruppentischen  erleichtert kooperative Arbeitsformen und ist ein Zeichen, dass die Klassenführung mehr auf Zusammenarbeit als individuelles Arbeiten der Schüler setzt. Digitale Technologien ermöglichen neue Formen der Zusammenarbeit, auch in der Berufswelt. In einer Welt von großer Komplexität geht ohne Zusammenarbeit nichts mehr. Nur so können Experten sich ergänzen, sei es in ihren Fachgebieten oder über Grenzen von Raum und Zeit hinweg.  Deshalb überrascht es nicht, dass Kollaboration neben Kreativität, Kritik(fähigkeit) und Kommunikation zu den zentralen Kompetenzen des 21. Jahrhunderts gehört. In Schule ist Kollaboration nicht nur eine zu vermittelnde Kompetenz, sondern auch ein Mittel, Lernen und Arbeiten zu gestalten und tradierte Formen des Lernens und Arbeitens in ihren Möglichkeiten zu erweitern.

Kollaboration im Unterricht

Im Unterricht der Schule ist Kollaboration so grundlegend wie Lesen und Schreiben, setzt aber im Unterschied zu letzteren soziale Kompetenzen voraus. Anders als in Unternehmen, wo Kollaboration über Abteilungen, Kontinente und Zeitzonen hinweg praktiziert wird, findet sie im Unterricht eher innerhalb eines Raumes statt. Mit Ausnahme von Projekten mit anderen Schulen, befinden sich die verschiedenen Teammitglieder im selben Klassenraum meist sitzen sie auch in räumlicher Nähe zueinander, zum Beispiel an einem Gruppentisch. Idealerweise verfügt jedes Teammitglied über ein eigenes Zugangsgerät zur gemeinsam genutzten Plattform. Während dann über eine digitale Vernetzung miteinander an einem gemeinsamen Projekt gearbeitet wird, findet die Kommunikation ganz herkömmlich statt. Es ist aber durchaus auch denkbar, dass die Mitglieder des Teams in der Klasse verteilt sitzen und über die genutzte Plattform kommunizieren. Die mündliche Kommunikation erleichtert gerade dann Kollaboration deutlich, wenn die erforderlichen sozialen Kompetenzen für eine erfolgreiche Kollaboration noch erarbeitet und trainiert werden müssen. Es braucht Regeln, Absprachen und Rücksichtnahme.

Kollaboration mit G Suite for Education lernen

Anders als etwa bei der Gruppenarbeit, wo oft nur ein Mitglied der Gruppe aktiv am gemeinsamen Lernprodukt arbeitet, während die anderen Anweisungen geben oder darauf warten, ihren Teil beisteuern zu können, erlaubt eine Plattform wie G Suite for Education zeitgleiches Arbeiten aller Mitglieder des Teams am gemeinsamen Lernprodukt. Das ist nicht einfach und es empfiehlt sich deshalb, Lerngruppen schrittweise an kollaboratives Lernen und Arbeiten heranzuführen.

Google Slides – eine Folie für jeden

Wie viele andere Softwareprodukte kann das Präsentationsprogramm Googles Slides wesentlich mehr als nur Präsentation erstellen. Entsprechend den anderen Programmen in G Suite for Education erlaubt Google Slides kollaboratives Arbeiten. Ein großer Vorteil, es ist einfach zu nutzen, für Schüler und Lehrkräfte. Zur Vorbereitung eines kollaborativen Projektes wird eine Startfolie vorbereitet, eine weitere Folie mit Arbeitsanweisungen und dann je eine Folie für jedes Teammitglied. Das kann am Anfang sogar die ganze Klasse sein. Für die Folien der Schüler wird eine Vorlage erstellt und diese dann in Anzahl der Schüler dupliziert. Jeder Schüler erhält so eine eigene Folie. Das hat den Vorteil, dass die Schüler einander beim Arbeiten nicht in die Quere kommen. Jeder arbeitet auf seiner Folie. Eingriffe in die Folien der Mitschüler werden zunächst nicht zugelassen. So entsteht ein gemeinsames Produkt. Das könnten beispielsweise im Biologieunterricht Porträts von Tieren oder Pflanzen sein oder Beschreibungen von Bestandteilen der Zelle, Texte illustriert mit Fotos oder Grafiken. Damit alle Schüler auf die Präsentation zugreifen können, wird über das Freigabe Menü ein Zugangslink erzeugt mit Bearbeitungsrechten und dieser an die Schüler weitergegeben. Die Weitergabe kann mit einem QR-Code erfolgen, wenn die Schüler noch nicht als Benutzer in einer gemeinsam genutzten Plattform angemeldet sind.

Kollaboration ohne verändernde Eingriffe

Es fällt Schülern häufig nicht leicht, wenn andere Schüler Veränderungen an ihrer Arbeit vornehmen. Deshalb erfolgt dieser Schritt etwas später. Kollaboration bedeutet nicht nur etwas gemeinsam zusammenzutragen, sondern auch etwas gemeinsam zu entwickeln und dazu gehört auch, gemeinsam an einzelnen Projektelementen zu arbeiten. Dieses schließt auch Korrekturen und Veränderungen mit ein. Bevor man jedoch diesen Schritt in der Entwicklung der Kompetenz zu kollaborativem Arbeiten geht, empfiehlt es sich, ein wichtiges Werkzeug einzuführen, den Kommentar. Über die Kommentarfunktion ist es möglich, Inhaltselemente einer Folie zu markieren und mit Anmerkungen zu versehen. Dieses können Korrekturvorschläge sein, Anregungen, Kritiken, Hinweise und ähnlich. In Absprache untereinander oder in einem Losverfahren erhält jedes Teammitglied eine Folie zugewiesen, die dann je nach Arbeitsauftrag durchgesehen und mit Kommentaren versehen wird. Je nach Lerngruppe kann es dabei um Orthographie- und Grammatikfehler gehen, um inhaltliche Fehler, um inhaltliche Ergänzungen oder Anregungen, um Verständnisfragen und ähnlich.


Unterrichtsbeispiel

Ein Beispiel für Kollaboration, wie sie in einer Lerngruppe aussehen kann, die noch wenig Erfahrung mit dieser Form der Zusammenarbeit hat: https://goo.gl/96fkx2

Die Aufgabe der Schüler war, am Ende einer Unterrichtseinheit über Südafrika, noch einmal ihr Wissen zu reaktivieren. So sollte in Vorbereitung auf eine Klassenarbeit möglichst viel von den zuvor erarbeiteten landeskundlichen Informationen zusammengetragen werden.

Am Beispiel sieht man die angepasste Formatierung, die so für eine Präsentation untauglich wäre, sich aber gut ausdrucken lässt als Din A4 im Querformat oder als PDF.


Kollaboration mit begrenzten verändernden Eingriffen

Schüler mit größerer Erfahrung mit kollaborativen Lern- und Arbeitsformen können das, was Teammitglieder zum gemeinsamen Projekt beigetragen haben, auch überarbeiten. Dieses setzt jedoch voraus, dass es Vereinbarungen gibt, wie weit die Überarbeitungen gehen dürfen. Sollen sie sich nur auf die sprachliche Richtigkeit beschränken? Lässt man auch inhaltliche Überarbeitungen zu? Beim gemeinsamen Arbeiten an einem Projekt sollten die Grenzen der Bearbeitung so abgesteckt sein, dass der Beitrag des Urhebers im Team immer noch als solcher deutlich erkennbar bleibt.

Kollaboration mit größeren verändernden Eingriffen

Im Idealfall verläuft Kollaboration vor allem ergänzend. Wenn man im Team merkt, dass es an einigen Stellen nicht in die richtige Richtung geht, dann kommen die sozialen Kompetenzen ins Spiel. Ein Teammitglied kann nicht einfach die Beiträge eines anderen löschen. Hier sind Absprachen und Verhandlung erforderlich, um das andere Teammitglied nicht zu verlieren. Dabei spielt dann neben der Kommunikation als einer weiteren zentralen Kompetenz des 21. Jahrhunderts auch die Kritik eine Rolle. Die Teammitglieder müssen in der Lage sein, konstruktiv Kritik zu üben, wie auch Kritik anzunehmen und konstruktiv umzusetzen. Wie aus der Beschreibung hoffentlich deutlich wird, setzt Kollaboration in dieser Form viel Erfahrung und ein hohes Maß an sozialen Kompetenzen voraus. Bis man mit Schülern so weit ist, braucht es viel Übung. Die Erlangen Schüler nur, wenn sich kollaborativen Lernen und Arbeiten nicht nur auf einzelne Projekte beschränkt, sondern Bestandteil von jedem Unterricht ist.

Kollaboration mit selbst gebildeten Gruppen

Alle zentralen Programme von G Suite for Education, Docs, Sheets und Slides lassen es zu, dass Schüler eigenständige Gruppen bilden. Ein Schüler erstellt eine Präsentation, ein Dokument oder eine Tabelle und lädt dann Mitschüler zur Mitarbeit ein. Das geht auch, wenn Schüler kein eigenes Konto haben. Die Lehrkraft teilt dann dem jeweiligen Schüler eine Präsentation zu und stellt die Freigabe so ein, dass der Schüler selbst wiederum weitere Mitarbeiter einladen kann. Mit diesem Verfahren wird man arbeiten, wenn Gruppen sich nach Interessen bilden und dann auch die Arbeit innerhalb der Gruppe eigenständig aufteilen. Alternativ können Schüler eigene Projektdateien erstellen und über die Freigabe Mitschüler einladen. Damit auch die Lehrkraft Einblick hat, wird auch diese eingeladen, zumindest mit der Freigabe für Kommentare.

Kollaboration sichtbar machen und thematisieren

Alle zur Kollaboration fähigen Programme der G Suite for Education zeichnen sämtliche Arbeitsschritte auf. Über den Link im Menübereich lassen sich sämtliche Veränderungen im Zeitverlauf sichtbar machen. Anhand verschiedener Farben lassen sich vorgenommene Veränderungen einzelnen Teammitgliedern zuordnen. Die Historie der Veränderungen kann nicht nur genutzt werden, um ein älteren Bearbeitungszustand wiederherzustellen, sondern auch um den Ablauf bei der Erstellung des gemeinsamen Lernproduktes nachträglich sichtbar zu machen. Dieses kann genutzt werden, um kooperatives Arbeiten und Lernen zu thematisieren. Lerngruppen, die ein gemeinsames Produkt erstellt haben, können die verschiedenen Schritte, die sie gegangen sind, noch einmal rekapitulieren, um das Vorgehen zu reflektieren. Lehrkräfte können, wenn sie die Arbeit der Schüler bewerten, die Funktion auch nutzen, um dabei die Entwicklung des Projektes und die (schriftliche) Beteiligung der Teammitglieder einschätzen zu können.

Gezieltes Feedback

Die Kommentarfunktion ist nicht nur als Kollaborationsfunktion von Bedeutung, sondern erlaubt Lehrkräften ein schnelles und gezieltes Feedback. Dateien, die von der Lehrkraft freigegeben wurden, sind für die Lehrkraft auch permanent einsehbar. Die Lehrkraft könnte sich so auch in ein Projekt einbringen. Wichtiger aber noch ist die Möglichkeit, über Kommentare Rückmeldung zu den Arbeiten der Schüler zu geben. Das können Korrekturhinweise sein, Anmerkungen, Links zu weiteren Informationen. Werden Kommentare bei der abschließenden Bewertung des Projektes durch die Lehrkraft angefügt mit der Option, noch einmal entsprechende Überarbeitungen vorzunehmen als Berichtigung oder Möglichkeit, der Verbesserung des Ergebnisses, kann über den Bearbeitungsverlauf sehr schnell beurteilt werden, wie die Kommentare umgesetzt wurden.

Warum G Suite for Education?

Die G Suite for Education zeichnet sich vor allem durch ein Merkmal aus. Sie kommt sehr schlank daher und ist nicht mit zahllosen Funktionen vollgestopft. Dadurch ist die Bedienung sehr einfach, für Schüler wie für Lehrer. Das bedeutet allerdings nicht, dass es nicht eine Einarbeitung braucht, um nach und nach die verschiedenen Funktionen kennenzulernen. Weniger Funktionen bedeutet im Fall von G Suite for Education keinen Verzicht. Es ist eher eine Beschränkung auf das Notwendige.

Die G Suite for Education ist kostenlos nutzbar. Wer sie testen möchte, braucht nur ein Gmail Konto. Das Office Paket ist dabei, immer. Über http://drive.google.com kommt man in die zentrale Dateiverwaltung und von dort aus lassen sich Dokumente, Tabellen, Präsentationen, Zeichnungen und mehr erstellen und bei Bedarf auch in Ordner sortieren. Die einzelnen Programme sind jedoch auch direkt erreichbar, Docs etwa über http://docs.google.com. Schüler und Kollegen können, wie oben beschrieben, ohne eigenes Google Konto eingeladen werden, an Dateien zu arbeiten.

Ein weiterer Vorteil liegt in der Unabhängigkeit von der Plattform. Vorausgesetzt wird lediglich ein Internetzugang, um kollaborativ arbeiten zu können. Für die mobilen Plattformen gibt es Apps zu den wichtigsten Programmen (Drive, Docs, Spreadsheets, Slides, …). Am einfachsten ist die Nutzung jedoch über den Browser. Es muss nicht der Chrome Browser sein, auch wenn dieser die beste Unterstützung bietet. Auch Firefox und andere Browser erlauben das Arbeiten mit der G Suite for Education.

G Suite for Education sperrt den Nutzer nicht ein. Alle Dateien lassen sich herunterladen in Formaten, die auch von anderen gängigen Programmen bzw. Plattformen gelesen werden können. Doc Dateien kann man so unter anderem auch als docx, PDF, odt, rtf, txt und Webseite herunterladen.

Erst die Lehrer dann die Schüler

Wer als Lehrkraft die G Suite for Education oder auch nur ein einzelnes Programm daraus im Unterricht nutzen möchte, sollte zunächst selbst in der Lage sein, dieses Werkzeug für das eigene Lernen und Arbeiten zu nutzen. Idealerweise nutzt die Fachschaft die G Suite for Education, um gemeinsam Materialien zu entwickeln und zu teilen. So kann man die Kollaboration selbst nutzen, um den großen Nutzen zu erfahren, den er für einen selbst aber auch die Fachschaft an sich bedeutet. Gut nutzbar ist die Kollaborationsfunktion von Google Doc beispielsweise auch zur Schulprogrammarbeit oder Weiterentwicklung der schulinternen Fachcurricula, Anwendungen aus dem Arbeitsalltag von Lehrkräften, wo die Kollaborationsfähigkeit über Erfolg und Misserfolg entscheidet. Wer dann gelernt hat, wie Kollaboration funktioniert und welchen Gewinn sie bringt, der ist bereit, damit in den Unterricht zu gehen.

G Suite for Education und Datenschutz

Wie bei allen Cloud Lösungen internationaler Anbieter und bei Google insbesondere spielt im schulischen Nutzungszusammenhang auch der Datenschutz eine Rolle. Kann man Google Produkte in Schule überhaupt datenschutzkonform einsetzen? Die Antwort ist – ja – wenn man dabei einige Punkte beachtet. Es gilt vor allem der Grundsatz der Datenminimierung. Das bedeutet, personenbezogene Daten sollten innerhalb der G Suite for Education so sparsam wie möglich verwendet werden. Im Idealfall vermeidet man sie komplett. Das ist jedoch für die Arbeit unpraktisch. Es ist schon sinnvoll, wenn Schüler einen Benutzernamen haben, an welchem man sie in der Lerngruppe erkennen kann. Das ist der Vorname und den kombiniert man dann mit den ersten drei Buchstaben des Nachnamens, um Verwechslungen auszuschließen. Alles andere, Lebensläufe mit echten Daten und ähnlich aber auch Bewertungen in Form von Noten bleiben außerhalb der Plattform, um die personenbezogenen Daten der Schüler und Lehrkräfte zu schützen.

Google Classroom

Zwar ist es durchaus möglich, innerhalb eines privaten Google Kontos mit Schülern zu arbeiten, doch für mehr als einen Test sollte diese Lösung definitiv nicht genutzt werden, auch aus Gründen des Datenschutzes. Wer als Schule die G Suite for Education alltäglich einsetzen möchte, sowie dieses auch Schulen in Deutschland und der Schweiz tun, der sollte ein Schul Account bei Google anlegen. Mit diesem erhält man ein Verwaltungsmodul (Admin Console), über welches man Benutzerkonten, Klassen und Lerngruppen einfach anlegen kann. Google Classroom ist außerdem ein hervorragendes Werkzeug für Lehrkräfte, um Unterricht vorzubereiten, zu steuern und nachzubereiten. Die Benutzung ist sehr einfach und effizient gestaltet. Gegenüber der Nutzung eines privaten Google Kontos für Unterrichtszwecke, was rein datenschutzrechtlich gesehen nicht einmal zulässig ist, bietet Google Classroom noch einen großen Vorteil. Innerhalb von Google) und der G Suite for Education erfolgt kein Tracking durch Google und es gibt auch keinerlei Werbung. Google hat sich verpflichtet, die personenbezogenen Daten von Schülerinnen und Schülern innerhalb der G Suite for Education zu schützen. Schulen, die Google Classroom und G Suite for Education nutzen wollen, müssen darüber hinaus ein Vertrag zur Datenverarbeitung im Auftrag mit Google abschließen. Dieser wird online abgeschlossen.

Organisatorische Vorteile

Gerade wenn mehrere Schüler gemeinsam an einem Projekt arbeiten, bringt eine Online Plattform wie G Suite for Education riesige Vorteile. Wer kennt als Lehrkraft nicht die Situation, in welcher aus einer Gruppe von mehreren Schülerinnen und Schülern, ob es nur zwei sind oder fünf, genau die Person fehlt, welche das Heft, die Unterlagen, die Materialien oder das Poster der Gruppe hat. Die Gruppe kann nicht weiter arbeiten. Wird das kollaborative Projekt online in G Suite for Education bearbeitet, ist alles Material immer verfügbar. Wenn einer fehlt, kann der Rest der Gruppe problemlos weiterarbeiten und der kranke Mitschüler vielleicht von Zuhause. Auch eine Weiterarbeit außerhalb der Schulzeit ist problemlos möglich.

Als Lehrkraft kann man jederzeit in das Projekt Einblick nehmen, egal von wo aus und wann. Auch das ist ein Vorteil. Abgabetermin verpasst, gibt es nicht mehr. Es gibt eine Abgabefunktion in Google Classroom, doch auch ohne Abgabe kann die Lehrkraft die Materialien einsehen.

Wer ein Projekt über Landesgrenzen und Zeitzonen hinaus mit einer anderen Schule plant, sollte überlegen, ob G Suite for Education nicht die Plattform ist, mit welcher man gemeinsame Projekte gestaltet. G Suite for Education wird weltweit genutzt, aktuell vermutlich von mehr als 80 Millionen Schülern und Lehrkräften.

Arbeitserleichternde Funktionen

Die Ingenieure von Google erhalten während ihrer Arbeitszeit Freiraum für kleine Nebenprojekte und so entstehen immer wieder interessante Module, welche der G Suite for Education zusätzliche nützliche Funktionen geben.

QR-Codes in Tabelle erzeugen

Eine solche Funktion ist die automatisierte Erstellung von QR-Codes. In Klassen, die mit mobilen Endgeräten arbeiten, lassen sich Links und kleine Textinformationen leicht mittels QR-Codes weitergeben. Diese QR-Codes können in ein Arbeitsblatt eingebunden werden. Zwar gibt es Werkzeuge und Webseiten, über welche man QR-Codes erzeugen kann, doch wenn es sich um viele dieser magischen Quadrate handelt, kann das schon einmal mühsam werden. Google Sheets hat eine Funktion, über welche man den Inhalt einer Zelle, sei es ein kleiner Text mit Hilfen oder einer Lösung oder einem Link zu einer Webseite oder einem Video, automatisch in einen QR-Code umwandeln kann. Auf diese Art kann man ein Lösungsblatt mit versteckten Lösungen erstellen. Bei Beschreibung setzt man dann die Nummer der Aufgabe ein und die Zellen mit den Informationen für den Code verbirgt man durch Ausblenden.

image2.png

Die Formel, welche die Umwandlung bewirkt, lautet:

=image(„https://chart.googleapis.com/chart?chs=150×150&cht=qr&chl=“&A2)

A2 bezeichnet dabei die Zelle, deren Information in einen QR-Code umgewandelt werden soll und muss angepasst werden. Text, der in den QR Code soll, muss in der Zelle mit Pluszeichen (+) verkettet werden. Links werden ohne zusätzliche Zeichen übernommen. 150×150 gibt die Ausgabegröße des Codes in Pixeln an.

Übersetzungstabelle

Eine weitere nützliche Funktion von Google Sheets ist die Vokabelliste oder Übersetzungstabelle. Dazu sammelt man in einer Spalte alle Vokabeln, die übersetzt werden sollen und fügt in der Spalte daneben folgende Formel ein:

image3.png

=GOOGLETRANSLATE(A4,“en“,“de“)

A4 bezeichnet dabei die Zelle, welche übersetzt werden soll, en, die Sprache der Zelle, aus welcher übersetzt werden soll, hier Englisch, und de, die Sprache, in welche übersetzt werden soll. es steht für Spanisch, fr für Französisch. Setzt man an die Stelle von en ein auto, versucht Google, die Sprache eigenständig zu erkennen. Alle Übersetzungsmöglichkeiten, welche Google Translate hat, sind auch in Google Sheets verfügbar. Nutzt man die Funktion im Unterricht, wird man unter Umständen in einzelnen Zellen, je nach Kontext, Veränderungen vornehmen müssen, dass die Übersetzung passt.

Die Erkunden Funktion

Eines der nützlichsten Werkzeuge für Schüler im Unterricht wie für Lehrkräfte in der Unterrichtsvorbereitung ist die Erkunden Funktion, die es in Docs, Sheets und Slides gibt und die über ein kleines Symbol unten links erreichbar ist. Mittels dieses Werkzeuges kann direkt aus der Datei, an welcher man arbeitet, nach Inhalten und Informationen gesucht werden. Für die Suche muss das Dokument nicht verlassen werden. Zitate können so mit einem Klick mit Link und Datum der Suche über eine Fußnote belegt werden. Auch Bilder lassen sich suchen. Google schlägt dabei Medien vor, welche im Sinne von freien Bildungsmaterialien lizenziert sind. Ein Bild lässt sich mit einem Klick passgenau in das Projekt einfügen. Der Nutzer muss jedoch zwei Dinge sicherstellen. Er muss sich vergewissern, dass die Lizenz tatsächlich von Google korrekt erkannt wurde. Das erfolgt, indem man auf das Bild klickt und in der Vorschau oben links auf die Seite geht, von welcher das Bild stammt. Passt die Lizenz für eine Nutzung im Projekt, entnimmt man der Seite direkt die vom Urheber vorgegebenen Informationen, um das Bild korrekt zu zitieren, d.h. im Falle einer Creative Commons Attribution Lizenz den Namen des Urhebers und die Lizenzversion. Diese fügt man dem Bild an, die Lizenzinformation am besten verlinkt.

image4.png

Die “lebende” Tabelle in Dokument oder Präsentation

Google Docs und Slides verfügen zwar über Tabellen als Gestaltungselemente, allerdings verfügen diese nicht über die Funktionen von Sheets. Möchte man beispielsweise eine Übersetzungstabelle in ein Dokument integrieren, so kopiert man dafür die ausgewählten Zellen aus Sheets und fügt diese dann an der gewünschten Stelle ein. Soll die Tabelle im Dokument mit der Quelle in Sheets verbunden bleiben, wählt man die obere Option im Menü. Nach Änderungen in der Originaltabelle wird in Docs ein Hinweis mit der Möglichkeit zur Übernahme der Veränderungen angeboten. Die Funktion zur Einbindung von Tabellen ist nützlich, wenn zur Erstellung der Tabelle Funktionen aus Sheets benötigt werden. Mit der Kopie werden alle Eigenschaften der Tabelle übernommen. Nachträgliche Änderungen lassen sich durch Aktualisieren ebenfalls ohne viel Mühe übernehmen.

Screenshot 2019-02-24 10.04.42.png

Der Original Link zur Präsentation im Unterrichtsbeispiel lautet: https://docs.google.com/presentation/d/1nJrNZL9u7ltenNmometlKJfV3-D4EsbpQnoVUBag4Zc/edit?usp=sharing

Der Link zum Original Beitrag, wie er in einem Google Doc erstellt wurde, mit eingebetteter Tabelle findet sich unter https://docs.google.com/document/d/10Act0kq3P6Oe7gLECKhIeP6P0YRYzMiJpDaE7G3ZD0Q/edit?usp=sharing

Der Text wurde ursprünglich für lehrer-online verfasst, ist dort jedocch inverkürzter Fassung erschienen.

Warum ich mir wegen dieser Seite in Bezug auf Datenschutz keine Sorgen mache

Posted in Uncategorized by damianduchamps on Mai 19, 2018

Seit Wochen schon habe ich auf dieser Website eine Datenschutzerklärung und ein Impressum, nicht einfach so, sondern weil ich mich mit der Thematik auseinandergesetzt habe. Mit diesem kleinen Beitrag möchte ich kurz erklären, warum ich mir bei dieser kostenlosen WordPress.com Website keine Sorgen mache, in irgendeinen Konflikt mit den neuen Vorgaben der Datenschutz Grundverordnung zu kommen. Meine Darstellung in einem Google Doc hat einige Diskussion ausgelöst, zu Recht. Denen, die diese Darstellung in Frage gestellt haben, möchte ich hiermit danken. Es war wohl etwas zu sehr vereinfacht und auch sachlich nicht korrekt. Ich betrachte im Folgenden nur die WordPress.com free Variante. Zum Personal Plan schreibe ich am Schluss etwas.

Die beiden Fragen, um die es hier vor allem geht, sind:

  1. Brauche ich für eine kostenlose WordPress Seite eine Datenschutzerklärung und wenn ja, wie muss sie aussehen?

  2. Kann ich bei einer kostenlosen WordPress Seite wegen fehlender oder fehlerhafter Datenschutzerklärung abgemahnt oder mit einem Bußgeld belegt werden?

Die Datenschutzerklärung ist im Zusammenhang mit der Informationspflicht nach der DSGVO zu sehen.

Was sagt die DSGVO zum Thema Informationspflicht?

Nach der Datenschutz Grundverordnung haben Bürger der EU ein Recht darauf, informiert zu werden, wenn personenbezogene Daten direkt bei ihnen erhoben werden (Art. 13 DSGVO). Das ist bei einer WordPress Seite sicherlich der Fall, auch bei einer kostenlosen. Gemäß Art. 12 DSGVO trifft der Verantwortlichegeeignete Maßnahmen, um der betroffenen Person alle Informationen gemäß den Artikeln 13 und 14 und alle Mitteilungen gemäß den Artikeln 15 bis 22 und Artikel 34, die sich auf die Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln„.

Es geht hier um den Verantwortlichen. Die Frage ist nun, wer ist bei der kostenlosen WordPress Variante der Verantwortliche?

Wie definiert die DSGVO einen Verantwortlichen?

Nach Art. 4 Abs 7 meint „„Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet;“

Der normale Blogger ist in der Regel eine natürliche Person. Wird die WordPress Seite von mehreren Personen betrieben, hat man mehrere natürliche Personen. Entscheiden diese nun tatsächlich alleine bzw. gemeinsam? Um das beurteilen zu können, muss man sich näher mit WordPress und seiner Verarbeitung von personenbezogenen Daten beschäftigen.

Kontrolle über die „Zwecke und Mittel der Verarbeitung von personenbezogenen Daten“

Kontrolle durch den Seitenbetreiber

Bei einem kostenlosen WordPress hat die Person, welche es betreibt, im Vergleich zu selbst gehosteten oder dem Premium und Business Paket nur eine stark beschränkte Möglichkeit, die Verarbeitung von personenbezogenen Daten zu beeinflussen.

Funktionen

Dazu gehört:

  • Kommentare zulassen oder abschalten
  • Bei aktivierter Kommentarfunktion, Angabe von E-Mail und Name einfordern
  • Kommentare nur nach Nutzerregistrierung zulassen
  • Kommentare moderieren
  • Nutzerregistrierung zulassen oder abschalten
  • Kommentare verfolgen aktivieren oder deaktivieren
  • Blog folgen aktivieren oder deaktivieren
  • Social Media Sharing aktivieren
Zusatzfunktionen

Außerdem ist es möglich, über Wigets zusätzliche Funktionen zu aktivieren, welche eine zusätzliche Erhebung und Verarbeitung personenbezogener Daten zur Folge haben. Dazu gehören die Einbindung:

  • einer Google Maps Karte mit dem eigenen Standort
  • einer Google Translate Funktion
  • des eigenen Instagram
  • des eigenen Goodreads
  • der Twitter Timline
  • von Google Videos
  • der Funktion dem Blog per E-Mail zu folgen
  • einer Newsletter Funktion über MailChimp
  • eines EventBrite Calenders

Kontrolle durch Automattic/Worpress

Sämtliche Basisfunktionen können jedoch nicht beeinflusst werden. Hier bestimmt alleine WordPress über Zwecke und Mittel der Verarbeitung von personenbezogenen Daten. Dazu gehört:

  • die Erfassung und Auswertung der User IP und weiterer Daten zu Browser, Betriebssystem, Ort, Zeit, …
  • die Schaltung von Werbung
  • das Setzen von Cookies, soweit sie nicht mit den oben genannten Funktionen zusammenhängen
  • das Nutzung von Google Web Fonts
  • die Auswertung mit Google Analytics
  • die Verarbeitung der Daten auf Servern mit unbestimmter Lokalität
  • das Tracking durch diverse in WordPress integrierte Dienste

Diese Kontrolle über Zwecke und Mittel der Verarbeitung von personenbezogenen Daten durch WordPress geht weit über die hinaus, die ein normaler Hoster hat, wenn man dort sein WordPress installiert. Selbst wenn der Betreiber der WordPress Seite keinerlei Gewinnerzielungsabsicht verfolgt, so ist ganz klar, dass WordPress diese verfolgt und genau dafür auch sehr gezielt Daten der Besucher und Nutzer der kostenlosen WordPress Seiten verarbeitet, spricht auswertet.

Was bedeutet das nun für die Verantwortlichkeit?

Aus der bisherigen Beschreibung sollte klar geworden sein, dass der Betreiber der kostenlosen WordPress Seite definitiv nicht alleine die Verantwortung trägt. Er trägt aber zumindest einen Teil der Verantwortung trägt für die Verarbeitung von personenbezogenen Daten der Besucher und Nutzer seiner Seite. Der andere Teil der Verantwortung liegt jedoch eindeutig nicht bei ihm, sondern bei Automattic, der Firma hinter WordPress.com.

Wenn der Betreiber einer WordPress Seite sämtliche Funktionen deaktiviert, die zu einer Verarbeitung von personenbezogenen Daten führen und keine Zusatzfunktionen aktiviert, könnte man argumentieren, dass er dann im Sinne der DSGVO auch nicht mehr als Verantwortlicher über „Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet;„. Anders herum könnte man jedoch argumentieren, dass wer entscheidet, ob bestimmte personenbezogene Daten nicht verarbeitet werden oder nicht, indem er Funktionen von WordPress deaktiviert bzw. nicht aktiviert, damit auch ein Verantwortlicher ist.

Ich bin nicht der Meinung, dass man eine Verantwortung für sämtliche auf einer kostenlosen WordPress Seite verarbeiteten Daten der Person zuweisen kann, welche die Seite betreibt, weil sie sich entschieden hat, dieses Angebot für das Betreiben ihrer Website zu nutzen. Das „vertragliche“ Verhältnis von WordPress Website Betreiber und Automattic entspricht auch keiner klassischen Auftragsverarbeitung, da Automattic dem Betreiber der Website gegenüber nicht weisungsgebunden ist.

Der Betreiber trägt so, gemäß der Definition der DSGVO, gemeinsam mit Automattic die Verantwortung.

Was bedeutet das nun in Bezug auf eine Datenschutzerklärung?

Es ist also definitiv zu empfehlen, dass der Betreiber einer kostenlosen WordPress Seite eine Datenschutzerklärung in seine Seite integriert und darüber hinaus (nach aktuellem Stand, Mai 2018) bei den Widgets auch die Anzeige des EU Cookie Law Banners aktiviert.

Wie diese Datenschutzerklärung nun aussehen sollte, hängt nach meiner Einschätzung sehr davon ab, wie viel Einfluss man als Betreiber der Website auf die Erhebung und Verarbeitung von personenbezogenen Daten der Besucher und Nutzer nimmt.

Keine Funktionen aktiviert = weniger verantwortlich

Wer alle Funktionen abschaltet, die zu einer Erhebung und Verarbeitung von personenbezogenen Daten führen (keine Kommentare, kein Folgen, …), und auch keine Widgets aktiviert, die dieses zur Folge haben, ist zwar (mit großer Wahrscheinlichkeit) noch immer ein Verantwortlicher nach der DSGVO, kann jedoch für den größeren Teil der Verantwortlichkeit auf WordPress/Automattic verweisen.

Entsprechend sollte die Datenschutzerklärung auf die Tatsache hinweisen, dass es sich bei der Website um eine kostenlose WordPress Site handelt und dass dort durch den Anbieter Automattic personenbezogenen Daten erhoben und verarbeitet werden, dass man darauf jedoch keinen Einfluss hat und man sich entsprechend zur Wahrnehmung seiner Rechte auf Auskunft, Löschung und Sperrung an Automattic wenden muss. Das alles wird durch einen Link zur Datenschutzerklärung von Automattic ergänzt.

Es ist sicher kein Fehler, wenn man einige grundlegende Informationen zum Datenschutz angibt bezüglich SSL, Cookies, Referrer und Server Logfiles.

mehr Funktionen aktiviert = mehr Verantwortung

Wer in seiner kostenlosen WordPress Site einige oder alle der oben beschriebenen Funktionen aktiviert lässt bzw. aktiviert und/oder Zusatzfunktionen in Betrieb nimmt oder möglicherweise auch Affiliate Links einbindet, der trägt damit ganz eindeutig Verantwortung. Entsprechend ist der Betreiber verpflichtet, den Besuchern und Nutzern seiner Seite alle nach der DSGVO erforderlichen Informationen bezüglich der Verarbeitung von personenbezogenen Daten zu geben. Das heißt, es muss eine Information zu jeder aktiven Funktion und der damit verbundenen Verarbeitung von personenbezogenen Daten in die Datenschutzerklärung aufgenommen werden: die Kommentar Funktion, die Folgen Funktion, die Benachrichtigung über neue Posts per E-Mail Funktion usw. Je nach Funktion ist auch ein Hinweis auf eine Datenübermittlung an Dritte erforderlich.

Ganz egal, welche Funktionen des kostenlosen WordPress man nutzt, ein Hinweis auf die Datenschutzerklärung von WordPress.com ist immer unverzichtbar.

WordPress Personal Plan

Der Personal Plan von WordPress kostet Geld. Die Zahl der angebotenen Funktionen ist etwas größer, die Möglichkeit auf die Verarbeitung von personenbezogenen Daten Einfluss zu nehmen, damit auch. Sehr weit scheinen sich die Einflussmöglichkeiten vom kostenlosen WordPress in Bezug auf personenbezogene Daten jedoch nicht zu unterscheiden. Von daher sollten die Angaben zum kostenlosen WordPress sich weitestgehend übertragen lassen. Automattic schaltet hier zwar keine Anzeigen, wird möglicherweise jedoch trotzdem Daten auswerten. Dieses wäre zu prüfen. Falls Automattic wirklich nur Daten im Auftrag des zahlenden Kunden verarbeitet, wäre auch ein Vertrag zur Auftragsverarbeitung abzuschließen.

Spielt die Gewinnerzielungsabsicht eine Rolle bezüglich einer Datenschutzerklärung?

Ist der Betrieb einer Website mit einer Gewinnerzielungsabsicht verbunden, so leitet sich daraus nicht direkt die Erfordernis nach einer Datenschutzerklärung ab. Dieser Punkt ist eher von Bedeutung, wenn es um die Impressumspflicht geht. Bindet man beispielsweise Affiliate Links zu Amazon ein, so ergibt sich darauf, egal ob dieses bei einem kostenlosen oder kostenpflichtigen WordPress erfolgt, die Erfordernis, in der Datenschutzerklärung auf die damit verbundene Erhebung und Verarbeitung von personenbezogenen Daten hinzuweisen. Gleiches gilt, wenn ich ein Analytics Tool nutze, um die Inhalte meiner Seite mit dem Ziel einer besseren Bewerbung eines Buches zu optimieren. Ein anderes Thema sind jedoch Abmahnungen.

Kann man für eine kostenlose WordPress Website abgemahnt oder mit Bußgeld belegt werden?

Solange man eine Webseite ohne kommerzielle Interessen betreibt, gibt es für andere kaum Angriffsfläche.

Abmahnungen

Ohne kommerzielle Interessen bzw. Gewinnerzielungsabsicht ist kein Verstoß gegen das Wettbewerbsrecht möglich. Abmahnungen könnten höchstens das Urheberrecht betreffen oder die Verletzung von Persönlichkeitsrechten.

Bußgeld

Eine Beschwerde bei den Aufsichtsbehörden ist eigentlich nur dann zu erwarten, wenn über die Webseite gegen Vorgaben der Datenschutzgesetzgebung verstoßen wird. Das könnte der Fall sein, wenn man beispielsweise einer Löschaufforderung nicht nachkommt oder man ohne Information der Betroffenen und ohne rechtliche Grundlage gesammelte Nutzerdaten (z.B. E-Mail Adressen, Namen) an Dritte verkauft oder für unerwünschte Werbemails nutzt. Auch das Fehlen einer Datenschutzerklärung selbst könnte durchaus ein Beschwerdegrund sein, vor allem, wenn die Website sich nicht auf die grundlegenden Funktionen beschränkt und nicht sämtliche Optionen ausgenutzt wurden, die Erhebung und Verarbeitung von personenbezogenen Daten auf das Minimum zu begrenzen (siehe oben).
Sollte es zu einer Beschwerde bei den Aufsichtsbehörden kommen, so ist auch hier mit einem Bußgeld nicht in jedem Fall zu rechnen. Zunächst würde eine Stellungnahme eingefordert. Dann gäbe es immer noch Zeit und Gelegenheit, zu reagieren und Veränderungen vorzunehmen, falls dieses möglich ist.
Solange man auf die Datenschutzerklärung des Anbieters verweist und in der eigenen Datenschutzerklärung die Datenerhebung durch den Anbieter so gut wie möglich erklärt, sollte man der Verpflichtung zum Führen einer Datenschutzerklärung ausreichend nachgekommen sein.
Die Wahrscheinlichkeit, dass man durch Veröffentlichung von Daten über die Webseite auf Schadensersatz verklagt werden kann, ist ebenfalls sehr gering, vor allem dann, wenn man keine Nutzerdaten, etwa solche, die über die Kommentarfunktion erhoben werden (zum Beispiel Nutzername und E-Mail-Adresse) veröffentlicht.

Schadenersatz

Nichts ist unmöglich. Im Prinzip wäre es auch denkbar, egal ob eine Website auf dem kostenlosen WordPress betrieben oder selbst gehostet wird, dass aus einem Verstoß gegen die Vorgaben der DSGVO auf einer Website eine Schadensersatzforderung abgeleitet wird, weil dem Betroffenen ein Schaden entstanden ist.

Fazit

Nachdem ich mich jetzt noch einmal sehr intensiv mit dem Thema beschäftigt habe und dank der Einwendungen und Anregungen von Andreas Kalt, Axel Krommer, Armin Hanisch, Bildungsdings und Maik Riecken sollte ich mit diesem Beitrag jetzt mehr Klarheit in das Thema gebracht haben.

Auch bei kostenlosen WordPress Seiten sollte man eine Datenschutzerklärung haben, die zumindest in Grundzügen erklärt, dass die Seite kostenlos genutzt wird, es dadurch in bestimmten Bereichen keinen Möglichkeiten gibt, die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten zu beeinflussen und in diesem Bereich die Datenschutzerklärung von Automattic gilt. Außerdem sollten für alle Funktionen, die man als Betreiber der Seite selbst beeinflussen kann, soweit man sie nutzt, in der Datenschutzerklärung Informationen gegeben werden. Und da ich es auf dieser Seite entsprechend halte mit der Datenschutzerklärung (und dem Impressum) mache ich mir keine Sorgen.

Nachtrag

Datenschutz und Schule – wo ansetzen?

Posted in Datenschutz, Google Classroom, Schule und Recht by damianduchamps on April 2, 2018

Meinen letzten Beitrag “Zu Hülfe, der Datenschutz …” hatte ich mit dem Fazit geschlossen “Es müssen nur alle wollen, endlich Stellung beziehen und Schulen und Lehrkräften unterstützend zur Seite stehen.” Bei Twitter stellte später Matthias Förtsch die Frage, wer denn “alle” seien und wo man hier ansetzen müsse.

Bildschirmfoto 2018-04-02 um 09.51.04.png

Im Beitrag hatte ich die Verantwortlichen zwar genannt, möchte hier aber noch einmal konkreter werden.

Das grundlegende Problem für Schulen besteht aktuell darin, dass Lehrkräfte bestimmte Softwareprodukte und Plattformen im Unterricht nutzen möchten, es jedoch in den wenigsten Fällen rechtsverbindliche Aussagen von vorgesetzten Dienststellen gibt, ob und wie die Nutzung in Bezug auf datenschutzrechtliche Vorgaben möglich ist. Die daraus resultierende Unsicherheit bei Lehrern, Schulleitungen und Schulträgern führt dazu, dass viele Lösungen in Schule nie oder nur unbefriedigend realisiert werden können, was zu einer zusätzlichen Erschwernis bei der Entwicklung des Unterrichts mit digitalen Medien führt.

Ein Beispiel aus NRW – keine Hilfe ist wenig hilfreich

Symptomatisch hierfür ist für mich ein Beispiel aus NRW. Hier ging es um ein Berufskolleg, welches Office 365 im Unterricht einsetzen möchte. Man war sich nicht sicher, ob bzw. Wie dieses datenschutzrechtlich möglich ist. Eine Anfrage im Dezember 2016 bei der Landesdatenschutzbehörde erbrachte als Ergebnis lediglich, dass ein Bundesländer übergreifendes Verfahren zur datenschutzrechtlichen Beurteilung von Microsoft Office 365 noch nicht abgeschlossen sei, da Microsoft nicht alle Fragen verbindlich beantwortet habe, und außerdem sei es ohnehin das Ministerium für Schule und Bildung, welches die “datenschutzrechtliche Ressortverantwortung” trage. Eine Empfehlung könne man von Seiten der LDI für die Nutzung von Office 365 wegen der ungeklärten Fragen nicht aussprechen. In einer Antwort bestätigt das Ministerium für Schule und Bildung seine Verantwortung, “der Hinweis der LDI auf die Verantwortung des MSW für die Einhaltung des Datenschutzes im Schulbereich ist ohne jeden Zweifel zutreffend” und verweist dann auf den zuständigen schulischen Datenschutzbeauftragten und ergänzt, dass man “als oberste Landesbehörde die Bearbeitung aller Einzelfälle zu Fragen des schulischen Datenschutzes” nicht übernehmen könne. Dass es hierbei eigentlich nicht um einen Einzelfall, sondern um eine grundsätzliche Frage geht, scheint man nicht zu sehen, will man vielleicht auch nicht sehen. Das Ende vom Lied, es hat sich bis heute nichts getan. Die Schule kommt nicht weiter, wie so viele andere.

Beispiele aus anderen Bundesländern – wo etwas geht

Dass es auch völlig anders gehen kann, zeigt das Beispiel Hessen, wo der dortige Landesbeauftragte für Datenschutz und Informationsfreiheit (LDI) sich im August 2017 ganz klar positionierte in Bezug auf die Nutzung von Office 365 unter Einhaltung datenschutzrechtlicher Vorgaben. Er kommt zu dem Schluss, dass eine Nutzung im pädagogischen Bereich möglich ist und erklärt, was dabei zu beachten ist.

Vergleichbar ist eine offizielle Stellungnahme der LDI von Rheinland Pfalz zu den Anforderungen für den schulischen Einsatz von Google-Classroom und Cloud Angeboten wie Office 365 und Google generell.

Auch in Niedersachsen äußerte sich in einem Tätigkeitsbericht die Landesbeauftragte für Datenschutz zur Nutzung der Cloud Version von Office 365. Sie kam in ihrem Tätigkeitsbericht für 2013/14 zu dem Schluss, dass eine Nutzung nicht zulässig wäre (Anmerkung: das Cloud Angebot entsprach zu der Zeit noch nicht der aktuellen Variante).

In Baden-Württemberg nimmt das Kultusministerium ganz aktuell in der FAQ Datenschutz an Schulen EUDSGVO (03/2018) Stellung zum Thema Cloud Computing und sagt, unter welchen Bedingungen die Nutzung möglich ist und was getan werden muss. Genannt werden als Beispiele Beispiele für Cloud-Computing “Dropbox, Microsoft Cloud Services (z.B. Office365, Azure), Google Drive, iCloud sowie weitere Web 2.0 Anwendungen.” Abschließend gibt sie sogar eine Empfehlung ab. Das ginge sicher noch besser, etwa über einen Rahmenvertrag (siehe unten Beispiel Kanton Zürich) doch hiermit haben Schulen schon einmal eine klare Handlungsmöglichkeit.

Die Zuständigen: Schulministerien und Landesdatenschutzbehörden

Die Zuständigkeiten sind, was Schule und Datenschutz in grundsätzlichen Fragen angeht, eigentlich klar. Das jeweilige Schulministerium eines jeden Bundeslandes trägt die datenschutzrechtliche Ressortverantwortung. Damit liegt es auch an diesen Ministerien, die Schulen zu unterstützen und rechtlich abzusichern, vor allem wenn es um grundlegende Fragen geht. Office 365, G-Suite for Education und Apple und seine Bildungsangebote gehören heute zu den Produkten, welche Schulen vorrangig einsetzen möchten. Oft tun sie dieses auch schon, dann aber entweder mit Einschränkungen und Behelfslösungen oder ohne datenschutzrechtliche Absicherung in einer rechtlichen Grauzone. Und das ist kein haltbarer Zustand.

Neben den Schulministerien spielen jedoch auch die Landesdatenschutzbehörden eine Rolle, wie die Beispiele aus Hessen, Rheinland Pfalz und Niedersachsen deutlich zeigen.

Wie es gehen könnte

Das Beispiel der jetzt kurz vor Inkrafttreten stehenden Datenschutz Grundverordnung zeigt sehr gut, wie Organisationen mit dem Thema Datenschutz umgehen. Man beauftragt in der Regel Juristen damit, die Prozesse innerhalb der Organisation auf die Konformität mit den rechtlichen Vorgaben zu überprüfen und bei Bedarf entsprechende Anpassungen auszuarbeiten. Die Juristen stammen bei großen Organisationen aus der eigenen Rechtsabteilung, bei kleineren Organisationen bedient man sich externer Fachleute. Dieses Vorgehen findet man in der Wirtschaft bei Einzelunternehmen und Verbänden wie auch in Behörden.

Entsprechend dieser Strukturen gibt es auch Mechanismen, die in Gang gesetzt werden, wenn in laufenden Prozessen datenschutzrechtliche Fragestellungen oder Probleme auftreten.

Will eine Organisation die Dienste eines großen Anbieters wie Microsoft, Google, Apple, SAP oder ähnlich nutzen, dann werden hier Verträge abgeschlossen. Und auch hier greifen wieder die Strukturen der Organisation. Es wird geprüft, rechtlich geprüft, ob Dienste des Anbieters den eigenen Ansprüchen in Bezug auf Vertraulichkeit wie aber auch den Vorgaben in Bezug auf den Datenschutz, so zutreffend, entsprechen. Die großen Anbieter digitaler Dienstleistungen verfügen in der Regel über fertige Vertragswerke. Außerdem lassen sich die großen Anbieter von verschiedenen Organisationen zertifizieren. Über die Zertifizierung kann leicht nachgewiesen werden, ob bestimmte rechtliche Vorgaben und Standards eingehalten werden. Wenn dieses nicht ausreichend ist oder den Vorstellungen der Organisation entspricht, wird mit dem Anbieter verhandelt. In der Folge werden Vertragswerke angepasst und bei Bedarf auch Anpassungen an den Diensten des Anbieters entsprechend der Vorgaben der Organisation vorgenommen.

Geht es um die Nutzung von Software oder Cloud-Diensten in Behörden, Universitäten und Schulen werden in der Regel sogenannte Rahmenverträge abgeschlossen. Es kommt dabei jedoch auch darauf an, wer den Rahmenvertrag aushandelt und abschließt. Wie ein solcher Rahmenvertrag für Schulen aussehen könnte, zeigt das Beispiel des Kantons Zürich in der Schweiz. Hier wurde zur datenschutzkonformen Bearbeitung von Personendaten über das Schweizer Medieninstitut für Bildung und Kultur (educa.ch) mit Microsoft ein Rahmenvertrag für den Einsatz von Office 365 in den Primar- und Sekundarschulen geschlossen. Eine Übersicht auf den Seiten des Datenschutzbeauftragten des Kanton Zürich zeigt an, welche Office 365 Komponenten innerhalb des Rahmenvertrages datenschutzkonform genutzt werden können. Bevor dieser Rahmenvertrag möglich wurde, sorgte man in der Schweiz durch eine Vertragsanpassung mit Microsoft dafür, dass die Office 365 Cloud-Dienste von Schulen datenschutzrechtlich unbedenklich eingesetzt werden können.

Auch in Österreich hat man eine Lösung für Schulen geschaffen. Das Bundesministerium für Bildung, Wissenschaft und Forschung hat einen Rahmenvertrag mit Microsoft abgeschlossen. Schulen können die Cloud Lösung von MS Office 365 datenschutzrechtlich sicher nutzen. Welche Bedingungen erfüllt werden müssen, ist klar genannt, eine Einwilligung der Schüler und eine Weiterleitung der Schülerdaten an Microsoft durch die Schule selbst.

Einen Rahmenvertrag gibt es in Deutschland schon

Rahmenverträge mit Microsoft gibt es in Deutschland bereits, für Schulen den mit FWU. Dieser „FWU-Vertrag“ 3.0 wurde Ende 2016 abgeschlossen mit dem Ziel „viele Möglichkeiten der Nutzung von Cloud-Diensten, um für Schulen, Lehrende und Schüler/innen gemeinsam eine moderne und zukunftssichere Lehr- und Lernumgebung zu gestalten.“ Das Problem bei diesem Rahmenvertrag ist jedoch, wie das Beispiel aus NRW zeigt, dass er ohne verbindliche Aussagen des Schulministeriums oder der Landesdatenschutzbehörde für Schulen wertlos ist. Die Aussagen gibt es nicht, da die beiden Behörden mit größter Wahrscheinlichkeit nicht an den Verhandlungen beteiligt waren.

Wie man in Deutschland handeln sollte

Es muss also Klarheit geschaffen werden durch Schulministerien und Landesdatenschutzbehörden. Es reicht nicht, wenn ein Unternehmen wie FWU einen Vertrag mit Microsoft aushandelt, wenn dieses nicht die rechtliche Autorität hat, den Rahmen im Sinne des Datenschutzes für Schulen verbindlich auszuhandeln. Wenn die Datenschutzbehörden weiter auf Antworten von Microsoft waren wollen, wie oben beschrieben, werden sie ewig warten, vermute ich. Man muss verhandeln. Mit der Peitsche der DS-GVO drohen braucht man wohl nicht mehr. Vielleicht hilft es aber, mit der Möhre zu locken.

Ehrlich gesagt sehe ich wenig Sinn darin, wenn jedes Bundesland für sich in Verhandlungen mit den großen Anbietern wie Microsoft, Apple und Google tritt. Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder und ihre Arbeitskreise arbeiten ohnehin regelmäßig gemeinsame Positionen zu datenschutzrechtlichen Themen aus, wie Beispiele zu Lernplattformen und Cloud Computing zeigen. Wenn der Bund mit einer Grundgesetzänderung nun ohnehin mehr Verantwortung in der Bildung übernimmt, sollte doch nichts dagegen sprechen, wenn entsprechende Rahmenverträge durch den Bund ausgehandelt würden, einschließlich der dazu notwendigen Vertragsänderungen. Immerhin würde der Bund mehr als 30.000 allgemeinbildende Schulen vertreten mit ungefähr 8,37 Millionen Schülern (statista), eine große Möhre, auch für Microsoft, Apple und Google. Für die Konzerne ginge es um ein größeres Finanzvolumen bzw. im Falle von Google um mehr Nutzer, die sich mit der Marke anfreunden. Damit hätte der Bund wesentlich mehr Gewicht in den Verhandlungen und könnte leichter nationale Datenschutzvorgaben, soweit sie von der DS-GVO abweichen, und Vertragskonditionen durchsetzen. Dass solches Sinn macht und möglich ist, zeigen das Beispiel Österreich.

Die letzte Frage

Die Frage, welche nun am Schluss bleibt, nachdem benannt ist, wer alles wollen muss, ist letztlich, wo genau man nun die Hebel ansetzen muss, um die Schulministerien und Landesdatenschutzbehörden bzw. den Bund zum Handeln zu bewegen.

Meine Recherchen zum Thema lassen vermuten, dass es zwar bei den Schulministerien und Landesdatenschutzbehörden immer wieder vereinzelte Anfragen von Schulen gibt, die dann jedoch, wenn überhaupt, nur einzeln beantwortet werden, und oft mit einer Antwort, die nicht weiterhilft. Einzelne Bundesländer zeigen zumindest, dass sie in die richtige Richtung denken. Es bräuchte aber wohl eine konzertierte Aktion, um alle diese trägen Kolosse von übergeordneten Behörden der Länder (die Schulministerien und Landesdatenschutzbehörden) bzw. des Bundes (das Bundesministerium für Bildung und Forschung und die Bundesdatenschutzbeauftragte) zum Handeln zu bewegen. Vielleicht ist dort nicht einmal klar, dass hier Handeln dringend erforderlich ist, vor allem jetzt,wo Geld kein Problem sein soll, wo Schulen und Schulträger Weichen stellen müssen.

 

Zu Hülfe, der Datenschutz …

Posted in Datenschutz, Schule und Recht, Schulentwicklung by damianduchamps on März 30, 2018

Vor einem halben Jahr setzte ich mich hier im Blog mit Datenschutz und Schule auseinander und rief zu einem pragmatischen Umgang mit dem Thema Datenschutz auf. Besser geworden ist seither nichts, erwartungsgemäß. Nicht umsonst merkt Svenja Busson, die Schulen weltweit besucht hat, um gelungene Beispiele für den Einsatz von digitalen Medien im Unterricht zu sammeln, im Spiegel Interview kritisch an zur Situation in Deutschland: “Die Lehrer täten sich leichter, wenn der Datenschutz – den ich auch wichtig finde – nicht ganz so rigide wäre.” Datenschutz bremst, so wie er gegenwärtig im Bereich der Bildung gehandhabt wird, Schulen in Deutschland weiterhin massiv aus. Und dieses macht sich jetzt umso mehr bemerkbar, wo sich Schulen in großer Zahl endlich auf den Weg machen, digitale Medien in ihren Unterricht zu integrieren. Geld sei kein Problem und werde es in den nächsten Jahren auch nicht sein, hörte man Ende 2017 bei einer Tagung in Düsseldorf aus dem Ministerium für Schule und Bildung NRW. Klingt gut. Freut uns. Das sind wirklich einmal gute Perspektiven, wenn da der Datenschutz nicht wäre. Wenn Schulen und Schulträger planen, wenn Medienkonzepte und Medienentwicklungspläne erstellt werden, spielt Datenschutz auch dabei eine Rolle, doch eher eine, die Lösungen verhindert. Keiner möchte in die Falle tappen. Alle wollen auf Nummer sicher gehen. Zu viele Fragen sind ungeklärt, zu wenige Antworten zu finden. Allzu oft kommen dann altbewährte Lösungen heraus, abgeschottete Windows Netzwerke mit Thin-Clients, Totalkontrolle und streng gefiltertem Internetzugang, interaktiven Whiteboards und bei IT Dienstleistern gehosteten LMS. Mitunter sind durchaus einmal brauchbare Lösungen dabei, doch meist ist die Umsetzung von pädagogischen Vorstellungen, die auf zeitgemäßes Lernen setzen, die die 4K im Blick haben, kaum möglich. Möchte eine Schule lieber auf iPads setzen, geht dieses leider nur mit Einschränkungen. Keine persönlichen Daten, denn die landen auf Servern von Apple und die können überall stehen, auch in den USA. Da mag Apple ganz aktuell bei der Vorstellung eines neuen iPads und neuer Software in einer Schule in Chicago noch versichern, dass die von Schulen selbst generierten und Schülern zugewiesenen Apple IDs von Apple selbst nie eingesehen würden, egal. Es geht nicht. Shared iPad, die Lösung, mit welcher mehrere Schüler ein iPad teilen können mit eigenen Accounts – geht nicht, da die Daten beim Nutzerwechsel in die iCloud gesichert werden. Die Nutzung der neuen Funktion der iWork Apps Pages, Numbers und Keynote auf iPads zur Echtzeit Kollaboration, ganz im Sinne der 4K, geht nicht, da die Synchronisation über die iCloud läuft und dieses mit den datenschutzrechtlichen Vorgaben, so wie man sie zur Zeit handhabt, nicht vereinbar ist. Am sichersten fährt man als Schule zur Zeit, wenn man iPads ohne individuelle Benutzerkonten für Schüler einsetzt. Auch individuelle Benutzer sind möglich, wenn sie über einen virtuellen Desktop als Zugangsgeräte zu einem Windows Netzwerk eingesetzt werden. Office 365 sieht man von Seiten der Wirtschaft gerne in Schulen, bereitet es doch die zukünftigen Mitarbeiter auf die Nutzung der in Firmen meistverbreiteten Office Suite vor. Das Microsoft Produkt mit OneNote Classroom und Teams bietet tolle Möglichkeiten zum kollaborativen Arbeiten. Und wenn es sein muss, bietet man sogar noch eine Cloud in deutscher Datentreuhand. Alles toll, sollte man meinen. Leider nicht. Es gibt offiziell kein grünes Licht, dass Schulen Office 365 vernünftig nutzen können, ohne datenschutzrechtliche Vorgaben zu verletzen. G-Suite for Education und Chromebooks sind in den USA und vielen Ländern der Welt ein Erfolgsmodell, gut zu nutzen für Schüler wie Lehrkräfte, ideal für die Umsetzung der 4K, einfachst zu administrieren, doch für staatliche Schulen in Deutschland mehr oder weniger ein No-go. Auch hier fehlt grünes Licht für eine datenschutzrechtlich abgesicherte Nutzung. Die Liste ließe sich fortsetzen mit zahllosen Apps und Webplattformen, die für die Unterrichtsentwicklung mit digitalen Medien fantastische Möglichkeiten bieten, wäre da nicht das Thema Datenschutz. Will man in Schule digital arbeiten, so ist dieses eigentlich nur dann sinnvoll, wenn Schüler mit Klarnamen arbeiten können. Die Nutzung von Pseudonymen, wie ich sie im September als pragmatischen Ausweg vorschlug, ist zwar durchaus machbar, doch im schulischen Alltag auf Dauer nicht zweckmäßig. Kommunikation und Kollaboration funktionieren eindeutig besser, wenn man mit echten Namen arbeitet. Auch Lehrkräften kann nicht zugemutet werden, dass sie Pseudonyme mit Listen abgleichen, wenn sie digitale Lernprodukte bewerten sollen.

Im Februar hat das Thema Datenschutz in NRW mit der neuen verpflichtenden Genehmigung, welche Lehrkräfte nun benötigen, wenn sie Daten ihrer Schüler auf einem privaten Endgeräten verarbeiten wollen, zusätzliche Brisanz erhalten. Lehrkräfte und Schulleitungen fühlen sich von den Vorgaben überfordert, Hauptpersonalräte und Gewerkschaften raten davon ab, die Genehmigung zu unterzeichnen und fordern Dienstgeräte. Die LDI NRW liegt mit ihrer Einschätzung auf gleicher Linie. Axel Krommer deutet in seinem Beitrag Anzeichen der Krise II die Genehmigung als ein weiteres Phänomen der Krise in der Übergangszeit zwischen dem Gutenberg-Paradigma und dem Turing-Paradigma. Der Datenschutz, so Krommer, bremse die digitalen Arbeits- und Kommunikationsprozesse aus und unterstütze damit im Extremfall unter dem Motto „Datenschutz vor Pädagogik!“ die Stift-und-Block-Kultur. Die Lösung heißt für ihn deshalb, “Zeitgemäße Bildung wird nur Hand in Hand mit zeitgemäßem Datenschutz möglich sein.”

Als wenn die vielen ungelösten Problem mit dem Datenschutz in Schule nicht reichen würden, rückt nun der Tag näher, an welchem die Datenschutz-Grundverordnung (DS-GVO) in Kraft tritt. Schon seit zwei Jahren wissen wir, was kommt. Die europäischen Länder spezifizieren die nationale Ausgestaltung in Form der Datenschutzgesetze der Länder. Arbeitsgruppen diverser Wirtschaftsbereiche sind seit dieser Zeit damit beschäftigt, Strategien auszuarbeiten, wie man die Vorgaben der DS-GVO umsetzen kann. Die DS-GVO stärkt die Rechte der einzelnen Person im Sinne der informationellen Selbstbestimmung und soll sie vor Missbrauch der personenbezogenen Daten schützen. Entsprechend sind die mit Verstößen verbundenen Sanktionen deutlich stärker als sie es bisher waren.

Auch vor der Bildung macht das Thema DS-GVO nicht halt, wenngleich aktuell noch keine unmittelbar davon abgeleiteten Regelungen im schulischen Bereich bekannt sind, zumindest nicht in NRW. Veröffentlicht wurden bisher nur eine Übersicht und Hilfestellungen der Datenschutzkonferenz zu den anstehenden Veränderungen in Schule. “Zusammenfassend ist festzuhalten, dass die DS-GVO für die Datenverarbeitung durch öffentliche Stellen eine Vielzahl von Veränderungen vorsieht.” fasst die Landesbeauftragte für Datenschutz in Niedersachsen die Lage zusammen.

Und als wenn das noch nicht genug wäre, sorgen sich nun auch bloggende Lehrkräfte und Verantwortliche für Schulhomepages, aufgeschreckt durch Artikel wie Datenschutzgrundverordnung: Neue Abmahngefahren für Websites und DSGVO: Was freie Journalisten und Blogger jetzt tun müssen, ob ihnen bei ihren Blogs irgendwelche Gefahren durch die Nutzung von Inhalten aus fremden Quellen, Web-Fonts und Analyse-Tools drohen.

Zu Hülfe, der Datenschutz … möchte man rufen. Wie ein drohendes Unwetter zieht der 25. Mai herauf und keiner weiß so recht, was passieren wird. Statt Klarheit herrscht überall Unsicherheit. Wie bei so vielen Dingen fehlen klare, eindeutige Vorgaben, an denen man sich orientieren kann.

Das Recht auf informationelle Selbstbestimmung ist ein Grundrecht und Datenschutz damit Pflicht. Wie die unermessliche Datensammelwut von Facebook und Co. und Datenskandale wie Cambridge Analytica bestens illustrieren, sind Regelungen dringend von Nöten, um das Individuum zu schützen. Das Kind ist, was den Datenschutz angeht, quasi schon in den Brunnen gefallen. Die riesigen Internetkonzerne, die mittlerweile teilweise das wirtschaftliche Volumen großer Volkswirtschaften haben, konnten das Internet quasi in Wildwest Manier ungehindert und unreguliert für sich erobern. Die DS-GVO Europas kommt nun im letzten Moment um die Ecke, um zu retten, was noch zu  retten ist, und um für die Zukunft die Weichen zu stellen für einen besseren Schutz der personenbezogenen Daten der Menschen.

Bei der DS-GVO geht es um Recht und Gesetz, wie auch bei den davon abgeleiteten nationalen Regelungen, den Datenschutzgesetzen und Verordnungen. Wenn das Recht eindeutig wäre, bedürfte es nicht Heerscharen von Juristen, die es auslegen. Am Ende entscheidet die Auslegung über die Durchsetzung von Recht, in letzter Instanz vor Gericht. Und so gibt es auch beim Datenschutz keine absolute Eindeutigkeit. Man findet Auslegungen, die eher restriktiver Natur sind und solche, welche die Paragraphen freiheitlicher interpretieren.

Und so kann man ziemlich sicher davon ausgehen, dass es den Schöpfern der DS-GVO nicht darum geht, das Internet zu zerbrechen, denn dafür ist seine Bedeutung zu groß.

Vor diesem Hintergrund sollte man auch die aktuelle Situation betrachten. Wenn man die anfangs beschriebenen Schwierigkeiten, die wir als Lehrkräfte, Schulleitungen und Schulträger (und bloggende Lehrer) mit dem Datenschutz haben, zusammengefasst betrachtet, so haben alle die gleichen Ursachen: Überforderung, Unsicherheit, Angst.

  • Als Nutzer digitaler Medien sind wir alle mit dem Datenschutz, so wie er momentan in Deutschland gehandhabt wird, komplett überfordert.
  • Überfordert scheinen auch die verantwortlichen Stellen, Ministerien und Landesdatenschutzbehörden, denn anders ist nicht zu erklären, warum von diesen keine eindeutigen Aussagen zu erhalten sind, ob und wie die oben genannten Plattformen genutzt werden können.
  • In Folge herrscht unter Lehrkräften, Schulleitungen und Schulträgern eine extreme Unsicherheit.
  • Jeder hat Angst vor den möglichen rechtlichen Konsequenzen, falls mal etwas schief geht.

Und in dieser Kombination lähmt der Datenschutz die Entwicklung in Deutschland massiv. Vieles, was möglich wäre, unterbleibt.

Was wir brauchen, um aus dieser Misere herauszukommen, ist ein Ende der Unsicherheit. Verantwortliche Stellen müssen klare Stellung beziehen, eindeutige Aussagen machen, was geht und was nicht – und dabei sollte man die Vorgaben der Datenschutz Gesetzgebung eher freiheitlich und ermöglichend auslegen als restriktiv und verhindernd.

Dass dieses möglich ist, zeigen die Beispiele vieler Länder um uns herum. Der Schweiz, deren Schulen beispielsweise G-Suite for Education nutzen können, wird vermutlich niemand vorwerfen wollen, leichtfertig mit den personenbezogenen Daten ihrer Bürger umzugehen. Was in anderen Ländern möglich ist, sollte also auch bei uns in Deutschland gehen.

Die Sorge, dass große Konzerne wie Microsoft, Apple und Google die Daten von Schülern und Lehrern für eigene Zwecke missbrauchen könnten, ist sicherlich berechtigt. Doch auch hier gibt es Lösungen. Die heißen Gesetze. Man braucht Institutionen, die über die Einhaltung der Vorgaben des Datenschutzes wachen. Es gibt sie, von staatlicher Seite wie im NGO Bereich. Und werden Verstöße festgestellt, werden die Verantwortlichen mit den Mitteln des Gesetzes zur Rechenschaft gezogen und mit Sanktionen belegt.

Nicht verhindern können wir, wenn im Zuge polizeilicher oder geheimdienstlicher Ermittlungen US Behörden Zugriff auf Daten erhalten, die auf den europäischen Servern von US Firmen liegen. Dass man darin jedoch einen Grund sieht, die Cloud Produkte von US Firmen für deutsche Schulen generell zu verbieten, halte ich für absolut übertrieben. Greifen europäische und deutsche Ermittlungsbehörden nicht auch auf diese Daten zu?

Auch für die Genehmigung für Lehrkräfte in NRW, schulische Daten auf privaten Endgeräten zu verarbeiten, sind praktikable Lösungen möglich. Der aktuelle Ansatz, die rechtliche Verantwortung komplett auf Schulleitungen und Lehrkräfte abwälzen zu wollen, ist ganz sicher nicht der richtige Weg. Hier muss die Landesregierung dringend nachbessern. Dienstgeräte sind eine Möglichkeit, aber keine billige, denn diese Geräte müssen nicht nur beschafft, sondern auch professionell gemanagt werden, um Sicherheit zu bieten. Das Land muss die Lehrkräfte und Schulleitungen aus der alleinigen Haftung entlassen und sie rechtlich absichern. Klar ist, wenn grobe Fahrlässigkeit nachzuweisen ist mit einem Datenschutzverstoß, dann sollte das auch rechtliche Konsequenzen haben. In allen anderen Fällen sollte jedoch das Land die Haftung für seine Schulleitungen und Lehrkräfte übernehmen. Vielleicht sollte das Land NRW hier eine entsprechende Versicherung abschließen. Außerdem sollte es möglich sein, dass Lehrkräfte, die auf ein Dienstgerät verzichten und lieber ein eigenes Gerät nutzen, dieses tun können. Auch sie müssen vom Land rechtlich in Schutz genommen werden, wenngleich bei ihnen eine begrenzte Mithaftung vorstellbar wäre. In der Regel werden vor allem erfahrenere Benutzer eigene Geräte anstelle von Dienstgeräten haben wollen, und die wissen meist, was sie tun.

Das Inkrafttreten der DS-GVO wird in Bezug auf den Datenschutz nicht nur einen besseren Schutz für die Bürger bringen, sondern für Schule auch neue Möglichkeiten eröffnen. Warum? Da die DS-GVO dafür sorgt, dass wir in allen europäischen Mitgliedstaaten ein einheitliches Datenschutzrecht habe und damit auch ein einheitliches Datenschutzniveau, können wir in Deutschland endlich auch die tollen Online Angebote aus anderen europäischen Ländern nutzen, die uns bisher verwehrt geblieben sind. Sie haben ab dem 25. Mai 2018 den gleichen datenschutzrechtlichen Status wie deutsche Angebote.

Und was die Sorgen der bloggenden Lehrkräfte angeht und die Betreiber von Schulhomepages, hier sollte man mit dem rechten Augenmaß an die Sache herangehen. Es ist durchaus zu erwarten, dass Abmahn-Haie in der Anfangszeit nach Inkrafttreten der DS-GVO ihr Unwesen treiben werden. Allerdings ist auch damit zu rechnen,  dass die Gesetzgeber diesem Treiben schnell ein Ende setzen werden. Dass man sich als Blogger Gedanken machen muss, ob bei der Nutzung von Google Web Fonts, von Google Analytics, der Einbindung von LearningApps und von YouTube Videos oder beim Abgeben von Kommentaren Daten erhoben werden, ist abstrus. Das hat auch nichts mehr mit Datenschutz zu tun im Sinne der Gesetzgebung zu tun. Diese Daten werden überall erhoben. Sie gehören zum Internet und jeder, der als medienkompetenter Nutzer im Internet unterwegs ist, ist sich darüber im Klaren. Das ist wie im Straßenverkehr. Jeder kennt die Regeln, weiß, wie es läuft, und nur, wenn es Abweichungen davon gibt, werden wir durch Schilder darauf hingewiesen. Viel wichtiger ist es für Betreiber von (nichtkommerziellen) Webseiten, dass sie grundsätzlich versuchen, die Erhebung von Daten der Besucher auf ein notwendiges Minimum zu beschränken und dass sie die Erhebung außergewöhnlicher Daten anzeigen und genau dafür eine Einwilligung einholen.

So aussichtslos wie manches scheint, ist es in Bezug auf den Datenschutz und die Schule eigentlich gar nicht bestellt. Alle beschriebenen Probleme sind lösbar. Es müssen nur alle wollen, endlich Stellung beziehen und Schulen und Lehrkräften unterstützend zur Seite stehen. Und auch für die Blogger wird nichts so schlimm kommen, wie von manchen befürchtet. Und die DS-GVO wird nach einigen Anlaufschwierigkeiten mit der alltäglichen Umsetzung ein Gewinn sein, für alle.

Datenschutz & Schule – nur Pragmatismus bringt uns weiter

Posted in Datenschutz, Medienwelt, Schulentwicklung, Schulpolitik by damianduchamps on September 29, 2017

Mal ganz ehrlich, Datenschutz und Schule gehen momentan gar nicht zusammen. Schulen sollen digitale Lösungen in den Unterricht integrieren, doch ständig erhebt jemand warnend den Zeigefinger und sagt, in Bezug auf den Schutz der persönlichen Daten der Schülerinnen und Schüler und Lehrkräfte geht dieses nicht und das nicht und grundsätzlich geht sowieso gar nichts. Mit solch einem Ansatz werden wir nicht weiterkommen. Das ist nichts anderes als Verhinderungskultur. Was wir brauchen, sind Lösungsansätze, die uns im schulischen Alltag weiterbringen anstatt uns zu blockieren. Datenschutzschutzbeauftragte sollten nicht nur sagen, was nicht geht, sondern Schulen helfen, pragmatische Lösungen zu finden.

Damit hier kein Missverständnis aufkommt aufkommt, den Schutz der persönlichen Daten von Schülerinnen und Schülern halte ich für absolut unverzichtbar.

Wenn wir in der Schule vom Schutz der persönlichen Daten sprechen, gehen wir von Vorstellungen aus, die meiner Meinung nach völlig unrealistisch und überzogen sind. Natürlich sollen und müssen persönliche Daten geschützt werden. Dazu sind wir verpflichtet und es ist selbstverständlich. Ein Restrisiko ist jedoch nie auszuschließen, wie überall im Leben. Beim Datenschutz versuchen wir jedoch genau dieses. Man tut so, als müsse ist den perfekten Schutz geben, und ist man sich da nicht sicher, so ist die Lösung tabu, die Lernplattform, das App, das Lernmanagementsystem können nicht genutzt werden.

Landesdatenschutzbeauftragte geben für die Microsoft Cloud Deutschland kein grünes Licht, weil noch Unklarheit über irgendein Komma besteht in der Dokumentation. Derweil nutzen große Konzerne die Lösung schon lange, denn diese Lösungen sind von diversen Instituten der Wirtschaft und von anderen Institutionen zertifiziert und geprüft. Das gilt auch für die G-Suite von Google. Bei Firmen geht es um Wirtschaftsdaten und Wirtschaftsspionage. Das hat in der Regel mehr Gewicht als persönliche Daten, denn es geht um Millionen- oder Milliardenbeträge.
Man fragt sich, warum geht in Schule nicht, was in der Wirtschaft geht? Die Wirtschaft hat nicht weniger zu verlieren als Schule mit persönlichen Daten.

Wenn es um Schule und Datenschutz geht, fehlt uns ein vernünftiges Maß. Im Schulleben außerhalb der digitalen Welt sieht das völlig anders aus. Seien wir doch mal realistisch. Verzichten wir darauf, mit unseren Schülerinnen und Schülern ins Schwimmbad zu gehen, nur weil eventuell ein Kind sich nicht an die Regeln halten könnte und vom Rand ins Becken springt, oder heimlich auf das Dreimeterbrett klettert unter herrunter springt? Nein, tun wir nicht. Wir nehmen das Risiko in Kauf, denn es gibt keinen absoluten Schutz. Ja, aber beim Schutz der persönlichen Daten, könnte so etwas doch lebenslange Folgen haben, wird mancher nun entgegnen. Doch könnte es nicht auch lebenslange Folgen haben, wenn eines der Kinder beim Schwimmunterricht nun doch vom Rand springt und verletzt sich dabei so, dass es lebenslänglich unter den Folgen zu leiden hat? Ich hoffe, an diesem Beispiel aus der analogen Welt wird deutlich, dass wir, wenn wir vom Thema Datenschutz sprechen, vollkommen überzogen reagieren. Den absoluten Schutz der persönlichen Daten gibt es nicht. Das soll nicht heißen, dass wir leichtfertig oder fahrlässig umgehen sollten mit den persönlichen Daten der uns anvertrauten Schülerinnen und Schüler. Was wir jedoch brauchen, sind pragmatische Lösungen, die einen möglichst großen Schutz der persönlichen Daten ermöglichen und Schule gleichzeitig nicht unnötig ausbremsen, indem jegliche Lösung aus Datenschutzgründen negiert wird.

Um dieses zu erreichen, braucht es eigentlich gar nicht viel. Für mich gibt es einige Grundsätze, die, wenn man sie beachtet, viele Lösungen ermöglichen.

Persönliche Daten von Schülerinnen und Schülern gehören grundsätzlich nicht in Lernplattformen, Lernmanagementsysteme, Apps oder ähnlich
Namen

Wer zwingt uns dazu, dass Schülerinnen und Schüler mit ihren echten Namen in einem Lernmanagementsystem angemeldet sein müssen? Eine pragmatische Lösung könnte darin bestehen, stattdessen Pseudonyme zu verwenden oder anonymisierte Account Namen. Natürlich müssen Lehrkräfte in der Lage sein, diese Pseudonyme oder anonymisierten Accountnamen Schülern zuzuordnen. Man kann jetzt einwenden, dass sich diese Daten verbinden lassen und schon weiß man wieder, wer wer ist. Das funktioniert immer. Und selbst aus anonymisierten Daten kann man mit etwas Geschick wieder eine Zuordnung herstellen, wenn man das will. Den perfekten Schutz vor “bösen” Konzernen oder Geheimdiensten gibt es nicht. So realistisch muss man einfach sein. Und selbst wenn wir ein System haben, welches den deutschen Datenschutzvorgaben absolut genügt (auf Server in Deutschland laufend, alle Vorschriften erfüllt und so weiter), auch dann gibt es keine absolute Sicherheit. Die Server könnten gehackt und die Kontodaten gestohlen werden. Und wenn die Schüler sich von ihren Smartphones oder von zu Hause aus in der Plattform einloggen, mit einem Pseudonym oder anonymisierten Account, dann könnten natürlich, wenn man Standortdaten oder Gerätedaten ausliest und diese möglicherweise noch mit gestohlenen Daten vom Einwohnermeldeamt kombiniert oder mit Daten von einem sozialen Netzwerk, die exakten persönlichen Daten der Personen herausgefunden werden. Lässt sich alles konstruieren, alles ist möglich. Aber hallo! Bleiben wir doch einfach mal realistisch. Auf dem Weg in die Schule sind auch schon Kinder überfahren worden. Lassen wir die Kinder deshalb nicht in die Schule laufen? Es gibt immer ein gewisses Restrisiko im Leben.

Noten

Es sollte auch völlig klar sein, dass Noten in jeglicher Form, Leistungsbewertungen, nichts in Lernplattformen, Lernmanagementsystem oder ähnlich zu suchen haben. Das schließt aber nicht aus, dass man innerhalb der Plattform Feedback gibt und Angaben macht, ob eine Aufgabe gelöst ist oder nicht. Das genau ist eine der Stärken digitaler Plattformen, das unmittelbare Feedback, um Schülerinnen und Schülern in ihren Lernprozessen zu unterstützen. Und solange Schülerinnen und Schüler keine Accounts nutzen, die direkt über den Namen persönlich zuordenbar sind, sehe ich darin kein Problem. Und da es auch keine Erfordernis gibt, Noten direkt über eine Plattform mitzuteilen, sehe ich darin auch keinen Grund, solche Plattformen nicht zu nutzen.

Nutzungsordnung & pädagogischer Auftrag

Dass persönliche Daten in schulischen digitalen Anwendungen nichts zu suchen haben, kann man Schülerinnen und Schülern durchaus verständlich machen. Auch in anderen Plattformen sollten Schülerinnen Schüler mit ihren persönlichen Daten sparsam umgehen. In einer schulischen Anwendung können sie lernen, wie man persönliche Daten vermeidet. Es ist ein pädagogischer Auftrag der Schule, dieses zu vermitteln. Ich nutze Google Classroom und meine Schülerinnen und Schüler wissen, dass persönliche Daten nichts in der Plattform zu suchen haben. Sie sprechen sich untereinander in der Plattform mit ihren englischen Pseudonymen an. Das funktioniert wunderbar. Über eine Nutzungsordnung haben wir geregelt, dass persönliche Daten nicht in Google Classroom auftauchen. Geregelt ist dort auch, dass der Nutzer Account nicht mit privaten Accounts verknüpft wird. Was aber, wenn sich jemand nicht an diese Regel hält? Was wenn die Accounts zu Hause auf dem heimischen PC verknüpft werden, da auf dem gleichen PC auch die Daten des privaten Accounts sind? Was, wenn auf dem privaten Gerät ein Trojaner mitliest? Pech gehabt! Auch wenn wir unsere Schülerinnen und Schüler immer wieder ermahnen, nicht auf dem Treppengeländer herunter zu rutschen, so tun es leider doch immer wieder welche und alle Jahre wieder liegt jemand unten am Fuß der Treppe und hat sich den Arm gebrochen. So ist das Leben.

Pragmatismus ist gefragt

Wie ich hoffentlich zeigen konnte, kann man, wenn man mit den Anforderungen an den Schutz der persönlichen Daten unserer Schülerinnen und Schüler auf einem realistischen, alltagstauglichen Maß bleibt, durchaus pragmatische Lösungen finden, um im schulischen Alltag zurecht zu kommen. Es bringt niemanden weiter, wenn wir durch überhöhte, unrealistische und auch praktisch nicht einlösbare Anforderungen in Bezug auf den Datenschutz an der Nutzung sehr vieler digitaler Angebote gehindert werden. Leider haben deutsche Firmen im internationalen Vergleich kaum etwas zu bieten, was vergleichbar wäre zu Office 365 mit der Cloud, G-Suite for Education oder Edmodo, Formative und vielen weiteren Apps und Plattformen, die für ein zeitgemäßes Lernen in Schule unverzichtbar sind. Und ganz ehrlich, wer garantiert uns, dass deutsche Firmen und Geheimdienste weniger Interesse an den persönlichen Daten der uns anvertrauten Schülerinnen und Schülern haben?

Datenschützer sind gefragt, praktikable Lösungen zu bieten

Meiner Meinung nach sollten die Datenschützer auf jeder Ebene, vom schulischen Datenschutzbeauftragten bis zu den Landesdatenschutzbeauftragten und den entsprechenden Verantwortlichen in den Ministerien für Schule ihre Aufgabe nicht primär darin sehen, nur den warnenden Zeigefinger zu heben und dieses und jenes zu verbieten. Natürlich sollen sie Schulen helfen, den Schutz der persönlichen Daten ihrer Schülerinnen Schüler so gut wie möglich sicherzustellen und nicht in irgendwelche Fallen zu tappen. Ganz wichtig wäre jedoch auch, dass diese Institutionen nach Lösungen suchen, wie man digitale Angebote trotzdem nutzen kann, ohne die persönlichen Daten der Schülerinnen und Schüler zu gefährden, und Schulen beim Finden solcher Möglichkeiten unterstützen. Außerdem sollten sie eine Aufgabe darin sehen, gemeinsam mit den Anbietern digitaler Angebote Lösungen zu finden, welche Schulen in ihren Verpflichtungen in Bezug auf den Datenschutz unterstützen. Bei der Vielzahl der Angebote kann dieses sicher nicht nur mit einer begrenzten Zahl von Angeboten erfolgen. Es wäre aber schon hilfreich, wenn es englischsprachige Orientierungshilfen für die Anbieter von Lernplattformen, Apps und LMS gäbe, die ihnen helfen könnten, ihre Angebote auf deutsche Datenschutzanforderungen auszurichten. Darauf könnten dann Schulen, die ein Angebot nutzen wollen, diese Anbieter verweisen. Wenn wir hier pragmatischer sind, wenn Schulen Unterstützung erhalten, wenn sie loslegen können, dann wird der deutsche Markt für Anbieter aus anderen Ländern auch attraktiver und das wiederum macht es für diese Firmen interessanter, den deutschen Markt mit seinen speziellen Anforderungen stärker bei der Entwicklung von Angeboten zu berücksichtigen, sei es dass man beispielsweise Server in Deutschland aufstellt oder anmietet oder dass man angepasste Formen der Nutzerregistrierung und -verwaltung und der Speicherung von Daten anbietet.

Datenschutz und Schule muss definitiv neu gedacht werden, vor allem von den oben genannten Institutionen. Wir brauchen pragmatische Lösungen, keine Kultur der Verhinderung und Beschränkung, sondern eine der Ermöglichung.

Noch gut zu wissen

Was vielen vermutlich nicht klar ist: wenn wir ohne persönliche Daten arbeiten, entfallen viele der engen Vorschriften der Datenschutzgesetzgebung. Werden keine persönlichen Daten verarbeitet, braucht es kein Verfahrensverzeichnis und auch keinen Vertrag zur Datenverarbeitung im Auftrag mit dem Anbieter einer digitalen Plattform. Eine Absicherung mit einer Nutzungsvereinbarung ist dabei aber unbedingt erforderlich. Ohne begibt sich die Schule auf juristisches Glatteis! Sind die Produkte, welche Schüler etwa in einer Plattform wie Office 365 mit der Cloud produzieren, frei von persönlichen Daten und auch sonst nicht zuordenbar, sehe ich keine Erfordernis diese Daten als persönliche Daten zu behandeln. Wenn überhaupt, dann geht es hier noch um Urheberrechte der Schüler. Es muss an dieser Stelle jedoch angemerkt werden, dass dieses nicht jeder Datenschutzbeauftragte das so sieht. Genauso, wie es auch Datenschutzbeauftragte gibt, die meinen, auch nicht persönliche Daten dürfen nicht in Drittstaaten gehen. Deshalb auch mein Appell, pragmatisch zu denken.

Auch mit einer informierten und freiwilligen Einwilligung der Betroffenen geht eigentlich alles. Für Schulen ist dieses allerdings eine Lösung, von der ich abraten würde.