… und die endlose Geschichte um Office 365 geht in die nächste Runde

Posted in Datenschutz by damianduchamps on Juli 14, 2019

Im März hatte ich versucht im Beitrag Office 365 Cloud für Schule – wo stehen wir?, den seinerzeit aktuellen Stand der Entwicklungen bezüglich einer Nutzbarkeit von Office 365 in Schule darzustellen. Es ist mittlerweile Juli 2019 und die endlose Geschichte geht in die nächste Runde.

Die Niederlande legen vor

Aus den Niederlanden kommt zunächst ein positives Signal. Dort hatte man im Rahmen einer Datenschutz Folgenabschätzung Ende letzten Jahres ermittelt, dass Office 365 (Pro Plus) in verschiedenen Punkten nicht datenschutzkonform nutzbar ist (siehe auch Beitrag von Privacy Company zur durchgeführten DSFA). Entsprechend hatte man sich mit Microsoft in Verbindung gesetzt und Verbesserungen geplant. Microsoft versprach, diese umzusetzen. Anfang Juli gab das niederländische Justizministerium dann bekannt, dass die Maßnahmen den Verabredungen entsprechend umgesetzt worden seien und einer Nutzung durch 300.000 Mitarbeiter in Regierungsbehörden damit nichts mehr im Wege stehe. Zusätzlich gab es zwischen dem niederländischen Staat und Microsoft Vereinbarungen, welche die Pflichten des Staates als Verantwortlicher und von Microsoft als Verarbeiter regeln. Für die Regierungsbehörden wurden Implementierungsregeln aufgestellt, welche diese einhalten müssen, wenn sie Microsoft Produkte und Dienste nutzen. Da Microsoft Produktänderungen in seiner global angebotenen Produktpalette nicht ohne Weiteres regional beschränkt umsetzen kann, flossen die aus den Verabredungen mit den Niederländern hervorgegangenen Verbesserungen in die Office 365 Enterprise Edition weltweit ein. Da die EDU Versionen eng an diese gekoppelt entwickelt werden, sollten die Veränderungen auch dort ihren Niederschlag gefunden haben. Unabhängig von den technischen Veränderungen sehe ich den niederländischen Fall sehr positiv, da er einen Weg aufzeigt, wie man zu einer Lösung kommen kann. Dazu später mehr.

Der hessische Datenschutzbeauftragte legt den Finger in die Wunde

Knapp eine Woche später meldet sich der hessische Datenschutzbeauftragte (HBDI) zu Wort. Er hatte bisher in der Microsoft Cloud Deutschland eine Möglichkeit gesehen, wie Schulen Office 365 für Unterrichtszwecke datenschutzkonform nutzen können. Da diese Lösung nicht länger für Neukunden verfügbar ist, erhielt er immer wieder Anfragen aus Schulen bezüglich der Nutzbarkeit der Office 365 Lösung in der EU Cloud. Um hier Klarheit zu schaffen, äußerte er sich mit einer Stellungnahme zum Einsatz von Microsoft Office 365 in hessischen Schulen. Der Beitrag schlug ein, wie man am aufgeregten Gezwitscher auf Twitter sehen konnte, denn er stellte nicht nur die Nutzung von Office 365 an (hessischen) Schulen in Frage, sondern auch Cloud Dienste von Google und Apple.

Doch rechtfertigt diese Stellungnahme die entstandene Aufregung?

Eigentlich tut sie das nicht, denn der HBDI hatte bisher nie angegeben, dass Office 365 mit der EU Cloud für Schulen datenschutzkonform nutzbar wäre. Neu ist in der Stellungnahme selbst nur der zusätzlichen Hinweis, dass seine Aussage bezüglich der datenschutzrechtlichen Unzulässigkeit einer Nutzung von Office 365 mit der EU Cloud nicht nur für Microsofts Plattform gelte. In einem Beitrag von Heise über die Stellungnahme gibt es noch eine weitere wichtige Information, die sich in der Stellungnahme selbst nicht findet. Demnach können die von Microsoft im Mai diesen Jahres angekündigten Verbesserungen, die auch in engem Zusammenhang mit den zwischen den Niederländern und Microsoft getroffenen Verabredungen stehen, den HBDI noch nicht zufriedenstellen.

Das heißt nun was?

Die Verbesserungen, welche Microsoft in Folge der von verschiedenen Seiten aufgedeckten datenschutzrechtlichen Verstöße umgesetzt hat für Office 365 (ProPlus) und Windows 10, reichen dem HBDI noch nicht aus, um die Sicherheit zu bieten, welche eine Nutzung von Office 365 mit der EU Cloud nach seiner Auffassung im Unterricht erfordert.

Warum kann man nicht einfach übertragen, was das niederländischen Justizministerium erreicht hat?

Das niederländischen Justizministerium hat mit Microsoft spezielle Nebenabreden zu den Online Service Terms (OST) getroffen, welche die Verbesserungen auf technischer Seite ergänzen. Wie im Schreiben des Justizministeriums betont wird, gelten diese nur für die genannten Behörden. Auch dort geht es um die personenbezogenen Daten der Benutzer. Der Fall ist jedoch nicht mit einer unterrichtlichen Nutzung vergleichbar. In einer Behörde geht es um Anmeldedaten der Mitarbeiter und um Nutzungsdaten. Sonstige personenbezogenen Daten der Nutzer selbst fallen nicht an, da die Nutzung von Office 365 dienstlich erfolgt und die Inhalte keinen persönlichen Charakter haben.  Im Unterricht fallen zu den Anmelde- und Nutzungsdaten auch viele andere personenbezogene oder -beziehbare Daten an. Es geht vor allem um Inhalte, welche die Schüler produzieren, Ergebnisse von Abfragen, möglicherweise auch Tests und Arbeiten und mehr. Da es sich um zwei sehr verschieden gelagerte Nutzungsszenarien von Office 365 handelt, lässt sich auch nachvollziehen, warum die Verbesserungen durch Microsoft, mit welchen das niederländische Justizministerium die Verabredungen mit Microsoft als erfüllt ansieht, dem HBDI noch lange nicht ausreichend erscheinen müssen.

Die Telemetriedaten und der mögliche Zugriff US-amerikanischer Behörden

Bei den datenschutzrechtlichen Problemen, welche sich durch eine Nutzung von Office 365 mit der EU Cloud ergeben, stehen zumindest zwei im Vordergrund. Beide sind nicht unlösbar.

Bei den Telemetriedaten handelt es sich um Nutzungsdaten verschiedener Natur, welche in diesem Fall von Microsoft Produkten an den Hersteller automatisiert abfließen. Dabei ist allerdings oft nicht klar, ob auch personenbezogene oder personenbeziehbare Daten mit an Microsoft übermittelt werden oder ob es sich lediglich um rein technische Daten handelt.

Hintergrund: In der Vergangenheit hatte Microsoft eine große Zahl von Beta Testern für seine Produkte. Diese installierten dann Vorabversionen von Windows, Office oder anderen Anwendungen auf ihren Systemen und gaben Microsoft Rückmeldungen zu Fehlern und Nutzbarkeit. Da dieses System sehr aufwändig ist und sich technisch neue Möglichkeiten ergaben, stellte man das ganze System auf ein automatisiertes Verfahren um. Die Produkte erheben selbst an bestimmten „Messpunkten“ Daten. Diese betreffen nicht nur Fehlermeldungen, sondern können auch das Nutzungsverhalten einschließen, etwa um herauszufinden, ob ein bestimmtes Feature von den Nutzern tatsächlich genutzt wird und auch wie und wie oft. Für Außenstehende ist dabei nicht ersichtlich, ob bei der Übermittlung dieser Metadaten auch personenbezogenen Daten mitfließen oder ob es möglich ist, aus den Daten Rückschlüsse auf individuelle Nutzer zu ziehen und entsprechende Profile zu erstellen. Es kommt erschwerend bei einer Bewertung hinzu, dass es schwierig ist, die abfließenden Daten einzusehen und zusätzlich verändern die Microsoft Software Teams die Messpunkte immer wieder. Dadurch ist es im Fall von lokal installierten Produkten sehr schwierig bis unmöglich, den Abfluss durch externe Maßnahmen komplett zu unterbinden. Bei Office 365 geht es, um einmal eine Zahl zu nennen, um „zwischen 23.000 und 25.000 Ereignisarten, die vom Telemetrie-Client des Pakets an Microsofts Cosmos-Datenbank in den USA“ übermittelt werden.

Das zweite Problem ist der mögliche Zugriff von US-Ermittlungsbehörden auf Server von US Unternehmen. Diese Zugriffsmöglichkeit, die unter anderem durch den CLOUD Act ermöglicht wurde, ist vor allem aus einem grund problematisch. Sie erfolgt ohne jegliche Nachvollziehbarkeit. Was vor dem Cloud Act im Rahmen von Rechtshilfeabkommen ablief, also unter Einbeziehung von europäischen Behörden, ist nun uneingeschränkt möglich, und weder der Verantwortliche (hier die Schule) noch der Betroffene (hier Schüler und Lehrkräfte) müssen je davon erfahren. Wie oft US Ermittlungsbehörden von dieser Möglichkeit Gebrauch machen, ist für eine datenschutzrechtliche Bewertung unerheblich. Es zählt alleine die Tatsache, dass es möglich ist.

---

Ergänzung (16.07.2019)

In einem Beitrag Datenschutz bei Microsoft: Kontrolle, Transparenz und Sicherheit für Kunden weltweit (15.07.2019) greift Microsoft die aktuellen Kritiken zum Thema Datenschutz auf. Microsoft möchte transparent sein. Bezüglich der Zugriffe von US Ermittlungsbehörden im Rahmen des CLOUD Act heißt es,

In Bezug auf den Schutz von Kundendaten in der Cloud legt sich Microsoft strenge Verpflichtungen auf. So praktiziert Microsoft einen strikt kundenorientierten Umgang bei Herausgabeforderungen Dritter nach Daten unserer (Geschäfts-)Kunden. Diese Praxis gilt auch im Zusammenhang mit dem CLOUD Act: Microsoft wird weiterhin Behörden bei Anfragen zur Herausgabe von Kundendaten von Unternehmenskunden, immer zunächst an den Kunden verweisen beziehungsweise den Kunden über die Anfrage informieren, soweit nicht gesetzlich verboten.

Das klingt zunächst gut. Es gibt jedoch ein Problem bei all diesem Bemühen um Transparenz den Betroffenen gegenüber. Anfragen von US Ermittlungsbehörden werden oft mit einer sogenannten Gag Order versehen. Microsoft darf also nicht mit dem Kunden reden oder die Anfrage an diesen weiterleiten (um laufende Ermittungen nicht zu gefährden).

Und als würde das noch nicht ausreichen, hat der Europäische Datenschutzausschuss festgestellt (12.07.2019), sind Übermittlungen von personenbezogenen Daten auf Grundlage des CLOUD Acts nur innerhalb sehr enger Grenzen DS-GVO konform möglich, solange es kein datenschutzkonformes internationales Abkommen gibt.

In einer ersten Bewertung nimmt der EDSA die Position ein, dass – ohne ein neues Abkommen – eine rechtmäßige Übermittlung der Daten unmittelbar an die ersuchende Sicherheitsbehörde auf der Grundlage der DSGVO nur in sehr engen Grenzen möglich ist.

Dass Anfragen von US Ermittlungsbehörden in den Rahmen dieser sehr engen Grenzen fallen, dürfte wohl nur in den wenigsten Fällen zutreffen. Anders wäre jegliche Auseinandersetzung mit dem CLOUD Act überflüssig.

---

Wie geht es weiter?

Grund zur Panik besteht sicherlich keiner, denn die Bewertung bezüglich einer datenschutzrechtlich verträglichen Nutzbarkeit von Office 365 mit EU Cloud hat sich nicht grundlegend geändert. Es wurde einfach nur noch einmal sehr deutlich gesagt, wo wir stehen.

Die Stellungnahme des HBDI sollte von einer „normalen“ Nutzung ausgehen, denn eine solche wurde auch in der vorherigen Stellungnahme zur Nutzbarkeit von Office 365 mit der MS Cloud Deutschland skizziert. Das meint dann eine Nutzung, bei welcher Schüler deutlich identifizierbar in Office 365 arbeiten,  mit ihrem Klarnamen als Benutzernamen und weiteren Informationen wie Daten zur Erreichbarkeit, und auch alles, was sie (er)arbeiten, in OneDrive speichern, von der Geschichte über den Familienurlaub bis zum Lebenslauf und dazu eventuell noch Feedback und Leistungsbewertungen.

Die Notlösung

Es ist durchaus möglich, Office 365 auch sehr datensparsam zu nutzen, eben ohne den kompletten Klarnamen plus weitere Informationen und ohne Speicherung persönlicher Inhalte in OneDrive. Wie so etwas aussehen sollte, beschreibt der LDI Rheinland Pfalz für Google Classroom. Eventuell nutzt man sogar ein ID Management System für den Login und unterstützt die Vermeidung von personenbezogene Daten in der Microsoft Cloud. Je weniger personenbezogene bzw. -beziehbare Daten in Office 365 landen, um so geringer das Risiko für die Betroffenen. Ein wichtiger Faktor, um Datenminimierung zu betreiben, ist auch die Beschränkung der Nutzung auf schulische Endgeräte am Schulstandort selbst, solange es nicht möglich ist, die Übermittlung von Standortdaten und Informationen aus privaten Logins zu unterbinden. Eine derartige Lösung verlangt Informierung der Betroffenen, eine gute Nutzungsvereinbarung und eine fortwährende Sensibilisierung, und sie ist vielleicht auch nicht für alle Altersgruppen gleichermaßen geeignet. Diese datensparsame Lösung, die sich auch auf Apple iCloud übertragen lässt, ist zwar machbar und aus datenschutzrechtlicher Sicht noch vertretbar, doch definitiv keine ideale und ganz sicher keine dauerhafte Lösung.

Was heißt das für Schulen, die Office 365 nutzen?

Office 365 ist nicht neu und es gibt viele Schulen, die es schon seit Jahren nutzen, auch ohne MS Cloud Deutschland. Vor allem in Berufskollegs ist Office 365 oftmals Standard. Das ist auch in Schulministerien bekannt. Von daher ist nicht zu erwarten, dass von dort nun die Weisung kommt, die Nutzung von Office 365 im Unterricht einzustellen. Wenn, dann wird es eher Aufforderungen geben, die Nutzer zu sensibilisieren und das Nutzungskonzept in datenschutzrechtlicher Hinsicht zu überarbeiten. Die Nutzung  wird an den Schulen in der Regel erst einmal so weiterlaufen, wie bisher. Schulen, die Office 365 nutzen, sollten, falls sie nicht bereits ein Nutzungskonzept haben, welches sich an den Vorgaben aus RLP zu Google Classroom orientiert, auf eine datensparsame Nutzung umstellen. Bei bestehenen Nutzerkonten kann man eventuell noch in den Einstellungen zum Datenschutz, die bei Office 365 durch Microsoft erweitert wurden, nachjustieren. Konten, die bisher mit Klarnamen geführt wurden, jetzt noch umzustellen auf pseudonymisierte Anmelde- und Nutzernamen, macht wenig Sinn, da die Konten für Microsoft bereits mit Identitäten verknüpft sind. Bestehenden Nutzern komplett neue Konten zu erstellen mit datensparsamen Richtlinien für die Erstellung von Anmelde- und Nutzernamen, wäre eine Möglichkeit, die Situation zu entschärfen, bedeutet jedoch eine Menge Aufwand für alle Seiten.

Für Schulen, denen es eigentlich nur darum geht, ihren Schülern und Lehrkräften über eine ProPlus Lizenz eine Offline Version von Office 365, also Office 2016 für die Installation auf Privatgeräten zur Verfügung zu stellen, ist eine Lösung wie in Fulda denkbar. Bei dieser Lösung ist für Schüler der Zugang zu Office 365 in der Cloud gesperrt. Der Zugang über das ID Management System von Univention dient lediglich der Legitimation für die Nutzung der Offline-Lizenz. Personenbezogene Daten der Schüler verbleiben im ID Managementsystem und landen so nicht in der Microsoft Cloud. Diese Lösung bedeutet allerdings auch einen Verzicht auf die vielen Funktionen von Office 365 zur Gestaltung von Unterricht, von der Nutzung von Teams zur Steuerung von Unterrichtsabläufen bis zu den Kollaborationsfunktionen in den eigentlichen Office Anwendungen.

Schulen, welche das Apple Ökosystem nutzen, dürften in der Regel bezüglich einer Nutzung von managed Apple IDs und iCloud zurückhaltender gewesen sein. Eine datensparsame Nutzung ist auch mit iPads möglich und sollte, falls nicht bereits praktiziert, angestrebt werden.

Warum geht es bei uns nicht voran?

Die Aufsichtsbehörden befassen sich seit Jahren mit Microsoft und der Datenschutzkonformität. Und seit Jahren wartet man auf ausstehende Antworten von Seiten Microsoft, hört man immer wieder. In NRW verweist das Schulministerium auf die Aussagen der Aufsichtsbehörde und dort sagt man wiederum, Datenschutz in Schule sei Ressortzuständigkeit des Schulministeriums. Es ist ganz sicher auch keine Lösung, die Nutzung von Office 365 an Schulen lediglich zu verbieten, so wie dieses in einigen Bundesländern der Fall ist. So kommen wir nicht weiter. Wenn wir nur darauf warten, dass die Aufsichtsbehörden feststellen, dass es Mängel gibt oder ob diese behoben sind, wird sich in Schulen nichts tun, denn Schulen haben ihre eigenen Ansprüche an den Datenschutz. Das gilt auch für die Vorgaben, welche Microsoft umsetzen müsste, damit Schulen Office 365 mit der EU Cloud datenschutzkonform nutzen können im Unterricht.

Die Schulministerien müssen (ver)handeln

Es muss sich hier etwas und vor allem jemand bewegen. Beispiele aus anderen Ländern zeigen, es ist möglich, mit Microsoft zu Lösungen zu kommen. Hier in Deutschland habe ich bisher keine Bemühungen von Seiten der Schulministerien wahrgenommen, mit Microsoft in Verhandlungen zu treten, die eigenen Vorstellungen klar und deutlich zu kommunizieren, um gemeinsam eine für den Unterricht in Schulen tragbare Lösung zu finden. Auch wenn man das Problem in Österreich auf Bundesebene angeht, hat die bisherige Passivität der Schulministerien nichts mit dem Bildungsförderalismus in Deutschland zu tun. In der Schweiz verhandeln einzelne Kantone mit den Anbietern Microsoft, Google und Apple. Es kann nicht reichen, darauf zu warten, bis die Aufsichtsbehörden Microsoft und anderen US Cloud Plattform Anbietern eine vollständige DS-GVO Konformität bescheinigen. Für G Suite for Education und Apple iCloud scheint es, anders als bei Office 365, bisher von Seiten der Schulministerien ohnehin noch nicht einmal einen Beauftragung der Aufsichtsbehörden zu einer Überprüfung gegeben zu haben. Man kann sicher davon ausgehen, die Microsofts, Googles und Apples dieser Welt wollen ihre Kunden bedienen und sie bewegen sich durchaus. Ein großes Problem ist und werden auf Dauer auch die Zugriffsmöglichkeiten US amerikanischer Ermittlungsbehörden durch den Cloud Act bleiben.

Das Problem der Telemetriedaten kann nur Microsoft lösen, indem es Möglichkeiten anbietet, die Sammlung und Übermittlung zu kontrollieren und gegebenenfalls zu unterbinden, und Transparenz herstellt. Was die Problematik der Cloud angeht, da kann auch das Land Lösungen schaffen. Welche wären vorstellbar, um die genannten Plattformen im Unterricht nutzen zu können?

Lösung 1 – Microsoft Cloud Deutschland

Microsoft versucht, als weltweiter Anbieter alle Produkte so anzubieten, dass sie für möglichst alle Welt passen. Die DS-GVO hat bereits zu deutlichen Anpassungen geführt und diese sind nicht auf Europa beschränkt, sondern wurden weltweit in die Produktpalette ausgerollt, um das Angebot einheitlich zu halten. Von Nachteil war das nirgendwo. Aber den möglichen Anpassungen sind bei einer solchen Vorgehensweise Grenzen gesetzt. Spätestens wenn es um die Zugriffsmöglichkeiten von US Ermittlungsbehörden geht, braucht es einen anderen Ansatz, eine Microsoft Cloud, die nicht in die Jurisdiktion von US Recht fällt. Die Microsoft Cloud Deutschland ist eine solche Cloud.

Diese Cloud in Treuhand der Telekom ist nicht tot und selbst wenn sie es wäre, könnte man sie wieder auferstehen lassen. Wie der HBDI als einzige deutsche Aufsichtsbehörde festgestellt hatte, ist es für Schulen möglich, die Microsoft Cloud Deutschland unter Einhaltung bestimmter Regelungen im Unterricht datenschutzkonform zu nutzen. Das Angebot wurde von Seiten Microsofts im März diesen Jahres eingestellt, weil es keine ausreichende Nachfrage aus der Wirtschaft dafür gab. Weltweit tätige Firmen beklagten das Fehlen von Features, welche in der internationalen Version Standard sind und die Zusammenarbeit mit Niederlassungen im Ausland erschwerten. Zu den fehlenden Features gehört Teams, was unter anderem von Schulen, die dieses Produkt zur Organisation des Unterichts nutzen möchten, bemängelt wird. Doch was spräche dagegen, wenn man mit Microsoft einen Vertrag aushandelte, durch welchen die MS Cloud Deutschland für schulische Neukunden geöffnet wird, sie ferner Teams beinhaltet und auch für die Zukunft fortbesteht? Schulen, welche bereits die Office 365 EU Cloud Lösung nutzen, werden in die MS Cloud Deutschland migriert. Alle Schulen erhalten die Vorgabe, dass nur noch Office 365 mit der MS Cloud Deutschland zulässig ist. Dazu gibt es noch eine genaue Vorgabe, wie diese Lösung zu nutzen ist. (Man könnte eventuell sogar noch einen neuen Rahmenvertrag für die Preisgestaltung aushandeln.) Mit dieser Lösung bräuchte man das Rad nicht neu erfinden und könnte an eine anerkannte Lösung anknüpfen.

In Bezug auf eine Nutzung von Office 365 durch Schulen im Rahmen  datenschutzrechtlicher Vorgaben wäre diese Lösung vermutlich die bestmögliche, denn auf diese Art und Weise wären personenbezogene Daten von Schülern und Lehrkräften vor dem unkontrollierten Zugriff von US Ermittlungsbehörden auf die Serverinfrastruktur auf denen die Office 365 Dienste laufen, geschützt. Apple und Google haben bisher vergleichbare Lösungen nie angeboten. Das muss nicht bedeuten, dass eine Apple EDU iCloud Deutschland oder ein G Suite for Education Deutschland nicht möglich sind.

Lösung 2 – eine eigene Cloud (als collaboration space)

Eine weitere Möglichkeit, den Zugriff von US Ermittlungsbehörden auf zumindest einen großen Teil der personenbezogenen Daten von Schülern und Lehrkräften zu unterbinden besteht in der Möglichkeit, bei Microsoft Office 365, G Suite for Education und iCloud Schnittstellen für externe Clouds wie z.B. Box.com zu nutzen. Normalerweise sind die eigenen Cloudspeicher der drei US Anbieter Voraussetzung für Kollaboration, Synchronisations- und Backup-Funktionen. Über spezielle Schnittstellen ist es möglich, alternative Cloudspeicher für diese Funktionen zu nutzen. Kollaboration in Echtzeit und Cloudspeicherung sind somit auch außerhalb von OneDrive, Google Drive und iCloud möglich. Nutzt man dafür Server, welche nicht Microsoft oder anderen US Anbietern gehören und damit nicht US Recht unterliegen, sind die Inhalte der Server so vor dem Zugriff von US Ermittlungsbehörden im Rahmen des Cloud Act geschützt. Warum also nicht mit Microsoft in Verhandlungen treten, eine eigene Cloud aufbauen (lassen) und mit Office 365 koppeln? Welche sonstigen personenbezogenen Daten mit einer derartigen Lösung noch aus dem direkten Zugriff der US Anbieter entzogen werden können, müsste man prüfen.

Lösung 3 – Nutzerverwaltung außerhalb von Microsoft Diensten

Bei Office 365 werden die Zugangsdaten der Benutzer im Standard in Azure Active Directory hinterlegt, welches ebenfalls im potentiellen Zugriff der US Ermittler steht. Dieses lässt sich umgehen, indem man die Verwaltung von Benutzern sowie ihren Rollen und Rechten auslagert. Dafür gibt es externe Systeme. Wie diese gestaltet sind, hängt vom Anbieter ab. Einige Schulserver integrieren hier Lösungen. Es gibt darüber hinaus spezialiserte Anbieter wie Univention mit ucs@school, einem Identity- und Access Management System (IAM). Mit einem solchen System, welches bei der Schule oder dem Schulträger on-premise betrieben wird, bleiben die Zugangsdaten der Nutzer unter eigener Kontrolle. Tendenziell deutet aktuell vieles darauf hin, dass die Nutzung eines IAM zukünftig grundlegender Standard einer jeden schulischen IT Landschaft werden wird.

Lösung 3 kann mit Lösung 2 und Lösung 1 kombiniert werden.

Und die Telemetriedaten?

Alle Lösungen bedeuten nicht, dass sich damit die Problematik der Telemetriedaten automatisch erledigt hat. Hier müssen, wie oben beschrieben, die Schulministerien ihre Interessen klar und deutlich kommunizieren. Wenn die Schulministerien sich nicht in der Lage sehen, mit Microsoft zu verhandeln, warum macht man es dann nicht wie die Niederländer und beauftragt das Justizministerium?

Alternativen

Microsoft, Google und Apple sind beliebt und sie können mit attraktiven, ausreiften und erprobten Lösungen aufwarten, welche Schulen zur Gestaltung des Unterrichts nutzen können. Vor allem im Bereich Kollaboration sind die Lösungen dieser Anbieter stark. Es stecken Jahre an Entwicklungszeit dahinter, und eine Serverinfrastruktur, welche die bei zeitgleichem Arbeiten mehrerer User an einem Dokument erforderliche Leistung liefert.

Wer sich den datenschutzrechtlichen Problemen bestehender Lösungen von US Anbietern entziehen möchte, für den gibt es durchaus auch Lösungen. Vielleicht sind diese nicht alle gleich umfangreich wie ein Office 365, doch die grundlegenden Funktionen einer Plattform, mit welcher man im Unterricht lernt und arbeitet, bieten viele von ihnen. Und die alternativen Plattformen entwickeln sich ebenfalls weiter. Zu nennen wären hier Lösungen wie die Open Source Cloud Plattform NextCloud, die von verschiedenen Anbietern zu haben, der Schulserver iServ, das Lernmanagementsystem itsLearning, welches eine datensparsamere Integration von Office 365 und G Suite erlaubt, und die leider kaum bekannte Cloud Office Lösung OX Documents (als Teil von OX App Suite) des Anbieters von Open Xchange. Wer iPads mit individuellen Nutzerkonten einsetzen möchte, ohne managed Apple IDs und iCloud, findet im MDM Relution eine datenschutzfreundliche Lösung, die allerdings mit dem Verlust von Funktionen einhergeht.

Fazit

Für mich ist klar, wie es weitergehen sollte. Wer meine Beiträge in der Vergangenheit gelesen hat, las dort auch immer wieder, dass ich von unseren Schulministerien erwarte, dass man endlich die Initiative ergreift und ähnlich wie in unseren europäischen Nachbarländern gemeinsam mit den US Anbietern für Schulen datenschutzrechtliche Lösungen aushandelt. Sollen sie Geld kosten. Das muss es uns Wert sein, wenn wir nicht mit den personenbezogenen Daten der uns anvertrauten jungen Menschen bezahlen wollen. Rein rechtliche wäre es zwar möglich, die Produkte der US Anbieter mit einer informierten und freiwilligen Einwilligung der Betroffenen im vollen Funktionsumfang zu nutzen, doch Schulen haben auch eine ethische Verpflichtung, die personenbezogenen Daten von Schülerinnen und Schülern wie dem Schulpersonal zu schützen. In Schulministerien kann man sich auch nicht darauf zurückziehen, dass es doch Landesplattformen gebe bzw. diese in der Entwicklung seien oder dass Schulen auf alternative Lösungen wie oben skizziert setzen sollten. Momentan können Produkte wie Office 365, G Suite for Education und Apple iCloud unzweifelhaft mit Funktionalitäten aufwarten, wie sie von der datenschutzfreundlichen Konkurrenz und landeseigenen Entwicklungen zumeist nur in Teilen abgebildet werden können. Das ist auch Schulen klar und für viele Schulen ist ein Verzicht bzw. Wechsel auf Alternativen nicht vorstellbar. Das muss man gegenwärtig akzeptieren.

Mein Tipp für alle Beteiligten (Lehrkräfte, Elternvertretungen, Personalräte, Schülervertretungen, Schulämter, Bezirksregierunge, Datenschutzbeauftragte, …): Reden, Bedürfnisse klar machen, Druck machen nach oben, dass die Schulministerien sich bewegen und mit den US Anbietern verhandeln für die MS EDU Cloud Deutschland, die G Suite for Education Cloud Deutschland und die Apple EDU iCloud Deutschland.

2 comments